redes

Prévia do material em texto

Segurança de redes de 
computadores: firewalls, sistemas 
de detecção de intrusão e VPN
Apresentação
As redes de computadores constituem parte importante do cotidiano da sociedade contemporânea. 
Tal arquitetura alcançou proporções inimagináveis no que diz respeito à complexidade das 
estruturas e cada vez mais dispositivos acessam a Internet, o que dificulta, muitas vezes, o controle 
e o monitoramento dos acessos. Técnicas como a criptografia já não se fazem suficientes para a 
segurança das redes. Por esse motivo, foram criados novos mecanismos com o objetivo de proteger 
as redes contra acessos indesejados.
Nesta Unidade de Aprendizagem, você aprenderá sobre firewalls e sua função na segurança das 
redes. Irá verificar também a importância dos sistemas de detecção de intrusão para a proteção de 
uma rede e a confiabilidade do acesso. Por fim, estudará as redes virtuais privadas, por onde os 
dados trafegam até chegarem a redes públicas, e sua constituição de modo seguro.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir firewalls.•
Discutir sistemas de detecção de intrusão.•
Descrever VPN.•
Desafio
As organizações de tecnologia da informação em todo mundo estão buscando cada vez mais a 
segurança, ainda mais, devido as demandas de conectividade de seus clientes e funcionários. Além 
disso, elas buscam uma melhor forma de tratar o possível aumento da complexidade de redes e 
suporte aos usuários, especialmente em organizações que crescem através de novas aquisições ou 
fusões entre empresas, as quais necessitam de soluções em conectividade e a integração rápida de 
infraestruturas independentes e incompatíveis. Isto pode ser um ponto crítico para o sucesso ou 
fracasso na relação ao negócio. Um requisito emergente na comunidade de usuários é a 
implementação de extranets para dar suporte a uma antes imprevisível relação com clientes e 
parceiros de negócio, não se esquecendo, dos requisitos de gerenciamento e segurança exigidos 
por estas novas conexões.
Imagine que você é representante comercial da MegaSoft S/A, uma empresa que comercializa 
hardware para computadores em toda a América Latina. Você está na Venezuela fechando um 
negócio que envolve considerável montante em dinheiro e precisa se comunicar de forma segura 
com a matriz no Brasil.
Baseado nessa situação, implemente uma solução em sua rede a fim de possibilitar uma 
comunicação segura e confiável para transmitir informações sigilosas e concluir a transação do 
negócio aqui no Brasil. Fale sobre duas vantagens dessa rede e faça um desenho representando 
como seria essa estrutura. Para finalizar, justifique sua escolha.
Infográfico
Infelizmente, nem tudo o que é visto nas redes de computadores diz respeito a coisas boas, 
produtivas, criativas e legais. Paralelamente ao que é praticado diariamente, como estudos, 
negócios e socialização, ações criminosas e ilegais são vistas no mundo virtual. 
Por esse motivo, práticas de proteção são cada vez mais necessárias e comuns nas infraestruturas 
de redes de computadores. Sistemas de segurança são considerados requisitos obrigatórios e, por 
isso, são conhecidos como softwares nativos nos computadores pessoais. 
O Infográfico a seguir discorre acerca do firewall, seu conceito e de que forma é possível observar 
sua presença em uma infraestrutura de rede.
Aponte a câmera para o 
código e acesse o link do 
conteúdo ou clique no 
código para acessar.
https://statics-marketplace.plataforma.grupoa.education/sagah/5c13843a-be0a-46e3-aacc-756a0c107fd0/1f8916de-0521-4418-89aa-64a773da2c94.jpg
Conteúdo do Livro
A segurança da informação constitui importante segmento no contexto atual da sociedade. Boa 
parte das tarefas que compõem o cotidiano das pessoas passa por algum tipo de dispositivo 
tecnológico, o que requer a garantia da confidencialidade dos dados do usuário. 
Profissionais de tecnologia de informação, em especial de redes de computadores, trabalham para 
entregar ao usuário final tecnologias que permitam o envio e o recebimento de dados de forma 
segura, evitando interceptação de tais informações.
Na obra Redes de computadores e Internet, seções 29.13 a 29.20, você poderá entender um pouco 
mais sobre o universo das redes de computadores no que diz respeito a alguns mecanismos de 
segurança das informações que trafegam pela grande rede mundial. Os capítulos da obra explicam 
como funcionam os firewalls, os sistemas de detecção de intrusão, que garantem o bom 
funcionamento do envio e do recebimento de informações em uma rede, e também as redes 
virtuais privadas, que permitem um caminho seguro para informações de usuários.
Redes de 
Computadores 
e Internet
R
ed
es d
e
 
C
o
m
p
u
tad
o
res 
e In
tern
et
Redes de 
Computadores 
e Internet
CONTEÚDO ONLINE
Douglas E. ComerDouglas E. Comer
D
o
u
g
las E
. C
o
m
er
6ª EDIÇÃO
6ª EDIÇÃO
6
ª E
D
IÇ
Ã
O
R
ed
es d
e
 C
o
m
p
u
tad
o
res e In
tern
et
Redes e Internet
D
o
u
g
las E
. C
o
m
er
6ª ED.
Escrito por um dos maiores especialistas em redes no mundo, 
Douglas E. Comer, este livro apresenta, de forma ampla e sistemática, 
os mais importantes conceitos, princípios e tecnologias das redes de 
computadores e da Internet. De fácil leitura, não requer experiência 
prévia com sistemas operacionais ou redes nem conhecimento 
avançado de matemática. Além disso, combina o melhor das 
abordagens top-down e bottom-up, permitindo aos professores 
adaptar o conteúdo às suas necessidades em sala de aula. Totalmente 
revisada e atualizada, esta nova edição inclui IPv4 e IPv6 em todos os 
capítulos e traz ainda tópicos emergentes e tendências, como a 
Internet das Coisas e as Redes Definidas por Software (SDN).
Acesse o nosso site, www.grupoa.com.br, 
cadastre-se gratuitamente, encontre a página 
do livro por meio do campo de busca e clique 
no link Conteúdo Online para fazer download 
do código para a API simplificada e de materiais 
extras para alunos e professores (em inglês).
www.grupoa.com.br
0800 703 3444
A Bookman Editora é um dos selos 
editoriais do Grupo A Educação, 
empresa que oferece soluções em 
conteúdo, tecnologia e serviços 
para a educação acadêmica e 
profissional.
COMPUTAÇÃO E TI
www.grupoa.com.br
BAEZA-YATES, R.; RIBEIRO-NETO, B.
Recuperação de Informação – Conceitos e Tecnologia das 
Máquinas de Busca – 2.ed.
COMER, D. E.
Redes de Computadores e Internet – 6.ed.
COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T.; BLAIR, G.
Sistemas Distribuídos – Conceitos e Projeto – 5.ed.
FOROUZAN, B. A.
Comunicação de Dados e Redes de Computadores – 4.ed.
FOROUZAN, B. A.; FEGAN, S. C.
Protocolo TCP/IP - 3.ed
FOROUZAN, B. A.; MOSHARRAF, F.
Redes de Computadores – Uma Abordagem Top-Down
GOODRICH, M. T.; TAMASSIA, R.
Introdução à Segurança de Computadores
MCCARTHY, N. K.
Resposta a Incidentes de Segurança em Computadores – 
Planos para Proteção de Informação em Risco
MCCLURE, S.; SCAMBRAY, J.; KURTZ, G.
Hackers Expostos 7 – Segredos e Soluções para a 
Segurança de Redes – 7.ed.
WRIGHTSON, T.
Segurança de Redes Sem Fio – Guia do Iniciante
Catalogação na publicação: Poliana Sanchez de Araujo – CRB 10/2094
C732r Comer, Douglas E.
 Redes de computadores e internet [recurso eletrônico] /
 Douglas E. Comer ; tradução: José Valdeni de Lima, Valter
 Roesler. – 6. ed. – Porto Alegre : Bookman, 2016.
 Editado como livro impresso em 2016.
 ISBN 978-85-8260-373-4
 1. Redes de computadores. 2. Internet. I. Título. 
CDU 004.7
O autor
Dr. Douglas Comer é um internacionalmente reconhecido especialista em redes de com-
putadores, protocolos TCP/IP e Internet. Foi um dos pesquisadores que contribuíram 
com a formação da Internet no fim dos anos 1970 e nos anos 1980, sendo membro do In-
ternet Architecture Board, o grupo responsável por guiar o desenvolvimento da Internet. 
Também foi presidente do comitê técnico CSNET, membro do comitê executivo CSNET 
e presidente do DistributedSystems Architecture Board da DARPA (Defense Advanced 
Research Projects Agency). Foi ainda Vice-Presidente de Pesquisa na Cisco Systems.
Comer é consultor de projeto de redes de computadores para empresas e palestran-
te frequente em ambientes acadêmicos e profissionais ao redor do mundo. Seu sistema 
operacional, Xinu, e a implementação de protocolos TCP/IP (ambos documentados em 
seus livros) são utilizados em produtos comerciais. É professor honorário de Ciências 
da Computação na Purdue University, onde leciona redes de computadores, redes de 
internet, arquitetura de computadores e sistemas operacionais. Lá desenvolveu labora-
tórios de informática inovadores que dão aos alunos a oportunidade de ter experiências 
práticas na operação de sistemas, redes de computadores e protocolos. 
Além de escrever livros técnicos best-sellers, já traduzidos para 16 idiomas, atuou 
como editor norte-americano do periódico Software – Practice and Experience por 20 
anos. Comer é membro da ACM. Informações adicionais podem ser encontradas em: 
w ww.cs.purdue.edu/homes/comer.
Capítulo 29 Segurança em redes 455
Usuário
Autoridade
de chaves
Web site W
encrypt
encrypt
decrypt
decrypt
encrypt
encrypt
decrypt
decrypt
mensagem 1
mensagem 2
mensagem 3
mensagem 4
chave pública
da autoridade
chave privada
da autoridade
chave pública
do site
chave privada
do site
Figura 29.7 Ilustração da utilização de uma autoridade de chaves para obter uma chave 
pública.
29.13 Firewalls
Embora a criptografia ajude a resolver muitos problemas de segurança, uma segunda tecno-
logia é necessária. Conhecida como firewall de Internet3, essa tecnologia ajuda a proteger 
a rede e os computadores da organização de tráfego indesejado. Da mesma forma que uma 
parede corta-fogo (firewall) convencional, um firewall de Internet é projetado para evitar 
que os problemas da Internet atinjam os computadores de uma organização.
Um firewall é colocado entre uma organização e o resto da Internet, e todos os 
pacotes que entram ou saem da organização passam por ele. A Figura 29.8 ilustra a 
arquitetura.
Internet Rede da organização
firewall utilizado para
proteger a organização
Figura 29.8 Ilustração de um firewall no caminho entre a Internet e uma intranet da 
organização.
3 O termo é derivado do conceito de parede corta-fogo, que se constitui num obstáculo físico à prova de fogo 
entre duas partes de uma estrutura e visa impedir que o fogo passe para o outro lado.
Comer_29.indd 455Comer_29.indd 455 29/10/15 14:5229/10/15 14:52
456 Parte V Outros aspectos das redes de computadores
Se uma organização tiver várias conexões com a Internet, um firewall deve ser co-
locado em cada uma delas, e todos os firewalls da organização devem ser configurados 
para cumprir a sua política de segurança. Além disso, o próprio firewall deve ser prote-
gido contra a falsificação. Para resumir:
 • Todo o tráfego que entra na organização passa pelo firewall.
 • Todo o tráfego que sai da organização passa pelo firewall.
 • O firewall implementa a política de segurança e descarta pacotes que não aderem 
a ela.
 • O firewall em si é imune a ataques de segurança.
O firewall é a ferramenta de segurança mais importante usada para manipular a 
conexão entre duas organizações que não confiam uma na outra. Ao colocar um firewall 
em cada conexão de rede externa, uma organização pode definir um perímetro de se-
gurança que impede que pessoas de fora interfiram nos computadores internos a esse 
perímetro. Em particular, um firewall pode impedir que pessoas externas descubram os 
endereços dos computadores da organização, inundem as suas redes com tráfego inde-
sejado, ou ataquem um computador por meio do envio de uma sequência de datagramas 
IP que visam uma falha. Além disso, um firewall pode impedir a exportação de dados in-
desejados (por exemplo, um usuário na organização inadvertidamente importa um vírus 
que envia uma cópia do seu disco para alguém de fora da organização).
Do ponto de vista de um gerente, um firewall tem uma importante vantagem sobre 
outros esquemas de segurança: ele centraliza o controle e, assim, melhora a segurança 
de forma dramática. Para garantir a segurança sem um firewall, uma organização deve 
tornar cada um dos seus computadores seguro. Além disso, cada computador tem de 
aplicar as mesmas políticas. O custo de contratação de pessoal para administrar muitos 
computadores é alto, e uma organização não pode depender de usuários individuais para 
configurar seus computadores corretamente. Com um firewall, um gerente pode restrin-
gir todo o tráfego de Internet a um pequeno conjunto de computadores e usar a equipe 
para configurar e monitorar esse conjunto. No caso extremo, todo acesso externo pode 
ser restrito a um único computador. Assim, um firewall permite a uma organização eco-
nomizar dinheiro e garantir mais segurança.
29.14 Implementação de fi rewall com fi ltro de pacotes
Embora o firewall possa ser um dispositivo independente, a maioria deles é incorporada 
em um comutador ou em um roteador. Em ambos os casos, o mecanismo usado para 
construir o firewall é conhecido como filtro de pacotes. Um filtro consiste em um me-
canismo configurável que examina os campos em cada cabeçalho de pacote e decide se 
deve permitir que ele passe pelo roteador ou seja descartado. Um gerente configura o fil-
tro de pacotes especificando quais tipos de pacotes podem passar em cada sentido (é mais 
seguro especificar os tipos de pacotes permitidos em vez dos que devem ser descartados).
Para o TCP/IP, uma especificação de filtro de pacotes geralmente inclui um tipo 
de quadro (0x0800 para o IPv4 e 0x08DD para o IPv6), um endereço de origem ou um 
endereço de destino IP (ou ambos), um tipo de datagrama e um número de porta. Por 
exemplo, para permitir que pessoas de fora acessem o servidor Web da organização, um 
filtro de pacotes pode permitir todos os quadros de entrada que contenham um datagra-
Capítulo 29 Segurança em redes 457
ma IP carregando TCP a partir de qualquer endereço e porta de origem com destino à 
porta 80 e um endereço IP de destino igual ao endereço IP do servidor Web.
Como permite a um gerente especificar combinações de endereços e serviços de 
origem e destino, o filtro de pacotes em um firewall possibilita que ele controle o aces-
so a serviços específicos em computadores específicos. Por exemplo, um gerente pode 
optar por permitir que o tráfego de entrada acesse um servidor Web em um computador, 
um servidor de e-mail em outro e um servidor DNS em um terceiro. É claro que um 
gerente também deve instalar regras de firewall para permitir o tráfego dos pacotes de 
resposta a partir do site. A Figura 29.9 ilustra uma configuração de firewall para tal site.
A habilidade de seletivamente permitir pacotes para um determinado serviço per-
mite ao gerente controlar de modo cuidadoso os serviços que são visíveis externamente. 
Assim, mesmo se um usuário inadvertidamente (ou intencionalmente) inicia um servi-
dor de e-mail em seu computador, pessoas externas à rede não serão capazes de entrar 
em contato com esse servidor.
Servidor Web
(192.5.48.1)
Servidor de e-mail
(192.5.48.2)
Servidor DNS
(192.5.48.3)
Internet
Firewall no comutador
Dir
Tipo de
quadro IP de origem IP de destino Tipo
Porta de
origem
Porta de
destino
In
In
In
In
Out
Out
Out
Out
0x0800
0x0800
0x0800
0x0800
0x0800
0x0800
0x0800
0x0800
*
*
*
*
192.5.48.1
192.5.48.2
192.5.48.3
192.5.48.3
192.5.48.1
192.5.48.2
192.5.48.3
192.5.48.3
*
*
*
*
TCP
TCP
TCP
UDP
TCP
TCP
TCP
UDP
80
25
53
53
*
*
*
*
*
*
*
*
80
25
53
53
Figura 29.9 Exemplo de configuração de firewall para um site com três servidores que exe-
cutam o IPv4. Os asteriscos são usados para denotar entradas que aceitam qualquer valor.
Comer_29.indd 457Comer_29.indd 457 29/10/15 14:5229/10/15 14:52
458 Parte V Outros aspectos das redes de computadores
Podemos resumir:
Um firewall utiliza o filtrode pacotes para impedir a comunicação indesejada. 
Cada especificação do filtro gera uma combinação de campos de cabeçalho, 
incluindo endereços IP de origem e destino, números de porta, bem como o tipo 
do protocolo de transporte.
29.15 Sistemas de detecção de intrusão
Um sistema de detecção de intrusão (IDS, Intrusion Detection System) monitora todos 
os pacotes que chegam a um site e notifica o administrador do site se uma violação de 
segurança é detectada. Um IDS fornece uma camada extra de segurança – mesmo que 
um firewall impeça um ataque, um IDS pode notificar o administrador do site que o 
problema está ocorrendo.
A maioria dos IDSs pode ser configurada para observar tipos específicos de ata-
ques. Por exemplo, um IDS pode ser configurado para detectar ataques de varredura de 
portas (port scanning) em que um atacante envia datagramas UDP ou tenta abrir uma 
conexão TCP em sucessivas portas do servidor. Da mesma forma, um IDS pode ser 
configurado para detectar um potencial ataque de inundação de SYN (SYN flooding), 
observando se acontecem repetidos pacotes SYN de uma determinada fonte. Em alguns 
casos, o IDS e o firewall são interligados para fornecer filtragem automática: em vez de 
apenas notificar o administrador do site sobre um problema, o IDS cria uma regra de 
firewall que bloqueia os pacotes que estão causando-o. Por exemplo, se o IDS detectar 
uma inundação SYN proveniente de uma determinada origem, ele pode instalar uma 
regra de firewall que bloqueia pacotes a partir dessa origem. A razão para usar uma 
abordagem automatizada é a velocidade – um ser humano leva muitos segundos para 
responder após ter sido notificado sobre um problema e, em uma rede gigabit, mais de 
50 mil pacotes podem chegar por segundo. Assim, uma resposta rápida é necessária para 
minimizar o impacto de um problema.
A principal diferença entre um IDS e um firewall é que aquele inclui informa-
ções de estado, ao contrário deste, que aplica as regras para um único pacote de cada 
vez. Assim, um IDS pode manter um histórico de pacotes. Por exemplo, apesar de um 
firewall determinar se pode ou não admitir um determinado pacote SYN, um IDS pode 
observar que muitos SYNs estão chegando de uma única fonte. É claro que o IDS exige 
mais cálculos e acesso à memória do que um firewall, não conseguindo lidar com tantos 
pacotes por segundo.
29.16 Varredura de conteúdo e inspeção detalhada de pacotes
Embora possa lidar com muitos problemas de segurança, um firewall tem uma limitação 
grave: só examina campos no cabeçalho do pacote, não tendo condições de verificar os 
dados úteis dele. Para entender por que o conteúdo dos pacotes pode ser importante, 
considere um vírus de computador. Uma das formas mais comuns de vírus é introduzida 
numa organização por meio de um anexo de e-mail; o invasor envia uma mensagem de 
e-mail com um programa de computador como um anexo. Se um usuário desavisado 
Capítulo 29 Segurança em redes 459
abre o anexo, o programa pode instalar um software malicioso no computador dele, 
incluindo malwares4, tais como um vírus.
De que forma um site pode evitar problemas como a instalação de um vírus? A res-
posta reside na análise do conteúdo dos pacotes. Existem dois tipos de análise de conteúdo:
 • Varredura de arquivo (file scanning)
 • Inspeção detalhada de pacotes (DPI, Deep Packet Inspection)
Varredura de arquivo (file scanning). A abordagem mais simples para analisar o 
conteúdo trabalha com arquivos inteiros. A varredura de arquivos é uma técnica bastante 
conhecida usada pelo software de segurança instalado em um PC típico. Em essência, um 
scanner de arquivo recebe o arquivo como entrada e procura padrões de bytes que indi-
cam um problema. Por exemplo, muitos scanners de vírus procuram sequências de bytes 
conhecidas como impressões digitais (fingerprints). Assim, uma empresa que vende um 
antivírus recolhe cópias de vírus, coloca cada uma em um arquivo, encontra sequências 
de bytes que são incomuns e cria uma lista de todas as sequências. Quando um usuário 
executa o software antivírus, este varre os arquivos do disco do usuário procurando algum 
que contenha as sequências de bytes que correspondem aos vírus da lista. A varredura de 
arquivos funciona bem para identificar os problemas mais comuns. É claro que a varredu-
ra pode produzir falsos positivos se um arquivo legítimo contiver uma sequência da lista, 
e pode produzir falsos negativos se existir um novo vírus cuja sequência não está na lista.
Inspeção detalhada de pacotes (DPI, Deep Packet Inspection). A segunda forma 
de análise de conteúdo opera em pacotes, e não em arquivos. Isto é, em vez de meramen-
te examinar os cabeçalhos de pacotes que passam para o local, um mecanismo de DPI 
também examina os dados da carga útil do pacote. Note que a DPI não exclui o exame 
do cabeçalho – em muitos casos, o conteúdo dos dados não pode ser interpretado sem 
que se examinem os campos no cabeçalho do pacote.
Como um exemplo de DPI, considere um ataque em que um pequeno erro de or-
tografia de um nome de domínio é usado para enganar o usuário. Uma organização que 
quer impedir tais ataques pode criar uma lista negra, ou seja, um conjunto de URLs que 
são conhecidas por apresentarem riscos à segurança. Para acessar a lista, cada usuário do 
site deve configurar seu navegador para utilizar um proxy Web (ou seja, um sistema Web 
intermediário que verifica a URL antes de buscar a página solicitada). Como alternativa, 
um filtro de DPI pode ser configurado para inspecionar cada pacote de saída e observar 
se há alguma solicitação HTTP para qualquer um dos sites na lista negra.
A principal desvantagem da DPI é a sobrecarga computacional. Como a carga 
útil do pacote em um quadro Ethernet pode ser mais de vinte vezes maior do que o ca-
beçalho, a DPI pode exigir vinte vezes mais processamento do que a simples inspeção 
do cabeçalho. Além disso, o payload do pacote não é dividido em campos fixos como o 
cabeçalho, o que significa que os mecanismos de DPI devem analisar dinamicamente os 
conteúdos durante uma inspeção. Assim:
Como examinam os dados úteis dos pacotes, que são muito maiores do que os 
seus cabeçalhos e não são organizados em campos fixos, mecanismos de DPI 
estão limitados a redes de baixa velocidade.
4 Softwares maliciosos.
Comer_29.indd 459Comer_29.indd 459 29/10/15 14:5229/10/15 14:52
460 Parte V Outros aspectos das redes de computadores
29.17 Redes privadas virtuais (VPNs)
Uma das tecnologias mais importantes e amplamente utilizadas em segurança usa crip-
tografia para fornecer acesso seguro à intranet da organização a partir de um local re-
moto, usando protocolos padrão sobre a Internet não segura. Conhecida como redes 
privadas virtuais (VPNs, Virtual Private Networks), a tecnologia foi originalmente 
concebida para proporcionar uma interligação de baixo custo entre os vários locais 
geográficos de uma organização. Para entender a motivação, considere as seguintes 
alternativas de interconexão:
 • Conexões em redes privadas. Uma organização aluga circuitos de dados para 
ligar os seus sites. Cada conexão interliga um roteador em um dos locais da organi-
zação com um roteador em outro local; dados passam diretamente de um roteador 
para o outro.
 • Conexões na Internet pública. Cada site contrata com um ISP local para o servi-
ço de Internet. Os dados enviados de um site corporativo para outro passam através 
da Internet.
A Figura 29.10 ilustra as duas possibilidades aplicadas a uma organização com 
três sites.
Site 1 Site 2
Site 3
R1 R2
R3
Site 1 Site 2
Site 3
R1 R2
R3
Internet
(b)(a)
circuitos alugados
acesso Internet
Figura 29.10 Sites ligados por (a) circuitos alugados e (b) Internet.
A principal vantagem do uso de circuitos privados para interligar os locais é que 
a rede resultante fornece mais garantias de que os dados permaneçam confidenciais5. 
As empresas de telefonia garantem que nenhuma outra organização tenha acesso a 
um circuito alugado, o que significaque nenhuma outra organização pode ler os da-
dos que passam de um site para outro. A principal vantagem do uso de conexões de 
Internet é o baixo custo – em vez de pagar por circuitos dedicados para conectar sites, 
a organização só precisa pagar pelo serviço de Internet em cada local. Infelizmente, a 
5 A rigor, o termo privado é um equívoco; no entanto, os profissionais de redes costumam usar a palavra pri-
vado com o sentido de confidencial.
Capítulo 29 Segurança em redes 461
Internet não pode garantir a confidencialidade. Como viaja da origem para o destino, 
um datagrama passa através de redes intermediárias que podem ser compartilhadas; 
como consequência, outras empresas poderão obter cópias do datagrama e examinar 
seu conteúdo.
Uma VPN combina o melhor de ambas as abordagens, usando a Internet para 
transferir dados entre os locais e tomando medidas adicionais para garantir que os dados 
não possam ser acessados por pessoas externas. Assim, em substituição a um circuito 
alugado caro, uma VPN usa criptografia – todos os pacotes enviados entre os sites de 
uma organização são criptografados antes de serem enviados.
Para tornar a VPN ainda mais protegida dos ataques, uma organização pode de-
dicar roteadores à função VPN e usar um firewall para proibir os roteadores VPN de 
aceitar quaisquer pacotes não autorizados. Por exemplo, suponha que cada um dos ro-
teadores na Figura 29.10 (b) são dedicados à função VPN (ou seja, suponha que o site 
tenha roteadores adicionais que lidam com o tráfego normal da Internet). Um firewall 
que protege o roteador VPN no Site 1 pode restringir todos os pacotes de entrada para 
ter um endereço IP de origem do roteador VPN no Site 2 ou o roteador VPN no Site 3. 
Da mesma forma, um firewall em cada um dos outros dois locais restringe os pacotes 
de entrada nesse site. As restrições ajudam a tornar o sistema resultante mais imune à 
falsificação de endereço e a ataques DoS.
29.18 O uso da tecnologia VPN para o teletrabalho
Embora originalmente concebida para interligar sites, a tecnologia VPN tornou-se extre-
mamente popular entre os funcionários que fazem teletrabalho (ou seja, que trabalham 
a partir de um local remoto). Há duas formas de VPN:
 • Dispositivo autônomo
 • Software de VPN
Dispositivo autônomo. A organização disponibiliza para o funcionário um dis-
positivo físico que às vezes é chamado de roteador VPN. O dispositivo se conecta à 
Internet e estabelece automaticamente uma comunicação segura para um servidor VPN 
no site da organização, fornecendo conexões de rede local para o usuário conectar com-
putadores e telefones IP. Logicamente, o dispositivo VPN estende a rede da organização 
para o site do usuário, permitindo que os computadores conectados ao dispositivo VPN 
operem como se estivessem conectados à rede corporativa. Assim, quando o computa-
dor do usuário inicializa e obtém um endereço IP, o endereço é emitido pelo servidor 
DHCP da organização. Da mesma forma, a tabela de encaminhamento no computador 
do usuário é configurada como se o computador estivesse localizado no site da organi-
zação – sempre que o computador envia um pacote, o dispositivo VPN criptografa-o 
e envia a versão criptografada através da Internet para a organização. Sempre que um 
pacote chega da organização, o dispositivo VPN descriptografa-o e transmite o resultado 
para o computador do usuário.
Software de VPN. Embora um dispositivo autônomo funcione bem para um fun-
cionário que trabalha em casa ou em um escritório remoto, adequado para funcionários 
que viajam. Para lidar com esses casos, uma organização usa um software de VPN que 
é executado no computador pessoal do usuário. Um usuário conecta-se à Internet e, em 
Comer_29.indd 461Comer_29.indd 461 29/10/15 14:5229/10/15 14:52
462 Parte V Outros aspectos das redes de computadores
seguida, inicia o aplicativo VPN. Quando inicializa, a aplicação VPN insere-se como 
intermediária na comunicação com a Internet; assim, o software VPN criptografa cada 
pacote de saída, envia o pacote criptografado para o servidor VPN corporativo e descrip-
tografa cada pacote de entrada.
29.19 Tunelamento versus criptografi a de pacotes
A discussão a respeito de VPNs levanta uma questão interessante: como os dados de-
vem ser criptografados para serem transmitidos através da Internet? Existem três opções 
principais:
 • Criptografia da carga útil (payload)
 • Tunelamento IP-em-IP
 • Tunelamento IP-em-TCP
Criptografia da carga útil (payload). Para manter o conteúdo de um datagrama 
confidencial, a criptografia de payload criptografa os dados úteis de um datagrama, 
mas deixa o cabeçalho intacto. Como os campos de cabeçalho não são criptografados, 
alguém que interceptar o pacote será capaz de aprender os endereços de origem e de 
destino utilizados, bem como os números de porta. Por exemplo, suponha que o diretor 
financeiro (CFO, Chief Financial Officer) está em um local e o presidente da empresa 
em outro. Suponha ainda que o CFO envia uma pequena mensagem de e-mail para o 
presidente sempre que o noticiário financeiro é bom, mas uma longa explicação sempre 
que as notícias financeiras não são boas. Uma pessoa de fora pode observar que, logo 
depois que flui uma mensagem curta entre dois computadores específicos, os preços das 
ações sobem.
Tunelamento IP-em-IP. Algumas VPNs usam a tecnologia de tunelamento IP-
-em-IP para criptografar o datagrama inteiro, incluindo o cabeçalho, quando ele passa 
através da Internet. O software VPN criptografa todo o datagrama, incluindo o cabeça-
lho, e coloca o resultado dentro de outro datagrama para a transmissão. Por exemplo, 
considere as conexões na Figura 29.10 (b). Suponha que o Computador X no Site 1 tenha 
enviado um datagrama para o Computador Y no Site 2. O datagrama é encaminhado 
pelo Site 1 para o roteador R1 (ou seja, o roteador que conecta o Site 1 com a Internet). 
A instalação da VPN em R1 criptografa o datagrama original e o encapsula em um novo 
datagrama para a transmissão ao roteador R2, que é o roteador do Site 2. Quando o 
datagrama encapsulado chega, o software VPN em R2 descriptografa o payload para 
extrair o datagrama original e encaminha-o para o Computador Y. A Figura 29.11 ilustra 
o encapsulamento.
Na Figura 29.11, (a) mostra o datagrama original, (b) mostra o resultado da en-
criptação e (c) mostra o datagrama que é transmitido de R1 a R2. Note que os endereços 
internos estão ocultos porque todos os datagramas que viajam através da Internet entre 
os Sites 1 e 2 possuem os roteadores R1 e R2 como endereços de origem e de destino.
Para resumir:
Quando uma VPN usa encapsulamento IP-em-IP, todos os campos do datagra-
ma original são criptografados, incluindo o cabeçalho original.
Capítulo 29 Segurança em redes 463
Origem=R1
Destino=R2
Datagrama criptografado encapsulado para transmissão
Versão criptografada do datagrama original
Origem=X
Destino=Y
Payload original (não criptografado)
encrypt
(a)
(b)
(c)
Figura 29.11 Ilustração de encapsulamento IP-em-IP usado com uma VPN.
Tunelamento IP-em-TCP. A terceira alternativa usada para manter dados confi-
denciais envolve a utilização de um túnel TCP, ou seja, duas partes estabelecem uma 
conexão TCP e depois usam-na para enviar datagramas criptografados. Quando um da-
tagrama deve ser enviado, todo ele é criptografado, um pequeno cabeçalho é adicionado 
para marcar o limite entre datagramas, e o resultado é enviado através da conexão TCP. 
Tipicamente, o cabeçalho consiste em um número inteiro de 2 bytes que especifica o 
comprimento do datagrama. Na outra extremidade da ligação TCP, o software VPN re-
ceptor lê o cabeçalho e, em seguida, lê o número especificado de bytes adicionais para 
obter o datagrama. Uma vez que todo o texto criptografado para um datagrama tenha sido 
recebido, o receptor o descriptografa, obtendo o datagrama original.
A principal vantagem do uso de IP-em-TCP em vez de IP-em-IP é a garantia de 
entrega: o TCP garante que todos os datagramas enviadosentre dois sites cheguem de 
forma confiável e em ordem. A principal desvantagem do uso de IP-em-TCP é o blo-
queio temporário no caso de perda de pacotes: como todos os datagramas devem ser 
entregues em ordem, se um segmento TCP é perdido ou atrasado, o TCP não pode entre-
gar dados de segmentos sucessivos, mesmo que eles tenham chegado corretamente. Se 
pensarmos que uma VPN é a transferência de uma fila de pacotes, toda a fila permanece 
bloqueada até que o primeiro datagrama tenha sido entregue.
Existe uma última questão relacionada ao tunelamento VPN: desempenho. Há três 
aspectos:
 • Latência
 • Taxa de transferência (throughput)
 • Sobrecarga (overhead) e fragmentação
Latência. Para entender a questão da latência, considere uma organização na Costa 
Oeste dos Estados Unidos e assuma que um funcionário viaja para a Costa Leste, a cerca de 
5 mil quilômetros de distância. Lembre-se de que o software de VPN transfere datagramas 
apenas até o roteador de entrada da organização – uma vez que atinge a organização, um 
datagrama deve ser roteado para o seu destino. Por exemplo, se o funcionário navega em 
uma página Web, cada requisição deve trafegar a partir da localização atual do funcionário 
até o servidor VPN da organização e, de lá para o servidor Web. A resposta deve trafegar de 
Comer_29.indd 463Comer_29.indd 463 29/10/15 14:5229/10/15 14:52
464 Parte V Outros aspectos das redes de computadores
volta para o servidor VPN da organização e, finalmente, para o empregado no local remoto. 
A latência necessária para acessar um recurso próximo ao funcionário é especialmente 
elevada, porque datagramas devem trafegar a partir do funcionário em toda a VPN até a 
organização na Costa Oeste e de volta para o recurso na Costa Leste. Como resultado, essas 
viagens de ida e volta exigem que um datagrama faça quatro travessias do continente.
Taxa de transferência (throughput). Outro problema com uma VPN convencio-
nal decorre do throughput disponível na Internet. Esse problema pode tornar-se mais 
relevante quando forem usados aplicativos projetados para uma LAN de alta velocidade. 
Em algumas organizações, por exemplo, as páginas da Web que os funcionários usam 
para o trabalho interno da empresa contêm muitos gráficos. A LAN no ambiente local 
proporciona uma taxa de transferência suficiente para fazer o download rápido das pági-
nas Web entretanto, para um usuário remoto conectado via VPN, a baixa taxa de transfe-
rência pode tornar frustrante a espera por uma página Web.
Sobrecarga (overhead) e fragmentação. Um terceiro aspecto do desempenho 
surge porque o encapsulamento adiciona sobrecarga no datagrama. Para entender o 
problema, suponha que um site utiliza Ethernet e que o aplicativo criou um datagrama 
de 1.500 bytes (ou seja, o datagrama é tão grande quanto o MTU da rede). Quando 
um roteador VPN encapsula o datagrama criptografado em outro datagrama IP, pelo 
menos 20 bytes são adicionados no cabeçalho, o que faz com que o datagrama resul-
tante exceda o MTU da rede e com que seja gerada fragmentação antes da transmissão. 
Como ambos os fragmentos devem chegar antes do datagrama pode ser descriptogra-
fado, a probabilidade de perda ou atraso é maior.
29.20 Tecnologias de segurança
Várias tecnologias de segurança foram criadas para serem usadas na Internet. Os desta-
ques incluem:
 • PGP (Pretty Good Privacy). Um sistema de criptografia que os aplicativos po-
dem usar para criptografar dados antes da transmissão. O PGP foi desenvolvido no 
MIT e é especialmente popular entre os cientistas da computação.
 • SSH (Secure Shell). Um protocolo de camada de aplicação para o login remo-
to que garante a confidencialidade, criptografando os dados antes da transmissão 
através da Internet.
 • SSL (Secure Socket Layer). Uma tecnologia originalmente concebida pela Nets-
cape Communications que usa criptografia para fornecer autenticação e confiden-
cialidade. O software SSL fica entre a aplicação e a API de sockets e criptografa os 
dados antes de transmiti-los através da Internet. O SSL é usado em uma conexão 
Web para permitir que os usuários realizem transações financeiras com segurança 
(por exemplo, enviem um número de cartão de crédito para um servidor Web).
 • TLS (Transport Layer Security). Projetado pelo IETF no final dos anos 1990 
como um sucessor para o SSL, o TLS baseia-se na versão 3 do SSL. Tanto o SSL 
como o TLS estão disponíveis para uso com HTTPS.
 • HTTPS (HTTP Security). Não é efetivamente uma tecnologia distinta, pois com-
bina HTTP com SSL ou TLS e um mecanismo de certificação para fornecer aos 
usuários comunicação autenticada e confidencial através da Web. A HTTPS utiliza 
a porta TCP 443 em vez da porta 80.
Capítulo 29 Segurança em redes 465
 • IPsec (IP security). É o padrão de segurança usado com datagramas IP. Ele uti-
liza técnicas de criptografia e permite ao remetente utilizar autenticação (ou seja, 
validar o remetente e o destinatário do datagrama) ou confidencialidade (ou seja, 
criptografar o payload do datagrama).
 • RADIUS (Remote Authentication Dial-In User Service). Um protocolo usado 
para fornecer autenticação centralizada, autorização e prestação de contas (ac-
counting). O RADIUS é popular entre os ISPs, que têm usuários de conexão disca-
da, e os sistemas de VPN, que fornecem acesso a usuários remotos.
 • WEP e WPA (Wired Equivalent Privacy e Wi-Fi Protected Access). O WEP foi 
originalmente parte do padrão de rede local sem fio Wi-Fi6 e foi usado para manter 
as transmissões confidenciais. Pesquisadores da U.C. Berkeley encontraram vários 
pontos fracos no padrão WEP, fazendo com que o WPA (mais tarde WPA2) fosse 
desenvolvido em substituição a ele.
29.21 Resumo
As redes de computadores e a Internet podem ser utilizadas para atividades criminosas; 
as maiores ameaças incluem phishing, falsificação, golpes, negação de serviço, perda 
de controle e perda de dados. As técnicas utilizadas em ataques incluem: escutas telefô-
nicas, repetição, buffer overflow, spoofing de endereço e nome, DoS com pacotes, SYN 
flood, quebra de senha, port scanning e interceptação de pacotes.
Cada organização precisa definir uma política de segurança que especifica as-
pectos como a integridade dos dados (proteção contra alterações), a disponibilidade de 
dados (proteção contra a interrupção do serviço), a confidencialidade de dados e a pri-
vacidade (proteção contra intromissão). Além disso, a organização deve considerar a 
prestação de contas (ou seja, como manter relatórios para auditoria) e a autorização (ou 
seja, como a responsabilidade pela informação é transmitida de uma pessoa para outra).
Um conjunto de tecnologias foi criado para fornecer diversos aspectos da seguran-
ça. O conjunto inclui: criptografia, hashing, assinaturas e certificados digitais, firewalls, 
sistemas de detecção de intrusão, inspeção detalhada de pacotes, verificação de con-
teúdo e redes privadas virtuais. A criptografia é uma das tecnologias mais fundamentais 
entre as utilizadas nos mecanismos de segurança.
A criptografia de chave privada usa uma única chave para cifrar e decifrar men-
sagens; o remetente e o destinatário devem manter a chave em segredo. Sistemas de 
criptografia de chave pública usam um par de chaves; uma chave é mantida em segredo e 
outra (a chave pública) é amplamente anunciada. As assinaturas digitais são obtidas pela 
utilização de criptografia para autenticar as mensagens. Uma autoridade de chaves pode 
emitir certificados para validar as chaves públicas.
Um firewall protege um site contra ataques limitando os pacotes que podem en-
trar ou sair. Para configurar um firewall, um gerente elabora um conjunto de regras que 
identificam os pacotes por meio de uma associação de valores específicos nos campos 
do cabeçalho. Sistemas de detecção de intrusão mantêm informações de estado e podem 
identificar ataques como inundação de SYNs.
6 O WEP aplica-se a uma variedade de protocolos IEEE 802.11.
Comer_29.indd 465Comer_29.indd 465 29/10/1514:5229/10/15 14:52
466 Parte V Outros aspectos das redes de computadores
Redes privadas virtuais (VPNs) fornecem os benefícios de confidencialidade e 
também de baixo custo. A tecnologia VPN permite que um funcionário efetue teletra-
balho, ou seja, trabalhe remotamente. Para manter as informações confidenciais, um 
remetente pode criptografar somente a carga útil do pacote (payload), usar tunelamento 
IP-em-IP, ou usar tunelamento IP-em-TCP. O tunelamento tem a vantagem de criptogra-
far os cabeçalhos dos pacotes, bem como a carga útil deles. Alguns aplicativos não fun-
cionam bem por meio de VPN, porque ela gera mais atraso, menor throughput e maior 
sobrecarga do que uma conexão direta.
Existem muitas tecnologias de segurança, como: PGP, SSH, SSL, TLS, HTTPS, 
IPsec, RADIUS e WPA.
Exercícios
 29.1 Liste os principais problemas de segurança na Internet e faça uma breve descrição de cada 
um.
 29.2 Cite uma técnica utilizada em ataques de segurança.
 29.3 Suponha que um atacante encontre uma maneira de armazenar uma associação falsa no seu 
servidor DNS local. Como ele pode usar essa fraqueza para obter informações de sua conta 
bancária?
 29.4 Ataques DoS costumam enviar segmentos TCP SYN. Um atacante poderia criar também 
um ataque de negação de serviço por meio do envio de segmentos de dados TCP? Explique.
 29.5 Se uma senha contém oito letras maiúsculas e minúsculas, quantas senhas um invasor pre-
cisaria tentar para obter acesso?
 29.6 Por que é difícil obter uma política de segurança de redes?
 29.7 Suponha que uma empresa crie uma política de segurança especificando que somente o 
pessoal do RH está autorizado a ver os arquivos da folha de pagamento. Que tipo de meca-
nismo é necessário para implementar essa política? Explique.
 29.8 Liste e descreva as oito técnicas básicas de segurança.
 29.9 O que é uma lista de controle de acesso (ACL) e como é usada?
 29.10 O termo criptografia se refere a quê?
 29.11 Leia sobre o padrão de criptografia DES (Data Encryption Standard). Que tamanho de 
chave deve ser usado para dados extremamente importantes?
 29.12 Suponha que seu amigo tenha uma chave pública e privada para uso com criptografia de 
chave pública. Ele poderia lhe enviar uma mensagem confidencial (ou seja, uma mensagem 
que só você pode ler)? Por quê?
 29.13 Se você e seu amigo possuem um par de chaves públicas e privadas para um sistema de 
criptografia de chave pública, como é possível efetuar uma comunicação diária sem serem 
enganados por um ataque de repetição?
 29.14 Como duas entidades podem usar a criptografia de chave pública para assinar um contrato 
que é então enviado para um terceiro?
 29.15 O que é um certificado digital?
 29.16 O que é um firewall e onde é instalado?
 29.17 Muitos produtos de firewall comerciais permitem a um gerente especificar pacotes para 
negar e pacotes para aceitar. Qual é a desvantagem de uma configuração que só permite a 
negação?
Capítulo 29 Segurança em redes 467
 29.18 Reescreva a configuração de firewall da Figura 29.9 para permitir a alguém externo efetuar 
ping em cada um dos três servidores.
 29.19 Reescreva a configuração de firewall na Figura 29.9 para mover o servidor de e-mail para 
o computador que executa o servidor Web.
 29.20 Leia sobre sistemas IDS comerciais e faça uma lista de ataques que tais sistemas podem 
detectar.
 29.21 Considere um sistema de DPI que procura por uma sequência de K bytes em cada pacote. 
Se um pacote contém 1.486 bytes de carga útil, no pior caso, quantas comparações devem 
ser feitas para examinar o pacote, assumindo um algoritmo de comparação simples?
 29.22 Por que a inspeção detalhada de pacotes não é utilizada em redes de maior velocidade?
 29.23 Quais são os dois objetivos de um sistema VPN?
 29.24 Quais são as três maneiras de uma VPN transferir dados através da Internet?
 29.25 Quando uma VPN usa o tunelamento IP-em-IP, o que impede que um invasor leia o cabe-
çalho do datagrama original?
 29.26 Em alguns sistemas de VPN, um remetente acrescenta um número aleatório de bits zero no 
datagrama antes de criptografar, e o receptor utiliza o campo de comprimento do datagra-
ma para descartar os bits extras após o datagrama ter sido descriptografado. Assim, o único 
efeito do enchimento é tornar o comprimento do datagrama criptografado independente do 
comprimento da versão não criptografada. Por que o comprimento é importante?
 29.27 Liste oito tecnologias de segurança utilizadas na Internet e descreva a finalidade de cada 
uma.
 29.28 Leia sobre as vulnerabilidades do protocolo WEP. Como o protocolo WPA evita os problemas?
Comer_29.indd 467Comer_29.indd 467 29/10/15 14:5229/10/15 14:52
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra. 
R
ed
es d
e
C
o
m
p
u
tad
o
res
e In
tern
et
D
o
u
g
las E
. C
o
m
er
6
ª E
D
IÇ
Ã
O
www.grupoa.com.br
0800 703 3444
A Bookman Editora é um dos selos 
editoriais do Grupo A Educação, 
empresa que oferece soluções em 
conteúdo, tecnologia e serviços 
para a educação acadêmica e 
profissional.
COMPUTAÇÃO E TI
www.grupoa.com.br
Dica do Professor
Dentro de uma rede, existem diversos mecanismos que podem auxiliar no controle e no 
monitoramento de tudo o que acontece. Profissionais de segurança de redes precisam entender as 
necessidades de sua infraestrutura e todos os acessos permitidos para garantir um ambiente seguro 
e manter a integridade dos dados das organizações.
Na Dica do Professor, você entenderá a diferença entre sistemas que apenas detectam intrusões e 
sistemas que previnem essas intrusões.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/d0b1d716b8c551c38c15ec11dcaeb036
Exercícios
1) Sabe-se que redes virtuais privadas oferecem mais segurança no tráfego de dados, uma vez 
que criptografam as informações da origem até o destino. Pensando nisso, avalie as 
situações a seguir e aponte aquela em que é mais relevante a implementação de uma VPN.
A) Entre um notebook e uma impressora.
B) Entre terminais bancários. 
C) Entre computadores de uma lan house.
D) Entre teclado e computador. 
E) Entre um monitor e um computador. 
2) VPNs são redes virtuais privadas que garantem a integridade e o sigilo dos dados 
transmitidos mediante técnicas de criptografia. É possível implementar uma VPN de três 
formas. Marque a alternativa que indica corretamente quais são essas formas.
A) Tunelamento, autenticação de extremidades e transporte subjacente. 
B) Tunelamento, autenticação de extremidades e criptografia. 
C) Autenticação de extremidades, transporte subjacente e latência. 
D) Autenticação de extremidades, transporte e latência.
E) Empacotamento de datagramas, transporte subjacente e latência.
3) Na implementação de uma VPN, os datagramas são encapsulados em pacotes seguros para 
serem desencriptados no destino. Isso faz com que ocorra demora no tráfego dos pacotes de 
modo geral. Como é conhecido esse tempo em que o datagrama está trafegando pelo 
caminho configurado pela VPN?
A) Sobrecarga.
B) Throughput.
C) Fragmentação.
D) Latência.
E) Transporte.
4) Atualmente, existem diversas tecnologias de firewall, cada uma com diferentes 
funcionalidades que garantem a proteção de uma rede. Como é chamada a tecnologia que 
analisa o tráfego por meio do monitoramento dos cabeçalhos dos pacotes? Marque a 
alternativa correta.
A) Proxy.
B) Filtro de pacotes.
C) Tunelamento.
D) Software de VPN.
E) IDS (Intrusion Detection System).
5) Os sequestros de informações representam grande parcela dos crimes virtuais registrados 
em todo o mundo. Eles ocorrem por diversos motivos, que vão desde o acesso a sites 
duvidosos até um navegador desatualizado. Nesse sentido, cada vez mais se investe em 
segurança da informação, sendo implementados sistemase metodologias para evitar o 
roubo de dados virtuais. A partir disso, indique a alternativa que define de que forma os 
sistemas de detecção de intrusão agem em uma rede.
A) Monitoram o tráfego dos dados e alertam outros dispositivos e ferramentas sobre ameaças 
potencialmente perigosas. 
B) Filtram os pacotes da rede. 
C) Monitoram o tráfego dos dados e, ao identificarem ameaças, encapsulam os pacotes para 
protegê-los até chegarem a seu destino.
D) Monitoram o tráfego dos dados e bloqueiam ameaças potencialmente perigosas.
E) Monitoram o tráfego da rede, entretanto não alertam outras aplicações sobre possíveis 
ameaças identificadas na rede.
Na prática
As redes de computadores estão constantemente sujeitas a ataques, como falsificações, golpes e 
outras manobras, que colocam em risco tanto redes domésticas como redes organizacionais. Desse 
modo, é importante que o profissional da área conheça tecnologias e ferramentas capazes de 
prever ataques a arquiteturas de redes.
A seguir, você verá um estudo de caso sobre como garantir a segurança de uma rede corporativa.
Conteúdo interativo disponível na plataforma de ensino!
Saiba mais
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:
Implementação de segurança em redes Wi-Fi com a utilização 
de VPN
Neste estudo de caso, os autores analisam quais são os diversos métodos de criptografia existentes 
para redes Wi-Fi e as suas vulnerabilidades.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
Interconexão segura de dispositivos IoT à nuvem através de 
redes virtuais privadas (VPNs)
Este estudo trata da implementação de redes seguras de dispositivos Internet of things (IoT) 
utilizando VPN por meio do protocolo IPsec. O objetivo principal é desenvolver um novo GE 
(generic enabler) para a plataforma aberta Fiware, idealizada e fomentada pela União Europeia.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
Avaliando o desempenho dos sistemas de detecção de intrusão 
Snort e Suricata em ataques de negação de serviço 
Utilizando um cenário experimental e coletas de tráfego em uma Instituição de Ensino Superior no 
Brasil, este estudo descobriu que o Suricata não gera um número adequado de alertas para chamar 
a atenção do gerente de rede sobre o ataque Slowloris, enquanto Snort o faz. Já para os ataques 
LOIC-UDP e LOIC-HTTP, os referidos sistemas efetuam a detecção dos ataques de forma eficiente. 
Leia o artigo para saber mais sobre o tema.
http://revista.srvroot.com/linkscienceplace/index.php/linkscienceplace/article/view/72
http://www.fatecsaocaetano.edu.br/fascitech/index.php/fascitech/article/view/107
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
https://repositorio.ufpb.br/jspui/handle/123456789/12933