UNIVERSIDADE FEDERAL DE SANTA CATARINA

PROGRAMA DE PS-GRADUAO EM CINCIA DA

COMPUTAO

Oswaldo Jos Rodi Passerino

Esquemas de Segurana para Sistemas de Informao

Baseados em Intranets

Orientador

Professor Vitrio Bruno Mazzola, Dr.

Florianpolis, Junho de 2002.

ii

UNIVERSIDADE FEDERAL DE SANTA CATARINA

PROGRAMA DE PS-GRADUAO EM CINCIA DA
COMPUTAO

Oswaldo Jos Rodi Passerino

Esquemas de Segurana para Sistemas de Informao

Baseados em Intranets

Dissertao submetida Universidade Federal de Santa Catarina como parte dos

requisitos para a obteno do grau de Mestre em Cincia da Computao

Orientador

Professor Vitrio Bruno Mazzola, Dr.

Florianpolis, Junho de 2002.

iii

Esquemas de Segurana para Sistemas de Informao

Baseados em Intranets

Oswaldo Jos Rodi Passerino

Esta Dissertao foi julgada adequada para a obteno do ttulo de Mestre em

Cincia da Computao rea de Concentrao Sistema de Computao e aprovada em
sua forma final pelo Programa de Ps-Graduao em Cincia da Computao.

________________________________________
Prof. Dr. Fernando A. Ostuni Gauthier (Coordenador)

Banca Examinadora

_____________________________________
Prof. Dr. Vitrio Bruno Mazzola (Orientador)

____________________________________
Prof. Dra. Anita Maria da Rocha Fernandes

____________________________________
Prof. Dr. Joo Bosco da Mota Alves

iv
AGRADECIMENTOS

Ao Professor e Orientador Vitrio Bruno Mazzola, pela pacincia, incentivo e

dedicao durante a realizao deste Mestrado.
Agradeo em especial a minha famlia, minha me Marlene pelo apoio e incentivo nas
horas difceis..., e pelo simples fato de ser minha me o qual tenho muito orgulho sem
fim... ...Por meu pai Alpho que me incentivou e aconselhou sempre que necessrio...
Minhas irms Maria Jos e Juliana que sempre estavam dispostas a me motivar e ajudar
a me concentrar... e muito especialmente a minha Esposa Lucinia Claudia pelo
conforto, incentivo e apoio dados em todo o percurso desse meu caminho, em especial
nos momentos em que pensava em desistir.
Aos amigos e colegas de servio que estavam sempre dispostos a ajudar e participar
com sugestes, conselhos e crticas.
A Universidade do Vale do Itaja, Centro de Cincias Tecnolgicas da Terra e do Mar,
em particular, ao Curso de Cincia da Computao, pelo apoio e pacincia expressados
neste perodo.

v
SUMRIO

LISTA DE FIGURAS.................................................................................................... ix
LISTA DE TABELAS .................................................................................................... x
LISTA DE ABREVIATURAS...................................................................................... xi
RESUMO...................................................................................................................... xiv
ABSTRACT .................................................................................................................. xv
CAPTULO I - INTRODUO ................................................................................... 1
1. Introduo ................................................................................................................... 1
2. Objetivos...................................................................................................................... 2
2.1 Objetivo Geral .......................................................................................................... 2
2.2 Objetivos Especficos................................................................................................ 2
3. Organizao do Trabalho .......................................................................................... 3
CAPTULO II - INTERNET......................................................................................... 4
1. Histrico ...................................................................................................................... 4
1.1 ARPANET (Advanced Research Projects Agency Network)............................... 6
1.2 NSFNET (National Science Foundation Network)................................................ 6
1.3 Surgimento da INTERNET ..................................................................................... 8
1.4 A INTERNET no Brasil ........................................................................................... 9
2. Servios Disponibilizados na Internet .................................................................... 10
2.1 Acesso a Internet..................................................................................................... 10
2.2 Servio de Correio eletrnico ................................................................................ 11
2.2.1 Arquitetura e Servios......................................................................................... 12
2.2.2 Protocolos de Servios ......................................................................................... 15
2.2.2.1 Protocolo de Transferncia de Mensagens..................................................... 16
2.2.2.2 Protocolos de Recebimento de Mensagens ..................................................... 17

vi
2.3 Network News ......................................................................................................... 18
2.4 Telnet ....................................................................................................................... 20
2.5 FTP........................................................................................................................... 21
2.6 Gopher ..................................................................................................................... 22
2.7 World Wide Web ...................................................................................................... 24
2.7.1 A Servio do Lado do Servidor .......................................................................... 25
2.7.2 O Servio do Lado do Cliente............................................................................. 27
CAPTULO III - INTRANET ..................................................................................... 28
1. Conceituando uma Intranet..................................................................................... 28
1.1 A World Wide Web e as Webs Internas............................................................... 28
2. Intranets x Correio Eletrnico ................................................................................ 29
3. As Intranets e o Groupware .................................................................................... 30
4. Gerenciamento de Documentos em uma Intranet ................................................. 31
5. O Funcionamento de uma Web Interna ................................................................. 32
5.1 TCP/IP: Uma Base de Rede de Baixo Custo ........................................................ 32
5.1.1 TCP/IP e o IETF .................................................................................................. 33
5.2 Endereamento de Todos os Computadores ........................................................ 33
6. HTTP: Cliente/Servidor para o Restante do Pessoal ............................................ 35
7. Motivos para se ter uma Intranet ........................................................................... 37
CAPTULO IV SEGURANA NA INTERNET.................................................... 41
1. Introduo ................................................................................................................. 41
2. Ameaas..................................................................................................................... 42
3. Tipos de Ataques....................................................................................................... 45
3.1 Ataques tcnicos...................................................................................................... 46
3.1.1 Ataques de Negao de Servio .......................................................................... 46
3.1.2 Ataques Furtivos.................................................................................................. 47

vii
3.2 Ataques no Tcnicos ............................................................................................. 49
4. Polticas de Segurana.............................................................................................. 50
5. Segurana do Correio Eletrnico............................................................................ 51
5.1 Ameaas a Mensagens em Trnsito ...................................................................... 51
5.2 Ameaas aos agentes de entrega de mensagens em sistemas finais.................... 52
6. Segurana dos Servidores de News ......................................................................... 52
7. Segurana dos Servidores de Terminal .................................................................. 53
8. Protocolos de Segurana .......................................................................................... 54
8.1 IPSEC (IP Security) ................................................................................................ 54
8.2 SSL (Secure Sockes Layer) .................................................................................... 56
8.3 PGP (Pretty Good Privacy) ................................................................................... 56
8.4 PEM (Privacy Enhanced Mail) ............................................................................. 57
8.5 SSH (Secure Shell) .................................................................................................. 58
8.6 HTTP Seguro .......................................................................................................... 59
9. Criptografia............................................................................................................... 59
9.1 Criptografia com Chave Secreta ........................................................................... 60
9.1.1 DES (Data Encryption Standard) ...................................................................... 60
9.2 Criptografia com Chave Pblica........................................................................... 63
9.2.1 RSA (Rivest, Shamir e Adleman)....................................................................... 63
10. Firewalls .................................................................................................................. 65
10.1 Tcnicas de Firewall ............................................................................................. 66
10.1.1 Filtros de Pacotes ............................................................................................... 67
10.1.2 Filtros Inteligentes ......................................................................................... 69
11. PROXY .................................................................................................................... 70
11.1 Servidor Proxy de Aplicao................................................................................ 70
CAPTULO V MODELO DE SEGURANA ........................................................ 72

viii
1. Introduo ................................................................................................................. 72
2. Servios a Disponibilizar.......................................................................................... 73
2.1 Servio de Autenticao ......................................................................................... 73
2.1.1 A Escolha de uma Senha ..................................................................................... 73
2.1.2 Mudana de Senha .............................................................................................. 74
2.2 Servio Web ............................................................................................................ 74
2.3 Servio de DNS ....................................................................................................... 75
2.4 Servio de FTP ........................................................................................................ 76
2.5 Servio de Telnet..................................................................................................... 76
2.6 Servio de Correio Eletrnico ............................................................................... 76
2.6.1 Correio Eletrnico: O Alvo................................................................................. 77
2.7 Servio de Banco de Dados .................................................................................... 78
3. Tipos de Intranet ...................................................................................................... 78
3.1 Intranet Pura .......................................................................................................... 79
3.2 Intranet Intermediria ........................................................................................... 79
3.3 Intranet E-Commerce ............................................................................................ 80
4. Nveis de Segurana.................................................................................................. 81
5. Como Proteger os Servios? .................................................................................... 82
5.1 Servio de Autenticao e Web ............................................................................. 82
5.2 Servio de DNS ....................................................................................................... 83
5.4 Servio de Correio Eletrnico ............................................................................... 83
5.5 Servio de FTP ........................................................................................................ 85
5.6 Servio de Banco de Dados .................................................................................... 86
6. Esquemas de Segurana........................................................................................... 87
CAPTULO VI CONCLUSES E RECOMENDAES.................................... 91
BIBLIOGRAFIA .......................................................................................................... 93

ix
LISTA DE FIGURAS
Figura 1(a) Correio Postal. (b)Correio Eletrnico. (TANNENBAUM, 1997 p738)... 15
Figura 2 Mtodo de Criptografia DES ( SOARES, 1995) ............................................. 62
Figura 3 Intranet Pura ..................................................................................................... 79
Figura 4 Internet Intermediria....................................................................................... 80
Figura 5 Intranet E-Commerce ....................................................................................... 81
Figura 6 Esquema de Segurana de Intranet Pura .......................................................... 87
Figura 7 Esquema de Segurana Intranet Intermediria................................................. 89
Figura 8 Esquema de Segurana Intranet E-Commerce................................................. 90

x
LISTA DE TABELAS
Tabela 1 - Alguns URLs comuns .................................................................................. 26
Tabela 2 - Classes de Ameaas (BERNSTEIN,1997 p. 29-30) ..................................... 44
Tabela 3 - Algoritmos de Criptografia Simtricos (MAIA,2001) .................................. 63
Tabela 4 - Algoritmos de Criptografia Assimtrica (MAIA,2001) ................................ 65

xi
LISTA DE ABREVIATURAS
AH

API
ARPA

Header de Autenticao
Aplication Program Interface
Advanced Research Projects Agency

ARPANET

Advanced Research Projects Agency Network

ASCII

American Standard Code for Information Interchange

CA

Certification Authorities

CCITT

Comite Consultatif Internationale de Telegraphie et

Telephonie

CGI

Common Gateway Interface

CSNET

The Computer Science Network

DES

Data Encryption Standard

DHCP

Domain Host Configuration Protocol

DMSP

Distributed Mail System Protocol

DNS

Domain Name System

DoD

Department of Defense

ESP

Dados de Segurana encapsulado

FAPESP

Fundao de Amparo a Pesquisa do Estado de So Paulo

FTP

File Transfer Protocol

HTML

Hiper Text Transfer Protocol

HTTP

Hyper Text Transfer Protocol

IAB

Internet Activities Board

xii
ICMP

Internet Control Message Protocol

IDEA

International Data Encryption Algorithm

IETF

Internet Engineering Task Force

IMAP

Interactive Mail Access Protocol

IMP

Interface Message Processors

IP

Internet Protocol

IPCA

Internet Policy Certification Authorities

IPSEC

IP Security

IPX

Internetwork Packet eXchange

LNCC

Laboratrio Nacional de Computao Cientfica

MIT

Massachussets Institute of Technology

MOSS

Mime Object Security Services

MOTIS

Messagerie Oriented Text Interchange

MTA

Mail Transport Agent

NNTP

Network News Transfer Protocol

NPL

Nuclear Physics Laboratory

NSF

National Science Foundation

NSFNET

National Science Foundation Network

OSI

Open Systems Interconnect.

PCA

Policy Certification Authorities

PEM

Privacy Enhanced Mail

PGP

Pretty Good Privacy

POP

Post Office Protocol

RENPAC

Rede Nacional de Comutao por Pacotes

RNP

Rede Nacional de Pesquisa

xiii
RSA

Rivest, Shamir and Adleman

SHA

Secure Hash

SMTP

Simple Mail Transfer Protocol

SRI

Stanford Research Institute

SSH

Secure Shell

SSL

Secure Sockes Layer

TCP

Transmission Control Protocol

UA

User Agent

UCLA

University of California at Los Angeles

UCSB

University of California at Santa Barbara

UFRJ

Universidade Federal do Rio de Janeiro

URL

Universal Rersource Location

USENET

Users' Network

UUCP

UNIX to UNIX Copy Program

WWW

World Wide Web

xiv
RESUMO

Este trabalho foi desenvolvido visando um estudo das tecnologias de Internet e

Intranet enfocando a vulnerabilidade de segurana existente. Aps os estudos
desenvolvidos, partiu-se para a definio dos perfis de intranet e os servios a serem
disponibilizados. Com o levantamento destes servios verificou-se quais so suas
vulnerabilidades e maneira de proteg-los. Aps estes estudos elaborou-se o esquema de
segurana para os diferentes perfis de Intranet.

xv
ABSTRACT

This work was developed focus on a study of Internet and Intranet technologies
about the security vulnerability. After the studies developed, the Intranet profiles
definition and the services available started. With the survey of these services, was
verified what are the vulnerability and the way to protect then. After the studies it was
done the schema of security was done to different Intranet profiles.

CAPTULO I - INTRODUO

1. Introduo

Com a importao da tecnologia da Internet para o ambiente corporativo houve

uma grande revoluo dos negcios, de tal forma que a globalizao est obrigando que
as empresas procurem novos mtodos para aumentarem sua eficincia e agilidade nos
negcios. Isto trouxe a descoberta de que a rede privada de TCP/IP tida como uma
poderosa ferramenta de gesto administrativa e de disseminao de uma poltica cultural
dentro da organizao.

A informao tornou-se um elemento de fundamental importncia e extremamente

valiosa para os negcios de hoje. Devido a isto as empresas e instituies na maioria das
vezes vm cada vez mais utilizando recursos computacionais para armazenar, produzir e
distribuir informaes. Com isto da mesma maneira que vem aumentando a confiana
das organizaes em informaes providas por sistemas computacionais, tambm vem
ocorrendo um aumento quase que dirio no surgimento de vulnerabilidades nos diversos
sistemas disponveis no mercado.

Uma Intranet quando no possui os controles de acesso apropriados, um convite

rasura e adulterao de documentos, de forma que a segurana de uma rede
considerada ao mesmo tempo, tanto uma questo tecnolgica quanto poltica.

Como uma Intranet tem por finalidade a possibilidade de acesso imediato a

informaes corporativas, no quer dizer que qualquer pessoa possa acessar qualquer
informao a qualquer momento. Para tal, os servidores Web das empresas no podem
ser considerados simples ponto de acesso, como qualquer outro computador da empresa,
pois assim trazem o aumento do risco para os dados.

2
J que extremamente insensato entrar na era da Intranet sem conhecimento
tecnolgico para entender os riscos e desprovido de regulamentao adequada para se
formular uma poltica de segurana ideal com o intuito de definir procedimentos para
proteger informaes importantes da organizao. Tornando assim a implantao de
segurana em uma Intranet um processo difcil.

Para a implantao de segurana deve-se entender quais so as ameaas existentes

e como reduzir a sua vulnerabilidade. Deve-se tambm ter conscincia de quais so os
recursos que desejam ser protegidos, que nvel de segurana mais adequado, dada
cultura e a filosofia da organizao.

Para isto, proposto o desenvolvimento de um esquema bsico e de fcil

entendimento para implantao da segurana em uma Intranet, de acordo com o seu tipo
e abrangncia, j que quando se fecha uma porta de acesso, os invasores acabam
encontrando uma outra maneira, o que se torna impossvel um sistema cem por cento
intransponvel.

2. Objetivos

2.1 Objetivo Geral

Este projeto tem por objetivo propor um esquema de segurana para Intranets nos
seus diferentes tipos de perfis.

2.2 Objetivos Especficos

Identificao de perfis de Intranets.

Especificao dos servios a disponibilizar (Banco de Dados, Servidor de

Nomes, NAT, Comrcio Eletrnico, etc. ...).

Definio de nveis de segurana.

Proposta de um esquema de segurana.

Definio das funes de segurana no esquema.

3. Organizao do Trabalho

O primeiro captulo este que est sendo apresentado.

O segundo captulo traz uma apresentao sobre Internet, com suas principais
caractersticas e funcionamento.

O terceiro captulo trata das tecnologias da Intranet, sua utilizao e motivos para
seu uso.

O quarto captulo trata da segurana na Internet, trazendo os tipos de problema,

ataques e ameaas, apresentando tambm algumas solues existentes.

O quinto captulo trata dos mtodos a serem utilizados de acordo com os nveis de
segurana e o tipo da intranet, conforme as especificaes deste mesmo captulo.

O sexto captulo traz as concluses e consideraes finais.

CAPTULO II - INTERNET

1. Histrico

No inicio da dcada de 1960, quando ocorria o auge da guerra fria, o DoD

concebeu uma rede de controle que fosse capaz de sobreviver a uma guerra nuclear.
Contudo as redes de telefonia e comutao de circuitos existentes eram tidas como
muito vulnerveis, j que com a perda de uma linha ou comutao existiria o
particionamento da comunicao, com isto a perda de comunicao entre as bases. Para
que isto fosse resolvido o Pentgono convocou sua diviso cientfica, a ARPA Advanced Research Projects Agency, para que esta resolvesse o problema
(TANENBAUM, 1997).
Com um pequeno escritrio e um oramento reduzido para o padro do
Pentgono, a ARPA era responsvel pela promoo de projetos de pesquisa de empresas
e universidades que trabalhassem em prol das necessidades do Pentgono.

Os primeiros registros de que interaes sociais poderiam vir a ser realizadas

atravs das redes, datam de agosto de 1962. Este registros foram inmeros memorandos
escritos por J.C.R. Licklider, do MIT - Massachussets Institute of Technology, nos quais
ele discutia o conceito de Rede Galxica. Nestes memorandos era previsto que vrios
computadores seriam interconectados globalmente, atravs desta interconexes todos
poderiam acessar dados e programas de qualquer local rapidamente. Este conceito em
sua essncia tornou-se parecido com a Internet de hoje. Por Licklider ter sido o primeiro
gerente do programa de pesquisa de computador do DARPA, ao iniciar seus servios
em outubro de 1962, consegui convencer seus sucessores Ivan Sutherland, Bob Taylor e
Lawrence G. Roberts da importncia do conceito de redes computadorizada.

O primeiro trabalho a ser publicado sobre a teoria de trocas de pacotes foi em

julho de 1961, por Leonard Kleinrock do MIT. O primeiro livro que falava sobre o

5
assunto foi publicado em 1964. PEREIRA(2001) disse que quando Kleinrock conseguiu
convencer Roberts da possibilidade terica das comunicaes usando pacotes ao invs
de circuitos, deu um grande passo para tornar possveis as redes de computadores. Outro
fator que impulsionou foi o fato de conseguirem fazer os computadores conversarem
entre si.

Roberts e Thomas Merrill conseguiram conectar um computador TX-2 em

Massachussets com um Q-32 na Califrnia, no ano de 1965, por meio de uma linha
discada de baixa velocidade, criando assim o primeiro computador em rede do mundo.
Esta experincia foi bem sucedida no que diz respeito a capacidade dos computadores
em trabalharem juntos, rodar programas e recuperar dados, contudo mostrou que o
circuito

do

sistema

telefnico

era

totalmente

inadequado

para

intento.

PEREIRA(2001) disse que com isto confirmou-se assim a convico de Kleinrock sobre
a necessidade de trocas de pacotes.

Quando Roberts comeou a trabalhar no DARPA, no final de 1966, no

desenvolvimento do conceito das redes computadorizadas e elaborar o plano para a
ARPANET, que foi publicado em 1967. Na mesma conferncia onde ele apresentou
este trabalho, tambm teve uma apresentao sobre o conceito de redes de pacotes
desenvolvida pelos ingleses Donald Davies e Roger Scantlebury, da NPL-Nuclear
Physics Laboratory.(Ibidem)

Em agosto de 1968, aps Roberts e o grupo do DARPA refinaram as estruturas e

especificaes para a ARPANET, fez-se uma seleo para o desenvolvimento de um
dos componentes-chave do projeto: o IMP - Interface Message Processors. Sendo
selecionado um grupo dirigido por Frank Heart (Bolt Beranek) e Newman (BBN). Em
paralelo ao trabalho do grupo da BBN nos IMPs com Bob Kahn assumindo um papel
vital do desenho arquitetnico da ARPANET, PEREIRA(2001) afirma que o trabalho
sobre a topologia e economia da rede estava sendo desenvolvido e otimizado por
Roberts em conjunto com Howard Frank e seu grupo da Network Analysis Corporation,

6
enquanto o sistema de mensurao da rede estava sendo preparado pelo pessoal de
Kleinrock na UCLA - University of California at Los Angeles.

1.1 ARPANET (Advanced Research Projects Agency Network)

No ms de dezembro de 1969, por serem os locais com um nmero grande de

contratos com a ARPA e por terem computadores hosts com diferentes configuraes e
completamente incompatveis, foram escolhidos UCLA, UCSB (University of
California at Santa Barbara), SRI (Stanford Research Institute) e University of Utah
como os quatros ns da rede experimental. Ento conforme TANENBAUM(1997), aps
estes testes houve um aumento na produo e instalao de novos IMPs, fazendo com
que a rede cresce-se rapidamente, de maneira que logo espalhou-se por todo o territrio
norte americano.

MALAGRINO(1996) afirma que no incio a ARPANET dava a possibilidade para

a seus usurios de acesso atravs de um terminal remoto, de transferncia de arquivos e
de uso de impressoras e outros dispositivos remotos. No ano de 1971 a rede passou de 4
para 15 ns. Em 1972, j eram 37 ns. Contudo o acesso rede era ainda era muito
restrito, dando direito somente as instituies de pesquisa liga as ao governo e rea
militar, tendo seu custo anual em cerca de US$ 250.000.

No ano de 1983 a ARPANET era tida como uma rede estvel e bem-sucedida, e
cada vez mais aumentava de tamanho. Porm no ano de 1990 a ARPANET foi
desmantelada e desativada, sendo ento substituda por redes mais novas.

1.2 NSFNET (National Science Foundation Network)

A NSF (National Science Foundation), no final da dcada de 1970, percebeu

ento o enorme impacto que a ARPANET estava causando sobre as pesquisas
universitrias nos Estados Unidos, j que permitia aos cientistas do pas inteiro

7
compartilharem dados e possibilitava que trabalhassem juntos em projetos de pesquisa.
Porm, poucas universidades conseguiam se conectar a ARPANET, j que um dos
requisitos necessrio era possuir um contrato de pesquisa com o DoD, privilgio esse
que muitas no tinham.A fim de resolver este problema a NSF configurou uma rede
virtual, a CSNET, centralizada em uma maquina na BBN para oferecer linhas de
discagem e conexes com a ARPANET e outras redes. TANENBAUM(1997) afirma
que atravs da utilizao da CSNET, os pesquisadores acadmicos podiam estabelecer
uma conexo e deixar uma mensagem de correio eletrnico para outras pessoas.

Quando iniciou, no ano de 1984, o desenvolvimento de uma rede de alta

velocidade para suceder a ARPANET, a NSF quis abrir a rede para todos os grupos de
pesquisas universitrios. A partir da construo de uma rede de backbones para conectar
as seis centrais de super-computadores da NSF, em San Diego, Boulder, Champaign,
Pittsburgh,

Ithaca

Princeton.

Os

supercomputadores

de

acordo

com

TANENBAUM(1997), receberam um micro-computador LSI-11 denominado fuzzball,

que por sua vez eram conectados a linhas privadas de 56 Kbps, formando assim a subrede, que estava utilizando a mesma tecnologia de hardware da ARPANET.

Quando Dennis Jennings, no ano de 1985 comeou a liderar na NSF o programa

da NSFNET, com o auxilio da comunidade ajudou a NSF a tomar uma deciso crtica:
que TCP/IP iria ser mandatrio para o programa da NSFNET. J no ano de 1986 quando
Steve Wolff juntou-se a NSFNET, reconheceu a necessidade de uma infraestrutura de
rede maior para dar suporte as comunidades acadmicas e de pesquisa, alm claro da
necessidade do desenvolvimento de uma estratgia para estabelecer esta infra-estrutura
independentemente dos recursos federais. PEREIRA(2001) afirma que ento polticas e
estratgias foram adotadas para atingir este fim.

A NSF decidiu suportar a infra-estrutura organizacional da Internet da DARPA j

existente, que era hierarquicamente arranjada pelo ento Internet Activities Board
(IAB). Para PEREIRA(2001) com a declarao pblica desta opo feita em conjunto
pelo grupo de Engenharia e Arquitetura da Internet da IAB e pelo grupo de Assessoria

8
Tcnica de Rede da NSF do RFC 985 - Requirements for Internet Gateways,
assegurando formalmente a interoperabilidade entre DARPA e NSF.

A comunicao entre a ARPANET e a NSFNET foi diretamente atravs do

TCP/IP, j que ambas possuam softwares diferentes. Criando assim de acordo com
TANENBAUM(1997) a primeira WAN TCP/IP. A criao da NSFNET foi um sucesso
instantneo, passando a funcionar com sua capacidade mxima em pouco tempo. De
imediato a NSF comeou a planejar seu sucessor e, para administra-lo, contratou o
consorcio MERIT, de Michigan.

Os anos se passaram e outros pases e regies do mundo construram suas redes

comparveis a NSFNET, como o EBONE e a EuropaNET, e cada pas possua uma rede
do porte das redes regionais da NSF.

1.3 Surgimento da INTERNET

Com o aumento do nmero de redes, mquinas e usurios conectados na

ARPANET aps o TCP/IP torna-se o nico protocolo oficial, em 1 de Janeiro de 1983.
E quando a NSFNET e a ARPANET foram inter-conectadas, este crescimento tornou-se
exponencial. Muitas redes regionais foram integradas e criadas conexes com redes no
Canad, Europa e Pacfico (TANENBAUM, 1997)

A denominao de INTERNET para esta rede teve incio em meados da dcada de

80, pois as pessoas comearam a considerar os conjuntos de rede como uma inter-rede.
Seu crescimento continuou acelerado e no ano de 1990 j interconectava 3 mil redes e
200 mil computadores. No ano de 1992, foi conectado o milionsimo host.

Quando no ano de 1990 os interesse militares da ARPANET foram transferido

para a MILNET, MALAGRINO(1996) que com isto a ARPANET foi ento
definitivamente extinta. Enquanto isso ocorria, a Internet continuava crescendo, abrindo

9
espao para usurios comerciais, fora da esfera acadmica, que demandavam por
servios de utilizao mais simples.

A partir do ano de 1993, a Internet deixou de ser uma instituio de natureza

apenas acadmica e passou a ser explorada comercialmente, para tal foram construdos
novos backbones por empresas privadas (PSI, UUNet, Sprint etc.) quanto para
fornecimento de servios diversos. Abrindo-se assim, em nvel mundial.

1.4 A INTERNET no Brasil

A Internet chegou ao Brasil em 1988 pela iniciativa da comunidade acadmica de

So Paulo atravs da FAPESP Fundao de Amparo a Pesquisa do Estado de So
Paulo, e do Rio de Janeiro UFRJ Universidade Federal do Rio de Janeiro e LNCC
Laboratrio Nacional de Computao Cientifica.

O Ministrio da Cincia e Tecnologia criou no ano de 1989, a Rede Nacional de

Pesquisa (RNP), que considerada uma instituio que tem por objetivo iniciar e
coordenar a disponibilizaro de servios de acesso a Internet no Brasil, partiu-se da
criao do backbone da RNP, que interligava as instituies educacionais a Internet.

Conforme SOUZA(1999), a explorao comercial da Internet iniciou-se em

dezembro de 1994, a partir de um projeto-piloto da Embratel..., este projeto permitia
inicialmente o acesso a Internet atravs de linhas telefnicas discadas, mais tarde,
atravs de acessos dedicados via RENPAC ou linhas E1 (categoria de velocidade).

A ampliao do backbone RNP no que se refere velocidade e numero de POPs,

a fim de suportar o trafego comercial de futuras redes conectadas aos POPs, foi uma das
etapas do processo de implantao da Internet comercial. Segundo SOUZA (1999) esse
backbone a partir de ento passou a se chamar Internet/Br.

10
2. Servios Disponibilizados na Internet

2.1 Acesso a Internet

De acordo com SOUZA (1999), o acesso a Internet feito atravs de provedores
de acesso. Aonde o usurio conecta-se de casa, por exemplo, atravs de uma ligao
telefnica entrem o modem do usurio e o modem do Provedor. Este provedor possui
diversos modens para que possa atender a todas as ligaes a serem conectadas a um
servidor, que transforma esta ligao em um acesso a Internet.
Os provedores de acesso tambm podem hospedar as home-pages de seus clientes,
para que estas sejam acessadas pelo mundo todo. O acesso a um provedor faz-se atravs
de um LOGIN e uma SENHA.

O acesso de um computador Internet refere-se execuo de aplicaes

relacionadas a essa rede, podendo ser classificado em:

Acesso Completo: este tipo de acesso ocorre quando existe um

computador que tenha um software TCP/IP que possa ser enderevel na
Internet, de forma que possa executar aplicaes que interajam
diretamente com aplicaes de outros computadores da Internet, sendo
desta maneira um host da Internet (CARVALHO, 1998).

Acesso Limitado: este tipo de acesso ocorre quando o computador no

possui um software TCP/IP, possui apenas acesso a um computador "host"
que possua acesso complete a Internet, de maneira que se torna um acesso
indireto, sendo assim ele no um host da Internet. (CARVALHO, 1998).

Existe tambm outra classificao quanto forma de conexo a um provedor e

acesso, e o seu ponto de acesso Internet, sendo elas:

11

Conexo Permanente: ocorre quando a ligao entre o computador em

questo e a Internet estabelecida atravs de circuitos dedicados de
comunicao. Utilizada normalmente por computadores que possuam
acesso completo a Internet, endereo e nome de domnio fixo, sendo assim
localizveis por qualquer outro computador da rede. (CARVALHO,1998)

Conexo Temporria: esta forma de conexo ocorre tanto com

computadores que possuam acesso completo quanto aos com acesso
limitado a Internet, ocorrem normalmente atravs de linhas telefnicas
discadas quando existe o estabelecimento da ligao entre os dois
computadores, o cliente e servidor (CARVALHO, 1998).

2.2 Servio de Correio eletrnico

Os correios eletrnicos so servios que permitem a troca de mensagens entre

usurios atravs da Internet e os de maior alcance, j que permitem a troca de
mensagens tanto com usurios de outras redes de servios, quanto com usurios de
redes corporativas no totalmente interligadas Internet.

Os primeiros sistemas de correio eletrnico existentes, segundo TANENBAUM

(1997), eram simplesmente formados por protocolos de transferncia de arquivos. Estes
possuam a conveno de que a primeira linha de cada mensagem deveria conter o
endereo do destinatrio.

Com o passar do tempo quanto mais as pessoas ganham experincia, projetavam

sistemas de correio eletrnico mais elaborados. At que em 1982, as novas propostas de
sistemas de correio eletrnico da ARPANET foram publicadas como a RFC 821
(protocolo de transmisso) e a RFC 822 (formato de mensagem). Aps dois anos de
acordo com TANENBAUM (1997) o CCITT esboou sua recomendao X.400, que
mais tarde foi considerada como base para o MOTIS do modelo OSI. Contudo aps

12
uma dcada de concorrncia, os sistemas de correios eletrnicos baseados na RFC 822
passaram a ser amplamente usados, ao passo de que aqueles baseados na X.400
desapareceram no horizonte.

O Correio eletrnico possui como base o endereo eletrnico ou mais conhecido

como e-mail address. Conforme CARVALHO (1998) este endereo possui o seguinte
formato padro: usurio@host .

Usurio: o identificador de uma caixa postal na qual ser recebida a

mensagem;

Host: o domnio do equipamento aonde se encontra a caixa postal.

Para TANENBAUM (1997) e CARVALHO (1998), o funcionamento do correio

eletrnico baseia-se no paradigma store-and-forward no qual os usurios envolvidos
na transferncia de uma mensagem no interagem diretamente si, mas sim atravs de
programas servidores encarregados de executar e gerencia esta transferncia.

2.2.1 Arquitetura e Servios

Os componentes principais que formam um sistema de correio eletrnico de

acordo com CARVALHO (1998) so:

User Agent (UA): o software que interage com o usurio, sendo

responsvel em obter as mensagens a serem enviadas, e buscar as
mensagens recebidas;

Mail Transport Agent (MTA): o software que possui a responsabilidade

de transportar as mensagens entre os envolvidos, atravs da Internet.

13

Mail Boxes: so as caixas postais para armazenamento das mensagens

recebidas

Conforme TANENBAUM (1997) os correios eletrnicos desempenham cinco

funes bsicas, sendo elas:

1. Composio: processo referente criao de mensagens e

respostas. Pode ser utilizado qualquer tipo de editor para o corpo
da mensagem, e o sistema auxilia com o endereamento e com os
inmeros campos de cabealho anexado em cada mensagem.

2. Transferncia: processo referente ao deslocamento de uma

mensagem entre o remetente e o destinatrio. Este processo
necessita do estabelecimento de uma conexo com o destino ou
com alguma mquina intermediria. O sistema de correio
eletrnico pode fazer isso automaticamente, sem perturbar o
usurio.

3. Gerao de Relatrio: processo utilizado para informar ao

remetente sobre o que aconteceu com a mensagem. Existem
inmeras aplicaes em que a confirmao da entrega da
mensagem importante e pode ter at mesmo uma significncia
legal.

4. Exibio das Mensagens: processo necessrio para que as pessoas

possam ler suas mensagens de correio eletrnico. s vezes so
necessrias converses ou deve-se acionar algum visualizador
especial.

14
5. Disposio: considerada a ltima etapa, refere-se ao que o
destinatrio faz com a mensagem depois de receb-la.

Hoje em dia os sistemas de correio eletrnico so largamente usados para

comunicao em uma empresa, j que permite com que funcionrios fisicamente
distantes interajam e cooperem em projetos de grande complexidade. Com isto os
correios eletrnicos eliminam a maior parte dos assuntos relacionados a classes sociais,
faixas etrias e sexo, e os debates via correio eletrnico tendem a se concentrar em
idias, e no nas situaes das empresas.

De acordo com TANENBAUM (1997),

Uma idia chave em todos os sistemas de correio

eletrnico a distino entre o envelope e seu contedo. O
envelope encapsula a mensagem. Ele contm todas as
informaes necessrias para o transporte da mensagem, como
o endereo de destino, a prioridade e o nvel de segurana,
sendo todas elas distintas da mensagem em si. Os agentes de
transportes da mensagem utilizam o envelope para entreg-lo,
exatamente como uma agncia de correio.

Uma mensagem dentro do envelope composta por duas partes: o cabealho onde
esto contidas as informaes de controle a serem utilizadas pelos agentes, e o corpo da
mensagem que se destina inteiramente a seu destinatrio. Como na Figura1.

15

Figura 1(a) Correio Postal. (b)Correio Eletrnico. (TANNENBAUM, 1997 p738)

2.2.2 Protocolos de Servios

De acordo com TANENBAUM (1997) o servio de correio eletrnico utiliza os

protocolos SMTP (Simple Mail Transfer Protocol) para o envio de mensagens, e um
dos seguintes protocolos para recebimento de mensagens: POP3 (Post Office Protocol),
IMAP (Interactive Mail Access Protocol) ou DMSP (Distributed Mail System
Protocol).

16
2.2.2.1 Protocolo de Transferncia de Mensagens

Para que as mensagens de correio eletrnico sejam entregues necessrio que a

mquina de origem faa uma conexo TCP com a mquina destino atravs da porta 25
da mquina de destino. Para que isto ocorra existe um processo que fica escutando a
porta SMTP (Simple Mail Transfer Protocol) a procura de requisies de envio de
correios eletrnicos. Quando a conexo estabelecida este processo recebe e copia as
mensagens que estejam contidas nela, transferindo as para as mailboxes apropriadas.
Caso esta mensagem no possa ser entregue, TANENBAUM (1997) diz que o sistema
dever gerar um relatrio de erros contendo a primeira parte da mensagem no entregue
ser retornada ao remetente.

Quando a entrega de mensagens for local, envolve mais aspecto que somente
anexar a mensagem que chega caixa postal do destinatrio. Em geral o MTA local ir
executar tarefas relacionadas com o uso de nomes alternativos ou apelidos e tambm o
reenvio de mensagens. Tambm existem para MORAES NETO (1999) as mensagens
que no podero ser entregues e que sero devolvidas, ou seja, retornadas para o
remetente com alguma mensagem de erro.

O SMTP considerado um protocolo muito simples por ser ASCII.O

funcionamento dele ocorre aps a mquina de transmisso estabelecer a conexo TCP
com a porta 25 operando como cliente, espera que a mquina de recepo opere como
servidor, comunique-se primeiro. Ento o servidor comea por enviar uma linha de
texto informando sua identidade e indicando se est ou no preparado para receber
mensagem. Caso no esteja, o cliente encerrar a conexo e tentar outra vez mais tarde.

Quando o servidor est querendo receber mensagens, o cliente ento anuncia de

quem veio a mensagem e a quem se destina. Caso exista o destinatrio no servido local
do destino, o servidor ento sinaliza ao cliente que este j pode enviar a mensagem.
Logo em seguida, o cliente enviar a mensagem e o servidor vai confirm-la. O TCP
fornece um fluxo de bytes confivel, tornando-se desnecessrio a soma de verificaes

17
de envio de mensagens. TANNENBAUM (1997) afirma que se houverem mais
mensagens elas sero enviadas, at que no exista mais nenhuma e a conexo possa ser
encerrada.

Quando o envio de mensagens ocorre em redes UUCP, estas no sero

normalmente entregues diretamente, mas sim reenviadas para a mquina de destino
atravs de um conjunto de sistemas intermedirios. Quando necessita enviar uma
mensagem atravs de uma conexo UUCP, o MTA remetente em geral executar o
programa rmail no sistema que far o reenvio, usando o programa uux e escrevendo a
mensagem na entrada padro do sistema remoto.(MORAES NETO, 1999)

Como isto feito para cada mensagem separadamente, existe a possibilidade de se

produzir uma considervel demanda nos principais pontos de reenvio de mensagens,
assim como seria possvel congestionar as filas de tarefas temporrias do UUCP com
milhes de mensagens utilizando uma quantidade de disco descomunal.

2.2.2.2 Protocolos de Recebimento de Mensagens

Os correios eletrnicos utilizam protocolos especficos para o recebimento das

mensagens por seus usurios. De acordo com TANENBAUM (1997) o protocolo mais
simples a ser utilizado para o recebimento de mensagens contidas em um mailbox
remota o POP3 (Post Office Protocol), este protocolo foi definido na RFC 1225. um
protocolo baseado em comandos nos quais os usurios podem estabelecer logins e
logouts, e comandos para obter e eliminar mensagens. O POP3 consiste em um texto
ASCII semelhante ao SMTP, que tem por objetivo obter as mensagens de mailbox
remotas e, aps, armazen-las na mquina local do usurio para leitura futura.

Existe tambm um protocolo mais sofisticado para entrega de mensagens, sendo

este o IMAP (Interactive Mail Access Protocol), que definido na RFC 1064. Este
protocolo foi projetado para auxiliar o usurio que utiliza diversos computadores.Possui

18
como idia que o servidor de correio eletrnico mantenha um repositrio central que
possa ser acessado a partir de qualquer mquina pelo usurio.

Outro protocolo existente para o recebimento de mensagens o DMSP

(Distributed Mail System Protocol), o qual faz parte do sistema PCMAIL e descrito na
RFC 1056. Esse protocolo no presume que todas as mensagens estejam em um
servidor, como acontece com o POP3 e o IMAP. Este protocolo permite aos usurios
fazer um download de suas mensagens do servidor para uma estao de trabalho, PC ou
laptop e, em seguida, desconectar-se. Estas mensagens podero ser lidas e respondidas
enquanto no houver conexo. TANNENBAUM (1997) diz que quando a reconexo
ocorrer mais tarde, as mensagens sero transferidas e o sistema ser ressincronizado.

2.3 Network News

O servio de Network News (Usenet News ou News) conforme CARVALHO

(1998) composto por informaes agrupadas por categorias e programas responsveis
pelo seu intercambio, divulgao e acesso. Este tipo de servio originou-se a partir dos
usurios da rede USENET (era uma rede acadmica de equipamentos com Sistema
Operacional UNIX conectados atravs de linhas telefnicas discadas via UUCP). Est
amplamente difundido pela Internet nos dias de hoje.

As informaes ou assuntos so divididos em categorias de acordo com as reas

de interesse, estes agrupamentos so denominados de NEWSGROUPS (Grupos de
Notcias). Sua organizao feita de forma hierrquica, eles partem de um tipo de
atividade at o assunto propriamente dito. De acordo com CARVALHO (1998) existe
uma diviso destes grupos em dois tipos: livres (quando no ha controle sobre as
informaes envolvidas) ou moderados (quando ha uma triagem dessas informaes
antes da sua publicao).

19
O newsgroup composto por uma unidade denominado artigo, que possui o
formato bem semelhante ao das mensagens do sistema de correio eletrnico. Assim
sendo, o servio NetNews permite aos usurios, selecionar um ou mais grupos de seu
interesse, podendo fazer desde a simples leitura de artigos at o envio de artigos
prprios ou respostas a outros artigos.

O servio de News funciona atravs do envio de um artigo para um determinado

endereo, e este distribudo para programas-servidores espalhados pela Internet
conhecidos como News Servers, de acesso pblico ou no, que trabalham em
colaborao entre si (Newsfeed). Aps isto, os usurios para terem acesso a esses artigos
necessitam de um programa cliente denominado de News Reader.(CARVALHO, 1998)

O programa News Reader responsvel tanto a subscrio de um usurio a um

grupo quanto o controle dos artigos lidos. Desta forma o servidor ao qual o usurio
possui permisso de acesso apenas disponibiliza os artigos pertinentes aos grupos de
interesse de sua comunidade de usurios. Para que sejam geis os servidores a
disponibilizao dos artigos temporria, isto , os artigos possuem uma data de
expirao.

A forma de envio de artigos conforme CARVALHO (1998) para um dado grupo

(news posting) feito normalmente da mesma maneira com que enviada uma
correspondncia a uma lista de discusso de correio eletrnico, desta forma ento
existem determinados programas responsveis por executar a transferncia de um artigo
de uma lista de discusso para um newsgroup (mail-to-news gateways)

Com o avano da Internet, o protocolo news passou a permitir que um usurio da

Web chame um artigo de newsgroup como se fosse uma pgina da Web. Tornando
assim, um browser tambm um newsreader. Devido a isto, muitos browsers possuem
botes ou itens de menu para tornar a leitura de artigos USENET ainda mais fcil do
que quando se usa os newsreaders padro.

20
O protocolo news aceita somente dois formatos:

1. o primeiro especifica um newsgroup e pode ser usado para obter

uma lista dos artigos de um site de artigos pr-configurado.

2. o segundo exige que seja fornecido o identificador de um artigo

de newsgroup especfico. O browser busca ento o artigo em seu
site de artigos pr-configurado, usando o protocolo NNTP.

2.4 Telnet

As aplicaes baseadas no servio de Telnet permitem que usurios remotos

acessem computadores host com TCP/IP como se fosse um terminal do mesmo,
executando programas e comandos residentes no host. Por isso CARVALHO (1998)
afirma que estes equipamentos remotos devem ter um sistema Operacional multitarefa
do tipo UNIX ou OS/2 por exemplo, e que possuam mecanismos de autorizao de
acesso via sistema de contas e autenticao (login ou logon). Por isto classifica-se o
servio Telnet de um servio de login remoto da Internet.

O usurio para interagir com o servio Telnet necessita de um programa-cliente

Telnet, selecionando o equipamento onde deseja executar uma dada aplicao ou
programa. Para MARQUES (1995) em primeiro lugar o usurio dever saber o nome do
computador ou Host que deseja acessar. O servidor que possui o servio de telnet
enviar um prompt para que seja estabelecida a sesso, normalmente este prompt ir
solicitar uma identificao do usurio e tambm uma senha. A identificao do usurio
considera como uma conta de usurio, user-id, username, login, servido para que a
estao em que ele se encontra possa ser autorizada a utilizar os servio no servidor. J
a senha, tambm chamada de password, prova que realmente o usurio que est
solicitando acesso.

21
No caso do computador que est sendo acessado no fornea um sistema de menu
de navegao, o usurio pode utilizar os comandos nativos do servidor para executar o
que deseja.

Para MARQUES (1995) os novos usurios do Telnet enfrentam um grande

problema para fazer o encerramento da sesso que foi aberta. Este problema possui uma
soluo simples e fcil, basta prestar ateno na hora em que se est fazendo uma
conexo Telnet, pois o servido em geral d dicas de como proceder com o encerramento
da sesso. Caso nada seja dito, deve-se tentar os seguintes comandos: exit, quit, logout,
logoff, stop, bye, goodbye, leave, disconnect, fim, x (maisculo ou minsculo), q
(maisculo ou minsculo), CTRL-D, CTRL-Z.

2.5 FTP

O FTP (File Transfer Protocol) o servio da Internet que oferece a possibilidade

de transferncia de arquivos. Este um dos servios mais utilizados na Internet, sendo
responsvel por quase 70% do trfego de dados na rede.

A transferncia de arquivos a possibilidade que os usurios podem obter ou

enviar artigos de uma mquina para outra ligada a Internet. Para que isto acontea
CARVALHO (1998) diz que o FTP baseia-se no estabelecimento de uma sesso
limitada entre o cliente local e o servidor. Possui uma autenticao semelhante ao
Telnet, contudo possui somente comandos que se relacionem com manipulao de
diretrios, conseguindo assim o usurio pesquisar a estrutura de diretrios e arquivos do
servidor, para ento selecionar algum arquivo e efetuar a transferncia.

O servidor de FTP para ser acessado por um usurio que no possua uma conta
nele, disponibiliza uma conta especial denominada de anonymous e com autenticao
flexvel, em geral um endereo de e-mail Aps o estabelecimento da sesso o usurio

22
possui acesso apenas aos arquivos que podem ser consultados ou transferidos para seu
computador.

Este servio de FTP utilizado em grande escala na Internet, de tal forma que
TANENBAUM (1997) afirma que com a Web no muda isso, ela apenas torna a
obteno de arquivos via FTP mais fcil, pois o FTP tem uma interface um tanto
misteriosa. O FTP via Web ocorre atravs do protocolo HTTP, no sendo necessrio a
existncia do servio de FTP na mquina. Com isto esta cada vez mais sendo
desativados servidores de FTP puro para serem utilizados via HTTP, pois traz mais
benefcios alm dos disponibilizados pelo FTP.

Conforme SOUZA (1999), os arquivos transferidos na Internet podem ter vrios

formatos como imagem, texto e binrio. Alguns destes arquivos podem ser
visualizados com a utilizao de um browser, outros, porm, necessitam de softwares
especiais para visualizao.

O processo de puxar e copiar um arquivo da Internet denominado de download,

e de acordo com SOUZA (1999) os arquivos para download em geral j so
disponibilizados automaticamente pelo FTP nas paginas Web pelo browser de acesso.
Assim sendo pode-se copiar um arquivo de dados ou programa de algum servidor da
Internet para o disco do computador local.

2.6 Gopher

No ano de 1991 a universidade de Minnesota (EUA) desenvolveu um sistema de

procura e transferncia de informaes orientadas a ttulos de documentos, este servio
passou a ser denominado Gopher, que segundo CARVALHO (1998) permite que um
usurio localize uma certa informao (texto, imagem, multimdia etc.), na Internet sem
que seja necessrio conhecer a exata localizao da mesma.

23
De acordo com TANENBAUM (1997) o Gopher foi batizado com o nome dos
times de atletas daquela escola, os Golden Gophers (e que tambm uma gria que
significa go for, ou seja, v buscar). O Golphers muitos anos mais velho do que a
Web.

No Gopher as informaes esto disponibilizadas para os usurios atravs da

utilizao de programas servidores que possuem menus com itens que podem estar
associados a arquivos de informaes, outros itens de menu, ou mesmo programas a
serem executados. Devido a essa estrutura temos como resultado uma arvore de menus,
da forme que cada item de um menu possui um descritor que indica o tipo e o
equipamento da Internet onde reside.

Esta rvore de menus de acordo com CARVALHO (1998) utilizada para a

navegao do usurio atravs de um cliente Gopher do tipo information browser, o
qual interage com o servidor Gopher primeiramente escolhido pelo usurio, que fornece
um menu-raiz, par a partir da o usurio dar inicio a sua navegao. Sendo assim
considerado com um mecanismo semelhante a Web para a recuperao de informaes,
contudo no aceita imagens, somente textos.

A grande vantagem do Gopher sobre a Web que ele

funciona bem em terminais ASCII de 25 X 80, que ainda existem
por a e, por funcionarem no modo de texto, so muito rpidos,.
Por isso, h milhares de servidores Gopher no mundo. Ao usar
um protocolo gopher, os usurios da Web podem acessar
servidores Gopher e ter seus menus apresentados como um
pgina da Web.(TANNEMBAUM, 1997)

24
2.7 World Wide Web

A partir do ano de 1989 Laboratrio de Pesquisas Nucleares CERN em

Genebra na Sua desenvolveu a World Wide WEB WWW (Teia de Alcance Mundial)
para que fossem interligados os pesquisadores de inmeros institutos atravs da Internet,
de tal forma que CARVALHO (1998) afirma que esse sem duvida, o sistema cuja
utilizao mais cresce atualmente na Internet, sendo o maior responsvel pelo aumento
dessa rede nos ltimos anos.

Seu primeiro mdulo a estar em funcionamento em um ano e meio depois foi o

prottipo que funcionava em modelo texto, sendo demonstrado publicamente em
dezembro de 1991 na conferncia Hypertext 91, em San Antnio no Texas. Aps esta
demonstrao, TANENBAUM (1997) afirma que seu desenvolvimento prosseguiu no
ano seguinte e culminou com o lanamento da primeira interface grfica, o Mosaic, em
fevereiro de 1993...

Por ser um sistema de busca e obteno de informaes embutidas nos

documentos e no no titulo dos documentos, a WWW sendo ento diferente do Gopher.
Este tipo de procura conhecido como navegao por hipertexto. Por se diferente, a
WWW no cria como no Gopher uma imagem de uma rvore, mais sim a imagem de
uma teia que interliga documentos atravs da Internet dai o seu nome World Wide
Web, ou seja, Teia de Alcance Mundial.

Os documentos que compem a Web contm na sua grande maioria imagens e

recursos de multimdia, sendo ento denominados de documentos hipermdia. A criao
destes documentos feita a travs da linguagem de programao HTML (Hiper Text
Markup Language), baseada nas diretivas do formato ASCII, permitindo assim a
definio do formato do documento e as ligaes com os outros documentos, e como
CARVALHO (1998) disse, estes documentos podem estar em outros sites, passando
ento a ser denominada de hyperlink.

25
2.7.1 A Servio do Lado do Servidor

O funcionamento de um Servidor WWW atravs de processos que esto

rodando e escutando na porta 80 TCP, no aguarde da solicitao de conexo de um
cliente. TANENBAUM (1997), diz que aps o estabelecimento desta conexo o cliente
envia uma solicitao ao servidor e este envia uma resposta. Aps este processo a
conexo liberada. Contudo para que ocorra estas solicitaes e repostas necessrio a
utilizao do protocolo HTTP (HyperText Transfer Protocol), o qual valida todas estas
interaes.

Conforme TANENBAUM (1997), cada interao consiste em uma solicitao

ASCII, seguida de uma resposta RFC 822 do tipo fornecido pelo MIME. Embora o uso
do TCP para a conexo de transporte seja bem comum, essa no uma exigncia formal
de padro.

Existem cada vez mais verses do HTTP, pois este est sempre em evoluo, de
tal forma que, em quando inmeras verses esto sendo utilizadas, outras esto em
desenvolvimento. Este protocolo consiste de acordo com TANENBAUM (1997) de dois
itens razoavelmente distintos: um conjunto de solicitaes dos browsers aos servidores
e um conjunto de respostas que retornam no caminho inverso.

Apesar das inmeras verses do HTTP, todas aceitam como padro dois tipos de
solicitao:

Simples: apenas uma linha GET que identifica a pgina desejada, sem
ter a verso do protocolo. Possuindo como resposta uma pgina sem
cabealho, sem MIME e sem protocolo.

26
-

Completa: uma linha GET que identifica a pgina desejada, possuindo a

verso do protocolo. Possuindo como resposta uma pgina com cabealho,
com MIME e com protocolo.

Para que os documentos HTML ou outro tipo de informao seja encontrada na

Web foi criado de acordo com CARVALHO (1998) um identificador denominado de
URL(Universal Resource Location).

Este identificador atribudo a cada pgina como um nome universal para ela.
Sendo dividido em trs partes conforme TANNENBAUM (1997):

O Protocolo;

O nome DNS da mquina que hospeda a pgina;

E o nome da pgina (em geral um nome de arquivo).

Para se acessar pginas na Web foram definidos outros protocolos e URLs

conforme a Tabela 1.
Nome

Usado para

Exemplo

HTTP

Hypertext (HTML)

http://www.cbcomp.univali.br

FTP

FTP

ftp://ftp.inf.univali.br/pub

File

Arquivo Local

/usr/Cbcomp/programa.c

News

Newsgroup

news:cbcomp.os.minix

News

Artigo de Newsgroup

news:AAO12354312@cbcomp.univali.br

gopher

Gopher

gopher://gopher.tc.umn.edu/11/Libraries

mailto

Enviar Mensagem

mailto:cbcomp@cbcomp.univali.br

telnet

Login remoto

telnet:/www.cbcomp.univali.br

Tabela 1 - Alguns URLs comuns

27
Os servidores de WWW no possuem somente os servios de navegao, podem
tambm implementar interfaces com quaisquer outros servios disponveis em
equipamentos da Internet. CARVALHO (1998) afirma que para oferecer tais servios
necessria a utilizao de uma interface conhecida como CGI (Commom Gateway
Interface), de forma que estes servidores possam interagir com qualquer programa ou
servio disponvel atravs de programas ou sistemas conhecidos como gateways para
WWW. Estes gateways so comumente utilizados para autorizarem a interao dos
usurios com programas que permitam o preenchimento de formulrios, de forma que
possibilitem um nmero amplo de servios, desde transaes comerciais at pesquisas
em bases de dados.

2.7.2 O Servio do Lado do Cliente

O servio de WWW pelo lado do cliente feito atravs de um programa

denominado de browser ou navegador WWW, utilizado para a obteno de um
documento HTML ou outro tipo de informao. Seu funcionamento atravs da
interao com o servidor WWW do equipamento que possua uma informao a ser
enviada via protocolo HTTP, e conforme CARVALHO (1998), este cliente
responsvel pela interpretao e visualizao das informaes.

CARVALHO (1998) afirma tambm que os navegadores (browsers) WWW

normalmente interagem tambm com outros servidores de informaes (Gopher, FTP),
obtendo deles informaes e as apresentando como se fossem documentos hipertexto.

CAPTULO III - INTRANET

1. Conceituando uma Intranet

O que uma Intranet?

BENETT (1997) responde a esta pergunta da seguinte maneira:

O termo intranet comeou a ser usado em meados de

1995 por fornecedores de produtos de rede para se referirem ao
uso dentro das empresas privadas de tecnologias projetadas
para a comunicao por computador entre empresas. Em outras
palavras, uma intranet consiste em uma rede privativa de
computadores que se baseia nos padres de comunicao de
dados da internet pblica.

Ou seja, uma Intranet do ponto de vista das empresas, seria um meio privativo que
possibilita a troca de informaes e oferecendo vantagens inigualveis em termos de
custo e recursos atravs da integrao de servios de redes tradicionais.

1.1 A World Wide Web e as Webs Internas

As Webs Internas so diferenciadas da WWW no pela tecnologia utilizada, mais

sim para o uso que se pretende fazer delas. O crescimento das Webs Internas cada vez
mais rpido, pois conforme BENETT (1997) disse dentre dos limites empresariais a
maioria dos problemas relacionados ao comrcio eletrnico simplesmente no existem,
de forma que no dificultam o comrcio eletrnico.

29
A vantagem de uma Intranet o uso da interface grfica pelo usurio, o que
facilita o acesso s aplicaes. Outra facilidade de uma Intranet o fato de que o
usurio pode utilizar o mesmo browser tanto para a Internet quando para a Intranet, com
isto SOUZA (1999) afirma que no necessrio o investimento no desenvolvimento de
aplicativos ou compra de pacotes de groupware de alto custo.

Para se implantar uma Intranet faz-se necessrio que os sistemas operacionais de

rede utilizados na empresa sejam compatveis com aplicaes da Intranet. SOUZA
(1999) afirma que necessrio contemplar interfaces sockets, gateways, APIs, drivers
ou plug-ins que so responsveis pela traduo dos protocolos da Intranet (TCP/IP) e o
protocolo mais utilizados nas redes como o IPX. Os sistemas operacionais mais
conhecidos para a rea so os: Intranetware e o Windows.

As drivers APIs (Aplication Program Interface) ou sockets, so as interfaces

entre os browsers e os aplicativos. Com o uso de um browser e de uma linguagem de
programao tipo Java, SOAUZA (1999) afirma as empresas podem com um baixo
custo, fazer a disponibilizao de suas aplicaes de banco de dados, planilhas, textos e
outras, numa Intranet.

2. Intranets x Correio Eletrnico

As Intranets so consideradas entre outras coisas como um meio para colaborao

entre os setores de uma empresa atravs do compartilhamento de informaes. De
forma que de acordo com BENETT (1997) as Intranets utilizam os correios eletrnicos
como base para seu estabelecimento. Indo assim contra a filosofia dos groupware que
vem para substituir o correio eletrnico.

O protocolo SMTP definido pela Internet incorporado a tecnologia das Webs.

Sendo assim a maioria dos navegadores da Web possuem a capacidade de enviar
correspondncia eletrnica de forma direta, sem a necessidade da utilizao de um

30
programa especfico para esta finalidade, trazendo assim uma enorme economia de
tempo.BENETT (1997) afirma que isto apresenta outras vantagens, como a eliminao
da necessidade de instalar um programa especfico de correio eletrnico em todos os
computadores.

As Intranets oferecem alm dos recursos de correio eletrnico atravs do

navegador Web, a possibilidade tambm de acessar correios eletrnicos em outros sites
Webs. Com isto BENETT (1997) chega a concluso da constituio assim da base de
uma categoria inteira de aplicativos bastante teis, denominada automao do fluxo de
trabalho.

3. As Intranets e o Groupware

BENETT (1997) diz que o objetivo do groupware permitir que as pessoas

trabalhem em conjunto atravs de comunicao, colaborao e coordenao, segundo
um informe oficial da Lotus Development Corporation sobre o assunto.

As Intranets e os groupwares dependem da infra-estrutura de envio/recebimento

de mensagens de correio eletrnico para que possam permitir a comunicao do tipo
store-and-forward. Dedicam-se assim somente ao processamento de formulrios e a
fruns de debate especficos.

Porm as Intranets e os groupwares divergem em aspectos importantes:

Enquanto os groupwares enfatizam o trabalho em equipe as Webs consideram

os usurios isolados como seu pblico-alvo.

Os groupwares utilizam o modelo push de distribuio de informaes a

partir de um repositrio central, e as Intranets utilizam o modelo pull de

31
distribuio de informaes, onde apenas os usurios interessados em uma
informao vo a busca dela e a exibem.

BENETT (1997) afirma que o Lotus Notes, um produto de groupware,

merecidamente famoso por sua capacidade interna de duplicao, que permite que os
usurios sincronizem os banco de dados. A obteno do mesmo efeito atravs de Webs
exige programao personalizada.

Os produtos desenvolvidos para os groupwares, tipo o Lotus Notes ou o Novell

Groupwise, baseiam-se em componentes patenteados de banco de dados e de
envio/recebimento de mensagens. Enquanto isto as Webs possuem sue produtos
baseados em tecnologias de domnio pblico como o SMTP e o HTTP.

O groupware leva certa vantagem ao que se refere a segurana da rede e sua

administrao de dados distribudos. Contudo para BENETT (1997) as Webs
representam um menos custo, maior flexibilidade de uso e padres abertos, comandando
assim o interesse de grandes fabricantes de software garantindo ento um rpido
crescimento e desenvolvimento.

4. Gerenciamento de Documentos em uma Intranet

O grande acmulo de papis, registros, anotaes, catlogos, prottipos

desenhados em guardanapos durante o almoo, ou seja, de documentos, seu
gerenciamento tornou-se uma tarefa desanimadora da era da informao.

Para BENETT (1997), o gerenciamento de documentos tem estas quatro

dimenses bsicas:

32

Pesquisa/Recuperao capacidade de localizar o que voc est

procurando;

Segurana controlar o acesso a documentos para leitura/gravao;

Controle de verses acompanhar as alteraes e os originais;

Arquivamento tornar dados histricos disponveis.

Enquanto os sistemas de gerenciamento de documentos desempenham todas as

funes descritas acima, as Intranets desempenham somente a funo de
pesquisa/recuperao. De forma que se uma empresa no necessita de um
gerenciamento automatizado dos documentos, a opo mais simples uma Intranet.
Mas conforme BENETT (1997) caso todas as quatro funes mencionadas
anteriormente sejam estratgicas na empresa, a opo igualmente simples, basta
adquiri ou desenvolver um sistema de gerenciamento de documentos.

BENETT (1997) afirma que: no entanto, na grande rea de interseo entre esses
dois extremos, ainda mais difcil tomar a deciso correta. Felizmente, as tecnologias
so complementares, e os sistemas hbridos podem oferecer mais que a combinao
delas.

5. O Funcionamento de uma Web Interna

5.1 TCP/IP: Uma Base de Rede de Baixo Custo

Comparando as Intranets e a Internet verifica-se que as maiores diferenas entre

elas no esto relacionadas com a tecnologia, mais sim ao escopo, mdia e s metas

33
que so aplicadas a esta tecnologia. Pois conforme BENETT (1997) disse, a base da
Internet e das Intranets a famlia TCP/IP de protocolos de rede.

5.1.1 TCP/IP e o IETF

O TCP/IP uma pilha de protocolo no patenteada, de forma que nenhuma

empresa ou outra instituio controla os padres que compem esta pilha. Porm de
acordo com BENETT (1997) existe um grupo de pessoas annimas que trabalham a fim
de contribuir para evoluo ta tecnologia e para o desenvolvimento da tecnologia da
Internet, desenvolvem, documentam e discutem novos padres de protocolo. assim
que a IETF (Internet Engineering Task Force) se define na RFC-1718.

Por ser um protocolo sem custo nenhum de licenciamento o TCP/IP pode ser
utilizado por qualquer pessoa para desenvolver softwares de rede e comercializ-los
cobrando apenas o custo da mo-de-obra. Sendo isto o que mais tem acontecido na
Internet, e hoje em dia mais na WWW e nas Intranets. J que empresas, estudantes,
pesquisadores e aficionados vem de acordo com BENETT (1997) vem desenvolvendo
softwares para a Internet durante dcadas. O que mais surpreende uma grande parte
destes softwares se comparados com os vendidos comercialmente so tidos como
superiores ou equivalentes.

Como o TCP/IP traz muitas vantagens custos para a tecnolgica da Internet, torna
ento todos sites da Internet laboratrios para aplicativos TCP/IP, contribuindo assim
para a rpida evoluo e para a qualidade da tecnologia.

5.2 Endereamento de Todos os Computadores

O endereamento em uma intranet ocorre em dois nveis.

Nvel da rede: todo dispositivo tem um endereo IP.

34

Nvel do aplicativo: por localizao de recursos, onde se costuma

trabalhar, estando relacionada s convenes de atribuio de nomes.

Estes dois nveis de endereamento so utilizados pois nem sempre a pessoa que
esta trabalhando em uma rede sabe o endereo IP da mquina, somente o nome do
recurso. Ento este usurio ao digitar este nome em um formato reconhecido pelo
computador, este utilizar um servidor de nomes (DNS) para fazer a localizao deste
endereo. Esta natureza de duas camadas de endereamento para BENETT (1997)
resulta em dois requisitos bsicos de uma intranet:

Atribuio de endereos IP a dispositivos de rede

Estabelecimento de um servio de atribuio de nomes.

Para se fazer uma atribuio de endereos IPs em uma rede utiliza-se uma das trs
maneiras a seguir:

Solicitar ao InterNIC um nmero (ou um bloco de nmeros) exclusivo

registrado para a sua empresa. (BENETT, 1997)

Atribuir a cada dispositivo um nmero no-repetido sem recorrer ao

InterNIC. (ibidem)

Comea com uma faixa de endereos alocados por um dos dois mtodos
anteriores, mas adia a atribuio real de endereos a dispositivos at que
uma solicitao seja feita. Quando isso ocorre, um servidor especial
concede automaticamente um endereo IP temporrio ao dispositivo que
fez a solicitao. Isso feito atravs do BOOTP ou do DHCP (Domain
Host Configuration Protocol), que so extenses do TCP/IP projetadas

35
especialmente para essa finalidade. Quando o dispositivo se desconecta da
rede, seu endereo IP retorna ao pool e pode ento ser atribudo a outro
dispositivo. (ibidem)

A distribuio de endereos atravs do endereamento dinmico, ou tambm

chamado de atribuio instantnea, pode simplificar a incluso de usurios na rede, j
que no exige uma configurao de endereos em seu computador. Contudo este tipo de
endereamento segundo BENETT (1997) possui a desvantagem que consiste na
complexidade adicional no lado do servidor: deve ser mantido um processo especial
para atribuir endereos durante o login.

Com a utilizao de recursos que possuem um nome e um endereo IP

necessrio criar um catlogo de endereos, para tal existem duas maneiras conhecidas:

DNS (Domain Name System), usada para a Internet global e empresas

maiores. O DNS est descrito na RFC 1123, seo 6.1, intitulada Domain
Name Translation.

Consiste em manter um arquivo central, normalmente denominado

HOSTS, que mapeia nomes de host em endereos IP.

6. HTTP: Cliente/Servidor para o Restante do Pessoal

De acordo com BENETT (1997) os termos cliente e servidor no se associam a

um computador especfico, nem permanecem o tempo todo associados a ele. Qualquer
PC pode ser um cliente em determinadas situaes e um servidor em outras, ou ambos
ao mesmo tempo em relao a diferentes usurios.

36
De forma que Cliente pode ser considerado um processo de computador que
solicita servios dos recursos de rede. Enquanto isto um Servidor um processo de
computador que presta servios a solicitantes autorizados. Devido a isto ento para
BENETT (1997) o termo cliente/servidor refere-se sim a uma arquitetura computacional
e no a uma tecnologia. J que os aplicativos do tipo cliente/servidor podem ser
implementados com a utilizao de praticamente qualquer protocolo de rede, em
qualquer sistema operacional e usando qualquer tipo de computador.

Com seu baixo custo o TCP/IP tido como uma boa base para aplicativos
cliente/servidor. Dando origem ao novo servio do TCP/IP, o HTTP. Este novo servio
uma ampliao da pilha do protocolo TCP/IP. De forma que aos computadores que
oferecem suporte ao HTTP dada a denominao de Servidores Web.

Estes servidores Web comandam a comunicao HTTP em uma rede. Oferecendo

tambm um local natural para o armazenamento de pginas Web. Enquanto em alguns
dos servidores Web incorporam ferramentas destinadas organizao e atualizao do
contedo, agregando assim valor s especificaes do HTTP.

Os autores da W3 Project definiram o HTTP:

HTTP um protocolo no nvel do aplicativo com a

eficincia e a velocidade necessrias a sistemas de informao
de hipermdia distribudos e destinados colaborao entre
grupos de trabalho. Uma das caractersticas do HTTP a
definio e a negociao da representao de dados, que
permitem a construo de sistemas independente dos dados que
esto sendo transferidos.

O HTTP ento se trata de um protocolo padro para comunicao que no

necessita conhecer antecipadamente o tipo de contedo que transportar. Portanto no

37
necessrio tambm que o HTTP conhea o hardware ou o sistema operacional em que
utilizado. Se a plataforma oferecer suporte ao TCP/IP e multitarefa, o HTTP pode ser
utilizado nela.

7. Motivos para se ter uma Intranet

Ao se instalar uma Intranet deve-se levar em conta que ela uma tecnologia que
vem a ajudar aos funcionrios e alavancar os negcios da empresa, e no ao contrrio.

Para SOUZA (1999) os funcionrios dentro de uma empresa podero:

Compartilhar e criar arquivos de uso dirio.

Ter acesso a informaes e polticas da empresa.

Efetuar comunicaes e treinamentos via Intranet.

Eliminar papis que passam a circular eletronicamente pela rede.

Compartilhar documentos e informaes para a tomada de decises.

Ter uma interface nica para acesso as aplicaes na empresa.

Ao se elaborar um projeto para a implantao de uma Intranet necessrio de

acordo com SOUZA (1999) verificar alguns quesitos:

Projeto com cronograma, alocao de tarefas e oramentos.

38

Piloto e testes antes da instalao.

Elaborar documentao de todos os processos a serem colocados na

Intranet.

Dar treinamento aos usurios.

Montar equipe de suporte.

Efetuar divulgao dentro da empresa, tendo obrigatoriamente o

comprometimento e a ajuda da direo da empresa.

Aps a elaborao deste projeto, deve-s e antes de partir para a implantao fazer
uma avaliao de qual ser o benefcio que est intranet trar, ou seja, de acordo com
SOUZA (1999) qual ser o pay-back, quais processos iro ser automatizados e
agilizados, o que vai ser publicado nela e qual a economia de papel e processos
resultantes.

Em uma Intranet para BENETT (1999) as aplicaes bsicas iniciais, a serem

implementadas numa Intranet, podem ser:

Correio eletrnico.

Consulta a manuais e documentos internos.

Lista de ramais telefnicos.

39

Boletins informativos e circulares.

Avisos e normas como ISO-9000.

Tabela de preos.

Publicaes (a Intranet e basicamente publicao).

Formulrios eletrnicos.

Outros.

Com o objetivo bsico de reduo de custos a Intranet vem para economizar

tempo e dar maior produtividade ao fluxo de trabalho, de forma que permita uma
melhor tomada de decises e melhor habilidade na resposta aos clientes. As empresas
tambm podero colocar documentaes tcnicas e informaes sobre a manuteno de
produtos para acesso via Internet, economizando assim custos.

Existem diferentes modelos de Intranet:

Modelo multicamada: combina servidores pblicos e internos, permitindo

a comunicao entre os empregados da empresa e seus clientes.

Modelo interno: formado de servidores de informao internos para

acessos dos empregados a informaes tecnolgicas e treinamento. Esse
modelo permite a eliminao de papel na empresa.

40
A implantao de uma intranet tida como uma grande avano para uma empresa,
s que est ao implantar uma intranet dever considerar tambm a implantao de um
sistema de segurana firewall para isolar o trafego externo da Internet em relao a
rede interna, evitando assim a entrada de intrusos, com o uso de senhas e programas de
segurana. Para SOUZA (1999) esses sistemas de segurana filtram a informao que
trafega na rede, evitando a entrada de intrusos no autorizados.

BENETT (1999) afirma que muitas empresas obtiveram economias de dezenas

de milhes de dlares anuais com a implementao de Intranets, pela substituio de
papeis, impresso grfica e do transporte de documentos e manuais por meios
eletrnicos da Intranet.

CAPTULO IV SEGURANA NA INTERNET

1. Introduo

Hoje em dia com o avano crescente da Internet e o fcil acesso a ela, torna-se
cada vez mais necessrio pensar-se em meios de manter as informaes sigilosas
seguras da melhor maneira possvel, pois existem muitos criminosos de informtica
(normalmente garotos adolescentes) a solta pela Internet.

No incio quando os invasores atacavam uma empresa e eram pegos, recebiam

clemncia dos tribunais atravs da alegao que eram jovens na tenra idade e no
sabiam o que estavam fazendo, e utilizavam o argumento de que o material acabou
sendo devolvido para a vtima. Contudo esta maneira de pensar nos dias de hoje mudou
muito, pois a pessoa que acusada de invadir um sistema e informaes, no consegue
se livrar mais com a alegao de que as informaes foram devolvidas, pois ao contrrio
dos que roubam fisicamente as informaes e necessitam de fotocopiadoras para
fazerem as cpias e estas so facilmente identificveis, no roubo digital a cpia dos
arquivos pode ser feita inmeras vezes e colocadas em locais diferentes ou enviadas via
rede para outra pessoa, que fica difcil de saber se ao estar sendo devolvidas as
informaes, no exista nenhuma cpia desta em outro lugar. Devido a isto HAYDEN
(1999) afirma que os arquivos digitais roubados so uma fonte de problemas, pois uma
vez retirados, ningum pode ter certeza se foram totalmente recuperados.

Desta forma sero expostas as maiores ameaas, e formas de ataques a uma rede
ligada a Internet.

42
2. Ameaas

Com as crescentes conexes de redes a Internet existem inmeras ameaas

conhecidas a elas. Por tanto quando uma empresa resolve conectar-se a Internet deve-se
proteger contra elas. Estas ameaas podem ser:

1. Ameaa de Repudiao: este tipo de ameaa ocorre quando um

participante de uma transao que ocorre online pode vir a negar que a
transao tenha realmente acontecido;

2. Ameaa Transmisso de Dados: Este tipo de ameaa ocorre quando

algum intercepta a comunicao com a rede da empresa e consegue violar
a confidencialidade e a integridade das informaes;

3. Ameaas Rede Corporativa: Ocorre quando a disponibilizao dos

servios de Internet abri furos na segurana da rede, permitindo com que
intrusos acessem outros componentes da rede interna.

4. Ameaas Disponibilidade de Servios: Ocorre quando interrompida a

disponibilidade de alguns servios da rede, ou at mesmo da rede inteira,
deixando seus legtimos usurios sem seus servios;

5. Ameaas aos Servidores da Internet: Este tipo de ameaa ocorre quando

um intruso penetra em um servidor de Internet e modifica as pginas e
comandos que fazem com que este servidor funcione corretamente.

Com a utilizao da Internet BERNSTEIN (1997) mostra atravs da Tabela a 2 os

tipos de ameaas que atacam os aspectos vulnerveis da rede de computadores de uma

43
empresa e transmisses, quando as informaes so trocadas entre a rede interna e a
Internet.

Ameaas

Exemplo

Espionagem: a identidade de um (ou

mais) dos usurios envolvidos em algum
tipo de comunicao observada para ser
mal utilizada posteriormente. Informaes
confidenciais so observadas durante sua
transmisso atravs da rede.

Farejadores de rede podem roubar IDs de

usurios e senhas no-criptografadas
enviadas durante sua transmisso em texto
simples. Farejadores mais avanados
podem roubar mensagens de correio
eletrnico, transaes da Web ou
downloads de arquivos.

Disfarce: Um usurio finge ser outro. Se o

usurio A assumir a identidade do usurio
B, o usurio A ser autorizado a utilizar os
privilgios e direitos de acesso do usurio
B.

Em um ataque de spoofing ao IP(Internet

Protocol), os intrusos criam pacotes de
dados com endereos de origem
falsificados.
Esse
ataque
explora
aplicaes que utilizam a autenticao
baseada em endereos e permite o uso noautorizado ao sistema destino e o acesso
privilegiado a ele.

Replay: Uma seqncia de eventos ou

comandos observada e reproduzida
posteriormente para que possa efetivar
alguma ao no-autorizada.

Falhas em esquemas de autenticao so

exploradas juntamente com a falsificao
de servidores de autenticao para
subvert-las.

Manipulao de Dados: A integridade Devido a controles de acesso inadequados,

dos dados danificada durante o os dados so modificados enquanto esto
armazenamento ou durante a transmisso em um sistema. Da mesma forma,
sem que isso seja detectado.
juntamente com as ameaas de disfarce e
replay, as mensagens so interceptadas,
modificadas e enviadas ao destinatrio sem
serem detectadas.
Roteamento Incorreto: Uma comunicao para o usurio A roteada para o
usurio B, o que pode levar uma
interceptao
de
mensagem.
Os
roteamentos incorretos podem ser usados
juntamente com disfarces, manipulaes e
replays.

Redes, linhas de comunicao e

dispositivos
desprotegidos
ou
inadequadamente
configurados
so
suscetveis a instrues de controle de
roteamento no-autorizada, como o
comprometimento de um provedor de
servios de internet.

Armadilha/Cavalo de Tria: Um Procedimentos de gerenciamento de

processo no-autorizado pode executar um alterao inadequados nos quais programas
programa como se fosse um processo de arquivos transferidos da Internet no

44
Ameaas
Exemplo
autorizado; um programa aplicativo ou de tm seu cdigo-fonte verificado
sistema substitudo por outro que contm
uma seo adicional alterada, permitindo
algum tipo de atividade mal-intencionada
no-detectada.
Vrus: Os vrus de computadores so
cdigos de programa que se autoreproduzem. Eles se associam a um
componente de um arquivo executvel ou a
um programa aplicativo de um sistema e
posteriormente o modificam. Os vrus
podem alterar ou eliminar diversos
arquivos de sistema, alterar dados ou negar
disponibilidade.

O uso ineficiente de programas de

verificao de para:
- unidades de disquetes (setor
inicializao e arquivos de dados)

de

- arquivos de servidor (setor

inicializao e arquivos de dados)

de

- arquivos de BBs e grupos USENET

- mensagens ativas, como as que podem
ser enviadas a partir de um sistema de
correio eletrnico ou da Web

Repdio: Um ou mais usurios negam ter O comrcio eletrnico, no qual

participado de uma comunicao, uma transaes no incluem controles para:
ameaa critica para transaes financeiras
eletrnicas
e
acordos
contratuais => origem
eletrnicos.
=> destino

as

=> tempo de entrega

=> prova de entrega
Negao de Servio: O acesso a um Uma inundao de pacotes pode esgotar
sistema/aplicao interrompido ou a capacidade de uma rede ou sistema,
impedido, o sistema ou aplicao deixa de tornado-o(a) no-disponvel.
estar disponvel, ou uma aplicao cujo
tempo de execuo critico atrasada ou
abortada.
Tabela 2 - Classes de Ameaas (BERNSTEIN,1997 p. 29-30)

45
3. Tipos de Ataques

O protocolo utilizado na Internet o TCP/IP para a transmisso de dados. Este

protocolo foi projetado para possuir uma conectividade razovel, contudo sua segurana
foi deixada de lado. Devido a isto as pessoas mal intencionadas da Internet descobriram
inmeras maneiras tcnicas de driblar a segurana e causar panes nos equipamentos.

Existem segundo HAYDEN (1999) os ataques tcnicos e os no tcnicos, aonde

os ataques tcnicos se dividem em dois grupos TCP/IP, sendo eles:

=> Ataque de Negao de Servio: estes tipos de ataques tm por objetivo

desativar completamente os servios do computador. Os mais conhecidos so: SYN
Flood, Ping da morte, Spoofing ou falsificao de e-mail.

=> Ataque Furtivo: estes tipos de ataque tm como objetivo acessar um sistema de
computador, que de outra maneira o usurio no teria acesso. Os mais conhecidos so:
Spoofing de IP, Roubo de Senha atravs de Fora Bruta e Seqestro de Sesso.

Enquanto isto os ataques no tcnicos mais conhecidos so:

Engenharia social;

Usurio enrolado ou papel colado no fundo do Teclado;

Computador Desprotegido;

Mergulho no lixo ou vale a pena picotar.

46
3.1 Ataques tcnicos

Este tipo de ataque ocorre quando necessrio o conhecimento tcnico na rea de

informtica para conseguir chegar ao objetivo final. So os ataques mais utilizados e de
maior produtividade para o invasor, pois no existe a necessidade de sua presena fsica
no local do ataque.

3.1.1 Ataques de Negao de Servio

SYN Flood: Para se estabelecer uma conexo TCP/IP faz-se necessrio que ela se
inicie com uma solicitao do sistema cliente para o sistema servidor, caso esta
solicitao seja vlida o servidor ir completar a conexo. Desta forma para HAYDEN
(1999) cada conexo dever ser reconhecida para que o ataque seja diagnosticado.

Como para responder as solicitaes de conexo existe a necessidade de ocupar

alguns recursos do servidor (um pouco de memria e uma pequena parte do tempo do
processador) os intrusos utilizam-se disto para derrubar o servidor.

Este ataque ocorre da seguinte forma: enviada uma enorme quantidade de

solicitao de conexo para o servidor, em geral sem um nmero de IP de retorno,
ficando assim difcil de identificar o computador que est enviando o ataque. Possui
como resultado a negao de servios, j que o servidor est to ocupado respondendo a
solicitaes de conexo que no consegue fazer mais nada, ficando assim parcialmente
ou totalmente sem condies de utilizao. Este tipo de ataque combatido na maioria
dos sistemas operacionais atravs de pacth de correo.

Ping da morte: Este tipo de ataque ocorre quando um usurio mal intencionado
envia uma mensagem ping e faz modificaes no tamanho do pacote que possui como
valor mximo o de 65.536 bytes. Este pacote ao ser recebido pelo servidor derruba-o, o

47
sistema pode congelar e precisar ser reiniciado ou pode haver uma pane total no
servidor. tido como um ataque infantil e incmodo.

Os sistemas operacionais possuem correes para os servios de ICMP dos

softwares de protocolo TCP/IP dos servidores. Segundo HAYDEN (1999) ping o
nome do aplicativo que utiliza o Internet Control Message Protocol (ICMP) , e
funcionado como um sonar que envia um pacote e aguarda a resposta, caso no haja
resposta significa que o computador est indisponvel.

Spoofing ou Falsificao de E-mail: este tipo de ataque tido como muito

infantil. Ele ocorre quando um usurio inscreve o endereo de outro em inmeras listas
de newsgroup da USENET, e quando o servidor de e-mail da pessoa comea a receber a
grande quantidade de e-mails direcionados ao usurio ele se sobrecarrega e entra em
pane.

O Spoofing tambm pode ser utilizado como um ataque furtivo, quando um

intruso modifica o cabealho de uma mensagem de e-mail como se o chefe de uma
pessoa estivesse solicitando uma senha para trabalhar num sistema, quando esta estiver
fora do local de servio.(HAYDEN, 1999).

3.1.2 Ataques Furtivos

Spoofing de IP: este tipo de ataque ocorre quando um intruso simula possuir um
IP confivel para o servidor.

Ocorre da seguinte maneira: temos o cliente A, o servidor B e o Invasor X. Aonde

o cliente A possui um endereo IP confivel para o Servidor B. O ataque inicia-se com
o Invasor X simulando possuir o endereo IP do cliente A, solicitando uma conexo
com o Servidor B, de forma que ao receber a solicitao B reconhece o solicitao e
estabelece nmeros de seqncia.

48
Aps isto o servidor B mandar uma resposta ao cliente A para reconhecimento
dos nmeros de seqncia. Nisto entra o intruso X que tentar adivinhar o nmero de
seqncia enquanto envia mensagens para A, pois este no poder receber a mensagem
de B e responder negando a solicitao de conexo.

Este tipo de ataque para BERNSTEIN (1997) tido como uma estratgia
desajeitada e entediante, contudo uma anlise recente revelou que umas ferramentas
existentes podem executar um ataque de Spoofing de IP em menos de 20 segundos.
um ataque perigoso, e ocorre cada vez mais.

Roubo de Senha atravs da Fora Bruta: o tipo de ataque mais comum que
existe, mais lento e exige muito trabalho e inmeras vezes tornam-se improdutivo. Para
que ele ocorra necessrio um servidor que no desconecta aps vrias tentativas de
acesso malsucedidas. Porm mesmo que o servidor faa a desconexo existem maneiras
de se automatizar o processo.

Este tipo de ataque ocorre quando se possui um login conhecido e um dicionrio

eletrnico para tentar diversas senhas diferentes para este login. Segundo HAYDEN
(1999) isto um processo entediante e caso esteja sendo feito uma auditoria na rede ele
facilmente detectado e cancelado, de tal forma que torna o roubo de senha bem difcil.

Seqestro de Sesso: parecido com o Spoofing de IP este ataque ocorre quando

um intruso consegue monitorar uma sesso existente entre o cliente A e o servidor B,
tomando conta da identidade de A, derrubando-a e assumindo suas funes na sesso
com B, com os mesmos privilgios de A. segundo HAYDEN(1999) este tipo de ataque
de difcil proteo.

49
3.2 Ataques no Tcnicos

Estes tipos de ataques ocorrem quando o intruso no necessita de conhecimentos

na rea de Informtica, em geral necessria a presena fsica do invasor no local que
ser feito a invaso por meio tecnolgico mais tarde.

Os ataques so:

Engenharia Social: ocorre quando os invasores trabalham com a natureza

humana, tornando-se um ataque bastante traioeiro. Em geral utiliza-se a hierarquia de
comando para que possa receber uma senha, pois um funcionrio acaba passando a
senha a invasor quando este finge ser um superior na hierarquia de comando da
empresa. Este tipo de ataque segundo HAYDEN (1999) ocorreu muito durante as
dcadas de 70 e 80, pois as pessoas ainda no estavam acostumadas com a informtica,
hoje em dia torna-se mais difcil a utilizao deste tipo de ataque.

Usurio enrolado, ou papel colado no fundo do teclado: este tipo de ataque

ocorre mesmo que o sistema de segurana das informaes de uma empresa seja o mais
seguro possvel, mas se o usurio no sabe como proceder com sua senha da melhor
maneira possvel acaba deixando-a anotada em um papel colado embaixo do teclado, ou
at mesmo escrita em bilhetinho na sua estao de trabalho, ento um invasor que
consiga um emprego nesta empresa, encontra esta senha e dependendo do nvel de
acesso que ela disponibiliza, o estrago est feito.

Computadores Desprotegidos: de conhecimento que uma rede para ser segura

necessita de firewalls, proxys e outras ferramentas de segurana, contudo caso os
servidores no possuam uma segurana fsica, estejam longe do alcance de pessoas que
possam estar trabalhando na empresa s para conseguir acesso aos dados, ou seja em
vez de estarem em salas abertas ou em armrios de fcil acesso, devero ser colocadas
em salas fechadas com acesso restrito e com senha de proteo de tela.

50
Mergulho no lixo, ou vale a pena picotar: este tipo de ataque ocorre quando o
invasor revolve o lixo da empresa a procura de login de acesso e de senhas. Hoje em dia
pouco utilizado, pois a maioria das empresas procura picotar seus documentos antes
de joga-los ao lixo.

4. Polticas de Segurana

Uma empresa para ter segurana em seus sistemas dever em primeiro lugar criar
polticas de segurana, que segundo BERNSTEIN (1997), so diretivas de
gerenciamento que estabelecem as metas comerciais da organizao, fornecem uma
estrutura de responsabilidades e domnios aos processos.

Na elaborao das polticas de segurana deve-se levar em considerao os

seguintes princpios, de acordo com SOARES (1995):

Autenticao: este princpio rege os termos e forma de autenticao de um

usurio para ter acesso a uma rede. Com a autenticao o sistema possui a
garantia de que quem est tentando o acesso uma pessoa autorizada.

Controle de acesso: atravs do controle de acesso o sistema ir permitir ao

usurio conectar e acessar os dados e as partes do sistema que lhe so
permitidas e autorizadas.

Confidencialidade: a confidencialidade a garantia de que a comunicao

entre o usurio e o sistema de maneira tal que os outros usurios no
consigam ter acesso aos dados trocados entre o usurio e o sistema

Integridade: a integridade garante que os dados acessados pelo usurio no se

modifiquem enquanto esto sendo transportados pela rede.

51

No repdio: este servio serve para garantir que as solicitaes do usurio

ao sistema sejam respondidas positivamente se este tiver autorizao para
executa-las.

5. Segurana do Correio Eletrnico

Os servios de correio eletrnicos existentes hoje na Internet baseiam-se no

protocolo SMTP conforme a norma da RCF 822 da Internet. Este servio no foi
definido com sistemas de segurana. Desta forma para BERNSTEIN (1997) este servio
pode sofrer inmeras ameaas, podendo ser divididas em dois grupos: as ameaas a
mensagens em trnsito e as ameaas aos agentes de entrega de mensagens em sistemas
finais.

5.1 Ameaas a Mensagens em Trnsito

As ameaas a Mensagens em trnsito ocorrem quando uma pessoa forja um e-mail

solicitando algo para outra como se fosse o chefe desta, esta pessoa acaba obedecendo a
ordem e envia dados.

Este problema ocorre, pois o SMTP reflete muito dos problemas de segurana da
Internet. Para BERNSTEIN (1997) estes problemas so:

Falta de Confiabilidade: A falta de confiabilidade no uma preocupao

para as informaes pblicas, mas torna-se inaceitvel para a comunicao
comercial confidencial;

Falta de autenticidade: Em uma mensagem de correio eletrnico no existe a

possibilidade de saber se a pessoa est utilizando e informando seus dados
corretamente, desta forma no se pode identificar com quem se est
conversando;

52

Falta de Integridade: No existe a possibilidade de garantir que uma

mensagem que foi enviada estar correta ao ser recebida;

Falta de no-repudiao: Com os sistemas de correio eletrnicos existentes

os usurios no podem negar que enviaram uma mensagem, contudo podem
negar o contedo desta mensagem.

5.2 Ameaas aos agentes de entrega de mensagens em sistemas finais

Estes tipos de ameaa dividem-se em dois subtipos, sendo eles conforme

BERNSTEIN (1997):

Inicializao Automtica de Aplicaes atravs do MIME: este tipo de

ameaa ocorre quando um interpretador grfico do MIME configurado para
abrir/executar programas fora dele de acordo com as mensagens recebidas.
Estas mensagens podero conter vrus ou comandos que possam abrir as
portas de um computador para os invasores.

Ataques em Hosts atravs de Agentes de Correio Eletrnico: Este tipo de

ameaa ocorre com o Sendmail, que o sistema de e-mail mais utilizado nas
plataformas UNIX. Ele possui mais ou menos dez mil linhas de cdigos e uma
infinidade de bugs e back doors que deixam os servidores vulnerveis aos
ataques dos invasores, de forma que pode deixar o servidor todo aberto para
quem conseguir e quiser faze o que bem entender.

6. Segurana dos Servidores de News

As empresas que utilizam os servidores de News na sua grande maioria de acordo

com BERNSTEIN (1997) no do muita importncia para a segurana dos servidores

53
pois acham que o News um servio que no apresenta ameaa a segurana por ser um
conjunto de BBSs pelos quais os funcionrios podem trocar mensagens.

Contudo o News baseado no protocolo NNTP (Network News Transfer

Protocol), que semelhante ao SMTP e possui comandos para enviar mensagens entre
servidores de news, e tambm entre os servidores e os leitores finais.

Desta forma as ameaas aos servidores podem ser dividas da seguinte forma:

Interrupo do News: este tipo de ameaa ocorre quando uma pessoa mal
intencionada envia artigos fajutos para publicao no lugar de artigos
verdadeiros,, ou atravs de comandos impossibilita que outros publiquem seus
artigos no servidor.

Violaes de Polticas: Este tipo de ameaa ocorre quando um funcionrio

pode publicar em um news amplamente lido informaes confidenciais da
empresa, ou tambm o news receber informaes agressivas e public-las para
todos os grupos.

Ameaas Empresa: os servios de News se no forme bem configurados

podem abrir brechas na seguram da empresa e deixar seus sistemas expostos a
quem quiser fazer algo de ruim.

7. Segurana dos Servidores de Terminal

Os servidores de terminal utilizam o protocolo telnet para fornecer servios de

login remoto a outro host, para este login so utilizados e controles de ID de usurio e
uma senha padro, conforme seria em um acesso local.

54
Enquanto isto existem tambm comandos de shell do tipo r-, rlogin e rsh que
fornecem tambm recursos de login remoto a outras mquinas. BERNSTEIN (1997)
disse que ... ao contrrio do telnet, esses servios no utilizam o mecanismo de
autenticao utilizado pelo programa de login local...

Os comandos do tipo r- fazem o uso de um mecanismo que ir simular um acesso

confivel, dando assim possibilidade de certos usurio terem acesso a rede sem
necessidade de login e senha. Este acesso disponibiliza, segundo BERNSTEIN (1997) ,
a um grupo limitado de usurios que possuam seus nomes de conta, tanto no diretrio
local ou no diretrio principal, acesso privilegiado a todo o sistema.

Desta forma o acesso a sistemas atravs do telnet ou rlogin d acesso shell direto
ao sistema, diferente do FTP e do Correio eletrnico.

8. Protocolos de Segurana

8.1 IPSEC (IP Security)

O IPSec (IP Security) um conjunto de protocolos padro com o intuito de

garantir comunicaes privadas seguras em redes IP. Ele garante confidencialidade,
integridade e autenticidade nas comunicaes de dados atravs de redes pblicas IP.

O IPSec utilizado para fornecer uma soluo ponto-a-ponto em uma arquitetura

de rede, pois sua implementao possui a encriptao do nvel de rede e autenticao.
Com a utilizao do IPSec no a necessidade de que os sistemas fim e as aplicaes
precisem sofrer qualquer mudana para obter a vantagem de uma boa segurana, j que
os pacotes encriptados enviados so vistos como pacotes IPs comuns, podendo ser
facilmente passados atravs de qualquer rede IP, sem que seja feita a mudana de
qualquer equipamento intermedirio. Desta forma, somente os dispositivos do host final
que dever entender a encriptao.

55
Seu funcionamento baseia-se em um novo conjunto de headers que sero
adicionados ao datagrama IP. De acordo com JHN (2001) estes novos headers so
colocados aps o header IP e antes do protocolo de nvel 4 (Transporte), fornecendo
informaes para a segurana dos dados dos pacotes IP. Estes headers so:

- Header de Autenticao (AH): ao ser adicionado a um datagrama IP, o heard

de autenticao garante a integridade e a autenticidade dos dados, incluindo os campos
invariveis no header IP externo. Contudo no garante proteo da confidencialidade.
De forma que o AH utiliza preferencialmente uma funo "keyed-hash",pelo motivo da
tecnologia de assinatura digital ser lenta e reduzir assim o desempenho da rede..

- Dados de Segurana Encapsulados (ESP): o header de segurana quando

adicionado a um datagrama IP, ir dar proteo a confidencialidade, integridade e
autenticidade dos dados. Caso o ESP seja utilizado para validar a integridade dos dados,
ele no inclui os campos invariveis no header IP.

Para JHN (2001), o AH e o ESP podem ser usados independentemente ou

juntos, apesar de que para a maioria das aplicaes apenas um deles suficiente. O
IPsec no possui uma definio de algoritmo especifico para ambos os protocolos,
porm oferece uma estrutura aberta para a implementao de algoritmos padronizados.

As implementaes do IPSec em sua grande maioria utilizam os modelos de

criptografia MD5 da RSA Data Security ou o algoritmo Secure Hash (SHA).Para JHN
(2001) o DES , atualmente, o algoritmo de encriptao mais comumente oferecido,
contudo RFCs indicam o uso de muitos outros sistemas de encriptao, incluindo o
IDEA, o Blowfish e o RC4.

56
8.2 SSL (Secure Sockes Layer)

O SSL (Secure Sockes Layer) uma soluo que fornece servios de segurana
genricos para os diversos protocolos TC/IP, uma vez que protege os protocolos das
camadas inferiores.

Com o fornecimento de uma estrutura de segurana aonde os protocolos das

aplicaes podem ser executados, o SSL tenta dar proteo a toda pilha TCP/IP.

O SSL, segundo BERNSTEIN (1997), composto de dois protocolos:

Protocolo de Registro: responsvel por transmitir os dados reais;

Protocolo de Handshake: responsvel por negociao das tcnicas a serem

utilizadas

no

fornecimento

de

servios

de

segurana,

que

inclui

confidencialidade e autenticidade

8.3 PGP (Pretty Good Privacy)

O PGP (Pretty Good Privacy) foi criado no final dos anos da dcada de 1980 por
Phil Zimmermann que garantia a segurana de sistemas de correio eletrnico. No incio
foi distribudo livremente entre seus conhecidos, e a partir de 1991 passou a ser
distribudo livremente pela internet.

Este programa foi rapidamente adotado por vrias pessoas, passando a frente do
PEM, pois era independente da plataforma do sistema operacional. Por ser independente
dos agentes de correio eletrnico sua imigrao para vrias plataformas torna-se mais
fcil.

57
O PGP utiliza um nico conjunto de algoritmos responsveis por garantir a
confidencialidade, integridade e autenticidade. De acordo com BERNSTEIN (1997), o
PGP tambm permite a compactao de mensagens externas por meio do utilitrio Zip.

O funcionamento do PGP atravs de um mtodo bem menos formal para o

gerenciamento de chaves e de acesso confivel do que o utilizado pelo PEM. Ele utiliza
dois chaveiros; onde um utilizado pelo usurio para armazenar seu prprio par de
chaves, e o outro chaveiro ir armazenar as chaves pblicas de que tem conhecimento.

Para BERNSTEIN (1997) o primeiro chaveiro armazenado criptografado com

uma frase de acesso conhecida apenas pelo usurio. Enquanto isto o segundo
chaveiro contm certificados PGP, compostos apenas por uma chave pblica e um nome
associado. Desta forma no PGP no existe o conceito de CAs, mas sim a confiana de
um usurio no outro e a possvel confiana do primeiro usurio nos que so confiados
pelo outro. Podendo assim o usurio ter o discernimento de confiar ou no nas outras
pessoas.

8.4 PEM (Privacy Enhanced Mail)

O protocolo PEM (Privacy Enhanced Mail) surgiu no ano de 1990 quando o

Privacy and Security Research Group da IETF (Internet Engineering Task Force)
comeou o desenvolvimento de um padro de segurana para ser utilizado nos correios
eletrnicos. Este protocolo definido segundo BERNSTEIN(1997) de acordo com a
forma que os ...agentes de criptografia de chave pblica, gerenciamento de certificados
e correio eletrnico devem se integrar para formar um sistema de segurana de correio
eletrnico.

Os certificados utilizados pelo PEM so baseados no X.509, que acabaram se

tornando um padro para certificados de chave pblica. Estes certificados so dispostos
de uma forma hierrquica restrita, aonde as CAs (Certification Authorities) garantem as

58
identidades de pessoas e seus certificados, enquanto isto os certificados das CAs so
emitidos pelas PCAs(Policy Certification Authorities) e os certificados das PCAs so
assinados por um nico certificado-raz pertencente a IPRA (Internet Policy
Registration Authority). Estes certificados segundo BERNSTEIN(1997) possuem o
tempo de validade de acordo com o especificado pelas Cas.

BERNSTEIN (19997) afirma que atravs do padro PEM, uma nica mensagem
pode ser enviada a vrios destinatrios atravs do uso de uma nica chave de sesso,
para criptografar dados, e da incluso de varas cpias dessa chave. Uma mensagem
com cabealho PEM s poder ser aberta por quem souber a chave para descriptografala.

8.5 SSH (Secure Shell)

O SSH (Secure Shell) um programa que foi desenvolvido para ser utilizado no
acesso a computadores remotos. Possui como maior diferena para o Telnet o trabalho
com senhas criptografadas, possuindo assim uma conexo segura, j que no telnet a
senha no criptografada e circula pela rede da maneira que digitada.

Este programa possui como maiores caractersticas:

- Todas as conexes so criptografadas de forma transparente e automtica;

- Protege o DISPLAY das sesses (conexes X11);

- Pode criptografar outros servios, por exemplo, ftp, tftp, etc.

- Protege as conexes contra cavalos de tria, DNS spoofing, routing spoofing, IP

spoiofing.

59
O SSH foi desenvolvido com o propsito de substituir o rlogin, rsh, rcp e as
maiorias das funes existentes no Telnet, j que prove uma comunicao mais segura
entre duas mquinas.

8.6 HTTP Seguro

Em junho de 1994 a CommerceNet Consortiun cria um padro chamado de Secure

HTTP (S-HTTP), funcionando como uma extenso do HTTP. Este padro fornece
bastante flexibilidade ao aceitar algoritmos, gerenciamento de chaves, certificados e
normas de segurana, para BERNSTEIN (1997) ento o S-HTTP oferece
compatibilidade com vrios sistemas.

No S-http as mensagens possuem estruturas semelhantes as do PEM. Estes

formatos das mensagens podem ser utilizados para a distribuio de certificados, sendo
desta forma uma alternativa para as pessoas recuperarem certificados atravs de outros
mecanismos.

Os S-http possui como maior diferena as normas que os clientes e os servidores

utilizam para se conectar, de forma que pode exigir ou no que um determinado servio
de segurana seja utilizado. BERNSTEIN (1997) diz que essa flexibilidade torna-se
extremamente benfica ao montar a estrutura para que o uso do S-HTTP seja
difundido.

9. Criptografia

A partir da necessidade de se enviar informaes sigilosas em meios de

comunicaes no confiveis, foi que surgiu a criptografia.

60
As criptografias so mtodos utilizados para modificar o texto original da
mensagem que deve ser transmitida. Os textos so criptografados na origem e depois
enviados.

Quando o texto criptografado chega ao destino, ele decriptado e ento lido.

Contudo desta maneira se o intruso descobrir o mtodo utilizado ele quebrar o texto
codificado e ter acesso as informaes.

Com esta falha surgiram os mtodos que utilizam chaves de codificao para
criptografar o texto. Sendo eles: criptografia com chave pblica e criptografia com
chave secreta.

9.1 Criptografia com Chave Secreta

Este tipo de criptografia utiliza uma chave secreta que dever ser de conhecimento
tanto do emissor quanto do receptor.

Os mtodos que utilizam a mesma chave secreta para criptografar ou decriptar um

texto so denominados de simtricos ou de baseados em chave secreta.

Este tipo de criptografia possui como seu algoritmo mais conhecido o DES (Data
Encryption Standard).

9.1.1 DES (Data Encryption Standard)

Este mtodo foi desenvolvido pela IBM e depois de adotado pelo governo do
EUA como padro.

61
SOARES (1995) e TANENBAUM (1997) afirmam que o DES codifica blocos de
64 bits de um texto normal gerando ento 64 bits de texto criptografado.

Funcionamento de um algoritmo de codificao DES segundo SOARES (1995):

Parametrizado por uma chave K de 56 bits, possui 19 estgios diferentes

(Figura 1a)

1 Estgio: transposio dos bits do texto independente da chave;

2 ao 17 Estgio: so praticamente identificados (transposies e

substituies), possuindo como parametrizao as chaves Ki, obtidas pela
aplicao de funes i para outro, nos bits da chave K original (Figura1b);

18 Estgio: realiza a permutao dos 32 bits mais significativos com os 32

bits menos significativos do bloco de dados;

19 Estgio: realiza uma transposio inversa a do primeiro estgio.

Para a decodificao do texto necessrio somente executar os estgios de trs

para frente.

a)
Texto
Normal

T
R
A
N
S
P
O
S

E
S
T

G
I
O

E
S
T

G
I
O

E
S
T

G
I
O

16

Chave de Codificao

P
E
R
M
U
T
A

T
R
A
N
S
P
O
S
I

Texto Criptografado

62
b)
k
56 bits

Ei - 1

Di - 1

32 bits

32 bits

i(k)

56 bits
Ei 1 (Di-1, ki)

32 bits
E

32 bits
D

Figura 2 Mtodo de Criptografia DES ( SOARES, 1995)

Este mtodo possui como principal problema necessidade que os envolvidos

saibam o valor da chave a ser utilizada na encriptao e decriptao do texto, de forma
que SOARES (1995) exemplifica dizendo que em uma empresa aonde existam n
funcionrios e eles se comunique m utilizando chaves em pares necessrio que um
funcionrio conhea n nmeros de chaves, tornando-se assim invivel.

Descrio de outros Algoritmos Simtricos:

Algoritmos

Descrio

Triple DES

O 3DES uma simples variao do DES, utilizando-o em trs

ciframentos suscessivos, podendo empregar uma verso com duas ou com
trs chaves diferentes. seguro, porm muito lento para ser um algoritmo
padro.

IDEA

O International Data Encryption Algorithm foi criado em 1991 por James

Massey e Xuejia Lai e possui patente da sua ASCOM Systec. O
algoritmo estruturado seguindo as mesmas linhas gerais do DES. Mas
na maioria dos microprocessadores, uma implementao por software do
IDEA mais rpida do que uma implementao por software do DES. O
IDEA utilizado principalmente no mercado financeiro e no PGP, o
programa para criptografia de e-mail pessoal mais disseminado no
mundo.

Blowfish

Algoritmo desenvolvido por Bruce Schneier, que oferece a escolhe entre

maior segurana ou desempenho atravs de chaves de tamanho varivel.
O autor aperfeioou-o no Twofish, concorrente ao AES.

RC2

Projetado por Ron Rivest (o R da empresa RSA Data Security Inc.) e

utilizado no protocolo S/MIME voltado para criptografia de e mail

63
utilizado no protocolo S/MIME, voltado para criptografia de e-mail
corporativo. Tambm possui chave de tamanho varivel. Rivest tambm
o autor do RC4, RC5 e RC6, este ltimo concorrente ao AES.
Tabela 3 - Algoritmos de Criptografia Simtricos (MAIA,2001)

9.2 Criptografia com Chave Pblica

No ano de 1976 foi proposto um novo mtodo que revolucionava os sistemas de

criptografia. Este mtodo proposto por DIFFIE e HELLMAN era baseado na utilizao
de chaves distintas, nas quais uma era para codificao (E) e a outra para decodificao
(D), de forma que a derivao de D a partir de E fosse impossvel ou muito difcil de ser
realizada de maneira prtica.

Quando for respeitada est condio poder ser tornada pblica a chave E. desta
forma os mtodos que possuem esta caracterstica so denominados de assimtricos, ou
baseado em chave pblica.

Desta maneira SOARES (1995) afirma que a diferena entre os mtodos de

criptografia simtricos e assimtricos, que, nos primeiros, a chave K usada no
procedimento de codificao igual a chave K usado no procedimento de
decodificao, isto , K=K, e nos assimtricos KK .

O mtodo assimtrico utilizado o RSA (Rivest, Shamir e Adleman)

9.2.1 RSA (Rivest, Shamir e Adleman)

Este mtodo de criptografia tido como o mais importante na criptografia

assimtrica. baseado na dificuldade de fatorao de nmeros muito grandes.

De acordo com SOARES (1995) para que possa ser usado o RSA, necessrio
tomar dois nmeros primos p e q, aps obter um nmero d, tal que d e (p-1)*(q-1) sejam

64
primos entre si, ou seja, que o nmero d satisfaa a equao mximo divisor comum
[d,(p-1)*(q-1)]=1.

Em seguida necessrio obter um nmero e tal que e*d=1 (mod[(p-1)*(q-1)]), de

forma que a diviso de e*d por (p-1)*(q-1) seja igual a 1.

Aps as equaes anteriores estarem satisfeitas, poder se utilizar um par (e,n)

para chave pblica e um par (d,n) para chave privada. Com as chaves feita a
codificao e decodificao.

C Pe (mod n)

P Cd (mod n)

Com este tipo de criptografia o usurio s precisa guardar a chave pblica do

outro para enviar uma mensagem criptografada. E esta s poder ser aberta com a chave
privada.

A seguir na tabela 4 visualizamos outros Algoritmos de Criptografia Assimtrica:

ElGamal

O ElGamal outro algoritmo de chave pblica utilizado para

gerenciamento de chaves. Sua matemtica difere da utilizada no
RSA, mas tambm um sistema comutativo. O algoritmo envolve a
manipulao matemtica de grandes quantidades numricas. Sua
segurana advm de algo denominado problema do logaritmo
discreto. Assim, o ElGamal obtm sua segurana da dificuldade de
se calcular logaritmos discretos em um corpo finito, o que lembra
bastante o problema da fatorao.

Diffie-Hellman

Tambm baseado no problema do logaritmo discreto, e o

criptosistema de chave pblica mais antigo ainda em uso. O conceito
de chave pblica, alis foi introduzido pelos autores deste
criptosistema em 1976. Contudo, ele no permite nem ciframento

65
nem assinatura digital. O sistema foi projetado para permitir a dois
indivduos entrarem em um acordo ao compartilharem um segredo
tal como uma chave, muito embora eles somente troquem mensagens
em pblico.
Curvas Elpticas

Em 1985, Neal Koblitz e V. S. Miller propuseram de forma

independente a utilizao de curvas elpticas para sistemas
criptogrficos de chave pblica. Eles no chegaram a inventar um
novo algoritmo criptogrfico com curvas elpticas sobre corpos
finitos, mas implementaram algoritmos de chave pblica j
existentes, como o algoritmo de Diffie e Hellman, usando curvas
elpticas. Assim, os sistemas criptogrficos de curvas elpticas
consistem em modificaes de outros sistemas (o ElGamal, por
exemplo), que passam a trabalhar no domnio das curvas elpticas,
em vez de trabalharem no domnio dos corpos finitos. Eles possuem
o potencial de proverem sistemas criptogrficos de chave pblica
mais seguros, com chaves de menor tamanho. Muitos algoritmos de
chave pblica, como o Diffie - Hellman, o ElGamal e o Schnorr
podem ser implementados em curvas elpticas sobre corpos finitos.
Assim, fica resolvido um dos maiores problemas dos algoritmos de
chave pblica: o grande tamanho de suas chaves. Porm, os
algoritmos de curvas elpticas atuais, embora possuam o potencial de
serem rpidos, so em geral mais demorados do que o RSA.

Tabela 4 - Algoritmos de Criptografia Assimtrica (MAIA,2001)

10. Firewalls

No incio a internet era pequena e no havia a necessidade de se preocupar com a

segurana. Contudo com o elevado crescimento da internet tornou-se necessrio a
criao de bloqueadores de acesso entre uma rede e outra. Assim sendo surgiram os
Firewalls (portas contra fogos).

Os firewalls so ento utilizados para proteger as redes antes que invasores

possam fazer estragos na rede coorporativa. Tornou-se assim uma ferramenta
estratgica para a implantao de uma poltica de segurana em uma rede.

Estes tipos de servios oferecem geralmente proteo contra ataques a protocolos

ou a aplicaes individuais, protegendo tambm contra ataques de spoofing, so
tambm de fcil configurao, oferecendo relativa flexibilidade para que as

66
configuraes ofeream restries para diferentes tipos de trfegos, ou seja, um firewall
recebe um pacote verifica o que fazer com ele, se deixa entrar ou no na rede.

Os firewalls podem ser utilizados para esconder umas mquinas das outras e
regular o trfego que entra e sai das mquinas.

O firewall um nico ponto de entrada de uma rede, contudo caso ele seja
invadido, torna-se assim um nico ponto de falha na segurana, pois d acesso a toda a
rede.

Para SOARES (1995) os firewalls possuem algumas limitaes:

os firewalls no garantem a integridade dos dados;

os firewalls no garantem a autenticidade da origem dos dados;

a maioria dos firewalls no garante o sigilo dos dados.

os firewalls no garantem proteo contra ameaas internas;

um firewall apenas um ponto de entrada para uma rede.

10.1 Tcnicas de Firewall

Existem trs tipos de firewalls que podem ser utilizados: filtros de pacotes
baseados no roteador e no host, filtro inteligentes baseados no host e gateways de
aplicaes baseadas no host.

67
Para que a segurana seja mais forte feita uma combinao destas tcnicas de
firewalls.

10.1.1 Filtros de Pacotes

Tipo como a maneira mais fcil de se implantar um software feita em um

roteador que conecta a rede interna a internet ele utiliza o conceito de filtragem de
pacotes para fazer o controle do tipo de trfego que poder passar pelo roteador.

No incio eles eram utilizados para fazer o controle da largura de banda que as
conexes poderiam utilizar. Estes tipos de filtros so implantados na maioria das vezes
sem que o usurio final tenha conhecimento da existncia deles.

A tcnica de filtragem de pacotes simples, e baseia-se na tecnologia Store-andforward (armazenamento e encaminhamento) dos roteadores, ou seja, quando um host
ou roteador receber um pacote em uma interface, ele ter suas informaes de cabealho
comparados com um conjunto de filtros, para que ento, seja decidido se o pacote pode
passar, se o pacote ser abandonado inteiramente ou, se ser rejeitado (neste caso ser
enviada uma mensagem ICMP de volta ao ponto de origem).

Para SOARES (1995) a maioria dos filtros de pacotes levam em considerao os

seguintes critrios:

A direo do trfego (da interface para a rede interna ou da rede interna para a
interface);

A interface na qual o trfego foi recebido ou para o qual se destina;

O tipo de protocolo;

68

Os endereos IP de origem e de destino;

A informao sobre o estado do TCP.

Os fornecedores de roteadores na sua grande maioria j incorporam os filtros de

pacotes no software de seus roteadores.

Um filtro de pacote possui com sua sintaxe:

Lista

Ao

Prot.

Origem

Destino

Access-List1

Deny

TCP

All

Inside por 23

A onde:

Lista: lista de acesso

Ao: permit ou deny

Prot.: protocolo a ser utilizado

Origem: local da solicitao

Destino: destino da solicitao.

69
Contudo os filtros de pacotes possuem limitaes com o controle dos pacotes,
pois um firewall no poder ficar verificando minuciosamente o contedo de um pacote,
pois ir trazer uma que da no desempenho da rede.

10.1.2 Filtros Inteligentes

De acordo com SOARES(1995) os filtros inteligentes so baseados em hosts e

desempenham tambm as mesmas funes gerais dos filtros de pacotes padro, por~em
possuem maior funcionalidade e no apresentam parte dos problemas dos filtros de
pacotes padro.

A maioria dosa filtros inteligentes so dotados de uma interface GUI

administrativa para facilitar na configurao dos filtros de pacotes. Esta interface deixa
de lado a necessidade do conhecimento de uma linguagem misteriosa, para receber
entradas em um formato legvel e amigvel, transformando ento para uma linguagem
de mquina.

A maioria dos filtros inteligentes segundo SOARES (1995) possuem heursticas

para verificao das regras, de maneira que uma no interfira na outra. Estes filtros
tambm possuem vrios nveis de log, que podem variar desde uma simples contagem
dos pacotes a um mecanismo que aciona o administrador caso algum tipo de evento
acontea.

Os filtros inteligentes na sua maioria aceitam autenticao, por se basearem no

host. Essas autenticaes podem ser do tipo telnet e FTP.

70
11. PROXY

Os servidores proxy em contrapartida dos firewalls adotam a abordagem storeand-forward na qual encerram a conexo de chagada a partir da origem e iniciam uma
nova conexo para o destino.

Para isto, os servidores em geral possuem vrias interfaces de redes para

comunicar-se com vrias redes, funcionando quase como um gateway de base dupla, ou
seja, uma mquina que pertence a duas redes distintas e as mquinas existentes nesta
rede no se conversam diretamente, somente passando pelo Proxy.

11.1 Servidor Proxy de Aplicao

O servidor proxy segundo SOARES (1995) facilita a vida do usurio, pois

estabelece a segunda conexo com a mquina remota para o usurio, evitando assim a
necessidade do usurio acessar o sistema operacional no firewall.

Os servidores proxy oferecem vrias vantagem em relao aos gateways de base

dupla, sendo eles:

No exige que o usurio tenha acesso ao sistema operacional;

No exige que o usurio faa vrias conexes atravs de diferentes mquinas;

Do impresso de que a conexo completamente transparente aps esta ser

estabelecida;

escondem o host interno do servidor de destino, sendo considerada a maior

vantagem.

71
Os servidores proxy em geral so de trs tipos:

servidores proxy de aplicao especfica: este tipo de servidor utilizado

conforme o nome diz, para um tipo de aplicao especfica. Apesar de parecer
um pouco limitada, ela trs a possibilidade de decises da aplicao
especfica;

servidor proxy genrico: este tipo de proxy tido como um packet relay que
aceita as conexes recebidas. Ele consulta ento alguns tipos de tabela de
configurao para que venha a saber quais so as conexes permitidas, ento
assim sendo ir estabelecer a conexo com o seu verdadeiro destino;

servidor proxy de circuito: este tipo de servidor permite que vrios usurios se
comuniquem com vrios servidores, oferecendo assim uma transparncia
completa tanto para o usurio, quanto para o servidor, criando assim um
circuito virtual fim a fim entre o cliente e o servidor.

Os servidores proxy possuem como limitaes:

falta de transparncia;

necessidade da criao de um servidor proxy especfico para cada aplicao.

Desta forma os servidores proxy no so uma soluo definitiva para a segurana,

mas em combinao com os firewalls tornam-se de grande valia.

CAPTULO V MODELO DE SEGURANA

1. Introduo

A partir dos estudos efetuados nos captulos anteriores partiu-se para a elaborao
do modelo para a implantao de segurana para uma Intranet. Para tal torna-se
necessrio uma classificao dos tipos de Intranet, nveis de segurana e servios
serem protegidos, pois uma Intranet implantada sem dispositivos de segurana um
livro aberto para todos.

Os principais motivos para uma Intranet no ser considerada segura so:

Funcionrios que provm da populao em geral, podendo ter pessoas m

intencionadas;

A populao possui uma parcela significativa de harchers, vndalos e

oportunistas;

Contratao de profissionais autnomos que no possuam vinculo total com a

empresa e acaba ocorrendo s vezes uma rotatividade muito grande;

Nem todas as Intranets so internas;

A Internet pode ser usada como uma Wan para conexo entre filiais, expondo a
rede da empresa a toda comunidade da Internet;

Corre o risco de remoo ou substituio acidental dos dados.

73
Com isto deve-se ento definir o que proteger e como proteger.

2. Servios a Disponibilizar

Com estudo feitos atravs de visitas a empresas para ter o conhecimento do que
esta se utilizando nas Intranets, defini-se a seguir os servios a serem disponibilizados
na Intranet.

2.1 Servio de Autenticao

O primeiro servio a ser disponibilizado em uma Intranet a autenticao. Este

servio responsvel pelo controle de quem pode utilizar a rede. Ele baseado em um
login e uma senha, que deve ser mantida pelo usurio em segredo, no deixando que
outros descubram.

Devido a isto, a senha merece algumas consideraes especiais para a sua escolha.

2.1.1 A Escolha de uma Senha

Para que uma senha seja considerada boa, ela deve ter no mnimo 8 caracteres
entre letras, nmeros e smbolos, ser facilmente decorada e de difcil digitao. Os
sistemas em geral diferenciam letras maisculas de minsculas.

Deve-se evitar a utilizao de sobrenome, nmero de documentos, placas de

carros, nmeros de telefones e datas relacionadas com o dono da senha, j que so
informaes de fcil obteno, dando assim melhor liberdade para os criminosos.

74
Outra regra para a criao de senhas no utilizar palavras conhecidas de
dicionrios de qualquer lngua, pois os criminosos em geral utilizam programas para
quebra de senha que pesquisam em dicionrios palavras conhecidas.

2.1.2 Mudana de Senha

A mudana de senha deve ser feita periodicamente para garantir uma melhor
segurana e nunca deve ser feita por algum funcionrio responsvel pelo servio, mas
sim pelo prprio dono da senha.

2.2 Servio Web

O segundo servio a ser disponibilizado em uma Intranet o servio Web

disponibilizado pelo servidor de Intranet. Este servio utilizado para elaborao dos
sistemas a serem rodados na empresa.

Pode ser considerado o alvo principal dos ataques em uma empresa, pois sem o
servio de Web a empresa pode parar seus servios. Existem muitos tipos de ataques
este tipo de servio, sendo os mais conhecidos:

Syn flood : Quando ocorre uma grande quantidade de pedidos de conexo sem
um endereo IP para retorno da resposta da solicitao (HAYDEN, 1999).

Ping da Morte: Ocorre quando feito o envio de mensagens ping com pacotes
maiores do que o valor mximo de 65.536 bytes. Quando este pacote recebido
pelo servidor, derruba-o(HAYDEN,1999).

75
-

Backdoors: os sistemas operacionais na sua grande maioria possuem backdoors,

que so falhas na programao que deixam abertas fendas nos servidores para a
invaso de harckers.

Como se v, os ataques a servios de Web baseiam-se quase sempre em defeitos

de fabricao dos softwares. Ento, para que se proceda uma melhor segurana para este
servio necessrio ficar alerta para atualizaes e patches de correo lanados pelos
fabricantes de software.

Outra maneira de se proteger o sistema a utilizao de um firewall que filtre os

tipos de pacotes que podem chegar ao servidor. Tambm se deve manter um programa
antivrus no servidor.

2.3 Servio de DNS

O servio de DNS torna-se necessrio para a Intranet, pois atravs dele que se
tem o endereo de cada computador interno e como localizar os computadores externos
quando a Intranet conectada a Internet.

Este tipo de servio ao ser atacado e colocado fora do ar deixa os equipamentos

sem achar o servidor e os sistemas param de funcionar.

Para escapar deste tipo de problema o servidor de DNS dever estar abaixo de um
servidor principal, geralmente o provedor de acesso. Tambm necessrio instalar um
firewall para bloquear o acesso no autorizado.

76
2.4 Servio de FTP

Este servio, se no for bem configurado, pode ser crtico para a segurana da
Intranet.

Um ponto importante na disponibilizao do servio de FTP a utilizao ou no

do FTP annimo, j que com este tipo de FTP qualquer usurio poder ter acesso
SHELL ao sistema. A maioria das empresas descarta a utilizao do FTP annimo, j
que existem muitos erros nos servidores de FTP que abrem brechas no sistema.

Contudo, outras empresas passam a utilizar programas de FTP criptografados, a

partir do qual torna-se mais difcil o acesso ao sistema. Existem tambm empresas que
utilizam o FTP via HTTP no servidor.

2.5 Servio de Telnet

O servio de telnet oferecido nas empresas utilizado para acesso remoto ao

servidor, sendo que o principal usurio o administrador da rede. So poucos os
usurios que se utilizam do Telnet, de forma que pode ser considerado um servio a
menos para disponibilizar na rede.

2.6 Servio de Correio Eletrnico

Este servio o mais utilizado pelas Intranets, j que elimina o deslocamento do

funcionrio de um setor para o outro. Porm, um dos servios que mais traz problemas
para a Intranet de uma empresa, pois atravs dele que a maioria dos vrus, back door e
worms.

77
2.6.1 Correio Eletrnico: O Alvo

A maior parte das empresas utilizam os correios eletrnicos para troca de

informaes entre seus empregados, dependendo do porte da empresa, tambm so
utilizados para a troca de mensagens entre matriz e as filiais , e tambm com seus
clientes e fornecedores. Em geral estas mensagens possuem um contedo sigiloso,
tornando-as alvo dos harckers.

A vulnerabilidade dos correios eletrnicos evidenciada atravs duas ameaas

conhecidas:

Inicializao automtica de aplicaes atravs do MIME: ocorre quando um

agente de correio eletrnico executa automaticamente uma mensagem que
contenha vrus ou backdoor.

Ataque em hots atravs de agentes de correio eletrnico: estes tipos de ataques

ocorrem quando o sistema utilizado para correio eletrnico possui bugs e
backdoors, j que o sistema mais utilizado o sendmail que possui vrios
problemas, este ataque o mais comum.

Existe tambm uma nova forma de ataque aos servidores de correio eletrnico,
conhecida como SPAM. Este tipo de ataque ocorre quando uma pessoa recebe
inmeros emails, que em geral so propagandas, lotando sua caixa de entrada. Como
geralmente o SPAM enviado para diversos usurios do mesmo servidor em grande
quantidade, no dando tempo para o servidor processar as informaes, acabando assim
por provocar seu travamento e sua queda, deixando o servio fora do ar.

78
Outro grande problema dos correios eletrnicos a utilizao por funcionrios de
m ndole, pois estes podem se aproveitar desta situao e enviar informaes sigilosas
da empresa para a concorrncia.

2.7 Servio de Banco de Dados

As empresas esto utilizando cada vez mais Banco de Dados para guardar
informaes necessrias para um bom andamento, e tambm sigilosas, tendo ento que
ser protegidas.

Os servidores de banco de dados possuem em geral autenticadores prprios,

existido ento um login especfico para utilizao do sistema, esta autenticao deve
levar em conta tambm s recomendaes das senhas de autenticao na rede, no
sendo iguais.

Os principais ataques aos servidores a tentativa de cpia de dados da empresa,

derrubada do servidor, parando os sistemas, ou at mesmo apagar as informaes
armazenadas em seu interior, podendo trazer inmeros problemas.

3. Tipos de Intranet

Para uma melhor dinamizao do trabalho optou-se pela criao de perfis de

Intranets, tentando abranger todas as Intranets existentes. A elaborao destes perfis
levou em considerao os servios disponibilizados e a conexo com a Internet.

Com isto chegou-se a trs perfis de Intranet, sendo eles:

Intranet Pura

79
-

Intranet Intermediria

Intranet E-Commerce

3.1 Intranet Pura

Este tipo de Intranet pode possuir desde somente o servio de autenticao e web
como todos os outros servios. Foi denominada de Intranet Pura, pois no possui
conexo com a Internet, existe somente na empresa, e utilizada somente por seus
funcionrios. (Figura 3)

Intranet

Internet

Figura 3 Intranet Pura

3.2 Intranet Intermediria

Este tipo de Intranet passa a utilizar os servios da Internet para conexo entre a
matriz e as filiais, tornando-se assim um alvo em potencial para ataques externos, de
maneira que se aumenta a preocupao com o sistema de segurana. Podendo tambm
possuir acesso de pessoas fora da empresa. (Figura 4)

80

Acesso
Externo
Intranet
Filial

Internet

Intranet
Filial

Intranet
Matriz

Figura 4 Internet Intermediria

3.3 Intranet E-Commerce

Este tipo de Intranet o mais complexo de todos. Alm de possuir os servios

disponibilizados pelos perfis anteriores de Intranet, ela disponibiliza o comrcio
eletrnico para seus clientes, de maneira que torna-se o tipo de Intranet que mais gera
preocupao quanto a segurana. (Figura 5)

81

Acesso Externo
Cliente/Consumidor

Intranet
Filial

Internet

Intranet
Filial

Intranet
Matriz

Figura 5 Intranet E-Commerce

4. Nveis de Segurana

Com a utilizao da Intranet torna-se necessrio a definio de nveis de

segurana de acordo com o perfil de Intranet, sendo assim definiu-se os nveis de
segurana para estudo como:

Nvel Bsico

Nvel Intermedirio

82
-

Nvel Avanado

Estes nveis se diferenciam de conforme o tipo de Intranet que ele protege, sendo
que em ordem de proteo comea pela Intranet Pura, seguida pela Intermediria e por
fim a E-Commerce.

5. Como Proteger os Servios?

Aps os estudos sobre os servios a serem oferecidos pelos diferentes tipos de

Intranet, torna-se necessrio definio de como proteger cada servio.

5.1 Servio de Autenticao e Web

Os ataques aos servidores de autenticao e Web partem da iniciativa da quebra

de senhas utilizadas para acesso a estes. Estes ataques partem do conhecimento do login
de um usurio vlido, sendo necessrio somente descobrir a senha deste usurio. A
proteo deste tipo de servio vria de acordo com, o tipo de Intranet. Para tal define-se
os meios de proteo:

Intranet Pura: neste tipo de intranet como no existe a conexo com a Internet
necessria somente utilizao de autenticadores que utilizem senhas
criptografadas e tambm uma poltica de troca de senhas periodicamente.

Intranet Intermediria: este tipo de Intranet por ser um pouco mais avanada, e
ter acesso Internet passa a ter a necessidade de utilizar alm de um
autenticador de senhas com criptografia, um firewall, podendo ser fsico ou
lgico, o qual deve ser configurado para permitir acesso as reas restritas
somente aos endereos IPs confiveis.

83
-

Intranet E-Commerce: este o tipo mais avanado de Intranet, por se tratar de

comrcio via Internet, necessrio um avanado projeto de segurana. Este tipo
necessita alm do autenticador criptografado e o firewall, a utilizao dos
softwares de HTTP seguro, scripts de segurana, e um constante monitoramento
da rede.

5.2 Servio de DNS

O servio de DNS somente atacado quando for bem sucedido o ataque ao

servidor Web e de Autenticao, pois este mais um servio disponibilizado no
servidor Web, de maneira que a alterao ou derrubada do servidor de DNS feita em
um nico ataque.

Este tipo de ocorrncia pouco comum em uma Intranet Pura, pois somente
utilizado dentro da empresa. A partir do instante que passa a ter conexo entre a Intranet
e a Internet torna-se mais propenso os ataques a este servio, j que quando fora do ar os
equipamentos no se encontram.

Para solucionar este tipo de problema necessrio que existam dois possveis
servidores de DNS, sendo que um deve ser o servidor Web e o outro o servidor do
provedor de acesso a Internet, desta maneira sempre ter um em funcionamento.

5.4 Servio de Correio Eletrnico

Os servios de correio eletrnico so um dos mais visados para ataques, existem

vrias maneiras de atac-los, contudo est cada vez mais crescendo os estudos
referentes a sua proteo. Os mais avanados so os que utilizam os conceitos de chave
pblica, porm de acordo com BERNSTEIN(1997) existem questes a serem
levantadas:

84
- Gerenciamento de Certificados. Quase todas as aplicaes de criptografia de
chave pblica produzidas em grande escala utilizam certificados para verificar
assinaturas; porm, existem algumas diferenas na maneira em que esses certificados
so gerenciados.

- Modelo de Acesso Confivel. Diversas aplicaes, como o PEM, utilizam uma

hierarquia de certificados. Outras como o PGP, preferem adotar um bottom-up e fazem
com que pessoas assinem as chaves pblicas.

- Compatibilidade com Outros Padres. Devido natureza instvel do correio

eletrnico, fundamental que uma soluo para a segurana de correio eletrnico seja
compatvel com especificaes de multimdia, como o MIME.

- Recurso de Distribuio a vrios Destinatrios. Atualmente, o paradigma de

correio eletrnico no pode ser considerado completo sem se levar em conta o grande
nmero de listas de debates que permitem o envio por difuso de mensagens a vrios
usurios.

- Encaminhamento de mensagem. Se uma mensagem for enviada assinada e

criptografada a um destinatrio, essa pessoa poder encaminhar a mensagem a outrem.
Nesses casos normalmente desejvel conservar a assinatura na mensagem ao remover
o envelope de criptografia.

Desta Forma alem de utilizar as tecnologias do PEM e do PGP, visto nos captulos
anteriores, existem tambm dois novos mtodos de segurana, sendo eles:

-MOSS (MIME Object Security Services): criado pela IETF, baseado quase que
totalmente

nas

especificaes

do

PEM,

com

algumas

vantagens

segundo

BERNSTEIN(1997), sendo elas: no exige o uso de certificados para verificar chaves,

85
no exige que os usurios tenham nomes diferenciados e, no exige que as mensagens
sejam assinadas antes de criptografadas.

- S/MIME: criado pela RSA Data Security, uma tentativa de incluir segurana
do padro MIME atravs da definio de novos contedos MIME. De acordo com
BERNSTEIN(1997) ele no est vinculado a uma hierarquia de certificao, e sim a
uma tentativa de definir um padro de criao de mensagem usando certificado X.509,
deixando os detalhes de gerenciamento de certificados para os implementadores.

Aps o levantamento destas discusses notou-se que necessria a utilizao da

tecnologia de criptografia de chave publica para os trs perfis de Intranet, os
dispositivos de segurana que so diferenciados em relao utilizao de um
Antivrus e um bloqueador de SPAM nas Intranets Intermediria e na Intranet ECommerce, j que na Intranet Pura as mensagens trafegam somente dentro da empresa.

5.5 Servio de FTP

A utilizao do servio de FTP na Intranet Pura necessrio para a colocao de

documentos em um local de fcil acesso aos empregados, este tipo de servio ao ser
disponibilizado deve ser devidamente configurado de forma que os usurios tenham
somente acesso aos documentos que lhes competem e no possam acessar locais.

No caso das Intranets Intermedirias e E-Commerce, necessrio avaliar

profundamente a necessidade da liberao do FTP Annimo para os clientes, j que o
acesso SHELL ao servidor abre inmeras situaes de risco, de forma que a melhor
soluo seria a utilizao de um FTP com acesso restrito aos endereos IPs dos
equipamentos internos. E para a disponibilizao de arquivos para os clientes a
utilizao de um FTP via HTTP, que torna mais seguro.

86
5.6 Servio de Banco de Dados

O servio de Banco de Dados disponibilizado em uma Intranet Pura corre somente

o risco de uma m utilizao pelos usurios, ou ainda tambm a copia de informaes
pelos usurios em disquetes, zip disks, cds e entrega para pessoas externas a empresa.

A partir do momento que a Intranet passa a ter conexo com a Internet que
surgem as invases aos bancos de dados, para tal torna-se necessrio seguir uma poltica
de segurana para o Servidor de Banco de dados. Esta poltica dever levar em conta os
seguintes itens:

Servidor de Banco de Dados separado do Servidor Web e de Autenticao;

Logs de auditoria em todas as transaes;

Polticas de Backup;

Utilizao de um firewall definindo quais os endereos IPs que podem ter

acesso ao banco;

Com a utilizao da Intranet E-Commerce necessrio deixar o acesso externo no

servidor externo somente a partir de funes e scripts existentes no servidor Web, no
dando acesso direto aos clientes.

87
6. Esquemas de Segurana

1
2

Figura 6 Esquema de Segurana de Intranet Pura

Este esquema de segurana, na figura 6, demonstra como ser feita a instalao de

uma Intranet Pura, onde cada nmero denomina os seguintes equipamentos, e suas
configuraes:

1 Servidor Principal: neste servidor sero disponibilizados os servios da

Intranet: Servio de Autenticao, Web, DNS, Telnet, FTP e Correio Eletrnico, em sua

88
configurao devero ser utilizados os critrios vistos nas sees anteriores, sendo eles:
criptografia de chave publica, PGP ou PEM, criptografia na autenticao.

2 Servidor de Banco de Dados: necessrio a utilizao de um servidor separado

para uma melhor performance da rede.

3 Estaes de trabalho: Utilizao de programas com autenticao criptogrfica;

Aps a visualizao do Modelo de Segurana para Intranet Pura, veremos o

modela a ser utilizado pela Intranet Intermediria, que est representado pela figura 7.
Neste modelo passa a existir a conexo da Intranet com a Internet de modo que
necessria uma ampliao dos dispositivos de segurana, para tal ficou definido a
seguinte estrutura:

1 Servidor Principal: este servidor ser igual ao da Intranet Pura, contudo para
uma melhor proteo utilizar um Firewall, este firewall poder ser tanto lgico quanto
fsico, dependendo das necessidades da empresa e das verbas a serem utilizadas, para tal
recomenda-se fazer um estudo do tipo de firewall.

2 As filiais da empresa tambm possuram um servidor que far a conexo entre

suas estaes e a matriz. Este equipamento tambm possuir um firewall que impea o
acesso direto a sua rede.

Com o decorrer do crescimento se houver necessidade deve-se dividir os servios

disponibilizados para outros servidores, mas que todos estejam atrs do firewall do
servidor principal.

89

Figura 7 Esquema de Segurana Intranet Intermediria

A partir do momento que a empresa passa a disponibilizar o comrcio eletrnico

para seus clientes, passamos ento a utilizao da Intranet E-Commerce, este tipo de
intranet a existente principalmente em Bancos e Lojas de departamentos. Com este
tipo de intranet necessria a utilizao do maior nmero de dispositivos de segurana.
Com isto, alm dos dispositivos utilizados nos modelos de Intranet Pura e Intermediria
necessria a utilizao de protocolos seguros, por exemplo, HTTPS para que haja uma
maior confiana dos clientes.

90
Os dados a serem transportado pela Internet devero ser criptografados para que
no haja o risco de serem interceptados e utilizados por criminosos. Estes dados ao
serem armazenados no servidor de banco de dados devero ser bem guardados para em
caso de invaso no poderem cair nas mos dos bandidos. (Figura 8)

4
2

Figura 8 Esquema de Segurana Intranet E-Commerce

CAPTULO VI CONCLUSES E RECOMENDAES

Neste trabalho foram propostos diversos esquemas de segurana voltados aos

diferentes perfis de Intranets. Para a definio destes esquemas, levou-se em
considerao, em primeiro plano, as diversas ameaas a um sistema de informaes que
podem surgir a partir do ambiente externo (por exemplo, a Internet) ou mesmo dentro
da organizao (como no caso de usurios desavisados ou mal intencionados).

Num outro nvel de pesquisa, foram estudados os diversos servios que podem ser
disponibilizados no contexto de uma Intranet e a partir destes foram definidos os
diferentes perfis que foram igualmente levados em conta para fins de definio dos
esquemas de segurana.

Finalmente, foram levados em conta os mecanismos atuais que contemplam as

diferentes formas de proteo possveis em sistemas computacionais conectados em
redes, particularmente aqueles vinculados a redes pblicas como no caso da Internet.

Com os resultados publicados neste documento, espera-se ter trazido uma

contribuio rea de projeto de desenvolvimento de Intranets, procurando oferecer
uma guia que permita ajustar corretamente os mecanismos de proteo adequados a
cada grupo de servios que devero ser disponibilizados no contexto de uma Intranet.

Apesar de existirem mecanismos diversos conhecidos incorporados a ferramentas

e/ou equipamentos conhecidos no mundo, neste trabalho optou-se por no vincular
nenhum esquema de proteo a alguma ferramenta conhecida. Preferiu-se deixar por
conta do profissional envolvido no desenvolvimento da Intranet a escolha de que
ferramenta adotar, at porque esta escolha depende tambm da plataforma utilizada para
implantar os servidores diversos da Intranet.

92
No que diz respeito a sugestes para futuros trabalhos, prope-se os seguintes
tpicos:

Investigar os diversos esquemas de segurana num ambiente de implantao,

procurando gerar situaes de ataque e verificar a eficincia dos mecanismos
propostos;

Analisar as ferramentas disponveis no mercado do ponto de vista dos

mecanismos propostos neste trabalho para estabelecer que ferramentas
enquadrariam-se melhor aos diferentes esquemas de segurana aqui
definidos.

BIBLIOGRAFIA

BENETT, Gordon. Intranets: como implantar com sucesso na sua empresa: traduo de
ARX Publicaes. Rio de Janeiro: Campus, 1997.

BERNSTEIN, Terry. BHIMANI, Anish B. SCHULTZ, Eugene. SIEGEL, Carol A..

Segurana na Internet. Rio de Janeiro: Campus, 1997.

CARVALHO, Jos Eduardo Maluf de. Introduo s Redes de Computadores. So

Paulo: Makron Books, 1998.

HAYDEN, Matt. Aprenda em 24 horas redes: traduo de Marcos Pinto. Rio de Janeiro:
Campus, 1999.

JHN, Alexandr; AMARAL, Gelson Fernandes do; SIEG, Jacqueline e SANDRIN,

Renata. IPSec. [http://inf.unisinos.br/pos-redes/seguranca/ipsec/] (04 de junho de 2001)

MAIA, Luiz Paulo e PAGLIUSI, Paulo Sergio. Criptografia e Certificao Digital.

[http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html] (04 junho 2001)

MALAGRINO,

Cludio.

Um

pouco

da

histria

da

Internet.

[http://www.malagrino.com.br/online/olminter.html] (02 de maio de 2001 14:38)

MARQUES,Alexandre Brando. Telnet. 1995 [http://www.tche.br/telnet.html] (03 de

maio de 2001 17:55)

94
MORAES NETO, Cyro Mendes de. Como Uma Mensagem Enviada? 23/12/1999
[http://www.conectiva.com/doc/livros/online/gar/node200.html] 03 de maio de 2001
11:40].

PEREIRA,

Aisa.

Aprenda

Internet

Sozinho

Agora:

Histria

da

Internet.

[http://www.aisa.com.br/historia.html] (02 de maio de 2001 22:35)

SOARES, Luiz Fernando G.; LEMOS, Guido e COLCHER, Sergio. Redes de

computadores: das LANs, MANs e WANs s redes ATM. Rio de Janeiro: Campus,
1995.

SOUZA, Lidenberg Barros de. Redes de Computadores: Dados, Voz e Imagem. So

Paulo: rica, 1999.

SYSTEMS,

Inside

Information.

FTP

File

Transfer

Protocol.

1998

[http://www.iis.com.br/info/info_ftp.htm] (03 de maio de 2001 18:22)

TANENBAUM, Andrew S. Redes de computadores. Traduo [ds 3.ed original] Insigth

Servios de Informtica. Rio de Janeiro: Campus, 1997.