NUNCA MAIS PASSE RAIVA POR NÃO CONSEGUIR RESOLVER UM PROBLEMA COM O EXCEL - GARANTIDO!
UNIVERSIDADE DO VBA - Domine o VBA no Excel Criando Sistemas Completos - Passo a Passo - CLIQUE AQUI
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
WINDOWS 7 - CURSO COMPLETO - 2400 páginas Autor: Júlio Battisti |
||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Lição 347 - Capítulo 18 - Firewall do Windows com Segurança Avançada | ||||||||||||||||||||||||||||||||||||||
Neste tópico falarei sobre o uso do console Firewall do Windows com Segurança Avançada. Com este console temos acesso a um sem fim de configurações avançadas do Firewall do Windows. É possível criar Regras de Filtragem de Entrada, Regras de Filtragem de Saída, habilitar portas específicas do TCP/IP e assim por diante. Mostrarei como usar este console, através de um exemplo prático, passo-a-passo. O Firewall do Windows com Segurança Avançada combina um firewall host e as configurações do protocolo IPSec, em um único console. Ao contrário de um firewall de perímetro, o Firewall do Windows com Segurança Avançada é executado em cada computador com o Windows 7 instalado e fornece proteção local contra ataques de rede que possam passar pela rede de perímetro ou ter origem dentro da sua rede local. Ele também fornece segurança da conexão entre computadores que permite exigir autenticação e proteção de dados para comunicações, através do uso do protocolo IpSec. O Firewall do Windows com Segurança avançada é um firewall com monitoração de estado; ele verifica e filtra todos os pacotes do protocolo IP versão 4 (IPv4) e IP versão 6 (IPv6). Por padrão, o tráfego de entrada é bloqueado, a menos que seja a resposta a uma solicitação originada no próprio computador (tráfego solicitado) ou seja especificamente permitido (isto é, tenha sido criada uma regra de firewall para permitir o tráfego). Para permitir explicitamente o tráfego, você pode especificar um número de porta, um nome de aplicativo, um nome de serviço ou outros critérios por meio da definição de configurações do Firewall do Windows com Segurança Avançada. Com o Firewall do Windows com Segurança Avançada, você pode solicitar ou exigir que os computadores autentiquem uns aos outros antes de se comunicarem e usem a integridade dos dados ou a criptografia de dados durante a comunicação. Esta já é a parte relacionada ao protocolo IPSec. Antes de prosseguirmos, temos que abordar dois tópicos teóricos, de vital importância para entender como funciona e como configurar o Firewall do Windows com Segurança Avançada:
Portas de Comunicação do TCP/IP: Nesta item eu falarei sobre o conceito de portas de comunicação do TCP/IP Versão 4. Vamos iniciar falando um pouco sobre Pacotes e sobre os protocolos de Transporte O TCP/IP, na verdade, é formado por um grande conjunto de diferentes protocolos e serviços de rede. O nome TCP/IP deriva dos dois protocolos mais importantes e mais utilizados, que são os seguintes:
Vamos imaginar uma situação prática, onde você deseja enviar um arquivo com cerca de 10 MB de um computador de origem para um computador de destino. Uma das primeiras coisas que tem que ser feitas é encontrar uma rota, um caminho entre a origem e o destino. Este é o papel do protocolo IP, mais especificamente da função de roteamento. Uma vez encontrado o caminho, o próximo passo é dividir o arquivo de 10 MB em pacotes de tamanhos menores, os quais possam ser enviados pelos equipamentos da rede. Além da divisão em pacotes menores, o TCP/IP tem que garantir que os pacotes sejam entregues sem erros e sem alterações. Pode também acontecer de os pacotes chegarem fora de ordem. O TCP/IP tem que ser capaz de identificar a ordem correta e entregar os pacotes para o programa de destino, na ordem correta. Por exemplo, pode acontecer de o pacote número 10 chegar antes do pacote número 9. Neste caso o TCP tem que aguardar a chegada do pacote número 9 e entregá-los na ordem correta. Somente após entregue o pacote 9 ao programa de destino é que deve ser entregue o pacote 10, somente depois o pacote 11 e assim por diante. Pode também acontecer de serem perdidos pacotes durante o transporte. Neste caso, o TCP tem que informar à origem de que determinado pacote não foi recebido no tempo esperado e solicitar que este seja retransmitido. Todas estas funções – garantir a integridade, a seqüêcia correta e solicitar retransmissão – são exercidas pelo protocolo TCP – Transmission Control Protocol. Além do TCP existe também o UDP, o qual não faz todas estas verificaçõe e é utilizado por determinados serviços. A seguir apresento uma descrição dos protocolos TCP e UDP e um estudo comparativo. O Transmission Control Protocol (TCP) é, sem dúvidas, um dos mais importantes protocolos da família TCP/IP. É um padrão definido na RFC 793, "Transmission Control Protocol (TCP)", que fornece um serviço de entrega de pacotes confiável e orientado por conexão. Ser orientado por conexão, significa que todos os aplicativos baseados em TCP como protocolo de transporte, antes de iniciar a troca de dados, precisam estabelecer uma conexão. Na conexão são fornecidas, normalmente, informações de autenticação/logon, as quais identificam o usuário que está tentando estabelecer a conexão. Um exemplo típico são os aplicativos de FTP (Cute – FTP, ES-FTP e assim por diante). Para que você acesse um servidor de FTP, você deve fornecer um nome de usuário e senha. Estes dados são utilizados para identificar e autenticar o usuário. Após a identificação e autenticação, será estabelecida uma sessão entre o cliente de FTP e o servidor de FTP. Algumas características do protocolo TCP:
Funcionamento do TCP: O TCP baseia-se na comunicação ponto a ponto entre dois hosts de rede. O protocolo TCP recebe os dados de programas e processa esses dados como um fluxo de bytes. Os bytes são agrupados em segmentos que o TCP numera e seqüência para entrega. Estes segmentos são mais conhecidos como “Pacotes”. Antes que dois hosts TCP possam trocar dados, devem primeiro estabelecer uma sessão entre si. Uma sessão TCP é inicializada através de um processo conhecido como um tree-way handshake (algo como Um Aperto de Mão Triplo). Esse processo sincroniza os números de seqüência e oferece informações de controle necessárias para estabelecer uma conexão virtual entre os dois hosts. De uma maneira simplificada, o processo de tree-way handshake, pode ser descrito através dos seguintes passos:
Depois de concluído o tree-way handshake inicial, os segmentos são enviados e confirmados de forma seqüencial entre os hosts remetente e destinatário. Um processo de handshake semelhante é usado pelo TCP antes de fechar a conexão para verificar se os dois hosts acabaram de enviar e receber todos os dados. Os segmentos TCP são encapsulados e enviados em datagramas IP, conforme apresentado na Figura 18.5, obtida na ajuda do Windows: Figura 18.6 – Segmentos do TCP. O conceito de Portas TCP: Os programas TCP usam números de porta reservados ou conhecidos, conforme apresentado na Figura 18.7: Figura 18.7 – Portas do TCP. Bem, sem entrar em detalhes técnicos do TCP/IP, vou explicar, através de um exemplo prático, o conceito de porta. Vamos imaginar um usuário, utilizando um computador com conexão à Internet. Este usuário, pode, ao mesmo tempo, acessar um ou mais sites da Internet, usar o Windows Mail para ler suas mensagens de email, estar conectado a um servidor de FTP, usando um programa como o WS-FTP, para fazer download de um ou mais arquivos, estar jogando DOOM através da Internet e assim por diante. Todas as informações que este usuário recebe estão chegando através de pacotes que chegam até a placa de Modem ou até o Modem ADSL, no caso de uma conexão de alta velocidade do tipo ADSL. A pergunta que naturalmente surge é: Como o Windows sabe para qual dos programas se destina cada um dos pacotes que estão chegando no computador? Por exemplo, chega um determinado pacote. Este pacote é para uma das janelas do Navegador, é para o cliente de FTP, é um comando do DOOM, é referente a uma mensagem de email ou qual é o programa destinatário deste pacote? A resposta para esta questão é o mecanismo de portas utilizado pelo TCP/IP. Cada programa trabalha com um protocolo/serviço específico, ao qual está associado um número de porta. Por exemplo, o serviço de FTP, normalmente opera na porta 21 (na verdade usa duas portas, uma para controle e outra para o envio de dados, mas esta já é outra história). Todo pacote que for enviado do servidor FTP para o cliente, terá, além dos dados que estão sendo enviados, uma série de dados de controle, tais como o número do pacote, código de validação dos dados e também o número da porta de comunicação que está sendo utilizada. Quando o pacote chega no computador de destino, o Windows 7 lê no pacote o número da porta e sabe para qual programa o pacote deve ser encaminhado. Por exemplo, se você está utilizando um cliente de FTP para fazer um download, os pacotes que chegarem, com informação de Porta = 21, serão encaminhados para o cliente de FTP, o qual irá ler o pacote e dar o destino apropriado. Outro exemplo, o protocolo HTTP, utilizado para o transporte de informações de um servidor Web até o seu navegador, opera, por padrão, na porta 80. Os pacotes que chegarem, destinados à porta 80, serão encaminhados para o navegador. Se houver mais de uma janela do navegador aberta, cada uma acessando diferentes páginas, o sistema inclui informações, além da porta, capazes de identificar cada janela individualmente. Com isso, quando chega um pacote para a porta 80, o sistema identifica para qual das janelas do navegador se destina o referido pacote. Em resumo: O uso do conceito de portas, permite que vários programas estejam em funcionamento, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores. O lado do servidor de cada programa que usa portas TCP escuta as mensagens que chegam e verifica a informação de porta contida em cada pacote que chega. Todos os números de porta de servidor TCP menores que 1.024 (e alguns números mais altos) são reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de números atribuídos da Internet). Por exemplo, o serviço HTTP (servidor Web), instalado em um servidor, fica sempre “escutando” os pacotes que chegam ao servidor. Os pacotes destinados a porta 80, serão encaminhados pelo sistema operacional para processamento do servidor Web. A tabela a seguir é uma lista parcial de algumas portas de servidor TCP conhecidas usadas por programas baseados em TCP padrão.
Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e registradas atualmente, consulte o seguinte endereço: http://www.iana.org/assignments/port-numbers O User Datagram Protocol (UDP) é um padrão TCP/IP e está definido pela RFC 768, "User Datagram Protocol (UDP)." O UDP é usado por alguns programas em vez do TCP, para o transporte rápido de dados entre hosts TCP/IP. Porém o UDP não fornece nenhuma garantia de entrega e nem verificação de dados. De uma maneira simples, dizemos que o protocolo UDP manda os dados para o destino; se vai chegar ou se vai chegar corretamente, sem erros, só Deus sabe. Pode parecer estranho esta característica do UPD, porém você verá que em determinadas situações, o fato de o UDP ser muito mais rápido do que o TCP (por não fazer verificações e por não estabelecer sessões), o uso do UDP é recomendado. O protocolo UDP fornece um serviço de pacotes sem conexão que oferece entrega com base no melhor esforço, ou seja, UDP não garante a entrega ou verifica o seqüenciamento para qualquer pacote. Um host de origem que precise de comunicação confiável deve usar TCP ou um programa que ofereça seus próprios serviços de seqüenciamento e confirmação. As mensagens UDP são encapsuladas e enviadas em datagramas IP, conforme apresentado na Figura 18.8: Figura 18.8 – Pacote do UDP. O conceito de porta UDP é idêntico ao conceito de portas TCP, embora tecnicamente, existam diferenças na maneira como as portas são utilizadas em cada protocolo. A idéia é a mesma, por exemplo, se um usuário estiver utilizando vários programas baseados em UDP, ao mesmo tempo, no seu computador, é através do uso de portas, que o sistema operacional sabe a qual programa se destina cada pacote UDP que chega. O lado do servidor de cada programa que usa UDP escuta as mensagens que chegam no seu número de porta conhecido, associado com cada serviço. Todos os números de porta de servidor UDP menores que 1.024 (e alguns números mais altos) são reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de números atribuídos da Internet). Cada porta de servidor UDP é identificada por um número de porta reservado ou conhecido. A tabela a seguir mostra uma lista parcial de algumas portas de servidor UDP conhecidas usadas por programas baseados em UDP padrão.
Para obter uma lista atualizada e completa de todas as portas UDP conhecidas e registradas atualmente, consulte o seguinte endereço: http://www.iana.org/assignments/port-numbers Geralmente, as diferenças na maneira como UDP e TCP entregam os dados assemelham-se às diferenças entre um telefonema e um cartão postal. O TCP funciona como um telefonema, verificando se o destino está disponível e pronto para a comunicação. O UDP funciona como um cartão postal — as mensagens são pequenas e a entrega é provável, mas nem sempre garantida. O protocolo UDP é geralmente usado por programas que transmitem pequenas quantidades de dados ao mesmo tempo ou têm necessidades em tempo real. Nessas situações, a baixa sobrecarga do UDP (pois este não faz as verificações que são feitas pela TCP) e as capacidades de broadcast do UDP (por exemplo, um datagrama, vários destinatários) são mais adequadas do que o TCP. O UDP contrasta diretamente com os serviços e recursos oferecidos por TCP. A tabela a seguir compara as diferenças em como a comunicação TCP/IP é tratada dependendo do uso de UDP ou TCP para o transporte de dados.
Tanto UDP quanto TCP usam portas para identificar as comunicações para cada programa TCP/IP, conforme descrito anteriormente. O Comando netstat – exibindo informações sobre portas de comunicação: O comando netstat está disponível no Windows 2000, Windows XP, Windows Vista, Windows 7, no Windows Server 2003, Wnidows Server 2008, Windows Server 2012 e no Windows 8. Este comando exibe estatísticas do protocolo TCP/IP e as conexões atuais da rede TCP/IP. A seguir apresento alguns exemplos de utilização do comando netstat e das opções de linha de comando disponíveis.
*************************************************************************** Conexões ativas Proto Endereço local Endereço externo Estado TCP MICRO01:epmap MICRO01.abc.com:0 LISTENING TCP MICRO01:microsoft-ds MICRO01.abc.com:0 LISTENING TCP MICRO01:1046 MICRO01.abc.com:0 LISTENING TCP MICRO01:1051 MICRO01.abc.com:0 LISTENING TCP MICRO01:1058 MICRO01.abc.com:0 LISTENING TCP MICRO01:1097 MICRO01.abc.com:0 LISTENING TCP MICRO01:1595 MICRO01.abc.com:0 LISTENING TCP MICRO01:2176 MICRO01.abc.com:0 LISTENING TCP MICRO01:2178 MICRO01.abc.com:0 LISTENING TCP MICRO01:2216 MICRO01.abc.com:0 LISTENING TCP MICRO01:2694 MICRO01.abc.com:0 LISTENING TCP MICRO01:2706 MICRO01.abc.com:0 LISTENING TCP MICRO01:3236 MICRO01.abc.com:0 LISTENING TCP MICRO01:3279 MICRO01.abc.com:0 LISTENING TCP MICRO01:3282 MICRO01.abc.com:0 LISTENING TCP MICRO01:3285 MICRO01.abc.com:0 LISTENING TCP MICRO01:3302 MICRO01.abc.com:0 LISTENING TCP MICRO01:3322 MICRO01.abc.com:0 LISTENING TCP MICRO01:3335 MICRO01.abc.com:0 LISTENING TCP MICRO01:3336 MICRO01.abc.com:0 LISTENING TCP MICRO01:3691 MICRO01.abc.com:0 LISTENING TCP MICRO01:4818 MICRO01.abc.com:0 LISTENING TCP MICRO01:4820 MICRO01.abc.com:0 LISTENING TCP MICRO01:4824 MICRO01.abc.com:0 LISTENING TCP MICRO01:4829 MICRO01.abc.com:0 LISTENING TCP MICRO01:6780 MICRO01.abc.com:0 LISTENING TCP MICRO01:6787 MICRO01.abc.com:0 LISTENING TCP MICRO01:9495 MICRO01.abc.com:0 LISTENING TCP MICRO01:42510 MICRO01.abc.com:0 LISTENING TCP MICRO01:netbios-ssn MICRO01.abc.com:0 LISTENING TCP MICRO01:microsoft-ds MICRO02:1352 ESTABLISHED TCP MICRO01:1595 SERVIDOR02:microsoft-ds ESTABLISHED TCP MICRO01:2694 SERVIDOR02:microsoft-ds ESTABLISHED TCP MICRO01:2706 SERVIDOR03:1352 ESTABLISHED TCP MICRO01:3236 SERVFILES01:microsoft-ds ESTABLISHED TCP MICRO01:3279 EMAILSERVER:microsoft-ds ESTABLISHED TCP MICRO01:3282 EMAILSERVER:microsoft-ds ESTABLISHED TCP MICRO01:3285 EMAILSERVER:microsoft-ds ESTABLISHED TCP MICRO01:3323 DRFSTMSRV22:1352 TIME_WAIT TCP MICRO01:3335 66.139.77.16:http CLOSE_WAIT TCP MICRO01:3336 66.139.77.16:http CLOSE_WAIT TCP MICRO01:3691 SRV01:microsoft-ds ESTABLISHED TCP MICRO01:4200 MICRO01.abc.com:0 LISTENING TCP MICRO01:4829 a209-249-123-216.deploy.akamaitechnologies.com:https CLOSE_WAIT UDP MICRO01:microsoft-ds *:* UDP MICRO01:1027 *:* UDP MICRO01:1042 *:* UDP MICRO01:1403 *:* UDP MICRO01:3632 *:* UDP MICRO01:3636 *:* UDP MICRO01:38037 *:* UDP MICRO01:38293 *:* UDP MICRO01:netbios-ns *:* UDP MICRO01:netbios-dgm *:* UDP MICRO01:isakmp *:* UDP MICRO01:42508 *:* UDP MICRO01:1186 *:* UDP MICRO01:3212 *:* UDP MICRO01:3221 *:* UDP MICRO01:3555 *:* ***************************************************************************
Figura 18.9 – Execução do comando netstat -e
Conexões ativas Proto Endereço local Endereço externo Estado TCP 10.1.1.11:49419 10.1.1.3:139 ESTABLISHED TCP 10.1.1.11:50265 72.51.43.149:80 ESTABLISHED TCP 10.1.1.11:50267 72.51.43.149:80 ESTABLISHED TCP 127.0.0.1:12080 127.0.0.1:50249 ESTABLISHED TCP 127.0.0.1:12080 127.0.0.1:50266 ESTABLISHED TCP 127.0.0.1:50145 127.0.0.1:50146 ESTABLISHED TCP 127.0.0.1:50146 127.0.0.1:50145 ESTABLISHED TCP 127.0.0.1:50147 127.0.0.1:50148 ESTABLISHED TCP 127.0.0.1:50148 127.0.0.1:50147 ESTABLISHED TCP 127.0.0.1:50249 127.0.0.1:12080 ESTABLISHED TCP 127.0.0.1:50266 127.0.0.1:12080 ESTABLISHED netstat –s: Exibe estatística por protocolo. Por padrão, são mostradas estatísticas para TCP, UDP, ICMP (Internet Control Message Protocol, protocolo de acesso às mensagens de Internet) e IP. A opção -p pode ser utilizada para especificar um ou mais protocolos para os quais devem ser exibidas estatísticas.
C:\Windows\system32>netstat -s -p ip Estatísticas de IPv4 Pacotes recebidos = 644164 Erros de cabeçalho recebidos = 0 Erros de endereço recebidos = 10 Datagramas encaminhados = 0 Protocolos desconhecidos recebidos = 0 Pacotes recebidos descartados = 238 Pacotes recebidos entregues = 684382 Solicitações de saída = 662095 Descartes de roteamento = 0 Pacotes de saída descartados = 6 Pacote de saída sem rota = 1 Reagrupamento necessário = 0 Reagrupamento bem-sucedido = 0 Falhas de reagrupamento = 0 Datagramas fragmentados c/ êxito = 0 Falhas/ fragmentação de datagramas = 0 Fragmentos criados = 0
netstat –s –p ip 10 Muito bem, neste tópico eu fiz uma apresentação dos protocolos TCP e UDP, os quais são responsáveis pelo transporte de pacotes em redes baseadas no TCP/IP. Você também aprendeu sobre as diferenças entre os protocolos TCP e UDP e sobre o conceito de porta de comunicação. Estes conceitos serão importantes para entender a criação de regras no Firewall do Windows. A seguir, antes de partirmos para a prática, vamos ver um pouco mais de teoria. Desta vez sobre o protocolo IPSec. Uma introdução ao protocolo IPSec: O IPSec é um conjunto de padrões utilizados para garantir uma comunicação segura entre dois computadores, mesmo que as informações estejam sendo enviadas através de um meio não seguro, como por exemplo a Internet. Observe que esta definição é parecida com a definição de VPN apresentada no Capítulo 19 do livro Windows Server 2003 – Curso Completo, 1568 páginas, de minha autoria, publicado pela Editora Axcel Books. Por isso que a combinação L2TP/IPSec é uma das opções para a criação de conexões do tipo VPN (veja Capítulo 19 do referido livro). O IPSec é baseado em um modelo ponto a ponto, no qual dois computadores, para trocar informações de maneira segura, usando IPSec, devem “concordar” com um conjunto comum de regras e definições do IPSec. Com o uso do IPSec e das tecnologias associadas, os dois computadores são capazes de se autenticar mutuamente e manter uma comunicação segura, com dados criptografados, mesmo usando um meio não seguro, como a Internet. O uso do protocolo IPSec apresenta funcionalidades importantes quando existe uma necessidade de grande segurança na comunicação entre dois computadores. A seguir apresento as principais destas características:
Configuração baseada em diretivas de segurança: Os métodos de segurança mais fortes que são baseados em criptografia têm a capacidade de aumentar muito a sobrecarga administrativa. A implementação do IPSec no Windows Server evita esse problema implementando a administração do IPSec com base em diretivas de segurança, configuradas via GPOs. As configurações feitas nas GPOs do domínio, se aplicam, automaticamente, as estações de trabalho com o Windows 7, as quais fazem parte do domínio. Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte capítulo 18 do livro Windows Server 2003 – Curso Completo, 1568 páginas, de minha autoria. Todos os detalhes sobre o livro em https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=CWIN000019 Em vez de aplicativos ou sistemas operacionais, você usa as diretivas para configurar o IPSec. Os administradores de segurança da rede podem configurar as diretivas de IPSec abrangendo desde aquelas apropriadas a computadores únicos a um domínio Active Directory, site ou unidade organizacional, já que as diretivas de aplicação do IPSec são configuradas via GPO. Uma maneira mais simples de fornecer proteção dos dados: A implementação da IPSec no nível de transporte IP (Camada de rede, nível 3) permite um alto nível de proteção com pouca sobrecarga. A distribuição da IPSec não requer nenhuma alteração nos aplicativos ou sistemas operacionais existentes, basta configurar o IPSec através do Firewall do Windows 7, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados no computador, passarão a utilizar o IPSec para troca de informações com outros computadores também habilitados ao IPSec. Isso é bem mais fácil de implementar e de administrar do que ter que configurar a criptografia e segurança em cada aplicativo ou serviço. Outros mecanismos de segurança que operam sobre a camada de rede 3, como Secure Sockets Layer (SSL), só fornecem segurança a aplicativos habilitados ao SSL, como os navegadores da Web tais como o Internet Explorer ou o FireFox. Você deve modificar todos os outros aplicativos para proteger as comunicações com SSL. Os mecanismos de segurança que operam abaixo da camada de rede 3, como criptografia de camada de vínculo, só protegem o vínculo, mas não necessariamente todos os vínculos ao longo do caminho de dados. Isso torna a criptografia da camada de vínculos inadequada para proteção de dados do princípio ao fim na Internet ou na Intranet da empresa. A implementação do IPSec na Camada de rede 3 fornece proteção para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de informações seguras nessa camada é que todos os aplicativos e serviços que usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modificação nos aplicativos ou serviços (para proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP). Características e componentes do protocolo IPSec: Quando o IPSec é habilitado e dois computadores passam a se comunicar usando IPSec, algumas modificações são efetuadas na maneira como é feita a troca de informações entre estes computadores. A primeira mudança é que o protocolo IPSec adiciona um cabeçalho (Header) em todos os pacotes. Este cabeçalho é tecnicamente conhecido como AH (Authentication header). Este cabeçalho desempenha três importantes funções:
Nota: Um detalhe importante a salientar é que o cabeçalho de identificação não é criptografado e não é utilizado para criptografar dados. Conforme o nome sugere ele contém informações para a autenticação e para verificação da integridade dos dados. Mas além da autenticação mútua e da verificação da integridade dos dados é preciso garantir a confidencialidade dos dados, ou seja, se os pacotes forem capturados é importante que não possam ser lidos a não ser pelo destinatário. A confidencialidade garante que os dados somente sejam revelados para os verdadeiros destinatários. Para garantir a confidencialidade, o IPSec usa pacotes no formato Encapsulating Security Payload (ESP). Os dados do pacote são criptografados antes da transmissão, garantindo que os dados não possam ser lidos durante a transmissão mesmo que o pacote seja monitorado ou interceptado por um invasor. Apenas o computador com a chave de criptografia compartilhada será capaz de interpretar ou modificar os dados. Os algoritmos United States Data Encryption Standard (DES padrão dos Estados Unidos), DES (Data Encryption Standard) e 3DES (Triple Data Encryption Standard) são usados para oferecer a confidencialidade da negociação de segurança e do intercâmbio de dados de aplicativo. O Cipher Block Chaining (CBC) é usado para ocultar padrões de blocos de dados idênticos dentro de um pacote sem aumentar o tamanho dos dados após a criptografia. Os padrões repetidos podem comprometer a segurança fornecendo uma pista que um invasor pode usar para tentar descobrir a chave de criptografia. Um vetor de inicialização (um número inicial aleatório) é usado como o primeiro bloco aleatório para criptografar e descriptografar um bloco de dados. Diferentes blocos aleatórios são usados junto com a chave secreta para criptografar cada bloco. Isso garante que conjuntos idênticos de dados não protegidos sejam transformados em conjuntos exclusivos de dados criptografados. Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes características/funcionalidades:
Muito bem, com este pouco de teoria, teremos condições de entender melhor como funciona o Firewall do Windows com Segurança Avançada e também aprendermos a criar regras de entrada e de saída. |
||||||||||||||||||||||||||||||||||||||
|
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434
Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208
Todos os direitos reservados, Júlio Battisti 2001-2021 ®
[LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO
APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI