Rodrigo Brito

Resumo geral

1 - Arquitetura de Protocolos

Conceitos:

Regras que permitem o entendimento entre os participantes do processo de comunicação.

• Emissor: Quem envia a mensagem.
• Receptor Quem recebe a mensagem.

Os protocolos de redes são definidos pelas RFC (Request for Comments), documentos técnicos desenvolvidos e mantidos pela IETF (Internet Enginnering Task Force).
Exemplo de RFC que determina as regras de implementação do protocolo IP (RFC 791).
Toda implementação do protocolo IP deve seguir a essas regras.

Família de Protocolos:

Coleção de protocolos que possibilitam a comunicação em rede entre uma máquina e outra.
Conhecido também como suíte de protocolos ou pilha de protocolos.
A pilha de protocolos é estruturada em camadas.

Camadas

Uma arquitetura de rede é a combinação de diversos protocolos em suas várias camadas.

Interação entre as camadas:

• Cada camada se comunica apenas com as camadas adjacentes (superior e inferior).
• Cada camada usa serviços da camada inferior e provê serviços à camada superior.

Modelo de Referência OSI

Família de Protocolos

OSI (Open System Interconnection): lançado pela ISO (International Organization for Standardization) em 1984.

Objetivos de um sistema aberto

• Interoperabilidade: Capacidade de troca de informações entre outros sistemas abertos.
• Interconectividade: Maneira pela qual hardwares de componentes distintos podem ser conectados.
• Portabilidade de aplicação: Capacidade de um software ser executado em várias plataformas diferentes.
• Escalabilidade: Capacidade de um software ser executado com desempenho aceitável em máquinas de capacidades diversas.

Camadas do Modelo OSI

Modelo de 7 camadas

Camadas

• Física
• Enlace de dados
• Rede
• Transporte
• Sessão
• Apresentação
• Aplicação

Data flow layers (4 camadas inferiores) - Física, enlace de dados, rede, transporte: Controlam funções de rede e procuram oferecer serviços aceitáveis de transferência física de dados.

Application layers (3 camadas superiores) - Sessão, apresentação, aplicação: Trata de funções específicas das aplicações, sem se preocuparem com detalhes físicos da rede.

Camada Física:

Responsável pela transmissão de bits por um canal de comunicação.

Alguns meios físicos para a transmissão dos bits: Par trançado (Cabo UTP), Fibra óptica, Cabo coaxial e Wireless.

Camada de enlace de dados:

Responsável pela detecção de erros:

• Endereço físico entre origem e destino.
• Define o protocolo da camada superior.
• Topologia de rede.
• Sequência de quadros.
• Controle de fluxo.

Camada de Rede

Responsável pelo endereçamento e o roteamento.

• Endereçamento: Atribui endereço lógico de um host na rede.
• Roteamento: Define rotas (caminhos) para que a mensagem chegue ao destinatário. Trata problemas de tráfego na rede: congestionamento.

Camada de Transporte

• Conectividade fim-a-fim: Identifica as aplicações das camadas superiores. Oferece serviços confiáveis ou não de transferência de dados e o controle de fluxo fim-a-fim.

Camada de Sessão

Permite que aplicações de diferentes entes da rede estabeleçam, entre si, uma sessão de comunicação.

Camada de Apresentação

Responsável pela apresentação dos dados: Sintaxe e semântica.

Responsável pela compressão e descompressão dos dados.

Camada de Aplicação

Faz a interface entre o protocolo de comunicação e a aplicação que emitiu ou que irá receber os dados.

Aplicações de rede.

Encapsulamento de Dados

• A cada camada informações de controle inerentes à camada são acrescentadas ao pacote de dados. Essas informações são conhecidas como cabeçalhos.
• Em cada camada o cabeçalho tem um nome específico, PDU (Protocol Data Unit). Bits, Quadro, Pacote, Segmentos e Dados.

Arquitetura TCP/IP

Histórico: Origem em um projeto militar em 1964.

Famílias de Protocolos TCP/IP

Permite a interconexão entre redes e sistemas heterogêneos.

• Com hardware diferentes.
• Desenvolvidos por diferentes fabricantes.

Interconexão de redes físicas de diferentes topologias.

Camadas da arquitetura TCP/IP

Ela não implementa todas as camadas do modelo de referência OSI.

Camadas

• Interface de rede
• Rede
• Transporte
• Aplicação

Camada de Interface de Rede

• Recebe datagramas IP e transmite na rede física sob a forma de quadros.
• Trata dos detalhes físicos da transmissão: Hardware e Meio físico.

Camada de Rede

• Realiza a transferência e roteamento de pacotes entre dispositivos.
• Principais Protocolos: Protocolo IP: Envia, recebe e roteia os datagramas. ICMP: Trafega informações de controle essenciais. Mensagens de erro.

Camada de Transporte

• Provê a comunicação entre as aplicações.
• Protocolos de transporte: TCP - Provê comunicação orientada a conexão, fluxo confiável de dados e divide o fluxo de dados em segmentos; UDP - Provê serviços de datagrama não confiáveis, não orientado à conexão.

Camada de Aplicação

Define a sintaxe das mensagens trocadas entre aplicações. A implementação é realizada por processos do sistema operacional.

Alguns Protocolos:

• Telnet – terminal virtual.
• FTP (File Transfer Protocol) – transferência de arquivos.
• SMTP (Simple Mail Transfer Protocol) – Correio eletrônico.
• SNMP (Simple Network Management System) – Gerenciamento de Redes.
• DNS (Domain Name System) – Mapeamento de nomes em endereços de redes.
• HTTP (Hypertext Transfer Protocol) – comunicação web

Encapsulamento e desencapsulamento

Na transmissão, camada inferior sempre acrescenta alguma informação referente aos seus serviços nos dados
oriundos das camadas superiores.

No processo contrário, recepção da informação, a camada retira os dados necessários para ela executar seus
serviços. Processo chamado de desencapsulamento.

Comparação OSI e TCP/IP

O modelo OSI é apenas uma referência para a implementação de redes.

• O modelo TCP/IP é amplamente utilizado.
• Correspondência entre as camadas.

2 - Endereçamento IPv4

Conceitos:

• Identificar cada dispositivo em uma rede TCP/IP de forma única e individual.
• É um número inteiro de 32 bits, dividido em 4 partes de 8 bits chamadas octetos. Permite até 2³² endereços = 4.294.967.296
• Notações: Binária e decimal.

Hierarquia de Endereçamento

O endereço IPv4 não é um número sequencial, parte dele identifica as redes e a outra parte identifica as estações (hosts).

Identificador de rede:

• Também denominado prefixo de rede.
• Identifica a rede de forma única e individual.

Identificador de host: Identifica a estação dentro da mesma rede de forma única e individual.

Classes de endereço

Permitem a configuração de um variado número de redes com diferentes tamanhos.

• Classe A: 8 primeiros bits identificam a rede e 24 bits restantes identificam os hosts.
• Classe B: 16 primeiros bits identificam a rede e 16 bits restantes identificam os hosts.
• Classe C: 24 bits identificam as redes e 8 bits identificam os hosts.

Endereços de rede e de broadcast

Endereço de rede:

• Utilizado para referenciar a própria rede.
• Todos os bits referentes às estações são iguais a 0.

Endereço de Broadcast:

• Endereço para referenciar todos os hosts de uma rede.
• Todos os bits referentes às estações são iguais a 1

Endereço de loopback

• Endereço que referencia o próprio host.
• Endereços da classe 127.0.0.0.
• Qualquer datagrama enviado nessa rede não trafega pela rede física, retorna para a própria estação

Endereços permitidos

• Endereços que efetivamente podem ser atribuídos aos hosts.
• Os endereços de rede e de broadcast são excluídos.
• Espaço de endereçamento.
• Conjunto de endereços que compartilham um mesmo prefixo de rede.

Máscara de rede

Delimita quantos bits do endereço IP serão utilizados para definir o prefixo de rede e o endereço do host (estação).

Tem 32bits:

• 4 conjunto de 8 bits cada (octetos).
• Os bits de valor 1 determinam a rede.
• Os bits de valor 0 determinam o host.

Exemplo:

11111111 11111111 11111111 00000000

Nesse exemplo a máscara de rede determina que o endereço IP relacionado a ela terá 24 bits para determinar a rede e 8 bits para determinar o endereço da estação.

11000000 10101000 00001010 00000001 endereço IP

11111111 11111111 11111111 00000000 máscara de rede

IP / máscara na notação decimal= 192.168.10.1 / 255.255.255.0

IP/ máscara CIDR = 192.168.10.1/24 (24 é o número de bits da máscara com valor 1)

Protocolo ARP (RFC 6747)

Realiza o mapeamento entre o endereço IP e o endereço físico de estações na mesma rede. Não existe roteamento dentro de uma mesma rede física. Uma estação que deseja comunicar com outra dentro da mesma rede física realiza uma requisição ARP para descobrir o endereço físico da outra estação envolvida na comunicação e partir da resposta da requisição ARP, toda comunicação entre as estações ocorrerão utilizando o endereço físico. A tabela ARP armazena os mapeamentos mais recentes entre endereço físico e endereço lógico (IP).

Endereços Públicos x Endereços privados

Endereços públicos:

• São únicos na rede pública.
• São atribuídos por uma entidade.
• LACNIC para a América Latina e Caribe.

Endereços privados:

• Não são atribuídos oficialmente.
• Para redes internas e privadas.
• Não identificam de forma única estações na internet.
• RFC 1918 – Classes de endereços privados: 10.0.0.0 a 10.255.255.255 (10/8), 172.16.0.0 a 172.31.255.255 (172.16/12) e 192.168.0.0 a 192.168.255.255 (192.168/16).
• As redes privadas se conectam na internet através do NAT.
• Estão atrás de um endereço público

CIDR

• Classless Inter-Domain Routing (CIDR).
• Técnica que especifica um esquema de endereçamento e roteamento que adota blocos contíguos de endereços ao invés de endereços classe A, B e C.
• Minimiza o desperdício de endereços.
• Permite a atribuição de blocos de endereços com tamanho adequado às necessidades da instituição.
• Bloco de endereços é um conjunto contíguo de endereços, cujo tamanho é potência de 2

Endereçamento IPv6

Características:

• Tamanho 128 bits (4x maior que o IPv4).
• Escrito em hexadecimal.
• Capacidade 340 undecilhões de endereços.
• Representação: 8 grupos de 16 bits.
• Notação: 16 bits separados por ":". Ex: 2001:0db8:0000:130F:0000:0000:087C:140b.
• Abreviação: O IPv6 pode ser abreviado das seguintes formas: Representar zeros contínuos por ":", só pode ser feita uma vez por endereço:

1. 2001:0000:0000:0058:0000:0000:0000:0320
2. 2001:::0058:0:0:0:0320

• Caso exista outro grupo de zero contínuos a abreviação será feita dentro do grupo

1. 2001:0000:0000:0058:0000:0000:0000:0320
2. 2001:::0058:0:0:0:0320

• Ausência de NAT.
• No IPv6 não existem endereços privados.

3 - Camada de Rede

Funcionalidades: prove a entrega e o roteamento de datagramas até o destino final.

Características:

• Serviço não confiável: Não garante a entrega dos datagramas. Funcionalidade pode ser implementada ou não por camada superior. Não é responsabilidade do protocolo IP.
• Não garante a integridade dos dados: O protocolo IP realiza apenas a checagem dos dados do cabeçalho. Não realiza a checagem da integridade dos dados. Pode ser implementado ou não por protocolo da camada superior.

Protocolos da Camada de Rede

IP

• Prove o serviço de entrega de datagramas.
• Protocolo mais importante da pilha TCP/IP.
• Os outros protocolos são diretamente encapsulados dentro do protocolo IP.

ICMP

• Auxilia o protocolo IP
• Carrega informações de erro e controle durante a troca de mensagens.

IGMP

• Responsável pela entrega de datagramas a múltiplos destinos.

Conceitos

• Especifica de forma precisa a unidade básica de transferência de dados utilizada na pilha TCP/IP.
• Executa, através de algoritmos de roteamento, da tabela de roteamento, a escolha do melhor caminho, pela lei do melhor esforço, para que as mensagens saiam do seu emissor e cheguem até o seu destinatário.
• Define sobre a vida útil dos datagramas, quando eles serão processados pelas estações ou descartados.

Protocolo IP

Principais campos do datagrama IPv4 (RFC 791):

• Version: 4 para ipv4 e 6 para ipv6.
• IHL: Tamanho do cabeçalho.
• Flags: Controlam a fragmentação da mensagem.
• Header checksum: Verificação de erros apenas do cabeçalho.
• Source Address: Endereço de origem do segmento (32bits).
• Destination Address: Endereço de destino do segmento (32 bits)

Protocolo ICMP (RFC 777)

Parte integrante do Protocolo IP. No campo Protocol do cabeçalho IP deve ter valor = 1.

Utilizado para devolver mensagem de erro quando TTL =0. Pacote é descartado.

• Type 11: Utilizado para no comando ping.
• Type 0: Echo Reply.
• Type 8: Echo.

4 - Camada de Transporte

Funcionalidades: Prove a comunicação fim-a-fim entre processos de uma aplicação.

Serviços:

• Datagrama: Não confiável. Não garante a entrega dos datagramas. Sem conexão. São individuais e independentes. Sequência de entrega não é assegurada.
• Circuito Virtual: Serviço orientado ao fluxo. Divide o fluxo de dados em segmentos. Serviço Confiável. Garante a entrega do fluxo de dados, na sequência correta e sem erros. Provê controle de erro, sequência e fluxo. Serviço orientado à conexão. Negocia parâmetros operacionais na abertura da conexão. Conexões são full-duplex.

Identificação de processos:

• A camada de transporte provê a conexão fim a fim entre processos. 
• Existe um par ordenado, conhecido como soquete, composto pelo IP da estação e porta, que identifica unicamente um processo naquela estação.
• Porta é um número inteiro positivo que representa um ponto de comunicação.
• As portas vão de 0 a 65535.
• Existem valores pre definidos de porta para determinados serviços: 80 HTTP, 21 FTP, 53 DNS, 443 HTTPS etc.
• Esses valores pre definidos são controlados pela IANA. (Internet Assigned Numbers Authority).

Protocolos da camada de transporte

UDP (RFC 768):

• Unidade de dados: Datagrama UDP.
• Prove serviço não confiável. Não garante a entrega. Não garante que o datagrama será enviado na ordem. Não implementa correção de erros. Apenas detecção de erros.
• Provê serviço não orientado à conexão. Não implementa mecanismos de reconhecimento para informar sobre a entregas de datagramas. Aplicação de origem não tem conhecimento sobre a entregas das mensagens à aplicação de destino. O UDP simplesmente encapsula a mensagem e envia ao outro processo.

Campos do Protocolo UDP

• Source port: Porta de origem do datagrama.
• Destination port: Porta de destino do datagrama.
• Length: Tamanho do datagrama do cabeçalho e dados.
• Checksum: Detecção de erros do cabeçalho e dos dados.

TCP (RFC 793):

• Unidade de dados: Segmento TCP.
• Recebe segmentos da camada de rede e os envia para os respectivos processos na camada de aplicação. Todo processo é atrelado a uma porta única no computador.
• Prove serviço confiável. Garante a entrega. Garante que todos os segmentos enviados chegarão ao destino. Garante a sequência (orientado a fluxo de dados, data stream). Através do número de sequência, mesmo que os segmentos foram mandados fora de ordem, eles são ordenado novamente no destino. Controle de fluxo. Regula a velocidade de transmissão. Evita o descarte de segmentos por falta de recursos na estação web.
• Orientado à conexão

Principais campos protocolos TCP

• Source Port.
• Destination Port.
• Sequence Number.
• Ack Number.
• Data Offset: Tamanho do cabeçalho em unidades de 4 bytes.
• Flags: Indica propósito e conteúdo do segmento. URG: dados urgentes. ACK: reconhecimento. PSH: mecanismo push. RST: aborto de conexão (reset). SYN: abertura de conexão. FIN: fechamento de conexão.
• Checksum: Assegura a integridade do segmento.
• Data

• Estrutura de conexão
  Endpoint (socket): Definido pelo par endereço e porta
  Conexão: Identifica de forma única um par de endpoints. Cada endpoint pode participar de diversas conexões.
• Estabelecimento de conexão: Three-way-handshake
  1) A entidade requisitante envia um segmento SYN, que possui o bit SYN = 1
  2) A entidade requisitante escolhe o número inicial da sequência dos pacotes (a).
  3) A entidade requisitada responde com o segmento contendo um outro número de sequência (b), envia o
  número de sequência ACK= a+1 e os bits SYN e ACK ativados.
  4) A entidade requisitante recebe o pacote (2) e envia uma mensagem de confirmação ACK para a entidade
  requisitada com o número ACK = b+1.
• A conexão está estabelecida.

5 - Camada de Aplicação

Fundamentos: Trata dos detalhes específicos de cada aplicação. Exemplo de protocolos da camada de aplicação:

• FTP (File transfer protocol).
• SMTP (Simple Mail Transfer Protocol).
• DNS (Domain Name System).
• HTTP (Hypertext Transfer Protocol)

A camada de aplicação é implementada via processos. A interação entre os processos segue o modelo cliente-servidor.

Modelo Cliente Servidor

Servidor

• Oferece serviços que podem ser requisitados por clientes conectados a uma rede.
• Comunica-se com o cliente somente após receber a requisição.
• Executa continuamente.
• Aceita a requisição dos clientes.
• Executa o processamento das requisições.
• Retorna os resultados para o cliente.

Cliente

• Processo que requisita um serviço oferecido por um servidor.
• Sempre inicia a interação com o servidor.
• Envia as requisições para o servidor.
• Aguarda o recebimento das respostas

Identificação de clientes e servidores

São conectados por meio de portas. O cliente deve conhecer previamente a porta utilizada pelo servidor. O servidor descobre a porta utilizada pelo cliente após receber a requisição. Algumas portas são permanentemente reservadas e padronizadas para serviços específicos. Ex:

• DNS (53).
• HTTP (80).
• FTP (21).
• SSH (22).
• HTTPS (443).
• ModBus (502)

ATENÇÃO: Um passo inicial importante para a atividade ofensiva são os processos de scaninng e enumeração que estão intimamente ligados às portas que executam no alvo. Importantíssimo entender perfeitamente esse conceito.

Atribuição de Portas

• Reservada (0 – 1024): Atribuídas para serviços padronizados. Acessadas por processos privilegiados.
• Registradas (1024 – 49151): Acessadas por quaisquer processos. Listadas para coordenar serviços não padronizados.
• Dinâmicas (49152 – 65535): Não possuem reservas, podendo ser utilizada pelos clientes. Acessadas por quaisquer processos.

6 - Protocolo SMTP

SMTP (simple mail transfer protocol):

• Implementa o serviço de correio eletrônico da arquitetura TCP/IP.
• Protocolo definido pelas RFCs 821 e 822.
• Utilizado na porta 25.

Componentes:

• Agente usuário: Programa utilizado pelo usuário para ler, compor e enviar mensagens. Usado pelos usuários remetentes e destinatários. Chamado de leitor de correio. Ex: Microsoft Outlook, Thunderbird etc.
• Servidor de Correio: Realiza o roteamento de mensagens. Configurado pelo administrador de domínio. Chamado de agente de transferência de mensagem.
• Caixa de mensagem: Mantém as mensagens enviadas aos respectivos usuários. Cada usuário possui uma caixa de mensagens. Viabiliza o modelo de comunicação assíncrona. O destinatário não precisa estar conectado para que o remetente possa enviar mensagens.
• Fila de mensagens: Armazena temporariamente as mensagens até que seja possível entregá-las.

Envio de Mensagens

• O remetente envia a mensagem para o servidor do remetente.
• O servidor remetente armazena a mensagem na fila.
• O servidor remetente envia a mensagem ao servidor do destinatário.
• O servidor do destinatário armazena a mensagem na caixa de mensagem do destinatário

Leitura de Mensagens

• Acesso direto: Acessa na mesma estação onde está o servidor de mensagens.
• Acesso indireto: Via protocolo, em uma estação diferente daquela onde está o servidor de mensagens. Utiliza os protocolos POP3 (995) e IMAP (143/993) para a conexão e acesso às mensagens.

Interação com o protocolo: O cliente envia alguns comandos para o servidor.

Comandos:

• HELO – identifica o cliente ao servidor (isso mesmo, com um "L" só).
• MAIL – indica o remetente da mensagem.
• RCPT – informa o destinatário da mensagem.
• DATA – envia o conteúdo da mensagem.
• QUIT – finaliza a sessão.
• TURN – inverte a direção do envio.
• RSET – aborta a transação do correio.
• VRFY – verifica a validade de um usuário.
• EXPN – identifica a composição de uma lista.

7 - Protocolo HTTP

• HTTP (Hyper Text Transfer Protocol): Especificado pela RFC 2616. Implementa serviços web. Permite a publicação de documentos. Permite aos usuários a recuperação, visualização e navegação nos documentos.
• Porta padrão TCP 80.
• Cliente web: Permite a recuperação, visualização e navegação em documentos web. Mantém um cache que armazena os documentos recentemente recuperados.
• Servidor web: Permite a publicação de documentos. Gerencia um repositório de documentos que contém os objetos publicados

Interação

• Métodos de requisição: GET - Recupera o objeto que foi informado na URL. POST - Envia informações de formulário.
• Resposta: 200 – OK, requisição processada com sucesso. 300 – objeto requisitado foi removido. 400 – erro genérico no processamento. 404 – objeto solicitado não existente. 505 – versão requisitada não é suportada.

8 - Protocolo DNS

Implementa o serviço de nomes da arquitetura TCP/IP.

• Baseado na hierarquia.
• Banco de dados geograficamente distribuído.

Realiza o mapeamento dos nomes das estações para os seus respectivos endereços IP

• Mapeamento direto – nome de domínio → endereço IP.
• Realiza o mapeamento reverso – endereço IP → nome de domínio.

Fornece informações sobre um determinado servidor.

Hierarquia de nomes

• Servidores raiz: Acessa os servidores autoritativos. Existem 13 servidores raízes geograficamente espalhados (https://www.iana.org/domains/root/servers). Os 13 DNS Root Servers são identificados pelas letras A-M, e a maioria está localizada nos Estados Unidos. Seus nomes são (a-m).root-serves.net.
• Servidores autoritativos: Servidores que tem autoridade (respondem por aquele domínio).
• FQDN: Fully Qualifield Domain Name. Nome completo de um domínio. Hierarquia completa. Sequência de nomes até chegar ao root, separados por pontos www... . Termina com o "." que indica que a busca por aquele endereço deve começar do servidor root. Geralmente o "." não aparece na barra de endereços.

Registro de recursos

Através de uma consulta o servidor DNS retorna algumas informações importantes:

• A – associa o nome da estação ao endereço IP.
• PTR – associa o IP ao nome da estação.
• CNAME – define um apelido (alias), para o nome da estação.
• HINFO – informações sobre o hardware da estação.
• MX – roteamento de mensagens de correio eletrônico
• NS – define os servidores de nome do domínio.

Name servers

• Servidores de nome.
• Armazenam informações sobre os servidores do domínio.
• Não possui informações sobre todos os servidores, apenas informações completas sobre uma parte.
• Essas informações completas sobre uma parte dos nomes é chamada de zona de DNS.
• Pode ser carregada por um arquivo ou de outro nameserver.

Servidores Primários e secundários

• Primário: Lê os dados de uma zona a partir de um arquivo em seu host.

• Secundário: Obtém os dados a partir de outro servidor autoritativo para aquela zona, não necessariamente do servidor primário.

9 - SSH (Secure Shell)

• Prove comunicação segura entre estações. Adota criptografia assimétrica no processo de autenticação. Adota criptografia simétrica para criptografar as mensagens trocadas entre as estações.
• Adota a arquitetura cliente servidor.
• Garante a comunicação autêntica e integra entre os participantes.
• Utiliza normalmente a porta 22.

Componentes

• Servidor SSH: Instalado e executado pelo administrador de rede. Controla as requisições dos clientes SSH. Provê autenticação, integridade e privacidade na comunicação.
• Cliente SSH: Executado pelo usuário. Envia as requisições ao servidor para abrir uma conexão remota segura.
• Sessão SSH: Representa a conexão segura entre cliente e servidor. O cliente e o servidor identificam-se mutuamente antes de estabelecer uma conexão SSH.

Autenticação

• A autenticação SSH utiliza dois pares de chaves assimétricas (chave da estação e chave do servidor) e uma chave simétrica (chave de sessão).
• Chave da estação (host key): Par de chaves assimétricas (chave pública e chave privada). Prova a identidade da estação na qual o servidor SSH é executado. É armazenada localmente na estação na qual o servidor SSH é executado.
• Chave do servidor (server key): Par de chaves assimétricas (chave pública e chave privada). Utilizada para proteger a chave de sessão. É temporária, renovada por padrão a cada hora. A chave privada do servidor nunca é transmitida em uma conexão.
• Chave de sessão: Chave simétrica utilizada para cifrar a comunicação entre um cliente e um servidor SSH. É gerada durante o processo de estabelecimento da conexão. É destruída quando a conexão é finalizada. O protocolo SSH-2 possui várias chaves de sessão.

Processo de autenticação

• O cliente realiza uma conexão na porta 22 do servidor. São trocadas informações sobre a versão do protocolo SSH suportado.
• O servidor envia informações ao cliente: Chave pública da estação; Chave pública do servidor; Lista de algoritmos de criptografia suportados; Formas de autenticação suportadas pelo servidor.
• O cliente verifica se a estação já é conhecida na sua base de dados. Se a estação for conhecida e a chave pública for a mesma, o cliente aceita a sessão. Se a estação não for conhecida ou se a chave não for igual a armazenada pelo cliente o usuário deve aceitar a chave pública recebida.
• O cliente gera uma chave de sessão que é utilizada para cifrar e decifrar mensagens. A chave de sessão (chave simétrica) é criptografada duas vezes. Pela chave da estação e depois pela chave do servidor (chaves assimétricas).
• O cliente envia a chave de sessão cifrada para o servidor.
• O servidor decifra a chave de sessão e envia uma mensagem de confirmação para o cliente. Se a mensagem de confirmação cifrada não é recebida, o cliente fecha a conexão.
• Após a identificação das estações o servidor deve verificar as credenciais do usuário do cliente. A identificação do usuário do cliente pode ser feita de duas maneiras: através do conjunto usuário e senha, através de uma chave pública do usuário e através dos dois métodos juntos.

Questionário

1 - Com relação às camadas do modelo de referência OSI (Reference Model of Open System Interconection) e do modelo TCP/IP, é correto afirmar que:

R: Os protocolos são projetados de modo que a camada "n", no destino, receba, exatamente, o mesmo objeto enviado pela camada "n", na origem.

2 - Considerando o conjunto de camadas de rede do modelo TCP/IP, podemos entender que o Address Resolution Protocol (ARP) é um protocolo de requisição e resposta, que é executado encapsulado pelo protocolo da linha. Nesse modelo de rede, em qual camada o ARP atua?

R: Enlace.

3 - No modelo OSI, que nível está situado entre a camada de rede e a de sessão?

R: Transporte.

4 - No TCP, a flag SYN indica um(a): 

R: Solicitação de conexão.

5 - Um quadro ARP REQUEST é destinado para o endereço MAC:

R: De broadcast, o que fará com que todos os hosts da rede ethernet recebam a requisição.

6 - Um administrador de redes executa um comando ping para um endereço IP na sua rede. Nesse caso, inicialmente:

R: Um ARP Request deve ser emitido pelo computador do administrador para descobrir o endereço MAC associado ao endereço IP.

7 - Tomando como referência a Arquitetura TCP/IP, qual dos itens abaixo NÃO é considerado uma camada nomeado para o modelo TCP/IP?

R: Sessão.

8 - Qual dos protocolos provê a comunicação orientada a conexão?

R: TCP.

Você na função de analista de segurança obteve os dados abaixo de uma máquina infectada na sua rede local e precisa fazer alguns levantamentos de dados referente ao host em questão.

IP: 200.10.192.16

MÁSCARA: 255.255.255.0

Com base na 1ª Situação Particular responda as questões de 9 a 12

9 - Apresente em binário o endereço IP e a máscara:

R: IP 11001000.00001010.11000000.00010000 e máscara 11111111.11111111.11111111.0.

10 - Calcule o endereço de rede e de broadcast:

R: Rede 200.10.192.0 e  broadcast 200.10.192.255.

11 - Qual a quantidade máxima de hosts suportada por esta rede?

R: 254.

12 - Represente essa rede conforme o padrão CIDR:

R: 200.10.192.0/24.

Você, na função de CISO, recebeu um pacote pcap, referente ao tráfego de uma rede local de sua Organização, para realizar o levantamento de informações da rede e apoiar a forense de rede que está sendo realizada.

Dada a tela da captura no software wireshark, da Rede da Organização que foi implementada sob a arquitetura TCP/IP e com base nas informações da 2ª Situação Particular e da Figura, responda as perguntas de 13 a 18:

13 - Qual é o Endereço de destino do pacote apresentado na Figura?

R: 65.208.228.223.

14 - Qual é o endereço de origem do pacote apresentado na Figura?

R: 145.254.160.237.

15 - A qual classe pertence o endereço de destino?

R: Classe A.

16 - A qual classe pertence a origem de destino?

R: Classe B.

17 - O IP de origem é um IP:

R: Público.

18 - O IP de destino é um IP:

R: Público.

19 - Tomando-se como referência a a Camada 02 da Arquitetura TCP/IP, qual dos protocolos abaixo permite a troca de informações de erro e controle entre camadas de rede de estações distintas?

R: ICMP.

20 - Em uma rede IPv4, cujo endereço de início é __________, com uma máscara ________, o endereço de broadcast dessa rede será ___________, com a possibilidade de até __________ hosts:

R: 192.168.4.0 – /22 – 192.168.7.255 – 1022

Analisando as figuras 01 e 02 abaixo dê o que se pede nas perguntas de 21 a 24:

21 - Após a análise das Figuras responda qual é o endereço de origem?

R: 192.168.0.11.

22 - Após analisar as Figuras responda qual é o endereço de destino?

R: 192.168.0.200.

23 - Após analisar as Figuras responda qual é a porta de origem e destino respectivamente?

R: 56104 e 80.

24 - Tomando como referência o campo Time to Live(TTL) nas Figuras e levando em consideração que este parâmetro no host de destino não foi alterado, pode-se afirmar que:

R: provavelmente se trata de um host com sistema GNU/Linux.

25 - Preencha os espaços com a referência correta de cada Flag TCP.

R:

• SYN: Indica sincronizar, iniciar uma conexão entre os lados envolvidos.
• FIN: Indica finalizar, ou seja, a conexão deve ser fechada.
• RST: Indica resetar, ou seja, quando a comunicação não é entendida ou tem algo errado.
• PSH: Indica que existem dados no payload TCP.
• ACK: Faz a confirmação indicando que sabe qual será o próximo número de sequência.
• URG: Indica urgente, ou seja, o conteúdo deve ser priorizado.

26 - Three-way Handshake(3WHS) – é o nome dado a técnica utilizada para abrir uma conexão TCP. Analise a conexão 3WHS e coloque a flag TCP correta.

27 - Qual é a camada responsável por fazer a transmissão fim a fim em uma rede de computadores, por meio do protocolo TCP, tomando-se como referência a Arquitetura TCP/IP?

R: Transporte.

28 - Assinale a alternativa que contenha apenas protocolo(s) que é (são) considerado(s) da camada de transporte do modelo TCP/IP:

R: TCP e UDP.

29 - Na figura abaixo, extraída do software WIreshark, temos um frame ethernet com MAC de origem e MAC de destino. Em seguida tem-se o protocolo IP que tem como origem o endereço IP 1.1.1.2 e como destino o 1.1.1.1 . Pode-se concluir também que o protocolo IP carrega em seu payload o protocolo UDP.

Analisando o payload do protocolo IP no wiresharK qual é o valor de Length apresentado dentro do protocolo UDP encapsulado?

R: 95.

30 - Assinale a alternativa que apresenta protocolos da camada de aplicação, camada de transporte e camada de rede, respectivamente.

R: HTTP, TCP e IP.

31 - Relacione protocolos de comunicação em redes da coluna da esquerda com a sua respectiva porta oficial, atribuídas pela Internet Assigned Numbers Authority (IANA), da coluna da direita:

• (1) TFTP
• (2) POP3
• (3) HTTP
• (4) Telnet
• (A) 69
• (B) 80
• (C) 23
• (D) 110

R: 1A - 2D - 3B - 4C

32 - A IANA (Internet Assigned Number Authority) dividiu o número das portas em três faixas: conhecidos, registrados e dinâmicos (ou privados). As portas na faixa de 0 a 1023 são as conhecidas, atribuídas e controladas pela IANA (well-known port numbers). Dentre elas uma bem conhecida é a porta TCP 80 atribuída a HTTP. Outras são as portas TCP 23, 25 e 53, que se aplicam, respectivamente, a:

R: Telnet, SMTP e DNS.

33 - Segundo a IANA (Internet Assigned Numbers Authority), o bloco de endereços IPs privados para uma rede classe C é :

33 - 192.168.0.0 – 192.168.255.255.

34 - Redes de computadores com acesso à internet funcionam com base nos protocolos da arquitetura TCP/IP. Serviços e protocolos da camada de aplicação se comunicam com o TCP na camada de transporte por meio de portas conhecidas padronizadas. Assim, as portas 53 e 443 são utilizadas na comunicação com o TCP, respectivamente, pelos seguintes serviço e protocolo, da camada de aplicação:

R: DNS e HTTPS.

35 - Uma versão do FTP que opera sobre SSH e que criptografa os dados sendo transferidos objetivando proteção contra hackers é o:

R: SFTP.

36 - São objetivos do protocolo FTP:

R: promover o compartilhamento de arquivos, encorajar o uso indireto ou implícito (via programas) de computadores remotos, proteger um usuário contra variações nos sistemas de armazenamento de arquivo entre hosts e transferir dados de maneira confiável e eficiente.

37 - A RFC 821 padroniza o protocolo SMTP. Esse protocolo é responsável por possibilitar:

R: O envio de e-mails via Internet.

38 - No protocolo SMTP:

R: A transferência de mensagem é executada por um processo em background.

39 - O daemon de correio eletrônico que se comunica com o SMTP permanece em escuta na porta:

R: 25.

40 - Nos primeiros tempos da Internet, tipicamente configurava- se o servidor SMTP de uma rede local de tal forma que oferecesse a funcionalidade de relaying a qualquer cliente que a solicitasse. Nos dias de hoje a situação típica é a inversa, de maneira que quando um servidor de SMTP oferece a funcionalidade de relaying, é configurado de maneira a fazê-lo da forma mais restritiva possível. O principal objetivo de uma configuração assim é:

R: Evitar a proliferação de spam e worms.

41 - O SMTP:

R: Inclui extensões Transport Layer Security (TLS), que permitem que uma sessão SMTP seja criptografada.

42 - Observe as afirmativas abaixo sobre o protocolo HTTP.

1. O campo CRC (Cyclic Redundancy Check), disponível no cabeçalho HTTP, é responsável por detecção de erros em pacotes IP.
2. Caso exista uma conexão HTTP 1.1 entre as máquinas X e Y e a primeira seja reiniciada, a conexão HTTP será restabelecida, automaticamente, tão logo X esteja no ar novamente, graças ao mecanismo de keepalive.
3. Senhas de usuários que trafegam via HTTP podem ser interceptadas por usuários mal-intencionados.

Está(ão) correta(s) a(s) afirmativa(s):

R: III somente.

43 - O Protocolo HTTP:

R: Utiliza o modelo cliente-servidor, como a maioria dos protocolos de rede, baseando-se no paradigma de requisição e resposta.

44 - Por meio do protocolo HTTP (HyperText Transfer Protocol), é possível fazer requisições para um servidor e obter respostas desse mesmo servidor. O protocolo HTTP implementa dois métodos distintos para realizar solicitações e passagem de parâmetros. Qual é o método HTTP para requisições que utiliza a linha de comando (URL) e torna os parâmetros visíveis para o usuário?

R: GET.

45 - Ao examinar o registro (log) de acessos de um servidor de aplicação Apache (versão 2), o administrador do sistema notou que as requisições destinadas ao sistema 1 (http://sistema1.exemplo.com.br) retornam com código 500 na maioria dos casos, enquanto as requisições destinadas ao sistema 2 (http://sistema2.exemplo.com.br) retornam predominantemente com código 200. Isso quer dizer que:

R: Há um problema na execução de código do lado servidor no sistema 1.

46 - O protocolo HTTP possui diversos métodos, dentre eles GET e POST. Os tipos de campos de formulário que podem ser enviados apenas por POST ou que devem utilizar esse método por questões de segurança são:

R: Campos de senha e de envio (upload) de arquivos.

47 - Existem oito métodos definidos no protocolo HTTP que são: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS e CONNECT. Esses métodos indicam a ação a ser realizada no recurso especificado. Analise as afirmações abaixo sobre os métodos GET e POST:

1. GET deve ser usado para obter dados.
2. POST deve ser usado para enviar dados para serem processados.
3. As solicitações GET aceitam que os visitantes façam bookmark da página; as POST não.
4. Com o POST, o parâmetro é limitado ao que se pode colocar na linha de solicitação.

Estão corretas apenas as afirmativas:

R: I, II e III, apenas.

48 - O protocolo HTTP define um formato geral de uma mensagem de resposta. A resposta que tem por objetivo informar que a versão do protocolo HTTP requisitada não é suportada pelo servidor é representada pelo código:

R: 505.

Abaixo tem-se uma imagem da tela do software Wireshark.

Após analisar a imagem acima, dê o que se pede ns perguntas 49 e 50:

49 - Qual foi o método de requisição utilizado no pacote Http número 4?

R: GET.

50 - Qual é o valor do Request URI?

R: /download.html.

51 - O DNS é um serviço de nomes que é prestado na porta de comunicação:

R: 53 e utiliza o TCP e o UDP.

52 - Na configuração do mapeamento reverso em um servidor DNS, que tipo de registro é utilizado para responder a nomes de host (hostnames) a partir de endereços IP?

R: PTR.

53 - O DNS é um protocolo da camada de I e suas requisições são feitas usando a porta 53 do protocolo II na camada de III. As lacunas I, II e III devem ser preenchidas, respectivamente, por:

R: Aplicação, UDP e transporte.

54 - O Secure Shell (SSH) é um protocolo de rede para a operação segura de serviços em uma rede desprotegida. Sobre o protocolo SSH, é correto afirmar: 

R: Permite a autenticação de usuários sem senha através de um par de chaves, pública e privada.

55 - No contexto de acesso a terminais remotos via ssh, o que é o ssh-keygen?

R: Componente do SSH usado para estabelecer sessões seguras entre computadores remotos, através do uso de técnicas criptográficas, sem a necessidade da digitação de senhas. 

56 - Em relação ao SSH, também conhecido como Shell Seguro, assinale (V) para Verdadeiro ou (F) para Falso:

• ( ) O maior problema do SSH é a impossibilidade de criptografar sessões de terminal para usuários em hosts remotos.
• ( ) Do ponto de vista da segurança, é aconselhado que não seja permitido o login do usuário root usando SSH, através da configuração PermitRootLogin no.
• ( ) A porta 22 é a porta padrão para o protocolo SSH.

A sequência CORRETA para as afirmações acima é:

R: ( F ), ( V ), ( V ).

57 - Um Secure Shell (SSH) é um protocolo de redes que permite o acesso remoto a um computador ou equipamento. Assim, como vários outros serviços de redes, a conexão é feita em portas. O acesso padrão para o SSH é conectado pela porta:

R: 22.

58 - O SSH (Secure Shell), originário dos sistemas UNIX, provê recursos para a segurança da informação, incluindo a criptografia. O esquema de criptografia utilizado no SSH é denominado de chave:

R: Pública.

59 - A respeito dos serviços SSH e SCP, assinale a afirmativa "incorreta". 

R: O serviço SSH não é seguro, pois não trabalha com criptografia.

60 - Um protocolo de rede de computadores utilizado para acessar máquinas remotas, permitindo executar comandos por meio dessa rede, é o ssh. Com relação ao uso desse protocolo, considere as seguintes afirmativas:

1. O ssh permite o acesso não criptografado através do modo telnet.
2. O ssh permite o acesso sem uso de senhas através de chaves pareadas.
3. O ssh permite a transferência criptografada de arquivos através do comando scp.
4. O ssh permite exclusivamente a execução de comandos em linha de comando.

Estão corretas as afirmativas:

R: II e III.

61 - O SSH (Secure Shell) é um protocolo que permite acessar remotamente e de forma segura um servidor. Qual é a porta padrão utilizada pelo protocolo SSH?

R: 22.

Considerando um ativo com o endereço 10.67.123.199/22. Responda as questões 62, 63, 64 e 65.

62 - O endereço de rede:

R: 10.67.120.0. Considerando a máscara, 22 bits estão reservados para rede, usando seis bits do terceiro grupo. Transformando 123 em binário se obtem 01111011. Excluindo os dois últimos bits totaliza 120.

63 - O endereço de broadcast da rede:

R: 10.67.123.255. Resultado obtido utilizando os últimos 10 bits como ativados.

64 - A quantidade de endereços utilizáveis nessa rede:

R: 1022. Resultado obtido elevando a base 2 em 10 (10 bits) e excluindo dois hosts (rede e broadcast).

65 - Máscara utilizada por essa rede:

R: 255.255.252.0. Primeiros 22 bits ativados o terceiro grupo totaliza 252 na base 10.

 Com base na figura abaixo responda as questões 66, 67, 68 e 69.

66 - O protocolo de transporte utilizado:

R: UDP. A consulta do servidor DNS do PC e a resposta do servidor DNS utilizam o Protocolo UDP (User Datagram Protocol) como o protocolo de camada de transporte. O UDP é sem conexão e não requer uma configuração de sessão como o TCP.

67 - O domínio pesquisado:

R: polito.it.

68 - O endereço IP correspondente a esse domínio:

R: 130.192.73.1.

69 - Com base nos conceitos que envolvem o Protocolo IP correlacione corretamente os itens abaixo referentes ao datagrama IP. Caso não haja correspondência correlaciona com traço:

R:

• Padding - bits 0 que tornam o cabeçalho múltiplo de 32 bits.
• Version - campo que identifica a versão do protocolo IP.
• Time to Live - TTL é o campo que informa o número máximo de roteadores por meio dos quais o datagrama pode ser encaminhado para alcançar o destino. 
• Header Checksum - assegura a Integridade do cabeçalho.
• Source IP Address - endereço IP da estação de origem.
• Protocol - protocolo encapsulado no campo de dados.