O Squid é um servidor proxy que suporta HTTP, HTTPS, FTP e outros.

[1] Ele reduz a

utilização da conexão e melhora os tempos de resposta fazendo cache de requisições
frequentes de páginas web numa rede de computadores. Ele pode também ser usado
como um proxy reverso.
O Squid foi escrito originalmente para rodar em sistema operacional tipo Unix, mas ele
também funciona em sistemas Windows desde sua versão 2.6.STABLE4.[2]

Servidor Proxy
No cache são armazenados os objetos da Internet (ex. dados de páginas web)
disponíveis via protocolo HTTP, FTP e Gophernum sistema mais próximo ao do
cliente. Os navegadores podem então usar o Squid local como um servidor Proxy
HTTP, reduzindo o tempo de acesso aos objetos e reduzindo a utilização da conexão.
Isto é muito usado por provedores no mundo todo[3] para melhorar a velocidade de
navegação para seus clientes e também em LAN que compartilham a mesma conexão à
Internet. Ele pode fornecer anonimato e segurança dado ser um intermediário no acesso
aos objetos. No entanto a sua utilização pode gerar preocupações a respeito
da privacidade pois o Squid é capaz de armazenar registros sobre os acessos,
incluindo URLs acedidas, a data e hora exatas, e quem acedeu. Isto é usado
frequentemente nas empresas para controlarem o acesso à Internet dos seus
funcionários.[4].
A aplicação cliente (por exemplo, o navegador) deverá especificar explicitamente o
servidor proxy que quer utilizar (típico para os clientes de provedores), ou poderá
utilizar um proxy transparente, em que todos os pedidos HTTP para fora, são
interceptados pelo Squid e todas as respostas são armazenadas em cache, dessa forma
não sendo necessário configurar o navegador. Esta é uma típica configuração em
corporações (todos os clientes na mesma rede local) e introduz as preocupações com
privacidade mencionadas acima. O arquivo que permite configurar o Squid, em
ambiente tipo Unix, tais como o número da porta HTTP (3128 padrão), pedidos de
entrada e saída, informações de timeout e dados de acesso ao firewall é
o /etc/squid/squid.conf
Squid tem algumas funcionalidades que permitem tornar as conexões anônimas, tais
como desabilitar ou alterar campos específicos do cabeçalho dos pedidos HTTP do
cliente. Se isto é feito e como, é controlado pela pessoa que administra a máquina que
corre o Squid. As pessoas que requisitam páginas numa rede que usa Squid de forma
transparente podem não saber que esta informação será registrada. Dentro de empresas
do Reino Unido pelo menos, os usuários devem ser informados se computadores ou
conexão com a internet está sendo monitorada. [5]

Proxy Reverso
O uso clássico do Squid é para fornecer caching do conteúdo de um número ilimitado
de servidores web para um número limitado de clientes. Uma outra utilização é
chamada de proxy reverso. Nesta modalidade, o cache é usado por um número limitado
de servidores web - ou apenas um - para ser acessado por um número ilimitado de
clientes. Levando em consideração um exemplo, se o lerdo.exemplo.com é um servidor
web real e www.exemplo.com é o Squid fazendo o papel de proxy reverso, a primeira
vez que qualquer página do www.exemplo.com é acessada, o Squid pegaria a página
de lerdo.exemplo.com, mas depois os acessos seriam pegos direto da cópia armazenada
no Squid. O resultado final, sem qualquer percepção ou ação por parte dos clientes, é
menor tráfego para o servidor real e isso significa menor uso da CPU e memória.
É possível um único Squid servir tanto o modo clássico quanto o proxy reverso
simultaneamente.
O Squid é um software completamente livre e com suporte para Windows e Linux, a
sua principal função é no uso em servidores proxy capazes de suportar HTTP, HTTPS,
FTP e vários outros formatos.

Com o Squid é possível configurar um servidor em Linux com possua acesso à internet,
e a partir desse servidor permitir que máquinas clientes consigam acessar sites FTP e
outras páginas na Web sem necessariamente ter conexão direta com a internet.

Esse é um sistema altamente usado em empresas e em corporações onde é necessário

um controle maior o acesso das máquinas clientes.

O processo por trás de um servidor proxy é bem simples, ele é conectado direto à
internet, as outras maquinas da rede são conectadas com esse servidor e sempre que
acessam uma página na web elas “pedem para o servidor” proxy buscar essas páginas.

Se a página for liberada a pessoa conseguirá ter acesso, caso ela seja bloqueada não será
possível utilizar a internet para aquele fim.

Outro fator de segurança importante em um servidor montado através do Squid é o total

controle das páginas que foram acessadas. Através do Squid o administrador do sistema
pode saber quais as páginas foram acessadas e em que horário exatamente.

Esse é uma excelente função do Squid, apesar das discussões sobre problemas com
privacidade.

A principal vantagem do Squid

A principal vantagem do Squid está na possibilidade de armazenar páginas web em

cache.

Isso quer dizer que o Squid irá armazenar em uma “memória” as páginas mais
acessadas, assim ele pode carregar a página para a máquina cliente com muito mais
rapidez, afinal ele não precisa baixar os dados do site de novo.

Esse recurso é importante para agilizar servidores e prover um serviço de internet

melhor, seja em ambientes domésticos ou em ambientes comerciais ou públicos.

LDAP
Lightweight Directory Access Protocol, ou LDAP, é um protocolo de
aplicação aberto, livre de fornecedor e padrão de indústria para acessar e manter
serviços de informação de diretório distribuído sobre uma rede de Protocolo da
Internet (IP). Serviços de diretório desempenham um papel importante no
desenvolvimento de aplicações intranet e Internet permitindo o compartilhamento de
informações sobre usuários, sistemas, redes, serviços e aplicações através da rede.
Como exemplos, serviços de diretório podem fornecer qualquer conjunto de registros
organizado, geralmente com uma estrutura hierárquica, como um diretório de e-
mailcorporativo. Da mesma forma, uma lista telefônica (diretório de telefones) é uma
lista de assinantes com um endereço e um número de telefone. Um diretório LDAP
geralmente segue o modelo X.500, que é uma árvore de nós, cada um consistindo de um
conjunto de atributos com seus respectivos valores. O LDAP foi criado como uma
alternativa ao Directory Access Protocol (DAP).
O LDAP é especificado em uma série de publicações de Sequência de Padronização
do Internet Engineering Task Force (IETF) chamadas Request for Comments (RFCs),
usando a linguagem de descrição ASN.1. A última especificação é a Versão 3,
publicada como RFC 4511. Por exemplo, aqui está uma pesquisa LDAP traduzida em
Português puro: "Procure no diretório de e-mails da companhia por todas as pessoas
localizadas em Belém cujos nomes contêm "João" que possuem um endereço de e-mail.
Por favor, retorne seus nomes completos, e-mail, título e descrição."
Uma utilização comum do LDAP é fornecer um "logon único" onde uma senha para um
usuário é compartilhada entre muitos serviços, como a aplicação de um código de login
da companhia para páginas web (de forma que a equipe loga apenas uma vez aos
computadores da companhia e então são automaticamente logadas na intranet da
companhia).
O LDAP é baseado em um subconjunto mais simples dos padrões contidos dentro do
padrão X.500. Devido a este relacionamento, o LDAP é às vezes chamado X.500-lite.

História
Um diretório LDAP tende a refletir vários limites políticos, geográficos e/ou
organizacionais, dependendo do modelo adotado. A utilização do LDAP hoje em dia
tende a se basear nos nomes já existentes do sistema Domain Name System (DNS), na
estruturação dos níveis mais básicos de hierarquia. Mais profundamente, podem
aparecer estruturas representando pessoas, unidades organizacionais, impressoras,
documentos, grupos de pessoas ou qualquer outra coisa que represente um nó.
A versão atual é LDAPv3, especificado em uma série de RFC como mostra o RFC
4510.
Os autores deste protocolo foram Tim Howes da Universidade de Michigan, Steve Kille
da ISODE (ISO Development Environment) e Wengyik Yeong da Performance
Systems International.
LDAP influenciou protocolos de Internet subsequentes, incluindo versões posteriores do
X.500, Directory Services Markup Language(DSML), Service Provisioning Markup
Language (SPML) e o Service Location Protocol.

Visão geral[editar | editar código-fonte]

Um cliente começa uma sessão de LDAP ligando-se a um servidor LDAP, normalmente
pela porta padrão: 389, TCP. Este envia requisições para o servidor, o qual devolve
respostas. As operações básicas são:

 Bind – autentica e especifica a versão do protocolo LDAP;

 Search – procura por e/ou recupera entradas dos diretórios;
 Compare – testa se uma entrada tem determinado valor como atributo;
 ADD – adiciona uma nova entrada;
 Delete – apaga uma entrada;
 Modify – modifica uma entrada;
 Modify DN – move ou renomeia uma entrada;
 StartTLS[1] – protege a conexão com a Transport Layer Security (TLS);
 Abandon – aborta uma requisição prévia;
 Extended Operation – operação genérica para definir outras operações;
 Unbind – fecha a conexão, não o inverso de Bind.
Em contrapartida o servidor pode mandar "Unsolicited Notifications” (Notificações não
solicitadas) que são respostas a nenhuma requisição, ex. antes deste terminar uma
conexão. Com algumas exceções o cliente não precisa esperar uma resposta antes de
enviar a próxima requisição, e o servidor pode enviar a resposta em qualquer ordem.
LDAP é definido nos termos da ASN.1, e as mensagens de protocolos são codificadas
no formato binário BER.
O LDAP é uma definição de protocolo para acesso a bancos de dados especializados
chamados diretórios. É similar ao SQL no sentido que é uma linguagem para interagir
com bancos de dados sem especificar um banco de dados particular. De fato, o banco de
dados de suporte ao LDAP é quase sempre um sistema RDBMS geral, como
o LDBM ou o Oracle.
Nas diversas tecnologias que empresas de médio e grande porte utilizam hoje em dia,
uma área para autenticação é exigida por praticamente todos os sistemas, o que pode
muitas vezes ocasionar uma variada quantidade de cadastro de utilizadores replicados
entre os sistemas. Como exemplo daquele utilizador que tem muitos "logins" e "senhas"
para acesso aos sistemas da empresa e toda semana precisa lembrar ou alterar alguma
informação de seu cadastro. Ex: login e senha para acesso a máquina, a rede, ao e-mail,
ao sistema de gestão, sistema de documentos, etc. Desta forma o usuário fica confuso e
a equipe de TI simplesmente perde tempo com o serviço repetitivo e de suporte. Um
servidor de diretórios como o Open LDAP ou MS Active Directory recebe esta
autenticação dos muitos sistemas; o protocolo LDAP serve justamente para outras
aplicações quaisquer da empresa se conectarem e consultarem um servidor de diretórios.

Estrutura de diretório
O protocolo fornece uma interface com diretórios que segue a edição de 1993 do
modelo X.500:

 Uma entrada consiste de um conjunto de atributos

 Um atributo possui um nome (um tipo de atributo ou descrição de atributo) e um
ou mais valores. Os atributos são definidos em um esquema (ver abaixo).
 Cada entrada possui um identificador único: seu Distinguished Name (DN), em
português Nome Distinto. Ele consiste de seu Relative Distinguished Name (RDN),
em português Nome Distinto de Parente, construído de algum(ns) atributo(s) na
entrada, seguido pelo DN da entrada pai. Pense no DN como o caminho completo
de um arquivo e o RDN como seu nome de arquivo relativo em sua pasta pai (por
exemplo, se /foo/bar/meuarquivo.txt fosse o DN, então meuarquivo.txt seria o
RDN).
Um DN pode ser alterado durante o tempo de vida da entrada, por exemplo, quando
entradas são movidas dentro de uma árvore. Para identificar entradas com segurança e
sem ambiguidade, um UUID pode ser fornecido no conjunto de atributos
operacionais da entrada.
Uma entrada pode parecer com isto quando representada no LDAP Data Interchange
Format (LDIF) (o LDAP propriamente dito é um protocolo binário):

dn: cn=John Doe,dc=exemplo,dc=com

cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Barbara Doe,dc=exemplo,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
" dn " é o nome distinto da entrada. Ele não é um atributo nem uma parte da entrada.
" cn=John Doe " é o RDN da entrada (Relative Distinguished Name) e
" dc=exemplo,dc=com " é o DN da entrada pai, onde " dc " significa 'Domain
Component'. As outras linhas mostram os atributos na entrada. Nomes de atributos são
normalmente cadeias de caractere mnemônicas, como " cn " para common name (nome
comum), " dc " para domain component (componente de domínio), " mail " para
endereço de e-mail e " sn " para sobrenome.

Introdução ao LDAP

O LDAP (Lightweight Directory Access Protocol - Protocolo de acesso aos diretórios

leves) é um protocolo padrão que permite gerenciar diretórios, ou seja, acessar bancos
de informações sobre os usuários de uma rede por meio de protocolos TCP/IP.
Geralmente, os bancos de informações são relativos a usuários, mas eles também podem
ser usados para outros fins, como gerenciar o material de uma empresa.

O protocolo LDAP, desenvolvido em 1993 pela Universidade de Michigan, nos Estados

Unidos, tinha como objetivo suplantar o protocolo DAP (que serve para acessar o
serviço do diretório X.500 do OSI). A partir de 1995, o LDAP tornou-se um diretório
nativo para não servir apenas para acessar diretórios do tipo X500. O LDAP é, assim,
uma versão mais leve do protocolo DAP, daí o seu nomeLightweight Directory Acess
Protocol.

Apresentação do LDAP

O protocolo LDAP define o método de acesso aos dados no servidor a nível do cliente e
não a maneira como as informações são armazenadas. Ele está na versão 3 e foi
padronizado pelo IETF (Internet Engineering Task Force). Assim, existe um RFC para
cada versão de LDAP, constituindo um documento de referência: RFC 1777 para LDAP
v.2 padrão e RFC 2251 para LDAP v.3 padrão.

Assim, o LDAP fornece ao usuário métodos que lhe permitem se conectar, desligar,
procurar e comparar informações e inserir, alterar e excluir entradas. Por outro lado, o
protocolo LDAP (na sua versão 3) propõe mecanismos de codificação (SSL, etc.) e
autenticação (SASL) que permitem proteger o acesso às informações armazenadas no
banco.

A arborescência de informações (DIT)

O LDAP apresenta as informações na forma de uma arborescência de informações

hierárquica chamada DIT (Directory Information Tree), na qual as informações,
ditas entradas são representadas por ramos. Um ramo situado na raiz de uma
ramificação chama-se raiz ou sufixo (em inglês, root entry).

Toda entrada do diretório LDAP corresponde a um objeto abstrato ou real (ex: uma
pessoa, objeto material, parâmetros, etc.) e cada uma delas é constituída por um
conjunto de pares chaves/valores chamados atributos:
Os atributos das entradas
Toda entrada é constituída por um conjunto de atributos que permitem caracterizar o
objeto que a entrada define. Existem dois tipos de atributos: os atributos normais , que
são os atributos habituais (nome, sobrenome, etc.) caracterizando o objeto; e
os atributos operacionais, aos quais só o servidor pode acessar e, assim, manipular os
dados do diretório (datas de alteração, etc.).

Uma entrada é indexada por um nome distinto (DN - Distinguished Name) que permite
identificar, de maneira única, um elemento da arborescência.

Um DN é constituído pelo nome do elemento, chamado RDN (Relative Distinguished

Name), mais o conjunto dos nomes das entradas parentes. Trata-se de utilizar uma série
de pares chave/valores para localizar uma entrada de maneira única.

Algumas das chaves utilizadas são uid, identificador único obrigatório; cn, sobrenome
da pessoa; givenname, nome da pessoa, sn, o apelido da pessoa; o, empresa da
pessoa; u, serviço da empresa na qual a pessoa trabalha; e mail, endereço de e-mail da
pessoa.

Assim, um DN terá a forma

uid=jeapil,cn=pillou,givenname=jean-francois
enquanto o RDN deste mesmo usuário hipotético será

uid=jeapil
.

Assim, chama-se de esquema o conjunto das definições de objetos e de atributos que

um servidor LDAP pode gerenciar. Isto permite, por exemplo, definir se um atributo
poder ter um ou vários valores. Por outro lado, um atributo
chamado objectclass permite definir os atributos obrigatórios ou facultativos.

Como consultar os dados

O LDAP fornece um conjunto de funções para efetuar consultas sobre os dados, para
procurar, alterar e apagar entradas nos diretórios. Veja a lista das principais operações
que o LDAP pode efetuar:

Operação Descrição

Abandon Abandona a operação previamente enviada ao servidor

Add Acrescenta uma entrada ao diretório

Bind Inicia uma nova sessão no servidor LDAP

Compare Compara as entradas de um diretório de acordo com certos critérios

 Delete Exclui uma entrada de um diretório

Extended Efetua operações estendidas

Rename Altera o nome de uma entrada

Search Procura entradas de um diretório

Unbind Termina uma sessão no servidor LDAP

O formato de troca de dados LDIF

O LDAP fornece um formato de troca (LDIF - Lightweight Data Interchange Format)

que permite importar e exportar os dados de um diretório com um simples arquivo de
texto. A maioria dos servidores LDAP suporta este formato, que permite uma grande
interoperabilidade entre eles. A sintaxe do formato é a seguinte:

[<id>] dn: <distinguished name> <atributo> : <valor> <atributo> : <valor> ...

.

Neste arquivo, o ID é facultativo. Trata-se de um número inteiro positivo que permite

identificar a entrada no banco de dados. Cada nova entrada deve ser separada da
definição da entrada precedente com a ajuda de uma nova linha (linha vazia). É possível
definir um atributo em várias linhas, começando as linhas seguintes por um espaço ou
uma tabulação. Também é possível definir vários valores para um atributo, repetindo a
cadeia nome: valor em linhas separadas. Quando o valor tem um caractere especial
(não imprimível, um espaço ou dois pontos), o atributo deve ser seguido de :: e do valor
codificado em base 64.
Proxy
Os proxies são principalmente usados para per-mitir acesso à Web através de um
firewall (Figura 1). Um proxy é um servidor HTTP especial que tipicamente roda em
uma máquina firewall. O proxy espera por uma requisição dentro do fire-wall, a repassa
para o servidor remoto do outro lado do firewall, lê a resposta e envia de volta ao
cliente.
Figura 1 - Visão geral de um proxy
O proxy roda ou em um servidor firewall ou qual-quer outro servidor interno que tenha
acesso total a Internet - ou em uma máquina dentro do fire-wall, fazendo conexões com
o mundo exterior através de SOCKS ou qualquer outro software firewall. Normalmente,
o mesmo proxy é usado por todos os clientes em uma subrede. Isto torna possível
A habilidade que o proxy tem no uso do cache, o torna atrativo para aqueles que não
estão dentro do firewall. Configurar um servidor proxy é fácil e os mais populares
programas clientes Web já tem suporte a essa ferramenta. Sendo assim, torna-se simples
a tarefa de configurar um grupo de traba-lho inteiro para usar o serviço de cache do
proxy. Isto reduz os custos com tráfego de rede porque muitos documentos que são
requisitados são lidos do cache local.
Por que um Nível de Aplicação Proxy?
Um nível de aplicação proxy faz um firewall segu-ramente permeável para os usuários
na organiza-ção, sem criar um furo na segurança onde hac-kers poderiam entrar na rede
da organização.
Para clientes Web, as modificações necessárias para suportar um nível de aplicação
proxy são menores (leva-se apenas 5 minutos para adicio-nar suporte proxy para o
Emacs Web Browser).
Não há necessidade de compilar versões especi-ais de clientes Web com bibliotecas
firewall. Em outras palavras, quando se usa proxy não é ne-cessário customizar cada
cliente para suportar um tipo ou método especial de firewall: o proxy, em si, é um
método padrão para acessar firewalls.
Os usuários não têm que ter clientes FTP, Gopher e WAIS separados (muito menos
modifi-cados) para acessar um firewall - um simples cliente Web com um servidor
proxy trata todos esses casos.
O proxy permite que os programadores esque-çam as dezenas de milhares de linhas de
código necessárias para suportar cada protocolo e se concentrem em coisas mais
importantes - é pos-sível ter clientes que somente compreendam HTTP (nenhum suporte
nativo aos protocolos FTP, Gopher, etc). Usando HTTP entre o cliente e o proxy,
nenhuma funcionalidade é perdida, pois FTP, Gopher e outros protocolos Web são bem
mapeados para o HTTP.
Servidor
O proxy deve ser capaz de agir tanto como um servidor como um cliente. Ele age como
um ser-vidor quando aceita requisições HTTP de clientes conectados a ele e age como
cliente quando se conecta com servidores remotos para conseguir retornar (ou atualizar)
os documentos para seus clientes. Os campos do cabeçalho pas-sados para o proxy pelo
cliente são usados sem modificações quando o proxy se conecta ao ser-vidor remoto, de
forma que o cliente não perde qualquer funcionalidade quando existe um proxy como
intermediário.
Um proxy "completo" deveria falar todos os proto-colos Web (os mais importantes são
HTTP, FTP, Gopher, WAIS e NTTP). Proxies que somente lidam com um único
protocolo Internet, como o HTTP, também são uma possibilidade, mas um cliente Web
deveria então requerer acesso a ou-tro proxy quando quisesse usar outro protocolo (para
isso que existem as variáveis de ambiente)

Unix
Unix é um sistema operativo portável, multitarefa e multiutilizador originalmente criado
por Ken Thompson, Dennis Ritchie, entre outros, que trabalhavam nos Laboratórios
Bell da AT&T.[1]
A marca UNIX é uma propriedade do The Open Group, uma companhia formada por
empresas de informática.

História
Em 1965 formou-se um grupo de programadores, incluindo Ken Thompson, Dennis
Ritchie, Douglas McIlroy e Peter Weiner, num esforço conjunto
da AT&T (Laboratórios Bell), da General Electric (GE) e do MIT (Massachussets
Institute of Technology) para o desenvolvimento de um sistema operacional
chamado Multics.[2]

Linha do tempo dos variantes do Unix.

O Multics deveria ser um sistema de tempo compartilhado para uma grande comunidade
de usuários. Entretanto, os recursos computacionais disponíveis à época,
particularmente os do computador utilizado, um GE 645, revelaram-se insuficientes
para as pretensões do projeto. Em 1969, a Bell retirou-se do projeto. Duas razões
principais foram citadas para explicar a sua saída. Primeira: três instituições com
objetivos díspares dificilmente alcançariam uma solução satisfatória para cada uma
delas (o MIT fazia pesquisa, AT&T monopolizava os serviços de telefonia americanos e
a GE queria vender computadores). A segunda razão é que os participantes sofriam da
síndrome do segundo projeto e, por isso, queriam incluir no Multics tudo que tinha sido
excluído dos sistemas experimentais até então desenvolvidos.
Ainda em 1969, Ken Thompson, usando um ocioso computador PDP-7, começou a
reescrever o Multics num conceito menos ambicioso, batizado de Unics, usando
linguagem de montagem assembly. Mais tarde, Brian Kernighanrebatizou o novo
sistema de UNIX.
Um marco importante foi estabelecido em 1973, quando Dennis Ritchie e Ken
Thompson reescreveram o Unix, usando a linguagem C, para um computador PDP-11.
A linguagem C havia sido desenvolvida por Ritchie para substituir e superar as
limitações da linguagem B, desenvolvida por Thompson.[3]
Finalmente, ao longo dos anos 70 e 80 foram sendo desenvolvidas as primeiras
distribuições de grande dimensão como os sistemas BSD (na Universidade de
Berkeley na Califórnia) e os System III e System V (na AT&T).
Em 1977, a AT&T começou a fornecer o Unix para instituições comerciais. A abertura
do mercado comercial para o Unix deve muito a Peter Weiner - cientista de Yale e
fundador da Interactive System Corporation. Weiner conseguiu da AT&T, então já
desnudada de seu monopólio nas comunicações e liberada para atuação no mercado
de software, licença para transportar e comercializar o Unix para o computador
Interdata 8/32 para ambiente de automação de escritório. O Unix saía da linha das
máquinas PDP, da Digital Equipament Corporation (DEC), demonstrando a relativa
facilidade de migração (transporte) para outros computadores, e que, em parte, deveu-se
ao uso da linguagem C. O sucesso da Interactive de Weiner com seu produto provou
que o Unix era vendável e encorajou outros fabricantes a seguirem o mesmo curso.
Iniciava-se a abertura do chamado mercado Unix.
Com a crescente oferta de microcomputadores, outras empresas transportaram o Unix
para novas máquinas. Devido à disponibilidade dos fontes do Unix e à sua simplicidade,
muitos fabricantes alteraram o sistema, gerando variantes personalizadas a partir do
Unix básico licenciado pela AT&T. De 1977 a 1981, a AT&T integrou muitas variantes
no primeiro sistema Unix comercial chamado de System III. Em 1983, após acrescentar
vários melhoramentos ao System III, a AT&T apresentava o novo Unix comercial,
agora chamado de System V. Hoje, o Unix System V é o padrão internacional de fato
no mercado Unix, constando das licitações de compra de equipamentos de grandes
clientes na América, Europa e Ásia.
Atualmente, Unix (ou *nix) é o nome dado a uma grande família de Sistemas
Operativos que partilham muitos dos conceitos dos Sistemas Unix originais
(GNU/Linux, embora compartilhe conceitos de sistemas da família Unix, não faz parte
desta família por não compartilhar de código derivado de algum sistema da família Unix
e não possuir o mesmo objetivo e filosofia no qual o Unix se originou e, em grande
parte, mantém até hoje), sendo todos eles desenvolvidos em torno de padrões como
o POSIX (Portable Operating System Interface) e outros. Alguns dos Sistemas
Operativos derivados do Unix
são: BSD (FreeBSD, OpenBSD e NetBSD), Solaris (anteriormente conhecido
por SunOS), IRIX, AIX, HP-UX, Tru64, SCO, e até o Mac OS X (baseado em
um núcleo Mach BSD chamado Darwin). Existem mais de quarenta sistemas
operacionais *nix, rodando desde celulares a supercomputadores, de relógios de pulso a
sistemas de grande porte.

Características[editar | editar código-fonte]

Sistema operacional multitarefa[editar | editar código-fonte]
Multitarefa significa executar uma ou mais tarefas ou processos simultaneamente. Na
verdade, em um sistema monoprocessado, os processos são executados seqüencialmente
de forma tão rápida que parecem estar sendo executados simultaneamente. O Unix
escalona sua execução e reserva-lhes recursos computacionais (intervalo de tempo de
processamento, espaço em memória RAM, espaço no disco rígido, etc.).
O Unix é um sistema operacional de multitarefa preemptiva. Isso significa que, quando
esgota-se um determinado intervalo de tempo (chamado quantum), o Unix suspende a
execução do processo, salva o seu contexto (informações necessárias para a execução
do processo), para que ele possa ser retomado posteriormente, e coloca em execução o
próximo processo da fila de espera. O Unix também determina quando cada processo
será executado, a duração de sua execução e a sua prioridade sobre os outros.
A multitarefa, além de fazer com que o conjunto de tarefas seja executado mais
rapidamente, ainda permite que o usuário e o computador fiquem livres para realizarem
outras tarefas com o tempo economizado.
Sistema operacional multiutilizador[editar | editar código-fonte]
Uma característica importante do Unix é ser multiusuário (multiutilizador). Bovet e
Cesati [4] definem um sistema multiusuário como "aquele capaz de executar,
concorrente e independentemente, várias aplicações pertencentes a dois ou mais
usuários". O Unix possibilita que vários usuários usem um mesmo computador
simultaneamente, geralmente por meio de terminais. Cada terminal é composto de um
monitor, um teclado e, eventualmente, um mouse. Vários terminais podem ser
conectados ao mesmo computador num sistema Unix. Há alguns anos eram usadas
conexões seriais, mas atualmente é mais comum o uso de redes locais, principalmente
para o uso de terminais gráficos (ou terminais X), usando o protocolo XDMCP.
O Unix gerencia os pedidos que os usuários fazem, evitando que um interfira com
outros. Cada usuário possui direitos de propriedade e permissões sobre arquivos.
Quaisquer arquivos modificados pelo usuário conservarão esses direitos. Programas
executados por um usuário comum estarão limitados em termos de quais arquivos
poderão acessar.
O sistema Unix possui dois tipos de usuários: o usuário root (também conhecido como
superusuário), que possui a missão de administrar o sistema, podendo manipular todos
os recursos do sistema operacional; e os usuários comuns, que possuem direitos
limitados.
Para que o sistema opere adequadamente em modo multiusuário, existem alguns
mecanismos: (i) um sistema de autenticação para identificação de cada usuário (o
programa login, p.ex., autentica o usuário verificando uma base de dados, normalmente
armazenada no arquivo /etc/passwd); (ii) sistema de arquivos com permissões e
propriedades sobre arquivos (os direitos anteriormente citados); (iii) proteção de
memória, impedindo que um processo de usuário acesse dados ou interfira com outro
processo. Esse último mecanismo é implementado com a ajuda do hardware, que
consiste na divisão do ambiente de processamento e memória em modo supervisor (ou
modo núcleo) e modo usuário.
Arquivos de dispositivo[editar | editar código-fonte]
Uma característica singular no Unix (e seus derivados) é a utilização intensiva do
conceito de arquivo. Quase todos os dispositivos são tratados como arquivos e, como
tais, seu acesso é obtido mediante a utilização das chamadas de
sistema open , read , write e close .
Os dispositivos de entrada e saída são classificados como sendo de bloco (disco, p.ex.)
ou de caractere (impressora, modem, etc.) e são associados a arquivos mantidos no
diretório /dev (v. detalhamento mais adiante).
Estrutura[editar | editar código-fonte]

Um sistema Unix consiste, basicamente, de duas partes:

 Núcleo - o núcleo do sistema operacional, a parte que relaciona-se diretamente com

o hardware, e que executa num espaço de memória privilegiado. Agenda processos,
gerencia a memória, controla o acesso a arquivos e a dispositivos de hardware
(estes, por meio dos controladores de dispositivo - drivers - e interrupções). O
acesso ao núcleo é feito por chamadas de sistema, que são funções fornecidas pelo
núcleo; essas funções são disponibilizadas para as aplicações por bibliotecas de
sistema C (libc).
 Programas de sistema - são aplicações, que executam em espaços de memória não
privilegiados, e que fazem a interface entre o usuário e o núcleo. Consistem,
principalmente, de:

 Conjunto de biblioteca C (libc)

 Shell - um ambiente que permite que o usuário digite comandos.

 Programas utilitários diversos - são programas usados para manipular

arquivos, controlar processos etc.

 Ambiente gráfico (GUI) graphics user interface - eventualmente utiliza-se

também um ambiente gráfico para facilitar a interação do usuário com o
sistema.
Em um sistema Unix, o espaço de memória utilizado pelo núcleo é
denominado espaço do núcleo ou supervisor (em inglês: kernel space);
a área de memória para os outros programas é denominada espaço do
usuário (user space). Essa separação é um mecanismo de proteção que
impede que programas comuns interfiram com o sistema operacional.
Processos[editar | editar código-fonte]
Um processo, na visão mais simples, é uma instância de um programa
em execução. Um programa, para ser executado, deve ser carregado em
memória; a área de memória utilizada é dividida em três partes: código
(text), dados inicializados (data) e pilha (stack).
Por ser um sistema multitarefa, o Unix utiliza uma estrutura chamada
tabela de processos, que contém informações sobre cada processo, tais
como: identificação do processo (PID), dono, área de memória
utilizada, estado (status). Apenas um processo pode ocupar o
processador em cada instante - o processo encontra-se no estado
"executando" (running). Os outros processos podem estar "prontos"
(ready), aguardando na fila de processos, ou então estão "dormindo"
(asleep), esperando alguma condição que permita sua execução.
Um processo em execução pode ser retirado do processador por duas
razões: (i) necessita acessar algum recurso, fazendo uma chamada de
sistema - neste caso, após sua retirada do processador, seu estado será
alterado para "dormindo", até que o recurso seja liberado pelo núcleo;
(ii) o núcleo pode interromper o processo (preempção) - neste caso, o
processo irá para a fila de processos (estado "pronto"), aguardando nova
oportunidade para executar - ou porque a fatia de tempo esgotou-se, ou
porque o núcleo necessita realizar alguma tarefa.
 Existem quatro chamadas de sistema principais associadas a
processos: fork, exec, exit e wait. fork é usada para criar um novo
processo, que irá executar o mesmo código (programa) do programa
chamador (processo-pai); exec irá determinar o código a ser executado
pelo processo chamado (processo-filho); exit termina o
processo; wait faz a sincronização entre a finalização do processo-filho
e o processo-pai.
Sistema de arquivos[editar | editar código-fonte]
Sistema de arquivos é uma estrutura lógica que possibilita o
armazenamento e recuperação de arquivos. No Unix, arquivos são
contidos em diretórios (ou pastas), os quais são conectados em uma
árvore que começa no diretório raiz (designado por /). Mesmo os
arquivos que se encontram em dispositivos de armazenamento
diferentes (discos rígidos, disquetes, CDs, DVDs, sistemas de arquivos
em rede) precisam ser conectados à árvore para que seu conteúdo possa
ser acessado. Cada dispositivo de armazenamento possui a sua própria
árvore de diretórios.
O processo de conectar a árvore de diretórios de um dispositivo de
armazenamento à árvore de diretórios raiz é chamado de "montar
dispositivo de armazenamento" (montagem) e é realizada por meio do
comando mount. A montagem associa o dispositivo a um subdiretório.
Estrutura de diretórios[editar | editar código-fonte]
A árvore de diretórios do Unix é dividida em várias ramificações
menores e pode variar de uma versão para outra. Os diretórios mais
comuns são os seguintes:
/ — Diretório raiz - este é o diretório principal do sistema. Dentro dele estão
todos os diretórios do sistema.
/bin — Contém arquivos, programas do sistema, que são usados com
freqüência pelos usuários.
/boot — Contém arquivos necessários para a inicialização do sistema.
/dev — Contém arquivos usados para acessar dispositivos (periféricos)
existentes no computador.
/etc — Arquivos de configuração de seu computador local.
/home — Diretórios contendo os arquivos dos usuários.
/lib — Bibliotecas compartilhadas pelos programas do sistema e módulos do
núcleo.
/mnt — Diretório de montagem de dispositivos.
/mnt/cdrom — Subdiretório onde são montados os CDs. Após a montagem, o
conteúdo do CD se encontrará dentro deste diretório.
/mnt/floppy — Subdiretório onde são montados os disquetes. Após a
montagem, o conteúdo do disquete se encontrará dentro deste diretório.
/proc — Sistema de arquivos do núcleo. Este diretório não existe no disco
rígido, ele é colocado lá pelo núcleo e usado por diversos programas.
/root — Diretório do usuário root.
/sbin — Diretório de programas usados pelo superusuário (root) para
administração e controle do funcionamento do sistema.
/tmp — Diretório para armazenamento de arquivos temporários criados por
programas.
/usr — Contém maior parte de seus programas. Normalmente acessível
somente como leitura.
/var — Contém maior parte dos arquivos que são gravados com freqüência
pelos programas do sistema.
rmdir - Exclui um diretório (se estiver vazio).
rm -rf - Exclui um diretório e todo o seu conteúdo.
cd - Entra num diretório (exemplo: cd docs) ou retorna para HOME.
cd / - Muda para o diretório raiz.
cd ~ - vai direto para o diretório home do usuário logado.
cd - - volta ao último diretório acessado.
pwd - Exibe o local do diretório atual.
ls - Lista o conteúdo do diretório.
ls -alh - Mostra o conteúdo detalhado do diretório.
ls -a - Exibe os arquivos "ocultos" do determinado diretório.
ls -ltr - Mostra os arquivos no formado longo(l) em ordem inversa(r) de data (t).
df - Mostra a utilização dos sistemas de arquivos montados.
du -ms - Mostra o tamanho do diretório em Megabytes.
whereis - Mostra onde se encontra determinado arquivo (binários) exemplo:
whereis samba
cat - Mostra o conteúdo de um arquivo binário ou texto
tac - Semelhante ao cat mas inverte a ordem
tail - Mostra as últimas linhas de um arquivo. Ex: tail -f <arquivo> Útil para
visualizar arquivos de log continuamente.
head - Mostra as primeiras linhas de um arquivo. Ex: head -100 visualiza as 100
primeiras linhas do arquivo.
less - Mostra o conteúdo de um arquivo de texto com controle
vi - Editor de ficheiros de texto
vim - Versão melhorada do editor supracitado
rm - Remoção de arquivos (também remove diretórios, mas com o parâmetro -r,
que significa recursividade)
cp - Copia diretórios 'cp -r' copia recursivamente
mv - Move ou renomeia arquivos e diretórios
chmod - Altera as permissões de arquivos ou directórios
chown - Altera o dono de arquivos ou directórios
cmd>txt - Cria um novo arquivo(txt) com o resultado do comando(cmd)
cmd>>txt - Adiciona o resultado do comando(cmd) ao fim do arquivo(txt)
touch foo.txt - Cria um arquivo foo.txt vazio; também altera data e hora de
modificação para agora
> arquivo.txt - Mais rápido que o touch para criação de arquivos
split - Divide um arquivo
recode - Recodifica um arquivo ex: recode iso-8859-15..utf8 file_to_change.txt
man - Mostra o manual do comando.
adduser - Adiciona usuários. O useradd pode também ser usado.
addgroup - Adiciona grupos. O groupadd pode também ser usado.
apropos - Realiza pesquisa por palavra ou string
dmesg - Exibe as mensagens da inicialização(log)
du - Exibe estado de ocupação dos discos/partições
find - Comando de busca ex: find ~/ -cmin -3
userdel - Remove usuários
usermod - Modifica informações de um determinado usuário.
groupmod - Modifica informações de um determinado grupo.
chfn - Altera informação relativa a um utilizador (usuário).
who - Informa quem está logado no sistema. Em algumas versões do Linux,
o comando w pode ser usado, e retorna informações mais detalhadas, como o
shell do usuário.
whoami - Informa com qual usuário você está logado
passwd - Modifica senha (password) de usuários
umask - Define padrões de criação de arquivos e diretórios
ps - Mostra os processos correntes
ps aux (ou ps -ef) - Mostra todos os processos correntes no sistema
kill - Mata um processo
killall - Mata todos os processos com o nome informado
su - Troca para o super-usuário root (é exigida a senha)
su user - Troca para o usuário especificado em 'user' (é exigida a senha)
chown - Altera o proprietário de arquivos e pastas (dono)
 ifconfig - mostra as interfaces de redes ativas e as informações relacionadas a
cada uma delas
route - Mostra as informações referentes as rotas
mtr - Mostra rota até determinado IP
netstat - Exibe as portas e protocolos abertos no sistema.
iptraf - Analisador de trafego da rede com interface gráfica baseada em diálogos
tcpdump - Sniffer muito popular. Sniffer é uma ferramenta que "ouve" os
pacotes que estão passando pela rede.
traceroute Traça uma rota do host local até o destino mostrando os roteadores
intermediários
nslookup - Consultas a serviços DNS
dig - Consultas a serviços DNS
.
SMTP: oferece um serviço para mensagnes que carregam correspondências
contendo textos (store-and-forwad).
FTP: fornece o serviço de transferência de arquivos.
TELNET: oferece serviços de terminal virtual (conexões).
DNS: oferece um serviço de mapemanto de nomes em endereços de rede.
Windows 2000
Origem: Wikipédia, a enciclopédia livre.
O Microsoft Windows 2000 (também conhecido como Win2k) foi um sistema
operacional preemptivo, gráfico e de fácil aprendizagem que foi desenvolvido para
trabalhar com um ou mais processadores de 32 bits em computadores na
arquitetura x86. É parte de uma linha de sistemas
operacionais denominada Microsoft Windows NT e foi lançado em 17 de
fevereiro de 2000, sendo o sucessor do Windows NT 4.0. Ele está disponível em quatro
versões: Professional, Server, Advanced Server e Datacenter Server. Adicionalmente,
a Microsoft oferece o Windows 2000 Advanced Server - Edição Limitada, que foi
lançado em 2001 e roda em processadores de 64 bits Itanium. O Windows 2000 é
classificado com um sistema operacional de núcleo híbrido, e sua arquitetura é dividida
em dois modos: usuário e núcleo. O "modo núcleo" dá acesso total aos recursos do
sistema e suporta a execução das aplicações em modo usuário, com acesso restrito aos
recursos.
Todas as versões do Windows 2000 possuem em comum muitas funcionalidades,
incluindo muitas utilidades de sistema como o Microsoft Management Console (MMC)
e sistemas de gerenciamento de aplicação como o utilitário de desfragmentação de
disco.
Todas as versões do Windows 2000 suportam o sistema de arquivos Windows NT
versão 5 ou NTFS 5 (New Tecnology File System), o sistema de arquivos criptografado
(EFS), também armazenamento em discos básicos ou dinâmicos. O armazenamento em
discos dinâmicos permite que diferentes volumes sejam utilizados. A família 2000
Server também teve um aumento de funcionalidades, incluindo a capacidade de ter um
serviço de diretório único: o Active Directory, Distributed File System (um sistema de
arquivos que possibilita compartilhamento de arquivos) e armazenamento em volumes
com tolerância à falhas.
O Windows 2000 pode ser instalado numa empresa através de instalações interativas ou
não interativas. A instalação não interativa se baseia no uso de um arquivo de
resposta que tem a finalidade de preencher as informações de instalação, e pode ser
utilizado através de um CD "bootável" usando o Microsoft Systems Management
Server (SMS), através do System Preparation Tool (Sysprep).

Histórico[editar | editar código-fonte]

O Windows 2000 originalmente vem do Microsoft Windows NT. Originalmente
chamado de Windows NT 5, a Microsoft mudou seu nome para Windows 2000 em 27
de outubro de 1998 [3] . A primeira versão beta do Windows 2000 foi liberada em 27 de
setembro de 1997 e vários betas foram liberados até o Beta 3 que foi lançado em 29 de
Abril de 1999. A partir dali, a Microsoft lançou mais três versões beta até o seu
lançamento do sistema operacional para seus parceiros em 12 de Dezembro de 1999[4].
Oficialmente o lançamento do Windows 2000 foi em 17 de fevereiro de 2000 e a
imprensa imediatamente declarou que esse era o sistema operacional mais estável
lançado pela Microsoft em toda a sua história. A Novell, entretanto, não ficou tão
impressionada com a nova arquitetura de serviços de diretório da Microsoft, eles
acharam o Active Directory menos escalável que o seu proprio serviço de diretório,
o Novell Directory Services (NDS) lançado muito antes. [5] Em 29 de setembro de 2000,
a Microsoft lançou o Windows 2000 Datacenter. A Microsoft lançou o Service Pack 1
(SP1) em 15 de agosto de 2000, Service Pack 2 (SP2) em 16 de maio de 2001, Service
Pack 3 (SP3) em 29 de Agosto de 2002 e seu último Service Pack (SP4) em 26 de
Junho de 2003. A Microsoft anunciou que eles não iriam lançar o Service Pack 5, mas,
ao invés disso, eles lançaram o Update Rollup 1 para o Service Pack 4 em 13 de
Setembro de 2005.
O Windows 2000 já foi trocado por novos sistemas operacionais da Microsoft. Ela já
trocou os produtos do Windows 2000 Server pelo Windows Server 2003, e o Windows
2000 Professional pelo Windows XP Professional. O Windows Neptune iniciou seu
desenvolvimento em 1999, e achava-se que iria ser a versão doméstica do Windows
2000. Entretanto, o projeto estourou em tempo de produção e apenas um alfa foi criado.
O Windows Me foi lançado como seu substituto e o projeto Neptune teve seu projeto
adiado para a produção do Windows XP. Os únicos elementos do Projeto Windows que
foram incluídos no Windows 2000 foram a capacidade do upgrade das versões 95 e 98
e o suporte para o sistema de arquivos FAT32.
Muitos problemas de segurança sérios foram encontrados no Windows 2000. Code
Red e Code Red II foram famosos (e muito difundidos pela imprensa do mundo
todo) worms que exploraram vulnerabilidades do serviço de indexação do Internet
Information Services (IIS) do Windows 2000. Em agosto de 2003,
dois worms denominados Sobig e o Blasteratacaram milhões de computadores com
Windows, resultando no maior tempo de down-time (serviço fora do ar) e no maior
gasto para limpeza até aquela data.

Arquitetura[editar | editar código-fonte]

O Windows 2000 é um sistema altamente modular que consiste em duas camadas:
o modo usuário e o modo núcleo. O modo usuário se refere ao modo no qual as
aplicações são executadas. Tais aplicativos são limitados em termos de acesso a
recursos de sistemas, enquanto o modo núcleo tem acesso irrestrito para os sistemas de
memória e dispositivos externos. Todas as aplicações que rodam em modo
usuário acessam recursos de sistema através da comunicação com o modo núcleo.
Modo usuário[editar | editar código-fonte]
O modo usuário no Windows 2000 é feito de subsistemas com capacidade de transmitir
requisições para os drives modo núcleo apropriados usando um gerenciador
de entrada/saída. Dois subsistemas constituem a camada de modo usuário no Windows
2000: o sistema Ambiental e o sistema Integral.
O subsistema Ambiental foi desenvolvido para rodar aplicações escritas para vários
tipos de sistema operacional. Esses aplicativos, entretanto, rodam em baixa prioridade
que os processos de modo núcleo. Existem três principais tipos de Subsistemas
Ambientais:

1. Subsistema Win32 roda aplicações Windows de 32 bits e também suporta

Máquina Virtual DOS - Virtual DOS Machine (VDM), permitindo que
aplicações de 16 bits para MS-DOS rodem no Windows 2000.
2. Subsistema Windows on Windows (wowexec.exe), fazendo com que aplicativos
feitos para versões antigas do Windows rodem no Windows 2000.
3. Subsistema OS/2 suporta aplicações OS/2 de 16 bits e emula OS/2 1.x, mas não
a 2.x ou posterior.
4. Subsistema POSIX suporta aplicações que são estritamente escritas tanto para
POSIX.1 padrão ou que obedecem o padrão ISO/IEC.
O Subsistema Integral procura por funções especificas do sistema fora do subsistema
Ambiental. Consiste em um subsistema de segurança (permite/nega acesso e gerencia
logon), serviço de estação (ajuda com o acesso de rede do computador) e um serviço
servidor (permite que o computador forneça serviços de rede).
Modo núcleo[editar | editar código-fonte]
O Modo núcleo no Windows 2000 tem acesso total ao hardware e aos recursos de
sistema do computador. O modo núcleo impede que serviços e aplicações modo
usuárioacessem áreas criticas do sistema operacional.
A interface Executive com todos os subsistemas de modo usuário. Ela interage com
o entrada/saída, Gerenciamento de Objetos, segurança e gerenciamento de processos,
contendo vários componentes, incluindo:

 Gerenciador de Objetos: Um subsistema Executive especial que todos os outros

Subsistemas Executive deve passar para ter acesso aos recursos do Windows 2000.
Ele é essencial no serviço de infraestrutura de gerenciamento de recursos que
permite que o Windows 2000 seja um sistema operacional orientado a objetos.
 Gerenciador de I/O: permite que dispositivos se comuniquem com
subsistemas modo usuário, ele traduz a leitura e a escrita do subsistema modo
usuário e os transfere para o dispositivo de driver
 Monitor de Referencia de Segurança(SRM): a autoridade primária para utilizar as
regras de segurança do subsistema de segurança integral.[6]
 Gerenciador de IPC : vem de Interprocess Communication, gerencia a
comunicação entre os clientes (no subsistema Ambiental) e servidores
(componentes do executive).
 Gerenciador de Memoria Virtual: gerencia a memória virtual, permitindo que o
Windows 2000 use o disco rígido(HD) como um dispositivo
de armazenamento primário.
 Gerenciador de Processos: manipula a criação e finalização de processos e
a threads.
 Gerenciador PnP : manipula o "ligar e usar" e suporta os dispositivos de detecção
e instalação na hora do boot.
 Gerenciador de Energia: o gerenciador de energia coordena os eventos de energia
e fornece energia para os IRPs.
 O sistema de dysplay é controlado por um driver de dispositivo contido
em Win32k.sys. O componente Window Manager desse driver é responsável por
desenhar janelas e menus enquanto o componente GDI (graphical device interface -
Dispositivo de Interface Gráfica) é responsável por tarefas como desenhar linhas e
curvas, renderizar fontes e manipular palhetas.
O Windows 2000 Hardware Abstraction Layer (Camada de abstração de hardware),
ou HAL, é uma camada entre o hardware físico do computador e o resto do sistema
operacional. Ele foi desenvolvido para "esconder" diferenças de hardware e prover
uma plataforma consistente para executar aplicações. O HAL inclui códigos de
hardwares específicos que controlam interfaces de E/S, controladores de interrupção e
múltiplos processadores.
O micronúcleo se situa entre a HAL e a executiva e fornece sincronização de
multiprocessamento, threads e agendamento de interrupções, gerenciamento de traps e
envio de exceções. O micronúcleo geralmente se comunica com o gerenciador de
processos. [7] O micronúcleo também é responsável pela inicialização de drivers de
dispositivos no boot que são necessários para tornar o sistema operacional funcionando
corretamente.
Funcionalidades Comuns[editar | editar código-fonte]
Certas características são comuns através de todas versões de Windows 2000 (ambos
Profissional e as versões de Servidor), entre eles são NTFS 5, a Consola de Gerência de
Microsoft (MMC), o Sistema de Arquivo de Encrypting (EFS), dinâmica e
armazenamento básico de disco, realces de usabilidade e suporte multi-linguagem e
local (localization). Assim como estas características, a Microsoft introduziu uma nova
característica para proteger arquivos críticos do sistema. Isto previne programas de
substituir arquivos críticos do Windows, causando assim a inoperância do sistema. A
Microsoft reconheceu que os erros fatais normalmente mostrados em uma tela azul (ou
erro de parada) podem causar problemas sérios para servidores que necessitam
constantemente estar ativos e então forneceu um cenário de sistema que permitiria o
servidor a automaticamente reiniciar (reboot) quando um erro de parada ocorre. Os
operadores têm a opção de descarregar o primeiro 64KB de memória a disco (a menor
quantidade de memória que é útil para depurar falhas, também conhecido como um
minidump), um dump da memória do núcleo ou um dump do conteúdo inteiro da
memória a disco. Para melhorar o desempenho em computadores executando o
Windows 2000 como um servidor, a Microsoft deu a escolha para administradores de
otimizar o sistema operativo para serviços de fundo ou para aplicações.
NTFS 5[editar | editar código-fonte]
 Ver artigo principal: NTFS
Microsoft lançou a terceira versão do Sistema de Arquivos NT (NTFS) — também
conhecida como versão 5.0 — no Windows 2000; ela introduziu cotas, encriptação em
nível de sistema de arquivos (chamada EFS), arquivos espaços e pontos de restauração.

Versões[editar | editar código-fonte]

A Microsoft lançou várias versões do Windows 2000 para corresponder com os
diferentes mercados e necessidades de negócio. Lançou o Windows 2000 Profissional,
Windows 2000 Server, Windows 2000 Advanced Server e Windows 2000 Datacenter
Server.
Windows 2000 Profissional[editar | editar código-fonte]
O Windows 2000 Profissional foi feito para responder às exigências de um sistema
operativo para empresas, negócios e escritórios. É a unidade básica do Windows 2000, e
a mais comum, mesmo após a descontinuação do suporte técnico (sendo a segunda
versão mais utilizada, atrás apenas do Windows XP Professional). Oferece maior
estabilidade e segurança do que qualquer outra versão anterior do Windows para o
segmento profissional, suporta até 4 GB de memória RAM e gerencia até 2
processadores simétricos.
Windows 2000 Server[editar | editar código-fonte]
O Windows 2000 Server partilha a mesma interface de utilizador do Windows 2000
Professional, contendo adicionalmente componentes para correr infraestruturas e
aplicações para servidor. Uma delas é o Active Directory, um directório centralizado de
utilizadores, baseado no Lightweight Direct Access Protocol. A Microsoft também
integrou o protocolo Kerberos de autenticação, substituindo o muito criticado NTLM
(Windows NT LAN Manager), utilizado em versões anteriores. Ainda introduziu um
servidor DNS que permite um registro dinâmico de endereços IP. Esta versão do
Windows 2000 suporta até 4 GB de memória RAM e gerencia até 4 processadores
simétricos.
Windows 2000 Advanced Server[editar | editar código-fonte]
Suporte adicional além do Windows 2000 Server:
Clustering - Faz vários computadores aparecem como um para aplicativos e clientes.
Podem ser agrupados entre 2 e 32 servidores. O "Cluster Service" deve ser instalado
para implementar o cluster. Suas características são:

 Network Load Balancing (NLB).

 Aquisição automática caso o computador que está executando um aplicativo falhar.
O diferencial de hardware do Windows 2000 Advanced Server é o seu suporte a até 8
GB de memória RAM e 8 processadores simétricos.
Microsoft Windows
Microsoft Windows (ou simplesmente Windows) é uma família de sistemas
operacionais desenvolvidos, comercializados e vendidos pela Microsoft. É constituída
por várias famílias de sistemas operacionais, cada qual atendendo a um determinado
setor da indústria da computação, sendo que o sistema geralmente é associado com a
arquitetura IBM PC compatível. As famílias ativas do Windows incluem Windows
NT, Windows Embedded e Windows Phone; estes podem abranger subfamílias,
como Windows CE ou Windows Server.
Entre as famílias Windows extintas estão o Windows 9x; o Windows 10 Mobile é um
produto ativo, não relacionado à família defunta Windows Mobile. A Microsoft
introduziu um ambiente operacional chamado Windows em 20 de novembro de 1985,
como um shell para MS-DOS, em resposta ao crescente interesse em interfaces gráficas
de usuário (GUIs).[1]
O Microsoft Windows passou a dominar o mercado de computadores pessoais (PC) do
mundo, com mais de 90% de participação de mercado, superando o Mac OS, que havia
sido introduzido em 1984. A Apple chegou a ver o Windows como uma invasão injusta
em sua inovação no desenvolvimento de produtos GUI, como o Lisa e
o Macintosh (eventualmente resolvido na Justiça em favor da Microsoft em 1993). Nos
PCs, o Windows ainda é o sistema operacional mais popular.
No entanto, em 2014, a Microsoft admitiu a perda da maioria do mercado global de
sistemas operacionais do sistema operacional móvel Android,[2] devido ao enorme
crescimento nas vendas de smartphones. Em 2014, o número de dispositivos Windows
vendidos era menos de 25% dos dispositivos Android vendidos. Essas comparações, no
entanto, podem não ser totalmente relevantes, já que os dois sistemas operacionais
visam plataformas tradicionalmente diferentes. Em setembro de 2016, a versão mais
recente do Windows para PCs, tablets, smartphones e dispositivos embutidos era
o Windows 10. As versões mais recentes para servidores era o Windows Server 2016.
Uma versão especializada do Windows é executada no console de jogos Xbox One.[3]

História

Windows 1.0
A Microsoft começou a desenvolver o Microsoft Windows em setembro de 1981. Os
primeiros Windows, como o 1.0, 2.0, são compatíveis apenas com partições formatadas
em sistema de ficheiros FAT, ou como é chamado, FAT 16. O 3.x poderia ser instalado
em FAT 32, porém necessita ser instalado o MS-DOS 7.10, que era incluído nos
disquetes de inicialização do Windows 95 OSR2 e Windows 98, necessitando modificar
alguns arquivos para permitir seu funcionamento. Ao mudar do 3.1 para o 95B
(Windows 95 OSR 2/OSR 2.1), os HD's poderiam ser formatados em FAT 32.
Inicialmente lançado com o Windows NT, a tecnologia NTFS é agora o padrão de
fato para esta classe. Com a convergência de ambos sistemas, o Windows XP passou
também a preferir este formato.[carece de fontes]
Windows 95

Windows 95
O Windows 95 foi lançado em 24 de agosto de 1995. Ele era um Windows
completamente novo, e de nada lembra os Windows da família 3.xx. O salto do
Windows 3.0 ao Windows 95 era muito grande e ocorreu uma mudança radical na
forma da apresentação do interface. Introduziu o Menu Iniciar e a Barra de Tarefas.
Enquanto Nesta versão, o MS-DOS perdeu parte da sua importância visto que o
Windows já consegue ativar-se sem precisar da dependência prévia do MS-DOS. As
limitações de memória oferecidas ainda pelo Windows 3.0 foram praticamente
eliminadas nesta versão. O sistema multitarefa tornou-se mais eficaz. Utilizava
o sistema de ficheiros FAT-16 (VFAT). Os ficheiros (arquivos) puderam a partir de
então ter 255 caracteres de nome (mais uma extensão de três caracteres que indica o
conteúdo do arquivo, facilitando assim sua identificação e podendo ser associado para
abertura em determinados programas). O salto foi enorme, e o lançamento foi
amplamente divulgado pela imprensa, inclusive pelas grandes redes de televisão. Existe
uma outra versão do Windows 95, lançada no início de 1996, chamada de Windows 95
OEM Service Release 2 (OSR 2), com suporte nativo ao sistema de arquivos FAT32. Já
o Windows 95, a partir da revisão OSR 2.1, incluía o suporte nativo ao Barramento
Serial Universal (USB) e Ultra DMA (UDMA). Foi lançada ainda uma versão especial,
o Windows 95 Plus!, com um pacote de diferentes temas visuais e sonoros para
personalização do sistema operacional. Esta versão também incluía o navegador Internet
Explorer.
Windows 98

Windows 98
Esta versão foi lançada em 25 de Junho de 1998. Foram corrigidas muitas das falhas do
seu antecessor. A maior novidade desta versão era a completa integração do S.O. com a
Internet. Utilizava o Internet Explorer 4. Introduziu o sistema de arquivos FAT 32 e
começou a introduzir o teletrabalho (só foi possível devido à integração do Web).
Melhorou bastante a interface gráfica. Incluiu o suporte a muitos monitores e ao USB
(Universal Serial Bus). Mas, por ser maior do que o Windows 95 e possuir mais
funções, era também mais lento e mais instável. Nessa versão, nasce a restauração de
sistema via MS-DOS (Scanreg.exe /restore). A restauração de sistema visava corrigir
problemas retornando o computador a um estado anteriormente acessado (ontem, antes
de ontem, etc).
Windows XP
O Windows XP foi uma família de sistemas operacionais de 32 e 64 bits produzido
pela Microsoft, para uso em computadores pessoais, incluindo computadores
residenciais e de escritórios, notebooks, tablets e media centers. O nome "XP" deriva
de eXPerience.[4] O Windows XP é o sucessor de ambos os Windows 2000 e Windows
ME e é o primeiro sistema operacional para consumidores produzido pela Microsoft
construído em nova arquitetura e núcleo (Windows NT 5.1). O Windows XP foi
lançado no dia 25 de Outubro de 2001 e mais de 400 milhões de cópias estavam em uso
em Janeiro de 2006, de acordo com estimativas feitas naquele mês pela empresa de
estatísticas IDC.[5] Foi sucedido pelo Windows Vista lançado para pré-fabricantes no
dia 8 de Novembro de 2006 e para o público em geral em 30 de Janeiro de 2007. Suas
vendas cessaram no dia 30 de Junho de 2008, porém ainda era possível adquirir novas
licenças com os desenvolvedores do sistema até 31 de Janeiro de 2009 ou comprando e
instalando as edições Ultimate ou Business do Windows Vista e então realizando
o downgrade para o Windows XP.Até o final de Julho de 2010, o Windows XP era o
sistema operacional mais utilizado no mundo com 62.43% de participação no mercado,
tendo chegado a 85% em Dezembro de 2006. Os números mostram a queda exponencial
do uso do sistema operacional, acelerada pelo lançamento do Windows 7, que chegou
para corrigir os problemas do Vista.[6]
Windows Vista
O Windows Vista é um sistema operacional desenvolvido pela Microsoft, sendo a sexta
versão do Windows para uso em computadores pessoais, incluindo computadores
residenciais e de escritórios, laptops, Tablet PCs e computadores Media Centers. Antes
do seu anúncio em 22 de Julho de 2005, o Windows Vista era conhecido pelo nome de
código Longhorn. O lançamento do Windows Vista veio mais de cinco anos depois da
introdução do seu predecessor, o Windows XP, sendo o período mais longo entre
lançamentos consecutivos de versões do Microsoft Windows. O Windows Vista possui
novos recursos e funções dos que os apresentados por sua versão anterior o Windows
XP, como uma nova interface gráfica do usuário, apelidada de Windows Aero.[7]
Windows 7

Windows 7
O Windows 7 é uma versão do Microsoft Windows, uma série de sistemas operativos
produzidos pela Microsoft para uso em computadores pessoais, incluindo computadores
domésticos e empresariais, laptops, tablets e PCs de centros de mídia, entre
outros.[8] Windows 7 foi lançado para empresas no dia 22 de julho de 2009, e começou
a ser vendido livremente para usuários comuns às 00:00 do dia 22 de outubro de 2009,
menos de 3 anos depois do lançamento de seu predecessor, Windows Vista. Pouco mais
de três anos depois, o seu sucessor, Windows 8, foi lançado em 26 de outubro de
2012.[8]
Diferente do Windows Vista, que introduziu um grande número de novas
características, Windows 7 foi uma atualização mais modesta e focalizada para ser mais
eficiente, limpo e mais prático de usar, com a intenção de torná-lo totalmente
compatível com aplicações e hardwares com os quais o Windows Vista já era
compatível.[8]
Windows 8
A penúltima versão lançada, o Windows 8,1, é um sistema operacional mais estável, o
seu visual é simples e tem uma boa performance em uma grande gama de
computadores, tablets e Notebooks Híbridos de variadas configurações. O layout
também sofreu algumas modificações, para que seja mais fácil encontrar o que você
precisa, quando precisa, permitindo que o usuário ganhe tempo em tarefas rotineiras.[9]
Um dos pontos interessantes desta versão do Windows, é o novo menu Iniciar com o
estilo Metro. Ao mover o ponteiro do mouse no canto inferior esquerdo, você pode
tanto visualizar os seus arquivos e programas da maneira clássica, como os aplicativos
da Windows Store, além da busca mantida do Windows 7. A área de trabalho foi
mantida, para acesso aos arquivos como nas versões anteriores, por pastas e menus de
navegação intuitivos, permitindo fácil adequação dos usuários ao Windows 8 como um
todo. Dentro das melhorias do Windows 8, também é notável que a Microsoft melhorou
na velocidade de início e das tarefas básicas como abrir e usar programas.[10]
Windows 10
A Microsoft lançou o Windows 10 Technical Preview[11] (nome de código Threshold)
no dia 30 de setembro de 2014 e em seu lançamento foi enfatizado o retorno do Menu
Iniciar de que tanto os utilizadores sentiam falta.[12]
Quanto ao design, houve muitas alterações quando se compara com a versão anterior
(Windows 8.1). A promessa do novo Windows é de unir o melhor de dois mundos que
se tornaram distantes (Windows 7, focado em desktops, e Windows 8.1, focado em
tablets). Outro recurso apresentado foram as novas Live Tiles, que podem ser inseridas
agora, ao lado do Menu Iniciar, e dimensionadas, tal como no Windows 8.1. Além
disso, o Windows 10 traz diversos novos recursos e inovações que superam, em
quantidade, as apresentadas no Windows Vista. Diversos recursos e funcionalidades
foram substituídas/remodeladas ou, simplesmente, deletadas, tornando o sistema mais
limpo e fluido. Funcionalidades comuns, como calculadora por exemplo, foram
substituídas pelos Aplicativos Universais. Se o usuário ainda não desejar ter o menu
iniciar de volta, pode substitui-lo pela Tela Iniciar clicando com o botão direito sobre a
barra de ferramentas e, na aba "Menu Iniciar", desabilitar a opção "Usar o Menu Iniciar
ao invés da Tela Iniciar". No dia 29 de julho de 2015, a versão final do Windows 10 foi
lançada pela Microsoft.[13]

Características técnicas
A principal linguagem de programação usada para escrever o código-fonte das várias
versões do Windows é o C e algumas partes com C++ e Assembly. Até a versão 3.11, o
sistema rodava em 16 bits (apesar de poder instalar um update chamado Win32s para
adicionar suporte a programas 32 bits), daí em diante, em 32 bits. As versões a partir
do XP e Server 2003 estão preparadas para a tecnologia 64 bits. Os sistemas de 64 bits
não possuem mais suporte para rodar nativamente aplicativos de 16 bits, sendo
necessário uso de emuladores/máquinas virtuais.[carece de fontes]
Os bits são relacionados ao volume de dados que um microprocessador é capaz de
lidar.[14] Se um processador tem uma arquitetura de 64 bits, ele é capaz de lidar com
dados na ordem de 264, ou seja, 18446744073709552000.[14] Só que para isso ser
possível, é necessário que o sistema operacional seja de 64 bits, caso contrário ele
trabalhará com somente com instruções de 32 bits (Se o sistema for de 32
bits).[14] Sistemas operacionais de 64 bits também endereçam uma quantidade maior
de RAM, suportando até 192GB (Windows 7 Ultimate) ou 128GB (Windows XP
Professional), contra 3,2GB dos sistemas de 32 bits.[14]
Outra característica denominada de herança maldita devido o fato de ter herdado essa
regra do DOS é o fato de não se poder criar pastas com os determinado nomes: con, prn,
aux, com1 e ltp1. Trata-se de uma antiga herança que os SOs Windows carregam
do MS-DOS e são palavras reservadas para a comunicação interna do SO. Portanto,
mesmo o mais recente sistema da Microsoft é incapaz de interpretar tais sentenças como
simples nomes através do Windows Explorer.[15]
Através do Prompt de Comandos é possível criar pastas e arquivos com qualquer um
dos nomes acima. Mas o sistema impede que os documentos sejam editados e excluídos
pelo Windows Explorer.[16]

Active Directory – Parte I

Quando falamos de Serviços de diretórios, devemos antes saber o que é este

componente e o que difere de outros modelos. Para darmos continuidade ao nosso
aprendizado, começaremos com a teoria para no decorrer, demonstrar o funcionamento
e configurações em um ambiente Active Directory.

Muitos ainda utilizam o ambiente de grupos de trabalhos, talvez por desconhecimento

das economias que os serviço de diretórios proporcionam para as empresas. Vejamos
como funciona um ambiente sem Active Directory.

No caso acima, expressamos um ambiente extremamente simples, sem qualquer

conectividade externa. Cada estação de trabalho representa o seu único meio de
trabalho, havendo falhas, todo um grupo de usuários será afetada, causando a perda de
produtividade.

Neste modelo, podemos constatar os seguintes pontos:

- dificuldade no gerenciamento e segurança das estações de trabalho: cada alteração na

configuração deverá ser efetuada em cada estação. Supomos que essa alteração consuma
5 minutos de 1 operador, multiplique pela quantidade de estações e você verá o tempo
de uma simples alteração ser reportada.

- ausência de serviço de validação de acesso: autorização, autenticação e auditoria.

Esses 3 pilares são encarregadas de dizer quem e quando poderá acessar um recurso e se
o acesso foi realizado da maneira correta.

- dificuldade de crescimento: as informações estão em várias estações, dificultando o

processo de localização, backup/restore e tráfego das mesmas.

Resumindo, ambientes workgroups são inseguros, improdutivos e instáveis.

A informação é um ativo das empresas e o diferencial entre as concorrentes é maneira
que estas são analisadas. Os processadores evoluíram, as informações cresceram e o
mercado não espera. Na medida em que o ambiente computacional cresce nas
empresas, a demanda por agilidade e segurança.

A centralização de informações de maneira ordenada facilita administração de

ambientes grandes e extremamente complexos.

O Active Directory é o serviço de diretórios para ambiente Microsoft Windows capaz

de gerenciar todos os seus ativos de maneira segura, centralizada/descentralizada
(dependendo do estrutura organizacional de sua corporação).

Podemos notar que neste ambiente existe uma relação de heranças, possibilitando a
organização de uma empresa. As alterações poderão ser repassadas de maneira clara e
sem a necessidade de intervenção humana. A organização da empresa passa a ser
expressa de maneira clara, facilitando a localização e integração dos dados.

O AD (como é conhecido por muitos) não é o sucessor dos famosos domínios do NT4 e
nem foi criado baseado no mesmo. O AD é um produto lançado em conjunto com o
Microsoft Windows 2000 e que acompanha toda a gama de produtos da Microsoft, tanto
que ele deve ser instalado após configuração do Windows 2000/2003 Server.

O Active Directory possibilita a união de várias empresas facilitando a unificação dos

dados e os projetos de integração. Existem milhares de formas de expressar o ambiente
Microsoft Active Directory. Veja o exemplo

Resumindo, o Active Directory é um serviço de diretórios poderoso, que permite o

crescimento de maneira ordenada e saudável de toda sua rede.

Vejamos algumas características

- suporte LDAP nativo facilitando a integração com produtos de terceiros(Linux,

Netware);

- integrado com todos os produtos Microsoft (Exchange, SQL, SMS, MOM, ISA,
Visual Studio);

- gerenciamento centralizado ou descentralizado (de acordo com a necessidade da

empresa);

- maior capacidade de armazenamento de objetos;

- integrado e dependente do serviço de DNS;

- segurança em nível de objeto, com possibilidade de delegação de direitos(afinal,

cadastrar usuário é algo que outras pessoas podem fazer);

- distribuição de softwares de forma centralizada;

Baseados nesses dois cenários podemos criar a seguinte comparação de esforços:

» Não estamos considerando deslocamento em nenhum destes cenários

» Existem n tarefas que são desempenhadas diariamente nas empresas.

O quadro nos mostrou um índice de retrabalho de 5,7 vezes menor em um ambiente

baseado em solução Microsoft. No final de um ano, você poderá apresentar aos
diretores da empresa o ROI deste produto.

Para podermos instalar este serviço de diretório, antes de tudo, é necessário uma
estratégia. Muitos analistas acham o processo de promoção de um servidor para Domain
Controller algo rápido, fácil e sem impacto na infra-estrutura. Caso o domínio seja
criado de maneira errônea, toda sua rede será impactada, causando perda de segurança,
desempenho de rede, gerenciamento (guardem essa palavra, management).

A melhor situação seria a criação de um ambiente de simulação para implantação.

Profissionais de alta competência necessitarão estar envolvidos nesta fase.

Neste ambiente você colocará a prova de fogo as situações que o AD infrentará ao

longo dos anos, afinal você não está investindo em algo para durar 1 ano.

Existem muitas outras situações que devem ser abobadadas no projeto, tais como:

- qual a visão da minha empresa para os próximos anos?

- teremos fusões ou unificações?

- novas unidades serão criadas?

- terei usuários remotos acessando meus recursos internos?

- quem serão os responsáveis pela administração?

- qual será o meu sistema cliente? Que benefícios terei utilizando o meu parque?

- utilizarei outros produtos Microsoft?

- qual será a minha conexão com a internet?

- utilizarei serviços Web para alavancar o foco da minha empresa?

Existem ainda os questionamentos de outros setores das empresas, ligados diretamente a

valores:

Qual o meu custo por objeto criado no AD? Nenhum, o AD possibilita a criação de
quantos objetos forem necessários.Teste em laboratórios já simularam ambientes com
mais de 10 milhões de objetos.
Qual a necessidade de hardware para instalação? Dependerá do ambiente que você
quer administrar. Veja por outro lado, quanto mais você poder centralizar os seus ativos,
melhor será a administração dos mesmos.

Quais os sistemas clientes suportados? Podem fazer parte do domínio:

- Windows 9X;

- Windows Millenium;

- Windows NT4 Server/Workstation;

- Windows 2000 Professional/ Server/Advanced/Datacenter;

- Windows Server 2003 Web/Standard/Enterprise/Datacenter;

Tenho como integrar como o meu ambiente Microsoft Windows NT4? Sim.O ideal
é fazer a migração de seu domínio NT4 para o Active Directory na medida do possível,
possibilitando a redução do TCO na sua empresa.

Tenho como integrar outros sistemas operacionais? Sim. A linguagem LDAP é

aberta a uma série de outros softwares existentes no mercado, ou seja, pode ser
integrado com ambientes Linux/Unix.

Active Directory
O Active Directory é uma implementação de serviço de diretório no
protocolo LDAP que armazena informações sobre objetos em rede de computadores e
disponibiliza essas informações a usuários e administradores desta rede. É
um software da Microsoft utilizado em ambientes Windows, presentes no active
directory.
O Active Directory, a exemplo do NIS, surgiu da necessidade de se ter um único
diretório, ou seja, em vez de o usuário ter uma senha para acessar o sistema principal da
empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e
várias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha
para acessar todos os recursos disponíveis na rede. Podemos definir um diretório como
sendo um banco de dados que armazena as informações dos usuários.
O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos,
membros dos grupos, senhas, contas de computadores, relações de confiança,
informações sobre o domínio, unidades organizacionais, etc, ficam armazenados no
banco de dados do AD. Além de armazenar vários objetos em seu banco de dados, o
AD disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu
banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da
segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração
do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede
centralizadamente.
Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão
efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações
fornecidas pelos usuários são válidas, e em caso positivo, faz a autenticação. O AD é
organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o
AD, poderá conter vários domínios. Um domínio é nada mais do que um limite
administrativo e de segurança, ou seja, o administrador do domínio possui permissões
somente no domínio, e não em outros domínios. As políticas de segurança também se
aplicam somente ao domínio, e não a outros domínios. Resumindo: diferentes domínios
podem ter diferentes administradores e diferentes políticas de segurança.
Nos domínios baseados no AD, podemos ter dois tipos de servidores: Controlador de
Domínio (DC – Domain Controller) e Servidor Membro (Member Server).
Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um
pré-requisito (dependência) para a instalação do AD. O AD utiliza o DNS para a
nomeação de servidores e recursos, e também para resolução de nomes. Caso o serviço
DNS não esteja disponível na rede durante a instalação do AD, poderemos instalá-lo
durante a instalação do AD.
Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de
uma empresa. Quando utilizamos vários domínios temos o conceito de relação de
confiança. A relação de confiança permite que os usuários de ambos os domínios
acessem os recursos localizados nesses domínios. No Windows 2000, as relações de
confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no domínio Y,
e Y confia no domínio W, o domínio X também confia no domínio W.
O "diretório ativo" permite que os administradores atribuam à empresa políticas gerais,
instalem programas em um grande número de computadores e apliquem updates críticos
a uma organização inteira. O "diretório ativo" armazena informações e parâmetros em
uma base de dados central organizada e acessível.
As redes ativas do diretório podem variar desde uma instalação pequena, com cem
objetos, a uma instalação grande, com milhões de objetos. O Active Directory teve uma
pré-estreia em 1999 e foi lançado primeiramente com o Windows 2000. Mais tarde, foi
revisado para estender a sua funcionalidade e melhorar a administração para uma nova
versão, conhecida como 'Windows Server 2003'. Também presente no Windows Server
2008.
O Active Directory é um conjunto de arquivos localizados no servidor de domínio, no
qual estão todas as informações que permitem controlar o acesso dos usuários à rede.
Nele ficam registrados os nomes e senhas de usuários, suas permissões de acesso a
arquivos, impressoras e outros recursos da rede, as cotas de disco, os computadores e
horários que cada usuário pode utilizar, etc.
O Active Directory está relacionado a

 Gerenciamento centralizado.
 GPO – Políticas de Grupo.
 Catálogo Global.
 Gerenciamento de Desktop Intel
 Distribuição de Software Automática.
 Interface de acesso ADSI.
 Compatibilidade com sistemas operacionais MS Legados.
 Administração Delegada.
 Replicação Automática.

AS (Direct Attached Storage)

Quando possuímos um sistema operacional, é necessário que é o mesmo possua um

local aonde seja armazenado os dados, para isso O DAS nada mais é do que discos
locais do servidor. Esse armazenamento pode ser externo ou ligado diretamente, como
no caso de Gavetas Externas e Hd’s.
1 – Servidores conectados com seus discos, cada um independente do outro.

NAS (Network Attached Storage)

O NAS possui um sistema operacional completo que funciona com o propósito

principal de ser um servidor de arquivos ligado diretamente a rede.

Esse ‘Storage’ por estar na rede poder ser compartilhado com diversos clientes,
diferente do DAS. A grande diferença entre NAS, DAS e SAN é ques servidores NAS
utilizam transferência nível arquivo, enquanto DAS e SAN utilizam armazenamento em
bloco, sendo assim a transferência é bem mais eficiente.

2 –Acessos simultâneos em cima do servidor NAS.

SAN (Storage Area Network)

Por ser uma implementação cara, a mesma é utilizada em média e grandes empresas que
desejam ter uma estrutura redundante, com alta performance e que possuam acesso mais
rápido e eficientes aos discos que compoem esse Storage.

Um dos grandes benefícios do SAN é a facilidade de comportatilhamento em vários

servidores. Note aqui que a referência não é sobre acessos na rede como o NAS, mais
sim em servidores, ou seja o SAN é conectado nos servidores.

3 – Servidor conectado ao storage.

Conseguimos visualizar agora os tipos de armazenamentos que podemos utilizar num

ambiente de infra. Conseguimos visualizar que o SAN e DAS possuem mais eficiência,
porque alêm de não compartilharem acesso com várias máquinas a gravação dos dados
são em blocos.

O que é Storage ?

Storage é um hardware que contém slots para vários discos, ligado aos servidores
através de ISCSI ou fibra ótica. Ele é uma peça altamente redundante e cumpre com
louvor a sua missão, que é armazenar os dados da sua empresa com segurança.

O problema era o custo desse tipo de equipamento. Porém esse cenário começou a
mudar com os novos ISCSI, que reduzem drasticamente o custo de implementação e a
complexidade do cenário. Mas para que você precisa de um storage?

Bom, você pode pensar em colocar um RAID 5 em seu servidor, teria uma solução
parecida certo? Errado, o RAID 5 estará naquele servidor, você não tem como portar os
discos para outro servidor!

O storage pode aceitar diversas conexões de servidores diferentes, ao mesmo tempo.

Então a sua matriz RAID, além de segura, ficará altamente portável. Tem casos onde o
cliente armazena o disco de boot dos servidores dentro do storage.

E chegamos ao ponto onde eu queria. Se você colocar o disco de boot e dados no

storage, o que resta para o seu servidor fazer? Processar!
O gargalo das redes SMB (small médium business, pequenas e médias empresas) hoje
está nos discos e não na própria infraestrutura de rede. Se você atribui essa função para
um hardware apropriado, você acaba com esse gargalo.

Na virtualização o storage tem ainda mais função. Você tem o servidor para processar
os dados e o storage para armazenar e prover acesso. E se você pensar em CLUSTER, aí
é que ele se torna obrigatório.

Você pode achar que CLUSTER, ainda mais de máquinas virtuais não está ao seu
alcance, mas não é bem assim. Hoje, com o Hyper-V server R2, que é gratuito, você
pode implementar um CLUSTER de máquinas virtuais, com alta disponibilidade e
desempenho, facilmente.

Mas sempre vai precisar do storage. Ele deve ser o seu próximo investimento, de
qualquer maneira. Adquirindo um hoje, você vai poder começar a pensar em
virtualização em um nível mais alto.

Quer um exemplo prático? Com dois servidores e um storage, sem licenciamento extra
nem nada, você pode ter uma redundância das suas máquinas virtuais. Basta criar a VM
em cada HOST e armazenar os VHDs no storage. Se um HOST pifar, basta apresentar o
storage para o outro HOST e levantar seus VHDs.

O storage tem tudo redundante, lugar ideal para confiar seus dados.

Instalação e configuração do protocolo TCP/IP

É muito pouco provável que você não tenha instalado o TCP/IP em seu computador,
principalmente se ele faz parte da rede da empresa ou de uma rede doméstica. Mas pode
acontecer de o TCP/IP, por algun motivo, não ter sido instalado. O TCP/IP é o
protocolo padrão no Windows 2000 e é instalado durante a própria instalação do
Sistema Operacional. Já no Windows Server 2003 o TCP/IP é instalado,
obrigatoriamente, e não pode ser desinstalado. Mas se por algum motivo, o TCP/IP tiver
sido desinstalado no Windows 2000 ou não tiver sido instalado durante a instalação do
Windows 2000, você poderá instalá-lo quando for necessário.
Neste tópico apresentarei diversos exemplos de configuração do protocolo TCP/IP. Em
todos eles, você terá que acessar as propriedades da interface de rede, na qual o TCP/IP
será configurado. É importante salientar que você pode ter mais de uma placa de rede
instalada no Windows 2000. Neste caso, as configurações do protocolo TCP/IP são
separadas/individualizadas para cada placa/interface de rede. Você deve utilizar um
número IP diferente em cada interface. A seguir descrevo os passos para acessar as
propriedades da interface de rede a ser configurada. Estes passos serão necessários nos
diversos exemplos deste tópico. Nos próximos exemplos, não repetirei todos os passos
para acessar as propriedades da interface de rede a ser configurada. Ao invés disso,
utilizarei somente a expressão: “Acesse as propriedades de rede da interface a ser
configurada”. Muito bem, vamos aos exemplos práticos.
Exemplo: Para acessar as propriedades da interface de rede a ser configurada, siga os
passos indicados a seguir:
1. Faça o logon como Administrador ou com uma conta com permissão de
administrador.
2. Abra o Painel de controle: Iniciar -> Configurações -> Painel de controle.
3. Dê um clique duplo na opção Conexões dial-up e de rede.
4. Será exibida uma janela com todas as conexões disponíveis. Clique com o botão
direito do mouse na conexão a ser configurada e, no menu de opções que é exibido,
clique em Propriedades.
5. Pronto, será exibida a janela de propriedades da conexão, na qual você poderá fazer
diversas configurações.
No próximo exemplo mostrarei como instalar o protocolo TCP/IP, caso este tenha sido
desinstalado ou não tenha sido instalado durante a instalação do Windows 2000.
Exemplo: Para instalar o protocolo TCP/IP, siga os passos indicados a seguir:
1. Acesse as propriedades de rede da interface a ser configurada.
2. Na janela de propriedades da conexão dê um clique em Instalar...
3. Será aberta a janela para que você selecione o tipo de componente de rede a ser
instalado. Selecione a opção Protocolo, conforme indicado na Figura a seguir:

Selecionando o tipo de componente a ser instalado.

4. Após ter selecionado a opção Protocolo clique em Adicionar...
5. Em poucos instantes será exibida a lista de protocolos disponíveis.
6. Marque a opção TCP/IP e clique em OK.
7. O TCP/IP será instalado e você estará de volta à guia Geral de configurações da
interface de rede. Observe que o TCP/IP já é exibido na lista de componentes
instalados. Clique em OK para fechar a janela de propriedades da interface de rede.
O próximo passo é configurar o protocolo TCP/IP. No exemplo a seguir, mostrarei
como configurar as diversas opções do protocolo TCP/IP. É importante lembrar que, se
você tiver mais de uma placa de rede instalada, as configurações do TCP/IP serão
separadas para cada placa (diz-se cada interface).
Nota: Para uma descrição detalhada das opções de configuração, tais como número IP,
máscara de sub-rede, servidor DNS, servidor WINS, Default Gateway e assim por
diante, consulte o Capítulo 2.
Exemplo: Para configurar o protocolo TCP/IP, siga os passos indicados a seguir:
1. Acesse as propriedades de rede da interface a ser configurada.
2. Na janela de propriedades da conexão dê um clique em Protocolo Internet (TCP/IP)
para selecioná-lo.
3. Clique em Propriedades. Nesta janela você deve informar se as configurações do
TCP/IP serão obtidas a partir de um servidor DHCP (Obter um endereço IP
automaticamente) ou se estas configurações serão informadas manualmente (Usar o
seguinte endereço IP). Ao marcar a opção Usar o seguinte endereço IP, você deverá
informar um número IP a ser utilizado, a máscara de sub-rede, o número IP do Gateway
padrão e o número IP de um ou dois servidores DNS, conforme exemplo da Figura a
seguir:
Configurando o TCP/IP manualmente.4. Além das configurações básicas, da tela da
Figura anterior, você pode configurar uma série de opções avançadas do protocolo
TCP/IP. Para acessar a janela de configurações avançadas, clique em Avançado... Será
aberta a janela de configurações avançadas, com a guia Configurações IP selecionada
por padrão, conforme indicado na Figura a seguir:

Janela para cofigurações IP.

5. É possível ter mais de um endereço IP associado com a mesma placa de rede. O que
não é permitido é ter o mesmo número IP, associado a duas ou mais placas de rede. Para
adicionar um novo número IP, clique em Adicionar..., abaixo da lista de endereços IP
configurados. Será aberta a janela Endereço TCP/IP (muito mal traduzida por sinal).
Para adicionar um novo endereço basta digitá-lo no campo IP, digite a respectiva
máscara de sub-rede e clique em Adicionar. Você estará de volta à janela de
configurações avançadas do TCP/IP e o novo endereço IP já será exibido na lista. A
partir de agora, a nova interface está com dois endereços IP. Você pode adicionar mais
endereços IP, utilizando o botão Adicionar... e preenchendo as informações necessárias.
6. Você também pode ter mais de um default gateway configurado. Neste caso, quando
o primeiro default gateway da lista estiver indisponível, o TCP/IP tenta utilizar o
segundo e assim por diante. Para adicionar mais um default gateway, clique em
Adcionar..., abaixo da lista de default gateways configurados. Será aberta a janela para
que você informo o número IP do novo default gateway e o respectivo custo, em
número de hopes. Se você quer que um default gateway seja utilizado somente como
contingência, no caso de nenhum outro gateway estar disponível, configure-o com um
valor elevado para o custo. Digite as informações do novo gateway e clique em OK.
Pronto, o novo número já será exibido na guia de Configurações IP.
7. Clique na guia DNS. Serão exibidas as opções indicadas na Figura a seguir:
A guia para configuração do DNS.

8. Nesta guia você informa o endereço IP de um ou mais servidores DNS. Para

acrescentar novos servidores, basta utilizar o botão Adicionar... Você pode alterar a
ordem dos servidores DNS na lista, clicando nos botões com o desenho de uma flecha
para cima ou para baixo. É importante descrever como o Windows utiliza a lista de
servidores DNS. As consultas são enviadas para o primeiro servidor da lista. Se este
servidor não conseguir responder a consulta, esta não será enviada para os demais
servidores da lista. O segundo servidor da lista somente será pesquisado se o primeiro
servidor estiver off-line e não estiver respondendo; o terceiro servidor da lista somente
será pesquisado se o primeiro e o segundo servidor DNS estiverem off-line e não
estiverem respondendo e assim por diante. Nesta guia você também pode configurar as
seguintes opções:
Acrescentar sufixo DNS primário e específicos de cada conexão: O sufixo DNS é
configurado na guia Identificação de rede, das propriedades do meu Computador. Por
exemplo, um computador com o nome micro01.abc.com, tem como sufixo DNS
abc.com. Esta opção especifica que a resolução de nomes não qualificados (por exemplo
micro01.abc.com é um FQDN, ou seja, um nome completamente qualificado, já
micro01 é um nome não qualificado, ou seja, sem o domínio como sufixo) usados neste
computador seja limitada aos sufixos do domínio do sufixo primário e todos os sufixos
específicos da conexão. Os sufixos específicos da conexão são configurados em Sufixo
DNS para esta conexão. O sufixo DNS primário é configurado clicando em
Propriedades, na guia Identificação de rede (disponível em Sistema, no Painel de
controle). Por exemplo, se o sufixo do seu domínio primário for abc.com e você digitar
ping xyz em um prompt de comando, o Windows 2000 consultará xyz.abc.com. Se você
também configurar um nome de domínio específico de conexão em uma das suas
conexões para vendas.abc.com, o Windows 2000 consultará xyz.abc.com e
xyz.vendas.abc.com. A lista de domínios que será pesquisada, quando você digita um
nome não qualificado, também é definida nesta guia, conforme será explicado logo a
seguir.
Acrescentar sufixos pai do sufixo DNS primário: Especifica se a resolução de
nomes não qualificados usados neste computador inclui os sufixos pai do sufixo DNS
primário e o domínio de segundo nível. O sufixo DNS primário é configurado clicando
em Propriedades na guia Identificação de rede (disponível em Sistema, no Painel de
controle). Por exemplo, se o sufixo DNS primário for vendas. abc.com e você digitar
ping xyz no prompt de comando, o Windows 2000 também consultará vendas.abc.com
e abc.com.

Acrescentar estes sufixos DNS (em ordem): Especifica que a resolução de nomes
não qualificados usados neste computador seja limitada aos sufixos do domínio listados
em Acrescentar estes sufixos DNS. Os sufixos DNS específicos da conexão e primários
não serão usados para resolução de nomes não qualificados. Ao marcar esta opção, você
deve especificar uma lista de sufixos que deverá ser utilizada, para a tentativa de
resolução de nomes não qualificados. Por exemplo, se nesta lista você acrescentar os
seguintes sufixos: sul.vendas.abc.com, vendas.abc.com e abc.com, nesta ordem, ao
digitar ping xyz, o Windows tentará localizar este host, utilizando os seguintes nomes:
xyz.sul.vendas.abc.com, xyz.vendas.abc.com e xyz.abc.com. Para acrescentar um novo
sufixo basta marcar esta opção e utilizar o botão Adicionar. Você também pode alterar a
ordem dos sufixos clicando nos botões com a seta para cima e seta para baixo. Para
remover um sufixo basta selecioná-lo na lista e clicar em Remover.

Registrar endereços desta conexão no DNS: Especifica que o computador tente o

registro dinâmico no DNS, dos endereços IP desta conexão com o nome completo deste
computador, como especificado na guia Identificação de rede (disponível em Sistema no
Painel de Controle).

Usar o sufixo DNS desta conexão no registro do DNS: Especifica se a atualização

dinâmica do DNS será usada para registrar os endereços IP e o nome de domínio
específico desta conexão. O nome DNS específico desta conexão é a concatenação do
nome do computador (que é o primeiro rótulo do nome completo do computador) e o
sufixo DNS desta conexão. O nome completo do computador é especificado na guia
Identificação de rede (disponível em Sistema, no Painel de controle). Se a caixa de
seleção Registrar os endereços desta conexão no DNS estiver selecionada, o registro é
uma adição ao registro do DNS do nome completo do computador.8. Defina as
configurações desejadas e clique na guia WINS. Serão exibidas as opções indicadas na
Figura a seguir:

A guia para configuração do WINS.

9. Nesta guia você informa o endereço IP de um ou mais servidores WINS. Para
acrescentar novos servidores, basta utilizar o botão Adicionar... Você pode alterar a
ordem dos servidores WINS na lista, clicando nos botões com o desenho de uma flecha
para cima ou para baixo. É importante descrever como o Windows utiliza a lista de
servidores WINS. As consultas são enviadas para o primeiro servidor da lista. Se este
servidor não conseguir responder a consulta, esta não será enviada para os demais
servidores da lista. O segundo servidor da lista somente será pesquisado se o primeiro
servidor estiver off-line e não estiver respondendo; o terceiro servidor da lista somente
será pesquisado se o primeiro e o segundo servidor WINS estiverem off-line e não
estiverem respondendo e assim por diante. Nesta guia você também pode configurar as
seguintes opções:
 Ativar exame de LMHOSTS: Especifica se será usado um arquivo Lmhosts para a
resolução de nomes NetBIOS. O arquivo Lmhosts será usado para resolver os nomes de
NetBIOS de computadores remotos para um endereço IP. Clique em Importar
LMHOSTS para importar um arquivo para o arquivo Lmhosts.
Ativar NetBios sobre TCP/IP: Especifica que esta conexão de rede usa o NetBIOS
sobre TCP/IP (NetBT) e o WINS. Quando um endereço IP é configurado manualmente,
esta opção é selecionada por padrão para ativar o NetBIOS e o uso do WINS para este
computador. Essa configuração será necessária se este computador se comunicar pelo
nome com computadores que usam versões anteriores do Windows (Windows 95/98,
NT 4.0, etc.). Antes de alterar esta opção, verifique se não é necessário usar nomes de
NetBIOS para esta conexão de rede. Por exemplo, se você se comunicar somente com
outros computadores que estejam executando o Windows 2000 ou computadores na
Internet que usam o DNS.
Desativar NetBios sobre TCP/IP: Desativa o uso de NetBios sobre TCP/IP. Pode
ser utilizada em uma rede baseada apenas em versões do Windows tais como Windows
2000, Windows XP e Windows Server 2003.
Usar a configuração NetBios do servidor DHCP: Especifica que esta conexão de
rede obtenha suas configurações de NetBIOS sobre TCP/IP (NetBT) e de WINS, a
partir de um servidor DHCP.Quando um endereço IP é obtido automaticamente, esta
opção fica selecionada por padrão de forma que o computador usa as definições de
configuração do NetBT conforme elas forem sendo fornecidas opcionalmente pelo
servidor DHCP quando ele obtiver um endereço IP usando o DHCP. Você deve
selecionar esta opção somente se o servidor DHCP estiver configurado para fornecer
todas as opções de configuração de WINS para os clientes.

10. Defina as configurações desejadas e clique na guia Opções. Serão exibidas as

opções indicadas na Figura a seguir:

A guia para configuração Opções.

11. Nesta janela você pode configurar se a interface que está sendo configurada deve ou
não utilizar uma das diretivas de IPSec habilitadas (caso haja alguma diretiva habilitada)
e também pode definir filtros com base no protocolo e na porta de comunicação. Para
habilitar o uso de uma das diretivas do IPSec, clique em Segurança de IP para marcar
esta opção e em seguida clique em Propriedades.
12. Será aberta a janela Segurança de IP. Para habilitar o IPSec clique em Usar esta
diretiva de segurança IP e, na lista de diretivas, selecione a diretiva a ser aplicada,
conforme exemplo da Figura a seguir e clique em OK. Você estará e volta à janela de
propriedades Avançadas do TCP/IP.
Selecionando uma diretiva de IPSec.

13. Para definir um filtro clique em Filtragem de TCP/IP e em seguida no botão

Propriedades. Será exibida a janela para definição de filtros. Nesta janela você tem as
seguintes opções:
Ativar filtragem de TCP/IP (todos os adaptadores): Ao marcar esta opção você
especifica se a filtragem de TCP/IP será ativada para todos os adaptadores. A filtragem
de TCP/IP especifica os tipos de tráfego de entrada destinados para este computador que
serão permitidos. Para configurar a filtragem de TCP/IP, selecione esta caixa de seleção
e especifique os tipos de tráfego TCP/IP permitidos para todos os adaptadores neste
computador em termos de protocolos IP, portas TCP e portas UDP. Você deve ter
cuidado ao usar os filtros, para não desabilitar portas que sejam necessárias para os
serviços básicos de rede, tais como DNS, DHCP, compartilhamento de pastas e
impressoras e assim por diante.14. Vamos aplicar um exemplo de filtro. O FTP usa o
protocolo TCP na porta 21. Para o nosso exemplo, para as portas TCP, vamos permitir
apenas o uso do FTP na porta 21. Marque a opção Ativar filtragem de TCP/IP (todos os
adaptadores). Em seguida marque a opção Permitir somente nas portas TCP. Clique em
Adicionar... Será exibida a janela adicionar filtro, para que você adicione o número da
porta. Digite 21, conforme indicado na Figura a seguir e clique em OK.

Informando o número da porta.

15. Você estará de volta à janela Filtragem de TCP/IP, com a porta TCP/21 já
adicionada, conforme indicado na Figura a seguir:

A janela Filtragem de TCP/IP.

16. Clique em OK. Você estará de volta a janela de configurações avançadas do

TCP/IP. Clique em OK para fechá-la.
17. Você estará de volta à janela de configurações da interface de rede. Clique em
Fechar para fechá-la.

Muito bem, você acabou de ver um exemplo de como configurar o protocolo TCP/IP.

Conclusão

Na Parte 11 do tutorial fiz uma apresentação dos protocolos TCP e UDP, os quais são
responsáveis pelo transporte de pacotes em redes baseadas no TCP/IP. Você também
aprendeu sobre as diferenças entre os protocolos TCP e UDP e sobre o conceito de porta
de comunicação. Na Parte 12 mostrei alguns exemplos práticos de utilização de portas e
o comando netstat e suas várias opções.

Nesta parte do tutorial mostrei como instalar e configurar o protocolo TCP/IP. Você
aprendeu desde as configurações básicas, até configurações avançadas, tais como
WINS, DNHS, IPSec e Filtros IP.

Nesta parte do tutorial mostrei como instalar e configurar o protocolo TCP/IP. Você
aprendeu desde as configurações básicas, até configurações avançadas, tais como
WINS, DNHS, IPSec e Filtros IP.

Sumário
Este artigo passo a passo descreve como criar e configurar um novo servidor de
protocolo de configuração dinâmica de anfitrião (DHCP, Dynamic Host Configuration
Protocol) baseado no Windows Server 2003, num domínio do Active Directory do
Windows Server 2003. O serviço DHCP baseado no Windows Server 2003 fornece
endereços IP e informações aos clientes, como é o caso da localização do respectivo
gateway predefinido, servidores de sistema de nomes de domínio (DNS,
Domain Name System) e servidores de WINS (Windows Internet Name Service).

Instalar o serviço DHCP

É possível instalar o DHCP durante ou após a instalação inicial do Windows Server

2003, embora deva existir um servidor de DNS a funcionar no ambiente. Para validar o
servidor de DNS, clique em Iniciar (Start), clique em Executar (Run), escreva cmd,
prima ENTER, escreva
ping nome do servidor de DNS e, em seguida, prima ENTER. Uma resposta sem êxito
gera uma mensagem "Anfitrião desconhecido nome do servidor de DNS" ("Unknown
Host nome do servidor de DNS").
Para instalar o serviço DHCP num computador existente baseado no Windows Server
2003, siga estes passos:

1. Clique em Iniciar (Start), clique em Definições (Settings) e, em seguida, clique

em Painel de controlo(Control Panel).

2. Faça duplo clique em Adicionar ou remover programas (Add or Remove

Programs) e, em seguida, clique em Adicionar/remover componentes do
Windows (Add/Remove Windows Components).
 3. No Assistente de componentes do Windows (Windows Component Wizard),
clique em Serviços de funcionamento em rede (Networking Services) na
caixa Componentes (Components) e, em seguida, clique em Detalhes (Details).

4. Clique para seleccionar a caixa de verificação

Dynamic Host Configuration Protocol (DHCP), se não estiver já seleccionada
e, em seguida, clique em OK.

5. No Assistente de componentes do Windows (Windows Components Wizard),

clique em Seguinte(Next) para iniciar o programa de configuração do Windows
Server 2003. Se tal lhe for pedido, introduza o CD-ROM do Windows Server
2003 Advanced Server na unidade de CD-ROM ou DVD-ROM do computador.
O programa de configuração copia os ficheiros do servidor e da ferramenta de
DHCP para o computador.

6. Depois de concluído o programa de configuração, clique em Concluir (Finish).

Configurar o serviço DHCP

Após instalar e iniciar o serviço DHCP, terá de criar um âmbito (um intervalo de
endereços IP válidos disponíveis para concessão aos clientes DHCP). Cada servidor de
DHCP no ambiente deve ter, pelo menos, um âmbito que não se sobreponha ao âmbito
de nenhum outro servidor de DHCP no ambiente. Num domínio do Active Directory do
Windows Server 2003, os servidores de DHCP têm de ter autorização para impedir que
servidores de DHCP não controlados fiquem online e autorizem um servidor de DHCP.

Quando instala e configura o serviço DHCP num controlador de domínio, normalmente

o servidor é autorizado a primeira vez que o adiciona à consola DHCP. No entanto,
quando instala e configura o serviço DHCP num servidor membro ou autónomo, tem de
autorizar o servidor de DHCP.

Autorizar um servidor de DHCP

1. Clique em Iniciar (Start), clique em Programas (Programs), clique

em Ferramentas administrativas(Administrative Tools) e, em seguida, clique
em DHCP.

NOTA: tem de ter sessão iniciada no servidor com uma conta que seja membro
do grupo de administradores da empresa.

2. Na árvore da consola do snap-in DHCP, seleccione o novo servidor de DHCP.

Se existir uma seta vermelha no canto inferior direito do objecto de servidor,
significa que o servidor ainda não foi autorizado.

3. Clique com o botão direito do rato no servidor e, em seguida, clique

em Autorizar (Authorize).

4. Após alguns segundos, clique novamente com o botão direito do rato no servidor
e, em seguida, clique em Actualizar (Refresh).

Deverá surgir uma seta verde, no canto inferior direito, a indicar que o servidor
foi autorizado.
Criar um novo âmbito

1. Clique em Iniciar (Start), clique em Programas (Programs), aponte

para Ferramentas administrativas(Administrative Tools) e, em seguida, clique
em DHCP.

2. Na árvore da consola, clique com o botão direito do rato no servidor de DHCP

no qual pretende criar o novo âmbito de DHCP e, em seguida, clique em Novo
âmbito (New Scope).

3. No Assistente de novo âmbito (New Scope Wizard), clique em Seguinte (Next)

e, em seguida, escreva um nome e descrição para o âmbito. Pode ser qualquer
nome escolhido pelo utilizador, embora deva ser descritivo o suficiente para
identificar o objectivo do âmbito na rede. Por exemplo, poderá
utilizar Endereços de clientes do edifício de administração. Clique
em Seguinte (Next).

4. Escreva o intervalo de endereços que podem ser concedidos como parte deste
âmbito. Por exemplo, poderá utilizar um endereço IP inicial de
192.168.100.1 e um endereço final de
192.168.100.100. Uma vez que estes endereços são fornecidos aos clientes,
deverão ser endereços válidos para a rede e não podem estar actualmente a ser
utilizados.

5. A máscara de sub-rede é automaticamente gerada. Se pretender utilizar uma

máscara de sub-rede diferente, escreva a nova máscara de sub-rede. Clique
em Seguinte (Next).

6. Escreva os endereços IP que pretender excluir do intervalo que introduziu. Isto

inclui quaisquer endereços que já possam ter sido atribuídos estaticamente a
vários computadores da organização. Clique em Seguinte (Next).

7. Escreva o número de dias, horas e minutos que faltam para a expiração de uma
concessão de endereço IP deste âmbito. Isto determina o período de tempo em
que um cliente pode manter um endereço concedido sem o renovar. Clique
em Seguinte (Next).

8. Clique em Sim, quero configurar estas opções agora (Yes, I want to configure
these options now) e, em seguida, clique em Seguinte (Next) se pretender
prolongar o assistente por forma a configurar as definições das opções do DHCP
mais comuns.

9. Escreva o endereço IP do gateway predefinido que deverá ser utilizado por

clientes que obtenham um endereço IP a partir deste âmbito. Clique
em Adicionar (Add) para adicionar o endereço do gateway predefinido à lista e,
em seguida, clique em Seguinte (Next).

10. Se já existirem servidores de DNS na rede, escreva o nome de domínio da

organização na caixa Domínio principal (Parent domain). Escreva o nome do
servidor de DNS e, em seguida, clique em Resolver (Resolve) para se certificar
de que o servidor de DHCP consegue contactar o servidor de DNS e determinar
o respectivo endereço. Em seguida, clique em Adicionar (Add) para incluir esse
servidor na lista de servidores de DNS atribuídos aos clientes DHCP. Clique
em Seguinte (Next).
 11. Na caixa de diálogo Servidores WINS (WINS Servers), escreva o nome e
endereços IP do servidor de WINS, se estiver a utilizar WINS. Clique
em Seguinte (Next).

12. Clique em Sim, quero activar este âmbito agora (Yes, I want to activate this
scope now) para activar o âmbito e permitir que os clientes obtenham
concessões a partir do mesmo. Clique em Seguinte(Next) e, em seguida,
em Concluir (Finish).

Resolução de problemas

 Os clientes não conseguem obter um endereço IP:

Se um cliente DHCP não tiver um endereço IP configurado, normalmente

significa que o cliente não conseguiu contactar um servidor de DHCP. Isto deve-
se a um problema de rede ou à indisponibilidade do servidor de DHCP. Se o
servidor de DHCP tiver sido iniciado e outros clientes tiverem conseguido obter
um endereço válido, verifique se o cliente tem uma ligação à rede válida e se
todos os dispositivos de hardware associados do cliente (incluindo cabos e
placas de rede) estão a funcionar correctamente.

 O servidor de DHCP não está disponível:

Quando um servidor de DHCP não fornece endereços concedidos a clientes,

significa normalmente que o serviço DHCP ainda não foi iniciado. Se for este o
caso, o servidor poderá não ter sido autorizado a funcionar na rede. Se conseguiu
iniciar anteriormente o serviço DHCP, mas este parou desde então, utilize o
visualizador de eventos para procurar entradas no registo do sistema que possam
explicar a causa.

NOTA: para reiniciar o serviço DHCP, siga estes passos:

1. Clique em Iniciar (Start), clique em Executar (Run), escreva cmd e, em

seguida prima ENTER

2. Escreva net stop dhcpserver e, em seguida, prima ENTER.

3. Escreva net start dhcpserver e, em seguida, prima ENTER.

Sumário
Este artigo passo a passo descreve como instalar e configurar DNS em seu computador
com Windows Server 2003.

Antes de iniciar

Antes de iniciar a configuração do seu DNS, você deve reunir algumas informações
básicas. A Internic deve aprovar parte desta informação para uso na Internet, mas se
você está configurando este servidor apenas para uso interno, é possível decidir quais
nomes e endereços IP usar.
Você deve ter a seguinte informação:

 Seu nome de domínio (aprovado pela Internic).

 O endereço IP e o nome de host de cada servidor para o qual você deseja

fornecer a resolução de nome.

Observação: Os servidores podem ser seus servidores de email, servidores de acesso

público, servidores FTP, servidores WWW e outros.

Antes de configurar seu computador como um DNS, verifique se as seguintes condições

são verdadeiras:

 Seu sistema operacional está configurado corretamente. Na família do Windows

Server 2003, o serviço DNS depende da configuração correta do sistema
operacional e seus serviços, como TCP/IP. Se você tem uma nova instalação do
sistema operacional Windows Server 2003, é possível usar as configurações de
serviço padrão. Você não precisa realizar qualquer ação adicional.

 Você alocou todo o espaço de disco disponível.

 Todos os volumes de disco existente usam o sistema de arquivo NTFS. Os

volumes FAT32 não são seguros e não suportam compactação de arquivo e
pasta, cotas de disco, criptografia de arquivo ou permissões de arquivo
individual

voltar para o topo

Instalar DNS

1. Abra o Assistente de Componentes do Windows. Para fazer isso, use as

seguintes etapas:

1. Clique em Iniciar, em Painel de controle e em Adicionar ou remover

programas.

2. Clique em Adicionar ou remover componentes do Windows.

2. Em Componentes, marque a caixa de seleção Serviços de Rede e clique

em Detalhes.

3. Em Subcomponentes dos serviços de rede, marque a caixa de seleção Sistema

de Nome de Domínio (DNS), clique em OK e em Avançar.

4. Se você for solicitado, em Copiar arquivos de, digite o caminho completo dos
arquivos de distribuição e clique em OK.

Configurar DNS
1. Inicie o Assistente Configurar seu servidor. Para fazer isso, clique em Iniciar,
aponte para Todos os programas, para Ferramentas administrativas e clique
em Assistente Configurar seu servidor.

2. Na página Função do servidor, clique em Servidor DNS e clique em Avançar.

3. Na página Resumo das seleções, veja e confirma as opções selecionadas. Os

seguintes itens devem aparecer nesta página:

 Instalar o DNS

 Execute o Assistente Configurar um DNS para configurar o DNS

Se a página Resumo das seleções lista estes dois itens, clique em Avançar. Se a
página Resumo de seleções não lista estes dois itens, clique em Voltar para
voltar à página Função do servidor, clique em DNS e em Avançar.

4. Quando o Assistente Configurar seu servidor instala o serviço DNS, determina

primeiro se o endereço IP para este servidor é estático ou é configurado
automaticamente. Se seu servidor está configurado atualmente para obter seu
endereço IP automaticamente, a página Configurando componentes do
Assistente Componentes do Windows solicita configurar este servidor com um
endereço IP estático. Para fazer isso:

1. Na caixa de diálogo Propriedades de Conexão de rede local, clique

em Protocolo Internet (TCP/IP)e em Propriedades.

2. na caixa de diálogo Propriedades do protocolo Internet (TCP/IP),

clique em Usar o seguinte endereço IP e digite o endereço IP estático, a
máscara de subrede e o gateway padrão para este servidor.

3. Em DNS preferido, digite o endereço IP deste servidor.

4. Em DNS alternativo, digite o endereço IP de outro servidor DNS

interno ou deixe esta caixa em branco.

5. Ao finalizar a configuração de endereços estáticos para seu DNS, clique

em OK e em Fechar.

5. Após clicar em Fechar, o Assistente Configurar um servidor DNS inicia. No

assistente, siga estas etapas:

0. Na página Selecionar a ação de configuração, marque a caixa de

seleção Criar uma zona de pesquisa avançada e clique em Avançar.

1. Para especificar que este DNS hospeda uma zona DNS contendo os
registros de recursos DNS dos seus recursos de rede, na página Local do
servidor primário, clique em Este servidor mantém a zona e
em Avançar.
 2. Na página Nome da zona, em Nome da zona, especifique o nome da
zona DNS da sua rede e clique em Avançar. O nome da zona é o mesmo
nome do domínio DNS para sua pequena empresa ou escritório filial.

3. Na página Atualização dinâmica, clique em Permitir atualizações

dinâmicas seguras e não seguras e em Avançar. Isto garante que os
registros de recurso DNS para os recursos na sua rede sejam atualizados
automaticamente.

4. Na página Encaminhadores, clique em Sim, eu desejo encaminhar

consultas para servidores DNS com os seguintes endereços IP e
em Avançar. Ao selecionar esta configuração, você encaminha todas as
consultas DNS para nomes DNS fora da sua rede para um DNS em seu
ISP ou escritório central. Digite um ou mais endereços IP que seu ISP ou
servidores de DNS do escritório central usam.

5. Na página Assistente Concluir a configuração de um DNS do

Assistente Configurar um DNS, é possível clicar em Voltar para alterar
qualquer configuração. Para aplicar suas seleções, clique em Concluir.

Após concluir o Assistente Configurar um DNS, o Assistente Configurar seu servidor

exibe a página Este servidor é agora um servidor DNS. Para revisar todas as
mudanças realizadas em seu servidor no Assistente Configurar seu servidor ou garantir
que uma nova função seja instalada com sucesso, clique em Configurar seu log do
servidor. O log do Assistente Configurar seu servidor está localizado em
%systemroot%\Debug\Configure Your Server.log. Para fechar o Assistente Configurar
seu servidor, clique em Concluir.

O que são IMAP e POP?

Aplicável a: Outlook 2016 Outlook 2013 Office para empresas Mais...

Importante: Este artigo foi traduzido por um sistema de tradução automática, leia
o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês
deste artigo aqui.

IMAP e POP são dois métodos para acessar o email. IMAP é o método recomendado
quando você precisa verificar seus emails de vários dispositivos diferentes, como um
telefone, laptop e tablet.

IMAP

IMAP permite que você acesse seu email onde quer que esteja, de qualquer dispositivo.
Ao ler uma mensagem de email usando o IMAP, não são realmente baixando ou
armazená-lo em seu computador; em vez disso, você está lendo-lo do serviço de email.
Como resultado, você pode verificar seu email de dispositivos diferentes, em qualquer
lugar do mundo: seu telefone, um computador, o computador de um amigo.

IMAP baixa apenas uma mensagem quando você clicar nele e anexos não são baixados
automaticamente. Dessa maneira você for capaz de verificar suas mensagens muito mais
rapidamente que POP.
POP

POP works contatar seu serviço de email e baixando todas as suas mensagens novas
dela. Depois que eles serão baixados no seu PC ou Mac, eles são excluídos o serviço de
email. Isso significa que após o email é transferido, ele só pode ser acessado usando
o mesmo computador. Se você tentar acessar seu email em um dispositivo diferente, as
mensagens que foram baixadas anteriormente não estarão disponíveis para você.

Email enviado é armazenado localmente em seu PC ou Mac, não no servidor de email.

Muitas dar provedores de serviços de Internet (ISPs) email contas que usam POP.

Servidor Apache
O Servidor HTTP Apache (do inglês Apache HTTP Server) ou Servidor
Apache ou HTTP Daemon Apache ou somente Apache, é o servidor web livre criado
em 1995 por Rob McCool, em uma pesquisa em dezembro de 2007 na NCSA (National
Center for Supercomputing Applications)[1]. É a principal tecnologia da Apache
Software Foundation, responsável por mais de uma dezena de projetos envolvendo
tecnologias de transmissão via web, processamento de dados e execução de aplicativos
distribuídos.
É um servidor do tipo HTTPD, compatível com o protocolo HTTP versão
1.1[2] (do inglês: HTTPd stands for Hypertext Transfer Protocol daemon). Suas
funcionalidades são mantidas através de uma estrutura de módulos, permitindo inclusive
que o usuário escreva seus próprios módulos — utilizando a API do software.
É disponibilizado em versões para os sistemas operacionais Windows, Novell, OS/2 e
outros do padrão POSIX IEEE 1003 (Unix, Linux, FreeBSD, etc.).
Em maio de 2010, o Apache deu suporte a aproximadamente 54,68% de todos os sites
e, 66% dos sites mais acessados mundialmente.[3] O uso nos servidores ativos representa
cerca de 47.20%.

Configuração[editar | editar código-fonte]

Os arquivos de configuração, por padrão, em ambientes Unix-like, residem no diretório
/etc/apache. O servidor é configurado por um arquivo mestre nomeado httpd.conf[6] e
opcionalmente pode haver configurações para cada diretório utilizando arquivos com o
nome .htaccess, onde é possível utilizar autenticação de usuário pelo próprio
protocolo HTTP utilizando uma combinação de arquivo .htaccess com um
arquivo .htpasswd, que guardará os usuários e senhas (criptografadas).
introdução

Pelo menos até o desenvolvimento deste artigo, o Apache era o servidor Web mais
usado no mundo, tendo um domínio de mais de 60%. Por ser tão importante assim, nada
melhor do que entender um pouco o Apache, conhecer sua história e saber como
começar a utilizá-lo. É isso que você verá nas próximas linhas.

O servidor Apache

Ao acessar qualquer site, há um servidor por trás daquele endereço responsável por
disponibilizar as páginas e todos os demais recursos que você pode acessar. Assim,
quando você envia um e-mail através de um formulário, coloca uma mensagem em um
fórum de discussão, faz uma compra on-line, etc, um servidor Web (ou um conjunto de
servidores) é responsável por processar todas essas informações.
Sendo mais claro, um servidor Web é um computador que processa solicitações HTTP
(Hyper-Text Transfer Protocol), o protocolo padrão da Web. Quando você usa um
navegador de internet para acessar um site, este faz as solicitações devidas ao servidor
Web do site através de HTTP e então recebe o conteúdo correspondente. No caso do
Apache, ele não só executa o HTTP, como outros protocolos, tais como o HTTPS (O
HTTP combinado com a camada de segurança SSL - Secure Socket Layer), o FTP
(File Transfer Protocol), entre outros.

Como servidor Web, o Apache é o mais conhecido e usado. Os motivos incluem sua
excelente performance, segurança, compatibilidade com diversas plataformas e todos os
seus recursos.

O servidor Apache (ou Apache Server) surgiu no National Center of Supercomputing

Applications (NCSA) através do trabalho de Rob McCool. Ao sair da NCSA, McCool
parou de trabalhar no software (que nessa época recebia justamente a denominação
NCSA) e então várias pessoas e grupos passaram a adaptar o servidor Web às suas
necessidades. No entanto, foram Brian Behlendorf e Cliff Skolnick os principais
responsáveis pela retomada do projeto, contando logo em seguida com o apoio de
Brandon Long e Beth Frank. Estes últimos tinham a tarefa de continuar com o
desenvolvimento do servidor, mas pela NCSA. Não demorou muito para que eles se
juntassem ao Apache Group.

A origem da Fundação Apache (Apache Foundation) vem daí: Brian Behlendorf e Cliff
Skolnick passaram a controlar "patches" (adição de recursos ou correções) atrás de uma
lista de discussão. Dessa lista foi formado o grupo, constituído inicialmente de 8
pessoas. O nome da fundação parece ter sido baseado nessa característica (uso de
patches), já que pode ser interpretado como um trocadilho com a expressão em inglês "a
patchy". No entanto, segundo os desenvolvedores do servidor, o nome é baseado numa
tribo americana de nome Apache.

O servidor Apache teve sua primeira versão oficial (0.6.2) lançada em 1995. No
momento em que este artigo era escrito, a última versão era a 2.2.3/2.2.4. De 1995 até
hoje houve várias mudanças no projeto. Talvez, a mais importante tenha sido
o Shambhala, uma arquitetura para o Apache desenvolvida por Robert Thau. O
Shambhala agradou tanto na época (principalmente por seu melhor gerenciamento de
memória) que acabou sendo incorporado definitivamente ao servidor, tirando de cena a
base existente até então. Surgia a versão 0.8.8, que tinha, além do Shambhala, recursos
da versão 0.7.x. Após uma série de aperfeiçoamentos, testes e de uma documentação
nova (feita por David Robinson), o Apache 1.0 foi lançado em dezembro de 1995.

Características do servidor Apache

O Apache Server é um software livre, o que significa que qualquer um pode estudar ou
alterar seu código-fonte, além de poder utilizá-lo gratuitamente. É graças a essa
característica que o software foi (e continua sendo) melhorado ao passar dos anos.
Graças ao trabalho muitas vezes voluntário de vários desenvolvedores, o Apache
continua sendo o servidor Web mais usado no mundo.

Além de estar disponível para o Linux (e para outros sistemas operacionais baseados no
Unix), o Apache também conta com versões para o Windows, para o Novell Netware e
para o OS/2, o que o torna uma ótima opção para rodar em computadores obsoletos
(desde que este atenda aos requisitos mínimos de hardware).
O servidor Apache é capaz de executa código em PHP, Perl, Shell Script e até
em ASP e pode atuar como servidor FTP, HTTP, entre outros. Sua utilização mais
conhecida é a que combina o Apache com a linguagem PHP e o banco de dados
MySQL (combinação usada aqui no InfoWester, por exemplo).

A exigência de hardware do Apache depende de sua aplicação, mas um PC Pentium

com 64 MB de memória RAM é capaz de executá-lo tranqüilamente em um ambiente
corporativo pequeno. No entanto, quando se trata de um site na internet, é interessante
ter máquinas tão poderosas quanto o que exige o nível de acesso.

Abaixo, segue um resumo com as principais características (extraído do Guia Foca

Linux):

- Possui suporte a scripts cgi usando linguagens como Perl, PHP, Shell Script, ASP,
etc;
- Suporte a autorização de acesso podendo ser especificadas restrições de acesso
separadamente para cada endereço/arquivo/diretório acessado no servidor;
- Autenticação requerendo um nome de usuário e senha válidos para acesso a alguma
página/sub-diretório/arquivo (suportando criptografia via Crypto e MD5);
- Negociação de conteúdo, permitindo a exibição da página Web no idioma requisitado
pelo Cliente Navegador;
- Suporte a tipos mime;
- Personalização de logs;
- Mensagens de erro;
- Suporte a virtual hosting (é possível servir 2 ou mais páginas com endereços/ portas
diferentes através do mesmo processo ou usar mais de um processo para controlar mais
de um endereço);
- Suporte a IP virtual hosting;
- Suporte a name virtual hosting;
- Suporte a servidor Proxy ftp e http, com limite de acesso, caching (todas flexivelmente
configuráveis);
- Suporte a proxy e redirecionamentos baseados em URLs para endereços Internos;
- Suporte a criptografia via SSL,Certificados digitais;
- Módulos DSO (Dynamic Shared Objects) permitem adicionar/remover
funcionalidades e recursos sem necessidade de recompilação do programa.

Instalando o Apache no Linux

A instalação do servidor Apache no Linux é fácil, principalmente por estar, na maioria

das vezes, atrelada a facilidades existentes na própria distribuição Linux. Por exemplo,
se você usa um sistema operacional baseado no Debian (ou o próprio), como o Ubuntu,
pode instalar o Apache através do comando apt-get:

apt-get install apache

O mais recomendável é instalar as versões do Apache preparadas para sua distribuição,

já que provavelmente o software estará otimizado para rodar nela. Se preferir, você
pode baixar pacotes "genéricos" no site da Apache Foundation. Feito isso, a instalação
pode ser executada da seguinte forma:

Supondo que você baixou o pacote httpd-2.2.2.tar.bz2, digite em um terminal:

tar -xjvf httpd-2.2.2.tar.bz2
cd httpd-2.2.2 (supondo que esta é a pasta criada)

O comando acima descompactou o pacote e o de baixo inicia o processo de compilação

e instalação:

./configure --prefix=/etc/httpd (se preferir, indique após o sinal de igual o local de

instalação do Apache)

Na verdade, o comando anterior pode ser incrementado com a adição ou a remoção de

módulos. Para isso, após "configure", informe "--enable-módulo" para adicionar um
módulo ou "--disable-módulo" para fazer o contrário. Por exemplo, se você digitar:

./configure --enable-ssl --enable-rewrite --prefix=/etc/httpd

Significa que você está habilitando o suporte a SSL e ao "rewrite" que, basicamente,
permite "reescrever" endereços usando expressões regulares.

Findo este processo, digite: make e, em seguida, make install para concluir a instalação.

Executando o Apache no Linux

Após instalar o Apache, é hora de executá-lo. Para isso há mais de uma forma, uma
delas é a seguinte, que você pode digitar em um terminal:

/etc/httpd/bin/apachectl start

No comando acima, altere para o caminho correspondente, caso o Apache esteja

instalado em um diretório diferente. Em alguns casos, basta abrir o terminal e digitar
apenas "apachectl start". Isso será suficiente para iniciar o Apache.

O parâmetro start pode ser substituído por outros, como:

restart - para reiniciar o Apache;

stop - para parar o Apache;
status - para mostrar o status do processo do Apache.

Após iniciar o Apache, é possível testá-lo: abra um navegador de internet instalado na

máquina e digite no campo de endereço: http://localhost:80 (em alguns casos, basta
digitar localhost). Se o Apache estiver funcionando corretamente, uma página como a
mostrada abaixo será exibida no browser

Provavelmente você irá querer que o Apache inicie automaticamente toda vez que o
sistema operacional for carregado. Isso pode ser feito da seguinte forma: abra o arquivo
/etc/rc.d/rc.local (ou equivalente, de acordo com o seu sistema operacional) e acrescente
nele a linha:

/etc/httpd/bin/apachectl start
Existem várias formas de iniciar o Apache automaticamente. Outra opção, para quem
utiliza o Fedora Core em português, por exemplo, é a seguinte (considerando que o
Apache está devidamente instalado): acesse o menu (chapéu vermelho), vá
em Configurações do Sistema / Configurações do Servidor / Serviços. No menu à
esquerda, habilite a opção "httpd" e clique no botão Salvar.

O passo seguinte é configurar o Apache (é recomendável fazer isso com o servidor

parado). Para isso, deve-se acessar o diretório conf - em nosso caso, /etc/httpd/conf - e
abrir os arquivos de configuração. Nessa pasta você encontra, basicamente, os arquivos
httpd.conf, srm.conf (dependendo da versão) e access.conf (dependendo da versão).

Dos três citados, o primeiro é o mais importante, pois é responsável pelas configurações
usadas pelo daemon do Apache, o httpd (daemon é uma espécie de programa que
executa tarefas em segundo plano). O arquivo srm.conf tem a tarefa de indicar os
recursos que o Apache precisa, enquanto que o access.conf contém diretivas de
segurança para controlar o acesso a arquivos e diretórios.

Por este ser um artigo introdutório, não serão dados detalhes sobre como configurar
esses arquivos, mas o último tópico desta página contém ótimos links que ensinam a
fazer isso.

TUX

Não, esse tópico não trata do simpático pingüim símbolo do Linux, mas sim do TUX
servidor, uma criação da Red Hat que trabalha como se "acoplado" ao Apache. Seu
objetivo é disponibilizar páginas estáticas da maneira mais otimizada possível.

A otimização possível com o TUX existe porque esse software executa em nível de
kernel, o que o faz ser pouco indicado a iniciantes. Para obter mais detalhas do TUX,
acesse www.redhat.com/docs/manuals/tux.

A Apache Foundation

A Apache Foundation, ou "Fundação Apache", é responsável por uma grande

quantidade de projetos de código aberto, sendo o principal, evidentemente, o servidor
Web que leva seu nome.

Constituída por nomes de peso, como o chairman Greg Stein, os desenvolvedores Ken
Coar, J. Aaron Farr, Cliff Schmidt, entre muitos outros, a Apache Foundation se mostra
como uma entidade séria, colaborativa, mantida principalmente por doações e contando
com o apoio de grandes corporações, como IBM e Sun, tanto no que diz respeito ao
desenvolvimento de produtos, quanto no fornecimento de hardware ou até mesmo no
aspecto financeiro.

As atividades da Apache Foundation podem ser conhecidas em seu site

oficial: www.apache.org.

Finalizando

O servidor Apache é um software poderoso, robusto, seguro e amplamente usado no

mundo. Seu leque de configurações o faz ser uma ferramenta que requer tempo para ser
dominada. Se esse é seu objetivo, o site oficial da Apache Foundation contém uma
documentação muito abrangente, mas também é possível encontrar bom material no
Brasil, como o oferecido pelo Guia Foca Linux:

Documentação da Apache: httpd.apache.org/docs-project*;

Documentação do Guia Foca Linux: focalinux.cipsga.org.br/guia/avancado/ch-s-

apache.htm*;

Documentação do site Laureano: www.laureano.eti.br/guias/GuiaInstApache.php*.

Boa Leitura!

*Acessado em maio de 2006. Caso o link esteja quebrado, por favor, avise-nos do
problema entrando em contato.

Escrito por Emerson Alecrim - Publicado em 15_05_2006 - Atualizado em 15_05_2006

Apresentando o servidor de aplicação JBoss AS 7

18 de Julho de 2012
31
O JBoss Application Server (ou, abreviadamente, JBoss AS) é um servidor de
aplicação de código aberto desenvolvido pela JBoss (atualmente, uma divisão da Red
Hat ) para a plataforma Java EE . Ele oferece toda a infraestrutura necessária para
executar aplicações Web desenvolvidas sobre essa plataforma. Nesse post, você saberá
o necessário para começar a desenvolver aplicações Java para a Web utilizando esse
servidor.
O JBoss AS 7 é completamente compatível com a especificação Java EE 6 (diz-se “Java
EE 6 Full Profile”), tendo recebido inclusive certificação da Oracle . Assim, ao executar
nossas aplicações Web nesse servidor, se elas foram desenvolvidas obedecendo aos
padrões da plataforma, teremos a certeza de que elas funcionarão como desejamos (é
claro que eventualmente erros de lógica podem ser cometidos por programadores, o fato
de uma aplicação atender à especificação não garante que ela esteja livre desses erros,
rsrsrs).
É necessário que o Java Development Kit (JDK) esteja instalado no computador para
que o JBoss AS possa ser executado. Também é importante que a variável de ambiente
JAVA_HOME esteja configurada, o JBoss AS obtém o valor dessa variável e o utiliza
para saber a localização do JDK no sistema. Se precisar de ajuda com relação a isso,
leia esse outro post, no qual explico como instalar e testar o JDK.
Precisaremos também do Maven, que já foi abordado em outro post. Ele não é
necessário à execução do JBoss AS, mas precisaremos dele nesse passo-a-passo para
implantar uma aplicação de exemplo no servidor.

Download do JBoss AS
Na página de downloads do JBoss AS 7 há várias opções de download. Vamos nos
concentrar aqui naquelas que se referem à versão mais atual do servidor de aplicação
(no momento da escrita deste post, a versão 7.1.1, apelido “Brontes”). Para os usuários
de Windows, eu recomendo o download do arquivo .zip, e para os usuários de Linux, eu
recomendo o download do arquivo .tar.gz, pois esses formatos são os mais comuns
nesses dois sistemas.
Nesse passo-a-passo, precisaremos ainda do código-fonte da aplicação de exemplo que
demonstrarei, mas como ela não é necessária à instalação do servidor, deixarei seu
download para um momento mais oportuno.
Os links para download direto dos arquivos mencionados acima são esse e esse . No
caso do Linux, é possível baixar este arquivo pelo terminal usando o comando wget:

$ wget http://download.jboss.org/jbossas/7.1/jboss-as-7.1.1.Final/jboss-as-7.1.1.Final.ta
r.gz

Instalação do JBoss AS
Tanto no Windows quanto no Linux, basta descompactar o arquivo baixado que o JBoss
AS já pode ser executado a partir daquele local. Assim como acontece com o JDK, é
possível instalar em uma localização visível a todos os usuários (como “C:\” no
Windows ou “/opt/” no Linux) ou visível apenas ao seu usuário (no meu caso,
“C:\Users\Vinicius\Documents” ou “/home/vinicius”). Em ambos os casos, o arquivo
descompactado gera uma pasta chamada “jboss-as-7.1.1.Final? e pode ser excluído após
a extração.
É necessário prestar atenção a esse local pois sempre que quisermos invocar o JBoss
AS, digitaremos o caminho para esse local. Assim, recomendo renomear a pasta para
algo menor, como “jboss-as”.
No Windows, fiz a extração do arquivo na raiz do disco “C:\” e renomeei a pasta “jboss-
as-7.1.1.Final” para apenas “jboss-as”. O caminho para o JBoss AS no meu sistema é,
então, “C:\jboss-as”.
No Linux é mais prático fazer a instalação na pasta home do usuário. Se a finalidade de
usar o JBoss AS é didática, recomendo essa instalação, porque é mais fácil de manter
(não é necessário obter privilégios de administrador sempre que for necessário alterar
algum arquivo à mão, por exemplo). No terminal, os comandos para download e
extração seriam (já estou incluindo o comando para renomear a pasta, conforme sugeri):

$ cd /home/vinicius/
$ wget http://download.jboss.org/jbossas/7.1/jboss-as-7.1.1.Final/jboss-as-7.1.1.Final.ta
r.gz
$ tar zxvf jboss-as-7.1.1.Final.tar.gz
$ mv jboss-as-7.1.1.Final jboss-as
$ rm jboss-as-7.1.1.Final.tar.gz

É possível instalar também em uma localização global, visível a todos os usuários. No

caso específico do JBoss AS, já que estamos falando de um servidor, talvez essa seja a
instalação mais comum. Para fazer isso, o procedimento é parecido, mas é necessário ter
permissões de administrador:

$ cd /home/vinicius/
$ wget http://download.jboss.org/jbossas/7.1/jboss-as-7.1.1.Final/jboss-as-7.1.1.Final.ta
r.gz
# mv jboss-as-7.1.1.Final.tar.gz /opt
# cd /opt
# tar zxvf jboss-as-7.1.1.Final.tar.gz
# mv jboss-as-7.1.1.Final jboss-as
# rm jboss-as-7.1.1.Final.tar.gz

No primeiro caso, o caminho para o JBoss AS passa a ser “/home/vinicius/jboss-as” e,

no segundo, “/opt/jboss-as”.

Inicializando o servidor
De acordo com a documentação do JBoss AS , há duas maneiras de iniciar o servidor de
aplicação: em modo “standalone”, onde cada instância do servidor é um processo que
atua de maneira independente; ou em modo de domínio (“domain”), onde várias
máquinas (físicas ou virtuais) executando o servidor de aplicação compõem um
domínio, no qual há uma máquina central responsável por gerenciar as demais. Para fins
de demonstração, nessa página (e nas demais em que eu me referir ao JBoss AS) usarei
o servidor em modo “standalone”.
Para iniciar o servidor dessa maneira, no Windows, usando o Windows Explorer
mesmo, você pode ir até a pasta na qual o JBoss AS está instalado (no meu caso,
“C:\jboss-as”), abrir a pasta “bin” e dar um duplo-clique no script “standalone.bat”.
Uma nova janela de terminal se abre com a saída do servidor. É interessante criar um
atalho para esse arquivo em algum local de fácil acesso, para facilitar sempre que se
desejar iniciar o servidor.
No Windows, também é possível iniciar o JBoss AS pela linha de comando, invocando
esse mesmo script. Nesse caso, a própria janela de terminal na qual o comando é
invocado passa a exibir a saída do servidor (é importante observar que não é possível
executar nenhum outro comando nessa mesma janela enquanto o servidor estiver em
execução). O comando fica:

> C:\jboss-as\bin\standalone.bat

No Linux, para iniciar o JBoss AS em modo standalone, devemos executar em uma

janela de terminal o seguinte comando (supondo que o JBoss AS esteja instalado na
pasta “/home/vinicius/jboss-as”):

$ ./home/vinicius/jboss-as/bin/standalone.sh

Nesse caso, a própria janela de terminal na qual o comando é invocado passa a exibir a
saída do servidor e, assim como acontece no Windows, não é possível executar nenhum
outro comando nessa mesma janela enquanto o servidor estiver em execução.
O terminal deve exibir uma saída parecida com essa, resultado da inicialização do
servidor:

==============================================================
===========

JBoss Bootstrap Environment

JBOSS_HOME: /home/vinicius/jboss-as
JAVA: /opt/jdk1.7.0/bin/java

JAVA_OPTS: -server -XX:+TieredCompilation -Xms64m -Xmx512m -XX:MaxPerm

Size=256m -Djava.net.preferIPv4Stack=true -Dorg.jboss.resolver.warning=true -Dsun.r
mi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Djboss.m
odules.system.pkgs=org.jboss.byteman -Djava.awt.headless=true -Djboss.server.default.
config=standalone.xml

==============================================================
===========

04:35:28,890 INFO [org.jboss.modules] JBoss Modules version 1.1.1.GA

04:35:29,488 INFO [org.jboss.msc] JBoss MSC version 1.0.2.GA
04:35:29,647 INFO [org.jboss.as] JBAS015899: JBoss AS 7.1.1.Final "Brontes" startin
g
04:35:32,341 INFO [org.xnio] XNIO Version 3.0.3.GA
04:35:32,366 INFO [org.xnio.nio] XNIO NIO Implementation Version 3.0.3.GA
04:35:32,457 INFO [org.jboss.as.server] JBAS015888: Creating http management servi
ce using socket-binding (management-http)
04:35:32,468 INFO [org.jboss.remoting] JBoss Remoting version 3.2.3.GA
04:35:32,623 INFO [org.jboss.as.logging] JBAS011502: Removing bootstrap log handl
ers
04:35:32,662 INFO [org.jboss.as.configadmin] (ServerService Thread Pool -- 26) JBA
S016200: Activating ConfigAdmin Subsystem
04:35:32,831 INFO [org.jboss.as.clustering.infinispan] (ServerService Thread Pool -- 3
1) JBAS010280: Activating Infinispan subsystem.
04:35:33,167 INFO [org.jboss.as.naming] (ServerService Thread Pool -- 38) JBAS011
800: Activating Naming Subsystem
04:35:33,193 INFO [org.jboss.as.osgi] (ServerService Thread Pool -- 39) JBAS011940:
Activating OSGi Subsystem
04:35:33,269 INFO [org.jboss.as.connector] (MSC service thread 1-2) JBAS010408: St
arting JCA Subsystem (JBoss IronJacamar 1.0.9.Final)
04:35:33,393 INFO [org.jboss.as.security] (ServerService Thread Pool -- 44) JBAS013
101: Activating Security Subsystem
04:35:33,514 INFO [org.jboss.as.webservices] (ServerService Thread Pool -- 48) JBAS
015537: Activating WebServices Extension
04:35:33,515 INFO [org.jboss.as.security] (MSC service thread 1-1) JBAS013100: Cur
rent PicketBox version=4.0.7.Final
04:35:33,588 INFO [org.jboss.as.connector.subsystems.datasources] (ServerService Th
read Pool -- 27) JBAS010403: Deploying JDBC-compliant driver class org.h2.Driver (v
ersion 1.3)
04:35:33,549 INFO [org.jboss.as.naming] (MSC service thread 1-2) JBAS011802: Star
ting Naming Service
04:35:34,470 INFO [org.jboss.as.mail.extension] (MSC service thread 1-1) JBAS01540
0: Bound mail session 1
04:35:34,530 INFO [org.jboss.ws.common.management.AbstractServerConfig] (MSC
service thread 1-2) JBoss Web Services - Stack CXF Server 4.0.2.GA
04:35:35,289 INFO [org.apache.coyote.http11.Http11Protocol] (MSC service thread 1-
2) Starting Coyote HTTP/1.1 on http--127.0.0.1-8080
04:35:35,866 INFO [org.jboss.as.remoting] (MSC service thread 1-2) JBAS017100: Li
stening on /127.0.0.1:9999
04:35:36,060 INFO [org.jboss.as.server.deployment.scanner] (MSC service thread 1-2)
JBAS015012: Started FileSystemDeploymentService for directory /home/vinicius/jboss
-as/standalone/deployments
04:35:36,119 INFO [org.jboss.as.remoting] (MSC service thread 1-2) JBAS017100: Li
stening on /127.0.0.1:4447
04:35:36,270 INFO [org.jboss.as.connector.subsystems.datasources] (MSC service thre
ad 1-2) JBAS010400: Bound data source 1
04:35:36,294 INFO [org.jboss.as] (Controller Boot Thread) JBAS015951: Admin cons
ole listening on http://127.0.0.1:9990
04:35:36,295 INFO [org.jboss.as] (Controller Boot Thread) JBAS015874: JBoss AS 7.
1.1.Final "Brontes" started in 8025ms - Started 133 of 208 services (74 services are pass
ive or on-demand)

Tanto no Windows quanto no Linux, após iniciado o servidor, abra seu navegador de
preferência e acesse o endereço “http://localhost:8080 ” (a porta 8080 é a utilizada pelo
JBoss AS por padrão, mas essa porta pode ser alterada na configuração do servidor).
Você deve ver a tela de boas vindas do JBoss AS:

Executando uma aplicação Web

Para verificar o funcionamento do JBoss AS, vamos instalar e executar (diz-se fazer
deploy no servidor) de uma das aplicações de exemplo oferecidas no site do servidor .
No caso, vou utilizar a helloworld-jsf , que é simples, mas um pouco mais interessante
que a tradicional helloworld .
As instruções fornecidas aqui se aplicam tanto ao Windows quanto ao Linux, mas vou
utilizar o Linux para explicar as etapas. Necessitaremos do Maven para compilar,
empacotar e fazer deploy da aplicação. Se você ainda não possui o Maven em seu
computador, prossiga à leitura dessa página antes de continuar.
Vá até a página das aplicações de exemplo do JBoss AS e clique em “Get the source”.
Depois, clique em “Source zip”:
Você está baixando um arquivo .zip (no momento da escrita deste post, nomeado
“jboss-jdf-jboss-as-quickstart-7.1.1.Final-0-gbcbcf69.zip”) com todas as aplicações de
exemplo do JBoss AS (se quiser por curiosidade conferir a lista, são todas essas que
aparecem listadas nessa mesma página).
Quando o download acabar, extraia o conteúdo desse arquivo para uma pasta de fácil
acesso. No Linux, o comando para extração desse arquivo é:
$ unzip jboss-jdf-jboss-as-quickstart-7.1.1.Final-0-gbcbcf69.zip

Isso cria uma pasta contendo as aplicações de exemplo (aqui se chama “jboss-jdf-jboss-
as-quickstart-8505020″), entre nessa pasta e, em seguida, entre na pasta “helloworld-jsf”
(usuários de Windows também devem entrar nessa pasta pelo terminal, já que vamos
executar um comando do Maven dentro dela):

$ cd jboss-jdf-jboss-as-quickstart-8505020/helloworld-jsf

Certifique-se de que o JBoss AS esteja em execução e invoque o seguinte comando do

Maven, que compilará, testará, empacotará e realizará o deploy da aplicação no
servidor:

$ mvn package jboss-as:deploy

Ao final do processo, o console do Maven deve mostrar uma saída parecida com essa,
informando que tudo ocorreu conforme o esperado:

Jul 18, 2012 1:50:00 PM org.xnio.Xnio

INFO: XNIO Version 3.0.3.GA
Jul 18, 2012 1:50:00 PM org.xnio.nio.NioXnio
INFO: XNIO NIO Implementation Version 3.0.3.GA
Jul 18, 2012 1:50:00 PM org.jboss.remoting3.EndpointImpl
INFO: JBoss Remoting version 3.2.3.GA
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 4:26.810s
[INFO] Finished at: Wed Jul 18 13:50:14 GMT+00:00 2012
[INFO] Final Memory: 9M/41M
[INFO] ------------------------------------------------------------------------

O console do JBoss AS deve mostrar que o deploy da aplicação foi realizado com
sucesso:

13:50:04,206 INFO [org.jboss.as.repository] (management-handler-thread - 2) JBAS01

4900: Content added at location /root/jboss-as/standalone/data/content/1d/9f4c3c67cd2f
b194ee4aacb3d990ab70da0b48/content
13:50:04,261 INFO [org.jboss.as.server.deployment] (MSC service thread 1-2) JBAS0
15876: Starting deployment of "jboss-as-helloworld-jsf.war"
13:50:06,650 INFO [org.jboss.weld.deployer] (MSC service thread 1-2) JBAS016002:
Processing weld deployment jboss-as-helloworld-jsf.war
13:50:06,979 INFO [org.jboss.weld.deployer] (MSC service thread 1-1) JBAS016005:
Starting Services for CDI deployment: jboss-as-helloworld-jsf.war
13:50:07,045 INFO [org.jboss.weld.Version] (MSC service thread 1-1) WELD-000900
1.1.5 (AS71)
13:50:07,578 INFO [org.jboss.weld.deployer] (MSC service thread 1-2) JBAS016008:
Starting weld service for deployment jboss-as-helloworld-jsf.war
13:50:08,753 INFO [javax.enterprise.resource.webcontainer.jsf.config] (MSC service t
hread 1-2) Initializing Mojarra 2.1.7-jbossorg-1 (20120227-1401) for context '/jboss-as-
helloworld-jsf'
13:50:11,774 INFO [org.hibernate.validator.util.Version] (MSC service thread 1-2) Hib
ernate Validator 4.2.0.Final
13:50:14,120 INFO [org.richfaces.log.Cache] (MSC service thread 1-2) Selected fallba
ck cache factory
13:50:14,125 INFO [org.richfaces.log.Cache] (MSC service thread 1-2) Creating LRU
Map cache instance using parameters: {javax.faces.PROJECT_STAGE=Development}
13:50:14,186 INFO [org.richfaces.log.Cache] (MSC service thread 1-2) Creating LRU
Map cache instance of 512 items capacity
13:50:14,195 INFO [org.richfaces.log.Application] (MSC service thread 1-2) RichFace
s Core Implementation by JBoss by Red Hat, version v.4.2.0.Final
13:50:14,428 WARNING [org.richfaces.log.Application] (MSC service thread 1-2) JM
S API was found on the classpath; if you want to enable RichFaces Push JMS integratio
n, set context-param 'org.richfaces.push.jms.enabled' in web.xml
13:50:14,435 INFO [javax.enterprise.resource.webcontainer.jsf.config] (MSC service t
hread 1-2) Monitoring jndi:/default-host/jboss-as-helloworld-jsf/WEB-INF/faces-config
.xml for modifications
13:50:14,487 INFO [org.jboss.web] (MSC service thread 1-2) JBAS018210: Registerin
g web context: /jboss-as-helloworld-jsf
13:50:14,539 INFO [org.jboss.as.server] (management-handler-thread - 2) JBAS01855
9: Deployed "jboss-as-helloworld-jsf.war"

Feito isso, podemos acessar a aplicação usando o navegador através do endereço

“http://localhost:8080/jboss-as-helloworld-jsf/ “:
Essa é uma aplicação Web 2.0 com AJAX na qual ao digitar um nome no campo de
texto, ele reproduz esse nome em uma mensagem de olá do lado direito desse campo. É
realmente a única coisa que essa aplicação faz. Os componentes exibidos na tela são
estilizados por causa da utilização do framework de apresentação Richfaces para
renderizar esses componentes.
Se quisermos, podemos remover a aplicação do servidor (diz-se fazer o undeploy)
através do Maven, usando o comando (deve ser executado da pasta que contém o
código-fonte da aplicação):
JBoss Application Server
Origem: Wikipédia, a enciclopédia livre.
JBoss é um servidor de aplicação de código fonte aberto baseado na plataforma JEE e
implementado completamente na linguagem de programação Java. Em virtude disso, ele
pode ser usado em qualquer Sistema Operacional que suporte a referida linguagem. O
JBoss Application Server 7, utiliza os arquivos: standalone.bat (ou standalone.sh) para
prover a sua inicialização.
Os desenvolvedores responsáveis estão em uma empresa de serviços chamada "JBoss
Inc." fundada por Marc Fleury, o criador da primeira versão do JBoss. O projeto é
custeado por uma rede mundial de colaboradores. Em Abril de 2006, foi anunciada sua
aquisição pela Red Hat.
A partir da versão 8 o JBoss passou a se chamar Wildfly, além da troca de nomes teve
várias melhorias e mudanças como a troca do container que era o JBossWeb para
o Undertow.
Como alternativa open-source ao JBoss, temos o GlassFish, que é a implementação de
referência de toda a especificação Java EE.
Máquina virtual

VirtualBox 2.0.4 no Ubuntu rodando o Fedora 10

Na ciência da computação, máquina virtual consiste em um software de ambiente
computacional, que executa programas como um computador real, também chamado de
processo de virtualização.
Uma máquina virtual (Virtual Machine – VM) pode ser definida como “uma duplicata
eficiente e isolada de uma máquina real”. A IBM define uma máquina virtual como uma
cópia isolada de um sistema físico, e esta cópia está totalmente protegida.
Máquinas virtuais são extremamente úteis no dia a dia, pois permitem ao usuário rodar
outros sistemas operacionais dentro de uma única máquina física, tendo acesso a outros
software existentes que podem ser instalados dentro da própria máquina virtual.

História[editar | editar código-fonte]

VM ou VM/CMS, do inglês Virtual Machine/Conversational Monitor System [1] [nota 1] é
um sistema operativo que permite a vários utilizadores trabalharem ao mesmo tempo
como se estivessem a utilizar sozinhos o computador. O sistema foi empregue na IBM
mainframes System/360, donde VM/360, em 1964 - História do Mainframe [2].

IBM 704
O sistema VM é usado nos mainframes - computadores de grande capacidade capazes
de oferecer serviços de processamento a milhares de usuários através de milhares de
terminais conectados diretamente ou através de uma rede. O sistema operava
unicamente em modo batch (arquivo de lote). Criado por Abedi Pellé. E por Mariane
Newds.
O programa de controle (CP) gere o computador e efetua todas as operações necessárias
de tal forma que cada máquina virtual reagisse e trabalhe como um computador pessoal.
O utilizador tinha em frente de si unicamente: um écran, um teclado, e a caixa de
ligação com mainframe.

Definição[editar | editar código-fonte]

O termo máquina virtual foi descrito na década de 1960 utilizando um termo de sistema
operacional: uma abstração de software que enxerga um sistema físico (máquina real).
Com o passar dos anos, o termo englobou um grande número de abstrações – por
exemplo, Java Virtual Machine – JVM que não virtualiza um sistema real.
Ao invés de ser uma real, isto é, um computador real feito de hardware e executando um
sistema operacional específico, uma máquina virtual é um computador fictício criado
por um programa de simulação. Sua memória, processador e outros recursos são
virtualizados. A virtualização é a interposição do software (máquina virtual) em várias
camadas do sistema. É uma forma de dividir os recursos de um computador em
múltiplos ambientes de execução.
Ultimamente, é muito simples e fácil criar uma máquina virtual: basta apenas instalar
um programa específico dentro da máquina real, onde dentro desse programa poderá ser
criado um disco rígido virtual e a partir disso, será possível executar um sistema
operacional inteiro por meio dele.
Entre os programas que simulam essas máquinas, são bastante conhecidos os
emuladores de vídeo games antigos e os emuladores de microcomputadores, como
o VMware e o Bochs.
Apesar de alguns desses programas serem pagos, existem também softwares livre de
fácil acesso, que é o caso do VM VirtualBox (software livre da Oracle).

Funcionamento[editar | editar código-fonte]

Após a instalação do programa para criação da máquina virtual, é possível criar um
disco rígido virtual, e a partir disso, é possível executar um sistema operacional inteiro.
A máquina virtual irá alocar, durante a execução de sistemas operacionais, uma
quantidade definida de memória RAM. Ela normalmente emula um ambiente de
computação física, mas requisições de CPU, memória, disco rígido, rede e outros
recursos de hardware serão todos geridos por uma "camada de virtualização" que traduz
essas solicitações para o hardware presente na máquina.
A partir disso, é possível a instalação de outros softwares dentro do presente software,
fazendo simulações em geral sem a necessidade um hardware específico.

Uso para teste[editar | editar código-fonte]

O conceito de VM também pode ser utilizado como máquinas virtuais a efeito de testes,
ou seja, quando empresas de desenvolvimento desejam testar seus produtos ou até
mesmos administradores de redes, sistemas pretendem montar protótipos e projetos
futuros.
Caso se trate de uma pequena e média empresa onde os recursos são reduzidos,
podemos utilizar o Conceito de VM, para que um servidor de arquivos além de
armazenar dados, também possua uma outra tarefa como por exemplo instalação de um
(Servidor Jabber "comunicação", servidor CUPS "impressão" e até mesmo um Postfix
"correio eletrônico").

Tipos[editar | editar código-fonte]

As máquinas virtuais podem ser divididas em três tipos:

 Tipo 1: Sistema em que o monitor é implementado entre o hardware e os sistemas

convidados (guest system), onde o monitor tem controle sobre o hardware e abre
sessões (convidados) para criação de máquinas virtuais semelhantes ao sistema
operacional tradicional.
 Tipo 2: Nele o monitor é implementado como um processo de um sistema
operacional real, denominado sistema anfitrião (host system), onde o monitor é
executado como um Processo por um Sistema Anfitrião, ou seja, um sistema
gerencia o acesso do hardware ao monitor, que por sua vez cria máquinas virtuais
assim como descrito no Tipo 1.
 Tipo 3: Utiliza os 2 conceitos do Tipo 1 e Tipo 2 ao mesmo tempo. Em resumo é a
capacidade da máquina virtual (sistema convidado) de acessar diretamente o
hardware, sem ter que passar todas informações ao monitor toda vez que desejar
acessar algum dispositivo/hardware.
 Tipos Híbridos: Os monitores de tipo 1 e 2 raramente são usados em sua forma
conceitual em implementações reais. Na prática, várias otimizações são inseridas
nas arquiteturas apresentadas, com o objetivo principal de melhorar o desempenho
das aplicações nos sistemas convidados. Como os pontos cruciais do desempenho
dos sistemas de máquinas virtuais são as operações de E/S, as principais
otimizações utilizadas em sistemas de produção dizem respeito a essas operações.
Outra importante categoria de máquinas virtuais são as máquinas virtuais para
computadores fictícios projetados para uma finalidade específica. Atualmente a mais
importante máquina virtual desta família é a JVM (máquina virtual Java). Existem
simuladores para ela em quase todos os computadores atuais, desde computadores de
grande porte até telefones celulares, o que torna as aplicações Java extremamente
portáveis.
Uma importante vantagem sem duvida de se escrever código para uma máquina virtual
é a de se poder compilar o código sem que seja perdida a portabilidade, melhorando-se a
velocidade em relação à programação interpretada, que também é portátil, porém mais
lenta, já que neste caso cada linha será traduzida e executada em tempo de execução, e
no caso da máquina virtual cada mnemônico da máquina virtual é convertido no
equivalente em linguagem de máquina (ou assembly) da máquina real.

Vantagens[editar | editar código-fonte]

 Facilita o aperfeiçoamento e testes de novos sistemas operacionais.

 Possibilita a comparação de vários sistemas operacionais utilizando o mesmo
equipamento.
 Executa diferentes sistemas operacionais sobre o mesmo hardware,
simultaneamente.
 Simula alterações e falhas no hardware para testes ou reconfiguração de um sistema
operacional, provendo confiabilidade e escalabilidade para as aplicações.
 Diminuição de custos com hardware.
 Facilidades no gerenciamento, migração e replicação de computadores, aplicações
ou sistemas operacionais.
 Confiança e disponibilidade: A falha de um software não prejudica os demais
serviços.
 O isolamento da máquina virtual assegura que as aplicações e serviços que serão
executados dentro de uma máquina virtual não poderão interferir no sistema
operacional original e nem em outras máquinas virtuais.
 Pode ser facilmente deslocadas, copiadas e transferidas entre computadores,
possibilitando aperfeiçoar os recurso do hardware.
 Teste de diversos sistemas operacionais sem precisar particionar o HD, podendo
instalar versões antigas do Windows, Linux, ou qualquer outro sistema sem fazer
alterações no disco rígido.

Desvantagens[editar | editar código-fonte]

 Gerenciamento: Os ambientes virtuais necessitam ser, monitorados, configurados e

salvos . Existem produtos que fornecem essas soluções, mas esse é o campo no qual
estão os maiores investimentos na área de virtualização, justamente por se tratar de
um dos maiores contratempos na implementação da virtualização.
 Desempenho: Atualmente, não existem métodos consolidados para medir o
desempenho de ambientes virtualizados. No entanto, a introdução de uma camada
extra de software entre o sistema operacional e o hardware, o VMM ou hypervisor,
gera um custo de processamento superior ao que se teria sem a virtualização. Outro
ponto importante de ressaltar é que não se sabe exatamente quantas máquinas
 virtuais podem ser executadas por processador, sem que haja o prejuízo da
qualidade de serviço.

Segurança[editar | editar código-fonte]

Embora a máquina necessite do sistema real para sua inicialização, trabalha de maneira
independente como se fosse outro computador, isto requer também um sistema de
segurança independente, ou seja, a ocorrência de infecção por vírus na máquina virtual
não afeta a máquina real.
Em geral o conceito sobre máquinas virtuais vem crescendo, não só pela performance
apresentada nos resultados, mas pelo custo reduzido de hardware e manutenção, o que
facilita muito o uso desses softwares.
Enorme uso da memoria da maquina real, depois de uma grande tempo de estar em
modo ligada. Isso ocasiona lentidão para o usuário que está utilizando.
Segurança da informação
A criptografia é essencial para a troca de dados pela internet.
A segurança da informação (SI) está diretamente relacionada com proteção de um
conjunto de informações, no sentido de preservar o valor que possuem para um
indivíduo ou uma organização. São propriedades básicas da segurança da
informação: confidencialidade, integridade, disponibilidade e autenticidade.
A SI não está restrita somente a sistemas computacionais, informações eletrônicas ou
sistemas de armazenamento. O conceito aplica-se a todos os aspectos de proteção de
informações e dados. O conceito de Segurança Informática ou Segurança de
Computadoresestá intimamente relacionado com o de Segurança da Informação,
incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas
em si.
Atualmente o conceito de Segurança da Informação está padronizado pela
norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS
7799. A séri a norma técnica de segurança da informação em vigor é: ABNT NBR
ISO/IEC 27002:2013[1]

Conceitos de segurança[editar | editar código-fonte]

A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004; Morris e
Thompson, 1979; Sieberg, 2005; Smith, 2002) pode ser sumarizada como a proteção
contra o uso ou acesso não-autorizado à informação, bem como a proteção contra a
negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade
dessa informação são preservadas. A SI não está confinada a sistemas de computação,
nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção
da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer
situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer
do uso impróprio da mesma. É importante lembrar que a SI também cobre toda a
infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias, e
outros.
A Segurança da informação refere-se à proteção existente sobre as informações de uma
determinada empresa ou pessoa, isto é, aplica-se tanto às informações corporativas
quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que
tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso
restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do
nível de segurança existente e, com isto, serem estabelecidas as bases para análise da
melhoria ou piora da situação de segurança existente. A segurança de uma determinada
informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza
dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que
têm o objetivo de furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and Availability)
— Confidencialidade, Integridade e Disponibilidade — representa os principais
atributos que, atualmente, orientam a análise, o planejamento e a implementação da
segurança para um determinado grupo de informações que se deseja proteger. Outros
atributos importantes são não-repúdio (irretratabilidade), autenticidade e conformidade.
Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é
também uma grande preocupação.
Portanto os atributos básicos da segurança da informação, segundo os padrões
internacionais (ISO/IEC 17799:2005) são os seguintes:

 Confidencialidade: propriedade que limita o acesso a informação tão somente às

entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;
 Integridade: propriedade que garante que a informação manipulada mantenha todas
as características originais estabelecidas pelo proprietário da informação, incluindo
controle de mudanças e garantia do seu ciclo de vida (Corrente, intermediária e
permanente). O ciclo de vida da informação orgânica - criada em ambiente
organizacional - segue as três fases do ciclo de vida dos documentos de arquivos;
conforme preceitua os canadenses da Universidade do Quebec (Canadá): Carol
Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina
Arquivística;
 Disponibilidade: propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação;
 Autenticidade: propriedade que garante que a informação é proveniente da fonte
anunciada e que não foi alvo de mutações ao longo de um processo;
 Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade de
negar a autoria em relação a uma transação anteriormente feita;
 Conformidade: propriedade que garante que o sistema deve seguir as leis e
regulamentos associados a este tipo de processo.

Mecanismos de segurança[editar | editar código-fonte]

O suporte para as recomendações de segurança pode ser encontrado em:

 Controles físicos: são barreiras que limitam o contato ou acesso direto a informação
ou a infraestrutura (que garante a existência da informação) que a suporta.
Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes,
blindagem, guardas, etc.

 Controles lógicos: são barreiras que impedem ou limitam o acesso a informação,

que está em ambiente controlado, geralmente eletrônico, e que, de outro modo,
ficaria exposta a alteração não autorizada por elemento mal intencionado.
Mecanismos de segurança que apoiam os controles lógicos:
 Mecanismos de cifração ou encriptação: permitem a transformação reversível
da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para
tal, algoritmosdeterminados e uma chave secreta para, a partir de um conjunto
de dados não criptografados, produzir uma sequência de dados criptografados.
A operação inversa é a decifração.
 Assinatura digital: Um conjunto de dados criptografados, associados a um
documento do qual são função, garantindo a integridade e autenticidade do
documento associado, mas não a sua confidencialidade.
  Mecanismos de garantia da integridade da informação: usando funções de
"Hashing" ou de checagem, é garantida a integridade através de comparação do
resultado do teste local com o divulgado pelo autor.
 Mecanismos de controle de acesso: palavras-chave, sistemas
biométricos, firewalls, cartões inteligentes.
 Mecanismos de certificação: atesta a validade de um documento.
 Honeypot: é uma ferramenta que tem a função de propositalmente simular
falhas de segurança de um sistema e colher informações sobre o invasor
enganando-o, fazendo-o pensar que esteja de fato explorando uma
vulnerabilidade daquele sistema. É uma espécie de armadilha para invasores. O
honeypot não oferece nenhum tipo de proteção.
 Protocolos seguros: uso de protocolos que garantem um grau de segurança e
usam alguns dos mecanismos citados aqui.
Atualmente existe uma grande variedade de ferramentas e sistemas que pretendem
fornecer segurança. Alguns exemplos: antivírus, firewalls, filtros anti-spam,
fuzzers, detectores de intrusões (IDS), analisadores de código, etc.[2]

Ameaças à segurança[editar | editar código-fonte]

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de
suas três principais características, quais sejam:

 Perda de confidencialidade: há uma quebra de sigilo de uma determinada

informação (ex: a senha de um usuário ou administrador de sistema) permitindo que
sejam expostas informações restritas as quais seriam acessíveis apenas por um
determinado grupo de usuários.
 Perda de integridade: determinada informação fica exposta a manuseio por uma
pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão
sob o controle do proprietário (corporativo ou privado) da informação.
 Perda de disponibilidade: a informação deixa de estar acessível por quem
necessita dela. Seria o caso da perda de comunicação com um sistema importante
para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação
crítica de negócio, que apresentou uma falha devido a um erro causado por motivo
interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou
sem má intenção.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de
agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes
maliciosos, pois tentam ajudar a encontrar possíveis falhas). Os crackers são motivados
a fazer esta ilegalidade por vários motivos, dentre eles: notoriedade, autoestima,
vingança e enriquecimento ilícito. De acordo com pesquisa elaborada pelo Computer
Security Institute, mais de 70% dos ataques partem de usuários legítimos de sistemas de
informação (insiders), o que motiva corporações a investir largamente em controles de
segurança para seus ambientes corporativos (intranet).

Invasões na Internet[editar | editar código-fonte]

Todo sistema de computação necessita de um sistema para proteção de arquivos. Este
sistema é um conjunto de regras que garantem que a informação não seja lida, ou
modificada por quem não tem permissão.
A segurança é usada especificamente para referência do problema genérico do assunto,
já os mecanismos de proteção são usados para salvar as informações a serem protegidas.
A segurança é analisada de várias formas, sendo os principais problemas causados com
a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das
vezes é causada por algumas razões:
 Fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de
causas naturais;
 Erros de hardware ou de software: falhas no processamento, erros de comunicação,
ou bugs em programas;
 Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de
um disco.
Para evitar a perda destes dados é necessário manter um backup confiável, armazenado
geograficamente distante dos dados originais.
Exemplos de invasões[editar | editar código-fonte]
Em 1988, um estudante colocou na internet um programa malicioso (malware), escrito
em linguagem C, derrubando milhares de computadores pelo mundo, que foi
identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi
completamente removido da rede. Até hoje não se sabe qual era seu objetivo, o que se
sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse
programa se autocopiava em todos os computadores em que o estudante invadia. Essa
“brincadeira” não durou muito, pois o estudante foi descoberto pouco tempo depois,
processado e condenado a liberdade condicional, e teve que pagar uma alta multa.
Um dos casos mais recentes de invasão por meio de vírus foi o do worm Conficker (ou
Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do
sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro
de 2008. Uma versão anterior do malware propagou-se pela internet através de uma
vulnerabilidade dos sistemas de rede do Windows (2000, XP, Vista, Server 2003,
Server 2008, 7 Beta e Server 2008 R2 Beta, que tinha sido lançado anteriormente
naquele mês). O worm bloqueia o acesso a websites destinados à venda, protegidos com
sistemas de segurança e, portanto, é possível a qualquer usuário de internet verificar se
um computador está infectado ou não, simplesmente por meio do acesso a websites
destinados a venda de produtos dotados de sistemas de segurança.
Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para corrigir a
vulnerabilidade MS08-067, através da qual o worm prevalece-se para poder se espalhar.
As aplicações da atualização automática se aplicam somente para o Windows XP SP2,
SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas
não são mais suportados.
Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e 15
milhões. Em 13 de fevereiro de 2009, a Microsoft oferecia US$ 250mil em recompensa
para qualquer informação que levasse à condenação e à prisão de pessoas por trás da
criação e/ou distribuição do Conficker.
Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender, Enigma
Software, Eset, F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram atualizações
com programas de detecção em seus produtos e são capazes de remover o worm.
A McAfee e o AVG também são capazes de remover o vírus através de escaneamentos
de discos rígidos e mídias removíveis.
Através dessas informações históricas percebemos que os antivírus devem estar cada
vez mais atualizados, porque estão surgindo novos vírus rapidamente, e com a mesma
velocidade deve ser lançado atualizações para os bancos de dados dos antivírus para que
os mesmos sejam identificados e excluídos. Com a criação da internet essa propagação
de vírus é muito rápida e muito perigosa, pois se não houver a atualização dos antivírus
o computador e usuário estão vulneráveis, pois com a criação da internet várias
empresas começarão a utilizar internet como exemplo empresas mais precisamente
bancos, mas como é muito vulnerável esse sistema, pois existem vírus que tem a
capacidade de ler o teclado (in/out), instruções privilegiadas como os keyloggers. Com
esses vírus é possível ler a senha do usuário que acessa sua conta no banco, com isso é
mais indicado utilizar um teclado virtual para digitar as senhas ou ir diretamente ao
banco.

Nível de segurança[editar | editar código-fonte]

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de
segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a
necessitar de proteção. No nível de segurança devem ser quantificados os custos
associados aos ataques e os associados à implementação de mecanismos de proteção
para minimizar a probabilidade de ocorrência de um ataque.
Segurança física[editar | editar código-fonte]
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento,
algo que possa danificar a parte física da segurança, acesso indevido de estranhos
(controle de acesso), forma inadequada de tratamento e manuseio do veículo.
Segurança lógica[editar | editar código-fonte]
Atenta contra ameaças ocasionadas por vírus, acessos remotos à
rede, backup desatualizados, violação de senhas, furtos de identidades, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema
operacional e de aplicação. Normalmente é considerada como proteção contra ataques,
mas também significa proteção de sistemas contra erros não intencionais, como
remoção acidental de importantes arquivos de sistema ou aplicação.

Pontos de controle de segurança[editar | editar código-fonte]

[3]
Conforme Bluephoenix(2008) apud Espírito Santo(2012), após identificar os riscos,
os níveis de proteção e determinar as decorrências que os riscos podem causar, deve-se
executar os pontos de controle para reduzir riscos. Os controles podem aplicar-se na
seguinte forma:

1. Políticas de segurança da informação;

2. Organização da segurança da informação;
3. Gestão e controle de ativos;
4. Segurança em recursos humanos;
5. Segurança física e do ambiente;
6. Gestão das operações e comunicações;
7. Controle de acessos;
8. Aquisição, desenvolvimento e manutenção de sistemas de informação;
9. Gestão da continuidade do negócio;
10. Conformidade legal.

Políticas de segurança[editar | editar código-fonte]

De acordo com o RFC 2196 (The Site Security Handbook), uma política de
segurança consiste num conjunto formal de regras que devem ser seguidas pelos
utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as
áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da
direção. Deve também adaptar-se a alterações na organização. As políticas de segurança
fornecem um enquadramento para a implementação de mecanismos de segurança,
definem procedimentos de segurança adequados, processos de auditoria à segurança e
estabelecem uma base para procedimentos legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspectos
técnicos de implementação dos mecanismos de segurança, pois essa implementação
pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e
compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar
políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British
Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira).
A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por
conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança:

 a proibitiva (tudo que não é expressamente permitido é proibido) e

 a permissiva (tudo que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:

 Disponibilidade: o sistema deve estar disponível de forma que quando o usuário

necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente;
 Integridade: o sistema deve estar sempre íntegro e em condições de ser usado;
 Confidencialidade: dados privados devem ser apresentados somente aos donos dos
dados ou ao grupo por ele liberado;
 Autenticidade: o sistema deve ter condições de garantir de que a informação e/ou a
identidade dos usuários, são quem dizem ser;
 Legalidade: valor legal das informações dentro de um processo de comunicação.
Políticas de senhas[editar | editar código-fonte]
Dentre as políticas utilizadas pelas grandes corporações a composição da senha é a mais
controversa. Por um lado profissionais com dificuldade de memorizar várias senhas de
acesso, por outro funcionários displicentes que anotam a senha sob o teclado, no fundo
das gavetas e, em casos mais graves, até em post-it no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra
fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das
senhas:

 Senha com data para expiração.

Adota-se um padrão definido onde a senha possui prazo de validade de 30 ou 45
dias, obrigando o colaborador ou usuário a renovar sua senha;

 Inibir a repetição.
Adota-se através de regras predefinidas que uma senha não poderá ter mais que
60% dos caracteres utilizados nas últimas senhas. Por exemplo: caso a senha
anterior fosse “123senha”, a nova senha deve ter mais de 60% dos caracteres
diferentes, como “456seuse”, neste caso foram repetidos somente os caracteres
“s” “e” os demais diferentes;

 Obrigar a composição com número mínimo de caracteres numéricos e

alfabéticos.
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos.
Por exemplo: 1432seus ou até 1s4e3u2s ;

 Criar um conjunto com possíveis senhas que não podem ser utilizadas.
Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu
uso. Exemplos: o nome da empresa ou abreviatura, caso o funcionário chame-se
José da Silva, sua senha não deveria conter partes do nome como 1221jose ou
 1212silv etc., nem sua data de nascimento/aniversário, número de telefone, e
similares.

 Recomenda-se ainda utilizar senhas que mesclam caracteres

em cAiXa aLtA e bAiXa, além da utilização de caracteres especiais
como: @ # $ % & * ;
 Usar a técnica leet na composição das senhas, substituindo letras
por números e símbolos; [4]
 Automaticamente gerar a senha para os usuários ou deixar que eles
escolham entre um número limitado de opções exibidas.

A Gestão de riscos unida à segurança da informação[editar | editar

código-fonte]
A gestão de riscos, por sua vez, fundamental para garantir o perfeito
funcionamento de toda a estrutura tecnológica da empresa, engloba a
Segurança da Informação, já que a quantidade de vulnerabilidades e
riscos que podem comprometer as informações da empresa é cada vez
maior.
Ao englobar a gestão da segurança da informação, a gestão de riscos
tem como principais desafios:

 proteger um dos principais ativos da organização – a informação –

assim como a reputação e a marca da empresa;
 implementar e gerir controles que tenham como foco principal os
objetivos do negócio;
 promover ações corretivas e preventivas de forma eficiente;
 garantir o cumprimento de regulamentações;
 definir os processos de gestão da Segurança da Informação.
Entre as vantagens de investir na gestão de riscos voltada para a
segurança da informação estão a priorização das ações de acordo com a
necessidade e os objetivos da empresa e a utilização de métricas e
indicadores de resultados.
SEGURANÇA FÍSICA A segurança física é feita nas imediações da empresa e leva
em consideração a prevenção de danos causados por desastres locais ou
ambientais, como terremotos, inundações e incêndios. Por isso, investigar a
ocorrência de eventos climáticos passados é importante ao se planejar os métodos
de segurança física para proteção de funcionários, equipamentos, dados e do
local. Além disso, ela trata de métodos para evitar o acesso de pessoas não
autorizadas a áreas em que se encontram dados e informações críticas da empresa.
Uma forma de fazer isso é implantar recursos de identificação de funcionários,
como o uso de crachás, senhas e cadastro de digitais. Para ter uma boa
segurança física é importante controlar a entrada e saída de equipamentos,
materiais e pessoas da empresa por meio de registros de data, horário e
responsável. Quando há a entrada de visitantes na empresa, eles não devem andar
sozinhos, o ideal é que sejam acompanhados por algum funcionário até o local de
destino e registrados no sistema. Outro tipo de reforço para a segurança local é
usar mecanismos, como fechaduras eletrônicas, câmeras e alarmes, para
controlarem o acesso aos ambientes que guardam backups e computadores com
dados confidenciais. Para desenvolver uma boa segurança física é preciso analisar
qual é o perfil da empresa, o tipo de proteção necessária, os investimentos possíveis
e definir uma política de controle de acesso físico que se encaixe ao modelo de
negócio. SEGURANÇA LÓGICA Esse tipo de proteção controla o acesso a
aplicativos, dados, sistemas operacionais, senhas e arquivos de log por meio de
firewalls de hardwares e softwares, criptografia, antivírus e outras aplicações
contra hackers e possíveis invasões às fontes internas da empresa. A segurança
lógica permite que o acesso seja baseado nas necessidades específicas de cada
usuário para realizar suas tarefas, fazendo a identificação por meio de senha e
login. Assim, nenhum funcionário poderá executar funções que não sejam de seu
cargo. Para aprimorar esses mecanismos, é importante sempre manter sistemas e
protocolos operacionais atualizados. A proteção da informação vem sendo um
grande desafio para as empresas, devido às diversas ameaças existentes que podem
trazer grandes prejuízos. Por isso, para se ter uma proteção eficaz dos dados, é
importante ter uma equipe de TI bem treinada e atualizada com as novas
tecnologias de segurança da informação que surgem a cada dia e encontram novas
soluções de segurança. Os riscos que uma empresa corre por não ter uma boa
estrutura de segurança lógica são muitos, como acesso de terceiros a informações
sigilosas, perdas de dados, falhas na rede causada por fraudes, entre outros. Os
principais riscos à segurança da informação são: a perda de confidencialidade, que
acontece quando há quebra de sigilo e informações restritas apenas a
determinados funcionários são vazadas; a perda de integridade, que significa que
uma pessoa não autorizada consegue ter acesso e modificar algum dado
importante e a perda de disponibilidade, quando pessoas autorizadas passam a não
conseguir acessar uma aplicação que necessitam. CONVERGÊNCIA ENTRE
SEGURANÇA FÍSICA E LÓGICA Ainda é comum que as empresas tratem desses
assuntos separadamente, porém, com a convergência dos dois departamentos,
algumas ameaças podem ser identificadas e controladas de forma mais rápida.
Além de diminuir os riscos de segurança, ajuda a economizar tempo e dinheiro. A
integração também ajuda nas auditorias, já que torna-se possível ter acesso ao
controle de todas as atividades que aconteceram na empresa, melhorando as
investigações e o rastreamento de possíveis problemas. Esses dois departamentos
trabalham pelo mesmo objetivo, ainda que de formas diferentes. Por isso, realizar
sua convergência é reconhecer a importância de todos os seus componentes
trabalharem juntos para se chegar a soluções necessárias à segurança. Quando isso
acontece, a comunicação entre departamentos diferentes melhora e é possível que
mais funcionários participem da tomada de decisão. Categoria(s): Segurança
VICTOR ANTONIO IZQUIERDO 30/10/2017 20:43:15 A segurança
administrativa não é considerada neste artigo. Entendemos que a segurança de TI
tem três vertentes, quais sejam: a lógica, a física e a administrativa se envolve com
os aspectos relativos à guarda e controle dos manuais de sistemas e de
procedimentos manuais da área de TI e das áreas cliente, da definição dos níveis de
acesso, da gestão de contratos, da gestão de terceirizados, da gestão dos recursos de
hw e de suporte (ar condicionado, energia elétrica, servidores e de micro
computadores, impressoras e demais equipamentos de comunicação), a definição,
em conjunto com as outras áreas envolvidas, das especificações para compra de
hw, sw e de suprimentos, e outras atividades). Quanto à convergência de
atividades, entendemos que o âmbito da mesma envolve outras áreas ou atividades
como p.ex. combate ao fogo, a medicina e a segurança do trabalho (acidentes e
doenças relacionadas ao trabalho podem afetar a performance da área de TI) e por
aí vai ... convergência não significa a criação de uma unidade organizacional
multidisciplinar centralizadora, mas uma coordenação centralizada não em uma
outra unidade organizacional, mas num outro tipo de entidade organizacional.
Classificação da informação
A Classificação da Informação ajuda a definir níveis e critérios adequados de proteção
das informações, garantindo a confidencialidade, conforme a importância de
determinada informação para a organização.
As informações tanto em meio físico quanto eletrônico, possuem necessidades de
proteção quanto a confidencialidade, integridade e disponibilidade, bem como quaisquer
outros requisitos que sejam necessários. Em geral, a classificação dada à informação é
uma maneira de determinar como esta informação vai ser tratada e protegida durante
todo o seu ciclo de vida.
As informações devem ser separadas em categorias de valor, e estas categorias podem
referenciar a sensibilidade, que diz respeito a quem pode ter contato com cada grupo de
informações e ou a criticidade das informações, que diz respeito a importância e
necessidade de existência ou não da informação. As categorias mais comuns para
classificação das informações, no que diz respeito à sensibilidade estão relacionadas à
comunidade que pode ter contato com a informação, isto é, Informação Pública,
Informação Interna, Informação Sigilosa ou Confidencial, Informação Restrita ou
Secreta entre outras categorias e agrupamentos. O que muda de uma categoria para
outra na classificação de sensibilidade é a quantidade de pessoas e os aspectos e
interesses em comum que estas pessoas possuem e que determinam a que grupo
pertencerão para acessar a informação. No caso das categorias de classificação por
criticidade, a informação é segregada pela importância e perenidade que necessita ter
para que continue com seu valor ou para que gere valor. As categorias mais comuns de
criticidade são: Informação Comum, Informação Dispensável, Informação Importante,
Informação Crítica, Informação Vital e outras nomenclaturas e agrupamentos com a
mesma característica. Um documento, tal como uma Lei de uma nação ou a Política de
uma organização, embora possam ter a classificação de criticidade definida como Vital,
isto é precisam ser mantidas vigentes, válidas e integras enquanto durar o assunto que
regulamentam, recebem a classificação de Pública, isto é devem ser disponibilizadas à
toda comunidade que se relaciona com esta nação ou com esta organização, uma vez
que o verdadeiro valor desta informação é sua existência e validade e não quem pode ou
não conhecê-la.
Classificação da Informação de acordo com a ISO 27001

A classificação da informação é certamente uma das partes mais atrativas da gestão da

segurança da informação, mas ao mesmo tempo, uma das mais mal entendidas. Isto
provavelmente se deve ao fato de que historicamente, a classificação da informação foi
o primeiro elemento da segurança da informação a ser gerenciado – muito antes do
primeiro computador ser construído, governos, militares, e também corporações,
rotularam suas informações como confidencial. Contudo, o processo sobre como isso
funcionava permaneceu de certa forma um mistério.

Assim, neste artigo apresentarei a vocês uma visão geral sobre como a classificação da
informação funciona, e como torná-la conforme com a ISO 27001, a principal norma de
segurança da informação. Embora a classificação possa ser feita de acordo com outro
critério, vou falar sobre classificação em termos de confidencialidade, porque este é o
tipo mais comum de classificação da informação.
O processo em quatro etapas para gerenciar informações classificadas
A boa prática diz que a classificação deveria ser feita de acordo com o o seguinte
processo:

Isto significa que: (1) a informação deveria ser inserida em um Inventário de Ativos
(controle A.8.1.1 da ISO 27001), (2) ela deveria ser classificada (A.8.2.1), (3) então ela
deveria ser rotulada (A.8.2.2), e finalmente (4) ela deveria ser manuseada de forma
segura (A.8.2.3).
Em muitos casos, organizações irão desenvolver uma Política de Classificação da
Informação, a qual deveria descrever todas estas quatro etapas – veja o texto abaixo
para cada uma destas etapas.
Inventário de ativos (Registro de ativo)
O propósito em se desenvolver um inventário de ativos é para que você saiba quais
informações classificadas você tem em sua posse, e quem é responsável por elas (i.e.,
que é o proprietário).

Informação classificada pode estar em diferentes formatos e tipos de mídia, como por
exemplo:
 documentos eletrônicos
 sistemas de informação / bases de dados
 documentos em papel
 mídias de armazenamento (ex.: discos, cartões de memória, etc.)
 informação transmitida verbalmente
 email
Classificação da informação
A ISO 27001 não prescreve os níveis de classificação – isto é algo que você deveria
desenvolver por conta própria, baseado no que é mais comum em seu país ou indústria.
Quanto maior e mais complexa sua organização, mais níveis de confidencialidade você
terá – por exemplo, para organizações de médio porte você pode utilizar este tipo de
níveis de classificação da informação, com três níveis de confidencialidade e um nível
público:
 Confidencial (o mais alto nível de confidencialidade)
 Restrita (médio nível de confidencialidade)
 Uso interno (o mais baixo nível de confidencialidade)
 Pública (todos podem ver a informação)
Em muitos casos, o proprietário do ativo é o responsável por classificar a informação –
e isto é usualmente feito com base nos resultados da análise/avaliação de riscos: quanto
maior o valor da informação (quanto maiores as consequências de uma quebra da
confidencialidade), maior deveria ser o nível de classificação. (Veja também Avaliação
e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)
Muito frequentemente, uma organização pode ter dois esquemas de classificação
diferentes implantados no caso de trabalhar tanto como o setor governamental quanto
com o privado. Por exemplo, a OTAN requer a seguinte classificação com quatro níveis
de confidencialidade e dois níveis públicos:
 Cósmico Altamente secreto (Cosmic Top Secret)
 OTAN Secreto (NATO Secret)
 OTAN Confidencial (NATO Confidential)
 OTAN Restrito (NATO Restricted)
 OTAN Não Classificado (direito autoral) (NATO Unclassified (copyright))
 INFORMAÇÃO NÃO SENSÍVEL LIBERÁVEL PARA O PÚBLICO (NON
SENSITIVE INFORMATION RELEASABLE TO THE PUBLIC)
Rotulagem da informação
Uma vez que você tenha classificado a informação, você precisará rotulá-la
apropriadamente – você deveria desenvolver orientações para cada tipo de ativo de
informação sobre como ele precisa ser rotulado – novamente, a ISO 27001 não é
prescritiva aqui, então você deve desenvolver suas próprias regras.

Por exemplo, você poderia definir as regras para documentos em papel de tal forma que
o nível de confidencialidade seja indicado no canto superior direito de cada página do
documento, e que a classificação também seja indicada na capa ou no envelope que
transporta tal documento, assim como na pasta onde o documento é armazenado.

A rotulagem da informação geralmente é responsabilidade do proprietário da

informação.
Manuseio de ativos
Esta é usualmente a parte mais complexa do processo de classificação – você deveria
desenvolver regras sobre como proteger cada tipo de ativo dependendo do nível de
confidencialidade. Por exemplo, você poderia usar uma tabela na qual você deve definir
as regras para cada nível de confidencialidade para cada tipo de mídia, por exemplo:

Desta forma nesta tabela, você pode definir que documentos em papel classificado
como Restrito deveriam ser trancados em um armário, documentos podem ser
transferidos dentro e fora da organização apenas em um envelope fechado, e no caso de
ser enviado para fora da organização, o documento deve ser enviado como entrega
registrada.

Como mencionado antes, a ISO 27001 permite a você definir suas próprias regras, e
elas são geralmente definidas na política de classificação da informação, ou nos
procedimentos de classificação.

Assim, como você pode ver, o processo de classificação pode ser complexo, mas ele
não tem que ser incompreensível – a ISO 27001 na verdade dá a você uma grande
liberdade, e você definitivamente deveria aproveitar esta vantagem: faça o processo
adaptado as suas necessidades especiais, mas também seguros o bastante de forma que
você possa assegurar que informações sensíveis estejam protegidas.

Clique aqui para ver uma amostra gratuita da Política de classificação da informação.
Nós agradecemos a Rhand Leal pela tradução para o português.
Uma Rede Particular Virtual (Virtual Private Network – VPN), como o próprio nome
sugere, é uma forma de conectar dois computadores utilizando uma rede pública, como
a Internet (a rede pública mais utilizada para este propósito). Para ajudar a entender
melhor, pense em uma empresa que precisa interligar duas de suas filiais. Existem
algumas alternativas para solucionar o problema:

1. Comprar equipamentos wireless e conectar as filiais por meio de um link de

rádio.
2. Conectar as duas por meio de um cabo de rede, o que pode ser totalmente
inviável dependendo da distância entre estas.
3. Pagar uma linha privada (LP) para que as filiais possam se comunicar.
4. Utilizar uma VPN

Estes são os quatro recursos mais utilizados por empresas, mas alguns deles podem se
tornar financeira ou geograficamente inviáveis, como é o caso dos itens 1, 2 e 3. A
melhor solução, na maioria dos casos, acaba sendo a VPN, pois seu custo é pequeno se
comparado as outras opções.

Segurança e privacidade

Como a Internet é uma rede pública, é preciso criar alguns mecanismos de segurança
para que as informações trocadas entre os computadores de uma VPN não possam ser
lidas por outras pessoas. A proteção mais utilizada é a criptografia, pois essa garante
que os dados transmitidos por um dos computadores da rede sejam os mesmo que as
demais máquinas irão receber.

Depois de criptografados, os dados são então encapsulados e transmitidos pela Internet,

utilizando o protocolo de tunelamento, até encontrar seu destino.

Falando em tunelamento...

Quando se fala em VPNs, a palavra tunelamento se faz muito presente. O tunelamento

consiste em criar um túnel (sugestivo, não?!) para que os dados possam ser enviados
sem que outros usuários tenham acesso. A idéia é a mesma de um túnel rodoviário: uma
entrada, uma saída e, quem está do lado de fora, não consegue ver quem está passando
pelo interior.

Como funciona

Para criar uma rede VPN não é preciso mais do que dois (ou mais) computadores
conectados à Internet e um programa de VPN instalado em cada máquina. O processo
para o envio dos dados é o seguinte:

1º - Os dados são criptografados e encapsulados.

2º - Algumas informações extras, como o número de IP da máquina remetente, são

adicionadas aos dados que serão enviados para que o computador receptor possa
identificar quem mandou o pacote de dados.

3º - O pacote contendo todos os dados é enviado através do “túnel” criado até o

computador de destino.
4º - A máquina receptora irá identificar o computador remetente através das
informações anexadas ao pacote de dados.

5º - Os dados são recebidos e desencapsulados.

6º - Finalmente os dados são descriptografados e armazenados no computador de

destino.

Utilização

As redes VPN são muito utilizadas por grandes empresas, principalmente aquelas em
que os funcionários viajam com freqüência ou trabalham em casa, por exemplo. Mas
nada impede que usuários comuns, no seu dia-a-dia, utilizem as redes privadas virtuais.

No entanto, se o tempo de transmissão dos dados é crucial para a empresa ou para o

usuário, este tipo de rede pode não ser o mais indicado, pois elas dependem diretamente
da velocidade da Internet disponível, o que pode acarretar em atrasos e problemas sobre
os quais o técnico ou usuários não terá controle algum.

Conclusão

Para a implementação de redes virtuais privadas é preciso ter um bom domínio do

conteúdo de redes como: protocolos, IPs, máscaras de rede, gateways, etc. Além disso, é
preciso muito estudo e uma análise criteriosa no que diz respeito à segurança, custos e
facilidades que o serviço trará para a empresa.

Mas talvez o mais importante, principalmente se tratando de empresas, seja o

desempenho oferecido pelo serviço de redes VPN, uma vez que a transmissão de dados
por essas redes normalmente são mais lentos e requer uma Internet razoavelmente
rápida.
Virtual private network
Origem: Wikipédia, a enciclopédia livre.

Visão geral da conectividade VPN

Rede privada virtual, do inglês Virtual Private Network (VPN), é uma rede de
comunicações privada construída sobre uma rede de comunicações pública (como por
exemplo, a Internet). O tráfego de dados é levado pela rede pública
utilizando protocolos padrões, não necessariamente seguros. Em resumo, cria uma
conexão segura e criptografada, que pode ser considerada como um túnel, entre o seu
computador e um servidor operado pelo serviço VPN.[1]
Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou
compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os
dados trafegados. VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem a confidencialidade, autenticação e integridade necessárias para garantir a
privacidade das comunicações requeridas. Alguns desses protocolos que são
normalmente aplicados em uma VPN estão: Layer 2 Tunneling Protocol
(L2TP), L2F, Point-to-Point Tunneling Protocol (PPTP) e o IP Security Protocol
(IPsec). Quando adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.
Deve ser notado que a escolha, implementação e uso destes protocolos não é algo
trivial, e várias soluções de VPN inseguras podem ser encontradas no mercado.
Adverte-se os usuários para que investiguem com cuidado os produtos que fornecem
VPNs.
Para se configurar uma VPN, é preciso utilizar serviços de acesso remoto, tal como
o Remote Access Service (RAS), encontrado no Microsoft Windows 2000 e em versões
posteriores, ou o Secure Shell (SSH), encontrado nos sistemas GNU/Linux e outras
variantes do Unix.

Funcionamento[editar | editar código-fonte]

Quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo,
exemplo IPsec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede
local e adiciona o cabeçalho IP da Internet atribuída ao roteador, um cabeçalho AH
(cabeçalho de autenticação) e o cabeçalho ESP (cabeçalho que provê integridade,
autenticidade e criptografia à área de dados do pacote).
Quando esses dados encapsulados chegam à outra extremidade, é feito o
desencapsulamento do IPsec e os dados são encaminhados ao referido destino da rede
local.

Segurança[editar | editar código-fonte]

Quando adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras. VPNs são usadas para conectar de
forma segura filiais de uma organização separadas geograficamente, criando uma rede
coesiva. diversas empresas interligam suas bases operacionais através de um VPN na
internet. Usuários individuais de Internet também se beneficiam da VPN para prover
segurança em conexões sem fio, para contornar geo-restrições e censura, ou para se
conectar a servidores proxycom a finalidade de proteger a identidade e localização
pessoal. No entanto, alguns sites da Internet bloqueiam o acesso à conhecidas
tecnologias VPN para evitar a evasão de suas geo-restrições.
Um sistema de comunicação por VPN tem um custo de implementação e manutenção
insignificantes, se comparados aos antigos sistemas de comunicação física, como
o frame relay, por exemplo - que tem um custo exorbitante e segurança muito duvidosa.
Por este motivo, muitos sistemas de comunicação estão sendo substituídos por uma
VPN que, além do baixo custo, oferece também uma alta confiabilidade, integridade e
disponibilidade dos dados trafegados.

Intranet VPN[editar | editar código-fonte]

Uma intranet VPN é uma VPN que liga os escritórios regionais e remotos à rede
interna da matriz através de uma infraestrutura compartilhada com a utilização de
conexões dedicadas. Uma Intranet VPN difere da extranet VPN dado que só permite o
acesso aos funcionários da empresa.

Extranet VPN[editar | editar código-fonte]

Uma extranet VPN é uma VPN que liga os associados empresariais à rede da matriz
através de uma infraestrutura compartilhada com a utilização de conexões dedicadas.
Uma extranet VPN difere da intranet VPN dado que só permitem o acesso aos usuários
externos à empresa.

Suporte remoto[editar | editar código-fonte]

Ver artigo principal: Suporte remoto
Remote Access VPN é o nome dado a uma rede privada virtual (VPN) que pode ser
acessada remotamente através de um provedor de acesso. Esta tecnologia permite o
acesso à Intranet ou Extranet de uma empresa, por funcionários localizados
remotamente, através de uma infraestrutura compartilhada. Uma Remote Access
VPN pode utilizar tecnologias analógicas, de discagem (linha
discada), ISDN, DSL (Digital Subscriber Line), IP móvel e de cabo, para fazer a
conexão segura dos usuários móveis, telecomputadores e filiais
Sistema de detecção de intrusos
Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de
intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos
de descobrir em uma rede acessos não autorizados que podem indicar a ação de
um cracker ou até mesmo de funcionários mal intencionados.
Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços
quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema
de detecção de intrusos. Esse fato está intimamente ligado não somente à velocidade
com que as tecnologias avançam, mas principalmente com a complexidade dos meios
que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego
de forma individual em uma rede. No host-based o IDS é instalado em um servidor para
alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
Segue abaixo uma breve discussão de como algumas tecnologias podem dificultar a
utilização de sistemas de detecção de intrusos.

SSL, IPSec e outros[editar | editar código-fonte]

IDS baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados
dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que
podem prejudicar a performance da rede. A implantação de criptografia (implementada
via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança
prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na
área de dados do pacote ou até mesmo no pacote inteiro, impedindo e ou dificultando o
entendimento dos dados por entidades que não sejam o seu real destinatário.
Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte
e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes. Sistemas
IDS não terão como identificar através do conteúdo dos pacotes ataques para terminar
as conexões ou até mesmo interagir com um firewall.
Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP que é
bastante utilizada em soluções de VPN. Existem dois modos de funcionamento, o modo
transporte e o modo túnel, descritos na RFC2401 de Kent, Atkinson (1998).
No modo de transporte o IPSec é similar ao SSL, protegendo ou autenticando somente a
área de dados do pacote IP; já no modo túnel o pacote IP inteiro é criptografado e
encapsulado. Como pode ser notado no modo transporte um IDS pode verificar somente
o cabeçalho do pacote, enquanto o modo túnel nem o cabeçalho e nem a área de dados.

IDS em redes com switches[editar | editar código-fonte]

A implementação de IDSs em redes comutadas (no caso baseadas em switching)
permitem a comunicação direta, não compartilhada entre dois dispositivos. Essa
característica introduz algumas dificuldades para a implementação de IDSs se
comparada as redes com transmissão por difusão.
Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a
difusão) torna-se preciso, na implantação de IDSs, algumas soluções específicas.
O uso de Port Span consiste na utilização de switches com IDS embutidos. A decisão
de sua utilização deve ser discutida antes da compra dos concentradores de rede
(switches).
O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma
"escuta" posicionada entre um switch e um equipamento de rede que se deseja
monitorar. Um meio bastante barato de se fazer isso (Ethernet e Fast Ethernet) é a
colocação de um concentrador de rede por difusão (hub) na conexão que se deseja
vistoriar. No caso de fibras ópticas basta adicionar um dispositivo chamado optical tap.
O uso de Port Mirror consiste em fazer no switch o espelhamento do tráfego de uma
única porta para outra usada para o monitoramento. Esse método é semelhante ao wire
tapporem é implantando no próprio switch.

IDS em redes de alta velocidade[editar | editar código-fonte]

A evolução tecnológica tem também permitido que um maior número de redes possuam
altas velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS
isso se torna um ponto bastante delicado que traz questões importantes na manutenção
da infra estrutura de redes, destacando-se: os softwares IDS conseguirão analisar toda a
grande quantidade de dados que trafegam na rede? O hardware de monitoramento
suportará tamanho tráfego? Os IDS não irão prejudicar a performance da rede se
tornando um gargalo?.
Essas, e outras questões, têm sido bastante discutidas, gerando várias soluções para
contornar esses problemas ou problemas em potencial. Destacando-se:

 Aumentar o poder de processamento dos equipamentos

 Monitoramento utilizando-se target IDS definidas pelo administrador
 Direcionamento de tráfego, Toplayer
 Recursos de filtragem dos IDS
 Segregação de IDS por serviço (IDS especialista)

Para que serve:

O Sistema de Detecção de Intrusão pode ser utilizado em ambientes corporativos, assim

como em redes locais, dependendo de seu modelo empregado. Basicamente tem-se um
modelo baseado em host e outro baseado em rede. Sua funcionalidade principal é servir
como uma segunda linha de defesa à invasão, agindo posteriormente à constatação da
intrusão no sistema. Sistemas neste caso pode ser a rede, um servidor ou um
computador pessoal analisando as atividades da rede ou do computador em questão.

Em que situação o tema é útil:

Registros de invasões são notados diariamente aos milhares por toda a Internet, assim
como em redes locais cabeadas ou sem fio. Com a constância no crescimento e na
dependência dos ambientes computacionais de produção, das mais diversas áreas, pela
interligação de sistemas e acesso/armazenamento de dados de forma segura, é
necessário agir de forma a evitar a invasão de intrusos à rede. Porém, esta premissa
pode nem sempre ser verdadeira, o que faz do Sistema de Detecção de Intrusão uma
importante ferramenta no auxílio ao escopo de segurança da rede como um todo, uma
vez que age após a constatação de uma provável invasão. É preciso pensar na segurança.

Autores: Edelberto Franco Silva e Eduardo Pagani Julio

Este artigo abordará os conceitos e aplicações do Sistema de Detecção de Intrusão (IDS)
a fim de que, ao final, o leitor tenha a capacidade de visualizar como este mecanismo de
segurança funciona, além de como preparar um ambiente integrado de detecção de
intrusão. Mecanismos de segurança são cada vez mais necessários na busca para que se
tenha confiabilidade, disponibilidade e integridade em ambientes computacionais e é
exatamente este o ponto em que o IDS vem a colaborar. Serão apresentados os modelos
de IDS, suas principais funcionalidades e sua finalidade. Ao final será abordada uma
ferramenta de IDS assim como sua aplicação em um ambiente real. Para a instalação do
IDS, o sistema operacional escolhido é o Linux, porém não se faz necessário que sejam
monitorados somente ambientes com este mesmo sistema operacional, uma vez que será
demonstrada a interoperabilidade do IDS escolhido por meio de um padrão proposto de
formato de mensagens e alertas. Os principais fatores que levaram à escolha deste
Sistema Operacional para testes partem desde sua atenção à segurança do ambiente
operacional como um todo, assim como a existência de inúmeras ferramentas voltadas a
este fim; além de apresentar várias distribuições gratuitas o Linux é open source, ou
seja, seu código-fonte é aberto, acessível e pode ser modificado pelo usuário
(experiente). A ferramenta de IDS a ser apresentada neste artigo é o Prelude-IDS. Cada
componente será detalhado, assim como os sensores de terceiros disponíveis e suas
maiores virtudes.

Sistema de Detecção de Intrusão

Normalmente o que encontramos são mecanismos que tentam impedir o acesso

indevido ao sistema. Mas quando o sistema se encontra comprometido por algum
motivo, seja uma sessão ativa esquecida por um usuário, uma falha de segurança de um
software desatualizado instalado no servidor que gerencia toda a rede, ou em um dos
computadores da rede participantes da rede local. Neste momento nos deparamos com
uma intrusão, e é aí que se faz necessária a utilização de um mecanismo que identifique
e alerte ou responda à atividade maliciosa em questão.

O Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) pode ser definido
como um sistema automatizado de segurança e defesa detectando atividades hostis em
uma rede ou em um computador (host ou nó). Além disso, o IDS tenta impedir tais
atividades maliciosas ou reporta ao administrador de redes responsável pelo ambiente.
Trata-se de um mecanismo de segunda linha de defesa. Isto quer dizer que, somente
quando há evidências de uma intrusão/ataque é que seus mecanismos são utilizados. A
primeira linha defensiva é aquela que tentará limitar ou impedir o acesso ao ambiente, o
que pode ser, por exemplo, um firewall. O IDS pode apresentar uma forma de resposta a
algum tipo de ataque, trabalhando em conjunto com a primeira linha de defesa, por
exemplo, incluindo regras no firewall ou bloqueando a sessão em questão. Pode ainda
reportar as atividades maliciosas constatadas aos outros nós da rede.

O que é IDS e como funciona

Conforme os conceitos descritos em um dos artigos-base sobre IDS (ver referências ao

final), podemos conceituar a detecção de intrusão como um processo de monitoramento
de eventos que ocorrem em um sistema de computação ou em uma rede e tem o intuito
de analisar possíveis incidentes, possíveis violações ou iminências de violações às
regras de segurança deste ambiente. Incidentes podem ter várias causas, desde a ação
de malwares (worms, spywares etc.) até ataques que visam o ganho não autorizado do
ambiente em questão.

A utilização de IDS como sistema de prevenção pode envolver desde alertas ao

administrador da rede e exames preventivos até a obstrução de uma conexão suspeita.
Ou seja, o processo de detecção de intrusão é o de identificar e responder de maneira
preventiva atividades suspeitas que possam interferir nos princípios da integridade,
confiabilidade e disponibilidade. Além disso, as ferramentas de IDS são capazes de
distinguir de onde se originaram os ataques, de dentro ou fora da rede em questão. Os
IDS geralmente analisam arquivos locais em busca de rastros de tentativas mal-
sucedidas de conexão à máquina, ou até mesmo nas camadas do modelo de pilha
TCP/IP abaixo da camada de aplicação, como por exemplo, alterações nos campos do
cabeçalho do protocolo IP.

Considerações sobre IDS:

• Não é um software antivírus projetado para detectar softwares maliciosos tais como
vírus, trojans, e outros;

• Não é usado como um sistema de registro de rede, por exemplo, para detectar total
vulnerabilidade gerada por ataques DoS (Denial-of-Service) que venham a congestionar
a rede. Para isso são usados sistemas de monitoramento de tráfego de rede;

• Não é uma ferramenta de avaliação de vulnerabilidades, verificando erros e falhas de

sistema operacional e serviços de rede. Tal atividade é de ordem dos scanners de
segurança que varrem a rede em busca destas mesmas falhas.

Em um modelo básico de IDS é possível incluir alguns elementos. Primeiramente, as

decisões provenientes do IDS são baseadas sob a coleta de dados realizada. As fontes de
dados podem incluir desde entradas pelo teclado, registros de comandos básicos a
registros de aplicações. As decisões somente são tomadas quando se tem uma
quantidade significativa de dados em sua base que confirmam a maliciosidade daquele
computador. Os dados são armazenados por tempo indefinido (que podem ser apagados
posteriormente), para mais tarde servirem de referência, ou então temporariamente,
esperando o processamento. Os dados coletados com informações iguais (considerados,
portanto, elementos homogêneos), são cruciais para o trabalho do IDS. Um ou mais
algoritmos são executados, procurando evidências para que se tomem rapidamente
decisões contra as atividades suspeitas.

Geralmente os IDS são controlados por configurações que especificam todas suas ações.
Estas configurações ditam onde os dados serão coletados para análise, assim como qual
resposta será resultado para cada tipo de intrusão. O melhor ajuste de configurações
ajuda a definir uma maior proteção ao ambiente, porém, o contrário, provavelmente,
será prejudicial. O IDS gera um alarme, é ele o responsável por todo o tipo de saída,
desde respostas automáticas, alerta de atividades suspeitas ao administrador e
notificação ao usuário.

É interessante que se tenha em mente o fato dos alertas não serem conclusivos ou que
possa haver existência de erros tanto de análise como de configuração, o que pode gerar
os chamados falsos positivos, que são alertas, ou ações, em resposta a evidências
encontradas pelo IDS, porém de forma equivocada. A mesma frágil configuração pode
gerar falsos negativos, que se conceitua pela falta de alerta ou decisão para um ataque
real. Busca-se sempre que o IDS tenha o menor número de falsos positivos e falsos
negativos quanto possível.

Tipos de IDS

A detecção de intrusão pode ser classificada em três categorias: detecção por assinatura
ou mau uso (Misuse Detection), detecção por anomalia (Anomaly Detection) e detecção
baseada em especificação (Specification-based Detection). A seguir serão explicadas de
forma mais detalhada cada uma destas categorias.
Detecção por assinatura

Detectores deste tipo analisam as atividades do sistema procurando por eventos ou

conjuntos de eventos que correspondam a padrões pré-definidos de ataques e outras
atividades maliciosas. Estes padrões são conhecidos como assinaturas. Geralmente cada
assinatura corresponde a um ataque ou outra atividade específica. É natural e simples
pensar em um exemplo típico deste tipo de evidência, onde o atacante tenta se logar no
sistema por meio de um acesso remoto, por exemplo o SSH (Secure Shell), e erra a
senha por mais de três vezes. Por meio de uma assinatura encontrada
nos logs (registros) do sistema, ou seja, a linha correspondente ao erro de autenticação,
é então emitido ao administrador um alerta e bloqueado o acesso do atacante, conforme
a configuração do IDS realizada pelo administrador.

A seguir listamos as vantagens e desvantagens da utilização deste tipo de detecção.

Vantagens da detecção baseada em assinaturas:

• São muito eficientes na detecção (comparando-se com a detecção baseada em

anomalias) sem gerar grande número de alarmes falsos;

• Podem diagnosticar o uso de uma ferramenta ou técnica específica de ataque.

Desvantagens da detecção baseada em assinaturas:

• Estes tipos de detectores somente podem detectar ataques conhecidos, ou seja, que
estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de
constante atualização deste conjunto (assim como os antivírus);

• A maioria destes detectores possui assinaturas muito específicas, não detectando dessa
forma as variantes de um mesmo ataque.

Detecção por anomalia

Detectores baseados em anomalias identificam comportamentos não usuais (anomalias)

em um computador ou na rede. Eles funcionam a partir do pressuposto que ataques são
diferentes da atividade normal e assim podem ser detectados por sistemas que
identificam estas diferenças. Este tipo de detecção constrói um perfil que representa o
comportamento normal de usuário, nós e conexões de rede. Este perfil é construído a
partir de dados coletados em um período de operação considerado normal, geralmente
sob a supervisão do administrador da rede em questão. Estes detectores monitoram a
rede e usam uma variedade de medidas para determinar quando os dados monitorados
estão fora do normal, ou seja, desviando do perfil.

Um exemplo clássico a este tipo de detecção é quando um usuário específico utiliza

sempre o acesso à Internet durante certo período do dia, no horário comercial, por
exemplo. Imaginemos que este usuário é um gerente da empresa que está sendo
monitorada pelo IDS baseado em anomalias. Este IDS passou toda uma semana criando
o perfil deste usuário e, a partir do último dia daquela semana, emprega seu perfil como
mandatário ao horário permitido de utilização da Internet. Certo dia, após a detecção
estar ativa, o gerente deseja utilizar o acesso à Internet durante a madrugada para
entregar um relatório de última hora, nada usual conforme o perfil criado. A resposta a
esta detecção realizada pelo IDS baseado em anomalia é o bloqueio do acesso à Internet
para aquele usuário/terminal, que poderia ser uma verdade se não houvesse esta
exceção, porém foi tratada na verdade como um falso positivo.
Infelizmente, este tipo de detecção geralmente produzirá um grande número de alarmes
falsos, pois o comportamento de usuários e sistemas pode variar amplamente. Apesar
desta desvantagem, pesquisadores afirmam que a detecção baseada em anomalias pode
identificar novas formas de ataques, coisa que a detecção baseada em assinatura não
pode fazer. Além disso, algumas formas de detecção baseadas em anomalias produzem
uma saída que pode ser usada como fonte de informações para detectores baseados em
assinaturas. Por exemplo, um detector baseado em anomalias pode gerar um número
que representa a quantidade normal de arquivos acessados por um usuário particular,
com isso um detector baseado em assinaturas pode possuir uma assinatura que gera um
alarme quando esse número excede 10%, por exemplo.

Ainda que alguns IDSs comerciais incluam formas limitadas de detecção de anomalias,
poucos, se nenhum, confiam somente nesta tecnologia. As detecções de anomalias
existentes em sistemas comerciais geralmente giram em torno da detecção de scans de
rede ou portas. Entretanto, a detecção por anomalias continua na área de pesquisa e
pode se tornar muito importante para a o desenvolvimento de IDSs no futuro de forma
cada vez mais robusta.

A seguir são listadas as vantagens e desvantagens da utilização da detecção por

anomalia.

Vantagens da detecção por anomalias:

• Detecta comportamentos não usuais, logo possui a capacidade de detectar sintomas de

ataques sem um conhecimento prévio deles;

• Produz informações que podem ser usadas na definição de assinaturas para detectores
baseados em assinaturas.

Desvantagens da detecção por anomalias:

• Geralmente produz um grande número de alarmes falsos devido ao comportamento

imprevisível de usuários e sistemas;

• Requer muitas sessões para coleta de amostra de dados do sistema, de modo a

caracterizar os padrões de comportamento normais.

Detecção baseada em especificação

Define um modelo muito mais complexo que os anteriores, já que sua análise pode ser
realizada nas camadas abaixo da camada de aplicação da pilha de protocolos da Internet
ou no nível de controle do sistema operacional. Ela se restringe à operação correta de
um programa ou protocolo, e monitora a execução do programa com respeito à
definição estipulada. Essa técnica pode fornecer a descoberta de ataques previamente
desconhecidos, com isso potencializando sua atividade, além de apresentar taxas muito
baixas de falsos positivos. Este modelo de detecção não é tão amplamente divulgado
como os demais citados neste artigo especialmente por sua maior complexidade de
desenvolvimento e restrição à aplicação que se destina, uma vez que ele visa, por
exemplo, uma única aplicação.

Pode-se pensar em um exemplo para este modelo de detecção onde será realizada uma
pré-análise das chamadas de um servidor de FTP ao núcleo do sistema operacional.
Todas as chamadas e principalmente as consideradas críticas ao sistema são analisadas a
fim de se observar possíveis alterações posteriores com objetivos maliciosos. Este tipo
de detecção é considerada de mais baixo nível do que as demais citadas neste artigo, o
que também demonstra um conhecimento muito mais profundo das ações realizadas
pelo programa a ser analisado assim como do sistema operacional e das funções de rede.

IDS baseado em rede

Este tipo de IDS tem por objetivo detectar ataques pela análise dos pacotes que trafegam
pela rede através de uma escuta em um segmento de rede (como um sniffer- farejador de
pacotes). Com isso, um IDS tem a capacidade de monitorar o tráfego de todos os nós
que estão conectados neste segmento, protegendo-os.

IDSs baseados em rede (Network Intrusion Detection System - NIDS) geralmente

consistem de um conjunto de sensores colocados em vários pontos da rede que
monitoram o tráfego, realizando uma análise local do mesmo e relatando ataques a um
console central de gerenciamento. Como os sensores são limitados a executarem
somente o IDS, eles podem ser mais facilmente protegidos contra ataques.

Este tipo de IDS garante que, com poucos IDSs instalados, mas bem posicionados, pode
se monitorar uma grande rede. É geralmente simples adicionar esse tipo de IDS a uma
rede e são considerados bem seguros a contra ataques. Porém, apresentam algumas
desvantagens, como a dificuldade em processar todos os pacotes em uma rede grande e
sobrecarregada. Assim, podem falhar no reconhecimento de um ataque lançado durante
períodos de tráfego intenso, além de muitas das vantagens dos IDSs baseados em rede
não se aplicarem às redes mais modernas baseadas em switches, pois estes segmentam a
rede, necessitando assim de ativar portas de monitoramento nesses equipamentos para
que o sensor funcione corretamente. Outra grande desvantagem do IDS baseado em
rede é o de não poder analisar informações criptografadas, já que essas somente serão
visualizadas na máquina de destino.

Um exemplo de colocação em uma rede de um IDS baseado em rede pode ser visto
na Figura 1.

Figura 1. IDS baseado em Rede.

IDS baseado em host

Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos
contra a própria máquina. Este IDS avalia a segurança deste host como base em
arquivos de log do sistema operacional, log de acesso e log de aplicação, por exemplo.
Tem grande importância, pois fornece segurança a tipos de ataques em que o firewall e
um IDS baseado em rede não detectam, como os baseados em protocolos
criptografados, já que estão localizados no destino da informação.

Um exemplo de sua utilização pode ser visto na Figura 2, onde um IDS baseado
em host avisa aos demais sistemas de IDSs dos outros nós sobre a presença de um
intruso.

Figura 2. IDS baseado em Host.

O IDS baseado em host monitora as conexões de entrada no host e tenta determinar se

alguma destas conexões pode ser uma ameaça. Monitora também arquivos, sistema de
arquivos, logs, ou outras partes do host em particular, que podem ter atividades
suspeitas representando uma tentativa de intrusão ou até mesmo uma invasão bem
sucedida.
Alguns HIDS possuem a capacidade de interpretar a atividade da rede e detectar ataques
em todas as camadas do protocolo, aumentando assim a sua capacidade de bloqueio a
determinados ataques que não seriam notados pelo firewall ou pelo IDS de rede, tais
como pacotes criptografados. Esta análise é restrita a pacotes direcionados
ao host protegido pelo IDS.

Um exemplo de tentativa suspeita que é detectada pelo IDS baseado em host é

o login sem sucesso em aplicações que utilizam autenticação de rede. Desta forma, o
sistema IDS informará ao administrador de rede que existe um usuário tentando utilizar
uma aplicação que ele não tem permissão.

Para ilustrar os conceitos, é apresentado o IDS Prelude, abordando seus componentes e

método de funcionamento. Ao final estaremos aptos, de forma conceitual, a seguir o
passo a passo de instalação deste IDS no Linux.

O Prelude-IDS

O Prelude-IDS é um IDS híbrido, ou seja, é um produto que permite a unificação em

um sistema centralizado a vários tipos de aplicações, sejam elas de código-fonte aberto
ou proprietário, além de poder interoperabilizar as funções de um NIDS com as de um
HIDS, sendo em sua essência um NIDS. A fim de implementar tal tarefa, o Prelude-IDS
utiliza o padrão IDMEF (Intrusion Detection Message Exchange Format) que permite
que diferentes tipos de sensores gerem eventos utilizando uma mesma linguagem. Este
modelo é baseado na premissa de que não se deve confiar em uma única fonte de
informação para uma análise de segurança, já que métodos diferentes de análise têm
vantagens diferentes. Assim, o Prelude-IDS decidiu unificar estes métodos em um único
produto, produzindo uma ferramenta bastante completa de segurança.

Possui suporte às linguagens de programação C, C++, Python, Ruby, Lua e Perl, de

modo que é possível converter aplicações de segurança existentes para a estrutura do
Prelude-IDS. O framework do Prelude é descrito pela Figura 3. Ele fornece também
sensores que funcionam como analisadores do registro, como é o caso do Prelude-LML.
Um sensor de Prelude-IDS pode ser um programa que é capaz de trabalhar em conjunto
com o framework Prelude-IDS.

O Prelude tem a habilidade de encontrar atividades maliciosas em conjunto com outros

tipos de sensores, listados a seguir, além de mais de cem tipos de registros de sistema
(syslog), entre outros, a fim de melhorar sua evidência ao apontar um ataque:

• AuditD: fornece um espaço para o usuário criar suas regras de auditoria, bem como
armazenar e pesquisar registros nos arquivos de auditoria a partir do kernel 2.6. Possui
um plugin de detecção de intrusão que analisa os eventos em tempo real e envia por
meio de alertas IDMEF ao Prelude Manager;

• Nepenthes: é uma ferramenta de emulação de atividades de malwares, atuando

passivamente neste tipo de emulação com a intenção de tentar explorar tais falhas;

• NuFW: é uma ferramenta que funciona como uma extensão para o Netfilter (Firewall
Linux), que substitui as regras comuns baseadas no gerenciamento de IPs, por
informações mais detalhadas sobre os dados dos computadores e dos usuários em si.
Sua intenção é agregar maior fidelidade às fontes, já que endereços IPs são trivialmente
forjados;
• OSSEC: é um HIDS open source desenvolvido por um brasileiro. Ele executa a
análise de logs, verificação de integridade, monitoramente de registro (no caso do
Windows) e detecção de rootkit, além de prover resposta ativa e alerta em tempo real;

• PAM: Linux-PAM é um sistema de bibliotecas que lida com as tarefas de

autenticação de aplicações no sistema. A biblioteca oferece uma interface para a
concessão de privilégios de programas (como o login e su);

• Samhain: é um sistema open source multiplataforma de detecção de intrusão baseado

em host (HIDS) para POSIX (Unix, Linux, Cygwin/Windows) que fornece verificação
de integridade de arquivos, bem como detecção de rootkits, monitoramento de portas,
detecção de arquivos executáveis SUID desonestos e processos ocultos;

• SanCP: é uma ferramenta de segurança de rede projetada para coletar informações

estatísticas sobre o tráfego de rede, bem como, gravá-lo em um arquivo utilizando o
formato pcap para fins de auditoria, análise histórica e descoberta de atividades da rede;

• Snort: é um IDS de rede (NIDS) capaz de desenvolver análise de tráfego em tempo

real e registro de pacote em redes IP. Executa análise de protocolos e analisa padrões de
conteúdo, podendo ser considerado um IDS que trabalha tanto com o método de
detecção por anomalia quanto por assinatura, por exemplo, para a detecção de ataques
do tipo :

o buffer overflows: sucintamente pode ser descrito como o estouro do limite de espaço
de memória para certa aplicação, o que pode gerar desde problemas na execução da
aplicação até a exploração de dados por meio de acesso a endereços de memória
utilizados por outras aplicações;

o stealth port scans: baseado no escaneamento de portas com a finalidade de encontrar

aplicações rodando no computador de destino, e pode ter como objetivo explorar falhas
e conseguir acesso por meio destas portas. Várias técnicas são utilizadas para esta
verificação, sendo a baseada no three-way Handshake do TCP uma das mais eficientes;

o ataques CGI: visam a exploração de falhas que possam existir entre a aplicação e o
servidor controlados pelo suporte CGI;

o SMB probes: exploração da checagem de compartilhamento que utiliza o SMB;

o OS fingerprinting: tem o intuito de descobrir o Sistema Operacional utilizado pela

possível vítima;

o Além de outras.

Por padrão, oferece em torno de 20 mil regras (somando-se as regras da Vulnerability

Research Team e do Emerging Threads).

Figura 3. Framework do Prelude-IDS.

Dica DevMan: IDMEF é um protocolo experimental proposto para trocas de

mensagens entre sistemas de detecção de intrusão automatizados. Os sistemas de
detecção podem usar o relatório de alerta sobre eventos que considerem suspeitos. O
desenvolvimento deste formato padrão tem como objetivo permitir a interoperabilidade
entre fontes, sejam elas comerciais ou abertas.
Componentes do Prelude-IDS

Serão apresentados os componentes que formam o framework do Prelude-IDS, desde

seu sensor de coleta até sua biblioteca de conexão e armazenagem de dados.

• Prelude Manager: é um servidor de alta disponibilidade que aceita conexões a partir

de sensores distribuídos e/ou outros gerentes, e salva os eventos recebidos para uma
mídia especificada pelo usuário (banco de dados, arquivo de log, e-mail, etc.). É um
concentrador capaz de lidar com um grande número de conexões e processamento de
grandes quantidades de eventos. O Prelude Manager vem com vários plugins como os
de filtragem (por critérios de impacto reportados pela mensagem do IDMEF, limiares de
consulta, etc.) e envio de alertas ao administrador por SMTP;

• LibPrelude: é uma biblioteca que permite conexões seguras entre os sensores e o

Prelude Manager, fornece, ainda, uma API (Application Programming Interface) para
comunicação com os subsistemas do Prelude, que fornece as funcionalidades
necessárias para a geração e emissão de alertas em IDMEF, além de garantir
retransmissão de alertas para momentos de interrupção temporária. Portanto, é a
biblioteca utilizada por terceiros para integração ao Prelude-IDS;

• LibPreludeDB: a biblioteca em questão é uma camada de abstração sobre o tipo e o

formato do banco de dados para armazenamento das mensagens, permitindo ao
desenvolvedor utilizar sua base de armazenamento de mensagens IDMEF sem a
necessidade de SQL, independentemente do tipo ou formato da base de dados;

• Prelude-LML: é um analisador de log que permite ao Prelude coletar e

analisar logs do sistema a fim de encontrar evidências de ações maliciosas; transforma-o
em um alerta IDMEF e então envia ao Prelude Manager. É possível customizar a análise
de logs por meio de criação de regras (assinaturas). Hoje já avalia mais de 400 regras,
dentre elas aplicações conhecidas, como Squid, Sudo, Cacti, Asterisk, OpenSSH,
Apache, etc.;

• Prelude-Correlator: permite, por meio de criação de regras utilizando a linguagem

Lua, conectar e buscar alertas em um servidor remoto do Prelude Manager e ativar
correções localmente, conforme suas regras para aquele incidente. Mensagens IDMEF
são geradas como alerta de correção;

• Prewikka: é a interface Web com o usuário (GUI – Graphical User Interface) que
provê várias facilidades na análise e administração do Prelude. Além da visualização de
alertas, é possível saber o status tanto do Prelude Manager como dos sensores.

Dica DevMan: Lua é uma linguagem de programação poderosa, rápida e leve, projetada
para estender aplicações, sejam elas em C, C++, Java, C#, Smalltalk, Fortran, Ada,
Erlang, e outras linguagens de script, como Perl e Ruby. Suas características a fazem
uma linguagem ideal para configuração, automação (scripting) e prototipagem rápida.
Lua está presente em muitos jogos (e.g. World of Warcraft) e o middleware para TV
Digital Ginga. Essa linguagem foi criada na PUC-Rio.

Na Figura 4 é possível visualizar uma arquitetura simples do Prelude-IDS, onde temos

vários sensores, por exemplo, o Prelude-LML, se conectando a um Prelude Manager
que, por sua vez, armazena os dados coletados em uma base de dados (podemos pensar
aqui em um banco de dados MySQL) e as exibe ao administrador por meio da GUI, o
Prewikka.
Figura 4. Arquitetura simples de um ambiente com Prelude-IDS.

Após a demonstração de toda a estrutura do Prelude-IDS, é possível iniciar a parte

prática deste artigo, mostrando como instalar o Prelude IDS em uma estação com o
sistema operacional Linux.

Instalação do Prelude-IDS

Para a instalação do Prelude-IDS utilizamos a versão disponível no momento da escrita

do artigo, o Linux Ubuntu 9.10 de codinome Karmic, com o kernel 2.6.31 instalado por
padrão. As versões dos componentes do Prelude-IDS foram instaladas de modo a
facilitar este guia, todas elas estavam disponíveis no repositório universe do Ubuntu.
Apesar da versão corrente do Prelude-IDS ser a 1.0 e ser suportada pela versão 10.04 do
Ubuntu Linux (codinome Lucid), utilizaremos as versões a seguir, uma vez que
adotamos a versão 9.10 do Ubuntu em toda a confecção deste artigo. As versões dos
componentes de Prelude-IDS foram:

• Prelude Manager: 0.9.14.2-2;

• LibPrelude: 0.9.24.1-1;

• LibPreludeDB: 0.9.15.3-1;

• Prelude-LML: 0.9.14-2;

• Prelude-Correlator: 0.9.0~beta5-1;

• Prewikka: 0.9.17.1.

Baixando os pacotes necessários

A seguir, mostraremos a etapa em que se faz necessário o download dos pacotes do

Prelude-IDS, assim como a de alguns outros pacotes. Utilizaremos o comando apt-
get em todo este processo. Pressupomos que o usuário logado no momento é o root. É
possível assumir este controle com o comando sudo –s.

Na Listagem 1 pode-se observar a instalação da base de dados MySQL, que armazenará

os alertas, e o Apache, servidor web que servirá para a visualização das alertas.

Listagem 1. Instalando pacotes do MySQL e Apache.

apt-get install mysql-server-5.1 apache2

Conforme pode-se notar na Figura 5, será necessária a criação de uma senha para o
acesso do usuário root à base de dados do MySQL. Essa senha será utilizada novamente
durante a instalação do Prelude-IDS.

Figura 5. Tela de instalação do MySQL.

O próximo passo que temos a seguir é a instalação do Prelude Manager, o gerente, que é
feito com o comando da Listagem 2, assim como o resultado esperado. Após a
instalação do prelude-manager é necessário alterar o conteúdo do
arquivo /etc/default/prelude-manager de RUN para yes, conforme exibido na última
linha da Listagem 2, e rodar o comando /etc/init.d/prelude-manager start. As telas de
configuração com o banco de dados são representadas pelas Figuras 6, 7 e 8.

Listagem 2. Instalação e resultado do Prelude Manager.

apt-get install prelude-manager

dbconfig-common: writing config to /etc/dbconfig-common/prelude-manager.conf

granting access to database prelude for prelude@localhost: success.

verifying access for prelude@localhost: success.

creating database prelude: success.

verifying database prelude exists: success.

populating database via sql... done.

dbconfig-common: flushing administrative password

Generating 1024 bits RSA private key... This might take a very long time.

[Increasing system activity will speed-up the process].

Generation in progress... X

+++++O.+++++O

Created profile 'prelude-manager' with analyzerID '1559276264123084'.

Changed 'prelude-manager' ownership to UID:113 GID:122.

* prelude-manager disabled, please adjust the configuration to your needs

* and then set RUN to 'yes' in /etc/default/prelude-manager to enable it.

Figura 6. Tela de inicialização da configuração do Prelude-Manager com o MySQL.

Figura 7. Escolha do Banco de Dados MySQL.

Figura 8. Senha do usuário root criada na instalação do MySQL.

Feito isto, instalaremos o Prelude-LML executando o comando da Listagem 3. Porém,

atenção ao erro reportado aqui. Este erro existe porque é necessário que o processo do
passo da Listagem 4 seja executado a fim de registrar o sensor do Prelude-LML junto
ao prelude-manager. Somente desta forma o Prelude-LML poderá se comunicar com o
prelude-manager e enviar seus alertas a ele.

Listagem 3. Instalação e resultado do Prelude –LML.

apt-get install prelude-lml

* erro na hora de inicializar, isto porque e necessario o comando:

prelude-admin register "prelude-lml" "idmef:w" <manager address> --uid 0 --gid 0

Listagem 4. Passos para o registro do Prelude –LML.

// Abra outro terminal

---------

TERMINAL 2

root@salomao-ubuntu:~# prelude-admin registration-server prelude-manager

The "ne5mpjua" password will be requested by "prelude-admin register"

in order to connect. Please remove the quotes before using it.

Generating 1024 bits Diffie-Hellman key for anonymous authentication...

Waiting for peers install request on 0.0.0.0:5553...

-----------

E insira no terminal anterior a senha gerada: ne5mpjua

TERMINAL 1

terá como resultado as linhas:

 Enter the one-shot password provided on 127.0.0.1:

Confirm the one-shot password provided on 127.0.0.1:

Connecting to registration server (127.0.0.1:5553)... Authentication succeeded.

-----------

TERMINAL 2

e deverá confirmar "Y" na tela anterior o

Connection from 127.0.0.1:40864...

Registration request for analyzerID="276627230846594" permission="idmef:w".

Approve registration? [y/n]: y

127.0.0.1:40864 successfully registered.

------------

TERMINAL 1

Successful registration to 127.0.0.1:5553.

------------

Ao final desses passos, para que o ambiente do Prelude-IDS esteja completo,

precisamos apenas do Prelude-Correlator e da interface Web de administração, o
Prewikka. A instalação dos pacotes é realizada pelo comando da Listagem 5.

Listagem 5. Instalação do Prelude-Correlator e Prewikka.

apt-get install prelude-correlator prewikka

Setting up prelude-correlator (0.9.0~beta5-1) ...

* prelude-correlator disabled, please adjust the configuration to your needs

* and then set RUN to 'yes' in /etc/default/prelude-correlator to enable it.

A Listagem 5, assim como a Listagem 2, pede a alteração do conteúdo de um arquivo
cuja opção RUN deverá estar como ‘yes’. Esse arquivo está localizado
em /etc/default/prelude-correlator e é necessária a execução do
comando /etc/init.d/prelude-correlator start. Assim que a instalação do Prewikka
iniciar, tem-se as telas de configuração do banco de dados para sua futura conexão e
exibição na página Web, conforme as Figuras 9, 10 e 11.

Figura 9. Início da configuração do banco de dados para Prewikka.

Figura 10. Seleção do banco de dados utilizado.

Figura 11. Senha do usuário root criada na instalação do MySQL.

Para que o servidor Prewikka seja executado, é necessário rodar o seguinte

comando: prewikka-httpd. Talvez seja mais interessante rodar esse comando em
um script de inicialização. Pode ser criado na pasta /etc/init.d/seuscript.sh e utilizado o
comando update-rc.d para adicioná-lo à inicialização. O Prewikka é acessado
via browser pelo endereço, em nosso caso: HTTP://localhost:8000.

A Figura 12 mostra sua interface Web onde a aba ativa é a de alertas. Nela podemos
ver os alertas gerados pelos sensores conectados ao prelude-manager. É possível
visualizar alertas de sensores diferentes, como snort e prelude-lml (sshd, netfilter –
firewall do Linux). A interface web dispõe de mais possibilidades para a administração
do ambiente de rede. É possível, por exemplo, visualizar o status dos sensores, assim
como estatísticas de todos os alertas e atividades do IDS. Fica claro que se trata de um
ambiente de boa integração com as ferramentas e facilidade de visualização do ambiente
de produção onde o Prelude-IDS se encontra em atividade

Figura 12. Tela de alerta de eventos da interface web Prewikka.

Ainda é possível a integração de maneira simples do IDS Snort, citado anteriormente. A

única necessidade que se tem é a de registrá-lo como um sensor, após sua instalação e
configuração padrão, assim como realizado nos passos da Listagem 4 para o Prelude-
LML.

Conclusão

Neste artigo foram apresentados os conceitos de IDS, assim como seus modelos
básicos, baseados em rede e host, seus tipos de detecção e ainda a ferramenta Prelude-
IDS, esta última sendo abordada com a finalidade de apresentar uma aplicação de
código-aberto real onde é possível perceber os conceitos de IDS. O Prelude-IDS foi
abordado exatamente por ser uma ferramenta integradora de IDS e não somente um
único e isolado sistema.

É interessante que se procure analisar os sensores que hoje se integram a este IDS, a fim
de torná-lo o mais completo possível. O OSSEC e o Snort merecem destaque neste
ponto. Também é necessário dar atenção à correção de eventos por meio do Prelude-
Correlator, além da estruturação e criação de bases de alertas replicados para que não
haja somente um ponto de armazenamento de dados e falhas. Replicações são feitas de
maneira simples, alterando apenas uma diretiva em alguns poucos arquivos de
configuração do Prelude-IDS.