FACULDADE DE TECNOLOGIA DA ZONA LESTE JULIANO ALVES GUIDINI O USO DA VIRTUALIZAÇÃO DE SERVIDORES COMO FORMA DE REDUÇÃO DOS CUSTOS DE TI

Transcrição

1 FACULDADE DE TECNOLOGIA DA ZONA LESTE JULIANO ALVES GUIDINI O USO DA VIRTUALIZAÇÃO DE SERVIDORES COMO FORMA DE REDUÇÃO DOS CUSTOS DE TI São Paulo 2009

2 JULIANO ALVES GUIDINI O USO DA VIRTUALIZAÇÃO DE SERVIDORES COMO FORMA DE REDUÇÃO DOS CUSTOS DE TI Monografia apresentada no curso de Tecnologia em Informática para gestão de negócios da Faculdade de Tecnologia da Zona Leste para obtenção do título de Tecnólogo em Informática para gestão de negócios. Orientador: Prof. Msc. Celio Daroncho São Paulo 2009

3 Autorizo a reprodução parcial ou total desta obra, para fins acadêmicos, desde que citada a fonte. DADOS INTERNACIONAIS DE CATALOGAÇÃO-NA-PUBLICAÇÃO (Biblioteca Virginie Buff D Ápice da Faculdade de Medicina Veterinária e Zootecnia da Universidade de São Paulo) Guidini, Juliano Alves O uso da virtualização de servidores como forma de redução dos custos de TI / Juliano Alves Guidini f. : il. Monografia apresentada no curso de Tecnologia em Informática para Gestão de Negócios na Faculdade de Tecnologia da Zona Leste. (FATEC- ZL), São Paulo, Orientador: Prof. Msc. Celio Daroncho. 1. Virtualização. 2. Sistema operacional. 3. VPN. I. Título.

4 Nome: GUIDINI, Juliano Alves Título: O USO DA VIRTUALIZAÇÃO DE SERVIDORES COMO FORMA DE REDUÇÃO DOS CUSTOS DE TI Monografia apresentada no curso de Tecnologia em Informática para gestão de negócios na FATEC-ZL como requerimento parcial para obter o título de Tecnólogo em Informática para gestão de negócios. Aprovado em: / / Banca Examinadora Prof Instituição Julgamento: Assinatura Prof Instituição Julgamento: Assinatura Prof Instituição Julgamento: Assinatura

5 Dedico a Deus, por sempre ter me carregado quando não pude andar por mim mesmo, aos meus pais por todo o apoio, amor e carinho, à minha namorada Graciella pela compreensão, amor e ajuda em nossa caminhada, aos inúmeros amigos que me ajudaram nesse trabalho, cada um à sua maneira, mas que foram fundamentais para que a obra progredisse no tempo correto.

6 Agradeço ao Centro Tecnológico da Zona Leste, atualmente extinto, mas que proporcionou grandes oportunidades na minha formação pessoal e profissional, à Faculdade de Tecnologia da Zona Leste pelo apoio fundamental nos meus trabalhos, ao Professor Doutor Geraldo da Silva, pessoa que me apresentou aos caminhos do CTZL/FATEC-ZL, aos amigos que aqui fiz em toda a administração e corpos docentes e discentes, os quais não serão listados, pois temo esquecer algum nome, mas todos estão guardados no meu coração. Por fim ao meu chefe, orientador e amigo Célio Daroncho.

7 As dificuldades fizeram-se para serem vencidas. Barão de Mauá - Irineu Evangelista de Souza

8 GUIDINI, Juliano Alves. O uso da virtualização de servidores como forma de redução dos custos de TI f. Trabalho de conclusão de curso (Tecnólogo) Faculdade de Tecnologia da Zona Leste, São Paulo, RESUMO No cenário tecnológico atual tecnologias que foram esquecidas no passado ganham novas formas e funcionalidade voltando ao papel principal no campo da tecnologia da informação e comunicação, especificamente a virtualização de hardware, a qual vem sendo utilizada em larga escala pelos profissionais que mantém serviços de informação baseados em dispositivos digitais. Notadamente essa tecnologia recebeu melhorias e tornou-se atraente em relação ao investimento necessário para manter e utilizá-la, além do que, com ela é possível reduzir custos com energia, recursos humanos, equipamentos e espaço físico sendo ainda benéfica para o meio ambiente no sentido de permitir melhor gestão dos recursos naturais. Com auxílio da virtualização foi construída infra-estrutura de acesso remoto com uso de rede virtual privada obtendo-se uma melhor gerência do parque tecnológico por parte da equipe responsável por administrar a infra-estrutura de tecnologia de informação e comunicação. Palavras-chave: Virtualização. Sistema Operacional. VPN.

9 GUIDINI, Juliano Alves. Use of server virtualization as a way of reducing IT costs f. Trabalho de conclusão de curso (Tecnólogo) Faculdade de Tecnologia da Zona Leste, São Paulo, ABSTRACT In the tech scene today, technologies that have been forgotten in the past take on new forms and functionality, back to the lead role in the field of information technology and communication, specifically the hardware virtualization, which has been used widely by professionals that keeps intelligence-based on digital devices. Notably, this technology was improved and became attractive for the investment necessary to maintain and use it, beyond that, it is possible to reduce energy costs, human resources, equipment and physical space, is also beneficial to the environment in to enable better management of natural resources. With the help of virtualization has built infrastructure for remote access using virtual private network, resulting in better management of the technology park by the team responsible for managing the infrastructure of information technology and communication. Keywords: Virtualization. Operating System. VPN.

10 LISTA DE FIGURAS Figura 1 Réplica da máquina analítica criada por Babbage Figura 2 Painel de controle do Eniac Figura 3 Proteção hierárquica de camadas do Figura 4 Visão do túnel criado por uma VPN Figura 5 Visão da funcionalidade de uma VPN interligando duas redes locais Figura 6 Acesso remoto com VPN Figura 7 VPN site-to-site Figura 8 Visão do papel do VMM Figura 9 Tipos de VMs Figura 10 Servidor Itautec MX

11 LISTA DE TABELAS Tabela 1 Valores dos equipamentos compatíveis com as funções de servidor VPN e Radius Tabela 2 Comparação dos recursos dos servidores Itautec MX-201 e Dell PowerEdge T Tabela 3 Custo dos servidores Dell PowerEdge T105 para substituição do Itautec MX Tabela 4 Comparação do consumo energético dos servidores MX-201 e T

12 LISTA DE SIGLAS AD AMD AMD-V ARPA BIND C.I.S.C CA CD-ROM CHAP CI CPU DC DES DHCP DN DNS DoD DTI EAP EUA FATEC-ZL FQDN hypervisor Active Directory Diretório Ativo Advanced Micro Devices Fabricante de Processadores AMD Virtualization Virtualização da AMD Advanced Research Project Agency - Agência de Pesquisa em Projetos Avançados Berkley Internet Name Domain Nome de Domínio da Internet de Berkley Computador com conjunto de instruções complexas no seu assembly Certificate authority Autoridade de Certificação Compact Disc - Read Only Memory Disco Compacto - Memória Somente de Leitura Challenge-Handshake Autentication Protocol Protocolo de Autenticação por Desafios de Identidade Circuito Integrado Central Processing Unit Unidade Central de Processamento Domain Controller Controlador de Domínio Data Encryption Standard Padrão de Criptografia de Dados Dynamic Host Configuration Protocol Protocolo de Configuração Dinâmica de Cliente Distinguished Name Nome Distinto Domain Name System Sistema de Nome de Domínio Department of Defense - Departamento de Defesa Departamento de Tecnologia da Informação da FATEC-ZL Extensible Authentication Protocol Protocolo de Autenticação Extensível Estados Unidos da América Faculdade de Tecnologia da Zona Leste Fully Qualified Domain Name Domínio Completamente Expressado O mesmo que VMM

13 Hz IA-32 IBM ICP IEEE IP IPSec ISA L2F L2TP LSI LWP MAC MMU MPPE MS-CHAP MS-CHAP v2 MS-DOS NAS NCP PAP PPP PPTP R.I.S.C R2 Hertz Intel Architecture-32 Arquitetura Intel-32 International Business Machines Infra-estrutura de Chaves Públicas Institute of Eletrical and Eletronics Engineers Instituto de Engenheiros Elétricos e Eletrônicos Internet Protocol Protocolo de Internet IP Security Protocol Protocolo de IP Seguro Instruction Set Architecture Arquitetura de Conjunto de Instruções Layer 2 Forwarding A Frente da Camada 2 tradução livre Layer Two Tunneling Protocol Protocolo de Túnel Camada Dois Large Scale Integration Integração de Larga Escala Lightweight process Processos leves Media Access Control Controle de Acesso de Mídia Memory Management Unit Unidade de Gerenciamento de Memória Microsoft Point-to-Point Encryption Criptografia Ponto a Ponto da Microsoft Microsoft Challenge-Handshake Authentication Protocol Protocolo de Autenticação por Desafios de Identidade da Microsoft Microsoft Challenge-Handshake Authentication Protocol version 2 Protocolo de Autenticação por Desafios de Identidade da Microsoft versão 2 Microsoft Disk Operating System Sistema Operacional de Disco da Microsoft Network Access Server Servidor de Acesso a Rede Network Control Protocol Protocolo de Controle de Rede Password Authentication Protocol Protocolo de Autenticação de Senha Point-to-Point Protocol Protocolo Ponto a Ponto Point-to-Point Tunneling Protocol Protocolo de Túnel Ponto a Ponto Computadores com conjunto de instruções reduzidas no seu assembly Release 2 Programas instalados no Microsoft Windows Server 2003 que aumentam a sua funcionalidade

14 Radius RAID RAM RRAS RSA SCSI SimOS SO SPAP SQL TCP TIC TLS VM VMI VMM VMWare VPN VT-x Remote Authentication Dial-In User Service Serviço Remoto de Autenticação de Usuário Discada Redundat Array of Inexpensive Discs Matriz de Discos Baratos Redundates Random Access Memory Memória de Acesso Aleatório Routing and Remote Access Server - Servidor de Roteamento e Acesso Remoto Rivest-Shamir-Adleman Ron Rivest, Adi Shamir e Leonard Adleman, criadores do método. Small Computer System Interface Sistema de Interface para Computadores Portáteis Um simulador completo de sistema desenvolvido pela Universidade de Stanford. Sistema Operacional Shiva Password Authentication Protocol Protocolo de Autenticação de Senha Shiva Structured Query Language Linguagem de Consulta Estruturada Transmission Control Protocol - Protocolo de Controle de Transmissão Tecnologia da Informação e Comunicação Transport Layer Security Segurança de Camada de Transprote Virtual Machine Máquina Virtual Virtual Machine Interface Interface de Máquina Virtual Virtual Machine Monitor Monitor de Máquina Virtual VMWare Empresa que desenvolve VMM comercialmente Virtual private network Rede Privada Virtual Intel Virtualization Technology for the IA-32 architecture Tecnologia de Virtualização da Intel para arquitetura IA-32

15 SUMÁRIO 1 INTRODUÇÃO HARDWARE Origem da informática e do hardware Plataforma x Sistemas Operacionais Memória Arquivos Arquitetura cliente-servidor Rede e Serviços Infra-estrutura de rede Protocolo TCP/IP DNS e DHCP Criptografia e Certificados Digitais Serviço de diretório VPN Radius e Autenticação VIRTUALIZAÇÃO Conceituando virtualização Emuladores... 50

16 3.3 Formas de virtualização Virtualização total Paravirtualização Tradução binária Assistência via hardware APLICAÇÕES Ensino Consolidação de servidores Migração de aplicações legadas e plano de contingência ESTUDO DE CASO Local Métodos e Procedimentos Análise CONSIDERAÇÕES FINAIS REFERÊNCIAS ANEXO A ORÇAMENTOS E ESPECIFICAÇÕES TÉCNICAS... 77

17 17 1 INTRODUÇÃO Atualmente as organizações buscam meios de tornarem-se mais competitivas no mercado, uma das formas de se alcançar tal objetivo é a redução de custos. A informática vem em auxílio possibilitando melhor gestão com o controle dos processos e automação das tarefas. Atualmente a informática estende-se por todos os braços das organizações, representando com isso uma demanda constante de recursos financeiros, os quais muitas vezes são vistos como custos, porém é possível converter esses recursos em investimentos em infra-estrutura para as mesmas. Resgatam-se os fundamentos da computação, suas tecnologias e princípios de comunicação das redes de computadores e da internet. As empresas desenvolvedoras de sistemas de informática reintroduziram no mercado técnicas e conceitos já consagrados que ajudam na economia de recursos financeiros, energéticos e humanos, proporcionando uma melhoria dos processos internos de um sistema eletrônico de informação refletindo em menores investimentos em informática e maiores realizações nesse campo. Empresas como a VMWare e a Microsoft resgataram tecnologias de virtualização que possibilitam que os custos com informática sejam transformados em investimentos pela utilização de produtos robustos, escaláveis e de fácil gestão com custos atraentes ou mesmo sem custo algum. Tem-se o objetivo de demonstrar que com a utilização da virtualização é possível economizar recursos financeiros com equipamentos, energia elétrica e recursos humanos utilizando-se menor quantidade de equipamentos consumidores de energia elétrica. A virtualização poder ser aplicada em diversos recursos da informática tais como na virtualização de computadores inteiros, o que permite que funcionem como um computador real, virtualização de dispositivos de rede, permite que computadores virtuais utilizem a rede reduzindo a necessidade de dispositivos de rede reais. Aplicando-se essas técnicas pode-se

18 18 reduzir o consumo de energia elétrica e recursos financeiros apenas pela eliminação da existência de computadores e dispositivos de rede. A redução da quantidade de equipamentos reais em uma organização pode ajudar a reduzir e melhor aproveitar os recursos humanos, pois a gestão dos equipamentos virtuais pode ser efetivada de maneira centralizada, muitas vezes não mais se faz necessário deslocar equipe técnica até um equipamento para configurá-lo ou efetuar manobra de cabos, até mesmo ligar o equipamento pode ser feito fora do local físico. O menor número de equipamentos trás uma redução na necessidade de espaço físico e redução das necessidades de refrigeração dos equipamentos. Assim sendo, promover uma melhor utilização dos recursos computacionais no Departamento de Tecnologia de Informação (DTI) da Faculdade de Tecnologia da Zona Leste (FATEC-ZL) com a utilização de virtualização de computadores e implantação de serviço de acesso remoto permitindo a gestão dos recursos de qualquer computador conectado com a internet. Desta forma para desenvolver este trabalho foi utilizada pesquisa em referências bibliográficas, páginas da internet que abordem o tema, artigos técnicos e científicos com a finalidade de elucidar as teorias e tecnologias envolvidas no processo, além disso, será efetuado um estudo de caso no DTI da FATEC-ZL utilizando-se dos recursos computacionais disponíveis bem como sua infra-estrutura. Além disso, uma das maiores preocupações notadas nas áreas de tecnologia é a preservação ambiental onde se buscam produtos que não contribuam para a degradação do planeta Terra. A virtualização vem de encontro com a preservação ambiental na forma de consumir menores quantidades de energia e proporcionar menor emissão térmica. A hipótese que se deseja verificar é se há uma redução de valores monetários com uso de virtualização, seja com economia de espaços físicos, compra de equipamentos ou mesmo na gerência dos recursos

19 19 2 HARDWARE Segundo Bittencourt (2006), os sistemas computacionais são organizados em módulos que interagem entre si, desta forma cada um dos dispositivos possui finalidades específicas definidas por diversos padrões, padrões estes que irão determinar suas características elétricas e eletrônicas, permitindo portabilidade, expansibilidade e conectividade a outros equipamentos e dispositivos. O hardware de um computador consiste em seus dispositivos físicos processador(es), memória principal e dispositivos de entrada/saída (DEITEL; DEITEL; CHOFFNES, 2005, p. 32). 2.1 Origem da informática e do hardware O primeiro computador digital verdadeiro foi projetado pelo matemático inglês Charles Babbage ( ), era totalmente mecânico, como pode ser visto na figura 1, e devido a tecnologia da época não foi possível produzir as peças necessárias para que funcionasse adequadamente, chamava-se motor analítico e não tinha um sistema operacional desenvolvido para ele, porém Babbage sabia ser necessário um e contratou então uma jovem mulher chamada Ada Lovelace como programadora do sistema. (TANENBAUM; WOODHULL, 2000).

20 20 Figura 1 Réplica da máquina analítica criada por Babbage. Anos após Babbage ( ), com seus esforços mal sucedidos, foi criada a primeira geração de computadores compostos por válvulas e painéis de conectores, como pode ser visto na figura 2, eram máquinas de calcular enormes, ocupando salas inteiras e utilizando-se de dezenas de milhares de válvulas e muito mais lentos que as mais simples calculadoras de hoje. Na época o mesmo grupo de pessoas que projetava também construía, programava e operava a máquina, programação que era feita em linguagem de máquina pura utilizando-se de painéis de conectores para controlar as funções do computador (DEITEL; DEITEL; CHOFFNES, 2005).

21 21 Figura 2 Painel de controle do Eniac. Segundo Deitel, Deitel e Choffnes (2005) a linguagem de máquina é definida em projeto de hardware e consiste geralmente em cadeias de números reduzidos a 0 (zero) e 1 (um) instruindo o computador a executar operações. A operação dependia de o operador inserir as conexões no computador e esperar por horas o processamento e que nenhuma das muitas válvulas queimasse durante a execução. Não existiam linguagens de programação e ninguém nunca tinha ouvido falar de sistema operacional. Em geral eram executadas tarefas simples de cálculo com os computadores dessa geração. A segunda geração de computadores ( ), por sua vez, era composta por transistores e sistemas de lote. Com a introdução do transistor os computadores tornaram-se confiáveis para serem fabricados e vendidos com expectativa de que continuariam funcionando para executar algum trabalho útil, pois já existiam programadores e linguagens de programação tais como assembly 1 e Fortran (TANENBAUM; WOODHULL, 2000). A entrada de dados era feita por meio de cartões perfurados e fitas magnéticas e para a saída das informações já eram utilizadas impressoras. Dizia-se sistema de lote, pois se utilizavam de um computador de baixa capacidade de processamento para gravar as fitas com 1 Assembly é uma linguagem de montagem, ou seja, é uma notação legível de um código de máquina, especifico, possibilitando o entendimento por parte dos seres humanos. A linguagem de máquina torna-se legível pela substituição dos valores por símbolos chamados mnemônicos (SUN MICROSYSTEMS, 2005).

22 22 as instruções do programa e imprimir os relatórios e um computador de maior capacidade de processamento para executar o programa. (TANENBAUM; WOODHULL, 2000). A terceira geração de computadores tem início por volta de 1964, estendendo-se até 1980, e foi a era dos Circuitos Integrados (CI) e da Multiprogramação, nessa era computacional existiam os computadores científicos de grande escala, baseados em palavras, e os computadores comerciais, baseados em caracteres, utilizados para classificar e para imprimir fitas para bancos e companhias de seguros. A International Business Machines (IBM) tentou resolver esses problemas introduzindo o System/360, uma série de máquinas compatíveis em software, mas que variavam em capacidade de processamento (DEITEL; DEITEL; CHOFFNES, 2005). O System/360 foi projetado para manipular cálculos científicos e comerciais e foi a primeira linha importante de computadores a utilizar circuitos integrados - CIs, de pequena escala, trazendo com isso uma vantagem competitiva importante relativa a preço e desempenho sobre as máquinas de segunda geração, que se utilizavam de válvulas. A maior força do System/360 era ao mesmo tempo sua fraqueza, pois foi concebido para que todo software funcionasse em qualquer máquina da série, incluindo o sistema operacional, tais requisitos tornavam muito complexa a tarefa de escrever programas para esse sistema ocasionando, assim, milhares de erros nos programas e sistema operacional. (TANENBAUM; WOODHULL, 2000). Os sistemas dispunham de compartilhamento de tempo, uma variante da multiprogramação, em que os usuários ou trabalhos que estavam sendo processados dividiam o tempo de processamento entre si e no caso de um trabalho ou usuário não estar consumindo processador outro trabalho poderia ocupar esse espaço de processamento, assim o computador pode oferecer serviço rápido e interativo (TANENBAUM; WOODHULL, 2000). A quarta geração de computadores, iniciada em 1980, vai até os dias de hoje, e é chamada de geração de computadores pessoais. Esta geração foi viabilizada pela tecnologia Large Scale Integration (LSI integração de larga escala), que são pastilhas contendo milhares de transistores por centímetro quadrado de silício, também conhecidos como microprocessador. Não dispõem de arquitetura diferente dos minicomputadores, mas sim de

23 23 preços menores. O microprocessador permitiu que uma pessoa tivesse seu próprio computador pessoal (TANENBAUM; WOODHULL, 2000, p. 24). Os computadores pessoais mais poderosos são chamados de estações de trabalho, mas são apenas computadores pessoais de maior porte. Os sistemas operacionais que dominaram a cena foram o MS-DOS da Microsoft e o Unix, bem como a Central Processing Unit (CPU - Unidade Central de Processamento) Intel 8088 e seus sucessores, como os 80286, 80386, 80486, referidos apenas como 286, 386 e 486 e mais tarde a família Pentium e atualmente a família Core (DEITEL; DEITEL; CHOFFNES, 2005). 2.2 Plataforma x86 A plataforma x86 ou Intel Architecture-32 (IA-32 Arquitetura Intel-32) foi precedida pelos processadores de 16 bits como o 8086 e 8088, que datam de 1978, estes introduziram a segmentação de memória na IA-32, para os programas a memória aparece como um grupo de endereços independentes, chamados segmentos, e para acessar o seu conteúdo é necessário um endereço lógico que consiste em um seletor de segmentos e uma faixa de endereços (INTEL CORPORATION, 2009). O Intel 286 introduziu na IA-32 a operação em modo protegido, estado nativo do processador em que, dentre outras característica, tem a capacidade de executar, em modo de endereçamento real, programas do 8086 em ambiente multitarefa, o endereçamento real é o modelo de memória para o processador 8086, suportado, no Intel 286, para prover compatibilidade estes diferentes processadores, que usa um implementação específica do modelo de segmentação de memória que consiste em uma ordenação de segmentos de até 64Kbytes. Já em 1985 surge o Intel 386, que foi o primeiro processador de 32 bits da IA-32 (INTEL CORPORATION, 2009).

24 24 O que diferencia uma CPU de 16 bits de uma de 32 bits é a largura máxima de palavra de dados, a existência de vias ou barramentos internos ou externos de 32 bits implica que as operações serão executadas de uma só vez dentro do microprocessador como exemplo tem-se o 8086, uma máquina de 16 bits de dados e o 8088 uma versão de 8 bits do 8086 que internamente trabalha em 16 bits mas se liga aos periféricos e memória em 8 bits (FERRI, 1990). Os processadores Intel da família 80x86, como os 8086, 286, 386 e 486, são considerados máquinas Complex Instruction Set Computer (C.I.S.C. Computador com Conjunto de Instruções Complexas), mas também existem as máquinas chamadas de Reduced Instruction Set Computer (R.I.S.C. Computador com Conjunto de Instruções Reduzidas) (FERRI, 1990). Os processadores C.I.S.C. provêm da década de 1980 com a idéia de incorporar seções de código de programação freqüentemente utilizadas, esses processadores surgiram na época em que a maioria dos sistemas era escrita em linguagem de montagem, assembly, com conjunto de instruções únicas que executavam diversas operações proporcionando aos programadores construir programas com menor quantidade de linhas. Os processadores que utilizam dessa tecnologia tentar transferir a complexidade do software para o hardware (DEITEL; DEITEL; CHOFFNES, 2005). As máquinas R.I.S.C possuem características como o pequeno número de instruções do assembly com um formato fixo em termos de bytes, com a maioria das instruções operando somente nos numerosos registradores internos; separação de barramentos interno de dados e instruções quando a CPU for um CI ou externo, caso a CPU seja formada por vários CI; execução da maioria das instruções em um único ciclo de relógio 2 da CPU; possui grande número de registradores na CPU; recursos de instruções e dados facilitando a implementação de compiladores do tipo otimizantes; possibilidade de fazer o máximo de operações de acesso à memória externa da CPU utilizando-se registradores e caches internos; e previsão de caches 2 Tempo do computador, sendo este medido em ciclos, que refere-se a uma oscilação completa de um sinal elétrico, provindo do gerador de relógio do sistema, que estabelece a cadência do mesmo, determinando a freqüência de funcionamento deste, comumente medida em ciclos por segundo ou Hertz (Hz) (DEITEL; DEITEL; CHOFFNES, 2005).

25 25 para instruções de desvio não permitindo que a fila de instruções se esvazie e provoque perda de desempenho da CPU (FERRI, 1990). Os primeiros processadores R.I.S.C. surgiram como projetos universitários, os quais se tornaram comerciais mais tarde com o lançamento do primeiro componente dessa espécie pela empresa A MIPS Computers, com a família R2000. O desenvolvimento comercial da tecnologia R.I.S.C. iniciou-se em 1986 por diversos fabricantes internacionais como a Hewlett Packard (HP), IBM, Piramid e Ridge Computers, mas antes disso, em 1984, foi introduzido o PC AT com o microprocessador 286 da Intel e relógio de 6 MHz. O 286 era de 3 a 4 vezes mais rápido que os 8088 (FERRI, 1990). No final de 1985 a Intel anunciou o seu primeiro processador de 32 bits, chamado 386, mas na prática este só esteve disponível no segundo semestre de 1986 e em larga escala em As principais diferenças entre o 8088, 286, 386 e 486 podem ser resumidas dizendo-se que o 8088 não permite multitarefa por hardware, enquanto os outro sim, o 8088 só endereça 1 Megabyte de memória e não possui modo protegido ou gerenciamento de memória virtual, uma extensão da memória principal, em contrapartida o 286 endereça 16 Megabytes de memória física, quando em modo protegido, e os 386/486 endereçam 4 Gigabytes em modo protegido, o 8088 e o 286 não possuem instruções e registradores de 32 bits e o 286 não possui o modo virtual 86 do 386/486 (FERRI, 1990). A arquitetura de modo protegido proporciona a total utilização da capacidade do 386, quando ele trabalha em modo de endereçamento virtual protegido, aumentando linearmente o espaço de endereçamento para quatro Gigabytes, adicionalmente o modo protegido permite que todos os programas criados para 8086 e sejam executados provendo um gerenciamento de memória sofisticado e um mecanismo de proteção assistido por hardware. (INTEL CORPORATION, 1995). O modo virtual 86 traz diversos benefícios para o 386, pois possibilita a execução do Unix no 386, e em modo protegido a emulação virtual do processador 8086 permitindo assim utilizar-se da maioria dos pacotes de software para MS-DOS escritos para IBM-PC que existiam no mercado. Mais tarde na década de 1990 ficaram mais claras estas vantagens, pois foi possível a utilização simultânea de um sistema Unix com o MS-DOS sendo executado como uma tarefa do Unix, possibilitando-se assim, ao hardware, emular em uma tarefa do

26 26 modo protegido o funcionamento do 8086 quanto ao endereçamento de memória e instruções de 16 bits, sem com isso perder as características de um sistema operacional multitarefas ou multiusuários como está previsto nos recursos da arquitetura do 386 (FERRI, 1990). No 286 o Sistema Operacional (SO) fica limitado pela não existência do modo virtual de emulação de outro ambiente de hardware na operação de modo protegido. Esta é a característica de software mais importante no (FERRI, 1990, p. 27). O usuário poderia alternar entre MS-DOS e Unix mediante comando apropriado, sendo possível executar os sistemas operacionais originalmente escritos para 286 como o QNX, FLEX-OS 286 da Digital Research e o Xenix da Microsoft (FERRI, 1990). Comercialmente o utilitário VP/ix, desenvolvido pela Phoenix Technologies, em conjunto com o 386/ix da Iteractive ou o SCO Xenix/386, concretizaram a capacidade de executar dois SO simultâneos, de forma transparente ao usuário. Porém não se tratava de novidade na década de 1980 já que as versões iniciais do OS/360, da década de 1970, da IBM foi modificado para tornar-se um sistema de tempo compartilhado, chamado TSS/360, lançado tardiamente, segundo Tanenbaum e Woodhull (2000). Um grupo no Centro Científico da IBM em Cambridge, Massachusetts, produziu um sistema radicalmente diferente, que a IBM acabou aceitando como um produto utilizado em seus mainframes, sistemas de grande porte, remanescentes, o sistema foi chamado de VM/370, e proporcionava máquinas virtuais (TANENBAUM; WOODHULL, 2000). O propósito de qualquer arquitetura de sistemas em um microprocessador, é suportar os requisitos de um sistema operacional, que pode ou não ser bastante específico em suas necessidades. (FERRI, 1990, p. 97). O conceito de proteção no 386 dispõe de quatro níveis hierárquicos que suportam as necessidades de SO multitarefas para isolar e proteger cada programa do usuário e o sistema operacional. Os níveis de privilégio controlam o uso de instruções privilegiadas, instruções de entrada/saída (E/S), acesso a segmentos de memória e descritores de segmentos (INTEL CORPORATION, 1995). Diferentemente dos tradicionais processadores onde a proteção é provida por circuitos externos complexos, o 386 possui integrado no Memory Management Unit (MMU), unidade de gerenciamento de memória, nos sistemas de proteção. Como pode-se verificar na figura 3 o

27 27 nível 0 é o mais privilegiado, o núcleo do sistema operacional é executado com nível 0, e o 3 o menos, as aplicações do usuário possuem esse nível (INTEL CORPORATION, 1995). Figura 3 Proteção hierárquica de camadas do Sistemas Operacionais Conforme Deitel, Deitel e Choffnes (2005, pag 27), na década de 1960 definia-se SO como o software que controlava o hardware, porém houve evolução significativa até a atualidade o que torna necessário uma descrição mais rica, sendo então SO o [...] software que habilita as aplicações a interagir com o hardware de um computador.

28 28 Um SO é o programa gerenciador de recursos de hardware e software do equipamento no qual é executado. O termo multitarefas pode descrever duas funções, sendo uma a possibilidade de o usuário mover entre duas ou mais aplicações sem precisar deixar uma delas para ir à outra, pode-se conseguir isso com chaveamento por comandos ou escalonamento de tarefas pelo sistema operacional, a outra possibilidade é a do sistema poder executar múltiplas aplicações ao mesmo tempo (FERRI, 1990). Os sistemas operacionais do tipo multitarefa são baseados na emulação do funcionamento simultâneo de múltiplos processadores fornecendo a cada tarefa um processador virtual o qual na realidade é a divisão do tempo do processador real entre as tarefas em execução (FERRI, 1990). Um sistema operacional é composto por diversos componentes, dentre os quais podese destacar como componentes principais (DEITEL; DEITEL; CHOFFNES, 2005): Escalonador de processo que determina a que tempo e por quanto tempo um processo é executado no processador, em geral muitos processos competem para utilizarem-se do processador, logo o escalonador pode basear suas decisões em critérios como a importância de um processo ou o tempo estimado que ele executará o mesmo; Gerenciador de memória que determina quando e de que maneira a alocação da memória se dará ocupando-se de encontrar uma saída em caso de a memória principal estar cheia, ele garante que os processos não interfiram entre si e menos ainda no sistema operacional impedindo que acessem áreas da memória que não lhes pertencem; Gerenciador de E/S (Entrada e Saída) que atende às solicitações de entrada e saída dos componentes de hardware, esses componentes podem ser dispositivos como teclado, mouse e impressora; Gerenciador de comunicação entre processos (IPC) que permite a comunicação entre os processo, freqüentemente os processos cooperam entre si para cumprir uma meta comum então se utilizam do IPC e mecanismos de sincronização que simplificam a programação concorrente; Gerenciador de sistema de arquivos que organiza as coleções nomeadas de dados nos dispositivos de armazenamento e provê interface para acesso aos dados, este reordena as requisições para o dispositivo de armazenamento secundário, normalmente um

29 29 disco magnético, com a finalidade de maximizar o desempenho minimizando perdas de tempo no acesso aos dados. Todo programa que é executado em um computador, inclusive o SO, é organizado em processos seqüenciais, ou somente processos, conceitualmente cada processo é um programa em execução, com seus valores de variáveis, e possui seu próprio processador virtual, na realidade o escalonador de processos alterna de um processo para outro rapidamente executando apenas um processo por unidade de tempo, porém para melhor entendimento facilita pensar em diversos processos que estão em execução paralelamente (TANENBAUM; WOODHULL, 2000). Os processos possuem treads, que podem ser denominados como Lightweight Process (LWP processos leves) que compartilham muitos atributos de um processo e podem ser escalonadas, tendo como função a execução de um conjunto de instruções independentes de outros processos e threads, entretanto não são planejados para existirem sozinhas, como os processos, os threads de um processo compartilham recursos melhorando a eficiência da execução das tarefas. Em um sistema multiprocessador mais de um thread é capaz de ser executado simultaneamente (DEITEL; DEITEL; CHOFFNES, 2005). Três níveis de escalonamento podem ser considerados, sendo o escalonamento de alto nível, também chamado de escalonamento de longo prazo, o escalonamento de nível intermediário e o escalonamento de baixo nível, também designado com despachante. O primeiro determina quais tarefas o sistema operacional permite que disputem os recursos do sistema, sendo admitidos tornam-se processos, escalonadores de alto nível são mais comuns em sistemas de grande porte, mainframes. O segundo determina quais processos terão permissão para competir por processador, tal política leva em conta a carga do sistema e faz remanejamento de processos com a finalidade de uma operação tranqüila do sistema. A terceira determina quais processos ativos do sistema serão designados a um processador, assim que este estiver disponível, nesse nível é atribuída uma prioridade ao processo, prioridade esta que reflete a sua importância (DEITEL; DEITEL; CHOFFNES, 2005). Existem prioridades estáticas, as quais são fixas e os mecanismos baseados nesse tipo são fáceis de programar, mas não respondem às mudanças do ambiente, e prioridades dinâmicas que respondem às mudanças no ambiente podendo ser aumentada ou reduzida

30 30 segundo a necessidade de outros processos ou de acordo com as necessidades de desempenho (DEITEL; DEITEL; CHOFFNES, 2005) Memória O dispositivo em que as informações podem ser retidas é chamado de memória, no computador esse dispositivo é composto de CI e normalmente apresenta-se com uma peça que se encaixa no sistema eletrônico do equipamento. Random Access Memory (RAM Memória de Acesso Aleatório) é a memória principal, também chamada por memória real, memória física ou memória primária, é volátil e de acesso aleatório, no sentido de que os processos podem acessar dados em qualquer ordem, as latências para os endereços da RAM são essencialmente iguais. Os fabricantes de RAM procuram reduzir a diferença entre a velocidade do processador e a velocidade de transferência da memória, já os desenvolvedores de SOs buscam organizar e gerenciar o armazenamento principal (DEITEL; DEITEL; CHOFFNES, 2005). O armazenamento secundário, como disco rígido e unidades de fita, fornecem grandes capacidades e baixo custo para guardar os programas e dados, porém são lentos e não acessíveis diretamente pelo processador. Para que um programa seja executado deve estar carregado na memória principal, mas esta tem tamanho limitado (muito menor que a secundária) sem mencionar o seu alto custo (DEITEL; DEITEL; CHOFFNES, 2005). Surge desta forma o conceito de memória virtual, a idéia por traz disso é criar a ilusão de que existe mais memória principal do que realmente há, utilizando-se para isso a memória secundária como uma extensão da principal. Se um processo acessar um endereço da memória virtual o sistema deve traduzir para um endereço na memória real, mas a ocorrência dessas

31 31 traduções é tão freqüente que existe um hardware especial para isso a MMU (TANENBAUM; WOODHULL, 2000). Diferentemente da memória principal a secundária oferece acesso ao seu conteúdo com velocidade variável. A velocidade em que um dado é recuperado ou gravado é dependente da posição física do cabeçote no disco e do cabeçote de leitura-escrita (considerando um disco rígido que é composto de pratos onde os dados ficam efetivamente armazenados e são lidos e gravados por um cabeçote de leitura-escrita o qual paira a uma pequena distância da superfície do disco), o cabeçote deve se deslocar até imediatamente acima do dado e deve efetuar a operação somente quando o dado passar pelo cabeçote, já que o disco gira (DEITEL; DEITEL; CHOFFNES, 2005). Toda a operação requer um tempo que é composto pelo tempo de latência rotacional, relativo ao giro do disco, somado ao tempo de busca, relativo ao movimento do cabeçote. Esses tempos são da ordem de milissegundos para um disco rígido e durante ele um processador pode executar dezenas ou centenas de milhões de instruções o que, são utilizadas técnicas de escalonamento de discos e tecnologias de associação de discos para reduzir os tempos de acesso permitindo maior aproveitamento do sistema (DEITEL; DEITEL; CHOFFNES, 2005) Arquivos Os arquivos são uma abstração, que possibilitam uma maneira de armazenar informações em dispositivos de armazenamento e obtê-las em outro momento, feito de maneira que o usuário não tenha que saber como e onde as informações estão realmente armazenadas no dispositivo físico nem mesmo como manipulá-las. Para que se organizem os arquivos os sistemas de arquivos têm diretórios, que internamente ao sistema são um tipo de arquivo, os arquivos podem ser acessados de maneira seqüencial, como em fitas magnéticas,

32 32 onde não é possível ler fora de ordem ou de maneira aleatória em que podem ser lidos em qualquer ordem. Os arquivos possuem atributos, como o nome e seus dados, mas também outras informações como data e hora de criação, tamanho e sinalizadores que indicam a ativação ou não de alguma propriedade como se é oculto, somente leitura e sinalizador de backup (TANENBAUM; WOODHULL, 2000). 2.4 Arquitetura cliente-servidor A utilização de diversos computadores independentes desempenhando uma função comum denominou-se computação distribuída, houve uma proliferação acentuada dessa modalidade de computação com o modelo cliente/servidor, pois reduziam-se os custos de tecnologia e aplicações via rede, como correio eletrônico e transferência de arquivos entre computadores interconectados por redes, que cresciam exponencialmente. Clientes são computadores de usuários que requisitam serviços e servidores são computadores que executam os serviços requisitados, geralmente os servidores são dedicados a tarefas específicas (DEITEL; DEITEL; CHOFFNES, 2005). O modelo cliente/servidor é organizado como um conjunto de serviços, servidores e clientes associados e possui como principais componentes um conjunto de servidores oferecendo serviços para outros subsistemas, conjunto de clientes os quais solicitam os serviços e que normalmente são subsistemas independentes e uma rede que permita aos clientes conectarem-se com os servidores (SOMMERVILLE, 2007). Há o caso de o servidor e o cliente estarem na mesma máquina em que não é necessária uma rede, pois os clientes e servidores são processos separados em um mesmo computador, não havendo necessariamente um mapeamento de rede entre eles, a referência a clientes ou servidores não é relacionada à computadores e sim aos processos lógicos em execução, mas a maioria dos sistemas cliente/servidor são desenvolvidos de maneira

33 33 distribuída, utilizando-se rede. Geralmente os clientes precisam saber os nomes dos servidores e quais serviços estes dispõem, mas nem sempre os servidores necessitam saber a identidade dos clientes, para que os clientes acessem os serviços são utilizadas chamadas de procedimento remoto utilizando-se para isso algum protocolo (SOMMERVILLE, 2007). Nos sistemas operacionais modernos existe uma tendência em mover a maior quantidade de código de programa do núcleo do SO para a área do usuário, deixando assim um mínimo de componentes de núcleo. Para requisitar um serviço, um processo de usuário, conhecido como processo cliente, envia uma requisição para um processo servidor, que efetua o trabalho e remete o resultado ao cliente. Nesse modelo o trabalho do núcleo do SO é gerenciar a comunicação entre clientes e servidores, isso possibilita que existam diversos serviços disponíveis, independentes, pequenos e gerenciáveis, impedindo que tais serviços tenham acesso direto ao hardware, evitando assim, em caso de problemas na execução de algum serviço, que os outros processos sejam afetados (TANENBAUM; WOODHULL, 2000). 2.5 Rede e Serviços Redes de computadores possibilitam que os clientes, usuários de serviços diversos, conectem-se com os servidores, provedores dos serviços, atualmente são importantes para as comunicações, transações comerciais, bancos, acesso á internet entre outras atividades. Para que as redes funcionem é necessário um conjunto de elementos que compões sua infraestrutura básica como endereçamento IP, resolução de nomes e serviços de certificados digitais (DEITEL; DEITEL; CHOFFNES, 2005).

34 Infra-estrutura de rede Infra-estrutura de rede é o conjunto de componentes físicos e lógicos que provêem conectividade, segurança, roteamento, gerenciamento, acesso e outras funcionalidades. Implementar uma rede é o processo de avaliação, compra, montagem e instalação dos componentes que fazem parte do projeto, sendo dividido em hardware tais como computadores, cabos, dispositivos de conectividade como hubs, switches e roteadores, impressoras e outros periféricos e software como o sistema operacional, o software primário tratando-se de infra-estrutura de rede, devido a ele incorporar os protocolos e rotinas que possibilitam a comunicação em rede (ZACKER; STEVEN, 2006). A infra-estrutura física da rede é sua topologia, ou seja, o desenho físico da rede ao longo dos componentes de hardware, tais componentes freqüentemente dependem da infraestrutura lógica da rede que compreende os vários programas que conectam, gerenciam e mantêm a segurança dos computadores na rede, ainda, consiste nos elementos abstratos de software, como os protocolos de rede, e nos elementos concretos, como produtos específicos de software, permitindo a comunicação entre computadores através da infra-estrutura física (ZACKER; STEVEN, 2006) Protocolo TCP/IP O protocolo TCP/IP (Transmission Control Protocol/Internet Protocol Protocolo de Controle de Transmissão/Protocolo de Internet) é um conjunto de programas criado ao longo dos anos, iniciando-se por volta da década de 1970, ajudado pelos fundos de pesquisas do governo norte americano, em especial pelo Departamento de Defesa (DoD), pois estes órgãos

35 35 efetuavam grande quantidade de compra de equipamento que em sua maioria era incompatível entre si, então nasce o TCP/IP como uma linguagem de comunicação, inicialmente alternativa, para interligar os diversos equipamentos que somente dispunham de protocolos de comunicação proprietários, tornando-se, com o passar do tempo, o protocolo padrão de comunicação (MINASI et al., 2001). Originalmente, segundo o autor, a rede do DoD interligava sites militares e de pesquisas básicas nos Estados Unidos da América (EUA), fundadas por um braço do DoD chamado Advanced Research Project Agency (ARPA Agência de Pesquisa em Projetos Avançados), que achou conveniente a comunicação dos pesquisadores entre si e com o DoD. A rede formada, chamada ARPAnet, foi então colocada em funcionamento, conectando os professores universitários entre si e com os líderes de projetos civis e militares por todo o país, tornando-se então a rede das redes, já que interligava redes particulares e independentes das redes militares. Inicialmente, segundo Minasi et al. (2001), a ARPAnet utilizava um protocolo chamado Network Control Protocol (NCP Protocolo de Controle de Rede) que mais tarde foi aperfeiçoado e originou dois protocolos, o Internet Protocol (IP Protocolo de Internet) e o Transmission Control Protocol (TCP Protocolo de Controle de Transmissão), tal mudança configura-se como a diferença técnica entre a ARPAnet e a Internet. Em 1º de janeiro de 1983, os dispositivos de comutação de pacotes da ARPAnet pararam de aceitar pacotes NCP, aceitando somente pacotes TCP/IP. De certa forma, 1º de janeiro de 1983 é o dia do nascimento oficial da Internet. Algumas das características básicas do TCP/IP são (MINASI et al., 2001): Boa recuperação de falhas; Capacidade de conectar novas redes sem parada nos serviços; Capacidade de manipular altas taxas de erro; Ser independente de fornecedor específico; Acréscimo de dados extra, chamado de overhead, muito baixo. O endereçamento IP possui 32 bits, definidos por um administrador de rede, em cada equipamento conectado à rede, sendo formado por quatro octetos e estes são convertidos e exibidos em números decimais, processo este que facilita a compreensão, este endereço é

36 36 atribuído via software para a placa de rede. Uma placa de rede possui um endereço ethernet, que é um código de identificação único, gravado fisicamente na mesma, possuindo 48 bits, expressos em forma hexadecimal, tal endereço também é conhecido por Media Access Control (MAC Controle de Acesso de Mídia) e é controlado centralmente 3 sendo vendido aos fornecedores de componentes. (MINASI et al., 2001) DNS e DHCP Domain Name System (DNS Sistema de Nome de Domínio) permite que seja localizado computador ou outro recurso na rede pelo nome em uma rede TCP/IP, provê uma estrutura hierárquica e métodos automáticos de armazenar e resolver nomes de computadores em endereços IP solucionando muitas das dificuldades associadas a estrutura de nomes na internet. Cada registro em um domínio DNS pode ser identificado pelo Fully Qualified Domain Name (FQDN Domínio Completamente Expressado) que não permite ambigüidade e indica a localização relativa à raiz da árvore do domínio DNS (MACKIN; MCLEAN, 2006). O DNS permite que seja possível localizar serviços em uma rede TCP/IP, como o domínio e o resultado da consulta ao DNS seja o endereço IP do serviço, no caso, Os componentes do DNS são (MACKIN; MCLEAN, 2006): Servidores DNS são computadores que executam o programa DNS, como o Berkley Internet Name Domain (BIND Nome de Domínio da Internet de Berkley), que possuem bases de dados com informações sobre a parte da árvore hierárquica que lhe 3 O IEEE é a autoridade certificadora que controla os endereços MAC, disponível em <

37 37 pertence, ao serem consultados pelos clientes, podem fornecer a informação solicitada, ou indicar outro servidor DNS para ajudar na solução do nome desejado; Zonas DNS é um local da árvore hierárquica sob autoridade de um servidor DNS, um servidor DNS será autoridade para uma zona se ele armazenar esta zona; DNS Resolvers é o serviço que utiliza o protocolo DNS para solicitar informações de um servidor DNS. Por sua vez o Dynamic Host Configuration Protocol (DHCP Protocolo de Configuração Dinâmica de Cliente) permite que endereços IP sejam entregues automaticamente aos computadores, bem como configurações relacionadas, como endereço dos servidores DNS entre outras possibilidades. A principal vantagem de seu uso é a redução do tempo requerido para configurar todos os parâmetros manualmente a cada vez que um equipamento é instalado na rede, aliado a isso o DHCP reduz, ou mesmo elimina, erros de configuração que poderiam ser causados com a configuração manual de cada computador na rede (MACKIN; MCLEAN, 2006) Criptografia e Certificados Digitais Atualmente as empresas utilizam redes de computador, como a internet, para troca de informações com fornecedores, clientes, parceiros externos ou mesmo entre unidades geograficamente separadas da mesma empresa criando a necessidade de garantir a segurança destas informações. Para isso são requeridas certas validações ou identificações por parte dos usuários (TODD; JOHNSON JR, 2002). Inicialmente a identificação dos usuários era feita somente com um nome de usuário (login) e senha, mas não a identificação do cliente e servidor possibilitando ataques do tipo man-in-the-midle, ou seja, quando há comunicação entre duas partes que acreditam estarem se comunicando somente uma com a outra, mas na verdade há um ouvinte silencioso

38 38 intermediário na comunicação. O rápido crescimento do uso da internet trouxe novas preocupações de segurança, pois pessoas inescrupulosas podem roubar ou modificar informações. Desta forma, para proteger a informação as empresas passaram a utilizar de tecnologias de criptografia, que provêem maneiras de identificar os usuários e servidores durante o uso da rede (TODD; JOHNSON JR, 2002). Criptografia vem a ser o ato de transformar uma mensagem de texto simples em um texto ilegível com a finalidade de proteger o seu conteúdo. Existem três tipos de funções criptográficas, sendo estas (TODD; JOHNSON JR, 2002): Função hash, que não envolve o uso de chave criptográfica valendo-se de algoritmos matemáticos para embaralhar os dados; Criptografia de chave simétrica, que é um método que é um método que utiliza chaves secretas, este utiliza uma única chave para criptografar e descriptografar a informação; Criptografia de chave assimétrica; Também conhecida por criptografia de chave pública, em que cada lado da comunicação possui duas chaves sendo uma a chave pública e a outra a chave privada, as públicas são deixadas disponíveis para todos que desejarem e a privada apenas o dono tem acesso. Os dados são criptografados com a chave pública e descriptografados com a chave privada. Esse método elimina a vulnerabilidade no compartilhamento de chaves, no caso do método de chaves secretas. Para publicar e gerenciar chaves públicas, aos que necessitam das mesmas, faz-se uso da Infra-estrutura de Chaves Públicas (ICP), além disso, a ICP também gerencia os Certificados Digitais e a Assinatura Digital. A ICP define os meios e regras técnicas que validam documentos produzidos, transmitidos ou obtidos de forma eletrônica. A Certification Authority (CA Autoridade Certificadora) constrói o certificado para o usuário onde constará um Distinguished Name (DN Nome Distinto), único em todo o sistema e contendo diversas informações sobre o usuário, uma das quais a chave pública (SILVA, 2005). O Certificado contém uma Assinatura Digital da CA garantindo um relacionamento de confiança, ou seja, qualquer entidade que confiar na legitimidade da CA irá acreditar no conteúdo dos Certificados emitidos por ela e conseqüentemente, na identidade dos usuários que receberam os Certificados. (SILVA, 2005, p. 111) A CA tem três processos básicos, sendo estes a certificação, a validação e a revogação de certificados. A certificação é a união entre uma entidade ou atributo com a chave pública,

39 39 essa união juntamente com algumas informações únicas é colocada em um documento digital chamado certificado. Uma terceira entidade, confiável, assina digitalmente o certificado garantindo o seu conteúdo, essa terceira entidade é a CA. A validação é o processo de verificação da autenticidade do certificado para que as informações nele contidas tenham credibilidade, neste processo é verificada a assinatura da CA com a chave pública dela, analisando se o certificado esta ou não na lista de certificados revogados, tal lista possui todos os certificados que foram revogados pela CA, portanto não são mais válidos, é verificada ainda a data de validade do certificado (SILVA, 2005). Finalmente a revogação de certificados é o processo que adiciona um certificado à lista de certificados revogados antes que este expire pela sua data de validade. Para que seja revogado, alguns dos diversos atributos do certificado devem ter sofrido alteração então este é inserido na lista de certificados revogados. É responsabilidade de a CA manter todos os certificados que ela distribuiu até mesmo revogá-los se for necessário. A lista de certificados revogados é composta do número de série do certificado e deve ser publicada pela CA periodicamente (SILVA, 2005) Serviço de diretório O Active Directory (AD Diretório Ativo) é um serviço de diretório extensível e escalonável que permite a gerencia eficiente dos recursos de rede, o AD é o coração do Microsoft Windows 2000, tendo sua base em protocolos padrão da internet e possui um desenho que permite claramente definir a estrutura da rede. O DNS é uma parte integrante do AD, logo deve ser configurado na rede antes que se faça a instalação do AD, e fornece estruturas lógicas e físicas para os componentes de rede (STANEK, 2009). Algumas das estruturas lógicas são domínios, grupo de computadores que compartilham uma base de dados comum do diretório e unidades organizacionais, um

40 40 subgrupo do domínio sendo um espelho do negócio ou da estrutura funcional da companhia. As estruturas físicas são sub-redes, um grupo de rede com uma faixa de IP específica e sites, uma ou mais sub-redes que são configuradas para acesso e replicação do AD. Um domínio do AD é um grupo de computadores que compartilham uma base de dados do diretório com seus nomes de domínio, FQDN, únicos, cada domínio possui sua própria política de segurança e confiança com outros domínios, estes também podem dividir-se em mais de uma localidade física. Com uma base de dados de diretório é possível encontrar objetos na rede como contas de usuários, grupos de usuários, computadores bem como recursos compartilhados como pastas e impressoras (STANEK, 2009). No contexto de rede de computadores um diretório, também chamado de data store, é uma estrutura hierárquica que armazena informações sobre objetos na rede, objetos são recursos compartilhados como servidores, discos compartilhados, impressoras, usuários, computadores, domínios, aplicações, serviços, políticas de segurança, dentre outros, que possam existir na rede de computadores (MICROSOFT CORPORATION, 2009). Um serviço de diretório difere do diretório, pois torna a topologia de rede transparente, então um usuário pode acessar qualquer recurso sem conhecer onde ou como ele esta conectado fisicamente. O AD é um serviço de diretório central do Windows 2000 Server e posteriores, que somente executa em Domain Controllers (DC Controlador de Domínio) Controladores de Domínio, adicionalmente ao provimento de um local para armazenar dados e serviços tornando-os disponíveis, também protege os objetos de acessos não autorizados e proporciona replicação dos objetos através da rede com isso não há perda de dados se um DC falhar, considerando que existem no mínimo dois DC na rede (MICROSOFT CORPORATION, 2009).

41 VPN Virtual Private Network (VPN Rede Privada Virtual) são redes lógicas que cruzam a internet, com elas os pacotes são primeiro criptografados e então enviados para o destino, o tráfego de pacotes com conteúdo criptografado na rede pública forma um túnel através da internet, como pode ser visto na figura 4, até o destino dos pacotes, onde são descriptografados pelo receptor. Uma característica importante de uma VPN, é que existe transparência entre as pontas conectadas pela mesma, ou seja, não importa o caminho tomado pelos pacotes na estrutura de internet pública, pois parecerá aos envolvidos que estão em um segmento isolado de rede, como uma rede local, por exemplo, conforme pode ser visto na figura 5. Tipicamente a VPN é utilizada para permitir que usuários remotos acessem uma rede privada (MACKIN; MCLEAN, 2006). Figura 4 Visão do túnel criado por uma VPN.

42 42 Figura 5 Visão da funcionalidade de uma VPN interligando duas redes locais. Uma VPN possui algumas premissas básicas, como privacidade, integridade, autenticidade, não-repúdio e facilidade. A privacidade faz com que somente pessoas que podem receber alguma informação possam recebê-la; a integridade é a garantia de que a informação enviada será recebida sem modificações e isso pode ser obtido por meio da função hash; a autenticidade é a garantia da identidade do remetente, normalmente fornecida pela assinatura digital; não-repúdio vem da garantia de o emissor não negará a informação posteriormente; e facilidade é a garantia de que o sistema de segurança escolhido e implantado foi feito de forma consistente e adequada para todas as aplicações da empresa sem restringir a capacidade de indivíduos e organizações de empreender suas tarefas diárias (SILVA, 2005). Pode haver dois tipos de conexão VPN, sendo uma o acesso remoto, que consiste em um único computador de usuário que se conecta em uma rede a partir de um local remoto, visto na figura 6, e o site-to-site, que conecta duas partes de uma rede privada ou duas redes privadas distintas, visto na figura 7. Tunelamento é a tecnologia que permite encapsular um

43 43 tipo de protocolo em um outro protocolo distinto, um túnel é similar a uma sessão onde ambas as partes terminais devem aceitar o túnel e negociar configurações variáveis como endereçamento, criptografia e compressão, depois de o túnel ser estabelecido dados podem ser enviados (MICROSOFT CORPORATION, 2003). Figura 6 Acesso remoto com VPN. Figura 7 VPN site-to-site. O Windows Server 2003 suporta dois tipos de VPN, Point-to-Point Tunneling Protocol (PPTP Protocolo de Túnel Ponto a Ponto) e Layer Two Tunneling Protocol/IP Security Protocol (L2TP/IPSec Protocolo de Túnel Camada Dois/Protocolo de IP Seguro), em geral o tipo PPTP é mais fácil de implementar porém menos seguro que o L2TP/IPSec. (MACKIN; MCLEAN, 2006). O PPTP encapsula o Point-to-Point Protocol (PPP Protocolo Ponto a Ponto) no IP para transmissão através da uma rede TCP/IP. A autenticação ocorre durante a criação da VPN e usa o mesmo mecanismo do PPP como Extensible Authentication Protocol (EAP Protocolo de Autenticação Extensível), Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP Protocolo de Autenticação por Desafios de Identidade da Microsoft), Microsoft Challenge-Handshake Autentication Protocol version 2 (MS-CHAP v2), CHAP, Shiva Password Authentication Protocol (SPAP Protocolo de Autenticação de Senha Shiva) e Password Authentication Protocol (PAP Protocolo de Autenticação de Senha), para que a