Protocolos e serviços de rede
Apresentação
UC00241 (50h · 4,5 pts) é a UC central de redes. Cobre modelos OSI/TCP-IP, protocolos principais (IP, TCP, UDP, HTTP, DNS, DHCP, SMTP), segurança em rede (TLS, firewalls, VPN) e diagnóstico.
Tudo o que faz a Internet funcionar passa por estes conceitos.
Modelos de referência
OSI · 7 camadas
| Camada | Função | Protocolos / equipamento |
|---|---|---|
| 7 · Aplicação | Interage com utilizador | HTTP, DNS, SMTP, FTP |
| 6 · Apresentação | Codificação, encriptação | TLS, JPEG, MIME |
| 5 · Sessão | Inicia/encerra ligações | NetBIOS, RPC |
| 4 · Transporte | Entrega end-to-end | TCP, UDP |
| 3 · Rede | Encaminhamento | IP, ICMP, routers |
| 2 · Ligação | Frames na rede local | Ethernet, switches |
| 1 · Física | Bits no meio | Cabos, fibra, antenas |
Modelo didáctico — muito raro alinhar perfeitamente com a realidade.
TCP/IP · 4 camadas
O modelo real. O que se usa.
| Camada | OSI equivalente | Protocolos |
|---|---|---|
| Aplicação | 5-7 | HTTP, DNS, SMTP, FTP, SSH |
| Transporte | 4 | TCP, UDP |
| Internet | 3 | IP, ICMP, ARP |
| Acesso à rede | 1-2 | Ethernet, Wi-Fi, PPP |
Camada de Internet
IPv4
Endereço 32 bits, formato 192.168.1.100 (4 octetos).
Classes (legado, hoje usa-se CIDR): - Classe A: 1-126 (grandes redes) - Classe B: 128-191 (médias) - Classe C: 192-223 (pequenas) - Classe D: multicast - Classe E: experimental
Endereços especiais:
- 0.0.0.0 — esta rede.
- 127.0.0.1 — loopback (próprio).
- 255.255.255.255 — broadcast.
- 169.254.x.x — link-local (DHCP falhou).
Endereços privados (RFC 1918)
Não roteáveis na internet pública:
10.0.0.0/8—10.0.0.0a10.255.255.255.172.16.0.0/12—172.16.0.0a172.31.255.255.192.168.0.0/16—192.168.0.0a192.168.255.255.
NAT
Network Address Translation: router converte IPs privados em 1 IP público partilhado, com mapeamento de portas. Permite milhares de dispositivos partilharem 1 IP público.
IPv6
Endereço 128 bits. Formato 2001:0db8:85a3::8a2e:0370:7334.
Vantagens: - Espaço enorme (3.4 × 10³⁸). - Sem necessidade de NAT. - Header simplificado, mais eficiente.
Em 2026 a maioria das redes usa dual-stack (IPv4 + IPv6 em paralelo). Migração ainda em curso.
Sub-redes e CIDR
CIDR (Classless Inter-Domain Routing) usa /N para máscara:
/24=255.255.255.0= 256 endereços (254 utilizáveis)./16=255.255.0.0= 65536./8=255.0.0.0= 16M./29=255.255.255.248= 8 endereços (6 utilizáveis).
Cálculo:
192.168.1.0/24:
Rede: 192.168.1.0
Máscara: 255.255.255.0
Broadcast: 192.168.1.255
Hosts: 192.168.1.1 - 192.168.1.254
Total hosts: 254
ARP
Address Resolution Protocol — mapeia IP a MAC dentro da LAN.
"Quem tem IP 192.168.1.5? Diz ao 192.168.1.10."
"Eu! Sou 00:AA:BB:CC:DD:EE."
Tabela ARP do PC: arp -a.
ICMP
Internet Control Message Protocol. Mensagens de controlo:
- ping — Echo Request / Reply.
- "Destination unreachable".
- "TTL expired" (usado por traceroute).
Camada de Transporte
TCP
Transmission Control Protocol. Fiável, orientado a conexão.
3-way handshake:
Cliente → SYN → Servidor
Cliente ← SYN-ACK ← Servidor
Cliente → ACK → Servidor
[Ligação estabelecida]
Garantias: - Entrega — retransmite se pacote se perde. - Ordem — reordena pacotes recebidos. - Controlo de congestão — abranda se rede está saturada. - Controlo de fluxo — não satura receptor.
Uso: HTTP, HTTPS, SSH, SMTP, FTP, IMAP, MySQL — tudo onde precisas que chegue íntegro.
UDP
User Datagram Protocol. Rápido, sem conexão, sem garantias.
- Envia datagrama e esquece.
- Não retransmite.
- Não ordena.
- Header pequeno.
Uso: DNS (queries curtas), DHCP, streaming (vídeo, voz), gaming, VPN (WireGuard).
Portas
Identificam serviços. Intervalo 0-65535.
- Well-known (0-1023) — atribuídas pela IANA.
- Registered (1024-49151) — pacotes conhecidos.
- Dynamic (49152-65535) — efémeras, cliente.
| Porta | TCP/UDP | Serviço |
|---|---|---|
| 20, 21 | TCP | FTP (data, control) |
| 22 | TCP | SSH |
| 23 | TCP | Telnet (obsoleto) |
| 25 | TCP | SMTP |
| 53 | TCP/UDP | DNS |
| 67, 68 | UDP | DHCP (server, client) |
| 80 | TCP | HTTP |
| 110 | TCP | POP3 |
| 143 | TCP | IMAP |
| 443 | TCP | HTTPS |
| 465 | TCP | SMTP TLS (legado) |
| 587 | TCP | SMTP submission |
| 993 | TCP | IMAPS |
| 995 | TCP | POP3S |
| 3306 | TCP | MySQL |
| 5432 | TCP | PostgreSQL |
| 3389 | TCP | RDP |
| 8080 | TCP | HTTP alternativo |
Camada de aplicação
DNS
Domain Name System — traduz nomes em IPs.
Hierárquico:
. ← root
.pt ← TLD
aulify.pt ← domínio
www ← subdomínio
Records:
| Tipo | Conteúdo | Exemplo |
|---|---|---|
| A | IPv4 | aulify.pt. A 185.199.108.153 |
| AAAA | IPv6 | aulify.pt. AAAA 2606:50c0::153 |
| CNAME | Alias | www.aulify.pt. CNAME aulify.pt. |
| MX | Mail server | aulify.pt. MX 10 mx1.aulify.pt. |
| TXT | Texto livre | SPF, DKIM, verificações |
| NS | Servidor de nomes | aulify.pt. NS ns1.dns.pt. |
| PTR | Reverso IP→nome | usado em logs |
Comandos:
dig aulify.pt
dig aulify.pt MX
dig @8.8.8.8 aulify.pt
nslookup aulify.pt
DHCP
Dynamic Host Configuration Protocol — atribui IPs automaticamente.
DORA: 1. Discover — cliente broadcast "Preciso de IP". 2. Offer — servidor oferece IP. 3. Request — cliente aceita. 4. Acknowledge — servidor confirma.
Servidor entrega: IP, máscara, gateway, DNS, NTP, lease time.
HTTP
Protocolo texto, request-response:
GET /pagina.html HTTP/1.1
Host: aulify.pt
User-Agent: Mozilla/5.0
Accept: text/html
Cookie: session=abc123
Resposta:
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Content-Length: 1234
<html>...</html>
Métodos: - GET — buscar recurso (sem efeito). - POST — criar / enviar dados. - PUT — substituir. - PATCH — modificar parcial. - DELETE — apagar. - HEAD — só headers (verificar recurso). - OPTIONS — capabilities.
Códigos de estado:
| Código | Significado |
|---|---|
| 200 | OK |
| 201 | Created |
| 204 | No Content |
| 301 | Moved Permanently |
| 302 | Found (redirect) |
| 304 | Not Modified |
| 400 | Bad Request |
| 401 | Unauthorized |
| 403 | Forbidden |
| 404 | Not Found |
| 429 | Too Many Requests |
| 500 | Internal Server Error |
| 502 | Bad Gateway |
| 503 | Service Unavailable |
HTTPS
HTTP + TLS. Cifrado, autenticado.
Handshake TLS: 1. Cliente apresenta versões TLS e ciphers suportados. 2. Servidor escolhe, apresenta certificado assinado por CA. 3. Cliente valida CA e dominio. 4. Acordo de chave simétrica (Diffie-Hellman). 5. Resto da sessão cifrado com AES (ou ChaCha20).
SMTP, IMAP, POP3
SMTP — envio de email (porta 25 server-to-server, 587 client submission).
IMAP (porta 143/993) — leitura no servidor; emails ficam lá.
POP3 (porta 110/995) — descarrega emails para o cliente (legado).
Segurança
TLS
Versões em uso em 2026: - TLS 1.0 / 1.1 — obsoletas, desactivar. - TLS 1.2 — ainda comum. - TLS 1.3 — recomendado, mais rápido e seguro.
Certificados: - Auto-assinados — só para testes locais. - Let's Encrypt — gratuito, automatizado (certbot). - DV (Domain Validated) — validação de domínio. - OV (Organization Validated) — verifica empresa. - EV (Extended Validation) — barra verde antiga, em desuso.
Firewalls
Filtram tráfego por regras.
Firewall de host — no SO da máquina:
- Windows Defender Firewall.
- ufw, firewalld, iptables, nftables (Linux).
Firewall de rede — equipamento dedicado: - pfSense, OPNsense (open-source). - Cisco ASA, Palo Alto, Fortinet (comerciais).
WAF (Web Application Firewall) — específico para HTTP, bloqueia ataques aplicacionais (SQL injection, XSS).
# UFW
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status
VPN
Túnel cifrado entre dois pontos.
Protocolos: - WireGuard — moderno, simples, rápido. Recomendado. - OpenVPN — popular, configurável, mais antigo. - IPsec — empresarial, complexo.
Usos: - Trabalho remoto (entrar na rede da empresa). - Privacidade pessoal (esconder do ISP). - Acesso geo-restrito.
NAT como protecção
NAT esconde IPs internos. Não é firewall, mas adiciona uma camada — IPs internos não são directamente alcançáveis pela internet.
Diagnóstico
Ferramentas básicas
| Comando | Função |
|---|---|
ping host |
Conectividade ICMP |
traceroute host |
Caminho de routers |
dig / nslookup |
DNS |
ipconfig / ip addr |
Configuração local |
route / ip route |
Tabela de rotas |
arp -a / ip neigh |
Tabela ARP |
netstat / ss |
Sockets e portas |
nmap |
Scan de portas |
curl -v host |
HTTP debug |
tcpdump
Captura pacotes em CLI:
sudo tcpdump -i eth0 # tudo na eth0
sudo tcpdump -i any port 80 # só HTTP
sudo tcpdump -i any host 192.168.1.5 # tráfego de/para IP
sudo tcpdump -i any -w out.pcap # gravar
Wireshark
GUI sobre libpcap. Ler capturas, filtrar, dissecar protocolos.
ip.src == 192.168.1.10
tcp.port == 443
http.request.method == "GET"
Diagnóstico estruturado
Quando algo não funciona:
- Físico — cabo ligado, Wi-Fi associado.
- Camada 3 — IP —
ip addrmostra IP válido? - Gateway —
ping gatewayresponde? - DNS —
nslookup hostresolve? - Internet —
ping 8.8.8.8ok? - Aplicação —
curl https://...funciona?
Apêndices
A · Cheatsheet portas
22 SSH 80 HTTP 443 HTTPS
25 SMTP 110 POP3 995 POP3S
53 DNS 143 IMAP 993 IMAPS
67 DHCP-S 587 SMTP 3306 MySQL
68 DHCP-C 3389 RDP 5432 PostgreSQL
B · Glossário
ARP. Address Resolution Protocol.
CIDR. Classless Inter-Domain Routing.
DHCP. Dynamic Host Configuration Protocol.
DNS. Domain Name System.
FQDN. Fully Qualified Domain Name (ex.: www.aulify.pt.).
MAC. Media Access Control — endereço físico.
NAT. Network Address Translation.
TCP/UDP. Protocolos de transporte.
TLS. Transport Layer Security.
C · Recursos
- PracticalNetworking.net · explicações claras.
- Cisco Packet Tracer · simulador educativo.
- Wireshark · captura e análise.
- RFC editor · rfc-editor.org — protocolos em fonte primária.