Partilhar: WhatsApp
aulify · Sebenta
UC · Unidade de Competência · UC00241

Protocolos e serviços de rede

Sebenta · TCP/IP, DNS, HTTP, segurança
50h · 4.5 pontos crédito Curso: T. Desenv. Software, T. Sist. Comp. Redes, T. Inform. Gestão ↗ Referencial oficial SNQ
Índice

Apresentação

UC00241 (50h · 4,5 pts) é a UC central de redes. Cobre modelos OSI/TCP-IP, protocolos principais (IP, TCP, UDP, HTTP, DNS, DHCP, SMTP), segurança em rede (TLS, firewalls, VPN) e diagnóstico.

Tudo o que faz a Internet funcionar passa por estes conceitos.

Modelos de referência

OSI · 7 camadas

Camada Função Protocolos / equipamento
7 · Aplicação Interage com utilizador HTTP, DNS, SMTP, FTP
6 · Apresentação Codificação, encriptação TLS, JPEG, MIME
5 · Sessão Inicia/encerra ligações NetBIOS, RPC
4 · Transporte Entrega end-to-end TCP, UDP
3 · Rede Encaminhamento IP, ICMP, routers
2 · Ligação Frames na rede local Ethernet, switches
1 · Física Bits no meio Cabos, fibra, antenas

Modelo didáctico — muito raro alinhar perfeitamente com a realidade.

TCP/IP · 4 camadas

O modelo real. O que se usa.

Camada OSI equivalente Protocolos
Aplicação 5-7 HTTP, DNS, SMTP, FTP, SSH
Transporte 4 TCP, UDP
Internet 3 IP, ICMP, ARP
Acesso à rede 1-2 Ethernet, Wi-Fi, PPP

Camada de Internet

IPv4

Endereço 32 bits, formato 192.168.1.100 (4 octetos).

Classes (legado, hoje usa-se CIDR): - Classe A: 1-126 (grandes redes) - Classe B: 128-191 (médias) - Classe C: 192-223 (pequenas) - Classe D: multicast - Classe E: experimental

Endereços especiais: - 0.0.0.0 — esta rede. - 127.0.0.1 — loopback (próprio). - 255.255.255.255 — broadcast. - 169.254.x.x — link-local (DHCP falhou).

Endereços privados (RFC 1918)

Não roteáveis na internet pública:

NAT

Network Address Translation: router converte IPs privados em 1 IP público partilhado, com mapeamento de portas. Permite milhares de dispositivos partilharem 1 IP público.

IPv6

Endereço 128 bits. Formato 2001:0db8:85a3::8a2e:0370:7334.

Vantagens: - Espaço enorme (3.4 × 10³⁸). - Sem necessidade de NAT. - Header simplificado, mais eficiente.

Em 2026 a maioria das redes usa dual-stack (IPv4 + IPv6 em paralelo). Migração ainda em curso.

Sub-redes e CIDR

CIDR (Classless Inter-Domain Routing) usa /N para máscara:

Cálculo:

192.168.1.0/24:
  Rede:        192.168.1.0
  Máscara:     255.255.255.0
  Broadcast:   192.168.1.255
  Hosts:       192.168.1.1 - 192.168.1.254
  Total hosts: 254

ARP

Address Resolution Protocol — mapeia IP a MAC dentro da LAN.

"Quem tem IP 192.168.1.5? Diz ao 192.168.1.10."
"Eu! Sou 00:AA:BB:CC:DD:EE."

Tabela ARP do PC: arp -a.

ICMP

Internet Control Message Protocol. Mensagens de controlo: - ping — Echo Request / Reply. - "Destination unreachable". - "TTL expired" (usado por traceroute).

Camada de Transporte

TCP

Transmission Control Protocol. Fiável, orientado a conexão.

3-way handshake:

Cliente  SYN  Servidor
Cliente  SYN-ACK  Servidor
Cliente  ACK  Servidor
[Ligação estabelecida]

Garantias: - Entrega — retransmite se pacote se perde. - Ordem — reordena pacotes recebidos. - Controlo de congestão — abranda se rede está saturada. - Controlo de fluxo — não satura receptor.

Uso: HTTP, HTTPS, SSH, SMTP, FTP, IMAP, MySQL — tudo onde precisas que chegue íntegro.

UDP

User Datagram Protocol. Rápido, sem conexão, sem garantias.

Uso: DNS (queries curtas), DHCP, streaming (vídeo, voz), gaming, VPN (WireGuard).

Portas

Identificam serviços. Intervalo 0-65535.

Porta TCP/UDP Serviço
20, 21 TCP FTP (data, control)
22 TCP SSH
23 TCP Telnet (obsoleto)
25 TCP SMTP
53 TCP/UDP DNS
67, 68 UDP DHCP (server, client)
80 TCP HTTP
110 TCP POP3
143 TCP IMAP
443 TCP HTTPS
465 TCP SMTP TLS (legado)
587 TCP SMTP submission
993 TCP IMAPS
995 TCP POP3S
3306 TCP MySQL
5432 TCP PostgreSQL
3389 TCP RDP
8080 TCP HTTP alternativo

Camada de aplicação

DNS

Domain Name System — traduz nomes em IPs.

Hierárquico:

.                 ← root
  .pt             ← TLD
    aulify.pt     ← domínio
      www         ← subdomínio

Records:

Tipo Conteúdo Exemplo
A IPv4 aulify.pt. A 185.199.108.153
AAAA IPv6 aulify.pt. AAAA 2606:50c0::153
CNAME Alias www.aulify.pt. CNAME aulify.pt.
MX Mail server aulify.pt. MX 10 mx1.aulify.pt.
TXT Texto livre SPF, DKIM, verificações
NS Servidor de nomes aulify.pt. NS ns1.dns.pt.
PTR Reverso IP→nome usado em logs

Comandos:

dig aulify.pt
dig aulify.pt MX
dig @8.8.8.8 aulify.pt
nslookup aulify.pt

DHCP

Dynamic Host Configuration Protocol — atribui IPs automaticamente.

DORA: 1. Discover — cliente broadcast "Preciso de IP". 2. Offer — servidor oferece IP. 3. Request — cliente aceita. 4. Acknowledge — servidor confirma.

Servidor entrega: IP, máscara, gateway, DNS, NTP, lease time.

HTTP

Protocolo texto, request-response:

GET /pagina.html HTTP/1.1
Host: aulify.pt
User-Agent: Mozilla/5.0
Accept: text/html
Cookie: session=abc123

Resposta:

HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html; charset=utf-8
Content-Length: 1234

<html>...</html>

Métodos: - GET — buscar recurso (sem efeito). - POST — criar / enviar dados. - PUT — substituir. - PATCH — modificar parcial. - DELETE — apagar. - HEAD — só headers (verificar recurso). - OPTIONS — capabilities.

Códigos de estado:

Código Significado
200 OK
201 Created
204 No Content
301 Moved Permanently
302 Found (redirect)
304 Not Modified
400 Bad Request
401 Unauthorized
403 Forbidden
404 Not Found
429 Too Many Requests
500 Internal Server Error
502 Bad Gateway
503 Service Unavailable

HTTPS

HTTP + TLS. Cifrado, autenticado.

Handshake TLS: 1. Cliente apresenta versões TLS e ciphers suportados. 2. Servidor escolhe, apresenta certificado assinado por CA. 3. Cliente valida CA e dominio. 4. Acordo de chave simétrica (Diffie-Hellman). 5. Resto da sessão cifrado com AES (ou ChaCha20).

SMTP, IMAP, POP3

SMTP — envio de email (porta 25 server-to-server, 587 client submission).

IMAP (porta 143/993) — leitura no servidor; emails ficam lá.

POP3 (porta 110/995) — descarrega emails para o cliente (legado).

Segurança

TLS

Versões em uso em 2026: - TLS 1.0 / 1.1 — obsoletas, desactivar. - TLS 1.2 — ainda comum. - TLS 1.3 — recomendado, mais rápido e seguro.

Certificados: - Auto-assinados — só para testes locais. - Let's Encrypt — gratuito, automatizado (certbot). - DV (Domain Validated) — validação de domínio. - OV (Organization Validated) — verifica empresa. - EV (Extended Validation) — barra verde antiga, em desuso.

Firewalls

Filtram tráfego por regras.

Firewall de host — no SO da máquina: - Windows Defender Firewall. - ufw, firewalld, iptables, nftables (Linux).

Firewall de rede — equipamento dedicado: - pfSense, OPNsense (open-source). - Cisco ASA, Palo Alto, Fortinet (comerciais).

WAF (Web Application Firewall) — específico para HTTP, bloqueia ataques aplicacionais (SQL injection, XSS).

# UFW
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status

VPN

Túnel cifrado entre dois pontos.

Protocolos: - WireGuard — moderno, simples, rápido. Recomendado. - OpenVPN — popular, configurável, mais antigo. - IPsec — empresarial, complexo.

Usos: - Trabalho remoto (entrar na rede da empresa). - Privacidade pessoal (esconder do ISP). - Acesso geo-restrito.

NAT como protecção

NAT esconde IPs internos. Não é firewall, mas adiciona uma camada — IPs internos não são directamente alcançáveis pela internet.

Diagnóstico

Ferramentas básicas

Comando Função
ping host Conectividade ICMP
traceroute host Caminho de routers
dig / nslookup DNS
ipconfig / ip addr Configuração local
route / ip route Tabela de rotas
arp -a / ip neigh Tabela ARP
netstat / ss Sockets e portas
nmap Scan de portas
curl -v host HTTP debug

tcpdump

Captura pacotes em CLI:

sudo tcpdump -i eth0                  # tudo na eth0
sudo tcpdump -i any port 80           # só HTTP
sudo tcpdump -i any host 192.168.1.5  # tráfego de/para IP
sudo tcpdump -i any -w out.pcap       # gravar

Wireshark

GUI sobre libpcap. Ler capturas, filtrar, dissecar protocolos.

ip.src == 192.168.1.10
tcp.port == 443
http.request.method == "GET"

Diagnóstico estruturado

Quando algo não funciona:

  1. Físico — cabo ligado, Wi-Fi associado.
  2. Camada 3 — IPip addr mostra IP válido?
  3. Gatewayping gateway responde?
  4. DNSnslookup host resolve?
  5. Internetping 8.8.8.8 ok?
  6. Aplicaçãocurl https://... funciona?

Apêndices

A · Cheatsheet portas

22  SSH       80   HTTP     443  HTTPS
25  SMTP      110  POP3     995  POP3S
53  DNS       143  IMAP     993  IMAPS
67  DHCP-S    587  SMTP     3306 MySQL
68  DHCP-C    3389 RDP      5432 PostgreSQL

B · Glossário

ARP. Address Resolution Protocol. CIDR. Classless Inter-Domain Routing. DHCP. Dynamic Host Configuration Protocol. DNS. Domain Name System. FQDN. Fully Qualified Domain Name (ex.: www.aulify.pt.). MAC. Media Access Control — endereço físico. NAT. Network Address Translation. TCP/UDP. Protocolos de transporte. TLS. Transport Layer Security.

C · Recursos