Capa do Ebook gratuito Preparatório para Analista de TI do DETRAN

Preparatório para Analista de TI do DETRAN

Novo curso

15 páginas
Todos os cursos > Concursos > Detran ::

Protocolos, serviços e troubleshooting em ambientes do DETRAN

Capítulo 7

Tempo estimado de leitura: 14 minutos

+ Exercício

Protocolos e serviços essenciais na operação do DETRAN

Em ambientes do DETRAN, a disponibilidade e a segurança dos serviços dependem do entendimento prático de protocolos de aplicação e de infraestrutura. O objetivo aqui é operar, monitorar e solucionar falhas com foco em evidências: o que observar, quais mensagens interpretar e quais testes executar com risco controlado.

HTTP e HTTPS na prática (operações e segurança)

HTTP é o protocolo de aplicação mais comum para sistemas web e APIs. HTTPS é HTTP encapsulado em TLS, garantindo confidencialidade, integridade e autenticação do servidor (e, em alguns casos, do cliente).

Pontos operacionais importantes:

  • Portas típicas: 80 (HTTP), 443 (HTTPS).
  • Métodos: GET (consulta), POST (envio), PUT/PATCH (atualização), DELETE (remoção).
  • Códigos de status: 2xx sucesso, 3xx redirecionamento, 4xx erro do cliente, 5xx erro do servidor.
  • Cabeçalhos críticos: Host (virtual host), Authorization (tokens), Cookie (sessão), Content-Type/Accept (formato), Cache-Control (cache), X-Forwarded-For (cadeias de proxy).
  • Segurança: uso de HTTPS obrigatório, HSTS, cookies com Secure/HttpOnly/SameSite, validação de entrada, proteção contra CSRF, limitação de taxa (rate limiting) e logs com cuidado para não expor dados sensíveis.

Mensagens comuns e interpretação:

  • 400 Bad Request: requisição malformada (JSON inválido, cabeçalho ausente, tamanho excedido).
  • 401 Unauthorized: falta/invalidade de credenciais (token expirado, assinatura inválida).
  • 403 Forbidden: credencial válida, mas sem permissão (perfil/escopo insuficiente, IP bloqueado, WAF).
  • 404 Not Found: rota inexistente ou virtual host incorreto.
  • 408 Request Timeout: cliente demorou a enviar ou proxy encerrou.
  • 429 Too Many Requests: limitação de taxa.
  • 502 Bad Gateway: proxy/gateway não conseguiu resposta válida do upstream (aplicação fora, porta errada, TLS upstream falhando).
  • 503 Service Unavailable: serviço indisponível (manutenção, overload, pool sem instâncias saudáveis).
  • 504 Gateway Timeout: upstream não respondeu no tempo (lentidão, deadlock, dependência externa).

TLS (o que verificar em falhas de HTTPS)

TLS é o conjunto de mecanismos criptográficos que protege a comunicação. Em operação, a maior parte dos incidentes de HTTPS envolve certificados, cadeia de confiança, compatibilidade de versões/ciphers e validação de nome (SNI/CN/SAN).

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Itens de segurança e conformidade:

  • Certificado: validade (expiração), emissor confiável, cadeia completa (intermediários), algoritmo e tamanho de chave adequados.
  • Hostname: o nome acessado deve estar em SAN/CN; atenção a aliases e domínios internos.
  • Versões: preferir TLS 1.2/1.3; desabilitar versões legadas conforme política.
  • mTLS (TLS mútuo): quando exigido, o cliente também apresenta certificado; falhas costumam ser “certificado do cliente ausente/expirado/não confiável”.

Mensagens comuns:

  • certificate has expired: certificado vencido (servidor ou cliente em mTLS).
  • unable to get local issuer certificate: cadeia incompleta ou CA não confiável.
  • hostname mismatch: nome não corresponde ao certificado.
  • handshake failure: incompatibilidade de ciphers/versões ou política rígida no servidor.

SMTP (envio de e-mails transacionais e alertas)

SMTP é usado para envio de e-mails (notificações, recuperação de senha, alertas). Em ambientes corporativos, é comum haver relay autenticado e políticas anti-spam.

Pontos operacionais:

  • Portas típicas: 25 (relay interno), 587 (submission com autenticação), 465 (SMTPS em alguns cenários).
  • Autenticação: usuário/senha, OAuth (quando aplicável), ou IP allowlist em relay interno.
  • TLS: STARTTLS (upgrade) ou TLS direto; políticas podem exigir criptografia.
  • Filas: mensagens podem ficar em fila por indisponibilidade do servidor destino ou bloqueios.

Mensagens comuns:

  • 535 Authentication failed: credenciais inválidas, conta bloqueada, método não permitido.
  • 550 Relaying denied: relay não autorizado (domínio/rota/política).
  • 421 Service not available: servidor indisponível ou limitando conexões.
  • 451/452: falha temporária (greylisting, recursos insuficientes).

SNMP (monitoramento e observabilidade de infraestrutura)

SNMP permite coletar métricas e eventos de equipamentos e serviços (CPU, memória, interfaces, erros, temperatura). Para operação segura, a recomendação é priorizar SNMPv3 (autenticação e criptografia).

Boas práticas:

  • Evitar SNMPv1/v2c em redes sensíveis (community string exposta).
  • SNMPv3: usar authPriv (autenticação + privacidade), senhas fortes, rotação e controle de acesso por origem.
  • Portas: UDP 161 (queries), UDP 162 (traps).
  • Escopo: coletar apenas OIDs necessários; limitar por ACL/firewall.

Mensagens comuns:

  • Timeout: No Response: bloqueio de rede/ACL, serviço SNMP parado, comunidade/usuário incorreto.
  • Authentication failure: credenciais SNMPv3 incorretas ou engine ID divergente.

NTP (sincronismo de tempo e impacto em autenticação)

NTP mantém relógios sincronizados. Desvios de tempo causam falhas em autenticação (tokens com expiração, Kerberos), validação de certificados e correlação de logs.

Pontos operacionais e segurança:

  • Porta: UDP 123.
  • Hierarquia: usar servidores internos confiáveis sincronizados com fontes externas autorizadas.
  • Restrições: limitar quem pode consultar/alterar; evitar exposição desnecessária.
  • Monitorar drift: alertar quando o offset ultrapassar limites.

Sinais típicos de problema:

  • Falhas intermitentes de login com mensagens de “token expirado” logo após emissão.
  • Logs com horários inconsistentes entre camadas (proxy, app, diretório).
  • Erros de TLS por “not yet valid” (certificado ainda não válido).

Serviços de diretório: LDAP e Active Directory (AD)

LDAP é o protocolo de acesso a diretórios. Active Directory é uma implementação amplamente usada que integra LDAP, Kerberos, DNS e políticas. Em sistemas do DETRAN, diretório é comum para autenticação, autorização por grupos e provisionamento.

Conceitos operacionais:

  • Bind: autenticação no diretório (simples ou SASL/Kerberos).
  • Base DN: ponto inicial de busca (ex.: OU=Usuarios,DC=org,DC=local).
  • Filtros: critérios de busca (ex.: (sAMAccountName=usuario)).
  • Grupos: controle de acesso; atenção a aninhamento (nested groups).
  • LDAPS: LDAP sobre TLS (porta 636) ou StartTLS (389 com upgrade).

Segurança:

  • Preferir LDAPS/StartTLS para evitar credenciais em texto claro.
  • Contas de serviço com privilégios mínimos e rotação de senha.
  • Auditar tentativas de bind, bloqueios e alterações de grupos.
  • Evitar consultas amplas sem necessidade (risco de exposição e carga).

Mensagens comuns:

  • Invalid credentials: senha errada, conta expirada, lockout, bind DN incorreto.
  • Cannot contact LDAP server: indisponibilidade, DNS, firewall, TLS handshake falhando.
  • Insufficient access: conta sem permissão para ler atributo/grupo.
  • Referral: necessidade de consultar outro domínio/partição; cliente pode não seguir referral.

Metodologia de troubleshooting orientada a evidências

Uma metodologia consistente reduz tempo de diagnóstico e evita mudanças arriscadas. O foco é: definir o problema, formular hipóteses, coletar evidências, testar de forma controlada e registrar.

1) Definição do problema (escopo e impacto)

  • O que está falhando: site, API, autenticação, envio de e-mail, monitoramento, sincronismo de tempo.
  • Quem é afetado: todos, um grupo, uma unidade, apenas rede externa/interna.
  • Quando começou: após mudança, janela de manutenção, expiração de certificado, pico de uso.
  • Como reproduzir: URL/endpoint, usuário, horário, payload, ambiente (produção/homologação).

2) Abordagem por camadas (do físico ao aplicativo)

Use uma sequência que evite “pular” etapas:

  • Camada de conectividade: resolução de nome, rota, portas, firewall/ACL, balanceador.
  • Camada de sessão/segurança: TLS, certificados, mTLS, políticas de cipher.
  • Camada de aplicação: HTTP status, headers, autenticação/autorização, timeouts, dependências externas.
  • Camada de serviços de apoio: diretório (LDAP/AD), NTP, SMTP, monitoramento (SNMP).

3) Hipóteses e priorização

Liste hipóteses do mais provável para o menos provável, considerando evidências iniciais:

  • Falha total: DNS incorreto, serviço parado, pool vazio no balanceador, certificado expirado.
  • Lentidão: timeouts no upstream, handshake TLS lento, dependência externa degradada, saturação de recursos.
  • Autenticação: relógio fora de sincronia, bind LDAP falhando, token inválido, grupo/perfil alterado.

4) Coleta de evidências (antes de alterar)

  • Logs: proxy/balanceador, aplicação, autenticação, diretório, MTA (SMTP), NTP.
  • Métricas: latência, taxa de erro por status code, conexões ativas, filas de e-mail, offset NTP.
  • Traços: IDs de correlação (request-id), timestamps consistentes.
  • Captura conceitual de pacotes: observar handshake, retransmissões, resets, timeouts.

5) Testes controlados (mudança mínima e reversível)

  • Testar de um ponto conhecido (host de diagnóstico) e registrar comandos/saídas.
  • Alterar uma variável por vez (ex.: trocar endpoint, desabilitar cache, testar sem proxy).
  • Se houver mitigação (ex.: retirar nó do pool), documentar horário e impacto.

6) Registro (evidências e ações corretivas)

Padronize um registro mínimo:

  • Data/hora (com fuso), sistema afetado, sintomas, escopo.
  • Evidências coletadas (logs, códigos, prints, IDs de requisição).
  • Hipóteses testadas e resultado.
  • Ação corretiva aplicada e validação pós-correção.

Análise de pacotes em nível conceitual (o que procurar)

Mesmo sem entrar em ferramentas específicas, é importante saber interpretar o que uma captura mostraria:

HTTP/HTTPS

  • HTTP: requisição (método, path, headers) e resposta (status, headers, body).
  • HTTPS: você não vê o conteúdo sem decriptação, mas vê handshake TLS, SNI, versões, alertas e tempos entre pacotes.
  • Sinais de problema: muitas retransmissões (perda), RST (conexão resetada), longos intervalos entre ClientHello e ServerHello (negociação lenta/bloqueio), timeouts.

TLS handshake (fluxo típico)

  • ClientHello (cliente propõe versões/ciphers e SNI).
  • ServerHello + certificado (servidor escolhe parâmetros e apresenta cadeia).
  • Troca de chaves e finalização (Finished).

Falhas típicas:

  • Servidor não responde ao ClientHello (bloqueio/porta errada).
  • Alerta TLS após certificado (cadeia inválida, hostname mismatch).
  • Handshake reiniciando (interceptação por proxy TLS, inspeção mal configurada).

LDAP/AD

  • Bind seguido de Search e Result.
  • Falhas: bind rejeitado (credencial), search retornando vazio (base DN/filtro), latência alta (controladores sobrecarregados ou rede).

SMTP

  • Sequência: connect → banner → EHLO/HELO → STARTTLS (se aplicável) → AUTH → MAIL FROM/RCPT TO → DATA.
  • Falhas: rejeição em AUTH, relay denied em RCPT TO, atrasos por greylisting.

NTP

  • Troca de mensagens de sincronismo; observar offset e reachability.
  • Falhas: sem resposta (UDP bloqueado), grande offset persistente (fonte ruim ou drift).

Roteiro prático 1: investigar indisponibilidade de sistema (web/API)

Cenário: usuários relatam que um sistema web do DETRAN não abre ou uma API retorna erro.

Passo a passo (com evidências)

  • 1. Confirmar sintoma e escopo: coletar URL/endpoint, horário, mensagem exibida, se ocorre em rede interna/externa, e um ID de requisição se existir.
  • 2. Verificar DNS: confirmar se o nome resolve para o IP esperado (mudanças recentes de registros, TTL, split-horizon).
  • 3. Testar conectividade e porta: validar se há resposta na porta 80/443 a partir de um ponto de teste controlado (mesma rede do usuário e uma rede administrativa).
  • 4. Se for HTTPS, validar TLS: checar expiração do certificado, cadeia completa e hostname. Registrar data de validade e o CN/SAN observado.
  • 5. Inspecionar resposta HTTP: capturar status code e headers principais. Exemplos de interpretação: 502/504 indica problema entre proxy e upstream; 503 pode indicar pool sem instâncias.
  • 6. Verificar logs do proxy/balanceador: procurar picos de 5xx, mensagens de “upstream connect error”, “no live upstreams”, “timeout”. Registrar timestamps e IPs de origem.
  • 7. Verificar saúde do upstream: confirmar se o serviço de aplicação está escutando na porta correta e se responde localmente (teste no próprio host/segmento). Se houver múltiplas instâncias, comparar uma saudável vs. uma falha.
  • 8. Teste controlado de mitigação: retirar uma instância suspeita do pool e observar se a taxa de erro cai. Registrar horário e mudança aplicada.
  • 9. Ação corretiva típica: corrigir rota/porta no balanceador, restaurar serviço, ajustar timeout, renovar certificado, corrigir cadeia intermediária.
Registro de evidências (modelo): 2026-01-16 10:32 BRT - Sistema X indisponível Externo; DNS ok (A=10.0.0.10); porta 443 responde; TLS: certificado expirado em 2026-01-15; erro cliente: certificate has expired; ação: renovar certificado e publicar cadeia completa; validação: HTTP 200 e navegação ok; monitoramento: 5xx voltou ao normal.

Roteiro prático 2: investigar lentidão de aplicação (HTTP/HTTPS)

Cenário: sistema abre, mas está lento (carregamento demorado, timeouts intermitentes).

Passo a passo (separar onde está a latência)

  • 1. Medir e decompor o tempo: registrar tempo de DNS, tempo de conexão TCP, tempo de handshake TLS, tempo até o primeiro byte (TTFB) e tempo total. Isso separa rede/TLS de processamento no servidor.
  • 2. Verificar padrão: lento para todos ou apenas alguns endpoints? Apenas em horário de pico? Apenas via VPN/proxy?
  • 3. Verificar status e timeouts: 504 sugere upstream lento; 499/408 pode indicar cliente/proxy desistindo.
  • 4. Checar handshake TLS: se o handshake está lento, investigar inspeção TLS, renegociação, cadeia grande, OCSP/CRL e latência até CA/validação.
  • 5. Conferir cabeçalhos e payload: respostas muito grandes sem compressão, cache desativado indevidamente, downloads sem streaming.
  • 6. Correlacionar com logs: usar request-id para correlacionar proxy e aplicação; comparar tempos registrados (upstream_response_time, request_time).
  • 7. Teste controlado: executar a mesma requisição com payload mínimo vs. payload real; comparar. Se houver dependência externa, testar endpoint de healthcheck interno.
  • 8. Ações corretivas típicas: ajustar timeouts coerentes entre camadas, habilitar cache/ETag quando aplicável, corrigir gargalo no upstream, reduzir payload, otimizar negociação TLS (TLS 1.3, sessão reusada), revisar limites de conexões.
Checklist de evidências para lentidão: endpoint afetado; horários; percentis (p50/p95/p99); status codes; TTFB; tempos no proxy (request_time vs upstream_time); ocorrência de 504; retransmissões/RST (se observável); mudanças recentes (certificado, WAF, regras de proxy).

Roteiro prático 3: investigar falhas de autenticação (LDAP/AD, TLS, NTP)

Cenário: usuários não conseguem autenticar, ou apenas alguns perfis falham; tokens expiram “cedo”; integração com diretório retorna erro.

Passo a passo (do sintoma à causa)

  • 1. Identificar o tipo de autenticação: login local, SSO, integração LDAP/AD, mTLS, token JWT/OAuth. Registrar mensagem exata e horário.
  • 2. Verificar NTP: comparar horário do cliente, servidor de aplicação e controlador de domínio/servidor LDAP. Se houver diferença relevante, corrigir sincronismo antes de outras mudanças.
  • 3. Validar conectividade ao diretório: DNS do domínio, rota e portas 389/636. Se falhar, investigar firewall/ACL e disponibilidade do servidor.
  • 4. Validar TLS do LDAPS: certificado do servidor LDAP, cadeia e hostname. Erros de “cannot contact” podem ser TLS falhando.
  • 5. Testar bind com conta de serviço: confirmar se a senha não expirou e se a conta não está bloqueada. Registrar tentativas e códigos retornados.
  • 6. Validar Base DN e filtro: se a busca retorna vazio, revisar OU, atributo usado (uid, sAMAccountName, userPrincipalName) e escopo.
  • 7. Verificar autorização: se autentica mas não acessa, revisar grupos e claims/roles mapeadas. Atenção a cache de grupos e replicação.
  • 8. Ações corretivas típicas: corrigir NTP, renovar certificado LDAPS, ajustar filtro/base DN, desbloquear conta/rotacionar senha de serviço, corrigir mapeamento de grupos, ajustar política de senha/lockout (com governança).
Registro de evidências (modelo): 2026-01-16 14:05 BRT - Falha de login no Sistema Y; erro: 401 + 'invalid token'; NTP: servidor app com -7 min de offset; impacto: todos os usuários; ação: corrigir sincronismo NTP e reiniciar serviço de tempo; validação: tokens aceitos e logins normalizados; evidências anexas: logs de autenticação + medição de offset.

Mensagens e padrões para diagnóstico rápido

Mapa de sintomas → suspeitas

  • 502/504 no proxy: upstream fora, porta errada, timeout, DNS interno do upstream, TLS upstream falhando.
  • 401/403: token/credencial vs. permissão; checar expiração, assinatura, escopos e grupos.
  • Erros TLS após mudança de certificado: cadeia incompleta, SAN faltando, intermediário ausente, política de cipher.
  • Falha de envio de e-mail: 535 (auth), 550 (relay), fila acumulando (destino indisponível).
  • Monitoramento sem dados SNMP: UDP bloqueado, credenciais SNMPv3, serviço SNMP desativado.
  • Autenticação intermitente: NTP instável, replicação/latência no diretório, balanceamento para DCs diferentes.

Checklist de segurança durante troubleshooting

  • Evitar expor tokens, senhas e dados pessoais em logs e prints.
  • Ao testar, usar contas de teste e dados fictícios quando possível.
  • Registrar mudanças e garantir reversão (rollback) planejada.
  • Manter evidências com controle de acesso (cadeia de custódia quando aplicável).

Agora responda o exercício sobre o conteúdo:

Ao investigar uma falha de acesso a um sistema HTTPS do DETRAN, qual conjunto de verificações é mais adequado antes de aplicar mudanças no ambiente?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A abordagem orientada a evidências prioriza definir escopo, checar DNS e conectividade, validar TLS (certificado, cadeia e hostname) e interpretar status/logs (ex.: 5xx) antes de mudanças, reduzindo risco e acelerando o diagnóstico.

Próximo capitúlo

Segurança da Informação para o Analista de TI do DETRAN

Arrow Right Icon
Aprenda Detran

AprendaDetran

Aproveite cursos online gratuitos e com certificação em temas como Informática, Legislação e Código de Trânsito Brasileiro para o Detran-CE. Estude agora!

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store