NDE PT BR

Machine Translated by Google
EC-Council
CE-Conselho
MT
N DE
Network Defense Essentials
Rede Fundamentos de Defesa
SÉRIE PROFISSIONAL
currículos oficiais do ec-council

ec-conselho
Defesa de rede
Essenciais
Versão 1
CE-Conselho
EC-Council
Copyright © 2021 por EC-Council. Todos os direitos reservados. Exceto conforme permitido pela Lei de Direitos Autorais de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em um banco de dados ou sistema
de recuperação, sem a permissão prévia por escrito do editor, com exceção de que as listas de programas podem ser inseridas, armazenadas e
executadas em um sistema de computador, mas não podem ser reproduzidas para publicação sem a permissão prévia por escrito do editor, exceto
no caso de breves citações incluídas em resenhas críticas e outros usos não comerciais permitidos pela lei de direitos autorais. Para solicitações de
permissão, escreva para EC-Council, endereçado “Atenção: EC-Council,” no endereço abaixo:
EC-Council New Mexico

101C Sun Avenue NE
Albuquerque, NM 87109
As informações contidas nesta publicação foram obtidas pelo EC-Council de fontes consideradas confiáveis. O Conselho da CE toma medidas
razoáveis para garantir que o conteúdo seja atual e preciso; no entanto, devido à possibilidade de erro humano ou mecânico, não garantimos a
precisão, adequação ou integridade de qualquer informação e não somos responsáveis por quaisquer erros ou omissões nem pela precisão dos
resultados obtidos com o uso de tais informações.
O material didático é resultado de extensa pesquisa e contribuições de especialistas no assunto de todo o mundo. Os devidos créditos por todas
essas contribuições e referências são fornecidos no material didático nas notas finais da pesquisa.
Estamos empenhados em proteger os direitos de propriedade intelectual. Se você for um proprietário de direitos autorais (um licenciado exclusivo ou
seu agente) e acreditar que qualquer parte do curso constitui uma violação de direitos autorais ou uma violação de uma licença ou contrato acordado,
notifique-nos em legal@eccouncil.org. Em caso de reclamação fundamentada, o EC Council removerá o material em questão e fará as retificações
necessárias.
O material didático pode conter referências a outros recursos de informação e soluções de segurança, mas tais referências não devem ser
consideradas como um endosso ou recomendação do EC-Council.
Os leitores são incentivados a relatar erros, omissões e imprecisões ao EC-Council em legal@eccouncil.org. Se você tiver algum problema, entre
em contato conosco em support@eccouncil.org.
AVISO AO LEITOR
O EC-Council não garante nenhum dos produtos, metodologias ou estruturas aqui descritos, nem realiza nenhuma análise independente em conexão
com qualquer informação do produto aqui contida. O EC Council não assume e se isenta expressamente de qualquer obrigação de obter e incluir
informações além daquelas fornecidas pelo fabricante. O leitor é expressamente alertado para considerar e adotar todas as precauções de segurança
que possam ser indicadas pelas atividades aqui descritas e para evitar todos os perigos potenciais. Ao seguir as instruções aqui contidas, o leitor
assume voluntariamente todos os riscos relacionados a tais instruções. O EC-Council não faz representações ou garantias de qualquer tipo, incluindo,
mas não se limitando às garantias de adequação a um propósito específico ou comercialização, nem tais representações estão implícitas com relação
ao material aqui estabelecido, e o EC Council não assume nenhuma responsabilidade com relação a tal material. O EC-Council não será responsável
por quaisquer danos especiais, consequentes ou exemplares resultantes, no todo ou em parte, do uso ou confiança deste material pelo leitor.
Página II Network Defense Essentials Copyright © por EC-Council Todos os direitos

reservados. A reprodução é estritamente proibida.
Prefácio
A rede de computadores tornou-se cada vez mais complexa nos últimos anos, assim como as ameaças à sua
segurança. O impacto das violações de segurança nas organizações varia de perda monetária, danos à reputação,
diminuição da fidelidade do cliente, diminuição da confiança do investidor e consequências legais. Não importa se
uma organização instala soluções de software de segurança de última geração ou se gasta milhares de dólares em
mecanismos de segurança; o fato é que nenhuma organização é completamente segura. As organizações precisam
de um especialista em segurança que possa ajudar a mitigar as ameaças à segurança.
A segurança da rede desempenha um papel vital na maioria das organizações. É o processo de prevenção e
detecção do uso não autorizado da infraestrutura de rede de uma organização. Ele protege as redes e seus serviços
contra modificação, destruição ou divulgação não autorizada. A segurança de rede garante que uma rede execute
suas funções críticas com segurança, sem quaisquer efeitos colaterais prejudiciais.
A conscientização de segurança e o treinamento bem estruturado podem ajudar a encontrar os pontos fracos de uma
rede e manter os administradores de rede informados sobre as ameaças e técnicas mais recentes, obtendo uma
melhor compreensão da exposição ao risco, bem como das contramedidas mais recentes.
O programa Network Defense Essentials (NDE) cobre os conceitos fundamentais de segurança de rede. Ele equipa
os alunos com as habilidades necessárias para identificar as crescentes ameaças de segurança de rede que refletem
na postura de segurança da organização e implementar controles gerais de segurança para proteger a infra-estrutura
de rede subjacente de acesso não autorizado, modificação, destruição ou divulgação.
Este programa oferece uma visão holística dos principais componentes da segurança de rede. O curso foi desenvolvido
para aqueles interessados em aprender os vários fundamentos da segurança de rede e aspiram seguir uma carreira
em segurança de rede.
Página III Network Defense Essentials Copyright © por EC-Council Todos os

direitos reservados. A reprodução é estritamente proibida.
Sobre o EC-Council
O Conselho Internacional de Consultores de Comércio Eletrônico, mais conhecido como EC-Council, foi fundado
no final de 2001 para atender à necessidade de segurança da informação e profissionais de e-business bem
formados e certificados. O EC-Council é uma organização global baseada em membros composta por especialistas
da indústria e no assunto que trabalham juntos para definir os padrões e elevar o padrão em certificação e
educação em segurança da informação.
O EC-Council desenvolveu pela primeira vez o programa Certified Ethical Hacker (C|EH) com o objetivo de ensinar
as metodologias, ferramentas e técnicas usadas pelos hackers. Aproveitando o conhecimento coletivo de centenas
de especialistas no assunto, o programa CEH ganhou popularidade rapidamente em todo o mundo e agora é
oferecido em mais de 145 países por mais de 950 centros de treinamento autorizados. É considerado a referência
para muitas entidades governamentais e grandes corporações em todo o mundo.
O EC-Council, por meio de sua impressionante rede de profissionais e muitos seguidores da indústria, também
desenvolveu uma série de outros programas líderes em segurança da informação e e-business. As certificações
EC-Council são vistas como as certificações essenciais necessárias quando a configuração padrão e os cursos
de política de segurança ficam aquém. Fornecendo uma abordagem tática verdadeira e prática para a segurança,
os indivíduos armados com o conhecimento disseminado pelos programas do EC-Council estão fortalecendo as
redes de segurança em todo o mundo e derrotando os hackers em seu próprio jogo.
Outros programas do EC-Council

Conscientização sobre segurança: usuário certificado de computador seguro
O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

conhecimento e as habilidades necessárias para proteger seus ativos de informação.
Esta aula imergirá os alunos em um ambiente de aprendizado interativo, onde
adquirirão conhecimentos fundamentais sobre várias ameaças de segurança de
computadores e redes, como roubo de identidade, fraude de cartão de crédito,
golpes de phishing bancário on-line, vírus e backdoors, trotes por e-mail, predadores sexuais e outras ameaças
on-line. , perda de informações confidenciais, ataques de hackers e engenharia social.
Mais importante ainda, as habilidades aprendidas na aula ajudam os alunos a tomar as medidas necessárias para
mitigar sua exposição à segurança.
Defesa de Rede: Defensor de Rede Certificado
Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

detalhada da defesa de rede e desenvolverão sua experiência prática para atuar em
situações de defesa de rede da vida real. Eles obterão a profundidade do conhecimento
técnico necessário para projetar ativamente uma rede segura em sua organização.
Este curso fornece uma compreensão fundamental da verdadeira natureza da
transferência de dados, tecnologias de rede e tecnologias de software para que os alunos possam entender como
as redes operam, como o software de automação se comporta e como analisar redes e sua defesa.
Página IV Network Defense Essentials Copyright © por EC-Council Todos os

Os alunos aprenderão como proteger, detectar e responder aos ataques de rede, bem como aprender sobre os
fundamentos da defesa de rede, a aplicação de controles de segurança de rede, protocolos, dispositivos de
perímetro, IDS seguro, VPN e configuração de firewall. Os alunos também aprenderão as complexidades da
assinatura, análise e varredura de vulnerabilidades do tráfego de rede, o que ajudará a projetar políticas de
segurança de rede aprimoradas e planos de resposta a incidentes bem-sucedidos. Essas habilidades ajudarão as
organizações a promover a resiliência e a continuidade operacional durante os ataques.
Hacking ético: Hacker ético certificado

A credencial Certified Ethical Hacker (CEH) é a certificação e realização de hacking
ético mais confiável recomendada por empregadores em todo o mundo. É a certificação
de segurança da informação mais desejada e representa uma das credenciais
cibernéticas de crescimento mais rápido exigidas por infraestrutura crítica e provedores
de serviços essenciais. Desde a introdução do CEH em 2003, ele é reconhecido como
um padrão na comunidade de segurança da informação. A CEH continua a apresentar
as mais recentes técnicas de hacking e as mais avançadas ferramentas de hacking e explorações usadas por
hackers e profissionais de segurança da informação atualmente. As cinco fases do hacking ético e a missão central
original do CEH permanecem válidas e relevantes hoje: “Para vencer um hacker, você precisa pensar como um
hacker”.
O CEH fornece uma compreensão profunda das fases de hacking ético, vários vetores de ataque e contramedidas
preventivas. Ele ensinará como os hackers pensam e agem de forma maliciosa, para que você fique mais bem
posicionado para configurar sua infraestrutura de segurança e se defender de ataques futuros.
Compreender as fraquezas e vulnerabilidades do sistema ajuda as organizações a fortalecer seus controles de
segurança do sistema para minimizar o risco de um incidente.
O CEH foi construído para incorporar um ambiente prático e um processo sistemático em todos os domínios e
metodologias de hacking ético, dando a você a oportunidade de trabalhar para provar o conhecimento e as
habilidades necessárias para realizar o trabalho de um hacker ético. Você será exposto a uma postura totalmente
diferente em relação às responsabilidades e medidas necessárias para estar seguro.
Teste de penetração: Profissional certificado em testes de penetração

A certificação CPENT exige que você demonstre a aplicação de técnicas
avançadas de teste de penetração, como ataques avançados do Windows,
ataques a sistemas IOT, exploração avançada de binários, escrita de exploits,
desvio de uma rede filtrada, teste de penetração de Tecnologia Operacional (OT),
acesso a redes ocultas com pivô e duplo pivotagem, escalonamento de privilégios
e evasão de mecanismos de defesa.
O CPENT do EC-Council padroniza a base de conhecimento para profissionais de teste de penetração, incorporando
as melhores práticas seguidas por especialistas experientes na área. O objetivo do CPENT é assegurar que cada
profissional segue um rigoroso código de ética, está exposto às melhores práticas no domínio dos testes de
penetração e conhece todos os requisitos de compliance exigidos pela indústria.
Página V Network Defense Essentials Copyright © por EC-Council Todos os direitos

Ao contrário de uma certificação de segurança normal, a credencial CPENT fornece uma garantia de que os
profissionais de segurança possuem habilidades para analisar exaustivamente a postura de segurança de uma
rede e recomendar medidas corretivas com autoridade. Por muitos anos, o EC-Council vem certificando profissionais
de segurança de TI em todo o mundo para garantir que esses profissionais sejam proficientes em mecanismos de
defesa de segurança de rede. As credenciais do EC-Council atestam seu profissionalismo e experiência, tornando
esses profissionais mais procurados por organizações e empresas de consultoria em todo o mundo.
Computação forense: Investigador forense de hacking de computador

Computer Hacking Forensic Investigator (CHFI) é um curso abrangente que abrange
os principais cenários de investigação forense. Ele permite que os alunos adquiram
experiência prática crucial com várias técnicas de investigação forense. Os alunos
aprendem como utilizar ferramentas forenses padrão para realizar com sucesso
uma investigação forense de computador, preparando-os para melhor auxiliar na
acusação de perpetradores.
O CHFI do EC-Council certifica indivíduos na disciplina de segurança específica de computação forense de uma
perspectiva neutra de fornecedor. A certificação CHFI reforça o conhecimento aplicado do pessoal de aplicação da
lei, administradores de sistema, oficiais de segurança, defesa e pessoal militar, profissionais jurídicos, banqueiros,
profissionais de segurança e qualquer pessoa preocupada com a integridade das infraestruturas de rede.
Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council
O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado e

desenvolvido em colaboração com profissionais de segurança cibernética e
tratamento e resposta a incidentes em todo o mundo. É um programa
abrangente de nível especializado que transmite conhecimentos e habilidades
que as organizações precisam para lidar com as consequências pós-violação
de forma eficaz, reduzindo o impacto do incidente, tanto do ponto de vista financeiro quanto da reputação.
O E|CIH é um programa orientado a métodos que usa uma abordagem holística para abranger vastos conceitos
relativos ao tratamento e resposta de incidentes organizacionais, desde a preparação e planejamento do processo
de resposta ao tratamento de incidentes até a recuperação de ativos organizacionais após um incidente de segurança.
Esses conceitos são essenciais para lidar e responder a incidentes de segurança para proteger as organizações de
futuras ameaças ou ataques.
Gestão: Chief Information Security Officer certificado

O programa Certified Chief Information Security Officer (CCISO) foi desenvolvido
pelo EC-Council para preencher uma lacuna de conhecimento no setor de segurança
da informação. A maioria das certificações de segurança da informação se concentra
em ferramentas específicas ou recursos profissionais. Quando o programa CCISO foi
Página VI Network Defense Essentials Copyright © por EC-Council Todos os

desenvolvido, não existia nenhuma certificação para reconhecer o conhecimento, as habilidades e as aptidões
necessárias para um profissional de segurança da informação experiente desempenhar as funções de um CISO de
forma eficaz e competente. Na verdade, naquela época, muitas dúvidas existiam sobre o que realmente era um CISO
e o valor que essa função agregava a uma organização.
O CCISO Body of Knowledge ajuda a definir o papel do CISO e a delinear claramente as contribuições que essa
pessoa faz em uma organização. O EC-Council aprimora essas informações por meio de oportunidades de treinamento
conduzidas como módulos de autoestudo ou conduzidos por instrutores para garantir que os candidatos tenham uma
compreensão completa da função. O EC-Council avalia o conhecimento dos candidatos ao CCISO com um exame
rigoroso que testa sua competência em cinco domínios com os quais um líder de segurança experiente deve estar
familiarizado.
Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado
A credencial Certified Application Security Engineer

(CASE) é desenvolvida em parceria com grandes
especialistas em desenvolvimento de aplicativos e
software em todo o mundo.
A credencial CASE testa as habilidades e
conhecimentos críticos de segurança necessários
ao longo de um típico ciclo de vida de desenvolvimento de software (SDLC), com foco na importância da implementação
de metodologias e práticas seguras no ambiente operacional inseguro de hoje.
O programa de treinamento certificado pela CASE é desenvolvido simultaneamente para preparar profissionais de
software com os recursos necessários esperados por empregadores e acadêmicos em todo o mundo. Ele foi projetado
para ser um curso prático e abrangente de segurança de aplicativos que ajudará os profissionais de software a criar
aplicativos seguros. O programa de treinamento abrange atividades de segurança envolvidas em todas as fases do
Ciclo de Vida de Desenvolvimento de Software (SDLC): planejamento, criação, teste e implantação de um aplicativo.
Ao contrário de outros treinamentos de segurança de aplicativos, o CASE vai além de apenas as diretrizes sobre
práticas de codificação segura e inclui coleta segura de requisitos, design robusto de aplicativos e tratamento de
problemas de segurança nas fases pós-desenvolvimento do desenvolvimento de aplicativos. Isso faz da CASE uma
das certificações mais abrangentes do mercado atualmente. É desejado por engenheiros de aplicativos de software,
analistas e testadores em todo o mundo e respeitado pelas autoridades contratantes.
Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado
O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

colaboração com especialistas em segurança cibernética e inteligência de ameaças
em todo o mundo para ajudar as organizações a identificar e mitigar riscos de
negócios, convertendo ameaças internas e externas desconhecidas em ameaças
conhecidas. É um programa abrangente de nível especializado que ensina uma
abordagem estruturada para a construção de inteligência de ameaças eficaz.
Página VII Network Defense Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Intelligence para aqueles que lidam diariamente com ameaças cibernéticas. Atualmente, as organizações exigem
um analista de inteligência de ameaças de segurança cibernética de nível profissional que possa extrair a
inteligência dos dados implementando várias estratégias avançadas. Esses programas de treinamento de
inteligência de ameaças de nível profissional só podem ser alcançados quando o núcleo dos currículos mapeia
e é compatível com as estruturas de inteligência de ameaças publicadas pelo governo e pelo setor.
Tratamento de Incidentes: Analista SOC Certificado
O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

centro de operações de segurança (SOC). Ele é projetado para analistas SOC Tier
I e Tier II atuais e aspirantes para obter proficiência na execução de operações de
nível básico e intermediário.
O CSA é um programa de treinamento e credenciamento que ajuda o candidato a
adquirir habilidades técnicas de tendências e sob demanda por meio de instruções
de alguns dos instrutores mais experientes do setor. O programa se concentra na criação de novas oportunidades
de carreira por meio de conhecimento extenso e meticuloso com recursos de nível aprimorado para contribuir
dinamicamente para uma equipe SOC. Sendo um programa intenso de 3 dias, cobre completamente os
fundamentos das operações SOC, antes de transmitir o conhecimento de gerenciamento e correlação de logs,
implantação de SIEM, detecção avançada de incidentes e resposta a incidentes. Além disso, o candidato
aprenderá a gerenciar vários processos SOC e colaborar com o CSIRT no momento da necessidade.
Página VIII Network Defense Essentials Copyright © por EC-Council Todos os

Informações do exame de EQM
Detalhes do Exame de EQM
Título do exame Fundamentos de Defesa de Rede (NDE)
Código do exame 112-51
Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)
Duração 2 horas
Questões 75
Pontuação de aprovação 70%
Página IX Network Defense Essentials Copyright © por EC-Council Todos os

Índice
Módulo 01: Fundamentos de Segurança de Rede 1
Fundamentos de segurança de rede 3
Protocolos de segurança de rede 17
Módulo 02: Identificação, Autenticação e Autorização 41
Princípios, terminologias e modelos de controle de acesso 43
Conceitos de gerenciamento de identidade e acesso (IAM) 55
Módulo 03: Controles de Segurança de Rede - Controles Administrativos 71
Quadros Regulamentares, Leis e Atos 73
Projetar e desenvolver políticas de segurança 112
Realizar diferentes tipos de treinamento de segurança e conscientização 128
Módulo 04: Controles de Segurança de Rede - Controles Físicos 139
Importância da Segurança Física 141
Controles de segurança física 146
segurança no local de trabalho 175
Controles Ambientais 185
Módulo 05: Controles de Segurança de Rede - Controles Técnicos 195
Tipos de Segmentação de Rede 197
Tipos de firewalls e sua função 219
Tipos de IDS/IPS e sua função 263
Tipos de Honeypots 324
Tipos de servidores proxy e seus benefícios 333
Fundamentos da VPN e sua importância na Segurança de Redes 360
Gerenciamento de Incidentes e Eventos de Segurança (SIEM) 421
Análise de comportamento do usuário (UBA) 429
Software antivírus/antimalware 433
Módulo 06: Virtualização e Computação em Nuvem 439
Conceitos Essenciais de Virtualização e Segurança de Virtualização de SO 442
Fundamentos da Computação em Nuvem 483
Insights de segurança na nuvem e práticas recomendadas 512
Página X Network Defense Essentials Copyright © por EC-Council Todos os direitos

Módulo 07: Segurança de Rede Wireless 547
Fundamentos da rede sem fio 549
Mecanismos de criptografia de rede sem fio 576
Tipos de métodos de autenticação de rede sem fio 592
Implementar medidas de segurança de rede sem fio 597
Módulo 08: Segurança de Dispositivos Móveis 621
Métodos de conexão de dispositivos móveis 623
Conceitos de gerenciamento de dispositivos móveis 629
Políticas comuns de uso móvel em empresas 636
Riscos de segurança e diretrizes associados ao uso de dispositivos móveis corporativos

651
Políticas
Implemente soluções de gerenciamento de segurança móvel de nível empresarial 658
Implementar Diretrizes Gerais de Segurança e Melhores Práticas em Dispositivos Móveis

676
plataformas
Módulo 09: Segurança de dispositivos IoT 687
Dispositivos IoT, áreas de aplicação e modelos de comunicação 689
Segurança em ambientes habilitados para IoT 707
Módulo 10: Criptografia e PKI 723
Técnicas Criptográficas 725
Algoritmos criptográficos 736
Ferramentas de Criptografia 751
Infraestrutura de chave pública (PKI) 758
Módulo 11: Segurança de Dados 771
Segurança de dados e sua importância 773
Controles de segurança para criptografia de dados 782
Backup e retenção de dados 805
Conceitos de prevenção contra perda de dados 856
Módulo 12: Monitoramento de Tráfego de Rede 865
Necessidade e Vantagens do Monitoramento de Tráfego de Rede 867
Determinar assinaturas de tráfego de linha de base para redes normais e suspeitas 872
Tráfego
Execute o monitoramento de rede para tráfego suspeito 880
Página XI Network Defense Essentials Copyright © por EC-Council Todos os direitos

Glossário 903
Referências 923
Página XII Network Defense Essentials Copyright © por EC-Council Todos os

MT
CE-Conselho
EC-Council
ND
Network Defense
E
Essentials
Módulo 01
Fundamentos de Segurança de Rede
Fundamentos de defesa de rede Exame 112-51

Fundamentos de segurança de rede
Objetivos do módulo
1 Compreendendo os objetivos da defesa de rede
2 Compreendendo os princípios de garantia da informação (IA)
3 Compreendendo os benefícios e desafios da defesa de rede
4 Visão geral de diferentes tipos de abordagens de defesa de rede
5 Compreendendo os diferentes tipos de controles de segurança de rede
6 Compreendendo os diferentes protocolos de segurança de rede
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Com o aumento do uso de tecnologias emergentes, tornou-se cada vez mais importante proteger
informações e dados processados online. Como a Internet e as redes de computadores estão crescendo
continuamente, a segurança da rede tornou-se uma tarefa desafiadora para as organizações.
Toda organização requer uma arquitetura de segurança de rede estável e eficiente que proteja seus ativos
críticos e sistemas de informação contra ameaças em evolução.
Este módulo começa com uma visão geral sobre segurança de rede e defesa de rede. Ele fornece
informações sobre os diferentes tipos de abordagens de defesa de rede. Posteriormente, o módulo discute
os tipos de controles de segurança de rede e termina com uma breve discussão sobre protocolos de
segurança de rede.
No final deste módulo, você será capaz de fazer o seguinte:
ÿ Compreender os objetivos da defesa de rede
ÿ Descrever os princípios de garantia da informação
ÿ Descrever os tipos de abordagens de defesa de rede
ÿ Compreender os benefícios e desafios da defesa de rede
ÿ Explicar os diferentes tipos de controles de segurança de rede
ÿ Explicar os diferentes protocolos de segurança de rede
Módulo 01 Página 2 Network Defense Essentials Copyright © por EC-Council Todos

os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
Entenda os fundamentos da
01 segurança de rede
Discutir rede essencial

02 Protocolos de segurança
Entenda os fundamentos da segurança de rede

A segurança de rede ajuda as organizações a implementar as medidas preventivas necessárias para
proteger sua infraestrutura de TI contra uso indevido, acesso não autorizado, divulgação de informações,
acesso não autorizado ou modificação de dados em trânsito, destruição, etc., fornecendo assim um
ambiente seguro para os usuários, computadores e programas para desempenhar suas funções regulares.
Esta seção discute o objetivo da defesa de rede, princípios de garantia de informações, benefícios e
desafios da defesa de rede, tipos de abordagens de defesa de rede e tipos de controles de segurança
de rede.


Fundamentos de
Segurança de rede
ÿ Uma rede totalmente segura e robusta pode
ser projetado com implementação e configuração
adequadas de elementos de segurança de rede
Elementos de segurança de rede
Segurança de rede Segurança de rede Segurança de rede

Controles Protocolos Dispositivos
Noções básicas de segurança de rede
Uma rede completamente segura e robusta pode ser projetada com implementação e configuração adequadas de elementos
de segurança de rede.
A segurança da rede depende de três elementos principais de segurança:
ÿ Controles de segurança de rede
Os controles de segurança de rede são os recursos de segurança que devem ser configurados e implementados
adequadamente para garantir a segurança da rede. Esses são os pilares de qualquer disciplina sistemática de
segurança. Esses controles de segurança trabalham juntos para permitir ou restringir o acesso aos recursos da
organização com base no gerenciamento de identidade.
ÿ Protocolos de Segurança de Rede
Os protocolos de segurança de rede implementam operações relacionadas à segurança para garantir a segurança
e a integridade dos dados em trânsito. Os protocolos de segurança de rede garantem a segurança dos dados que
trafegam pela rede. Eles implementam métodos que restringem o acesso de usuários não autorizados à rede. Os
protocolos de segurança usam criptografia e técnicas criptográficas para manter a segurança das mensagens que
passam pela rede.
ÿ Dispositivos de Segurança de Rede
Dispositivos de segurança de rede são dispositivos implantados para proteger redes de computadores contra
tráfego e ameaças indesejados. Esses dispositivos podem ser categorizados em dispositivos ativos, dispositivos
passivos e dispositivos preventivos. Ele também consiste no Unified Threat Management (UTM), que combina
recursos de todos os dispositivos.


Objetivo da Defesa da Rede
O objetivo final da defesa de rede é proteger as informações, sistemas

e infraestrutura de rede de uma organização contra acesso não autorizado, uso
indevido, modificação, negação de serviço ou qualquer degradação e
interrupções
As organizações contam com os princípios de garantia da informação (IA)

para obter segurança de defesa em profundidade
Os princípios de Garantia da Informação (IA) atuam como facilitadores

das atividades de segurança de uma organização para proteger e
defender a rede organizacional contra ataques de segurança
Objetivo da Defesa da Rede
Diferentes tipos de atividades não autorizadas ou ilegais podem incluir interrupção, dano, exploração ou restrição de
acesso a redes ou recursos de computação e roubo de dados e informações deles. A implementação de inúmeras
medidas de segurança, por si só, não garante a segurança da rede. Por exemplo, muitas organizações assumem que
a implantação de um firewall, ou vários firewalls, na rede é suficiente para proteger sua infra-estrutura de uma
variedade de ameaças. No entanto, os invasores podem contornar essas medidas de segurança para obter acesso
aos sistemas.
Assim, é importante garantir uma defesa de rede abrangente para prevenir e mitigar vários tipos de ameaças. O
objetivo da defesa de rede abrangente é implantar segurança contínua e de defesa em profundidade, que envolve
prever, proteger, monitorar, analisar, detectar e responder a atividades não autorizadas, como acesso não autorizado,
uso indevido, modificação, negação de serviço e qualquer degradação ou interrupção na rede e para garantir a
segurança geral da rede. As organizações contam com princípios de garantia de informações (IA) para obter segurança
de defesa em profundidade.


Princípios de Garantia da Informação (IA)
Confidencialidade Disponibilidade
ÿ Garante que a informação não seja ÿ Garante que as informações estejam
divulgado para não autorizado disponíveis para as partes autorizadas
partidos sem qualquer interrupção
Não pode ouvir ou

Serviços indisponíveis
ver as informações
para usuários autorizados
Usuário autorizado Usuário autorizado
Servidor Servidor
Homem no meio
Integridade
Não é possível modificar as informações
ÿ Garante que a informação não seja
modificado ou adulterado por Usuário autorizado
Servidor
terceiros não autorizados
Homem no meio
Princípios de Garantia da Informação (IA) (continuação)
Não repúdio Autenticação
ÿ Garante que uma parte em uma comunicação ÿ Garante que a identidade de um indivíduo seja verificada
não possa negar o envio da mensagem pelo sistema ou serviço
Valor da transferência 500 para o usuário
O usuário nega a transação
Do utilizador Servidor
Usuário autorizado Servidor
Princípios de Garantia da Informação (IA)

Os princípios de garantia da informação (IA) atuam como facilitadores das atividades de segurança de
uma organização para proteger e defender sua rede contra ataques de segurança. Eles facilitam a
adoção de contramedidas apropriadas e ações de resposta em caso de alerta ou detecção de ameaça.
Portanto, as operadoras de rede devem usar os princípios de IA para identificar dados confidenciais e
combater eventos que possam ter implicações de segurança para a rede. Os princípios de IA ajudam-nos a


identificando vulnerabilidades de segurança de rede, monitorando a rede para qualquer tentativa de invasão
ou atividade maliciosa e defendendo a rede mitigando as vulnerabilidades.
As atividades de defesa de rede devem abordar os seguintes princípios de IA para obter segurança de rede
de defesa em profundidade:
ÿ Confidencialidade: A confidencialidade permite que apenas usuários autorizados acessem, usem ou

copiem informações. A autenticação é crucial para a confidencialidade. Se um usuário não autorizado
acessar informações protegidas, isso implica que ocorreu uma violação de confidencialidade.
Figura 1.1: Confidencialidade
ÿ Integridade: A integridade protege os dados e não permite modificação, exclusão ou corrupção de

dados sem a devida autorização. Esse princípio de garantia de informações também depende da
autenticação para funcionar corretamente.
Figura 1.2: Integridade
ÿ Disponibilidade: Disponibilidade é o processo de proteção de sistemas de informação ou redes que

armazenam dados sensíveis, para disponibilizá-los para os usuários finais sempre que eles solicitarem
acesso.
Figura 1.3: Disponibilidade


ÿ Não-repúdio: O não-repúdio é um serviço que valida a integridade da transmissão de uma

assinatura digital, desde onde ela se originou até onde ela chegou. O não repúdio concede
acesso a informações protegidas ao validar que a assinatura digital é da parte pretendida.
Figura 1.4: Não repúdio
ÿ Autenticação: Autenticação é um processo de autorização de usuários com as credenciais

fornecidas, comparando-as com as de um banco de dados de usuários autorizados em
um servidor de autenticação, para conceder acesso à rede. Garante a segurança dos
arquivos ou dados que trafegam pela rede.
Figura 1.5: Autenticação


Benefícios de defesa de rede
ÿ Proteger ativos de informação
ÿ Cumprir os regulamentos específicos do governo e da

indústria
ÿ Garantir uma comunicação segura com clientes e fornecedores
ÿ Reduzir o risco de ser atacado
ÿ Ganhe vantagem competitiva sobre o

concorrente, fornecendo serviços mais seguros
Benefícios de defesa de rede
A segurança da rede é crucial para todas as organizações, independentemente do tamanho. Ele protege sistemas,
arquivos, dados e informações pessoais e os protege contra acesso não autorizado.
Além de garantir proteção contra tentativas de hackers e ataques de vírus, a segurança de rede oferece as
seguintes vantagens e benefícios indiretos.
ÿ Lucros aumentados: Manter as redes de computadores seguras é fundamental para qualquer organização.
Com a implementação de uma defesa de rede abrangente, a organização pode prevenir ameaças,
ataques e vulnerabilidades que, de outra forma, poderiam causar perdas significativas. Assim, a segurança
da rede apoia indiretamente a organização em termos de lucros. Ele também permite que as organizações
obtenham uma vantagem competitiva ao fornecer serviços mais seguros.
ÿ Maior produtividade: a segurança da rede também pode ajudar a melhorar a produtividade de uma
organização. Por exemplo, evita que os funcionários gastem tempo em atividades improdutivas na
Internet, como navegar em conteúdo adulto, jogos e fofocas durante o expediente. Essas atividades
podem ser restringidas com técnicas de navegação segura, melhorando consequentemente a produtividade.
ÿ Conformidade aprimorada: a segurança de rede ajuda as organizações a evitar penalidades por falta de
conformidade. O monitoramento em tempo real dos fluxos de dados ajuda as organizações a aprimorar
sua postura de conformidade.
ÿ Confiança do cliente: O conhecimento de que os sistemas e dados de uma organização estão protegidos
e seguros aumenta a confiança dos clientes na organização. Isso pode se traduzir em compras futuras
de outras ofertas de serviços da organização.


Desafios de defesa de rede
Computação distribuída falta de rede

ambientes Ameaças emergentes
Habilidades de segurança
ÿ Com o avanço ÿ Ameaças potenciais ao ÿ As organizações estão falhando

tecnologia moderna e para rede evoluem a cada dia. em se defender
atender aos requisitos de negócios, Ataques de segurança de contra ataques de rede
as redes estão se tornando vastas rede estão se tornando crescentes devido à falta de
e complexas, levando tecnicamente mais rede
potencialmente a sérias sofisticados e melhor organizados habilidades de segurança
vulnerabilidades de segurança. Atacantes

explorar vulnerabilidades de
segurança expostas para
comprometer a segurança da
rede
Desafios de defesa de rede
ÿ Ambientes de computação distribuídos: Com o avanço da tecnologia moderna e para atender aos
requisitos de negócios, as redes estão se tornando vastas e complexas, potencialmente com sérias
vulnerabilidades de segurança. Os invasores exploram as vulnerabilidades de segurança expostas para
comprometer a segurança da rede.
ÿ Ameaças emergentes: As ameaças potenciais à rede evoluem diariamente. Os ataques à segurança de

rede estão se tornando tecnicamente mais sofisticados e melhor organizados.
ÿ Falta de habilidades de segurança de rede: as organizações não estão conseguindo se defender contra
ataques de rede que aumentam rapidamente devido à falta de habilidades de segurança de rede.
Além das amplas categorias de desafios discutidos acima, um defensor de rede pode enfrentar os seguintes
desafios para manter a segurança de uma rede:
ÿ Proteger a rede de ataques via Internet
ÿ Proteger servidores públicos como web, e-mail e servidores DNS
ÿ Contenção de danos quando uma rede ou sistema é comprometido
ÿ Prevenção de ataques internos contra a rede
ÿ Proteger informações altamente importantes e confidenciais, como bancos de dados de clientes,

registros financeiros e segredos comerciais
ÿ Desenvolver diretrizes para defensores da rede lidarem com a rede de maneira segura
ÿ Habilitando recursos de detecção e registro de intrusão


Tipos de abordagens de defesa de rede
Abordagens preventivas Abordagens retrospectivas
Consistem em métodos Consistem em métodos ou técnicas

ou técnicas usadas para evitar que examinam as causas de
ameaças ou ataques na rede ataques e conter, remediar,
de destino erradicar e recuperar dos danos
causados pelo ataque na rede de
destino
Abordagens reativas Abordagens proativas
Consistem em métodos Consistem em métodos ou técnicas

ou técnicas que são usados que são usados para fazer
para detectar ataques na rede decisões sobre ataques potenciais
de destino no futuro na rede de destino
Tipos de abordagens de defesa de rede
Existem quatro classificações principais de técnicas de defesa de segurança utilizadas para identificação e prevenção
de ameaças e ataques na rede.
ÿ Abordagem Preventiva: A abordagem preventiva consiste essencialmente em métodos ou técnicas que

podem facilmente prevenir ameaças ou ataques na rede de destino.
As abordagens preventivas usadas principalmente em redes são as seguintes:
o Mecanismos de controle de acesso, como um firewall.
o Mecanismos de controle de admissão como NAC e NAP.
o Aplicações criptográficas como IPSec e SSL.
o Técnicas biométricas, como fala ou reconhecimento facial.
ÿ Abordagem Reativa: A abordagem reativa é complementar à abordagem preventiva. Essa abordagem aborda
ataques e ameaças que a abordagem preventiva pode ter falhado em evitar, como ataques DoS e DDoS. É
necessário implementar abordagens preventivas e reativas para garantir a segurança da rede.
Abordagens reativas incluem métodos de monitoramento de segurança, como IDS, SIMS, TRS e IPS.
ÿ Abordagem Retrospectiva: A abordagem retrospectiva examina as causas dos ataques em

a rede. Esses incluem:
o Mecanismos de detecção de falhas, como analisadores de protocolo e monitores de tráfego.
o Técnicas forenses de segurança, como CSIRT e CERT.
o Mecanismo de análise post-mortem, incluindo avaliações legais e de risco.


ÿ Abordagem Proativa: A abordagem proativa consiste em métodos ou técnicas que são

usadas para informar a tomada de decisões para combater futuros ataques na rede de destino.
Inteligência de ameaças e avaliação de riscos são exemplos de métodos que podem ser
usados para avaliar prováveis ameaças futuras à organização. Os métodos nesta
abordagem facilitam a implementação de ações preventivas de segurança e medidas
contra possíveis incidentes.


Controles de segurança de rede:

Controles administrativos de segurança
ÿ A gestão implementa controles administrativos de acesso para garantir a segurança da organização
Exemplos de controles administrativos de segurança
01 Estrutura regulatória Conformidade 02 Política de segurança
03 Monitoramento e Supervisão de Empregados 04 Classificação da Informação
05 Conscientização e treinamento em segurança
Controles de segurança de rede
Controles administrativos de segurança
Os controles administrativos de segurança são limitações de gerenciamento, procedimentos operacionais e de responsabilidade

e outros controles que garantem a segurança de uma organização. Os procedimentos prescritos no controle de segurança
administrativa garantem a autorização e autenticação do pessoal em todos os níveis.
Os componentes de um controle de segurança administrativo incluem:
ÿ Cumprimento do quadro regulamentar
ÿ Política de segurança
ÿ Acompanhamento e supervisão de colaboradores
ÿ Classificação da informação
ÿ Separação de funções
ÿ Princípio dos privilégios mínimos
ÿ Conscientização e treinamento em segurança


Controles de segurança de rede: controles de segurança física
ÿ Este é um conjunto de medidas de segurança tomadas para impedir o acesso não autorizado a dispositivos físicos
Exemplos de controles de acesso físico
Fechaduras Cercas Sistema de crachás Seguranças Portas armadilhas
sistema biométrico Iluminação Detectores de movimento circuito fechado de tv Alarmes
Controles de segurança física
Controles de segurança física apropriados podem reduzir as chances de ataques e riscos em uma organização. Os
controles de segurança física fornecem proteção física das informações, edifícios e todos os outros ativos físicos de uma
organização.
Os controles de segurança física são categorizados em:
ÿ Controlos de Prevenção
Eles são usados para impedir o acesso indesejado ou não autorizado aos recursos. Eles incluem controles de
acesso, como cercas, fechaduras, biometria e armadilhas.
ÿ Controlos de Dissuasão
Estes são usados para desencorajar a violação das políticas de segurança. Eles incluem controles de acesso,
como guardas de segurança e sinais de alerta.
ÿ Controles de Detecção
Estes são usados para detectar tentativas de acesso não autorizadas. Eles incluem controles de acesso, como
CFTV e alarmes.


Exemplos de controles de acesso físico:
Figura 1.6: Controles de segurança física


Controles de segurança de rede: controles técnicos de segurança
ÿ Este é um conjunto de medidas de segurança tomadas para proteger dados e sistemas de pessoas não autorizadas
Exemplos de controles técnicos de segurança
01 03 05
Acesso Autorização Auditoria Segurança Rede
Controles Protocolos
Segurança
Autenticação
04 Dispositivos
02 06
Controles técnicos de segurança
Os controles técnicos de segurança são usados para restringir o acesso a dispositivos em uma organização para
proteger a integridade de dados confidenciais.
Os componentes dos controles técnicos de segurança incluem:
ÿ Controles de acesso ao sistema: Os controles de acesso ao sistema são usados para restringir o acesso aos
dados de acordo com a confidencialidade dos dados, nível de autorização dos usuários, direitos do usuário e
permissões.
ÿ Controles de acesso à rede: Os controles de acesso à rede oferecem vários controles de acesso
mecanismos para dispositivos de rede como roteadores e switches.
ÿ Autenticação e autorização: Autenticação e autorização garantem que apenas usuários com privilégios
apropriados possam acessar o sistema ou recursos de rede.
ÿ Criptografia e Protocolos: Criptografia e protocolos protegem a passagem de informações

através da rede e preservar a privacidade e confiabilidade dos dados.
ÿ Dispositivos de segurança de rede : Dispositivos de segurança de rede, como firewall e IDS, são usados para
filtrar e detectar tráfego malicioso, protegendo assim a organização contra ameaças.
ÿ Auditoria: A auditoria refere-se ao rastreamento e exame das atividades dos dispositivos de rede em uma rede.
Esse mecanismo ajuda a identificar pontos fracos na rede.


Fluxo do módulo
Entenda os fundamentos da
01 segurança de rede
Discutir rede essencial

02 Protocolos de segurança
Discutir protocolos essenciais de segurança de rede

O objetivo desta seção é explicar os vários protocolos essenciais de segurança de rede que funcionam
nas camadas de rede, transporte e aplicação. Detalhes do serviço de usuário dial-in de acesso remoto
(RADIUS), sistema de controle de acesso do controlador de acesso de terminal TACAS plus (TACACS+),
Kerberos, privacidade muito boa (PGP), S/MIME, protocolo de transferência de hipertexto seguro
(HTTPS), segurança da camada de transporte ( Os protocolos TLS), Secure Sockets Layer (SSL) e
Internet Protocol Security (IPSec) serão discutidos nesta seção.


Protocolos de segurança de rede
RAIO HTTP seguro
TACACS+ HTTPS
Kerberos TLS
PGP SSL
S/MIME IPsec
Protocolos de segurança de rede
Existem vários protocolos de segurança que funcionam nas camadas de rede, transporte e aplicação.
Esses protocolos ajudam as organizações a aumentar a segurança de seus dados e comunicação contra diferentes
tipos de ataques.
ÿ Os protocolos de segurança que atuam na camada de transporte são os seguintes:
o Transport Layer Security (TLS): O protocolo TLS fornece segurança e confiabilidade

de dados entre duas partes em comunicação.
o Secure Sockets Layer (SSL): O protocolo SSL fornece segurança ao

comunicação entre um cliente e um servidor.
ÿ Os protocolos de segurança que atuam na camada de rede são os seguintes:
o Internet Protocol Security (IPsec): O protocolo IPSec autentica os pacotes

durante a transmissão de dados.
ÿ Os protocolos de segurança que atuam na camada de aplicação são os seguintes:
o Protocolo Pretty Good Privacy (PGP): O protocolo PGP fornece privacidade criptográfica e autenticação
para comunicação de rede e aumenta a segurança de e-mails.
o Protocolo S/MIME: Comumente conhecido como Secure/Multi-Purpose Internet mail

Extensão. O protocolo S/MIME fornece segurança aos e-mails.
o HTTP seguro: O HTTP seguro oferece segurança aos dados que trafegam pelo
rede mundial de computadores.


o Hyper Text Transfer Protocol Secure (HTTPS): O protocolo HTTPS é amplamente utilizado na Internet para
proteger a comunicação de rede.
o Kerberos: Kerberos é um modelo cliente-servidor implementado para autenticação

solicitações em redes de computadores.
o RADIUS: O protocolo RADIUS fornece autenticação centralizada, autorização e contabilidade (AAA) para
servidores de acesso remoto se comunicarem com um
servidor.
o TACACS+: TACACS+ fornece serviços de autenticação, autorização e contabilidade (AAA) para comunicação
de rede.


Serviço de usuário de discagem de autenticação remota (RADIUS)
ÿ O serviço de usuário dial-in de autenticação remota (RADIUS) é um protocolo de autenticação que fornece autenticação centralizada,
autorização e contabilidade (AAA) para servidores de acesso remoto se comunicarem com um servidor central
Etapas de autenticação no RADIUS
1) Um cliente inicia uma conexão enviando o pacote de solicitação de acesso ao servidor
2) O servidor recebe a solicitação de acesso do cliente e compara as credenciais com as armazenadas no banco de dados.
Se as informações fornecidas corresponderem, ele enviará a mensagem de aceitação de acesso junto com o desafio de acesso ao cliente para
autenticação adicional; caso contrário, ele enviará de volta uma mensagem de aceitação e rejeição
3) O cliente envia a solicitação de contabilidade ao servidor para especificar as informações de contabilidade para uma conexão que foi aceita
Solicitação de acesso ao tipo de pacote (nome de usuário, senha)
Acesso-Aceitar/Acessar-Rejeitar (Serviço de Usuário, Protocolo Enquadrado)
Desafio de acesso (opcional) (mensagem de resposta)
servidor de acesso Servidor RADIUS
Serviço de usuário de discagem de autenticação remota

(RAIO) (continuação)
Etapas de Contabilidade do Raio RAIO RAIO

Cliente Servidor
ÿ O cliente envia a solicitação de contabilidade RADIUS: Solicitação de

Contabilidade [acct_status_type=start]
ao servidor para especificar as informações
de contabilidade para uma conexão que foi
RADIUS: Contabilidade-Resposta
aceita
RADIUS: Solicitação de contabilidade
[acct_status_type=atualização temporária]
RADIUS: Contabilidade-Resposta
ÿ O servidor recebe esta mensagem e envia RADIUS: Solicitação de contabilidade

[acct_status_type=stop]
de volta a mensagem de resposta
contábil que declara o estabelecimento
bem-sucedido da rede RADIUS: Contabilidade-Resposta
Serviço de usuário de discagem de autenticação remota (RADIUS)

RADIUS significa serviço de usuário dial-in de autenticação remota. Foi desenvolvido pela Livingston
Enterprises como um protocolo de rede, que fornece autenticação centralizada, autorização e
contabilidade (AAA) para servidores de acesso remoto se comunicarem com um servidor central. O
RADIUS possui um modelo cliente-servidor, que funciona na camada de aplicação do modelo OSI
usando UDP ou TCP como protocolo de transporte. O protocolo RADIUS é o padrão de fato para
autenticação de usuário remoto e está documentado em RFC 2865 e RFC 2866.


Etapas de autenticação no RADIUS:
ÿ Um cliente inicia uma conexão enviando um pacote de solicitação de acesso ao servidor.
ÿ O servidor recebe a solicitação de acesso do cliente e compara suas credenciais com as

armazenadas no banco de dados. Se as informações fornecidas corresponderem, o servidor
enviará uma mensagem de aceitação de acesso junto com o desafio de acesso ao cliente para
autenticação adicional; caso contrário, ele envia uma mensagem de rejeição de acesso.
ÿ O cliente envia um pedido de contabilidade ao servidor para especificar a contabilidade

informações para uma conexão que foi aceita.
Figura 1.7: Etapas de autenticação no RADIUS
Etapas de contabilização do raio:
ÿ O cliente envia um pedido de contabilidade ao servidor para especificar a contabilidade

informações para uma conexão que foi aceita.
ÿ O servidor recebe esta mensagem e envia de volta uma mensagem de resposta contábil, que
declara o estabelecimento bem-sucedido da rede.
Figura 1.8: Etapas de contabilização do raio


O protocolo RADIUS é um protocolo AAA que funciona em redes móveis e locais. Ele usa o protocolo de autenticação de senha
(PAP), o protocolo de autenticação de handshake de desafio (CHAP) ou o protocolo de autenticação extensível (EAP) para
autenticar os usuários que se comunicam com os servidores. Os componentes de um protocolo RADIUS AAA são:
ÿ Acessar clientes
ÿ Servidores de acesso
ÿ Proxies RADIUS
ÿ Servidores RADIUS
ÿ Bancos de dados de contas de usuário
As mensagens RADIUS são enviadas como mensagens UDP e permitem apenas uma mensagem RADIUS na seção de carga
útil UDP do pacote RADIUS. As mensagens RADIUS consistem em um cabeçalho RADIUS e outros atributos RADIUS.


Controlador de Acesso Terminal Sistema de Controle de Acesso

Mais (TACACS+)
ÿ O terminal access controller access control
TACACS+
system plus (TACACS+) é um protocolo servidor de segurança
Público Comutado
de segurança de rede usado para Usuário Remoto
Telefone
AAA de dispositivos de rede como Rede (PSTN)/
TACACS+
Integrado
switches, roteadores e firewalls por meio de Serviços Digitais
Cliente
um ou mais servidores centralizados Rede (ISDN)

Roteador Rede corporativa
ÿ TACACS+ criptografa toda

a comunicação entre o cliente e o Usuário Remoto Cliente AAA Servidor TACACS+
servidor, incluindo a senha do usuário

que o protege de ataques de sniffing
2. A SOLICITAÇÃO é enviada ao servidor AAA

1. O cliente AAA recebe um recurso
ÿ É uma abordagem de modelo cliente- para shell de serviço
solicitação de um usuário. Isso pressupõe que a
servidor onde o cliente (usuário ou autenticação já ocorreu
dispositivo de rede) solicita conexão a 3. A RESPOSTA é retornada ao cliente AAA
um servidor, o servidor autentica o indicando uma aprovação ou reprovação

4. O cliente AAA pode conceder ou negar acesso a
usuário examinando suas credenciais o shell de serviço
Sistema de controle de acesso do controlador de acesso ao terminal Plus (TACACS+)
O Terminal Access Controller Access-Control System Plus (TACACS+) é um protocolo desenvolvido pela Cisco. É
derivado do protocolo TACACS e executa AAA separadamente, ao contrário do RADIUS. É usado principalmente para
administração de dispositivos.
O TACACS+ criptografa toda a comunicação entre o cliente e o servidor, incluindo a senha do usuário, o que o protege
de ataques de sniffing. É uma abordagem de modelo cliente-servidor em que o cliente (usuário ou dispositivo de rede)
solicita conexão a um servidor e o servidor autentica o usuário examinando suas credenciais.
Autenticação de TACACS+
Considere o seguinte exemplo de autenticação em que um usuário de laptop está se conectando a um armazenamento
conectado à rede (NAS, roteador). A autenticação TACACS+ envolve as seguintes etapas:
ÿ Passo 1: Um usuário inicia a conexão para autenticação
ÿ Passo 2: O roteador e o usuário trocam parâmetros de autenticação
ÿ Passo 3: O roteador envia os parâmetros ao servidor para autenticação
ÿ Etapa 4: O servidor responde com a mensagem REPLY com base nas informações fornecidas


Figura 1.9: Autenticação de TACACS+
Diferença entre RADIUS e TACACS+
Figura 1.10: Esquema mostrando as diferenças entre os protocolos RADIUS e TACACS+


RAIO TACACS+
Combina autenticação e autorização Separa todos os três elementos do AAA,

tornando-o mais flexível
Criptografa apenas a senha Criptografa o nome de usuário e a senha
Requer que cada dispositivo de rede Gerenciamento central para configuração

contenha configuração de autorização de autorização
UDP- Portas UDP sem conexão

TCP- Porta TCP orientada à conexão 49
1645/1646, 1812/1813
Tabela 1.1: Diferença entre RADIUS e TACACS+


Kerberos
Cliente KDC (Kerberos)
ÿ Kerberos é um método de autenticação para acessar uma rede Chave
Distribuição Bilhete
Solicitação de Solicitação de ingresso
gerado e
centro (KDC) criptografado
Protocolo de autenticação Kerberos (KAP) usando uma

chave secreta
do servidor
01 Um usuário envia suas credenciais para um servidor de autenticação (AS)
O AS processa a senha do usuário e verifica suas credenciais no banco de dados do Active

Directory. Se a credencial corresponder, o AS (consistindo no serviço de concessão de Descriptografar
02 tíquete, TGS) envia de volta a chave de sessão TGS e o tíquete de concessão de tíquete a
Resposta do ticket
resposta
(TGT) ao usuário para criar uma sessão do ticket e encaminhar
o
Uma vez autenticados os usuários, eles enviam o TGT para solicitar um tíquete de serviço bilhete para o
03 ao servidor ou TGS para acessar os serviços servidor Servidor
Bilhete
Descriptografe
O TGS autentica o TGT e concede um tíquete de serviço ao usuário. O tíquete de serviço
04 consiste no tíquete e em uma chave de sessão
o tíquete e
confirme o
identidade de
o cliente
O cliente envia o tíquete de serviço para o servidor. O servidor usa sua chave para
05 descriptografar as informações do TGS e o cliente é autenticado no servidor
Kerberos
Kerberos é um protocolo de autenticação de rede implementado para autenticar solicitações em redes de

computadores. É baseado no modelo cliente-servidor, que utiliza uma tecnologia de criptografia e um mecanismo
de “ticket” para provar a identidade de um usuário em uma rede não segura.
As mensagens do protocolo Kerberos protegem a rede contra ataques de repetição e espionagem. Ele geralmente
usa criptografia de chave pública ao autenticar usuários que tentam acessar o
servidor.
O protocolo Kerberos consiste nas seguintes etapas:
ÿ Passo 1: Um usuário envia suas credenciais para o servidor de autenticação.
ÿ Etapa 2: O servidor de autenticação faz o hash da senha do usuário e verifica as credenciais com as do
banco de dados do Active Directory. Se a credencial corresponder, o servidor de autenticação (consistindo
no serviço de concessão de tíquete (TGS)) envia de volta a chave de sessão TGS e o tíquete de concessão
de tíquete (TGT) ao usuário para criar uma sessão.
ÿ Passo 3: Uma vez autenticados os usuários, eles enviam o TGT para solicitar um ticket de serviço ao servidor
ou TGS para acesso aos serviços
ÿ Passo 4: O TGS autentica o TGT e concede um ticket de serviço ao usuário, que consiste em um ticket e
uma chave de sessão.
ÿ Passo 5: O cliente envia o tíquete de serviço para o servidor. O servidor usa sua chave para descriptografar
as informações do TGS e o cliente é autenticado no servidor.


Figura 1.11: Etapas do protocolo Kerberos


Muito boa privacidade (PGP)

ÿ Pretty good privacy (PGP) é um protocolo de camada de aplicação que fornece privacidade criptográfica e
autenticação para comunicação de rede
ÿ Ele criptografa e descriptografa a comunicação por e-mail, bem como autentica as mensagens
com assinaturas digitais e criptografa arquivos armazenados
Criptografia de arquivo Descriptografia de arquivo
Chave Aleatória
Chave privada do usuário
Arquivo Criptografia Arquivo Criptografado

Descriptografia
Arquivo Criptografado Chave Criptografada
com o Usuário
Chave pública do usuário
Arquivo Criptografado Chave pública no
com o Usuário Cabeçalho
Chave pública no
Cabeçalho
Criptografia Descriptografia Arquivo
Arquivo Criptografado
Chave Criptografada
Muito boa privacidade (PGP)
Pretty Good Privacy (PGP) é um protocolo de camada de aplicação que fornece privacidade criptográfica
e autenticação para comunicação de rede. Pretty Good Privacy (PGP) é um programa de computador de
criptografia e descriptografia usado para fornecer confidencialidade e validação durante a comunicação. O
PGP aumenta a segurança dos e-mails.
Como funciona o PGP?
Cada usuário tem uma chave de criptografia pública e uma chave privada. As mensagens são enviadas
para outro usuário depois de criptografá-las usando a chave pública. O destinatário descriptografa a
mensagem usando sua chave privada. O PGP comprime a mensagem, resultando em um aumento na
segurança da mensagem na rede. O PGP cria uma chave de sessão que é usada apenas uma vez. Ele
criptografa a mensagem usando a chave de sessão junto com o algoritmo de criptografia. A chave de
sessão é criptografada pela chave pública do destinatário. A chave de sessão criptografada de chave
pública é enviada ao destinatário junto com a mensagem criptografada.


Figura 1.12: Criptografia de arquivo usando PGP
Um destinatário usa sua chave privada para descriptografar a chave de sessão e para descriptografar toda a mensagem.
Figura 1.13: Descriptografia de arquivo
Existem duas versões do PGP:
ÿ Algoritmo RSA
ÿ Algoritmo Diffie-Hellman
O PGP cria um código hash a partir do nome e da assinatura do usuário para criptografar a chave privada do remetente.
O destinatário usa a chave pública do remetente para descriptografar o código hash.


Correio de Internet seguro/multiuso

Extensões (S/MIME)
Secure/multipurpose internet mail extensions (S/MIME) é um protocolo
01 de camada de aplicação que é usado para enviar mensagens de e-

mail criptografadas e assinadas digitalmente
02 Ele usa o sistema RSA para criptografia de e-mail
Os defensores da rede precisam ativar a segurança baseada

03 em S/MIME para caixas de correio em suas organizações
Extensões de correio da Internet seguras/multifuncionais

(S/MIME) (continuação)
Alice Público Prumo
Mensagem
Certificado Chave pública

OK? Alice
Alice
Chave privada
Alice
Digital Assinatura
Assinando
Assinatura verificando
criptografado
Criptografia (DES) Descriptografia (DES)
Mensagem
Mensagem
Chave secreta
Chave secreta
Criptografia (RSA) Descriptografia (RSA)
Certificado
OK? Chave privada
Chave pública Prumo
Prumo Prumo
Extensões de correio da Internet seguras/multifuncionais (S/MIME)
Extensões de correio da Internet seguras/multiuso (S/MIME) são usadas para enviar mensagens
criptografadas e assinadas digitalmente. Ele permite criptografar mensagens de e-mail e assiná-las
digitalmente para garantir a confidencialidade, integridade e não repúdio das mensagens.


Ele fornece serviços de segurança criptográfica, como:
ÿ Autenticação
ÿ Integridade da mensagem
ÿ Não-repúdio
ÿ Privacidade
ÿ Segurança de dados
O S/MIME garante a segurança do e-mail e foi incluído nas versões mais recentes de diferentes navegadores da web.
Ele usa o método de criptografia RSA e fornece detalhes sobre a criptografia e assinaturas digitais na mensagem.
Um protocolo S/MIME precisa garantir que obtém um certificado da CA ou de uma CA pública.

O protocolo usa chaves privadas diferentes para assinatura e criptografia.
Figura 1.14: Funcionamento do S/MIME


Diferenças entre
PGP e S/MIME
Recursos obrigatórios S/MIME v3 OpenPGPGenericName
Formato da mensagem Binário, baseado em CMS Aplicação/Pkcs 7-mime
Binário, com base no anterior

Formato do certificado Binário, baseado em X.509v3
PGP
Criptografia Simétrica DES triplo (DES, EDE3 e

DES triplo (DES, EDE3 e CBC)
Algoritmo Excêntrico CFB)
Diffie-Hellman (X9.42) com DSS ou RSA ElGamal com DSS

Algoritmo de Assinatura
Algoritmo Hash SHA-1 SHA-1
Encapsulamento MIME de Escolha de Multipartes/assinado ou

Armadura ASCII multipartes/assinada
Dados assinados Formato CMS
Encapsulamento MIME de
Aplicação/Pkcs 7-mime Multiparte/Criptografado
Dados criptografados
Diferenças entre PGP e S/MIME
Recursos obrigatórios S/MIME v3 OpenPGPGenericName
Formato da mensagem Binário, baseado em CMS Aplicação/Pkcs 7-mime
Formato do certificado Binário, baseado em X.509v3 Binário, baseado no PGP anterior
Criptografia Simétrica DES triplo (DES, EDE3 e DES triplo (DES, EDE3 e
Algoritmo hemograma) Excêntrico CFB)
Diffie-Hellman (X9.42) com DSS ou

Algoritmo de Assinatura ElGamal com DSS
RSA
Algoritmo Hash SHA-1 SHA-1
Encapsulamento MIME de Escolha de Multipartes/assinado ou

Armadura ASCII multipartes/assinada
Dados assinados Formato CMS
Encapsulamento MIME de
Aplicação/Pkcs 7-mime Multiparte/Criptografado
Dados criptografados
Tabela 1.2: Diferenças entre PGP e S/MIME


Transferência segura de hipertexto

Protocolo (S-HTTP)
ÿ Protocolo de transferência de hipertexto seguro (S-HTTP) é um protocolo de camada
de aplicativo usado para criptografar comunicações da Web transportadas
HTTP
ÿ É uma alternativa ao protocolo HTTPS (SSL)
ÿ Garante a transmissão segura de dados de mensagens individuais, enquanto

SSL estabelece uma conexão segura entre duas entidades assim
garantindo a segurança de toda a comunicação
Máquina cliente Máquina Servidora
Cliente WWW HTTP Servidor WWW
S-HTTP
Criptografia Inteligente Criptografia Inteligente
Nível de Aplicação
Segurança Criptografado e/ou Criptografado e/ou
Mensagens Assinadas Mensagens Assinadas
Canal não criptografado
Camada de rede Camada de rede
Nota: Nem todos os navegadores e servidores da Web suportam S-HTTP
Protocolo seguro de transferência de hipertexto (S-HTTP)
O Secure Hypertext Transfer Protocol (S-HTTP) garante a troca segura de dados na rede mundial de computadores.
É uma alternativa ao HTTPS (SSL). Ele implementa segurança em nível de aplicativo que oferece criptografia e
assinaturas digitais na mensagem. O S-HTTP verifica o usuário usando um certificado e fornece muitos algoritmos
criptográficos e modos de operação. Garante também a transmissão segura de dados para mensagens individuais,
enquanto o SSL estabelece uma ligação segura entre duas entidades, garantindo assim a segurança de toda a
comunicação. S-HTTP usa o protocolo cliente-servidor para determinar as condições de segurança para uma
instância de comunicação cliente-servidor. Ele permite que o cliente envie um certificado para autenticar um
usuário. Existem muitos servidores da Web que suportam o protocolo S-HTTP, o que permite que eles se
comuniquem sem exigir nenhuma criptografia.
Figura 1.15: Segurança no nível do aplicativo S-HTTP


Protocolo de transferência de hipertexto seguro (HTTPS)

ÿ Protocolo de transferência de hipertexto seguro (HTTPS) garante comunicação segura entre dois
computadores por HTTP
ÿ A conexão é criptografada usando uma segurança da camada de transporte (TLS) ou SSL

protocolo
ÿ É frequentemente usado em transações online confidenciais
ÿ Protege contra ataques man-in-the-middle, uma vez que os dados são transmitidos
através de um canal criptografado
HTTPS
UMA B
“meu passe” “Xz54p6kd” “meu passe”
Criptografia Descriptografia
Envia a Senha Receba a Senha

Não autorizado
Obtém “Xz54p6kd”
Acesso
Protocolo de transferência de hipertexto seguro (HTTPS)
O protocolo de transferência de hipertexto seguro (HTTPS) é um protocolo usado para garantir a comunicação segura na rede. Ele usa
protocolos como TLS e SSL para garantir a transmissão segura de dados. O HTTPS confirma a verificação dos sites e preserva a
confidencialidade e a confiabilidade das mensagens trafegadas pela internet.
Ele protege contra ataques man-in-the-middle, pois os dados são transmitidos por um canal criptografado.
Figura 1.16: Proteção HTTPS contra ataque MiTM
O HTTPS usa principalmente SSL para proteger qualquer site, facilitando o acesso dos usuários ao site. O SSL tem as seguintes vantagens:
ÿ
Ele criptografa as informações confidenciais durante a troca de dados.
ÿ
Ele mantém um registro dos detalhes do proprietário do certificado.
ÿ Uma CA verifica o proprietário do certificado ao emiti-lo.
ÿ
É frequentemente usado em transações online confidenciais.


Segurança da Camada de Transporte (TLS)
ÿ A segurança da camada de transporte (TLS) garante uma comunicação segura entre cliente-servidor
aplicativos pela internet
ÿ Impede que a comunicação da rede seja interceptada ou adulterada
Inscrição Inscrição
Camadas do Protocolo TLS

Protocolo de Registro TLS
TLS TLS
Aperto de mão Aperto de mão
ÿ
Garante a segurança da Protocolo Protocolo
conexão com criptografia
Protocolo de Registro TLS Protocolo de Registro TLS
Protocolo de handshake TLS
TCP/IP TCP/IP
ÿ Garante a autenticação do
servidor e do cliente Hardware de rede Hardware de Rede
Segurança da Camada de Transporte (TLS)
A segurança da camada de transporte (TLS) fornece uma comunicação segura de dados, além da confidencialidade
e confiabilidade entre as partes comunicantes.
A seguir estão as propriedades de uma conexão TLS segura:

ÿ
Garante a confidencialidade e confiabilidade dos dados durante a comunicação entre um cliente e um
servidor usando criptografia simétrica.
ÿ
Ele autentica aplicativos de comunicação usando criptografia de chave pública.
ÿ Os códigos de autenticação podem manter a confiabilidade dos dados.
ÿ O TLS consiste em dois protocolos:
o Protocolo de registro TLS: Este protocolo fornece segurança usando o método de criptografia.
o Protocolo de handshake TLS: Este protocolo fornece segurança realizando uma autenticação de um
cliente e um servidor antes da comunicação.


Figura 1.17: Camadas do Protocolo TLS


Secure Sockets Layer (SSL)

ÿ Secure sockets layer (SSL) foi desenvolvido pela Netscape para gerenciar a segurança de uma transmissão de mensagem em
a Internet
ÿ Ele usa a criptografia assimétrica RSA (chave pública) para criptografar os dados transferidos por conexões SSL
Mensagem Hello do cliente (inclui versão SSL, dados gerados aleatoriamente, algoritmos de criptografia, ID de
sessão, algoritmos de troca de chaves, algoritmos de compactação e algoritmos MAC)
Determina a versão SSL e os algoritmos de criptografia a serem usados para a comunicação; envia
Mensagem de saudação do servidor (ID da sessão) e mensagem de certificado (certificado local)
Envia uma mensagem Server Hello Done
Verifica o Certificado Digital; gera um segredo pré-mestre aleatório (criptografado com a chave
pública do servidor) e envia a mensagem Client Key Exchange com o segredo pré-mestre
Envia uma mensagem Change Cipher Spec e também envia uma mensagem Finished (hash da mensagem de handshake)
O valor de hash é calculado para as mensagens de handshake trocadas e, em seguida, comparado ao valor de hash
recebido do cliente; Se os dois corresponderem, a negociação da chave e do conjunto de cifras será bem-sucedida. Envia
uma mensagem Change Cipher Spec e também envia uma mensagem Finished (hash da mensagem de handshake)
Secure Sockets Layer (SSL)
A Secure Sockets Layer (SSL) é um protocolo usado para fornecer um mecanismo de autenticação seguro entre dois aplicativos
de comunicação, como um cliente e um servidor. O SSL requer um protocolo de transporte confiável, como TCP, para
transmissão e recepção de dados.
Qualquer protocolo de camada de aplicativo superior ao SSL, como HTTP, FTP e telnet, pode formar uma camada transparente
sobre o SSL. O SSL atua como um árbitro entre o algoritmo de criptografia e a chave de sessão. Ele também verifica o servidor
de destino antes da transmissão e recepção de dados. O SSL criptografa os dados completos do protocolo do aplicativo para
garantir a segurança.
O protocolo SSL também oferece “segurança de canal” por meio de três propriedades básicas:
ÿ Canal privado: Todas as mensagens são criptografadas após um simples aperto de mão para definir uma chave secreta.
ÿ Canal autenticado: O terminal do servidor da conversa é sempre criptografado, enquanto o terminal do cliente é
opcionalmente autenticado.
ÿ Canal confiável: A transferência de mensagens passa por uma verificação de integridade.
O SSL usa mecanismos de autenticação assimétricos e simétricos. A criptografia de chave pública verifica as identidades do
servidor, do cliente ou de ambos. Uma vez concluída a autenticação, o cliente e o servidor podem criar chaves simétricas,
permitindo que eles se comuniquem e transfiram dados rapidamente. Uma sessão SSL é responsável por realizar o protocolo
de handshake SSL para organizar os estados do servidor e dos clientes, garantindo assim a consistência do protocolo.


Figura 1.18: Funcionamento do SSL


Segurança de Protocolo de Internet (IPsec)
ÿ A segurança do protocolo de Internet (IPsec) é um protocolo da ÿ Ele criptografa e autentica cada pacote IP no
camada de rede que garante uma comunicação segura no nível comunicação
de IP
ÿ Suporta autenticação de nível de rede, autenticação de origem de
ÿ Fornece segurança de ponta a ponta na camada de internet dados, integridade de dados, confidencialidade de dados
do conjunto de protocolos de internet (criptografia) e proteção de replay
LAN – IP interno LAN – IP interno

Internet
Firewall Firewall
túnel IPsec
IP externo IP externo
Segurança de Protocolo de Internet (IPsec)
O Internet Protocol Security (IPsec) garante comunicações seguras na rede IP. Ele funciona na camada
de rede do modelo de comunicação e utiliza serviços de segurança criptográfica para garantir a
segurança da comunicação. Permite a autenticação de pacotes IP durante a comunicação. O IPsec é
aplicado em redes privadas virtuais e acesso de usuário remoto. Ele é usado entre um par de hosts,
um par de gateways de segurança ou um gateway de segurança e um host. Ele consiste em dois
serviços de segurança, ou seja, um cabeçalho de autenticação (AH) e uma carga útil de segurança de
encapsulamento (ESP). O AH permite a autenticação do remetente, enquanto o ESP permite a
autenticação do remetente, bem como a criptografia de dados.
Ele fornece comunicação segura para autenticação de nível de rede, autenticação de origem de dados
e garante integridade de dados, confidencialidade de dados (criptografia) e proteção de repetição.
Figura 1.19: Funcionamento do IPsec


Resumo do Módulo
Este módulo discutiu os fundamentos da segurança da rede, o objetivo da
defesa da rede e os princípios de garantia da informação (IA)
Ele discutiu os benefícios e desafios da defesa de rede
Ele também discutiu diferentes tipos de abordagens de defesa de rede e

tipos de controles de segurança de rede
Segurança
Finalmente, este módulo terminou com uma discussão detalhada de vários
protocolos de segurança de rede
No próximo módulo, discutiremos em detalhes os conceitos de

identificação, autenticação e autorização
Resumo do Módulo
Este módulo discutiu os fundamentos da segurança de rede, objetivo de defesa de rede e
princípios de garantia de informação (IA). Ele discutiu os benefícios e desafios da defesa de rede.
Ele também discutiu diferentes tipos de abordagens de defesa de rede e tipos de controles de
segurança de rede. Finalmente, este módulo apresentou uma discussão detalhada de vários
protocolos de segurança de rede.
No próximo módulo, discutiremos os conceitos de identificação, autenticação e autorização em
detalhes.

MT
CE-Conselho
EC-Council
ND
Network
E
Defense Essentials
Módulo 02
Identificação, Autenticação e Autorização

Compreensão da terminologia, princípios e modelos de controle de acesso
Noções básicas sobre gerenciamento de identidade e acesso (IAM)
Compreendendo o gerenciamento de acesso do usuário
Visão geral dos diferentes tipos de autenticação
Visão geral dos diferentes tipos de autorização
Compreendendo a contabilidade do usuário
O risco mais sério que as organizações enfrentam atualmente é o acesso não autorizado a dados confidenciais. Para
controlar essas violações de dados, as organizações exigem mecanismos fortes de identificação, autenticação e
autorização para gerenciar com eficácia o acesso a ativos críticos e dados confidenciais.
Este módulo fornece uma visão geral de vários métodos e técnicas usadas para identificação, autenticação e
autorização de usuários que acessam ativos e recursos críticos.
ÿ Compreender a terminologia, princípios e modelos de controle de acesso
ÿ Descrever gerenciamento de identidade e acesso (IAM)
ÿ Entender o gerenciamento de acesso do usuário
ÿ Explicar os diferentes tipos de autenticação
ÿ Explicar os diferentes tipos de autorização
ÿ Compreender a contabilidade do utilizador


Fluxo do módulo
Discutir controle de acesso

Princípios, Terminologias e
Modelos
1
Discutir identidade e acesso

Conceitos de gerenciamento (IAM)
2
Discutir princípios, terminologias e modelos de controle de acesso

O objetivo desta seção é explicar o conceito de controle de acesso apresentando os princípios de
controle de acesso, as terminologias utilizadas e os diferentes modelos que descrevem como o
controle de acesso ajuda a controlar o acesso dos usuários a recursos específicos em uma rede.


Controle de acesso
ÿ Controle de acesso é a restrição seletiva de acesso a um ativo ou recurso de sistema/rede
ÿ Protege os ativos de informação determinando quem pode acessar o que
ÿ Mecanismo de controle de acesso usa identificação, autenticação e autorização do usuário para restringir ou conceder acesso
para um ativo/recurso específico
Autorização
Base de dados
Administrador
Autenticação Controle de acesso
Acesso
Autenticação
Ao controle
Função
Função
Do utilizador
Recursos do sistema
Controle de acesso
O controle de acesso é um método de limitar o acesso aos recursos de uma organização para os usuários.
Um aspecto crucial da implementação de um controle de acesso é manter a integridade, confidencialidade e
disponibilidade das informações.
Uma função de controle de acesso usa identificação, autenticação e mecanismos para identificar, autenticar
e autorizar o usuário solicitando acesso a um recurso específico. As permissões de acesso determinam as
aprovações ou permissões fornecidas a um usuário para acessar um sistema e outros recursos.
As etapas gerais envolvidas no mecanismo de controle de acesso são as seguintes:
ÿ Etapa 1: Um usuário fornece suas credenciais/identificação ao fazer login no sistema.
ÿ Passo 2: O sistema valida o usuário com o banco de dados com base no fornecido
credenciais/identificação, como senha, impressão digital, etc.
ÿ Passo 3: Uma vez que a identificação for bem sucedida, o sistema fornece ao usuário acesso para usar
o sistema.
ÿ Etapa 4: O sistema permite que o usuário execute apenas as operações ou acesse apenas os recursos
para os quais o usuário foi autorizado.


Figura 2.1: Mecanismo de Controle de Acesso


Terminologias de controle de acesso

Sujeito Isso se refere a um usuário ou processo específico que deseja acessar um recurso
Isso se refere a um recurso específico que o usuário deseja acessar, como um arquivo ou
Objeto um dispositivo de hardware
Referência
Ele verifica a regra de controle de acesso para restrições específicas
Monitor
Operação Representa uma ação realizada por um sujeito em um objeto
Acesso
Acesso
Sujeito Monitor de referência Solicitar Objeto
Solicitar
Garantido
Autenticação Autorização
Terminologias de controle de acesso
As seguintes terminologias são usadas para definir o controle de acesso em recursos específicos:
ÿ Assunto: Um assunto pode ser definido como um usuário ou um processo que tenta acessar os
objetos. Os sujeitos são aquelas entidades que executam certas ações no sistema.
ÿ Objeto: Um objeto é um recurso explícito no qual uma restrição de acesso é imposta. Os controles
de acesso implementados nos objetos controlam ainda mais as ações executadas pelo usuário.
Exemplos de um objeto são um arquivo ou um dispositivo de hardware.
ÿ Monitor de Referência: Um monitor de referência monitora as restrições impostas com base em

determinadas regras de controle de acesso. Ele implementa um conjunto de regras sobre a
capacidade do sujeito de realizar certas ações no objeto.
ÿ Operação: Uma operação é uma ação executada por um sujeito em um objeto. Um usuário tentando
excluir um arquivo é um exemplo de operação. Aqui, o usuário é o sujeito, a ação de excluir refere-
se à operação e o arquivo é o objeto.
Figura 2.2: Terminologias de controle de acesso


Princípios de controle de acesso

Separação de Tarefas (SoD)
• Envolve uma divisão do processo de autorização em várias etapas • Diferentes privilégios são atribuídos em
cada etapa aos indivíduos que solicitam um recurso • Isso garante que nenhum indivíduo tenha os direitos de autorização para executar todas as funções
e simultaneamente nega o acesso de todos os objetos a um único indivíduo
Precisa saber
• De acordo com o princípio de controle de acesso necessário, o acesso é fornecido apenas às informações necessárias para a execução
uma tarefa específica
Princípio do Menor Privilégio (POLP)

• O princípio do menor privilégio estende o princípio de necessidade de conhecimento ao fornecer acesso a um sistema • A POLP acredita em
fornecer aos funcionários um acesso de necessidade de conhecimento, ou seja, nem mais, nem menos;
• Ele ajuda uma organização protegendo-a de comportamento malicioso, alcançando melhor estabilidade e segurança do sistema
Princípios de controle de acesso
Os princípios de controle de acesso descrevem detalhadamente os níveis de permissão de acesso dos usuários. Ao
implementar um processo de controle de acesso, a segurança dos processos e recursos pode ser garantida. O processo de
controle de acesso deve ser baseado nos seguintes princípios.
ÿ Separação de Funções (SoD)
SoD envolve uma divisão do processo de autorização em várias etapas. Privilégios diferentes são atribuídos em cada
etapa a indivíduos que solicitam um recurso. Isso garante que nenhum indivíduo tenha os direitos de autorização
para executar todas as funções; simultaneamente, um único indivíduo não pode ter acesso a todos os objetos. Essa
divisão garante que uma única pessoa não seja responsável por um processo maior. Um exemplo é a concessão de
direitos de administrador de servidor web para apenas configurar um servidor web, sem conceder direitos
administrativos a outros servidores.
ÿ Necessidade de saber
De acordo com o princípio de controle de acesso necessário, o acesso é fornecido apenas às informações
necessárias para a execução de uma tarefa específica.
ÿ Princípio do Menor Privilégio (POLP)
O princípio do menor privilégio (POLP) estende o princípio da necessidade de saber ao fornecer acesso a um
sistema. Em outras palavras, o POLP implica fornecer aos funcionários exatamente o nível de necessidade de saber
de acesso, ou seja, nem mais nem menos. Ele ajuda uma organização protegendo-a de comportamento malicioso,
além de melhorar a estabilidade e a segurança do sistema.


O privilégio mínimo fornece permissões de acesso apenas aos usuários que precisam de
acesso e recursos. As permissões concedidas dependem das funções e responsabilidades do
usuário que solicita o acesso. Existem dois princípios subjacentes envolvidos no POLP: baixos
direitos e baixos riscos. Com base nesses princípios, um usuário precisa concluir uma tarefa
usando um número limitado de recursos em um período limitado de tempo fornecido a eles.
Essa abordagem reduz a probabilidade de acesso não autorizado aos recursos do sistema.


Modelos de controle de acesso
ÿ Os modelos de controle de acesso são os padrões que fornecem uma estrutura predefinida
para implementar o nível necessário de controle de acesso
Controle de acesso obrigatório (MAC)

ÿ Somente o administrador/proprietário do sistema tem o direito de atribuir privilégios ÿ Não permite que
o usuário final decida quem pode acessar as informações
Controle de acesso discricionário (DAC)

ÿ O usuário final tem acesso completo às informações de sua propriedade
Controle de acesso baseado em função (RBAC)

ÿ As permissões são atribuídas com base nas funções do usuário
Controle de acesso baseado em regras (RB-RBAC)

ÿ As permissões são atribuídas a uma função de usuário dinamicamente com base em um conjunto de regras definidas
pelo administrador
Modelos de controle de acesso
Os modelos de controle de acesso são os padrões que fornecem uma estrutura predefinida para
implementar o nível necessário de controle de acesso. Os modelos de controle de acesso especificam
como um sujeito pode acessar um objeto.
ÿ Controlo de Acesso Obrigatório
O controle de acesso obrigatório (MAC) determina as políticas de uso e acesso para os usuários.
Um usuário pode acessar um recurso apenas se tiver os direitos de acesso a esse recurso.
O MAC é aplicado no caso de dados marcados como altamente confidenciais. Os administradores
impõem MAC dependendo do sistema operacional e do kernel de segurança.
Não permite que o usuário final decida quem pode acessar as informações.
A seguir estão as vantagens e desvantagens do MAC:
o Oferece um alto nível de segurança, pois os defensores da rede determinam o acesso

controles.
o As políticas MAC minimizam as chances de erros.
o Dependendo do MAC, um sistema operacional marca e rotula os dados recebidos, criando assim
uma política externa de controle de aplicativos.
Exemplos de MAC incluem Security-Enhanced Linux (SELinux) e Trusted Solaris.
ÿ Controle de Acesso Discricionário
O controle de acesso discricionário (DAC) determina o controle de acesso tomado por qualquer
possuidor de um objeto para decidir o controle de acesso de um sujeito naquele objeto.


O DAC também é denominado como um modelo de acesso obrigatório. A decisão tomada pelo proprietário
depende das seguintes medidas:
o Propriedade de arquivos e dados: determina as políticas de acesso do usuário
o Direitos e permissões de acesso: Envolve o possuidor definindo os privilégios de acesso

para outros assuntos
Um proprietário pode fornecer ou negar acesso a qualquer usuário específico ou a um grupo de usuários. Os
atributos de um DAC incluem o seguinte:
o O proprietário de um objeto pode transferir a propriedade para outro usuário.
o O controle de acesso impede várias tentativas não autorizadas de acessar um objeto.
o O DAC impede que usuários não autorizados visualizem detalhes como tamanho do arquivo, nome do arquivo,
caminho do diretório, etc.
o O DAC usa listas de controle de acesso para identificar e autorizar usuários.
Desvantagem: Um DAC requer manutenção da lista de controle de acesso e permissões de acesso para os
usuários. Exemplos de DAC incluem controle de acesso UNIX, Linux e Windows.
ÿ Controle de acesso baseado em função
Em um controle de acesso baseado em função (RBAC), as permissões de acesso estão disponíveis com base
nas políticas de acesso determinadas pelo sistema. As permissões de acesso estão além do controle do usuário,
o que implica que os usuários não podem alterar as políticas de acesso criadas pelo sistema. As regras para
determinar os controles de acesso baseados em funções são as seguintes:
o Atribuição de função: Uma determinada função deve ser atribuída a um usuário que permite
para realizar uma transação.
o Autorização de função: Um usuário precisa executar uma autorização de função para obter
um determinado papel.
o Autorização de transação : A autorização de transação permite que os usuários executem

apenas as transações para as quais foram autorizados.
ÿ Controle de acesso baseado em regras (RB-RBAC)
As permissões são atribuídas a uma função de usuário dinamicamente com base em um conjunto de regras
definidas pelo administrador.


Implementação lógica de DAC, MAC e RBAC

Implementação de DAC: Windows
ÿ A implementação lógica do controle de acesso é realizada Permissões de arquivo
usando listas de controle de acesso (ACLs), políticas
de grupo, senhas e restrições de conta
Implementação de MAC: a conta do usuário

Ferramenta de controle (UAC) do sistema operacional Windows
Implementação lógica de DAC, MAC e RBAC (continuação)

Implementação RBAC: Administração Just Enough (JEA)
Implementação RBAC: Windows Admin Center (WAC)
Implementação lógica de DAC, MAC e RBAC

No sistema operacional Windows (SO), o recurso User Account Control (UAC) implementa o
modelo de segurança MAC. Ele restringe a instalação de qualquer software aplicativo apenas por
meio de autorizações do administrador. Em outras palavras, usuários sem privilégios administrativos
ficam restritos a instalar qualquer aplicativo no sistema.


Figura 2.3: Implementação do Mac: a ferramenta de controle de conta de usuário do sistema operacional Windows
Implementação lógica do DAC: permissões de arquivo do Windows
No sistema operacional Windows, o DAC é implementado para atribuir permissões de arquivo a grupos/usuários específicos.
As permissões para acessar arquivos e pastas em um sistema, para acessar arquivos que existem em uma conta antiga de um
usuário ou para editar arquivos do sistema são todas controladas usando o DAC.
Figura 2.4: Implementação de DAC: Permissões de arquivo do Windows


Implementação Lógica do RBAC: Administração Just Enough (JEA)
A estrutura de gerenciamento Just Enough Administration (JEA) no Windows implementa o RBAC para
restringir os direitos dos administradores de TI em sessões remotas do PowerShell. Usando o JEA, o
controle de acesso refinado pode ser implementado para que não administradores executem comandos,
scripts e executáveis específicos.
Figura 2.5: Implementação do RBAC: Administração Just Enough (JEA)


Implementação Lógica do RBAC: Windows Admin Center (WAC)
O Windows Admin Center (WAC) é uma ferramenta que ajuda a configurar o RBAC para gerenciar um
servidor. O conceito de função é baseado no JEA, que permite conceder os direitos necessários a não
administradores.
Figura 2.6: Implementação de RBAC: Windows Admin Center (WAC)


Fluxo do módulo
Discutir controle de acesso

Princípios, Terminologias e
Modelos 1
Discutir identidade e acesso

Conceitos de gerenciamento (IAM)
2
Discutir conceitos de gerenciamento de identidade e acesso (IAM)

Em uma segurança corporativa, o gerenciamento de identidade e acesso (IAM) desempenha um papel
importante. Ele garante que apenas usuários autorizados tenham acesso aos recursos da rede. O
objetivo desta seção é explicar a função do IAM e as terminologias de segurança associadas a ele.


Gerenciamento de identidade e acesso (IAM)
ÿ O IAM é responsável por fornecer ao indivíduo certo o acesso certo no momento certo
Gerenciamento de acesso
Gerenciamento de identidade Repositório de identidade
Gerenciamento de identidade
Gerenciamento de identidade e acesso (IAM) (continuação)
Sistema Solicitante Inscrição

Administrador aprovador
Inscrição
Identidade
Gerenciamento
(IDM)
Identidade
Repositório Acesso
Gerenciamento
(SOU)
Inscrição
Humano
Recurso
(RH)
Inscrição
Cliente
gerenciamento
de relacionamento
(CRM) Inscrição
Usuários
O gerenciamento de identidade e acesso (IAM) é responsável por fornecer ao indivíduo certo o acesso certo no
momento certo. Ele oferece um controle de acesso baseado em função para os clientes ou funcionários de uma
organização para acessar informações críticas dentro da empresa. É composto por processos de negócios,
políticas e tecnologias que permitem o monitoramento de identidades eletrônicas ou digitais. Os produtos IAM
fornecem aos administradores do sistema ferramentas e tecnologias para regular o acesso do usuário (ou seja,
criar, gerenciar e remover o acesso) a sistemas ou


redes com base nas funções de usuários individuais dentro da empresa. As organizações geralmente preferem uma implementação
de autenticação completa que pode ser estendida para identificar uma federação. Isso ocorre porque a federação de identidade
inclui o IAM com um logon único (SSO) e uma conta centralizada do Active Directory (AD) para um gerenciamento seguro.
As organizações devem garantir a exatidão dos dados para o bom funcionamento da estrutura do IAM. Uma estrutura IAM pode ser
dividida em quatro áreas, a saber, autenticação, autorização, gerenciamento de usuários e repositório central do usuário/repositório
de identidade. Todos os componentes do IAM são agrupados nessas quatro áreas.
Figura 2.7: Classificação IAM
Funcionamento de um IAM:
Figura 2.8: Funcionamento do IAM
A principal responsabilidade da estrutura de gerenciamento de identidade (IDM) é gerenciar o repositório de identidade compartilhado
que está sendo acessado pelos aplicativos e pelo sistema de gerenciamento de acesso.


Gerenciamento de identidade do usuário (IDM)
Gerenciamento de identidade Repositório de identidade
ÿ A identificação do usuário envolve um método para ÿ O repositório do usuário é um banco de dados onde os
garantir que um indivíduo possua uma atributos relacionados às identidades dos usuários
identidade válida são armazenados
ÿ Exemplos de identidade do usuário incluem

atributos como um nome de usuário, número de conta,
funções de usuário, etc.
ÿ O Gerenciamento de Identificação envolve o

armazenamento e gerenciamento dos atributos do
usuário em seus repositórios
Gerenciamento de identidade do usuário (IDM)
A identificação lida com a confirmação da identidade de um usuário, processo ou dispositivo que acessa a rede. A identificação do
usuário é a técnica mais comumente usada para autenticar os usuários na rede e nos aplicativos. Os usuários têm um ID de usuário
exclusivo que ajuda na sua identificação.
O gerenciamento de identificação envolve o armazenamento e o gerenciamento dos atributos do usuário em seus repositórios.
Aqui, o repositório do usuário é um banco de dados onde são armazenados os atributos relacionados às identidades dos usuários.
O processo de autenticação inclui a verificação de um ID de usuário e uma senha. Os usuários são obrigados a fornecer ambas as
credenciais para obter acesso à rede. Os administradores de rede fornecem controles de acesso, como nome de usuário, número
de conta, etc. e permissões para vários outros serviços, dependendo dos IDs de usuário.


Gerenciamento de acesso do usuário (AM):

Autenticação
ÿ A autenticação envolve a validação da identidade de um indivíduo com

um sistema, aplicativo ou rede
Tipos de Autenticação
Senha Cartão inteligente biométrico Dois fatores Logon único (SSO)

Autenticação Autenticação Autenticação Autenticação Autenticação
Gerenciamento de acesso do usuário (AM): Autenticação
A autenticação envolve a verificação das credenciais fornecidas por um usuário ao tentar se conectar a uma rede. As
redes com fio e sem fio realizam a autenticação dos usuários antes de permitir que eles acessem os recursos da rede.
Uma autenticação de usuário típica consiste em um ID de usuário e uma senha. Outras formas de autenticação incluem
autenticar um site usando um certificado digital e comparar o produto e o rótulo associado a ele.
Os fatores associados ao processo de autenticação são os seguintes:
ÿ Algo que você sabe: O usuário deve saber as informações, como nomes de usuários,
senhas, etc., ao tentar fazer login em um sistema ou rede.
ÿ Algo que você tem: O usuário deve manter informações como um token de senha de uso único, cartões de
identificação de funcionários, etc., ao tentar fazer login em um sistema ou rede.
ÿ Algo que você é: O usuário deve usar suas características biométricas, como varredura de retina, varredura de
impressão digital, etc., ao tentar fazer login em um sistema ou rede.
Os métodos de autenticação comumente usados são os seguintes:
ÿ Autenticação de Senha
ÿ Autenticação de Cartão Inteligente
ÿ Autenticação Biométrica
ÿ Autenticação de dois fatores
ÿ Autenticação de logon único (SSO)


Autenticação de senha
ÿ Autenticação de senha usa uma combinação de

um nome de usuário e uma senha para
autenticar os usuários da rede
ÿ A senha é verificada em um banco de dados e

o usuário recebe acesso se corresponder
ÿ A autenticação de senha pode ser vulnerável a

ataques de quebra de senha , como força
bruta ou ataques de dicionário
(continua)
Autenticação de cartão inteligente
O cartão inteligente é um pequeno dispositivo de chip de computador

que contém as informações pessoais dos usuários necessárias para
autenticá -los
Os usuários devem inserir seus cartões inteligentes nas máquinas

leitoras de cartões e digitar seu número de identificação pessoal
(PIN) para se autenticar
A autenticação de cartão inteligente é uma autenticação

baseada em criptografia e fornece segurança mais forte do que a
autenticação de senha


Tipos de autenticação (continuação)
biométrico
A biometria refere-se à identificação de indivíduos com base em suas características físicas
Autenticação
Técnicas de Identificação Biométrica
Digitalização de impressão digital Varredura de retina Escaneamento de íris
Compara duas impressões digitais Analisa a camada de vasos sanguíneos na Analisa a parte colorida do olho suspensa
para verificação e identificação com base nos parte de trás dos olhos para identificar atrás da córnea
padrões do dedo uma pessoa
Reconhecimento da estrutura da veia Reconhecimento facial Reconhecimento de voz
Analisa a espessura e a localização das Usa recursos faciais para identificar ou Usa padrões de voz para identificar ou
veias para identificar uma pessoa verificar uma pessoa verificar uma pessoa

Autenticação de dois fatores
A autenticação de dois fatores envolve o uso de dois fatores de

autenticação diferentes de três (algo que você conhece, algo que você tem
1 e algo que você é) para verificar a identidade de um indivíduo para
aumentar a segurança nos sistemas de autenticação
Combinações de autenticação de dois fatores: senha e smart card/

token, senha e biometria, senha e senha única (OTP), smart card/token
2 e biometria, etc.
“Algo que você é” é o melhor companheiro da autenticação de dois fatores, pois é

3 considerado o mais difícil de forjar ou falsificar



Logon único (SSO) ÿ Permite que um usuário se autentique em vários servidores em uma rede com uma
Autenticação única senha sem precisar digitá-la novamente todas as vezes
Vantagens
01 Não há necessidade de lembrar senhas de vários aplicativos ou sistemas
02 Reduz o tempo para inserir um nome de usuário e senha
Reduz o tráfego de rede para o servidor centralizado

03
Os usuários precisam inserir as credenciais apenas uma vez para vários aplicativos
04
Do utilizador
SERVIDOR DE APLICAÇÃO
SERVIDOR DE E-MAIL
SERVIDOR DE BANCO DE DADOS
Do utilizador
Autenticação de logon único (SSO)
ÿ Autenticação de Senha
Na autenticação por senha, os usuários são obrigados a fornecer nomes de usuário e senhas para provar sua
identidade a um sistema, aplicativo ou rede. Estes são comparados com uma lista de usuários autorizados no
banco de dados/Windows AD. Uma vez combinados, os usuários podem acessar o sistema.
A senha do usuário deve seguir as práticas de criação de senha padrão, incluindo uma mistura de letras,
números e caracteres especiais e com um comprimento superior a 8 caracteres (já que senhas pequenas são
fáceis de adivinhar).
A autenticação de senha é vulnerável a ataques de força bruta ou ataques de dicionário, por exemplo, uma
pessoa tentando combinações possíveis de caracteres para adivinhar a senha ou capturar pacotes usando um
“farejador de pacote” enquanto envia dados pela rede como texto simples.
ÿ Autenticação de Cartão Inteligente
As organizações usam a tecnologia de cartão inteligente para garantir uma autenticação forte. Os cartões
inteligentes podem armazenar arquivos de senha, tokens de autenticação, arquivos de senha única, modelos
biométricos, etc. Essa tecnologia é usada com outro token de autenticação, fornecendo autenticação multifatorial.
Isso permite uma segurança de acesso lógico eficiente. Essa tecnologia é aplicada em autenticação VPN,
criptografia de e-mail e dados, assinaturas eletrônicas, logon sem fio seguro e autenticação biométrica.
Um cartão inteligente consiste em um pequeno chip de computador que armazena informações pessoais do
usuário para identificação. Esses cartões são inseridos em uma máquina para autenticação e um número de
identificação pessoal (PIN) é inserido para processar as informações de autenticação no cartão. Os cartões
inteligentes também ajudam no armazenamento de chaves públicas e privadas.


A autenticação de cartão inteligente é uma técnica de autenticação baseada em criptografia e fornece segurança
mais forte do que a autenticação de senha. A principal vantagem de usar um cartão inteligente é que ele elimina o
risco de roubo de credenciais de um computador porque as credenciais são armazenadas no chip do cartão. No
entanto, apenas uma quantidade limitada de informações pode ser armazenada no microchip do cartão.
Vantagens dos cartões inteligentes:
o Tecnologia altamente segura: A tecnologia de cartão inteligente usa criptografia eficiente e

métodos de autenticação, aumentando assim a segurança do cartão.
o Fácil de transportar: Os cartões inteligentes são fáceis de transportar e o usuário só precisa saber o PIN
do cartão.
o Redução das chances de fraude por parte dos usuários: um cartão inteligente permite que os usuários
armazenem informações como impressão digital e outros detalhes biométricos, permitindo assim que as
organizações reconheçam seus funcionários.
Desvantagens dos cartões inteligentes:
o Facilmente perdido: Como os cartões inteligentes são pequenos, as chances de perdê-los são muito
Alto.
o Questões de segurança: a perda de um cartão inteligente coloca as informações e a identidade de seu proprietário em risco
grande risco.
o Alto custo de produção: Como os cartões inteligentes possuem microchips e outras criptografias
tecnologias; seu custo de produção é alto.
ÿ Autenticação Biométrica
A biometria é uma tecnologia que identifica características humanas para autenticar pessoas. As biometrias mais
usadas são scanner de impressão digital, scanner de retina, reconhecimento facial, DNA e reconhecimento de voz.
A autenticação biométrica envolve as seguintes etapas:
o O leitor escaneia os dados biométricos
o Um software converte as informações digitalizadas em um formato digital e as compara

contra os dados biométricos armazenados no banco de dados
o Se ambos os dados coincidirem, isso confirma a autenticidade do usuário e permite

permissão.
Os diferentes tipos de técnicas de identificação utilizadas na biometria são os seguintes:
o Digitalização de impressão digital: Compara duas impressões digitais para verificação e identificação com base
nos padrões do dedo. Os padrões dependem dos sulcos e pontos de minúcia que diferenciam as impressões
digitais de cada usuário.
o Varredura de retina: Compara e identifica um usuário com base nos padrões distintos dos vasos sanguíneos da
retina.


o Varredura da íris: Compara e identifica as imagens da íris de um ou ambos os olhos de um

do utilizador. O padrão da íris difere de uma pessoa para outra.
o Reconhecimento da estrutura da veia: Compara e identifica os padrões produzidos pelas veias de um

usuário. Cada pessoa tem um padrão diferente dependendo do fluxo de sangue.
o Reconhecimento facial: Compara e identifica uma pessoa com base nas características faciais de uma
imagem ou fonte de vídeo.
o Reconhecimento de voz: Compara e identifica uma pessoa com base na voz

padrões ou padrões de fala.
Vantagens da biometria:
o É difícil adulterar dados biométricos, ao contrário de senhas ou nomes de usuários.

Eles não podem ser compartilhados ou roubados usando técnicas de engenharia social. A autenticação
biométrica requer a presença do usuário, o que reduz as chances de acesso não autorizado.
Desvantagens da biometria:
o É difícil alterar os fatores biométricos se esta informação foi

comprometido.
o O escaneamento da retina e o escaneamento da estrutura venosa podem criar problemas de privacidade. Tanto a varredura
da retina quanto as informações da varredura da estrutura da veia podem revelar inadvertidamente uma condição médica.
ÿ Autenticação de dois fatores
A autenticação de dois fatores é um processo em que um sistema confirma a identificação do usuário em duas
etapas. Os usuários podem usar uma entidade física, como um token de segurança, como uma das credenciais
e a outra credencial pode incluir códigos de segurança.
A autenticação de dois fatores depende de três fatores:
o Algo que você tem
o Algo que você sabe
o Algo que você é
O fator “Algo que você é” é o melhor companheiro da autenticação de dois fatores, pois é considerado o mais
difícil de forjar ou falsificar.
Exemplo: Um cartão bancário – Um usuário é obrigado a passar o cartão bancário e inserir um PIN ao acessar
o cartão bancário. Aqui, o cartão bancário é a entidade física e o PIN é o código de segurança.
A vantagem da autenticação de dois fatores inclui diminuir as chances de roubo de identidade e phishing. No
entanto, existem algumas desvantagens desse processo de duas etapas. Existem situações em que o usuário
terá que aguardar que a organização emita o token físico para o usuário. A demora no recebimento do token
faz com que os usuários esperem muito tempo para acessar seus dados privados.


A avaliação da identidade depende do conhecimento, posse e fatores inerentes. Destes, os fatores inerentes
são difíceis de mudar, pois dependem das características de um ser humano.
Existem muitas combinações disponíveis no processo de autenticação de dois fatores. As combinações mais
comumente encontradas são:
o Senha e smart card
o Senha e biometria
o Senha e senha de uso único (OTP)
o Cartão inteligente e biometria
Autenticações de dois fatores executadas sem o uso de tokens são chamadas de autenticação sem token.
Eles podem ser implementados rapidamente em toda a rede.
ÿ Autenticação de logon único (SSO)
Como o nome sugere, ele permite que os usuários acessem vários aplicativos usando um único nome de
usuário e senha. O SSO armazena as credenciais de um usuário em um servidor de política SSO. Um
exemplo de SSO são os aplicativos do Google. Os usuários podem acessar todos os aplicativos do Google
usando uma única combinação de nome de usuário e senha. Considere o Google como um serviço central.
Este serviço central cria um cookie para todos os usuários que se conectam pela primeira vez em qualquer
um dos aplicativos presentes no serviço central. Quando o usuário tenta acessar outras aplicações do serviço
central, elimina a necessidade do usuário inserir novamente as credenciais devido ao cookie que já foi criado.
O sistema verifica as credenciais usando o cookie criado.
Figura 2.9: Autenticação de logon único (SSO)
Vantagens do SSO:
o Reduz as chances de reautenticação, aumentando assim a produtividade.
o Elimina as chances de phishing.
o Proporciona uma melhor gestão das aplicações devido a uma base de dados centralizada.
o Auxilia no ciclo de vida da conta. O provisionamento e desprovisionamento de contas é simplificado pela

disponibilidade de uma única fonte de verdade.
o Não há necessidade de lembrar senhas de vários aplicativos ou sistemas.
o Reduz o tempo para inserir um nome de usuário e senha.


Desvantagens do SSO:
o A perda de credenciais tem um alto impacto, pois todos os aplicativos do serviço central
ficar indisponível.
o Existem muitos problemas de vulnerabilidade relacionados com a autenticação para todos os

formulários.
o É um problema em computadores multiusuários e requer a implementação de certas políticas de segurança

para garantir a segurança.


Gerenciamento de acesso do usuário (AM): autorização

ÿ A autorização envolve o controle de acesso à informação para um indivíduo (Ex.: Um usuário pode apenas ler um arquivo, mas
não escrever nele ou excluí-lo)
Tipos de Sistemas de Autorização

Autorização centralizada Autorização implícita
ÿ A autorização para acesso à rede é feita através de um único ÿ Os usuários podem acessar o recurso solicitado
unidade de autorização centralizada em nome de outros
ÿ Mantém um único banco de dados para autorizar todos os ÿ A solicitação de acesso passa por um recurso
recursos ou aplicativos da rede primário para acessar o recurso solicitado
ÿ É uma abordagem de autorização fácil e barata
Autorização Descentralizada Autorização Explícita
ÿ Cada recurso de rede mantém sua ÿ Ao contrário da autorização implícita, a autorização explícita
unidade de autorização e executa a autorização autorização requer autorização separada para cada
localmente recurso solicitado
ÿ Mantém banco de dados próprio para autorização ÿ Mantém explicitamente a autorização para cada
objeto solicitado
Gerenciamento de acesso do usuário (AM): autorização
Autorização refere-se ao processo de fornecer permissão para acessar os recursos ou executar uma ação na rede. Os s
podem decidir os privilégios de usuário e as permissões de acesso dos usuários em um sistema multiusuário. O
mecanismo de autorização pode permitir ao administrador criar permissões de acesso para os usuários, bem como
verificar as permissões de acesso criadas para cada usuário.
A autorização pode assumir diferentes formas com base nas necessidades da organização.
ÿ Autorização Centralizada
A necessidade de autenticação centralizada surgiu quando se tornou difícil

implementar o processo de autorização individualmente para cada recurso. Utiliza uma base de dados central
de autorização que permite ou nega o acesso aos usuários e a decisão sobre o acesso depende das políticas
criadas pelas unidades centralizadas. Isso permite uma fácil autorização para usuários que acessam diferentes
plataformas. Unidades de autorização centralizadas são fáceis de manusear e têm baixo custo. Um único banco
de dados fornece acesso a todos os aplicativos, permitindo assim uma segurança eficiente. Um banco de dados
centralizado também fornece um método fácil e barato de adicionar, modificar e excluir os aplicativos da unidade
centralizada.
ÿ Autorização Descentralizada
Uma autorização descentralizada mantém um banco de dados separado para cada recurso. O banco de dados
contém os detalhes de todos os usuários que têm permissão para acessar um determinado recurso. O processo
de autorização descentralizado permite que os usuários também forneçam acesso a outros usuários. Isso
aumenta o nível de flexibilidade dos usuários no uso do método descentralizado. No entanto, certas questões
relacionadas à autorização descentralizada incluem autorizações em cascata e cíclicas.


ÿ Autorização Implícita
A autorização implícita fornece acesso aos recursos indiretamente. Uma tarefa é possível depois que
um usuário recebe autorização para um recurso principal por meio do qual o acesso ao recurso
solicitado é possível. Por exemplo, um usuário solicitando uma página da Web tem permissão para
acessar a página principal, bem como todas as páginas vinculadas à página principal. Assim, o usuário
está obtendo um acesso indireto aos demais links e documentos anexados à página principal. A
autorização implícita fornece um nível de granularidade mais alto.
ÿ Autorização Explícita
Uma autorização explícita mantém detalhes de autorização separados para cada solicitação de recurso.
Esta técnica é mais simples do que a técnica implícita. No entanto, ocupa uma grande quantidade de
espaço de armazenamento para armazenar todos os detalhes de autorização.


Gerenciamento de acesso do usuário (AM): Contabilidade

ÿ Contabilidade é um método de acompanhar as ações do usuário na rede. Ele rastreia quem, quando e como os usuários acessam a rede.
ÿ Ajuda a identificar ações autorizadas e não autorizadas
ÿ Os dados da conta podem ser usados para análise de tendências, detecção de violação de dados, investigações forenses, etc.
Responsabilidade
(Quem é (Que direitos

você?) você tem?)
Identidade Objeto
Gerenciamento de acesso do usuário (AM): Contabilidade
A contabilidade do usuário envolve o rastreamento das ações executadas por um usuário em uma rede.
Ele rastreia quem, quando e como os usuários acessam a rede. Isso inclui a verificação dos arquivos
acessados pelo usuário e funções como alteração ou modificação dos arquivos ou dados. Ajuda na
identificação de ações autorizadas e não autorizadas. Os dados da conta podem ser usados para análise
de tendências, detecção de violação de dados, investigações forenses, etc.
Figura 2.10: Contabilidade do usuário


Resumo do Módulo
Este módulo discutiu os princípios, terminologias e modelos de controle
de acesso
Ele discutiu conceitos de gerenciamento de identidade e acesso
Ele também discutiu diferentes métodos usados para acesso do usuário

gerenciamento
Ele discutiu diferentes tipos de técnicas de autenticação e autorização
Finalmente, este módulo terminou com uma visão geral da

contabilidade e prestação de contas do usuário
No próximo módulo, discutiremos em detalhes os controles de segurança

de rede - controles administrativos
Resumo do Módulo
Este módulo discutiu princípios, terminologias e modelos de controle de acesso. Além disso, discutiu
conceitos relacionados ao gerenciamento de identidade e acesso. Ele também discutiu diferentes métodos
usados para gerenciamento de acesso do usuário. Além disso, este módulo explicou diferentes tipos de
técnicas de autenticação e autorização. Finalmente, este módulo apresentou uma visão geral da contabilidade
e prestação de contas do usuário.
No próximo módulo, discutiremos em detalhes os controles de segurança de rede; mais especificamente, o

próximo módulo discute os controles administrativos.

MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 03
C o n t r o l e s d e S e g u r a nç a d e R ed e - C o n t r o l e s
A d m i n i s tr a t i v o s

Controles de Segurança de Rede - Controles Administrativos
Compreensão de vários marcos regulatórios, leis e atos
1
2 Entendendo por que as organizações precisam de conformidade
Compreendendo a necessidade e as características do bem

3 Política de segurança
Compreendendo como projetar e desenvolver segurança

4 Políticas
5 Visão geral dos diferentes tipos de políticas de segurança
Compreendendo os diferentes tipos de segurança e

6 Treinamento de Conscientização
Conformidade, políticas e governança são parte integrante de um programa de segurança da informação para
qualquer organização. Uma organização precisa cumprir certos padrões regulatórios para administrar seus negócios.
Ao mesmo tempo, também deve ter fortes políticas de segurança e governança para cumprir os padrões regulatórios.
O módulo atual aborda esse aspecto administrativo da segurança de rede de uma organização.
ÿ Compreender vários quadros regulamentares, leis e atos
ÿ Entenda por que as organizações precisam de conformidade
ÿ Descrever a necessidade e características de uma boa política de segurança
ÿ Explicar como projetar e desenvolver políticas de segurança
ÿ Compreender os diferentes tipos de políticas de segurança
ÿ Compreender os diferentes tipos de formação de segurança e sensibilização


Fluxo do módulo
Discutir vários marcos regulatórios,

1 Leis e Atos
Aprenda a projetar e desenvolver segurança

2 Políticas
Aprenda a Conduzir Diferentes Tipos de

3 Treinamento de segurança e conscientização
Discutir vários marcos regulatórios, leis e atos

Esta seção explica a necessidade de conformidade e como cumprir uma estrutura regulatória.
Esta seção também explica as várias estruturas regulatórias, leis e atos. Ele descreve estruturas,
leis e atos como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS),
Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA), Regulamento Geral de Proteção
de Dados (GDPR), Lei Sarbanes-Oxley (SOX), Lei Gramm –Leach–Bliley Act (GLBA), Normas ISO
de Segurança da Informação, Lei de Direitos Autorais do Milênio Digital (DMCA) e Lei Federal de
Gerenciamento de Segurança da Informação (FISMA).


Conformidade com os marcos regulatórios
Muitas vezes é necessário que as organizações cumpram algum tipo de regulamentação de segurança
A conformidade com as estruturas regulatórias é um esforço colaborativo entre governos e órgãos privados para
incentivar melhorias voluntárias/obrigatórias na segurança cibernética
As estruturas regulatórias de segurança de TI contêm um conjunto de diretrizes e práticas recomendadas
Conformidade com os marcos regulatórios (continuação)
Papel da conformidade com os marcos regulatórios

na segurança administrativa de uma organização
Exemplo: PCI-DSS:
Regulatório Requisitos 3: criptografar os dados do titular do cartão
Estruturas
Exemplo:
Políticas política de criptografia
Exemplo:
Padrões de criptografia, como criptografia de dados
Padrões Padrão, Padrão de Criptografia Avançada e
Algoritmo de Rivest-Shamir-Adleman
Exemplo: procedimentos, práticas e diretrizes

Procedimentos, Práticas e Diretrizes de criptografia de dados
Conformidade com os marcos regulatórios

A conformidade com a estrutura regulatória é um conjunto de diretrizes e melhores práticas
estabelecidas para que as organizações sigam e, assim, atendam às suas necessidades
regulatórias, aprimorem processos, melhorem a proteção e alcancem quaisquer outros objetivos
com base no setor e nos tipos de dados mantidos. Muitas vezes é necessário que as organizações
cumpram algum tipo de regulamentação de segurança. A conformidade com os marcos regulatórios
é um esforço colaborativo entre governos e órgãos privados para incentivar melhorias voluntárias/obrigatórias para


cíber segurança. A conformidade regulatória evita que as organizações incorram em multas pesadas ou sejam
vítimas de violações de dados. A maioria das organizações está em conformidade com mais de uma estrutura regulatória.
Decidir qual estrutura, políticas e controles são mais compatíveis com as metas de conformidade de uma organização
é uma tarefa difícil. Ao mesmo tempo, a conformidade com a estrutura regulatória tem uma natureza evolutiva
porque os ambientes organizacionais estão sempre em fluxo. Geralmente, essas diretrizes são alavancadas por
ÿ Auditores internos e outras partes interessadas que avaliam os controles de uma organização
requer;
ÿ Auditores externos que avaliam os controles exigidos por uma organização; e
ÿ Outros/terceiros (privados/governos) como clientes chave e investidores que

avaliar o risco antes de colaborar com uma organização.
As estruturas regulatórias de segurança de TI contêm um conjunto de diretrizes e práticas recomendadas. As

estruturas regulamentares de segurança de TI informam às empresas que elas precisam seguir essas diretrizes e
práticas recomendadas para atender aos requisitos regulamentares, melhorar a segurança e atingir determinados
objetivos comerciais.
Para garantir a segurança cibernética, as organizações devem implementar os seguintes padrões para atender à
conformidade da estrutura regulatória:
Figura 3.1: Papel da conformidade com os marcos regulatórios na segurança da rede administrativa de uma organização
Estruturas Regulatórias: Sob uma estrutura, uma organização deve documentar suas políticas, padrões, bem
como procedimentos, práticas e diretrizes. Cada um desses aspectos tem propósitos diferentes; portanto, eles não
podem ser combinados em um único documento. Exemplos de estruturas regulatórias incluem o Payment Card
Industry—Data Security Standard (PCI-DSS)
Requisito 3: Proteja os dados armazenados do titular do cartão.
ÿ Políticas
Políticas são declarações de alto nível que lidam com a segurança da rede administrativa de uma
organização. Estes são aproveitados pela alta administração de uma organização.
As organizações exigem pelo menos uma política em vigor. Uma política é vista como um mandato de
negócios e tem um gerenciamento de cima para baixo. Alguns exemplos de política incluem políticas de e-
mail e criptografia. Eles geralmente descrevem o
o Papéis e responsabilidades de segurança,


o Escopo das informações a serem protegidas,
o Descrição dos controles necessários para proteger as informações, e
o Referências a padrões e diretrizes que suportam as políticas.
ÿ Normas
Os padrões compreendem controles obrigatórios específicos de baixo nível ou controles relacionados à

implementação de uma tecnologia específica útil para impor e apoiar políticas e garantir a segurança
consistente dos negócios. Conforme observado anteriormente, isso inclui política de senha, como padrões de
senha para complexidade de senha ou política de criptografia, que inclui padrões como padrão de criptografia
de dados (DES), padrão de criptografia avançada (AES) e algoritmos Rivest–Shamir–Adleman.
ÿ Procedimentos, Práticas e Diretrizes
Procedimentos ou procedimentos operacionais padrão (SOP) compreendem instruções passo a passo úteis
para implementar os controles que são definidos por várias políticas, padrões e diretrizes, como um
procedimento para instalação segura do Windows ou procedimento, práticas e diretrizes de criptografia de
dados.
As diretrizes incluem recomendações, mas controles não obrigatórios, bem como declarações gerais,
instruções administrativas ou melhores práticas úteis para apoiar padrões ou atuar como referência quando
não há padrões em vigor. Diretrizes e melhores práticas são intercambiáveis. Essas mudanças dependem do
ambiente e devem ser revisadas com mais frequência do que os padrões e políticas. Por exemplo, um padrão
pode estabelecer que uma senha deve ter oito caracteres ou mais, enquanto uma diretriz de suporte pode
declarar que também é uma prática recomendada seguir as diretrizes de expiração de senha e criptografia
de dados.


Por que Organizações

Necessidade de Conformidade
Melhora a segurança Minimizar perdas Manter a confiança
ÿ A regulamentação e os padrões ÿ A melhoria da segurança, por sua ÿ O cliente confia na

de segurança de TI melhoram a vez, evita brechas de segurança, organização acreditando que
segurança geral de uma que podem custar prejuízos para suas informações estão seguras
organização ao atender aos a empresa

requisitos regulamentares
Por que as organizações precisam de conformidade
A conformidade com a segurança da informação deve ser uma exigência e não uma escolha para as organizações, pois o
dinheiro, o tempo e os esforços investidos na conformidade valem mais do que o custo dos riscos.
As vantagens que a conformidade com a estrutura regulatória traz para uma organização incluem:
ÿ Segurança aprimorada: os regulamentos e padrões de segurança de TI melhoram a segurança geral de uma

organização ao atender aos requisitos regulamentares básicos. Esses requisitos de linha de base garantem
segurança de dados consistente.
ÿ Perdas minimizadas: A segurança aprimorada pode evitar violações de segurança, que de outra forma podem
levar a perdas, custos de reparo, honorários advocatícios ou multas pesadas.
ÿ Manutenção da confiança: Violações de dados fazem com que as empresas percam sua reputação e confiança
dos clientes. A conformidade faz com que os clientes confiem em uma organização com a crença de que suas
informações estão seguras.
ÿ Maior controle: a segurança de uma organização aumenta com maiores controles, como evitar que os funcionários
cometam erros, implementar sistemas de credenciais fortes e sistemas de criptografia ou monitorar ameaças
externas.


Identificando qual regulamentação

Estrutura para Cumprir
Uma organização precisa avaliar a si mesma para determinar qual estrutura

regulatória se aplica melhor a ela
Por exemplo, a tabela a seguir mostra diferentes regulamentações e qual

organização estaria sujeita ao escopo da estrutura regulatória
Quadro regulamentar Organizações dentro do escopo
Qualquer empresa ou escritório que lide com dados de assistência médica, incluindo, entre outros, consultórios
Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
médicos, seguradoras, parceiros de negócios e empregadores
Lei Sarbanes Oxley Conselhos de empresas públicas, administração e empresas de contabilidade pública dos EUA
Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA) Todas as agências federais devem desenvolver um método de proteção de sistemas de informação
Empresas que oferecem produtos ou serviços financeiros a pessoas físicas, como empréstimos, consultoria
Lei Gramm Leach Bliley (GLBA)
financeira ou de investimento ou seguros
Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS) Empresas que lidam com informações de cartão de crédito
Identificando qual estrutura regulatória cumprir
Uma organização deve realizar uma autoavaliação para verificar os marcos regulatórios que melhor se aplicam a ela.
Essa avaliação de conformidade envolve a identificação de lacunas entre o ambiente de controle existente e os
requisitos de uma organização. No entanto, esta é uma tarefa desafiadora em que uma organização deve entender
completamente suas necessidades e funções para entender quais controles se adequam ao seu tamanho e
complexidade. Ao avaliar a conformidade, uma organização deve considerar o seguinte:
ÿ Cartas de instituições financeiras;
ÿ Publicações do Instituto Nacional de Normalização e Tecnologia;
ÿ Orientação e recomendações de implementação do setor - por exemplo, padrões internacionais como ISO 27002
ou o Instituto Nacional de Padrões e Tecnologia
Estrutura para aprimoramento da segurança cibernética; e
ÿ Observe os crimes cibernéticos, novas explorações e novas tendências para verificar a possibilidade de uma
violação de grande alcance.


Por exemplo, a tabela a seguir mostra diferentes regulamentações e qual organização estaria sujeita ao
escopo da estrutura regulatória.
Quadro regulamentar Organizações dentro do escopo
Qualquer empresa ou escritório que lide com dados de assistência médica,

Portabilidade de Seguro Saúde e
incluindo, entre outros, consultórios médicos, seguradoras, parceiros de
Lei de Responsabilidade (HIPAA)
negócios e empregadores
Conselhos de empresas públicas, administração e empresas de

Lei Sarbanes Oxley
contabilidade pública dos EUA
Segurança da Informação Federal Todas as agências federais devem desenvolver um método para proteger os
Lei de Gestão de 2002 (FISMA) sistemas de informação
Empresas que oferecem produtos ou serviços financeiros a pessoas

Lei Gramm Leach Bliley (GLBA) físicas, como empréstimos, consultoria financeira ou de investimento ou seguros
Dados do setor de cartões de pagamento

Empresas que lidam com informações de cartão de crédito
Padrão de segurança (PCI-DSS)
Tabela 3.1: Diferentes Estruturas Regulatórias e Organizações no Âmbito da Estrutura Regulamentar


Decidindo sobre como cumprir a estrutura regulatória

ÿ Quando uma organização se enquadra no escopo de determinada estrutura regulatória, ela precisa interpretar corretamente
requisitos do quadro regulamentar a cumprir
ÿ Com base nesses requisitos regulamentares, uma organização precisa estabelecer políticas, procedimentos e
controles para gerenciar e manter a conformidade
Por exemplo, a tabela a seguir mostra alguns dos requisitos regulamentares PCI-DSS:
PCI-DSS PCI-DSS
Requisito PCI-DSS nº 1.1.1: “Um processo formal

para aprovar e testar todas as conexões de rede e Requisito PCI-DSS nº 1.1.6:
alterações nas configurações de firewall e roteador”. “Documentação e
justificativa para o uso de todos os
Requisitos regulamentares serviços, protocolos e portas permitidos,
Requisitos regulamentares
Requisito PCI-DSS nº 1.2.1: “Restringir o tráfego incluindo a documentação dos recursos de
de entrada e saída ao que é segurança implementados para os protocolos
necessário para o ambiente de dados do considerados inseguros.”
titular do cartão e, especificamente, negar todo o outro
tráfego.”
Políticas, procedimentos e
Provisão para detectar todas as conexões de Provisão para procurar protocolos e serviços
Políticas, procedimentos e controles controles para atender aos
rede não autorizadas de/para uma organização inseguros em execução em sistemas
para atender aos requisitos requisitos
ativos de TI
Decidindo sobre PCI-DSS
Como Cumprir a Requisito PCI-DSS nº 1.3.1: “Implementar uma DMZ para limitar
o tráfego de entrada apenas aos componentes do sistema que
fornecem serviços, protocolos e portas de acesso público autorizados.”
Regulamentação Requisito PCI-DSS nº 1.3.2: “Limitar o tráfego de entrada da Internet para
Estrutura endereços IP dentro da DMZ.”
Requisito PCI-DSS NO 1.3.5: “Não permita tráfego de saída não autorizado

do ambiente de dados do titular do cartão para o
(continua) Internet."
Políticas, procedimentos e controles para atender Provisão para verificar como o tráfego está fluindo pela DMZ de/para a
aos requisitos rede interna
PCI-DSS
Requisito PCI-DSS nº 5.1: “Implantar software antivírus em todos os sistemas comumente afetados por
software malicioso (particularmente computadores pessoais e servidores).”
Requisitos regulamentares Requisito PCI-DSS nº 5.3: “Certifique-se de que os mecanismos antivírus estejam funcionando
ativamente e não possam ser desabilitados ou alterados pelos usuários, a menos que especificamente
autorizado pela administração caso a caso por um período de tempo limitado.”
Políticas, procedimentos e controles para atender aos Provisão para detectar infecção por malware quando a proteção antivírus está desativada nas máquinas
requisitos
Decidindo sobre como cumprir a estrutura regulatória

Uma organização precisa interpretar corretamente seus requisitos regulatórios depois de confirmar sua
estrutura. Em seguida, deve analisar e interpretar as informações coletadas para determinar como as
informações coletadas são relevantes para os serviços de uma organização. Em seguida, discuta e
classifique todas as ambiguidades, incertezas e problemas de pessoal interno/externo de uma
organização enfrentados durante a interpretação das informações de conformidade identificadas. Avalie
e determine a ordem dos requisitos de conformidade adequados, como implicações importantes e riscos de possíveis


violações. Separar/agrupar os requisitos de conformidade que são percebidos como, primeiro, importantes e
centrais; então, apenas importante; e, finalmente, pertinente, mas incidental, para as operações de uma
organização.
Com base nos requisitos regulamentares, uma organização precisa estabelecer políticas, procedimentos e
controles de segurança adequados para organizar sua segurança da informação. Por exemplo, a tabela a
seguir mostra alguns dos requisitos regulamentares PCI-DSS.
PCI-DSS
Requisito PCI-DSS nº 1.1.1: “Um processo formal para aprovar e testar

todas as conexões de rede e alterações nas configurações de firewall e
roteador”.
Requisito nº 1.2.1 do PCI–DSS : “Restringir o tráfego de
entrada e saída ao necessário para o ambiente de dados do titular do
cartão e negar especificamente todo o outro tráfego”.
Provisão para detectar todas as conexões de rede não autorizadas de/
controles para atender aos
para os ativos de TI de uma organização
requisitos
Tabela 3.2: Requisito PCI-DSS nº 1.1.1 e 1.2.1
PCI-DSS
Requisito PCI-DSS nº 1.1.6: “Documentação e justificativa comercial

para uso de todos os serviços, protocolos e portas permitidos, incluindo
documentação de recursos de segurança implementados para os
protocolos considerados inseguros.”
Provisão para procurar protocolos e serviços inseguros em execução em
sistemas
requisitos
Tabela 3.3: Requisitos PCI-DSS nº 1.1.6
PCI-DSS
Requisito PCI-DSS nº 1.3.1: “Implementar uma DMZ para limitar o

tráfego de entrada apenas aos componentes do sistema que
fornecem serviços, protocolos e portas de acesso público autorizados.”
Requisito PCI-DSS nº 1.3.2: “Limitar o tráfego de entrada da Internet para
endereços IP dentro da DMZ.”
Requisito PCI-DSS NO 1.3.5: “Não permita tráfego de saída não

autorizado do ambiente de dados do titular do cartão para a Internet.”


Provisão para verificar como o tráfego está fluindo pela DMZ de/para a
rede interna
requisitos
Tabela 3.4: Requisito PCI-DSS nº 1.3.1, 1.3.2, 1.3.5
PCI-DSS
Requisito PCI-DSS nº 5.1: “Implantar software antivírus em todos os sistemas

comumente afetados por software malicioso (particularmente computadores
pessoais e servidores).”
Requisitos regulamentares Requisito PCI-DSS nº 5.3: “Certifique-se de que os mecanismos antivírus estejam
funcionando ativamente e não possam ser desabilitados ou alterados pelos
usuários, a menos que especificamente autorizado pela administração caso a
caso por um período de tempo limitado.”
Provisão para detectar infecção por malware quando a proteção
antivírus está desativada nas máquinas
requisitos
Tabela 3.5: Requisito PCI-DSS nº 5.1 e 5.3


Quadros Regulamentares, Leis e

Atos
Quadros Regulamentares, Leis e Atos


Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS)
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações proprietário para
organizações que lidam com informações de titulares de cartão para cartões de débito, crédito, pré-pagos, e-purse, ATM e POS
O PCI DSS se aplica a todas as entidades envolvidas no processamento de cartões de pagamento — incluindo comerciantes, processadores, adquirentes,
emissores e prestadores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão
Padrão de segurança de dados PCI — visão geral de alto nível
Construa e mantenha um Manter uma vulnerabilidade Monitore e teste regularmente

Rede segura Programa de Gestão Redes
Implementar Forte Manter uma informação

Proteger os dados do titular do cartão
Medidas de Controle de Acesso Política de segurança
https:// www.pcisecuritystandards.org
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento do cartão de pagamento
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Fonte: https:// www.pcisecuritystandards.org
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão de segurança de
informações proprietário para organizações que lidam com informações de titulares de cartão para os principais
cartões de débito, crédito, pré-pagos, e-purse, ATM e POS. Este padrão oferece padrões robustos e abrangentes e
materiais de suporte para aumentar a segurança dos dados do cartão de pagamento. Esses materiais incluem uma
estrutura de especificações, ferramentas, medições e recursos de suporte para ajudar as organizações a garantir o
manuseio seguro das informações do titular do cartão. O PCI DSS se aplica a todas as entidades envolvidas no
processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e
provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão.
O PCI DSS compreende um conjunto mínimo de requisitos para proteger os dados do titular do cartão. O Conselho
de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI) desenvolveu e mantém uma visão geral de
alto nível dos requisitos do PCI DSS.
Padrão de segurança de dados PCI - visão geral de alto nível
ÿ
Instale e mantenha uma configuração de firewall para proteger os
Construa e mantenha um seguro dados do titular do cartão
Rede ÿ Não use padrões fornecidos pelo fornecedor para senhas do sistema
e outros parâmetros de segurança
ÿ Proteja os dados armazenados do titular do cartão
Proteger os dados do titular do cartão

ÿ Criptografe a transmissão dos dados do titular do cartão em canais abertos e públicos
redes
Manter uma vulnerabilidade ÿ Use e atualize regularmente software ou programas antivírus


Programa de Gestão ÿ Desenvolver e manter sistemas e aplicativos seguros
ÿ Restringir o acesso aos dados do titular do cartão por necessidade comercial

Implementar Acesso Forte
ÿ Atribuir um ID único a cada pessoa com acesso ao computador
Medidas de controle
ÿ Restringir o acesso físico aos dados do titular do cartão
ÿ Rastreie e monitore todo o acesso aos recursos de rede e

Monitore e teste regularmente dados do titular do cartão
Redes
ÿ Testar regularmente sistemas e processos de segurança
Manter uma informação ÿ Manter uma política que trate da segurança da informação para todos
Política de segurança pessoal
Tabela 3.6: Tabela mostrando o padrão de segurança de dados do PCI - visão geral de alto nível
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento
do cartão de pagamento.



Estatuto e regras de simplificação administrativa da HIPAA
Eletrônico
Exige que todos os provedores que fazem negócios eletronicamente usem as mesmas
Transação e
transações de assistência médica, conjuntos de códigos e identificadores
Padrões de conjunto de código
Fornece proteções federais para as informações pessoais de saúde mantidas por entidades
regra de privacidade cobertas e oferece aos pacientes uma série de direitos com relação a essas informações
Especifica uma série de salvaguardas administrativas, físicas e técnicas para entidades

Regra de segurança cobertas usarem para garantir a confidencialidade, integridade e disponibilidade de
informações de saúde protegidas eletronicamente
Exige que prestadores de serviços de saúde, planos de saúde e empregadores tenham

Identificador Nacional
números nacionais padrão que os identifiquem anexados a transações padrão
Requisitos
Fornece os padrões para fazer cumprir todas as Simplificação da Administração

Regra de Execução
Regras
https:// www.hhs.gov
Fonte: https:// www.hhs.gov
A regra de privacidade da HIPAA fornece proteções federais para as informações de saúde individualmente identificáveis
mantidas por entidades cobertas e seus parceiros de negócios e dá aos pacientes uma série de direitos a essas
informações. Ao mesmo tempo, a regra de privacidade permite a divulgação de informações de saúde necessárias para
atendimento ao paciente e outros fins necessários.
A Regra de Segurança especifica uma série de proteções administrativas, físicas e técnicas para entidades cobertas e
seus parceiros de negócios usarem para garantir a confidencialidade, integridade e disponibilidade de informações de
saúde protegidas eletronicamente.
O escritório de direitos civis implementou o Estatuto e as Regras de Simplificação Administrativa da HIPAA, conforme
discutido abaixo:
ÿ Transações Eletrônicas e Padrões de Conjunto de Códigos
As transações são trocas eletrônicas envolvendo a transferência de informações entre duas partes para fins
específicos. A Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA) designou certos
tipos de organizações como entidades cobertas, incluindo planos de saúde, câmaras de compensação de
assistência médica e certos provedores de assistência médica. Nos regulamentos da HIPAA, o Secretário de
Saúde e Serviços Humanos (HHS) adotou certas transações padrão para o Intercâmbio Eletrônico de Dados
(EDI) de dados de saúde. Essas transações são reivindicações e encontrar informações, conselhos de
pagamento e remessa, status de reivindicação, elegibilidade, inscrição e cancelamento de inscrição, referências
e autorizações, coordenação de benefícios e pagamento de prêmio. De acordo com a HIPAA, se uma entidade
coberta conduzir eletronicamente uma das transações adotadas, ela deve usar o padrão adotado - da ASC,
X12N ou NCPDP (para determinadas farmácias


transações). As entidades cobertas devem aderir aos requisitos de conteúdo e formato de cada transação. Todo
provedor que faz negócios eletronicamente deve usar as mesmas transações de assistência médica, conjuntos de
códigos e identificadores.
ÿ Regra de Privacidade
A regra de privacidade da HIPAA estabelece padrões nacionais para proteger os registros médicos das pessoas e
outras informações pessoais de saúde e se aplica a planos de saúde, câmaras de compensação de assistência
médica e provedores de assistência médica que conduzem determinadas transações de assistência médica
eletronicamente. A regra exige salvaguardas adequadas para proteger a privacidade das informações pessoais de
saúde. Ela estabelece limites e condições sobre os usos e divulgações que podem ser feitas dessas informações sem
a autorização do paciente. A regra também concede direitos aos pacientes sobre suas informações de saúde, incluindo
o direito de examinar e obter uma cópia de seus registros de saúde e solicitar correções.
ÿ Regra de Segurança
A regra de segurança da HIPAA estabelece padrões nacionais para proteger as informações pessoais eletrônicas de
saúde dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de
Segurança exige salvaguardas administrativas, físicas e técnicas adequadas para garantir a confidencialidade,
integridade e segurança das informações de saúde protegidas eletronicamente.
ÿ Norma de Identificação do Empregador
A HIPAA exige que cada empregador tenha um número nacional padrão que os identifique em transações padrão.
ÿ Padrão Identificador de Provedor Nacional (NPI)
O National Provider Identifier (NPI) é um padrão de simplificação administrativa da HIPAA.

O NPI é um número de identificação exclusivo atribuído aos prestadores de cuidados de saúde abrangidos.
Os provedores de assistência médica cobertos e todos os planos de saúde e câmaras de compensação de assistência
médica devem usar as NPIs nas transações administrativas e financeiras adotadas pela HIPAA. O NPI é um
identificador numérico sem inteligência de 10 posições (número de 10 dígitos). Isso significa que os números não
trazem outras informações sobre profissionais de saúde, como o estado em que vivem ou sua especialidade médica.
ÿ Norma de Execução
A Regra de Execução da HIPAA contém disposições relativas à conformidade e investigação, bem como a imposição
de penalidades monetárias civis por violações das Regras de Simplificação Administrativa da HIPAA e procedimentos
para audiências.


Lei Sarbanes Oxley

(SOX)
ÿ Promulgada em 2002, a Lei Sarbanes-Oxley foi criada para proteger os investidores e o público aumentando
a precisão e a confiabilidade das divulgações corporativas
ÿ Os principais requisitos e disposições da SOX estão organizados em 11 títulos:
Título I Título II Título III

Contabilidade de empresa pública A Independência do Auditor estabelece as normas A Responsabilidade Corporativa
Conselho de Supervisão (PCAOB) de independência do auditor externo, destinadas a limitar os exige que os altos
fornece supervisão independente conflitos de interesse e executivos tomam individualmente
de empresas de contabilidade pública abordar novos requisitos de aprovação de auditores, rotação responsabilidade pela precisão e
que prestam serviços de auditoria de parceiros de auditoria e requisitos de relatórios de integridade dos relatórios financeiros
(“auditores”) auditores corporativos
https:// www.sec.gov
Lei Sarbanes Oxley (SOX) (continuação)
Título IV
As Divulgações Financeiras Aprimoradas descrevem os requisitos aprimorados de relatórios para
transações financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações
de executivos corporativos
Título V
Os Conflitos de Interesse de Analistas consistem em medidas destinadas a ajudar a restaurar a
confiança do investidor nos relatórios de analistas de valores mobiliários
Título VI
Recursos e Autoridade da Comissão definem práticas para restaurar a confiança dos
investidores nos analistas de valores mobiliários
Título VII
Estudos e relatórios incluem os efeitos da consolidação de empresas de contabilidade pública, o papel
das agências de classificação de crédito na operação dos mercados de valores mobiliários, violações de
valores mobiliários e ações de execução, e se os bancos de investimento ajudaram a Enron, Global
Crossing ou outros a manipular ganhos e ofuscar verdadeiras condições financeiras


Lei Sarbanes Oxley (SOX) (continuação)

Título VIII
A responsabilidade de fraude corporativa e criminal descreve penalidades criminais específicas
para fraude pela manipulação, destruição ou alteração de registros financeiros ou outra interferência
em investigações, ao mesmo tempo em que fornece certas proteções para denunciantes
Título X
O aprimoramento da penalidade por crimes de colarinho branco aumenta as penalidades
criminais associadas a crimes de colarinho branco e conspirações. Ele recomenda diretrizes de
condenação mais rígidas e acrescenta especificamente a falha em certificar relatórios
financeiros corporativos como uma ofensa criminal
Título IX
Corporate Tax Returns estabelece que o CEO deve assinar a declaração de imposto da
empresa
Título XI
A Corporate Fraud Accountability identifica a fraude corporativa e a adulteração de registros
como ofensas criminais e atribui a elas penalidades específicas. Ele também revisa as diretrizes
de condenação e fortalece suas penalidades. Isso permite que a SEC congele temporariamente
pagamentos grandes ou incomuns
Lei Sarbanes Oxley (SOX)
Fonte: https:// www.sec.gov
Promulgada em 2002, a Lei Sarbanes-Oxley visa proteger o público e os investidores, aumentando a precisão e
a confiabilidade das divulgações corporativas. Este ato não explica como uma organização deve armazenar
registros, mas descreve os registros que as organizações devem armazenar e a duração de seu armazenamento.
A Lei determinou várias reformas para aumentar a responsabilidade corporativa, aprimorar as divulgações
financeiras e combater a fraude corporativa e contábil.
Os principais requisitos e disposições da SOX estão organizados em 11 títulos:
ÿ Título I: Conselho Fiscal de Contabilidade das Empresas Abertas (PCAOB)
O Título I consiste em nove seções e estabelece o Conselho de Supervisão de Contabilidade de

Companhias Abertas para fornecer supervisão independente de firmas de contabilidade pública que
prestam serviços de auditoria ("auditores"). Também cria um conselho de supervisão central encarregado
de registrar os serviços de auditoria, definir os processos e procedimentos específicos para auditorias
de conformidade, inspecionar e policiar a conduta e o controle de qualidade e fazer cumprir os mandatos
específicos da SOX.
ÿ Título II: Independência do Auditor

O Título II consiste em nove seções e estabelece padrões de independência do auditor externo para
limitar conflitos de interesse. Ele também aborda novos requisitos de aprovação de auditores, rotação
de parceiros de auditoria e requisitos de relatórios de auditores. Ela restringe as empresas de auditoria
de fornecer serviços não relacionados à auditoria (como consultoria) para os mesmos clientes.


ÿ Título III: Responsabilidade Corporativa
O Título III consiste em oito seções e exige que os executivos seniores assumam responsabilidade individual
pela precisão e integridade dos relatórios financeiros corporativos. Ele define a interação entre auditores
externos e comitês de auditoria corporativos e especifica a responsabilidade dos executivos corporativos pela
precisão e validade dos relatórios financeiros corporativos. Ele enumera limites específicos sobre o
comportamento de executivos corporativos e descreve confiscos específicos de benefícios e penalidades civis
por não conformidade.
ÿ Título IV: Divulgações Financeiras Reforçadas
O Título IV consiste em nove seções. Ele descreve os requisitos aprimorados de relatórios para transações
financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações de executivos
corporativos. Exige controles internos para garantir a precisão dos relatórios e divulgações financeiras e exige
auditorias e relatórios sobre esses controles. Também exige relatórios oportunos de mudanças materiais nas
condições financeiras e revisões específicas aprimoradas de relatórios corporativos pela SEC ou seus agentes.
ÿ Título V: Conflitos de Interesse do Analista
O Título V consiste em apenas uma seção que discute as medidas destinadas a ajudar a restaurar a confiança
do investidor nos relatórios dos analistas de valores mobiliários. Ele define o código de conduta para analistas
de valores mobiliários e exige que divulguem quaisquer conflitos de interesse conhecidos.
ÿ Título VI: Recursos e Autoridade da Comissão
O Título VI consiste em quatro seções e define práticas para restaurar a confiança do investidor nos analistas
de valores mobiliários. Ele também define a autoridade da SEC para censurar ou proibir a prática de profissionais
de valores mobiliários e define as condições para impedir uma pessoa de praticar como corretor, consultor ou
negociante.
ÿ Título VII: Estudos e Relatórios
O Título VII consiste em cinco seções e exige que o Controlador Geral e a Securities and Exchange Commission
(SEC) realizem vários estudos e relatem suas conclusões.
Os estudos e relatórios necessários incluem os efeitos da consolidação de empresas de contabilidade pública,
o papel das agências de classificação de crédito na operação dos mercados de valores mobiliários, violações
de valores mobiliários, ações de execução e se os bancos de investimento ajudaram a Enron, Global Crossing
e outros a manipular lucros e ofuscar as verdadeiras condições financeiras.
ÿ Título VIII: Responsabilização Empresarial e Fraude Criminal
O Título VIII, também conhecido como “Lei de Responsabilidade por Fraude Corporativa e Criminal de 2002”,
consiste em sete seções. Ele descreve penalidades criminais específicas para a manipulação, destruição ou
alteração de registros financeiros ou interferência em investigações, além de fornecer certas proteções para
denunciantes.
ÿ Título IX: Aperfeiçoamento de Penas para Crimes de Colarinho Branco
O Título IX, também conhecido como "Lei de Aprimoramento de Penalidades para Crimes de Colarinho Branco
de 2002", consiste em seis seções.


crimes de colarinho e conspirações. Ele recomenda diretrizes de condenação mais rígidas e acrescenta
especificamente a falha na certificação de relatórios financeiros corporativos como ofensa criminal.
ÿ Título X: Declarações de IRC
O Título X consiste em uma seção que estabelece que o Diretor-Presidente deve assinar a declaração de
imposto da empresa.
ÿ Título XI: Responsabilidade Corporativa por Fraude
O Título XI consiste em sete seções. A Seção 1101 recomenda o seguinte nome para o título: “Lei de
Responsabilidade de Fraude Corporativa de 2002”. Ele identifica fraudes corporativas e adulteração de
registros como ofensas criminais e associa essas ofensas a penalidades específicas. Ele também revisa
as diretrizes de condenação e fortalece as penalidades. Isso permite que a SEC congele temporariamente
transações ou pagamentos “grandes” ou “incomuns”.


Gramm-Leach
Lei Bliley ÿ O objetivo do Gramm–Leach–
Bliley Act foi para facilitar a transferência
(GLBA) de informações financeiras entre
instituições e bancos , tornando os
direitos do indivíduo mais específicos
por meio de requisitos de segurança
Pontos-chave incluem:
ÿ Proteger as informações financeiras pessoais ÿ Os executivos e diretores do setor financeiro

do consumidor mantidas por instituições instituição estará sujeita e pessoalmente responsável
financeiras e seus provedores de serviços por uma penalidade civil de não mais de $ 10.000
para cada violação
https:// www.ftc.gov
Lei Gramm-Leach-Bliley (GLBA)
Fonte: https:// www.ftc.gov
A Lei Gramm-Leach-Bliley (GLB Act ou GLBA) é uma lei federal dos Estados Unidos que exige que as instituições
financeiras expliquem como compartilham e protegem as informações privadas de seus clientes. A Lei exige que
as instituições financeiras – empresas que oferecem produtos ou serviços financeiros aos consumidores, como
empréstimos, consultoria financeira ou de investimento ou seguros – expliquem suas práticas de compartilhamento
de informações a seus clientes e protejam dados confidenciais. O objetivo do GLBA é facilitar a transferência de
informações financeiras entre instituições e bancos, ao mesmo tempo em que torna mais específicos os direitos do
indivíduo por meio de requisitos de segurança.
Nesse sentido, os pontos principais incluem:
ÿ Proteger as informações financeiras pessoais do consumidor mantidas por instituições financeiras e seus
provedores de serviços são os pontos-chave das provisões de privacidade financeira do GLBA.
As empresas devem fornecer aos consumidores avisos de privacidade que expliquem as práticas de compartilhamento
de informações do GLBA, enquanto os clientes podem limitar o compartilhamento de suas informações.
ÿ
Se uma organização violar o GLBA, então
o Está sujeito a uma penalidade civil de até US$ 100.000 para cada violação;
o Os executivos e diretores de uma organização estarão sujeitos a, e pessoalmente responsáveis por,

uma penalidade civil de não mais de US$ 10.000 para cada violação; e
o A organização e seus executivos e diretores também estarão sujeitos a multas ou

prisão por não mais de cinco anos, ou ambos.


ÿ Os principais requisitos de proteção de informações do GLBA incluem
o Regras de privacidade financeira a serem fornecidas aos consumidores com aviso de privacidade após o
relacionamento é estabelecido com o consumidor; e
o Regras de Salvaguardas, que exigem que as organizações desenvolvam um plano de segurança da

informação por escrito descrevendo seus processos e procedimentos para proteger o NPI dos clientes.
ÿ Os requisitos de segurança e criptografia para GLBA incluem
o Organizações para estabelecer os padrões exigidos relacionados à segurança administrativa, técnica e

física dos registros e informações do cliente; e
o As organizações devem implementar criptografia para reduzir o risco de divulgação ou alteração de

informações — por exemplo, práticas fortes de gerenciamento de chaves, confiabilidade robusta e
proteção dos terminais da comunicação criptografada.


Proteção Geral de Dados

Regulamento (RGPD)
ÿ O regulamento GDPR entrou em vigor em 25 de maio de 2018 e

uma das leis de privacidade e segurança mais rigorosas do mundo
ÿ O GDPR aplicará multas severas contra aqueles que violarem seus padrões de
privacidade e segurança, com penalidades que chegarão a dezenas de milhões de
euros
Legalidade, justiça e Limitação de finalidade Minimização de dados Precisão

Dados GDPR
transparência
Proteção
Princípios
Limitação de armazenamento Integridade e confidencialidade Responsabilidade

https:// gdpr.eu
Regulamento Geral de Proteção de Dados (GDPR)
Fonte: https:// gdpr.eu
O Regulamento Geral de Proteção de Dados (GDPR) é a lei de privacidade e segurança mais rígida do mundo.
Embora tenha sido elaborado e aprovado pela União Europeia (UE), impõe obrigações a organizações em qualquer
lugar, desde que tenham como alvo ou coletem dados relacionados a pessoas na UE.
O regulamento entrou em vigor a 25 de maio de 2018. O RGPD aplicará multas severas a quem violar as suas
normas de privacidade e segurança, com penalidades que podem chegar às dezenas de milhões de euros.
Com o GDPR, a Europa está sinalizando sua posição firme em relação à privacidade e segurança de dados em um
momento em que mais pessoas confiam seus dados pessoais a serviços em nuvem e as violações ocorrem
diariamente. O regulamento em si é grande, abrangente e bastante leve em detalhes, tornando a conformidade com
o GDPR uma perspectiva assustadora, principalmente para pequenas e médias empresas (PMEs).
Princípios de Proteção de Dados GDPR
O GDPR inclui sete princípios de proteção e responsabilidade descritos no Artigo 5.1-2:
ÿ Licitude, equidade e transparência: O tratamento deve ser lícito, leal e transparente para o titular dos dados.
ÿ Limitação de finalidade: Você deve processar dados para as finalidades legítimas especificadas
explicitamente ao titular dos dados quando você os coletou.
ÿ Minimização de dados: você deve coletar e processar apenas os dados absolutamente necessários para os
fins especificados.
ÿ Precisão: Você deve manter os dados pessoais precisos e atualizados.


ÿ Limitação de armazenamento: você só pode armazenar dados de identificação pessoal pelo tempo
necessário para o fim especificado.
ÿ Integridade e confidencialidade: O processamento deve ser feito de forma a garantir segurança,
integridade e confidencialidade adequadas (por exemplo, usando criptografia).
ÿ Responsabilidade: O controlador de dados é responsável por demonstrar a conformidade com o
GDPR com todos esses princípios.


Lei de Proteção de Dados de 2018 (DPA)
ÿ O DPA é um ato que dispõe sobre a regulamentação do processamento de

informações relativas a pessoas físicas; fazer provisões em conexão com
as funções do Comissário de Informação sob regulamentos específicos
relativos à informação; para fazer provisões para um código de prática de
marketing direto e propósitos relacionados
A DPA protege as pessoas singulares relativamente ao tratamento de dados pessoais,

nomeadamente ao:
Exigir que os dados pessoais sejam processados de forma legal e justa, com base no
consentimento do titular dos dados ou em outra base especificada,
Conferir direitos ao titular dos dados para obter informações sobre o processamento
de dados pessoais e exigir que os dados pessoais inexatos sejam retificados, e
Atribuir funções ao Comissário, atribuindo ao titular desse cargo a

responsabilidade de fiscalizar e fazer cumprir as suas disposições
https:// www.legislation.gov.uk
Lei de Proteção de Dados de 2018 (DPA)
Fonte: https:// www.legislation.gov.uk
O DPA 2018 estabelece a estrutura da lei de proteção de dados no Reino Unido. Ele atualiza e substitui a Lei de
Proteção de Dados de 1998 e entrou em vigor em 25 de maio de 2018. Foi alterado em 01 de janeiro de 2021 por
regulamentos da Lei de (Retirada) da União Europeia de 2018, para refletir o status do Reino Unido fora da UE.
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações relativas a indivíduos; fazer
provisões em conexão com as funções do Comissário de Informação de acordo com certos regulamentos relativos a
informações; fazer provisões para um código de prática de marketing direto; e para fins conexos.
O DPA também estabelece regras de proteção de dados separadas para autoridades policiais, estende a proteção de
dados a algumas outras áreas, como segurança e defesa nacional, e define as funções e poderes do Comissário de
Informação.
Proteção de dados pessoais
1. O DPA protege os indivíduos no que diz respeito ao processamento de dados pessoais, em

especial por:
uma. Exigir que os dados pessoais sejam tratados de forma lícita e justa, com base nos dados
consentimento do sujeito ou outra base especificada,
b. Conferir direitos ao titular dos dados para obter informações sobre o processamento de dados pessoais e
exigir que os dados pessoais inexatos sejam retificados, e
c. Atribuir funções ao Conselheiro, conferindo ao titular desse cargo

responsabilidade pelo monitoramento e cumprimento de suas disposições.


2. Ao desempenhar funções ao abrigo do RGPD, do RGPD aplicado e desta Lei, o Comissário

deve ter em conta a importância de assegurar um nível adequado de proteção dos dados
pessoais, tendo em conta os interesses dos titulares dos dados, responsáveis pelo
tratamento e outros e questões de interesse público geral.


Normas ISO de Segurança da Informação

Sr. Nós iremos. Padrões Objetivo Sr. Nós iremos. Padrões Objetivo
1 ISO/IEC 27001 Especificação formal do ISMS 16 ISO/IEC 27018 Privacidade na nuvem
2 ISO/IEC 27002 Controles de segurança da informação 17 ISO/IEC TR 27019 Controle de processos em energia
3 ISO/IEC 27003 Guia de implementação do ISMS 18 ISO/IEC 27031 Continuidade de negócios de TIC
4 ISO/IEC 27004 Métricas de segurança da informação 19 ISO/IEC 27032 Cíber segurança
20 ISO/IEC 27033-1 a -5 Segurança de rede

5 ISO/IEC 27005 Gerenciamento de riscos de segurança da informação
21 ISO/IEC 27034 -1 e -5 Segurança do aplicativo
6 ISO/IEC 27006 Guia de certificação ISMS
22 ISO/IEC 27035 gerenciamento de incidentes
7 ISO/IEC 27007 Auditoria do sistema de gestão
23 ISO/IEC 27036-1 -2 e -3 Cadeia de suprimentos de TIC
8 ISO/IEC TR 27008 auditoria técnica

24 ISO/IEC 27037 Evidência digital [forense]
9 ISO/IEC 27010 Para comunicação interorganizacional
25 ISO/IEC 27038 redução de documentos
10 ISO/IEC 27011 Iso27k em telecomunicações
26 ISO/IEC 27039 prevenção de intrusão
11 ISO/IEC 27013 ISMS & ITIL/gerenciamento de serviços
27 ISO/IEC 27040 Segurança de armazenamento
12 ISO/IEC 27014 Governança de segurança da informação

28 ISO/IEC 27041 Garantia de investigação
13 ISO/IEC TR27015 Iso27k em serviços financeiros

29 ISO/IEC 27042 Análise de evidências digitais
14 ISO/IEC TR 27016 Economia da segurança da informação 30 ISO/IEC 27043 Investigação de incidentes
15 ISO/IEC 27017 Controles de segurança na nuvem 31 ISO 27799 ISO27k Na saúde
https:// www.iso27001security.com
Normas ISO de Segurança da Informação
Fonte: https:// www.iso27001security.com
ÿ ISO/IEC 27001
A ISO/IEC 27001 especifica formalmente um Sistema de Gerenciamento de Segurança da Informação

(ISMS), um conjunto de atividades relativas ao gerenciamento de riscos de segurança da informação.
O ISMS é uma estrutura de gerenciamento abrangente por meio da qual uma organização identifica,
analisa e aborda seus riscos de segurança da informação. O ISMS garante que os arranjos de
segurança sejam ajustados para acompanhar as mudanças nas ameaças de segurança,
vulnerabilidades e impactos nos negócios - um aspecto importante em um campo tão dinâmico e
uma vantagem fundamental da abordagem flexível orientada a riscos do ISO27k em comparação
com, por exemplo, PCI-DSS.
ÿ ISO/IEC 27002
A ISO/IEC 27002 é relevante para todos os tipos de organizações, incluindo empresas comerciais
de todos os tamanhos (de bandas individuais até gigantes multinacionais), organizações sem fins
lucrativos, instituições de caridade, departamentos governamentais e órgãos semi-autônomos, ou
qualquer organização que manipula e depende da informação. Os requisitos específicos de risco e
controle de segurança da informação podem diferir em detalhes, embora haja um terreno comum -
por exemplo, a maioria das organizações precisa abordar os riscos de segurança da informação
relacionados a seus funcionários, contratados, consultores e fornecedores externos de serviços de
informação.
ÿ ISO/IEC 27003
A ISO/IEC 27003 orienta o projeto de um ISMS em conformidade com a ISO/IEC 27001, conduzindo
ao início de um projeto de implementação de ISMS. Descreve o processo de ISMS


especificação e design desde o início até a produção de planos de projeto de implementação,

abrangendo as atividades de preparação e planejamento antes da implementação real.
ÿ ISO/IEC 27004
A ISO/IEC 27004 diz respeito às medidas relativas à gestão da segurança da informação; estes são
comumente conhecidos como “métricas de segurança”.
ÿ ISO/IEC 27005
A norma fornece diretrizes para o gerenciamento de riscos de segurança da informação e oferece

suporte aos conceitos gerais especificados na ISO/IEC 27001 e foi projetada para auxiliar na
implementação satisfatória da segurança da informação com base em uma abordagem de
gerenciamento de riscos.
ÿ ISO/IEC 27006
ISO/IEC 27006 é o padrão de acreditação que orienta os organismos de certificação nos processos
formais que devem seguir ao auditar os Sistemas de Gerenciamento de Segurança da Informação
(ISMSs) de seus clientes em relação ao ISO/IEC 27001 para certificá-los ou registrá-los em
conformidade. Os processos de acreditação estabelecidos na norma garantem que os certificados
ISO/IEC 27001 emitidos por organizações acreditadas são válidos.
ÿ ISO/IEC 27007
A ISO/IEC 27007 fornece orientação para organismos de certificação credenciados, auditores

internos, auditores externos/terceiros e outros que auditam ISMSs de acordo com a ISO/IEC 27001
(isto é, auditam o sistema de gestão para conformidade com a norma).
A ISO/IEC 27007 reflete e se refere em grande parte à ISO 19011, a norma ISO para auditoria de
sistemas de gestão ambiental e de qualidade – com “sistemas de gestão” sendo o fator comum que
a liga às normas ISO27k. Ele fornece orientação específica adicional do ISMS.
ÿ ISO/IEC TR 27008
Esta norma fornece orientação para todos os auditores em relação aos controles ISMS selecionados
por meio de uma abordagem baseada em risco (por exemplo, conforme apresentado em uma
declaração de aplicabilidade) para gerenciamento de segurança da informação. Ele oferece suporte
ao processo de gerenciamento de riscos de segurança da informação, bem como auditorias internas,
externas e de terceiros do ISMS, explicando a relação entre o ISMS e seus controles de suporte.
Ele fornece orientação sobre como verificar até que ponto os controles ISMS necessários são
implementados. Além disso, ele oferece suporte a qualquer organização que use ISO/IEC 27001 e
ISO/IEC 27002 para atender aos requisitos de garantia e é uma plataforma estratégica para
governança de segurança da informação.
ÿ ISO/IEC 27010
Este padrão fornece orientação em relação ao compartilhamento de informações sobre riscos,

controles, problemas e/ou incidentes de segurança da informação que abrangem as fronteiras entre
setores da indústria e/ou nações, particularmente aqueles que afetam a “infraestrutura crítica”.


ÿ ISO/IEC 27011
Este guia de implementação ISMS para a indústria de telecomunicações foi desenvolvido em conjunto
pelo ITU Telecommunication Standardization Sector (ITU-T) e ISO/IEC JTC1/SC 27, com o texto
idêntico sendo publicado como ITU -T X.1051 e ISO/IEC 27011.
ÿ ISO/IEC 27013
Esta norma fornece orientação sobre a implementação de um sistema integrado de segurança da

informação e gerenciamento de serviços de TI com base na ISO/IEC 27001:2005 (ISMS) e na ISO/
IEC 20000-1:2011.
ÿ ISO/IEC 27014
ISO/IEC JTC1/SC 27, em colaboração com o ITU-T, desenvolveu um padrão especificamente

destinado a ajudar as organizações a governar seus acordos de segurança da informação.
ÿ ISO/IEC TR 27015
Esta é uma diretriz destinada a ajudar as organizações de serviços financeiros (por exemplo, bancos,
seguradoras e empresas de cartão de crédito) a implementar ISMSs usando os padrões ISO27k.
Embora o setor de serviços financeiros já trabalhe sob uma vasta gama de padrões de risco e
segurança (como ISO TR 13569 “Banking Information Security Guidelines,”
SOX e Basel II/III), a orientação de implementação do ISMS desenvolvida pelo SC 27 reflete a ISO/
IEC 27001 e 27002, juntamente com vários padrões de segurança de uso geral, como Objetivos de
Controle para Tecnologias de Informação e Relacionadas (COBIT) e os requisitos PCI-DSS .
ÿ ISO/IEC TR 27016
Esta norma ajuda a gestão a apreciar e compreender os impactos financeiros da segurança da

informação no contexto de um ISO27k ISMS, juntamente com os impactos políticos, sociais, de
conformidade e outros impactos potenciais em uma organização que influenciam coletivamente o
quanto ela precisa investir na proteção de seus ativos de informação .
ÿ ISO/IEC 27017
Este padrão fornece orientação sobre os aspectos de segurança da informação da computação em

nuvem, recomendando e auxiliando na implementação de controles de segurança da informação
específicos da nuvem, complementando a orientação da ISO/IEC 27002 e outras normas ISO27k.
ÿ ISO/IEC 27018
Este padrão fornece orientação destinada a garantir que os provedores de serviços em nuvem (como
Amazon e Google) ofereçam controles de segurança de informações adequados para proteger a
privacidade dos clientes de seus clientes, protegendo as informações de identificação pessoal
confiadas a eles. O padrão será seguido pela ISO/IEC 27017, abrangendo os ângulos mais amplos
de segurança da informação da computação em nuvem, além da privacidade.

ÿ ISO/IEC TR 27019
Este padrão (um Relatório Técnico) destina-se a ajudar as organizações do setor de energia a interpretar e
aplicar a ISO/IEC 27002:2005 para proteger seus sistemas de controle de processo eletrônico.
ÿ ISO/IEC 27031
A ISO/IEC 27031 fornece orientação sobre os conceitos e princípios por trás do papel da tecnologia da
informação e comunicação para garantir a continuidade dos negócios.
O padrão
o Sugere uma estrutura ou estrutura (na verdade, um conjunto de métodos e processos) para qualquer
organização, seja privada, governamental ou não governamental;
o Identifica e especifica todos os aspectos relevantes, incluindo critérios de desempenho, design e detalhes
de implementação para melhorar a prontidão da tecnologia de informação e comunicação (TIC) como
parte do SGSI de uma organização; assim, ajuda a garantir a continuidade do negócio; e
o Permite que uma organização meça sua continuidade de TIC, segurança e, portanto, prontidão para
sobreviver a um desastre de maneira consistente e reconhecida.
ÿ ISO/IEC 27032
A ISO/IEC 27032 aborda “cibersegurança” ou “segurança do ciberespaço”, definida como a “preservação da

confidencialidade, integridade e disponibilidade das informações no ciberespaço”. Por sua vez, “o ciberespaço”
é definido como “o ambiente complexo resultante da interação de pessoas, softwares e serviços na Internet
por meio de dispositivos tecnológicos e redes conectadas a ele, que não existe em nenhuma forma física”.
ÿ ISO/IEC 27033-1 a -5
ISO/IEC 27033 é um padrão de várias partes derivado do padrão de segurança de rede de cinco partes
existente ISO/IEC 18028. Ele está sendo substancialmente revisado, e não apenas renomeado, para se
adequar ao conjunto ISO27k.
ÿ ISO/IEC 27034 -1 e -5
A ISO/IEC 27034 oferece orientação sobre segurança da informação para aqueles que especificam, projetam
e programam ou adquirem, implementam e usam sistemas de aplicativos, ou seja, gerentes de negócios e
de TI, desenvolvedores e auditores e, finalmente, os usuários finais de TIC. O objetivo é garantir que os
aplicativos de computador forneçam o nível de segurança desejado ou necessário em suporte ao ISMS de
uma organização, abordando adequadamente muitos riscos de segurança de TIC.
ÿ ISO/IEC 27035
Os controles de segurança da informação são imperfeitos de várias maneiras: os controles podem ser
sobrecarregados ou prejudicados (por exemplo, por hackers competentes, fraudadores ou malware), falham
no serviço (por exemplo, falhas de autenticação), funcionam parcialmente ou mal (por exemplo, anomalia lenta

detecção), ou estar mais ou menos completamente ausente (por exemplo, não [ainda] totalmente
implementado, não [ainda] totalmente operacional ou nunca concebido devido a falhas na identificação e
análise de riscos). Consequentemente, os incidentes de segurança da informação podem ocorrer até certo
ponto, mesmo em organizações que levam a segurança da informação extremamente a sério.
ÿ ISO/IEC 27036 -1 -2 & -3
A ISO/IEC 27036 é uma norma com várias partes que oferece orientação sobre a avaliação e tratamento
dos riscos de segurança da informação envolvidos na aquisição de bens e serviços de fornecedores. O
contexto implícito são os relacionamentos business-to-business — do que o varejo — e os produtos
relacionados à informação. Os termos aquisição e adquirente são usados em vez de compra e aquisição,
uma vez que o processo e os riscos são praticamente os mesmos, sejam as transações comerciais ou não.
ÿ ISO/IEC 27037
Esta norma fornece orientação sobre como identificar, coletar/coletar/adquirir, manusear e proteger/
preservar evidências forenses digitais, ou seja, “dados digitais que podem ter valor probatório” para uso em
tribunal. O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos de
melhores práticas para captura forense e investigação de evidências digitais. Embora investigadores,
organizações e jurisdições individuais possam reter certos métodos, processos e controles, espera-se que
a padronização (eventualmente) leve à adoção de abordagens semelhantes, se não idênticas
internacionalmente. Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações,
mesmo quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27038
Às vezes, os dados digitais precisam ser revelados a terceiros, ocasionalmente até publicados ao público,
por motivos como a divulgação de documentos oficiais sob as leis de liberdade de informação ou como
prova em disputas comerciais ou processos legais. “Redação” é o termo convencional para o processo de
negar aos destinatários dos arquivos o conhecimento de certos dados confidenciais contidos nos arquivos
originais.
ÿ ISO/IEC 27039
Os sistemas de detecção de intrusão (IDSs) são sistemas amplamente automatizados para identificar
ataques e invasões em uma rede ou sistema por hackers e disparar o alarme. Os sistemas de prevenção
de intrusão (IPSs) levam a automação um passo adiante, respondendo automaticamente a certos tipos de
ataque identificados, por exemplo, fechando portas de rede específicas por meio de um firewall para
bloquear o tráfego de hackers identificados. Os sistemas de detecção e prevenção de intrusão combinam
recursos de IDSs e IPSs.
ÿ ISO/IEC 27040
Os proponentes desta norma afirmam que os aspectos de segurança da informação de sistemas e

infraestruturas de armazenamento de dados têm sido negligenciados devido a equívocos e familiaridade
limitada com a tecnologia de armazenamento, ou no caso de (alguns) sistemas de armazenamento

gerentes e administradores, uma compreensão limitada dos riscos inerentes ou conceitos básicos
de segurança.
ÿ ISO/IEC 27041
O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos
de melhores práticas para captura forense e investigação de evidências digitais. Embora
investigadores, organizações e jurisdições individuais possam reter certos métodos, processos e
controles, espera-se que a padronização (eventualmente) leve à adoção de abordagens
semelhantes, se não idênticas, internacionalmente.
Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações, mesmo
quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27042
O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos
de melhores práticas para a captura forense e investigação de evidências digitais. Embora
investigadores, organizações e jurisdições individuais possam reter certos métodos, processos e
controles, espera-se que a padronização (eventualmente) leve à adoção de abordagens
semelhantes, se não idênticas, internacionalmente.
Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações, mesmo
quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27043
O objetivo fundamental dos padrões forenses digitais ISO/IEC 27037, 27041, 27042, 27043 e
27050 é promover métodos e processos de melhores práticas para captura forense e investigação
de evidências digitais. Embora investigadores, organizações e jurisdições individuais possam
reter certos métodos, processos e controles, espera-se que a padronização (eventualmente) leve
à adoção de abordagens semelhantes, se não idênticas, internacionalmente. Isso torna mais fácil
comparar, combinar e contrastar os resultados de tais investigações, mesmo quando realizadas
por diferentes pessoas ou organizações e potencialmente em diferentes jurisdições.
ÿ ISO/IEC 27799 ISO27k
Este padrão fornece orientação para organizações de saúde e outros guardiões de informações
pessoais de saúde sobre a melhor forma de proteger a confidencialidade, integridade e
disponibilidade de tais informações através da implementação do ISO/IEC 27002. Especificamente,
ele aborda as necessidades especiais de gerenciamento de segurança da informação do setor
de saúde setor e seus ambientes operacionais exclusivos. Embora a proteção e a segurança das
informações pessoais sejam importantes para todos os indivíduos, corporações, instituições e
governos, existem requisitos especiais no setor de saúde que precisam ser atendidos para
garantir a confidencialidade, integridade, adaptabilidade e disponibilidade das informações pessoais de saúde.

O milênio digital
Lei de Direitos Autorais (DMCA)
ÿ O DMCA é uma lei de direitos autorais dos Estados Unidos que implementa dois tratados de 1996 da World Intellectual
Organização da Propriedade (OMPI)
ÿ Define as proibições legais contra a evasão de medidas de proteção tecnológica empregadas pelos proprietários de
direitos autorais para proteger suas obras e contra a remoção ou alteração de informações de gerenciamento de
direitos autorais
https:// www.copyright.gov
A Lei de Direitos Autorais do Milênio Digital (DMCA)
Fonte: https:// www.copyright.gov
O DMCA é uma lei de direitos autorais americana que implementa dois tratados de 1996 da Organização Mundial de
Propriedade Intelectual (WIPO): o Tratado de Direitos Autorais da OMPI e o Tratado de Performances e Fonogramas
da WIPO. A fim de implementar as obrigações do tratado dos EUA, o DMCA define proibições legais contra a evasão
das medidas de proteção tecnológica empregadas pelos proprietários de direitos autorais para proteger suas obras e
contra a remoção ou alteração das informações de gerenciamento de direitos autorais. O DMCA contém cinco títulos:
ÿ Título I: IMPLEMENTAÇÃO DO TRATADO DA OMPI
O Título I implementa os tratados da OMPI. Em primeiro lugar, faz algumas alterações técnicas à legislação
dos Estados Unidos a fim de fornecer as referências e links apropriados para os tratados. Em segundo lugar,
cria duas novas proibições no Título 17 do Código dos Estados Unidos - uma sobre contornar as medidas
tecnológicas usadas pelos proprietários de direitos autorais para proteger suas obras e outra sobre
adulteração de informações de gerenciamento de direitos autorais - e acrescenta recursos civis e penalidades
criminais por violar as proibições. .
ÿ Título II: LIMITAÇÃO DE RESPONSABILIDADE POR VIOLAÇÃO DE DIREITOS AUTORAIS ONLINE
O Título II da DMCA adiciona uma nova seção 512 à Lei de Direitos Autorais para criar quatro novas
limitações de responsabilidade por violação de direitos autorais por provedores de serviços online. Um
provedor de serviços baseia essas limitações nas quatro categorias de conduta a seguir:
o Comunicações transitórias
o Cache do sistema
o O armazenamento direcionado pelo usuário de informações em sistemas ou redes

o Ferramentas de localização de informações
A nova seção 512 também inclui regras especiais relativas à aplicação dessas limitações a instituições
educacionais sem fins lucrativos.
ÿ Título III: MANUTENÇÃO OU REPARAÇÃO DE COMPUTADORES
O Título III do DMCA permite que o proprietário de uma cópia de um programa faça reproduções ou
adaptações quando necessário para usar o programa em conjunto com um computador. A alteração
permite que o proprietário ou locatário de um computador faça ou autorize a criação de uma cópia de
um programa de computador durante a manutenção ou reparo desse computador.
ÿ Título IV: DISPOSIÇÕES DIVERSAS
O Título IV contém seis disposições diversas. A primeira disposição anuncia o Esclarecimento da

Autoridade do Escritório de Direitos Autorais; a segunda dispensa a realização de “gravações efêmeras”;
a terceira promove o estudo por meio da educação a distância; o quarto fornece uma isenção para
bibliotecas e arquivos sem fins lucrativos; a quinta permite emendas de webcasting ao direito de
execução digital em gravações de som e, finalmente, a sexta disposição aborda preocupações sobre a
capacidade de roteiristas, diretores e atores de tela de obter pagamentos residuais pela exploração de
filmes em situações em que o produtor não é mais capaz de fazer esses pagamentos.
ÿ Título V: PROTECÇÃO DE CERTOS DESENHOS ORIGINAIS
O Título V da DMCA dá direito ao Vessel Hull Design Protection Act (VHDPA). Esta lei cria um novo
sistema para proteger os desenhos originais de certos artigos úteis que tornam o artigo atraente ou
distintivo na aparência. Para fins do VHDPA, “artigos úteis” são limitados aos cascos (incluindo os
conveses) de embarcações com comprimento não superior a 200 pés.

Segurança da Informação Federal

Lei de Gestão (FISMA) Anna Stewart
O FISMA fornece uma estrutura abrangente para garantir a eficácia

dos controles de segurança da informação sobre os recursos de
informação que suportam as operações e ativos federais
Inclui
Padrões para categorizar informações e sistemas de informação por impacto

da missão
Normas para requisitos mínimos de segurança para informação e sistemas

de informação
Orientação para selecionar controles de segurança apropriados para sistemas de

informação
Orientação para avaliar os controles de segurança em sistemas de informação

e determinar a eficácia do controle de segurança
Orientação para autorização de segurança de sistemas de informação

https:// csrc.nist.gov
A Lei Federal de Gerenciamento de Segurança da Informação (FISMA)
Fonte: https:// csrc.nist.gov
A Lei Federal de Gerenciamento de Segurança da Informação de 2002 foi promulgada para produzir vários padrões
e diretrizes de segurança importantes exigidos pela legislação do Congresso. O FISMA fornece uma estrutura
abrangente para garantir a eficácia dos controles de segurança da informação sobre os recursos de informação
que suportam as operações e ativos federais. Ela exige que cada agência federal desenvolva, documente e
implemente um programa em toda a agência para fornecer segurança da informação para as informações e
sistemas de informação que suportam as operações e ativos da agência, incluindo aqueles fornecidos ou
gerenciados por outra agência, contratante ou outro fonte. A estrutura FISMA inclui:
ÿ Padrões para categorizar informações e sistemas de informação por impacto da missão
ÿ Normas para os requisitos mínimos de segurança da informação e da informação

sistemas
ÿ Orientação para seleção de controles de segurança apropriados para sistemas de informação
ÿ Orientação para avaliar controles de segurança em sistemas de informação e determinar sua

eficácia
ÿ Orientação para a autorização de segurança dos sistemas de informação

Outras Leis e Leis de Segurança da Informação
Lei Patriota dos EUA de 2001 A Lei dos Direitos Humanos de 1998
1 4
Lei de Liberdade de Informação A liberdade de informação
(FOIA) 2 Lei de 2000 5
As Comunicações Eletrônicas
Lei de Fraude e Abuso de Computador
Lei de privacidade 3 6
Outras Leis e Leis de Segurança da Informação

Lei Patriota dos EUA de 2001
Fonte: https:// www.fincen.gov
O objetivo do USA PATRIOT Act é deter e punir atos terroristas nos EUA e em todo o mundo e aprimorar
as ferramentas de investigação da aplicação da lei, incluindo
ÿ Fortalecer as medidas dos EUA para prevenir, detectar e processar a lavagem de dinheiro
internacional e o financiamento do terrorismo;
ÿ Sujeitar a escrutínio especial jurisdições estrangeiras, instituições financeiras estrangeiras e classes

de transacções internacionais ou tipos de contas susceptíveis de abuso criminal;
ÿ Exigir que todos os elementos apropriados da indústria de serviços financeiros relatem potenciais
lavagem de dinheiro; e
ÿ Fortalecer as medidas para impedir o uso do sistema financeiro dos EUA para ganho pessoal por
funcionários estrangeiros corruptos e facilitar a repatriação de bens roubados aos cidadãos dos
países aos quais esses bens pertencem.
Lei de Liberdade de Informação (FOIA)
Fonte: http:// www.foia.gov
A Lei de Liberdade de Informação (FOIA) forneceu ao público o direito de solicitar acesso aos registros
de qualquer agência federal. Muitas vezes é descrito como a lei que mantém os cidadãos informados
sobre seu governo. As agências federais são obrigadas a divulgar qualquer informação solicitada

sob a FOIA, a menos que se enquadre em uma das nove isenções que protegem interesses como privacidade
pessoal, segurança nacional e aplicação da lei.
A Lei de Privacidade das Comunicações Eletrônicas
Fonte: https:// it.ojp.gov
A Lei de Privacidade de Comunicações Eletrônicas e a Lei de Comunicações Eletrônicas Stored Wire são comumente
referidas juntas como Lei de Privacidade de Comunicações Eletrônicas (ECPA) de 1986.
A ECPA atualizou o Federal Wiretap Act de 1968, que tratava da interceptação de conversas usando linhas telefônicas
"duras", mas não se aplicava à interceptação de computadores e outras comunicações digitais e eletrônicas. Vários
atos legislativos subsequentes, incluindo o USA PATRIOT Act, esclarecem e atualizam a ECPA para acompanhar a
evolução de novas tecnologias e métodos de comunicação, incluindo a flexibilização das restrições ao acesso de
autoridades policiais a comunicações armazenadas em alguns casos.
A Lei dos Direitos Humanos de 1998
Esta Lei reforça os direitos e liberdades garantidos pela Convenção Europeia dos Direitos do Homem; dispõe sobre
os titulares de determinados cargos judiciais que se tornam juízes do Tribunal Europeu dos Direitos do Homem e
para outros fins conexos.
A Lei de Liberdade de Informação de 2000
Esta lei prevê a divulgação de informações mantidas por autoridades públicas ou por pessoas que prestam serviços
para elas e para alterar a Lei de Proteção de Dados de 1998 e a Lei de Registros Públicos de 1958, e para fins
relacionados.
Lei de Fraude e Abuso de Computador
Fonte: https:// ilt.eff.org
O Computer Fraud and Abuse Act (CFAA), 18 USC § 1030, é uma emenda feita em 1986 ao Counterfeit Access
Device and Abuse Act 1984, e afirma essencialmente que, quem acessa intencionalmente um computador sem
autorização ou excede o acesso autorizado e, portanto, obtém informações de qualquer computador protegido e, se
a conduta envolver uma comunicação interestadual ou estrangeira, será punido nos termos da lei. Em 1996, o CFAA
foi, novamente, ampliado por uma emenda que substituiu o termo “computador de interesse federal” pelo termo
“computador protegido” 18 USC § 1030. Embora o CFAA seja principalmente uma lei criminal destinada a reduzir os
casos de interferências maliciosas com sistemas de computador e tratar de crimes federais de informática, uma
emenda em 1994 permite que ações civis sejam movidas de acordo com o estatuto também.

Lei cibernética em diferentes países
País Leis/Leis Local na rede Internet

Nome
A seção 107 da Lei de Direitos Autorais menciona a doutrina do “uso justo”
https:// www.copyright.gov
Lei de limitação de responsabilidade por violação de direitos autorais on-line
A Lei Lanham (Marca Registrada) (15 USC §§ 1051 - 1127) https:// www.uspto.gov
Lei de Vigilância de Inteligência Estrangeira https:// fas.org

Unido
Proteja a Lei da América de 2007 https:// www.justice.gov
estados
Lei de privacidade de 1974 https:// www.justice.gov
Lei Nacional de Proteção da Infraestrutura de Informação de 1996 https:// www.nrotc.navy.mil
Lei de Segurança de Computadores de 1987 https:// csrc.nist.gov
Lei Federal de Dissuasão de Roubo de Identidade e Assunção https:// www.ftc.gov
Direito Cibernético em Diferentes

Países (continuação)
Nome do país Leis/Leis Local na rede Internet
A Lei de Marcas Registradas de 1995
A Lei de Patentes de 1990

Austrália https:// www.legislation.gov.au
A Lei de Direitos Autorais de 1968
Lei de Crimes Cibernéticos de 2001
Lei de direitos autorais, etc. e marcas registradas (ofensas e execução) de 2002
Lei de Marcas Registradas de 1994 (TMA)
Lei de Uso Indevido de Computadores de 1990
O Regulamento de Redes e Sistemas de Informação 2018

Reino Unido https:// www.legislation.gov.uk
Lei de Comunicações de 2003
Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva CE) de 2003
Lei de Poderes de Investigação de 2016
Regulamento da Lei de Poderes de Investigação de 2000
Lei de direitos autorais da República Popular da China (alterações em 27 de outubro de 2001)

China http:// www.npc.gov.cn
Lei de Marcas Registradas da República Popular da China (alterações em 27 de outubro de 2001)
Lei de Patentes (Emenda), 1999, Lei de Marcas Registradas, 1999, Lei de Direitos Autorais, 1957 http:// www.ipindia.nic.in
Índia
Lei de Tecnologia da Informação https:// www.meity.gov.in
Alemanha Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados, Seção 303b. Sabotagem de Computador https:// www.cybercrimelaw.net


(continua)
Nome do país Leis/Leis Local na rede Internet
Artigo 615 ter do Código Penal https:// www.cybercrimelaw.net

Itália
A Lei de Marcas (Lei nº 127 de 1957), Lei Comercial de Gestão de Direitos Autorais (4.2.2.3 de 2000)
Japão https:// www.iip.or.jp
Lei de Direitos Autorais (RSC, 1985, c. C-42), Lei de Marcas Registradas, Código Penal Canadense
Canadá Seção 342.1
https:// laws-lois.justice.gc.ca
Cingapura Lei de Uso Indevido de Computador https:// sso.agc.gov.sg
Lei de Marcas Registradas 194 de 1993 http:// www.cipc.co.za

África do Sul
Lei de Direitos Autorais de 1978 https:// www.nlsa.ac.za
Lei de Direitos Autorais Nº 3916 https:// www.copyright.or.kr

Coreia do Sul
Lei de Proteção de Desenho Industrial https:// www.kipo.go.kr
Lei de Direitos Autorais, 30/06/1994 https:// www.wipo.int

Bélgica
Hacking de computador https:// www.cybercrimelaw.net
Brasil Modificação ou alteração não autorizada do sistema de informação https:// www.domstol.no
Artigo 139 da Lei Básica https:// www.basiclaw.gov.hk

Hong Kong

Cyberlaw ou lei da Internet refere-se a quaisquer leis que tratam da proteção da Internet e outras
tecnologias de comunicação online. O Cyberlaw abrange tópicos como acesso e uso da Internet,
privacidade, liberdade de expressão e jurisdição. As leis cibernéticas fornecem uma garantia da
integridade, segurança, privacidade e confidencialidade das informações em organizações
governamentais e privadas. Essas leis se tornaram proeminentes devido ao aumento do uso da
Internet em todo o mundo. As leis cibernéticas variam de acordo com a jurisdição e o país, portanto,
implementá-las é bastante desafiador. A violação dessas leis resulta em punições que variam de multas a prisão.
País
Leis/Leis Local na rede Internet
Nome
A seção 107 da Lei de Direitos Autorais menciona a doutrina do “uso
justo”
https://www.copyright.gov
Lei de limitação de responsabilidade por violação de direitos autorais on-line
A Lei Lanham (Marca Registrada) (15 USC §§ 1051 - 1127) https://www.uspto.gov
Lei de Vigilância de Inteligência Estrangeira https://fas.org
Estados Unidos Proteja a Lei da América de 2007 https://www.justice.gov
Lei de privacidade de 1974 https://www.justice.gov
Lei Nacional de Proteção da Infraestrutura de Informação de 1996

https://www.nrotc.navy.mil
Lei de Segurança de Computadores de 1987 https://csrc.nist.gov
Lei Federal de Dissuasão de Roubo de Identidade e Assunção https://www.ftc.gov
Austrália A Lei de Marcas Registradas de 1995 https://www.legislation.gov.au

A Lei de Patentes de 1990
A Lei de Direitos Autorais de 1968
Lei de Crimes Cibernéticos de 2001
Lei de direitos autorais, etc. e marcas registradas (ofensas e

execução) de 2002
Lei de Marcas Registradas de 1994 (TMA)
Lei de Uso Indevido de Computadores de 1990
O Regulamento de Redes e Sistemas de Informação 2018

Reino Unido https://www.legislation.gov.uk
Lei de Comunicações de 2003
A Política de Privacidade e Comunicações Eletrônicas (EC

Diretiva) Regulamentos de 2003
Lei de Poderes de Investigação de 2016
Regulamento da Lei de Poderes de Investigação de 2000
Lei de Direitos Autorais da República Popular da China

(Alterações em 27 de outubro de 2001)
China http://www.npc.gov.cn
Lei de Marcas Registradas da República Popular da China
(Alterações em 27 de outubro de 2001)
A Lei de Patentes (Emenda), 1999, Lei de Marcas Registradas,

http://www.ipindia.nic.in
Índia 1999, A Lei de Direitos Autorais, 1957
Lei de Tecnologia da Informação https://www.meity.gov.in
Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados,

Alemanha https://www.cybercrimelaw.net
Seção 303b. Sabotagem de Computador
Itália Artigo 615 ter do Código Penal https://www.cybercrimelaw.net
A Lei de Marcas (Lei nº 127 de 1957), Lei Comercial de Gestão de

Japão https://www.iip.or.jp
Direitos Autorais (4.2.2.3 de 2000)
Lei de Direitos Autorais (RSC, 1985, c. C-42), Lei de Marcas, Seção

Canadá https://laws-lois.justice.gc.ca
342.1 do Código Penal Canadense
Cingapura Lei de Uso Indevido de Computador https://sso.agc.gov.sg
Lei de Marcas Registradas 194 de 1993 http://www.cipc.co.za

África do Sul
Lei de Direitos Autorais de 1978 https://www.nlsa.ac.za
Lei de Direitos Autorais Nº 3916 https://www.copyright.or.kr

Coreia do Sul
Lei de Proteção de Desenho Industrial https://www.kipo.go.kr
Lei de Direitos Autorais, 30/06/1994 https://www.wipo.int

Bélgica
Hacking de computador https://www.cybercrimelaw.net
Modificação ou alteração não autorizada do sistema de

Brasil https://www.domstol.no
informação
Hong Kong Artigo 139 da Lei Básica https://www.basiclaw.gov.hk
Tabela 3.7: Legislação Cibernética em Diferentes Países

Fluxo do módulo
1 Discutir vários marcos regulatórios,

Leis e Atos
2 Aprenda a projetar e desenvolver segurança

Políticas

Aprenda a projetar e desenvolver políticas de segurança

As organizações precisam projetar e desenvolver políticas e procedimentos de segurança para garantir
disponibilidade, confidencialidade e integridade em toda a rede. Esta seção explica a necessidade de uma
política de segurança, suas características, conteúdo e tipos de políticas de segurança.

O que é Política de Segurança?
ÿ Uma política de segurança é um conjunto bem documentado de

planos, processos, procedimentos, padrões e diretrizes
necessários para estabelecer um status ideal de segurança da
informação de uma organização
ÿ As políticas de segurança são usadas para informar as pessoas sobre como trabalhar
de maneira segura; eles definem e orientam as ações dos funcionários sobre como
lidar com operações, dados ou recursos confidenciais da organização
ÿ A política de segurança é parte integrante de um programa de

gerenciamento de segurança da informação para qualquer organização
O que é Política de Segurança?
Uma política de segurança é um conjunto bem documentado de planos, processos, procedimentos, padrões e diretrizes
necessários para estabelecer um status ideal de segurança da informação de uma organização. As políticas de segurança
são usadas para informar as pessoas sobre como trabalhar de maneira segura; eles definem e orientam as ações dos
funcionários sobre como lidar com operações, dados ou recursos confidenciais da organização. A política de segurança é
parte integrante de um programa de gerenciamento de segurança da informação para qualquer organização
Política de segurança é um documento de alto nível, ou conjunto de documentos, que descreve os controles de segurança
a serem implementados para proteger uma empresa. Ele mantém a confidencialidade, disponibilidade, integridade e valores
de ativos. As políticas de segurança formam a base de uma infraestrutura de segurança. Sem eles, é impossível proteger a
empresa de possíveis ações judiciais, perda de receita e má publicidade ou até mesmo ataques básicos de segurança.
Essas políticas atingem três objetivos:
ÿ Reduzir ou eliminar a responsabilidade legal perante funcionários e terceiros;
ÿ Proteger informações confidenciais e proprietárias contra roubo, uso indevido,

divulgação ou modificação; e
ÿ Evitar o desperdício de recursos de computação.
Uma política de segurança compreende objetivos, regras de comportamento e requisitos para proteger a rede e os sistemas
de computador de uma organização. As políticas de segurança funcionam como um meio de conexão entre os objetivos e
os requisitos de segurança, bem como para ajudar usuários, funcionários e gerentes a proteger os ativos de tecnologia e
informação. A política fornece uma linha de base para adquirir, configurar e auditar sistemas e redes de computadores. Uma
política de segurança define um conjunto de ferramentas de segurança para prevenir ataques em toda a rede, a fim de
manter usuários mal-intencionados longe de uma organização e fornecer controle sobre usuários perigosos dentro de uma
organização.

Necessidade de uma política de segurança
Forneça aplicação consistente de princípios

de segurança em toda a organização Fornecer proteção legal
Responda rapidamente a incidentes

Garantir a conformidade com os
de segurança
padrões de segurança da informação
Limitar a exposição da organização a Reduza o impacto de um

ameaças de informações externas incidente de segurança
Descrever o compromisso da alta

Minimize o risco de um dado
administração em manter um ambiente
violação
seguro
Necessidade de uma política de segurança
ÿ O número de dispositivos usados em uma organização está aumentando, o que, por sua vez, aumenta o tamanho e a
complexidade das informações transferidas, das redes usadas e do espaço de armazenamento. Ao mesmo tempo, a
probabilidade de ameaças à segurança provenientes de várias vulnerabilidades está aumentando. Uma política de
segurança permite que uma organização combata essas ameaças e a proteja contra a perda de informações.
ÿ Uma política de segurança fornece aplicação consistente de princípios de segurança em toda a empresa para garantir o
funcionamento seguro dos serviços. Garante a conformidade com os padrões da indústria de segurança da informação,
construindo uma relação de confiança com os clientes. Ele ajuda a limitar a exposição de uma empresa a ameaças de
informações externas, ao mesmo tempo em que indica o compromisso da alta administração em manter um ambiente
seguro.
ÿ Além disso, a política de segurança fornece proteção legal definindo quais regras usar na rede, como lidar com informações
confidenciais e o uso adequado de criptografia, que juntos reduzem a responsabilidade e a exposição dos dados de uma
organização.
ÿ As políticas de segurança reduzem o risco de danos aos incidentes de segurança, identificando os

vulnerabilidades e prever as ameaças antes que elas ocorram.
ÿ Também compreendem procedimentos e técnicas para minimizar o risco de vazamento ou perda de dados de uma
organização, adotando opções de backup e recuperação.
ÿ Garantir o cumprimento dos padrões de segurança da informação.
ÿ Melhore a segurança geral dos dados e da rede.

Vantagens das Políticas de Segurança
Dados e rede aprimorados

Melhor desempenho de rede
Segurança
Resposta rápida a problemas e

Mitigação de riscos
Menor tempo de inatividade
Dispositivo Monitorado e Controlado Redução na Gestão

Uso e transferências de dados Níveis de estresse
Vantagens das Políticas de Segurança
ÿ Dados aprimorados e segurança de rede: as organizações implementam uma política baseada em

sua rede, o que aumenta a segurança de seus dados. Facilita a proteção ao compartilhar
informações entre outros sistemas em uma rede.
ÿ Mitigação de riscos: Os riscos envolvidos de fontes externas são reduzidos pela implementação e
implantação da política de segurança. Se um funcionário seguir exatamente a política, torna-se
quase impossível para uma organização perder seus dados e recursos.
ÿ Uso de dispositivos monitorados e controlados e transferências de dados: Embora as políticas

estejam sendo implementadas minuciosamente pelos funcionários, os administradores devem
monitorar regularmente o tráfego e os dispositivos externos usados no sistema. O monitoramento
e a auditoria do tráfego de entrada e saída sempre devem ser feitos em intervalos regulares.
ÿ Melhor desempenho da rede: quando as políticas de segurança são implementadas corretamente

e a rede é monitorada regularmente, não há cargas desnecessárias. A velocidade de transmissão
de dados no sistema aumenta, proporcionando um aprimoramento geral do desempenho.
ÿ Resposta rápida a problemas e menor tempo de inatividade: a implantação e a implementação

de políticas permitem taxas de resposta mais rápidas ao resolver problemas de rede.
ÿ Redução nos Níveis de Estresse da Gestão: O papel da gestão torna-se menos estressante
quando as políticas são implementadas. Cada política deve ser seguida por todos os funcionários
de uma organização. Se isso ocorrer, o gerenciamento será menos sobrecarregado por possíveis
ataques mal-intencionados na rede.
ÿ Custos Reduzidos: Se os funcionários seguirem as políticas corretamente, o custo de cada intrusão é

reduzido, bem como o impacto em uma organização.

Características de uma boa política de segurança
Conciso e claro Utilizável

Economicamente
Factível
Compreensível Realista Consistente
Processualmente Com base em normas

Conformidade legal
Tolerável e regulamentos
Características de uma boa política de segurança
Características de uma boa política de segurança:
1. Conciso e claro: Uma política de segurança precisa ser concisa e clara, o que garante fácil implantação na
infraestrutura. Políticas complexas tornam-se difíceis de entender e, como resultado, os funcionários podem não
implementá-las.
2. Utilizável: as políticas devem ser escritas e projetadas para que possam ser usadas facilmente em várias seções de
uma organização. Políticas bem escritas são fáceis de gerenciar e implementar.
3. Economicamente Viável: As organizações devem implementar políticas que sejam econômicas e aumentem a
segurança de uma organização.
4. Compreensível: as políticas devem ser fáceis de entender e seguir.
5. Realista: As políticas devem ser práticas baseadas na realidade. Usar itens fictícios em uma política só prejudicará
uma organização.
6. Consistente: As organizações devem ter consistência ao implementar suas políticas.
7. Tolerável processualmente: as políticas processuais devem ser amigáveis entre o empregador e o empregado.
8. Conformidade com leis, padrões, regras e regulamentos legais e cibernéticos: qualquer política implementada
deve cumprir todas as regras e regulamentos relativos às leis cibernéticas.

Elementos-chave da política de segurança
Breve e claro Exigível Suficiente

Em formação por lei Orientação
Claro Escopo definido e Reconhece Áreas de

Comunicação Aplicabilidade Responsabilidade
Elementos-chave da política de segurança
ÿ Comunicação Clara: A comunicação deve ser clara ao projetar uma política de segurança.
Uma falha de comunicação leva a resultados indesejáveis. Ao mesmo tempo, algumas políticas podem
ser inviáveis para usuários ou uma rede. Mantenha os canais de comunicação claros.
ÿ Informações Breves e Claras: Qualquer informação fornecida aos desenvolvedores sobre a criação da
política de rede deve ser clara e compreensível. Deixar de fazer isso prejudicaria as expectativas de
segurança da rede.
ÿ Escopo definido e aplicabilidade: O escopo identifica os itens que devem ser cobertos, ocultos,
protegidos ou públicos e como protegê-los. A política de rede aborda uma ampla gama de questões,
desde a segurança física até a pessoal.
ÿ Exigível por lei: A política de segurança deve ser aplicável por lei. Penalidades devem ser impostas em
caso de violação da política. As penalidades para uma violação devem ser abordadas quando a política
é criada.
ÿ Reconhece as áreas de responsabilidade: A política de rede deve reconhecer as responsabilidades

dos funcionários, da organização e de terceiros.
ÿ Orientação Suficiente: Uma boa política de rede deve ter referências adequadas a outras políticas; isso
ajuda a orientar e redefinir o escopo e os objetivos da política.

Conteúdo de uma Política de Segurança
ÿ Isso apresenta os requisitos de um sistema ao implementar políticas de segurança que

Requisitos de
incluem segurança de disciplina, segurança de salvaguarda, segurança processual e
segurança de alto nível
segurança de garantia
Descrição da política
ÿ Concentra-se nas disciplinas de segurança, salvaguardas, procedimentos, continuidade
com base no
das operações e documentação
requisito
Conceito de operação
ÿ Define os papéis, responsabilidades e funções de uma política de segurança
de segurança
Alocação de aplicação
ÿ Fornece uma alocação de arquitetura de sistema de computador para cada sistema em
de segurança para
elementos de arquitetura o programa
Conteúdo de uma Política de Segurança
Implementação da política de segurança
Existem quatro aspectos na implementação da política de segurança.
ÿ Requisitos de segurança de alto nível: apresenta os requisitos de um sistema ao implementar políticas de

segurança que incluem segurança de disciplina, segurança de proteção, segurança processual e segurança de
garantia. Os requisitos de segurança incluem todos os requisitos para um sistema implementar políticas de
segurança. Estes são ainda divididos em quatro tipos:
o Requisitos de segurança da disciplina: ações a serem tomadas para vários componentes que precisam ser
protegidos, como segurança de computadores, segurança de operações, segurança de rede, segurança de
pessoal e segurança física
o Proteger os requisitos de segurança: medidas de proteção necessárias, como medidas de proteção para
controle de acesso, proteção contra malware, auditoria, disponibilidade, confidencialidade, integridade,
criptografia, identificação e autenticação
o Requisitos de segurança processual: políticas de acesso, responsabilidade, continuidade de

operações e documentação
o Requisitos de Segurança de Garantia: Políticas utilizadas com o cumprimento de vários

normas, certificações e acreditações
ÿ Descrição da política com base no requisito: a descrição da política concentra-se principalmente nas disciplinas
de segurança, salvaguardas, procedimentos, continuidade das operações e documentação. Cada subconjunto
desta política descreve como os elementos da arquitetura do sistema reforçarão a segurança.

ÿ Conceito de Operação de Segurança: Este conceito define as funções, responsabilidades e funções

de uma política de segurança. Ele se concentra na missão, comunicações, criptografia, regras de
usuário e manutenção, gerenciamento de tempo ocioso, propriedade privada versus domínio público,
regras de software shareware e política de proteção contra vírus.
ÿ Alocação de Execução de Segurança para Elementos de Arquitetura: Esta política aloca

arquitetura do sistema de computador para cada sistema no programa.

Conteúdo Típico de Documento de Política

Controle de documento Definições
Localização do Documento Papéis e responsabilidades
Histórico de Revisão Público-alvo
Aprovações Declarações de política
Distribuição Sanções e Violações
Normas, políticas e
Documento histórico
Processos
Visão geral Informações de contato
Propósito Onde encontrar mais informação
Escopo Glossário/ Siglas
Conteúdo Típico de Documento de Política
A seguir estão as seções importantes da política:
ÿ Controle de Documentos é um procedimento para armazenar, modificar, gerenciar, distribuir e rastrear políticas
documentos.
ÿ Local do documento é o local onde o documento da apólice está armazenado.
ÿ Histórico de revisões permite visualizar o histórico de alterações feitas na política e por quem
essas mudanças foram feitas; também permite reverter para políticas anteriores.
ÿ O número da versão garante que todas as alterações/atualizações da política sejam rastreadas corretamente.
ÿ As aprovações garantem que as políticas sejam aprovadas da maneira correta do início ao

conclusão.
ÿ A distribuição garante que as políticas sejam transmitidas corretamente por toda parte.
ÿ O histórico do documento consiste em documentos com informações críticas sobre as políticas.
ÿ Visão geral de uma política de segurança fornece informações básicas sobre os problemas que o
política precisa abordar.
ÿ Objetivo é uma explicação detalhada de por que a política precisa ser enquadrada.
ÿ O escopo inclui informações sobre quem e o que a apólice cobre.
ÿ As definições definem os termos usados na apólice.
ÿ Funções e responsabilidades são definidas para os funcionários e gerenciamento.
ÿ O público- alvo consiste nos usuários e clientes para os quais a política é criada.

ÿ Políticas são declarações sobre cada aspecto da política.
ÿ Sanções e Violações definem os processos de permissão/negação que clientes e usuários devem seguir.
ÿ Padrões, políticas e processos relacionados consistem em um conjunto de padrões, políticas e processos

conectados ou associados às políticas usadas.
ÿ Informações de contato incluem informações sobre quem contatar em caso de sanção e/ou violação de uma
política.
ÿ Onde encontrar mais informações contém informações adicionais e fontes usadas para
criação das políticas.
ÿ Glossário/Acrônimos listam os diferentes termos e abreviações usados na política.

Tipos de Políticas de Segurança da Informação
Informações Corporativas Segurança Específica do Problema Específico do sistema

Política de Segurança (EISP) Política (ISSP) Política de Segurança (SSSP)
ÿ O EISP impulsiona o desempenho de uma organização ÿ ISSP direciona o público no ÿ SSSP direciona os usuários enquanto
escopo e fornece orientação para suas uso de sistemas baseados em configurar ou manter um sistema
políticas de segurança tecnologia com a ajuda de diretrizes
Exemplos de EISP: Exemplos de ISSP: Exemplos de SSSP:
ÿ Política de candidatura ÿ Políticas de acesso remoto e wireless ÿ Política DMZ
ÿ Rede e dispositivo de rede ÿ Política de criptografia

política de segurança ÿ Plano de resposta a incidentes
ÿ Políticas de Detecção de Intrusão
ÿ Política de backup e restauração ÿ Políticas de senha e prevenção
ÿ Política de segurança do sistema ÿ Políticas para dispositivos pessoais ÿ Política de controle de acesso
Tipos de Políticas de Segurança da Informação
Em uma organização, as políticas são cruciais para o planejamento, design e implantação da segurança da informação.
Essas políticas fornecem medidas para lidar com problemas e tecnologias que podem ajudar os usuários a atingir suas
metas de segurança. A política também explica como o software ou equipamento funciona em uma organização.
As empresas de tecnologia da informação implantam políticas de segurança como:
Política de Segurança da Informação Corporativa (EISP)
O EISP orienta o escopo de uma organização e fornece orientação para suas políticas de segurança. Essas políticas
apóiam as organizações oferecendo ideologia, propósito e métodos para criar um ambiente seguro para as empresas.
Ele estabelece um método para desenvolvimento, implementação e gerenciamento de programas de segurança. Essas
políticas também garantem que os requisitos propostos da estrutura de segurança da informação sejam atendidos.
Exemplos de EISP incluem política de aplicativo, política de segurança de rede e dispositivo de rede, auditoria de política
de segurança, política de backup e restauração, política de segurança do sistema e políticas para servidores.
Política de Segurança Específica de Emissão (ISSP)
O ISSP orienta o público sobre o uso de sistemas baseados em tecnologia com a ajuda de diretrizes.
Essas políticas abordam questões de segurança específicas em uma organização. O escopo e a aplicabilidade dessas
políticas de segurança dependem totalmente do tipo de problema e dos métodos usados por eles. Especifica as
tecnologias necessárias juntamente com medidas preventivas, como autorização de acesso do usuário, proteção da
privacidade e uso justo e responsável das tecnologias.
Exemplos de ISSP incluem acesso remoto e políticas sem fio, plano de resposta a incidentes, políticas de senha,
políticas para dispositivos pessoais, políticas de conta de usuário e políticas de uso da internet e da web.

Política de segurança específica do sistema (SSSP)
O SSSP direciona os usuários durante a configuração ou manutenção de um sistema. A implementação dessas políticas se
concentra na segurança geral de um determinado sistema em uma organização. Muitas vezes, uma organização desenvolve e
gerencia esse tipo de política, incluindo os procedimentos e padrões, para manutenção do sistema. As tecnologias usadas por uma
organização também devem ser incluídas nas políticas específicas do sistema. Ele aborda a implementação e configuração de
tecnologia e comportamento do usuário. Exemplos de SSSP incluem política DMZ, política de criptografia, política de uso aceitável,
políticas para computação em nuvem segura, políticas para detecção e prevenção de invasões e política de controle de acesso.

Políticas de acesso à Internet
Política Promíscua Política permissiva

ÿ Sem restrições na Internet/remoto ÿ Serviços/ataques perigosos conhecidos
Acesso bloqueados
ÿ Nada está bloqueado ÿ Apólice começa sem restrições ÿ Buracos
conhecidos tapados; perigos conhecidos parados
Política paranóica Política Prudente

ÿ Tudo é proibido ÿ Fornece segurança máxima ,
ÿ Sem conexão com a Internet ou uso muito limitado
permitindo perigos conhecidos, mas
da Internet ÿ Os usuários encontram maneiras de
necessários
ÿ Todos os serviços estão bloqueados
contornar restrições excessivamente severas
ÿ Serviços seguros/necessários são
ativados individualmente
Políticas de acesso à Internet
As políticas de acesso à Internet definem o uso restrito da Internet. É importante que os funcionários saibam quais
de suas ações são restritas ao acessar a Internet. A política de acesso à Internet ajuda a manter os funcionários
informados sobre a navegação aceitável. Uma política de Internet inclui diretrizes para uso permitido da Internet,
segurança do sistema, configuração de rede e serviço de TI.
Políticas de acesso à Internet divididas nas quatro categorias abaixo:
1. Política promíscua: Esta política não impõe nenhuma restrição ao uso de recursos do sistema. Por exemplo,
com uma política de Internet promíscua, não há restrição de acesso à Internet/remoto, nada é bloqueado.
Um usuário pode acessar qualquer site, baixar qualquer aplicativo e acessar um computador ou uma rede
a partir de um local remoto. Embora isso possa ser útil em negócios corporativos onde as pessoas viajam
ou trabalham em filiais e precisam acessar uma rede organizacional, também abre o computador para
ameaças como malware, vírus e cavalos de Tróia. Devido ao acesso gratuito à Internet, esse malware
pode vir na forma de anexos sem o conhecimento do usuário. Os defensores da rede devem estar
extremamente atentos ao escolher esse tipo de política.
2. Política permissiva: Esta política é totalmente aberta e apenas serviços/ataques ou comportamentos

perigosos conhecidos são bloqueados. Por exemplo, em uma política de Internet permissiva, a maior parte
do tráfego da Internet é aceita, exceto por vários serviços/ataques bem conhecidos e perigosos. Como
apenas ataques e exploits conhecidos são bloqueados, é impossível para os defensores da rede monitorar
os exploits atuais. Eles estão sempre se atualizando com novos ataques e explorações.

3. Política paranóica: Uma política paranóica proíbe tudo. Há uma restrição estrita em todos os
computadores da empresa, seja no uso do sistema ou da rede. Não há conexão com a Internet ou o
uso da Internet é severamente limitado. Os usuários geralmente tentam contornar essas restrições
severas.
4. Política prudente: Uma política prudente começa com todos os serviços bloqueados. O Network
Defender possibilita atendimentos seguros e necessários individualmente. Isso fornece segurança
máxima e registra todas as atividades, como atividades do sistema e da rede. De acordo com esta
política, serviços/procedimentos não essenciais que não possam ser seguros não são permitidos.

Política de senha
A política de senha fornece diretrizes para o uso de senhas fortes para os recursos de uma organização
05
Projeto
Considerações
Prática comum de
04 senha
Duração
03
da senha
Listas
02
negras de senhas
Complexidade
01 da senha
Comprimento e
formação da senha
Política de senha
Uma política de senha é um conjunto de regras para aumentar a segurança do sistema, incentivando os
usuários a empregar senhas fortes para acessar os recursos de uma organização e mantê-los seguros.
O objetivo da política é proteger os recursos de uma organização criando senhas protegidas robustas.
A declaração de política deve incluir uma prática padrão para criar uma senha robusta. Por exemplo, a
senha deve
ÿ Ter um comprimento entre 8 e 14 caracteres;
ÿ Inclua letras maiúsculas e minúsculas, dígitos numéricos e caracteres especiais;
ÿ Caracteres especiais (@, %, $, &, ou ;);
ÿ Seja sensível a maiúsculas, enquanto o nome de usuário ou ID de login pode não ser; e
ÿ Seja único ao alterar a senha antiga. Assim, em relação ao histórico de senhas,

as senhas não podem ser reutilizadas.
o Idade máxima da senha: 60 dias
o Idade mínima da senha: sem limite
Alguns dos componentes de uma política de senha incluem:
ÿ Comprimento e Formação da Senha
Esta política inclui o comprimento da senha. O comprimento da senha varia de acordo com a
organização. A formação de uma senha inclui:
o Um ou mais dígitos numéricos;
o Caracteres especiais como @, # e $;

o Use letras maiúsculas e minúsculas;
o Evite usar informações pessoais; e
o É proibido o uso do nome da empresa na senha.
ÿ Listas negras de senhas
Uma lista negra de senhas contém uma lista de palavras que são proibidas de usar como senhas devido à sua
familiaridade. Essas listas negras ajudam a impedir o uso de senhas comuns.
ÿ Duração da Senha
Essa política sugere que os usuários alterem suas senhas regularmente, geralmente a cada 90 ou 180 dias.
Alterar uma senha memorizada é difícil para o usuário, mas é necessário para evitar o roubo de senhas.
ÿ Práticas Comuns de Senha
A declaração de política de senha deve incluir orientação ou práticas recomendadas para criar, armazenar e
gerenciar senhas. Por exemplo, deve incluir diretrizes como
o Não compartilhe os detalhes da sua conta de usuário do computador.
o Não mantenha uma senha comum para todas as contas.
o Não compartilhe senhas.
o Nunca escreva a senha em qualquer lugar, em vez disso, lembre-se dela.
o Os funcionários não devem comunicar sua senha por e-mail, telefone ou mensagens instantâneas, mesmo
ao administrador.
o Não deixe a máquina sem vigilância. Sempre faça logoff ou bloqueie o sistema quando
deixando a mesa.
o Mantenha senhas diferentes para o sistema operacional e aplicativos usados com frequência.
A política de senha deve incluir um aviso de isenção de responsabilidade que informe todos os usuários sobre as
consequências de não seguir as diretrizes estabelecidas na política de senha. O aviso legal deve envolver todos os
funcionários, incluindo a alta administração. As isenções de responsabilidade podem incluir avisos verbais ou escritos ou
rescisão.

Fluxo do módulo
Discutir vários marcos regulatórios,

1 Leis e Atos
Aprenda a projetar e desenvolver segurança

2 Políticas

Aprenda a Conduzir Diferentes Tipos de Segurança e Conscientização

Treinamento
O treinamento de funcionários e usuários desempenha um papel importante na governança da segurança geral de

uma organização. Um funcionário ou usuário não treinado pode representar um risco considerável para uma organização.
Portanto, é importante conscientizá-los sobre as políticas de segurança e realizar outros programas de treinamento de
conscientização para manter a segurança da organização. Esta seção explica a importância de realizar treinamentos
de conscientização de segurança e os principais aspectos a serem abordados em diferentes tipos de treinamento.

Conscientização e Treinamento de Funcionários

ÿ Uma organização precisa fornecer treinamento formal de conscientização de segurança para seus funcionários quando eles
se juntam e periodicamente depois disso, para que os funcionários
Saber se defender e a organização contra ameaças

Siga as políticas e procedimentos de segurança para trabalhar com TI
Saiba quem contatar se descobrir uma ameaça à segurança
Pode identificar a natureza dos dados com base na classificação de dados
Proteja os ativos físicos e informacionais dessa organização
Site de conscientização de segurança
Treinamento em estilo de sala de aula

Fornecendo dicas
Diferentes
métodos para treinar
Treinamento on-line Fazendo curtas-metragens
funcionários são:
Mesas redondas Realização de seminários
Conscientização e Treinamento de Funcionários
Os funcionários são um dos principais ativos de uma organização e podem fazer parte da superfície de ataque de
uma organização. As ações de um funcionário, como negligência, erros, suscetibilidade à engenharia social ou
clicar em links de spam, podem levar a um ataque. Um treinamento de conscientização do funcionário iniciado
durante a orientação e depois periodicamente pode aumentar a proteção. O treinamento normalmente está
relacionado aos conhecimentos e atitudes dos funcionários encarregados da segurança dos ativos físicos e
informacionais.
ÿ Expertise para defender a si e a uma organização contra ameaças;
ÿ Seguir políticas e procedimentos de segurança para trabalhar com tecnologia da informação;
ÿ Saiba quem contatar se descobrir uma ameaça à segurança;
ÿ Deve ser capaz de identificar a natureza dos dados com base na classificação dos dados;
ÿ Proteger os ativos físicos e informacionais de uma organização quando os funcionários entrarem em contato
com eles - por exemplo, contato com segredos, questões de privacidade e informações classificadas;
ÿ Saber como lidar com informações críticas, como revisão de não divulgação de funcionários
acordos;
ÿ Conhecer os métodos adequados para proteger informações críticas em sistemas com senha
política e uso de autenticação de dois fatores;
ÿ Conheça as consequências de não proteger a informação, o que pode resultar em

perda de emprego; e

ÿ Uma organização deve fornecer treinamento de conscientização de segurança aos funcionários para atender aos
requisitos regulamentares se eles quiserem cumprir uma determinada estrutura regulamentar.
Os diferentes métodos para treinar funcionários incluem:
ÿ Formação em sala de aula ÿ Simulação de treinamento de funcionários
ÿ Formação online ÿ Treinamento prático
ÿ Mesas redondas ÿ Palestras
ÿ Site de sensibilização para a segurança ÿ Coaching/mentoring
ÿ Dar dicas ÿ Estudos de Caso
ÿ Realização de curtas-metragens ÿ Actividades específicas de gestão
ÿ Realização de seminários ÿ Discussões e atividades em grupo

Funcionário
Conscientização e O treinamento da política de segurança ensina os
funcionários a desempenhar suas funções e a cumprir
Treinamento:
a política de segurança
Política de segurança
As organizações devem treinar novos funcionários antes de
conceder acesso à rede ou fornecer acesso limitado até a
conclusão do treinamento
Vantagens
Implementação eficaz de uma As políticas são seguidas Cria consciência sobre Ajuda uma organização
política de segurança e não apenas aplicadas questões de conformidade a melhorar sua segurança de rede
Conscientização e Treinamento de Funcionários: Política de Segurança
O treinamento da política de segurança ensina os funcionários a desempenhar suas funções e a cumprir a política de
segurança. As organizações devem treinar novos funcionários antes de conceder-lhes acesso à rede ou fornecer acesso
limitado até a conclusão do treinamento.
O treinamento e os procedimentos da política de segurança são necessários para garantir a segurança e o gerenciamento
eficaz da rede.
ÿ O programa de treinamento de política de segurança ajuda os funcionários a reconhecer e responder

adequadamente às ameaças de segurança em tempo real. O treinamento ensina os funcionários a entender a
importância dos dados em seus dispositivos ou sistemas. Os funcionários se adaptam aos hábitos de
computação seguros.
ÿ O treinamento da política de segurança conscientiza os colaboradores sobre novas atualizações sobre prováveis
vulnerabilidades que podem ocorrer se não seguirem as políticas.
ÿ O treinamento e a conscientização sobre políticas de segurança ajudam a minimizar as violações de segurança

em uma organização. A identificação precoce de uma violação diminui o custo para uma organização.
ÿ A conscientização da política de segurança entre os usuários ajuda a notificá-los sobre novas políticas de
segurança por meio de documentação de política publicada e documentação de segurança descritiva para
usuários, por exemplo.
ÿ Funcionários que seguem a política de segurança reduzem a possibilidade de serem alvo de

possíveis multas ou ações legais.
ÿ Um programa de treinamento eficaz ajudará os funcionários a monitorar seu comportamento de computação e

informar suas preocupações de segurança à gerência. O treinamento aprimorará a conformidade geral com as
políticas e procedimentos de segurança da empresa.

Vantagens
ÿ Implementação eficaz de uma política de segurança
ÿ As políticas são seguidas e não apenas aplicadas
ÿ Cria conscientização sobre questões de conformidade
ÿ Ajuda uma organização a melhorar sua segurança de rede

Conscientização e Treinamento de Funcionários: Segurança Física
Treinamento adequado deve ser dado para educar os funcionários sobre segurança física
O treinamento aumenta o conhecimento e a conscientização sobre

segurança física
O treinamento deve educar os funcionários sobre como:
Minimizar violações
Identifique os elementos mais propensos a roubo de hardware
Avalie os riscos ao lidar com dados confidenciais
Garantir a segurança física no local de trabalho
Conscientização e Treinamento de Funcionários: Segurança Física
Pessoal bem treinado e qualificado pode minimizar o risco de uma ameaça à segurança física em grande medida. Uma
organização deve fornecer treinamento adequado de conscientização sobre segurança física a todos os seus
funcionários. O treinamento aumenta o conhecimento e a conscientização sobre segurança física. O treinamento deve
educar os funcionários sobre como:
ÿ Minimizar infrações
ÿ Identificar os elementos mais propensos ao roubo de hardware
ÿ Avaliar os riscos ao lidar com dados sensíveis
ÿ Garantir a segurança física no local de trabalho
O programa de treinamento ou conscientização deve
ÿ Fornecer métodos para reduzir os ataques;
ÿ Examine todos os dispositivos e as chances de um ataque de dados;
ÿ Ensinar os riscos de portar informações sigilosas;
ÿ Ensinar a importância de ter pessoal de segurança;
ÿ Informar os colaboradores sobre a quem devem reportar atividades suspeitas;
ÿ Ensinar o que fazer quando os funcionários deixarem os sistemas e locais de trabalho sem vigilância; e
ÿ Ensinar os procedimentos de descarte para descarte de documentos críticos em papel e armazenamento

meios de comunicação.

Conscientização dos Funcionários e

Formação: Engenharia Social
Treine o funcionário em possíveis técnicas de
engenharia social e como combatê - las
Mas devo explicar a você como toda essa ideia equivocada de
denunciando o prazer e elogiando a dor nasceu Áreas

Técnicas de Ataque Treine o funcionário/Help Desk em:
de Risco conta do sistema, alguma vantagem nisso?
• Não fornecer nenhuma informação confidencial, caso isso
Telefone Representação tenha ocorrido
• Não jogar documentos confidenciais no lixo
lixeiras Mergulhar na lixeira • Destruição do documento antes de colocá-lo no lixo
• Apagar dados magnéticos antes de colocá-los no lixo
• Diferenciar entre e-mail legítimo e um

Phishing, anexo e-mail de phishing direcionado
E-mail
malicioso
• Não baixar anexo malicioso
Conscientização e Treinamento de Funcionários: Engenharia Social
Um simples treinamento de conscientização em engenharia social pode ser econômico. É útil para lembrar os
funcionários sobre as políticas de uma organização, o que pode ajudar os funcionários a reconhecer e prevenir ataques
de engenharia social. Os funcionários devem ser treinados em possíveis técnicas de engenharia social e como
combater as técnicas de engenharia social.
Áreas de Risco Técnicas de Ataque Treine o funcionário/Help Desk em:
ÿ Não fornecer qualquer informação confidencial,

Telefone Representação
se isso ocorreu
ÿ Não deitar documentos sensíveis no

lixo
ÿ Triturar documento antes de o colocar no lixo
lixeiras Mergulhar na lixeira
ÿ Apagar dados magnéticos antes de colocar

no lixo
ÿ Diferenciar entre e-mail legítimo e um e-mail

Phishing, anexo
E-mail de phishing direcionado ÿ Não baixar
malicioso
anexo malicioso
Tabela 3.8: Conscientização e treinamento de ataque de engenharia social

Algumas das técnicas de engenharia social das quais os funcionários devem estar cientes incluem:
ÿ Engenharia social física (cauda-gaiting, piggy-backing);
ÿ Alteração de senhas (atacante se faz passar por autoridade e pede para alterar o nome de usuário
e senha);
ÿ Name-drop (usando o nome da autoridade superior para obter acesso a algo);
ÿ Conversa descontraída (tentando criar um relacionamento com o funcionário); e
ÿ Nova contratação (o invasor se apresenta como um novo funcionário para fazer um tour pelo escritório).

Treinamento e Conscientização de Funcionários: Classificação de Dados
ÿ A organização deve treinar os funcionários sobre como saber se a informação é confidencial
Áreas de Risco Técnicas de Ataque Treine o funcionário/Help Desk em

Como classificar e marcar níveis de classificação baseados em documentos e manter documentos
Escritório Roubar informações confidenciais
confidenciais em local seguro
Típica
Ultrassecreto (TS) Segredo Confidencial
Em formação
níveis de
classificação :
Restrito Não classificado
ÿ Rótulos de segurança são usados para marcar os requisitos de nível de segurança para os ativos de informação e controlar o acesso a eles
ÿ As organizações usam etiquetas de segurança para gerenciar a liberação de acesso aos seus ativos de informação
Treinamento e Conscientização de Funcionários: Classificação de Dados
A organização deve treinar os funcionários sobre como saber se as informações são confidenciais. Os rótulos de
segurança são usados para marcar os requisitos de nível de segurança para os ativos de informação e controlar o
acesso a eles. As organizações usam rótulos de segurança para gerenciar a liberação de acesso a seus ativos de informação.
As etiquetas de segurança são usadas para restringir o acesso a informações em áreas de alta e baixa segurança como
parte das decisões obrigatórias de controle de acesso. Isso permite fácil compreensão para usuários com e sem
permissão de acesso e fácil liberação de um grande grupo de usuários. Define a sensibilidade dos dados ou do objeto e
as autorizações necessárias para acessar o objeto ou dados.
Ele fornece uma lista de usuários que podem acessar o documento ou o dispositivo e permite que o usuário entenda os
documentos que podem acessar.
Áreas de Risco Técnicas de Ataque Treine o funcionário/Help Desk em
Roubar informações Como classificar e marcar níveis de classificação baseados em documentos e manter
Escritório
confidenciais documentos confidenciais em local seguro
Tabela 3.9: Treinamento e conscientização sobre classificação de dados
Os rótulos de segurança são categorizados em diferentes tipos com base em quem pode acessar os dados ou objetos.
ÿ Não classificado: Nenhuma permissão de acesso é necessária para acessar documentos não classificados.
Qualquer pessoa em qualquer nível pode acessar esses documentos.
ÿ Restrito: Apenas algumas pessoas podem acessar os dados ou objeto. Os dados confidenciais podem ser
restritos para uso em uma organização por causa de seus problemas técnicos, comerciais e pessoais.

ÿ Confidencial: dados ou objetos confidenciais expostos podem levar a problemas financeiros ou legais em uma
organização. Os documentos podem ser altamente confidenciais ou apenas confidenciais. Revelar esses
dados, sejam eles confidenciais ou altamente confidenciais, levará à perda de informações críticas.
ÿ Segredo: Usuários autorizados a acessar arquivos secretos podem acessar dados secretos, confidenciais,
restritos e não classificados. Os usuários não podem acessar documentos ou objetos rotulados como
ultrassecretos, pois requer um nível de autorização mais alto.
ÿ Ultrassecreto: os usuários que acessam documentos ultrassecretos podem acessar ultrassecretos, secretos,
dados confidenciais, restritos e não classificados.

Resumo do Módulo
Este módulo discutiu várias estruturas regulatórias, leis e atos
Discutiu a importância e necessidade de uma política de segurança junto com suas

características e vantagens
Também discutiu vários tipos de políticas de segurança
Finalmente, este módulo terminou com uma visão geral sobre diferentes tipos de
treinamento de segurança e conscientização
No próximo módulo, discutiremos detalhadamente os controles de segurança de

rede física
Resumo do Módulo
Este módulo discutiu vários marcos regulatórios, leis e atos. A seguir, discutiu-se a importância e a necessidade
de uma política de segurança, suas características e vantagens. Ele também explicou vários tipos de políticas de
segurança. Finalmente, este módulo apresentou uma visão geral sobre os diferentes tipos de treinamento de
segurança e conscientização.
No próximo módulo, discutiremos detalhadamente os controles físicos de segurança da rede.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 04
Controles de Segurança de Rede - Controles
Físicos

Controles de Segurança de Rede - Controles Físicos
1 Compreendendo a importância da segurança física
2 Compreendendo os vetores de ataque à segurança física
Compreendendo os vários tipos de segurança física

3 Controles
4 Compreendendo a importância da segurança no local de trabalho
5 Visão geral da política de segurança física
6 Compreendendo os vários controles ambientais
A segurança física desempenha um papel importante em todas as organizações. Envolve a proteção de informações
críticas, infraestrutura de rede, equipamentos e dispositivos físicos, instalações, pessoal, etc. contra desastres ambientais,
terrorismo, vandalismo e roubo. A segurança física está se tornando uma tarefa desafiadora com o aumento do uso de
dispositivos como unidades USB, laptops, smartphones e tablets, porque agentes mal-intencionados podem facilmente
obter acesso físico a esses dispositivos e roubar dados confidenciais. Este módulo explica a importância da segurança
física, vários controles de segurança física, importância da segurança no local de trabalho e vários controles ambientais.
Ao final deste módulo, você será capaz de:
ÿ Compreender a importância da segurança física
ÿ Compreender os vetores de ataque à segurança física
ÿ Descrever os vários tipos de controles de segurança física
ÿ Explicar a importância da segurança no local de trabalho
ÿ Compreender a política de segurança física
ÿ Compreender os diversos controles ambientais

Fluxo do módulo
Entenda a importância da Descrever local de trabalho

1 segurança física 3 Segurança
Discutir vários exercícios físicos

2 Controles de segurança 4
Descrever vários
Controles Ambientais
Entenda a importância da segurança física

Proteger fisicamente sistemas e redes é a principal prioridade da segurança de rede. Esta seção
explica a importância da segurança física nas organizações.

Necessidade de segurança física

A camada física da sua rede não está
protegida por firewalls tradicionais
Um acesso físico não autorizado bem-sucedido pode levar a
roubo, dano ou modificação dos sistemas de informação Camada de Aplicação 7
Apresentação Camada 6
Sessão Camada 5
Uma violação de segurança física pode afetar diretamente a Tradicional
confidencialidade, integridade e disponibilidade de informações e sistemas Firewall
Camada de Transporte 4
Camada de Rede 3
A segurança física é a base de qualquer programa de Camada de Enlace de Dados 2

segurança da informação em uma organização. Trata
de restringir o acesso físico não autorizado à
infraestrutura, escritórios , estações de trabalho e funcionários da organização Camada Física 1
As 7 Camadas do OSI
Necessidade de segurança física
Embora os ataques cibernéticos estejam se tornando cada vez mais complexos, os invasores continuam
a usar várias técnicas para comprometer a segurança física de uma organização. No entanto, as
organizações estão cada vez mais focadas no fortalecimento de sua segurança de TI, que ofusca a segurança física.
A segurança física é o aspecto mais negligenciado da segurança, e esse fato foi levado ao conhecimento
de muitas organizações nos últimos cinco anos. Sabendo disso, os invasores estão se aproveitando das
brechas para comprometer a segurança física das organizações. De acordo com dados coletados pelo
Portal de Violação do Departamento de Saúde e Serviços Humanos dos EUA, as brechas de segurança
física estão entre os incidentes de segurança que ocorrem com mais frequência nas organizações.
De acordo com as descobertas do quinto relatório anual do Horizon Business Continuity Institute (BCI), a
segurança física é agora percebida como uma preocupação crescente para os profissionais de continuidade
de negócios. De acordo com este relatório, um certo grau de preocupação foi expresso com relação à
possibilidade de um ato de terrorismo e um incidente de segurança, como vandalismo, roubo ou fraude,
interromper a organização em algum momento.
As violações de segurança física são muito diferentes de outras violações de segurança. Eles podem ser
realizados com pouco ou nenhum conhecimento técnico. As preocupações com a segurança física surgem
porque as medidas de segurança convencionais, como firewalls e IDSs, não garantem a segurança física.
A implantação de um firewall em vários níveis garante a segurança contra diferentes tipos de ataques,
mas não garante a segurança física da organização. Um firewall convencional não está totalmente
relacionado à segurança física, pois funciona acima da camada física do modelo OSI. Assim, os firewalls
convencionais não protegem a camada física de uma rede.
Uma tentativa bem-sucedida de acesso físico não autorizado pode levar ao roubo, dano ou modificação
dos sistemas de informação. Uma violação de segurança física pode afetar diretamente a confidencialidade,
integridade e disponibilidade de informações e sistemas. Portanto, física

a segurança forma a base de qualquer programa de segurança da informação em uma organização. Implica restringir
o acesso físico não autorizado à infraestrutura, instalações de escritório, estações de trabalho e funcionários da
organização.
Figura 4.1: Camadas OSI e segurança física
A segurança física não pode ser garantida da mesma maneira que a segurança de rede, aplicativo ou banco de
dados, e medidas de segurança separadas são necessárias para a segurança física. A segurança física deve ser
implementada na camada física do modelo OSI.
Uma camada física inclui o seguinte:
ÿ Todos os sistemas de cabeamento e rede
ÿ Acesso físico a cabos e sistemas
ÿ Suporte de energia para cabos e sistemas
ÿ Ambiente de suporte aos sistemas

Vetores de ataque de segurança física
Ameaças Naturais/Ambientais Ameaças feitas pelo homem
ÿ Enchentes ÿ Vandalismo
ÿ Incêndios ÿ Perda do dispositivo
ÿ Terremotos ÿ Danos de dispositivos físicos
ÿ Raios e trovões ÿ Roubo
ÿ Temperatura e umidade ÿ Terrorismo
ÿ Engenharia social
ÿ Acesso não autorizado a sistemas
Vetores de ataque de segurança física
As organizações correm o risco dos seguintes tipos de ameaças à segurança física.
Ameaças Naturais/Ambientais
ÿ Inundações: As inundações geralmente ocorrem devido a fortes chuvas ou ao derretimento do gelo. As

inundações podem afetar sistemas elétricos e salas de servidores em uma organização. As salas de servidores
localizadas no porão têm maior chance de serem afetadas por inundações.
ÿ Incêndios: Os incêndios ocorrem principalmente devido a curtos-circuitos ou materiais de construção ruins. Eles
podem afetar as instalações operacionais e as salas de informática de uma organização. Os incêndios podem
danificar o hardware, o sistema de cabeamento e outros componentes importantes.
ÿ Terremotos: Um terremoto é a liberação repentina de energia armazenada na crosta terrestre que cria ondas
sísmicas. Ele interrompe a infraestrutura física de uma organização. Ele danifica computadores e outros
dispositivos de hardware e documentos nas áreas sensíveis dentro de uma organização. Além disso, pode
afetar a segurança ou proteção da organização.
Os terremotos afetam principalmente o cabeamento, o sistema de fiação e o próprio edifício físico.
Qualquer dano ao sistema de cabeamento afeta o funcionamento dos sistemas de computador.
ÿ Relâmpagos e trovões: Relâmpagos e trovões ocorrem devido a mudanças ambientais.

Exige o desligamento de todas as atividades ao ar livre. Raios e trovões levam a flutuações de energia e
tensão que, por sua vez, afetam o funcionamento dos sistemas. Em particular, pode afetar os chips de memória
e outros componentes de hardware de um sistema. Isso pode levar a um curto-circuito no cabeamento e em
outros sistemas de fiação se eles não forem cobertos adequadamente. O sistema de informação pode parar
de funcionar com um raio. Os raios podem danificar todos os aparelhos elétricos e eletrônicos e levar à perda
de todas as informações confidenciais.

ÿ Temperatura e umidade: Os sistemas de computador operam em uma determinada faixa de temperaturas;

caso contrário, eles funcionam de maneira inadequada. Os sistemas de computador não funcionam bem em
áreas quentes e podem ser danificados se a temperatura aumentar ou diminuir em quantidades extremas.
Embora todo computador tenha sistemas de resfriamento, o desempenho de um computador ainda depende
das condições de temperatura externas.
Além disso, os aparelhos elétricos e eletrônicos de uma organização podem ser afetados por uma mudança
na umidade. Uma alta umidade leva a problemas como corrosão e curtos-circuitos e danifica fitas magnéticas
e mídias de armazenamento óptico. Uma baixa umidade afeta os dispositivos eletrônicos principalmente
através de descarga elétrica.
Ameaças feitas pelo homem
A ameaça mais significativa aos componentes físicos e à rede são os erros cometidos pelo homem, tanto intencionais
quanto não intencionais. Existe uma ampla gama de tais possibilidades, incluindo hackers/crackers, roubo, incêndio e
erro humano. Alguns exemplos de erro humano que podem levar a ameaças feitas pelo homem são o pressionamento
não intencional de um botão incorreto e a desconexão do dispositivo errado. Ameaças típicas feitas pelo homem
incluem erros mecânicos, distúrbios elétricos, poluição, interferência de radiofrequência e explosão.
ÿ Vandalismo: Funcionários descontentes ou ex-funcionários podem tentar comprometer um sistema quebrando

ou danificando voluntariamente os componentes do sistema. Durante uma agitação civil ou um desastre, há
uma chance de os sistemas serem maltratados.
ÿ Perda do dispositivo: o acesso não autorizado pode levar à perda de informações importantes e
dispositivos. O roubo de dispositivos é uma preocupação se os dispositivos não estiverem devidamente protegidos.
ÿ Danos a dispositivos físicos: atividades inadequadas de manutenção de dispositivos, como manuseio

inadequado de um dispositivo ou informações, falha na substituição de dispositivos danificados e cabeamento
inadequado, podem danificar os dispositivos físicos em grande medida.
ÿ Roubo: A falta de segurança e travas adequadas pode resultar em roubo do equipamento.
ÿ Terrorismo: As atividades terroristas, como a colocação de um veículo-bomba, bomba humana ou bomba postal
dentro e ao redor das instalações da organização, afetam a segurança física em muitos
maneiras.
ÿ Engenharia social : A engenharia social é definida como um ato ilegal de aquisição de informações pessoais de
pessoas. Um invasor pode obter acesso físico não autorizado realizando engenharia social nos funcionários
de uma organização.
ÿ Acesso não autorizado a sistemas: usuários internos e externos podem tentar obter
acesso não autorizado a um sistema ou informações sobre a organização.

Fluxo do módulo


Descrever vários
Discutir vários controles de segurança física

Esta seção explica vários controles de segurança física que podem ser usados nas organizações.

Tipos de controles de segurança física

Preventiva ÿ Prevenir violações de segurança e aplicar vários mecanismos de controle de acesso ÿ
Controles Exemplos incluem trava de porta, guarda de segurança e outras medidas
Detetive ÿ Detecte violações de segurança e registre qualquer tentativa de

Controles invasão ÿ Exemplos incluem detectores de movimento, sistemas de alarme e sensores, vigilância por vídeo e outros métodos
eles dissuadem ÿ Usado para desencorajar invasores e enviar mensagens de aviso aos invasores para desencorajar tentativas de invasão ÿ
Controles Exemplos incluem vários tipos de sinais de aviso
ÿ Usado para recuperar de violação de segurança e restaurar informações e sistemas para um estado persistente ÿ
Recuperação
Controles Exemplos incluem recuperação de desastres, planos de continuidade de negócios, sistemas de backup e outros processos
ÿ Usado como um controle alternativo quando os controles pretendidos falharam ou não podem ser usados
compensando
Controles ÿ Os exemplos incluem hotsites, sistemas de energia de backup e outros meios
Tipos de controles de segurança física
Os controles de segurança física são categorizados com base em sua funcionalidade e no plano de aplicação. Com base em sua
funcionalidade, os tipos de controle de segurança física incluem o seguinte.
ÿ Controles Preventivos
Esses controles evitam violações de segurança e reforçam vários mecanismos de controle de acesso. Os controles
preventivos podem ser físicos, administrativos ou técnicos.
Exemplos incluem fechaduras de portas e guardas de segurança.
ÿ Controles Detetives
Esses controles detectam violações de segurança e registram qualquer tentativa de invasão. Eles agem quando os
controles preventivos falham. Os exemplos incluem detectores de movimento, sistemas de alarme e sensores e
vigilância por vídeo.
ÿ Comandos de Dissuasão
Esses controles podem não impedir o acesso diretamente. Eles são usados para desencorajar invasores e enviar
mensagens de aviso a eles para desencorajar uma tentativa de invasão. Os exemplos incluem vários tipos de sinais
de alerta.
ÿ Controles de Recuperação
Esses controles são usados em situações graves para se recuperar de violações de segurança e restaurar informações
e sistemas para um estado persistente. Os exemplos incluem recuperação de desastres, planos de continuidade de
negócios e sistemas de backup.

ÿ Controles de Compensação
Esses controles são usados como alternativas quando os controles primários falham ou não podem
ser usados. Eles não impedem nenhuma tentativa de ataque, mas tentam a restauração usando
técnicas como a restauração de um backup. Os exemplos incluem hotsites e sistemas de energia de backup.
Com base no plano de aplicação, os tipos de controles de segurança incluem o seguinte.
ÿ Controles de segurança física, como portas, instalações seguras, extintores de incêndio e inundações
proteção
ÿ Controles administrativos de segurança, como políticas, procedimentos e diretrizes da organização para

fornecer segurança da informação
ÿ Controles técnicos de segurança, como IDSes/IPSes, firewalls e sistemas de autenticação

Considerações de localização
1 Visibilidade dos ativos
2 Edifícios vizinhos
3 Considerações locais
4 Impacto de eventos catastróficos
5 riscos de locação conjunta
Considerações de localização
As organizações devem considerar vários fatores que podem afetar a segurança física antes de planejar a compra ou
aluguel de um edifício. Os fatores a serem considerados podem incluir a localização da instalação, edifícios vizinhos,
riscos de locação conjunta, fornecimento de energia e água, sistemas de esgoto, proximidade de estradas públicas e
privadas, transporte, suporte de emergência, quartéis de bombeiros, hospitais, aeroportos, crime local ou taxa de
tumultos , e incidentes de segurança anteriores na área circundante. O local não deve ser propenso a desastres naturais,
como inundações, tornados, terremotos, furacões, neve ou chuva excessiva, deslizamentos de terra e incêndios.

Considerações de arquitetura do site
ÿ Identificar quais são as infraestruturas críticas
ÿ Tenha um local separado para o servidor e a sala de armazenamento
ÿ Identificar quais medidas de segurança são necessárias para esses sistemas
ÿ Ter saídas de emergência
ÿ Faça planos para gerenciar riscos ambientais
ÿ Definir quem será o responsável pela gestão desses sistemas
ÿ Estabelecer procedimentos explicando como devem ser protegidos
ÿ Use um sistema de saneamento adequado , como bueiros, esgotos, etc.
ÿ Manter o estacionamento afastado do edifício principal
Considerações de arquitetura do site
Depois de obter informações adequadas sobre a localização da instalação, o planejamento e o projeto da infraestrutura e
arquitetura interna devem ser executados. Ao planejar e projetar a arquitetura do local, uma organização deve preparar
uma lista de todos os seus ativos na instalação.
A organização deve considerar os seguintes pontos ao projetar a infraestrutura e a arquitetura.
ÿ Decidir o número de entradas necessárias para o edifício, incluindo a entrada principal,

escada, estacionamento, elevador, corredor e área de recepção.
ÿ Encontre as instalações vizinhas ao redor do local do site e verifique a arquitetura interna e externa delas. Fale
com os supervisores ou proprietários dos edifícios para obter informações adicionais sobre os arredores.
ÿ Analisar os ativos que podem ser afetados por falhas catastróficas, bem como a visibilidade
de bens a estranhos.
ÿ Considerar o fator de locação conjunta; se a instalação for compartilhada com outras empresas, considere seu
impacto nas informações confidenciais e nos ativos críticos da organização.
ÿ Identificar a infraestrutura crítica necessária para gerenciar a segurança física, armazenar dados confidenciais e
executar operações de negócios com eficácia.
ÿ Garanta um local separado para o servidor e a sala de armazenamento.
ÿ Identificar quais medidas de segurança são necessárias para esses sistemas.
ÿ Implementar saídas de emergência.
ÿ Fazer planos para gerenciar riscos ambientais.

ÿ Definir quem será o responsável pela gestão desses sistemas.
ÿ Estabelecer procedimentos explicando como devem ser protegidos.
ÿ Use um sistema de saneamento adequado, incluindo bueiros e esgotos.
ÿ Manter o estacionamento afastado do edifício principal.
Esses sistemas de infraestrutura crítica podem não usar TI padrão para segurança, desempenho e confiabilidade,
mas são essenciais para as operações de negócios. Uma implementação imprópria ou defeituosa de certas medidas
físicas, como eletricidade, backup, instalações de armazenamento, iluminação, fiação e sistemas de refrigeração,
pode ser crítica para as operações comerciais da organização.

Sistemas de Combate a Incêndio

Tipos de Sistemas de Combate a Incêndio
Proteção ativa contra incêndio (manual ou automática) Proteção passiva contra incêndio (consideração estrutural)
ÿ Uso de materiais de construção resistentes ao fogo

ÿ Detecção de incêndio
ÿ Compartimentação do edifício global
• Detectores de fumaça, chama e calor
ÿ Saídas de emergência
ÿ Supressão de incêndio
ÿ Minimizar fontes inflamáveis
• Extintor de incêndio
ÿ Manutenção de sistemas de combate a incêndio
• Sistema de tubo vertical
ÿ Procedimentos de emergência
• Sistemas de aspersão
ÿ Educar os ocupantes
supressor
Incêndio
Fonte de fogo
Aula
Água Espuma Químico Seco Químico Úmido Agentes Limpos e Químicos Especiais de CO2
A Combustíveis sólidos comuns Y Y Y Y
B Líquidos e gases inflamáveis Y Y Y

Nome aqui Nome aqui
C Equipamento elétrico Y Y
D metais combustíveis Y Y
k Óleos e gorduras Y Y
Sistemas de Combate a Incêndio
O incêndio é um incidente que pode ocorrer com ou sem aviso e geralmente é atribuído a erros causados pelo homem, curtos-
circuitos e equipamentos defeituosos ou defeituosos. A proteção contra incêndio é um aspecto importante da segurança física.
Os sistemas de combate a incêndios detectam principalmente incidentes de incêndio e alertam os ocupantes sobre eles. Os
incidentes de incêndio podem ser identificados manual ou automaticamente.
Os tipos de sistemas de combate a incêndios incluem o seguinte.
Proteção ativa contra incêndio
A proteção ativa contra incêndio alerta os ocupantes de uma organização sobre um incidente de incêndio. Este tipo de sistema
de proteção contra incêndio é geralmente usado em locais comerciais, indústrias de processo e armazéns para proteger
recipientes de armazenamento, plantas de processamento, etc. quanto possível, facilitando assim a liberação dos ocupantes
em uma organização. O sistema requer um certo número de ações para lidar com incidentes de incêndio. Essas ações podem
ser executadas manualmente ou automaticamente.
Certos sistemas de incêndio ativos incluem sprinklers de água, sistemas de alarme de incêndio/fumaça, sistemas de spray e
extintores de incêndio. Os alarmes de incêndio/fumaça indicam a presença de qualquer incêndio ou fumaça no edifício. Os
aspersores de água reduzem a propagação do fogo e os extintores de incêndio ajudam a extinguir o fogo.
Os sprinklers de água se enquadram na categoria de sistemas automáticos de proteção contra incêndio, enquanto os
extintores de incêndio e os fontanários se enquadram na categoria de sistemas manuais de proteção contra incêndio.
Os sistemas de proteção ativa contra incêndio incluem o seguinte.
ÿ Sistema de detecção de incêndio: Um sistema de detecção de incêndio ajuda a detectar um incidente de incêndio
antes de permitir que o fogo se espalhe.

Os sistemas automáticos de detecção de incêndio incluem os seguintes componentes.
o Detectores de fumaça : Os detectores de fumaça geralmente detectam fumaça e enviam alertas sobre a suspeita de incêndio
em uma organização. Após a detecção de fumaça, os detectores enviam um alarme para o painel de controle de alarme de
incêndio ou geram um alarme audiovisual.
o Detectores de chamas : Os detectores de chamas detectam principalmente chamas em um incidente de incêndio. Os detectores
de chamas normalmente incluem sensores que detectam chamas. O funcionamento de um detector de chamas é o seguinte:
• Um alarme é gerado na detecção de chama de incêndio.
• O fornecimento de gás é cortado através da linha de combustível.
• O sistema de supressão de incêndio é ativado.
Os detectores de chamas funcionam com mais eficiência e rapidez do que os detectores de fumaça e detectores de calor.
o Detectores de calor : Detectores de calor são usados para detectar e responder à energia térmica gerada por incidentes de
incêndio. Os detectores de calor são ainda classificados em detectores de calor de temperatura fixa e detectores de calor
de taxa de aumento.
ÿ Supressão de incêndio: Um sistema de supressão de incêndio é usado para extinguir o fogo sem muita intervenção humana. Os
sistemas de supressão de incêndio regulam a destruição e a perda de dispositivos.
Podem ser classificados em manuais e automáticos. Os sistemas de supressão de incêndio comumente usados incluem o
seguinte.
o Extintor de incêndio: Os extintores de incêndio visam extinguir incêndios na fase inicial. Eles não são úteis no caso de um
incêndio que cobre uma grande área. Um extintor de incêndio normalmente consiste em um agente que é descarregado
dentro de um recipiente cilíndrico. Os sistemas de extintores de incêndio precisam ser verificados com frequência para
garantir que funcionem corretamente em caso de incêndio.
Os extintores de incêndio são geralmente inspecionados anualmente ou semestralmente por profissionais treinados.
Eles também podem ser recarregados.
Produtos químicos secos, água, produtos químicos úmidos, aditivos de água, agentes limpos e dióxido de carbono são
usados como agentes em sistemas de extintores de incêndio. A tabela abaixo fornece detalhes para selecionar o extintor
adequado com base em vários tipos de fontes de incêndio.
supressor
Incêndio
Limpar \ limpo
Fonte de fogo Molhado
Aula Seco Especial
espuma de água Agentes
Químico Químico Produtos químicos
e CO2
Combustíveis
UMA Y Y Y Y
sólidos comuns
Líquidos
B inflamáveis e Y Y Y
gases

Equipamento
C Y Y
elétrico
Combustível
D Y Y
metais
k Óleos e gorduras Y Y
Tabela 4.1: Classificação dos extintores de incêndio
o Sistema de tubo vertical: Os sistemas de tubo vertical conectam as mangueiras ao abastecimento de água. Eles
fornecem um sistema de água pré-encanada para organizações, bem como abastecimento de água para
mangueiras em determinados locais. Os três tipos de sistemas de tubo vertical são Classe I – A, Classe II – A
e Classe III – A. Esses tipos diferem em termos da espessura das linhas de mangueira usadas e do volume de
água usado para supressão de incêndio.
o Sistema de sprinklers: Os sistemas de sprinklers contra incêndio mantêm um sistema de abastecimento de água
para fornecer água a um sistema de tubulação de distribuição de água que controla os sprinklers. Os sprinklers
são usados para evitar perdas de vidas humanas e bens. Estes são usados principalmente em áreas que os
bombeiros não podem alcançar com suas mangueiras.
Proteção passiva contra incêndio
Os sistemas passivos de proteção contra incêndio são usados para evitar que o fogo se espalhe ainda mais pela organização.
Portas, janelas e paredes resistentes ao fogo podem ser usadas para proteção passiva contra incêndio. Facilita a proteção
dos ocupantes do edifício e reduz a taxa de danos devido ao incêndio. Os sistemas passivos de proteção contra incêndio não
precisam ser ativados por outros sistemas e nenhuma assistência operacional é necessária na implementação de sistemas
passivos de proteção contra incêndio.
ÿ A proteção passiva contra incêndio é implementada das seguintes maneiras:
o Uso mínimo de materiais inflamáveis
o Construção de andares e salas adicionais em um prédio para retardar a propagação do fogo
o Fornecer formação adequada aos ocupantes quanto aos procedimentos a seguir em

caso de incêndio
o Manutenção adequada de sistemas relacionados a incêndio
o Número adequado de saídas de emergência
ÿ A seguir estão as etapas para gerenciar incidentes de incêndio:
o Detectar fogo.
o Evacuar os ocupantes do edifício para um local seguro.
o Notifique o corpo de bombeiros e o departamento de segurança sobre o incêndio.
o Desligue todos os sistemas elétricos e eletrônicos para evitar que o fogo se espalhe.

Barreiras físicas
ÿ Barreiras físicas restringem a entrada de pessoas não autorizadas no prédio; use sempre uma combinação
de barreiras para impedir a entrada não autorizada
Cercas/Elétrico Outras barreiras

postes de amarração Catracas
cercas/trilhos de metal físicas
ÿ Primeira linha ÿ
É usado para ÿ Facilita os ÿ Inclui portas,
de defesa para controlar o tráfego controles de entrada janelas, grades,
travar invasores de veículos e e acesso vidros, cortinas,
pedestres etc.
Barreiras físicas
Muitos fatores determinam a segurança física de uma organização. Esses fatores são considerações essenciais e
contribuem para a operação bem-sucedida da segurança física em uma organização. O principal objetivo da segurança
física é o controle e prevenção de acessos não autorizados, enquanto as barreiras físicas restringem a entrada de
pessoas não autorizadas no edifício. Barreiras físicas definem o limite físico de uma área e dividem o tráfego de veículos
dos pedestres. O uso de uma barreira física impede e atrasa a entrada de estranhos nas instalações. Um intruso ou
estranho pode comprometer uma barreira gastando tempo e dinheiro, bem como planejando e contemplando a arquitetura
do local. Para desencorajar esses invasores, é uma boa política usar uma abordagem multicamada que inclua barreiras
externas, intermediárias e internas.
Barreiras externas incluem cercas e muros; embora sejam construídos para formar uma estrutura, eles inadvertidamente
agem como uma obstrução. Barreiras intermediárias são equipamentos utilizados para obstruir o trânsito e as pessoas.
As barreiras internas incluem portas, janelas, grades, vidros e cortinas.
A seguir estão diferentes tipos de barreiras físicas usadas em um edifício.
ÿ Cercas/cercas elétricas/trilhos de metal: Formam a primeira linha de defesa contra um invasor e são o tipo de
barreira física mais comumente usado em todo o mundo.
Cercas/trilhos de metal/cercas elétricas geralmente marcam áreas restritas e controladas e impedem o acesso
não autorizado.
O objetivo da implantação de barreiras físicas é o seguinte:
o Bloquear e dissuadir os invasores
o Marcar os limites da organização
o Proteger os guardas de segurança contra ataques externos

o Impedir a entrada de veículos
o Proteger contra ataques explosivos
Figura 4.2: Trilhos metálicos
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e
restringe veículos motorizados em áreas de estacionamento, escritórios, etc. Isso facilita a fácil circulação
de pessoas. Os postes de amarração são usados principalmente em entradas de prédios, áreas de pedestres
e áreas que exigem segurança e proteção. É eficaz no controle do tráfego de pedestres e veículos em áreas
sensíveis.
Figura 4.3: Pilares
ÿ Catracas: Este tipo de barreira física permite a entrada de apenas uma pessoa por vez. A entrada pode ser
conseguida apenas pela inserção de uma moeda, bilhete ou passe. Ele permite que o pessoal de segurança
observe de perto as pessoas que entram na organização e pare qualquer pessoa suspeita no portão. No
entanto, o uso de catraca pode dificultar a evacuação rápida dos ocupantes em caso de emergência de
incêndio.

Figura 4.4: Catracas
ÿ Outras Barreiras: Incluem portas, janelas, grades, vidros e cortinas instaladas para limitar
acesso a determinadas áreas.
o Portas: As portas podem ser utilizadas como uma boa estrutura para controlar o acesso de usuários
em uma área restrita. A segurança das portas pode ser aumentada com a instalação de câmeras
CCTV, sistemas de iluminação adequados, tecnologia de travamento, etc.
o Janelas: um intruso pode usar janelas para obter acesso não autorizado a áreas restritas. Medidas de
segurança adequadas devem ser consideradas durante a instalação do Windows.
Algumas dessas considerações incluem o seguinte:
• Método de abertura da janela
• Montagem e construção da janela
• Técnica utilizada para trancar a janela
• Dobradiças usadas para a janela
o Grades: As grades devem ser usadas com portas e janelas para reforçar a segurança. Churrasqueiras
pode ser usado para segurança interna e externa.
o Vidro: Portas de vidro deslizantes e janelas de vidro deslizantes também reforçam a segurança física.
Figura 4.5: Outras Barreiras

ÿ Seguem-se considerações de segurança para barreiras físicas:
o Use uma combinação de barreiras para impedir a entrada não autorizada.
o Use janelas e vidros à prova de balas.
o Instalar portas tanto na entrada principal como no interior do edifício.
o Tranque portas e janelas.
o Utilizar cercas elétricas de segurança para detecção de subida e corte de fios.
o Use alarmes para alertar o pessoal de segurança sobre qualquer intrusão através de cercas.

Pessoal de segurança
01 ÿ Pessoal de segurança eficiente e bem treinado é fundamental para implementar,

monitorar e manter a segurança física da organização
02 ÿ As pessoas envolvidas na segurança física incluem guardas, oficial de segurança,

oficial/supervisor de segurança da planta, etc.
O pessoal de segurança deve estar ciente de:
Políticas e procedimentos
Lidando com situações de Procedimentos
de segurança física
emergência de patrulhamento
Primeiros socorros e assistência Intrusos e gestão de

Prevenção de incêndio
médica multidões
Pessoal de Segurança
Pessoal de segurança/guardas são contratados para implementar, monitorar e manter a segurança física de uma
organização. Eles são responsáveis por desenvolver, avaliar e implementar funções de segurança, como a instalação
de sistemas de segurança para proteger informações confidenciais contra perda, roubo, sabotagem, uso indevido e
comprometimento. A contratação de pessoal de segurança qualificado e treinado pode ser uma medida de segurança
eficaz para qualquer organização. Eles desempenham um papel crucial na segurança física.
No entanto, as organizações geralmente não consideram isso uma competência essencial para investir como parte
de seu plano estratégico.
As organizações devem contratar pessoal de segurança por conta própria e fornecer treinamento adequado em
segurança física. Como alternativa, eles podem entrar em contato com empresas de serviços de segurança física
dedicadas para cuidar da segurança física para eles. Existem organizações dedicadas a treinar agentes de
segurança, fornecendo procedimentos padronizados e gerenciando a segurança 24 horas por dia, 7 dias por semana,
365 dias por ano, compartilhando guardas em diferentes organizações.
A seguir estão as pessoas envolvidas na segurança física.
ÿ Guardas: Suas responsabilidades incluem a triagem de visitantes e funcionários nos portões principais ou
entrada; documentar nomes e outros detalhes sobre os visitantes; realização de patrulhas regulares nas
instalações; inspecionar pacotes, bagagens e veículos; gestão do tráfego de veículos; e guiar os visitantes
até a área de recepção após anotar seus detalhes. Os guardas devem manter registros de visitantes e
registrar as informações de entrada e saída. Os guardas geralmente lidam com o uso de câmeras de CFTV
como um impedimento, bem como um mecanismo para detectar e possivelmente impedir uma intrusão.

ÿ Agentes/supervisores de segurança da planta: Suas responsabilidades incluem treinamento e monitoramento das atividades
dos vigilantes; auxiliar os guardas em situações de crise; lidar com multidões; e manter as chaves, fechaduras, luzes,
vegetação, etc. da instalação.
ÿ Agentes de segurança: Suas responsabilidades incluem a implementação e gerenciamento de equipamentos relacionados à

segurança instalados nas instalações e garantir o bom funcionamento desses equipamentos.
ÿ Diretor de segurança da informação (CISO): no passado, era comum que o CISO de uma organização fosse um indivíduo
extremamente competente tecnicamente que ocupou vários cargos em uma função de segurança corporativa ou até mesmo
com experiência em redes ou sistemas. Hoje, exige-se de um CISO que seja muito mais do que tecnicamente competente.
O CISO moderno deve ter um conjunto diversificado de habilidades para despachar com sucesso suas funções e estabelecer
o nível adequado de segurança e investimento em segurança para sua organização.
O treinamento contínuo do pessoal de segurança pode trazer grandes benefícios e uma equipe eficaz para a organização.
Independentemente do cargo, o pessoal relacionado à segurança deve ser selecionado com base na experiência e qualificação
exigidas para o trabalho. Os executivos devem avaliar minuciosamente as experiências anteriores do pessoal e, com base nessas
informações, fornecer treinamento adequado para preencher a lacuna entre a capacidade e as habilidades necessárias para o trabalho.
Uma organização deve treinar o pessoal de segurança recém-contratado nas seguintes áreas:
ÿ Cultura organizacional, ética e profissionalismo
ÿ Políticas e procedimentos de segurança
ÿ Aplicação de políticas
ÿ Intrusos e gestão de multidões
ÿ Atendimento a situações de emergência
ÿ Relações Humanas e Públicas
ÿ Procedimentos de Patrulhamento
ÿ Gestão da violência no local de trabalho
ÿ Primeiros Socorros e Assistência Médica
ÿ Prevenção de Incêndios
ÿ Gestão de Tráfego de Veículos
ÿ Tratamento de convidados estrangeiros, convidados, etc.
ÿ Redação de relatórios

Bloqueios físicos
Fechaduras Mecânicas:
Fechaduras digitais:
Usa uma combinação de
Requer uma impressão
molas, tranquetas, alavancas e
digital, smart card ou PIN
travas e opera por meio de chaves
autenticação para desbloquear
físicas
Tipos de
Fechaduras
Eletrônico /Elétrico
Fechaduras de combinação:
/Fechaduras eletromagnéticas:
Requer uma sequência de
Usa ímãs, solenóides e motores para
números ou símbolos para
operar fornecendo ou
desbloquear
removendo energia
Bloqueios físicos
Vários tipos de sistemas de bloqueio estão disponíveis para melhorar a restrição de acesso físico não autorizado. A
organização deve selecionar um sistema de travamento apropriado de acordo com seus requisitos de segurança.
A seguir estão os diferentes tipos de bloqueios.
ÿ Bloqueios mecânicos: fornecem um método fácil para restringir o acesso não autorizado em uma organização.
As fechaduras mecânicas vêm com ou sem chaves. Existem dois tipos de fechaduras mecânicas.
o Bloqueio protegido: Um bloqueio protegido contém um parafuso de mola preso a um entalhe. Uma chave
inserida no entalhe move o parafuso para frente e para trás. Somente a chave correta pode ser inserida
no entalhe, o que bloqueia chaves incorretas.
o Fechadura de segurança: Uma fechadura de segurança consiste em peças de metal dentro de uma
ranhura no ferrolho. Isso evita que o parafuso se mova. Uma chave correta contém ranhuras que
permitem que o parafuso se mova levantando as peças de metal acima do parafuso. As fechaduras de
segurança são ainda classificadas em fechaduras de pino, de disco e de alavanca.
ÿ Fechaduras digitais : As fechaduras digitais requerem impressões digitais, cartões inteligentes ou PINs do
teclado para serem desbloqueadas. É fácil de manusear e não requer chaves, eliminando a possibilidade de
esquecimento ou perda das chaves. Ele fornece travamento automático para portas. O usuário só precisa
usar a impressão digital, passar o cartão inteligente ou inserir o PIN para desbloqueá-lo.
ÿ Fechaduras elétricas/eletromagnéticas: As fechaduras elétricas ou sistemas de travamento eletrônico

funcionam com corrente elétrica. O bloqueio e o desbloqueio são obtidos fornecendo e eliminando energia.
As fechaduras são ativadas ou desativadas principalmente usando ímãs ou motores. Eles não exigem que
as chaves sejam mantidas para o sistema de travamento.

Uma fechadura eletromagnética ou fechadura magnética consiste principalmente em um eletroímã

e uma placa de armadura. O dispositivo de travamento pode ser de dois tipos: fail safe e fail safe.
As travas de segurança permanecem bloqueadas mesmo durante a perda de energia, enquanto as
travas de segurança permanecem inativas quando desenergizadas. A parte eletromagnética pode
ser colocada em um batente de porta e a placa de armadura pode ser colocada na porta. O fluxo
magnético criado pelo eletroímã cria uma força atrativa em direção à placa de armadura, que inicia
o processo de fechamento da porta.
ÿ Fechaduras de combinação: requerem que o usuário forneça uma combinação de números e letras
para desbloquear. Os usuários podem inserir a sequência de combinação por meio de um teclado
ou usando um botão giratório que se mistura com vários outros discos giratórios. As fechaduras de
combinação não usam chaves para funcionar.

Dispositivos de detecção de armas/contrabando ocultos

ÿ O contrabando inclui materiais proibidos de entrar no ambiente, como explosivos, bombas,
armas, etc
ÿ Use ferramentas diferentes, como detectores de metal portáteis, detectores de metal de passagem, sistemas de inspeção
por raio-X, etc., para detectar materiais contrabandeados
Detectores de metal Sistemas de inspeção por raio-X Detectores de metal passo a passo
Dispositivos de detecção de armas/contrabando ocultos
Os dispositivos de detecção de contrabando atuam como um importante controle de segurança física, pois
restringem atividades indesejáveis e/ou a entrada de uma pessoa portando contrabando nas instalações.
Contrabando refere-se a materiais ilegais, como explosivos, bombas e armas, que devem ser banidos das
instalações. Uma tentativa de entrar nas instalações com contrabando pode ser considerada um ato de
terrorismo. Dispositivos de detecção de contrabando são capazes de detectar tais
substâncias, mesmo quando cobertas por outros objetos.
Diferentes tipos de dispositivos são usados para detectar materiais contrabandeados; exemplos são detectores
de metal portáteis, detectores de metal de passagem e sistemas de inspeção por raio-X.
ÿ Detectores de metal de passagem são usados principalmente em terminais de aeroportos, escolas,

estádios esportivos, etc. Eles ajudam a verificar as pessoas que têm acesso a determinadas áreas.
Além disso, os detectores de passagem devem ser mantidos e monitorados adequadamente.
Eles devem ser implantados em cada ponto de entrada da organização.
Figura 4.6: Detectores de metal passo a passo

ÿ Detectores de metal portáteis permitem que as pessoas sejam examinadas mais de perto e detectem
objetos suspeitos. Os detectores portáteis são usados na maioria dos locais onde são usados detectores
de passagem.
Figura 4.7: Detectores de metal
ÿ Os sistemas de inspeção por raios X são fáceis de manusear e usar. Eles usam raios-X em vez de visíveis
luz para objetos de tela.
Figura 4.8: Sistema de inspeção por raio-X

Armadilha
É um sistema de segurança que possui uma porta de entrada

e saída em lados opostos, separando a área não segura da
área segura
Ele permite que apenas uma porta seja aberta por vez, as
pessoas entram na armadilha, solicitam acesso e, se
concedido, podem sair. Se o acesso não for concedido, eles
são mantidos dentro até que o pessoal de segurança
desbloqueie a armadilha
A passagem por essas portas é permitida apenas por meio de

mecanismos de controle de acesso , como cartões de acesso,
senha, reconhecimento de voz, biometria, etc.
Armadilha
Uma armadilha é outro tipo de controle de segurança de acesso físico usado para capturar invasores. É mais
amplamente utilizado para separar áreas não seguras de áreas seguras e impede o acesso não autorizado. É um
mecanismo de travamento mecânico que consiste em um pequeno espaço com dois conjuntos de portas interligadas.
O primeiro conjunto de portas deve fechar antes que o segundo conjunto seja aberto. A autenticação do usuário em
alçapões é realizada usando cartões inteligentes, PINs de teclado ou verificação biométrica. Opera automaticamente,
é útil para autorizar visitantes, reduz a mão de obra necessária para sistemas de segurança e garante a segurança
da organização.
Trabalho de Mantraps
ÿ Passo 1: O mantrap autentica a pessoa que está tentando acessar.
ÿ Etapa 2: A primeira porta se abre após a autenticação. A pessoa entra.
ÿ Passo 3: A primeira porta fecha logo após a pessoa entrar na sala. Agora a pessoa é
trancado dentro do quarto. Isso sinaliza o destravamento da segunda porta.
ÿ Etapa 4: A segunda porta se abre com a pessoa saindo da sala. A primeira porta é travada automaticamente
logo após a abertura da segunda porta.
ÿ Passo 5: A segunda porta entra no estado trancada logo após a pessoa sair.

Sinais de aviso
Sinais de alerta são usados

para garantir que alguém
não se intromete
inadvertidamente em
nenhuma área restrita
Sinais de alerta apropriados

devem ser colocados em
cada ponto de controle de
acesso
Sinais de aviso
Os sinais de alerta são geralmente usados para restringir o acesso não autorizado em uma organização.
Sinais de alerta são colocados em pontos de entrada, limites da localidade e áreas sensíveis. Eles devem
estar visíveis para os usuários de forma que as pessoas entendam as áreas proibidas e evitem entrar nelas.
Os sinais de alerta também ajudam as organizações a impedir que um grande número de pessoas entre em áreas
sensíveis. Eles geralmente são colocados em todas as áreas sensíveis que apresentam ameaça de danos aos
ativos ou à vida ou divulgação de informações. Por exemplo, sinais de alerta são normalmente colocados em cercas
elétricas porque tocar a cerca elétrica sem saber pode representar uma ameaça à vida. Exemplos de sinais de alerta
são “ÁREA RESTRITA”, “ADVERTÊNCIA”, “CUIDADO”, “PERIGO” e “CUIDADO”.

Sistema de alarme
Sistemas de
alarme adequados
devem ser instalados
dentro e na entrada
Pode ser ativado
relatar invasões,
automaticamente ou
atividades suspeitas e
manualmente por
emergências
detectores de fumaça,
Deve ser audível para todos
detectores de calor,
no prédio e definido em
pessoal de segurança,
intervalos de 5 minutos, como
etc.
o primeiro
alerta, segundo alerta e, em
seguida, o alerta final para
evacuar
Sistema de alarme
Os alarmes são utilizados para chamar a atenção em caso de violação ou tentativa de violação. Os sons
de alarme podem ser de tipos diferentes com base na instalação; exemplos incluem sirenes, iluminação
de flash com som, e-mails e/ou alertas de voz. A organização deve dividir grandes instalações como
prédios, andares, seções e escritórios em pequenas zonas de segurança; dependendo de seu significado,
o sistema de alarme apropriado deve ser instalado. As zonas de segurança que armazenam dados de alta
prioridade recebem sistemas de segurança multinível, como restrição de acesso com dispositivos de
controle de acesso, biometria, vigilância, fechaduras e alarmes para chamar a atenção em caso de
invasão. Os alarmes podem ser ativados automaticamente ou manualmente por detectores de fumaça,
detectores de calor, pessoal de segurança, etc. Eles devem ser audíveis para todos no prédio e
configurados com três alertas para evacuar em intervalos de 5 min. As organizações devem ter um backup
de energia adequado para sistemas de alarme, para que funcionem em emergências e durante
desligamentos de energia. Toda a fiação e os componentes de um alarme devem ser protegidos contra
adulteração, e a caixa de alarme deve ser ocultada com travas adequadas e acesso limitado. O
gerenciamento adequado e avaliações regulares do sistema de alarme devem ser realizados com exercícios de emergência

Video vigilância
A vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando sistemas de CCTV (Circuito Fechado
1 de Televisão)
2 Os sistemas de CFTV podem ser programados para capturar movimento e disparar alarmes se uma intrusão ou movimento for detectado
Os sistemas de vigilância devem ser instalados em locais estratégicos dentro e ao redor das instalações, como estacionamentos, recepção,
3 saguão, área de trabalho, salas de servidores e áreas com dispositivos de saída, como impressoras, scanners, aparelhos de fax, etc.
CCTV tipo bala Tipos básicos de CFTV tipo cúpula

Câmera Câmera CFTV Câmera
Video vigilância
A vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando sistemas
de circuito fechado de televisão (CCTV). A vigilância por vídeo é considerada um componente importante da segurança
física. Esses sistemas protegem os bens e edifícios de uma organização contra intrusos, roubo, etc. Um sistema CCTV
é usado como parte do sistema de segurança da organização. Ele cobre uma grande área e geralmente é colocado
perto de portões, recepção, corredores e no local de trabalho. Ele captura imagens de atividades ilícitas dentro das
instalações e ajuda a monitorar as atividades dentro, fora e na entrada. Os sistemas CCTV são programados para
capturar movimento e iniciar um alarme sempre que um movimento ou um objeto for detectado. Eles ajudam a identificar
atividades que precisam de atenção, coletam imagens como evidência e auxiliam em um sistema de alarme. Os
dispositivos usados para vigilância por vídeo devem ser automáticos, poderosos e capazes de fazer pan/tilt/zoom para
capturar a ação e armazená-los para análise posterior.
Muitos aspectos precisam ser considerados para a instalação, gerenciamento e manutenção de um sistema de
videomonitoramento em uma organização; isso inclui a câmera, lente, resolução, tempo de gravação, equipamento de
gravação, cabeamento, sistema de monitoramento, dispositivos de armazenamento e sistema/equipamento de controle
centralizado. Gravar atividades por meio de CCTV e armazenar essas imagens para referência também pode ajudar
as instalações a fornecer evidências em um tribunal. Também é importante decidir o tipo de lente, resolução e área
que a câmera deve cobrir, e a hora e a data da filmagem devem ser gravadas. Outro aspecto importante é o
armazenamento de gravações de vídeo e a duração do armazenamento. A organização deve decidir o que acontecerá
com as gravações de vídeo antigas e como elas serão descartadas.
A seguir estão algumas considerações para sistemas de vigilância por vídeo:
ÿ Instalar sistemas de vigilância no estacionamento, recepção, saguão e posto de trabalho.

ÿ Coloque os dispositivos de saída, como impressoras, scanners e aparelhos de fax, à vista do público e sob
vigilância.
ÿ Integrar a vigilância com um sistema de alarme.
ÿ Estabelecer uma política para a duração em que os vídeos gravados devem ser mantidos e posteriormente
disposto.
ÿ Armazene todos os dispositivos em locais seguros com acesso limitado.
ÿ Use procedimentos adequados de descarte, como exclusão de conteúdo, substituição e

destruição.
A seguir estão os diferentes tipos de câmeras CCTV disponíveis comercialmente.
ÿ Dome CCTV: Usado principalmente para fins de segurança e vigilância interna, as câmeras dome CCTV são
construídas como dispositivos em forma de cúpula para evitar qualquer dano à câmera ou destruição. É
impossível localizar a direção para a qual essas câmeras estão se movendo; assim, eles permitem a observação
de áreas em um ângulo amplo e cobrem áreas maiores. As unidades de câmera CCTV Speed Dome fornecem
uma facilidade com recursos de pan/tilt/zoom e rotação, permitindo que o operador mova a câmera de acordo
com sua necessidade.
Figura 4.9: Câmera Dome CCTV
ÿ Bullet CCTV: As câmeras Bullet CCTV são usadas para vigilância interna e externa. Eles geralmente são
colocados em capas protetoras que evitam poeira, chuva ou qualquer outra perturbação. Uma câmera de CCTV
de bala geralmente tem uma forma longa, cilíndrica e cônica que facilita a vigilância de longa distância.
Figura 4.10: Câmera Bullet CCTV

ÿ CCTV de montagem C: Uma câmera CCTV de montagem C consiste em lentes destacáveis, que fornecem
vigilância com uma distância de cobertura de mais de 40 pés. Outras lentes de câmera CCTV fornecem
uma distância de cobertura de apenas 35–40 pés. diferentes lentes a serem usadas de acordo com a
distância a ser percorrida.
Figura 4.11: Câmera CCTV C-Mount
ÿ CCTV diurno/noturno: As câmeras CCTV diurnas/noturnas são comumente usadas para vigilância externa.
Eles podem capturar imagens mesmo com pouca luz e escuridão. Esses tipos de câmeras não requerem
iluminadores infravermelhos para capturar imagens. Eles podem capturar imagens claras sob brilho, luz
solar direta, reflexos, etc.
Figura 4.12: Câmera CCTV diurna/noturna
ÿ CFTV de visão noturna infravermelha: As câmeras de CFTV de visão noturna infravermelha são
comumente usadas para vigilância externa e podem capturar imagens na escuridão total. LEDs
infravermelhos são usados para áreas com pouca iluminação.
Figura 4.13: Câmera CFTV de visão noturna infravermelha

ÿ CCTV de rede/IP: As câmeras de CFTV de rede/IP estão disponíveis em modelos com e sem fio. Eles permitem
o envio de imagens pela Internet. Uma câmera IP sem fio é mais fácil de instalar do que uma câmera com fio
porque a primeira não requer cabeamento.
Figura 4.14: Câmera de CFTV de rede/IP
ÿ CCTV sem fio: As câmeras CCTV sem fio são mais fáceis de instalar do que as câmeras com fio e usar
diferentes modos de transmissão sem fio.
Figura 4.15: Câmera CCTV sem fio
ÿ CFTV de alta definição: As câmeras de CFTV de alta definição são usadas principalmente em locais sensíveis
que requerem maior atenção. Eles permitem que os operadores aproximem-se de um determinado
área.

Sistema de luz
Iluminação adequada deve ser fornecida dentro, fora e na entrada do
prédio, o que ajuda a ver longas distâncias durante as patrulhas de
segurança
A iluminação adequada desencorajará intrusos de entrar nas

instalações e se esconder atrás de pedras, arbustos, árvores,
etc.
Tipos de sistemas de iluminação:
ÿ Contínua
ÿ Espera
ÿ Móvel
ÿ Emergência
Sistema de luz
A iluminação de segurança é um aspecto importante da segurança física de uma instalação. Se uma organização não
implementou um sistema de iluminação adequado dentro e ao redor de suas instalações, a função ou o desempenho de todas
as outras medidas de segurança podem ser drasticamente degradados. Por exemplo, se a organização não possui iluminação
nos cantos traseiros, perto de arbustos, plantas, estacionamento e perto de câmeras de vigilância, fica difícil encontrar pessoas
ou objetos escondidos nesses locais. Com pouca iluminação, fica difícil identificar as pessoas que entram no local, e um intruso
pode se passar por funcionário ou usar artimanhas para burlar os sistemas de segurança. Os sistemas de iluminação a serem
instalados em uma área dependem do layout e da sensibilidade da área. Sistemas alternativos de energia, como geradores,
devem ser instalados para lidar com falhas de energia e emergências.
ÿ Iluminação contínua : A iluminação contínua refere-se a conjuntos fixos de luzes dispostas de modo que
eles fornecem iluminação contínua para uma grande área durante a noite.
ÿ Iluminação de prontidão: A iluminação de prontidão é utilizada sempre que qualquer atividade suspeita é detectada
pelo pessoal de segurança ou por um sistema de alarme. Esses sistemas operam manualmente ou automaticamente.
ÿ Iluminação móvel : A iluminação móvel é um sistema de iluminação controlado manualmente que fornece iluminação à
noite ou apenas quando necessário. Estes sistemas são normalmente utilizados como uma extensão de um sistema
de iluminação contínua ou de espera.
ÿ Iluminação de emergência : A iluminação de emergência é utilizada principalmente durante falhas de energia ou quando
outros sistemas de iluminação regulares não funcionam corretamente.

Fonte de energia
ÿ Use sistemas UPS (Fonte de alimentação ininterrupta) para gerenciar interrupções inesperadas de energia ou flutuações no primário
fornecimento elétrico que pode levar à falha do equipamento, interrupção dos negócios ou perda de dados
Diferentes tipos de sistemas UPS (Topologias UPS):
Híbrido on-line em
Espera Linha interativa
espera
ÿ Mais comumente usado para ÿ Mais comumente usado para ÿ Mais comumente usado para
computadores pessoais pequenas empresas, web e salas de servidores
servidores departamentais
Dupla Conversão Conversão Delta

Standby-Ferro Conectados Conectados
ÿ Não é mais comumente usado ÿ Geralmente usado em ambientes onde ÿ Pode ser útil onde é necessário
porque se torna instável ao o isolamento elétrico é isolamento completo e/ou
operar uma carga de fonte de necessário conectividade direta
alimentação de computador moderno
Fonte de energia
As instalações podem sofrer blecautes ou interrupções de energia que podem tornar os sistemas inoperáveis, a menos
que recursos alternativos de gerenciamento de energia sejam implementados. As interrupções de energia podem afetar a
capacidade de fornecer serviços de TI conforme o esperado, bem como a capacidade de fornecer segurança física. Picos
de energia, surtos ou apagões podem resultar em energia excessiva ou insuficiente e podem danificar o equipamento.
Considere as seguintes medidas de segurança para lidar com blecautes ou interrupções de energia.
ÿ Esteja preparado para flutuações de energia.
ÿ Use uma fonte de alimentação ininterrupta (UPS) para gerenciar interrupções de energia.
ÿ Proteger os sistemas contra ameaças ambientais.
ÿ Proteger os sistemas dos efeitos adversos da eletricidade estática no local de trabalho.
ÿ Use o equipamento de conexão corretamente.
Uma UPS permite que os computadores funcionem corretamente durante uma falha de energia. Ele também protege os
computadores durante flutuações na fonte de alimentação. Um no-break contém uma bateria que detecta flutuações de
energia no dispositivo principal. Os usuários precisam salvar todos os seus dados quando o no-break detecta uma flutuação
de energia. O operador deve fornecer procedimentos a serem seguidos no momento da perda de energia. Um UPS é
comumente usado para proteger computadores, centros de dados, equipamentos de telecomunicações, etc.
A seguir estão incluídos os diferentes tipos de UPS.
ÿ Standby: UPSs Standby são o tipo de UPS mais comumente usado para computadores pessoais. Um no-break
standby é um backup de bateria off-line que facilita a manutenção de

o dispositivo primário durante uma flutuação de energia. Uma fonte de alimentação em espera contém
circuitos AC-DC que se conectam ao no-break durante uma flutuação de energia.
ÿ Linha interativa: Mais comumente usado para pequenas empresas, web e servidores departamentais, a linha
interativa lida principalmente com flutuações contínuas de energia. Este método de fornecimento de energia
requer muito pouco uso da bateria.
ÿ Standby online híbrido: Mais comumente usado para salas de servidores, os no-breaks híbridos standby
online são usados principalmente para fornecer energia abaixo de 10 kVA. Eles são conectados à bateria
durante uma falha de energia.
ÿ Stand by Ferro: Neste tipo de UPS, um transformador ressonante Ferro é usado para filtrar a saída. Um no-
break Ferro standby fornece tempo suficiente para alternar da fonte de alimentação principal para a energia
da bateria. Este tipo de UPS não é mais comumente usado porque se torna instável ao lidar com a carga de
energia de um computador moderno.
ÿ Dupla conversão online: Geralmente utilizado em ambientes onde o isolamento elétrico é necessário, um
UPS online de dupla conversão é utilizado para fornecer energia acima de 10 kVA. Ele fornece uma
apresentação de saída elétrica ideal, mas seus componentes de energia estão sujeitos a desgaste contínuo,
reduzindo sua confiabilidade. Ele exibe um tempo de transferência apenas durante uma grande carga de
corrente.
ÿ Conversão delta online: Uma UPS online de conversão delta pode ser útil quando é necessário isolamento
completo e/ou conectividade direta. Contém um inversor que alimenta a tensão da carga. Pode ser usado
para fornecer energia na faixa entre 5 kVA e 1 MW. Ele controla o desempenho da entrada de energia e o
carregamento da bateria do no-break.

Fluxo do módulo


Descrever vários
Descrever a segurança no local de trabalho
Esta seção explica a segurança do local de trabalho em um ambiente de escritório.

Área de recepção
A área de recepção deve ser espaçosa e oferecer um escopo adequado
para controlar o acesso ao prédio, o tráfego de visitantes e avaliar o
comportamento do visitante
Arquivos e documentos importantes ou dispositivos não devem

ser mantidos na recepção
O design e a localização dos balcões de recepção devem

ajudar a desencorajar o acesso inapropriado à área
administrativa
Os computadores em uma recepção devem ser posicionados de

forma que as telas não fiquem visíveis para os visitantes
Os computadores da recepção devem estar sempre trancados quando o

pessoal da recepção estiver fora da mesa
Área de recepção
A área de recepção é o ponto de contato inicial para um indivíduo que se aproxima da organização.
A área de recepção pode ser vulnerável a violações de segurança física, pois oferece fácil acesso a estranhos.
As organizações geralmente recebem visitas regulares de clientes, público em geral, convidados, etc. e exigem
que a equipe os receba, ajude e oriente. Os recepcionistas devem ser capazes de reconhecer ou identificar
qualquer comportamento incomum de pessoas como advogados e mascates, organizações de caridade e ex-
funcionários. O pessoal da recepção deve manter contato visual e expressões faciais ou postura não conflituosas
ao atender as pessoas. Eles devem ser proficientes o suficiente para lidar com situações de emergência e
seguir procedimentos para chamar a atenção imediata, emitir alarmes, ligar para o rádio, administrar primeiros
socorros, etc.
A área de recepção deve ser espaçosa e deve oferecer o escopo para controlar o acesso ao edifício e o tráfego
de visitantes, bem como avaliar os comportamentos dos visitantes. O pessoal da recepção deve observar as
pessoas que entram no edifício. Eles devem notar e registrar comportamentos estranhos de estranhos.
Benchmarks devem ser implementados para julgar as pessoas que chegam à organização. Suas intenções
devem ser anotadas e o pessoal deve identificar se uma pessoa está procurando por alguém ou algo. Arquivos
e documentos importantes ou dispositivos não devem ser mantidos na recepção.
O design e a localização dos balcões de recepção devem ajudar a desencorajar o acesso inapropriado à área
administrativa. Os computadores no balcão da recepção devem ser posicionados de forma que as telas não
fiquem visíveis para os visitantes e sempre devem ser trancados quando o pessoal da recepção estiver fora do
balcão.

Servidor/Backup
Segurança do dispositivo
01 Mantenha ativos de rede críticos, como servidores e

dispositivos de backup, em uma sala separada
Proteja a sala do servidor e os dispositivos de backup com

02
um controle de acesso apropriado
Mantenha a sala do servidor e os dispositivos de backup

03 sob vigilância por vídeo
Segurança do servidor/dispositivo de backup
Uma organização deve considerar a segurança física de seus servidores críticos e dispositivos de backup. O acesso físico a
esses dispositivos deve ser restrito apenas a pessoal aprovado.
A seguir estão as medidas de segurança física típicas para servidores e dispositivos de backup:
ÿ Mantenha o servidor e os dispositivos de backup em uma sala separada. Isso reduz a acessibilidade de
esses dispositivos para o público e pessoas desconhecidas.
ÿ Monte CCTV, cartão inteligente e autenticação biométrica para rastrear e monitorar

acesso físico não autorizado ao servidor e dispositivos de backup.
ÿ Use servidores montados em rack. Isso evita que invasores roubem ou danifiquem os servidores.
ÿ O servidor deve ser conectado a um UPS que o proteja contra danos ou corrupção de arquivos
devido à perda temporária de energia.
ÿ Mantenha os dispositivos em gavetas, armários ou quartos trancados.
ÿ Os dispositivos de backup devem ser armazenados em locais externos e protegidos.
ÿ Desencoraje os funcionários a fazer backups em DVDs, unidades USB ou discos rígidos externos.
Certifique-se de que os backups estejam sempre trancados em uma gaveta, cofre ou sala separada.
ÿ Não permita que os funcionários saiam de uma área carregando um dispositivo de backup. Usar movimento
detecção de alarmes para detectar o movimento de qualquer dispositivo de backup.
ÿ Implementar criptografia de disco completo em dispositivos de backup.
Princípios básicos de defesa de rede Princípios básicos de defesa de rede Exame 112-51 Exame 112-51
Controles de Segurança de Rede - Controles Físicos Controles de Segurança de Rede - Controles Físicos
Ativos críticos e dispositivos removíveis
ÿ Mantenha seus dispositivos de rede e equipamentos de informática em armários trancados
ÿ Alguns armários vêm com fechaduras biométricas e recursos de controle climático
ÿ Restrinja o uso de dispositivos removíveis como DVDs, pen drives USB, SD

cartões, telemóveis, câmaras, etc.
ÿ Projetar e implementar políticas de uso aceitável para gerenciar o uso de

dispositivo removivél
ÿ Implemente uma revisão regular de inventário de dispositivos removíveis
ÿ Considere o uso de dispositivos bloqueados controlados pela empresa em vez de

implementar uma política de trazer seu próprio dispositivo (BYOD)
Ativos críticos e dispositivos removíveis
Uma organização deve sempre prestar atenção à segurança de seu servidor e dispositivos de armazenamento de backup.
Ao mesmo tempo, a organização não deve ignorar a segurança de outros ativos críticos, como estações de trabalho,
roteadores e switches, impressoras, outros equipamentos de rede e dispositivos removíveis. A organização deve empregar
todas as medidas de segurança física de servidores/dispositivos de backup para ativos críticos e dispositivos removíveis.
Além disso, as organizações devem manter seus dispositivos de rede e equipamentos de informática em armários
trancados. Alguns armários vêm com fechaduras biométricas e recursos de controle climático. Restrinja o uso de
dispositivos removíveis
como DVDs, pen drives USB, cartões SD, telefones celulares e câmeras. Projete e implemente políticas de uso aceitável
para gerenciar o uso de dispositivos removíveis. Implemente uma revisão regular de inventário de dispositivos removíveis.
Considere o uso de dispositivos bloqueados controlados pela empresa em vez de implementar uma política de trazer seu
próprio dispositivo (BYOD).
ÿ Estações de trabalho: As estações de trabalho em mesas desocupadas, escritórios vazios, recepção, etc. são
relativamente mais vulneráveis a violações de segurança física. Desconecte ou remova essas estações de
trabalho desocupadas ou tranque as portas da sala onde a estação de trabalho está localizada.
ÿ Roteadores e switches: mantenha esses dispositivos de rede críticos em salas trancadas.
ÿ Impressoras: Como servidores e estações de trabalho, as impressoras podem armazenar informações importantes,
devem ser aparafusados e instalados em locais separados.
ÿ Dispositivos removíveis: Dispositivos removíveis portáteis, como laptops, computadores de mão, dispositivos
móveis, cartões SD, USB e dispositivos Bluetooth podem representar riscos de segurança física.
Mantenha esses dispositivos em uma gaveta ou cofre, ou prenda permanentemente uma trava de cabo.
Módulo 04
página Módulo 04
178 Network Defense Essentials Copyright © de EC-Council Network Defense Essentials Copyright © de EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Princípios básicos de defesa de rede Princípios básicos de defesa de rede Exame 112-51 Exame 112-51
Controles de Segurança de Rede - Controles Físicos Controles de Segurança de Rede - Controles Físicos
Protegendo Cabos de Rede

Coloque a fiação da rede separada de todas as outras fiações para fácil
01 manutenção, monitoramento e para evitar interferência eletrônica
Considere a instalação de cabo blindado se houver ameaça de roedores, cupins, etc.

02
Use conduítes transparentes para cabeamento em áreas altamente sensíveis que

03 permitem fácil identificação de qualquer dano ou interferência
Todos os cabos de rede e comunicação devem ser escondidos e protegidos

04 adequadamente
05 Os cabos subterrâneos impedirão o acesso físico aos cabos
06 Não coloque os cabos acima do teto falso para evitar riscos de incêndio
07 Documente toda a infraestrutura de cabos
Protegendo Cabos de Rede
A segurança do cabo de rede é frequentemente negligenciada como um aspecto da segurança física. A organização
deve considerar a importância da segurança do cabo antes de planejar e instalar qualquer cabeamento.
O cabeamento de rede deve ser limpo; caso contrário, uma organização pode sofrer com o tempo de inatividade não planejado.
Com cabeamento de rede defeituoso ou inseguro, um invasor pode acessar facilmente informações confidenciais
ignorando outros controles de segurança. Os riscos associados ao cabeamento de rede são escutas telefônicas, danos
físicos e roubo.
A seguir estão as considerações para proteger o cabeamento de rede:
ÿ Coloque a fiação da rede separadamente de todas as outras fiações para fácil manutenção, monitoramento e
prevenção de interferência eletrônica.
ÿ Considere a instalação de cabo blindado se houver ameaça de roedores, cupins, etc.
ÿ Use conduítes transparentes para cabeamento em áreas altamente sensíveis para permitir a fácil
identificação de qualquer dano ou interferência.
ÿ Todos os cabos de rede e comunicação devem ser ocultados e protegidos adequadamente.
ÿ Os cabos subterrâneos impedem o acesso físico aos cabos.
ÿ Não coloque os cabos acima de um teto falso para evitar riscos de incêndio.
ÿ O acesso às vias e espaços de cabeamento deve ser restrito ao pessoal autorizado

só.
ÿ Crie redundância para evitar um único ponto de falha em caso de desastre.
ÿ Documentar toda a infraestrutura de cabos.
Módulo 04
página Módulo 04
179 Network Defense Essentials Copyright © de EC-Council Network Defense Essentials Copyright © de EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.

Tipos de cabos usados no cabeamento de rede
ÿ Cabo de Par Trançado Não Blindado (UTP)
Um cabo UTP reduz a diafonia e a interferência entre pares de fios, mas é propenso a escutas telefônicas.
Um invasor pode facilmente acessar as informações transmitidas por meio de cabos de rede.
o Vantagens
• Fácil de instalar
• Adequado para conexões Ethernet domésticas e de escritório
o Desvantagens
• Altamente suscetível a interferências eletromagnéticas e de radiofrequência
• Menos comumente usado para redes de longa distância
ÿ Cabo de Par Trançado Blindado (STP)
Em um cabo STP, cada par de fios é blindado individualmente com papel alumínio. É menos suscetível a
interferências externas, pois a blindagem absorve todos os sinais EMI e RFI.
o Vantagens
• Imune a crosstalk e interferência
• Garante a transmissão segura de dados
o Desvantagens
• Mais caro que os cabos UTP
• Mais difícil de instalar do que os cabos UTP
ÿ Cabo de Fibra Óptica
Um cabo de fibra ótica é feito de vidro ou plástico. O cabeamento de fibra óptica é o menos suscetível a
ameaças de escutas telefônicas.
o Vantagens
• Pode transportar informações por distâncias relativamente grandes
• Imunidade à interferência eletromagnética
• Sem interferência
o Desvantagens
• Arco físico limitado do cabo
• Altamente caro
• Necessidade de transmissores e receptores ópticos

ÿ Cabo Coaxial
Um cabo coaxial é feito de um único condutor de cobre em seu centro. Uma camada de
plástico isola o condutor central e uma blindagem de metal trançado, que evita a interferência
de lâmpadas fluorescentes, motores, etc.
o Vantagens
• Pode transportar informações por distâncias relativamente grandes
• Resistente à umidade
o Desvantagens
• Não dobra facilmente e é difícil de instalar

Protegendo dispositivos móveis portáteis

ÿ Use cabos e travas para proteger laptops
ÿ Criptografe os discos rígidos para impossibilitar o acesso aos arquivos em caso de perda ou roubo
ÿ Instale um software antirroubo que possa bloquear e rastrear dispositivos remotamente usando um
conexão
ÿ Instale um software de rastreamento de dispositivos que possa ajudar na recuperação de dispositivos roubados/perdidos
ÿ Ative ou instale um recurso de limpeza remota para apagar dados armazenados em dispositivos
ÿ Não empreste seu aparelho a terceiros
ÿ Não deixe seu dispositivo sem vigilância em locais públicos
ÿ Etiquete o dispositivo ou cole um adesivo com o nome e detalhes de contato para que o
dispositivo pode ser devolvido se perdido
Protegendo dispositivos móveis portáteis
O uso de dispositivos móveis portáteis em uma organização aumentou nos últimos anos.
O risco de ameaças de segurança física a esses dispositivos também aumentou. Esses dispositivos geralmente são vulneráveis a
ameaças físicas, como roubo, perda, dano e revenda. A organização deve tomar os devidos cuidados para lidar com quaisquer
incidentes de segurança relacionados a esses dispositivos.
ÿ Aplicar todas as medidas de segurança comuns a dispositivos de rede, como servidores, backup
dispositivos e dispositivos portáteis.
ÿ Proteja fisicamente a localização do dispositivo móvel.
ÿ Aplicar procedimentos de controle de acesso adequados para esses dispositivos.
ÿ Use cabos e travas para proteger laptops.
ÿ Criptografe discos rígidos para impossibilitar o acesso a arquivos quando uma unidade for perdida ou roubada.
ÿ Instale um software antifurto que possa bloquear e rastrear dispositivos remotamente usando um
conexão.
ÿ Instale um software de rastreamento de dispositivos que possa ajudar na recuperação de dispositivos roubados/perdidos.
ÿ Ative ou instale um recurso de limpeza remota para apagar os dados armazenados nos dispositivos.
ÿ Não empreste um dispositivo a terceiros.
ÿ Não deixe um dispositivo sem vigilância em locais públicos.
ÿ Etiquete o dispositivo ou cole um autocolante com o nome e contactos do utilizador para que
o dispositivo pode ser devolvido em caso de perda.

ÿ Ative a opção de bloqueio para que o dispositivo seja bloqueado quando forem feitas tentativas consecutivas de
login malsucedidas.
ÿ Use uma docking station que fixe permanentemente o laptop na área de trabalho e também bloqueie
o laptop com segurança em um só lugar.
ÿ Use dispositivos de segurança como detectores de movimento e alarmes para emitir alertas quando o laptop for
movido sem autorização.

Política de Segurança Física

ÿ A política de segurança física define diretrizes
para garantir que medidas adequadas de Considerações de projeto
segurança física estejam em vigor
1 A deficiência de proteção do edifício é revisada regularmente?
Existe um processo para identificar pessoas de fora , como visitantes, empreiteiros e

2
fornecedores, antes de dar-lhes acesso às instalações?
3 Existem sistemas de iluminação adequados ?
4 Cada um dos pontos de entrada está devidamente bloqueado?
Os crachás, fechaduras, chaves e controles de autenticação são auditados

5
regularmente?
6 As imagens de vigilância por vídeo são monitoradas regularmente?
Um inventário adequado dos ativos de uma organização é mantido

7
regularmente?
Política de Segurança Física
A política de segurança física define diretrizes para garantir que medidas adequadas de segurança física sejam implementadas.
É a segurança prestada em termos de ativos físicos, que podem ser danificados fisicamente. Em organizações de TI, onde
grandes quantidades de ativos físicos são manuseados, os ativos são propensos a danos durante as instalações ou transferências
de offshore para localizações locais.
Deve-se ter cuidado com a frequência de monitoramento e análise de riscos, bem como o treinamento fornecido às pessoas que
manuseiam ou trabalham com os ativos físicos. Projetar uma política de segurança física ajuda uma organização a manter certas
normas a serem seguidas pelos funcionários para reduzir a probabilidade de perda.
Considerações de projeto
ÿ
A deficiência de proteção do edifício é revisada regularmente?
ÿ
Existe um processo para identificar estranhos, como visitantes, contratados e fornecedores, antes de conceder-lhes
acesso às instalações?
ÿ Estão instalados sistemas de iluminação adequados?
ÿ Cada um dos pontos de entrada está devidamente bloqueado?
ÿ Os crachás, fechaduras, chaves e controles de autenticação são auditados regularmente?

ÿ
As imagens de vigilância por vídeo são monitoradas regularmente?
ÿ
O inventário dos ativos da organização é mantido regularmente?

Fluxo do módulo


Descrever vários
Descrever vários controles ambientais

Esta seção explica vários controles ambientais.

Aquecimento, ventilação e ar condicionado

ÿ O consumo/fornecimento contínuo de energia faz com que data centers, hardware e equipamentos esquentem muito rapidamente
ÿ A colocação inadequada do equipamento pode aumentar o risco de incêndio
ÿ Os sistemas HVAC (Aquecimento, Ventilação e Ar Condicionado) controlam o ambiente circundante em uma sala ou
edifício especialmente umidade, temperatura e fluxo de ar
ÿ HVAC garante que os componentes do sistema de informação sejam menos propensos a danos devido a
mudanças
ÿ Considere vários fatores e componentes, como hardware, cabeamento, proteção contra incêndio e fonte de alimentação,
etc. antes de instalar o equipamento HVAC ÿ
Mantenha os níveis de temperatura e umidade da linha de base para manter o equipamento funcionando de forma confiável
Aquecimento, Ventilação e Ar Condicionado (HVAC)
O consumo/fornecimento contínuo de energia pode fazer com que data centers, hardware e equipamentos
aqueçam muito rapidamente. Além disso, a colocação inadequada do equipamento pode aumentar o risco
de incêndio. O HVAC é um sistema especial que controla o ambiente em uma sala ou edifício,
especialmente as condições de umidade do ar e ventilação. Ele é implantado para manter temperaturas
confortáveis em uma sala, de modo que o hardware não seja afetado pela umidade e mudanças no ar.
Nessas condições controladas, o hardware e os componentes também são mais seguros e menos
propensos a danos devido a fatores ambientais. O HVAC também purifica o ar nos quartos e remove
fumaça, odor, calor e partículas de poeira. Um ambiente onde o ar é livre de odores e limpo e a umidade é
controlada proporciona um bom ambiente para as pessoas que trabalham com essa organização. Esses
sistemas de ventilação são desejados principalmente em organizações de médio a grande porte que usam
equipamentos pesados e empregam um grande número de pessoas. Um dispositivo de detecção pré-
programado é usado para verificar as mudanças na temperatura, e o HVAC age de acordo. O HVAC
também pode ser controlado manualmente. Antes de instalar o equipamento HVAC, a organização deve
considerar vários fatores e componentes, como hardware, cabeamento, proteção contra incêndio e fonte
de alimentação. Os níveis básicos de temperatura e umidade devem ser mantidos para manter o
equipamento funcionando de forma confiável. Os equipamentos que emitem ar quente ou frio devem ser
continuamente monitorados.
Quando um componente de refrigeração é adicionado a um sistema HVAC, ele é conhecido como sistema
HVAC&R ou HVACR (aquecimento, ventilação e ar condicionado e refrigeração).
Tipos de sistemas HVAC
ÿ Sistema split de aquecimento e ar condicionado: O sistema HVAC tradicional e mais utilizado é

o sistema split de aquecimento e ar condicionado. Os componentes deste

sistema pode ser encontrado dentro e fora do edifício. Os sistemas split HVAC têm os seguintes componentes:
o Um ar condicionado para resfriar o refrigerante
o Fornos, um ventilador ou uma serpentina de evaporação para converter o refrigerante e circular

o ar
o Um duto para permitir o fluxo de ar em todo o edifício
o Acessórios de qualidade do ar, como filtros de ar e purificadores de ar
ÿ Sistema de divisão de calor híbrido: Esta é uma versão avançada de um sistema de divisão com melhor eficiência
energética. Neste sistema, a bomba de calor realiza um HVAC alimentado eletricamente em vez do calor do forno
a gás. Um sistema típico de divisão de calor híbrido inclui os seguintes componentes:
o Uma bomba de calor para resfriar/aquecer o refrigerante
o Fornos ou uma bobina de evaporador para converter o refrigerante e circular o ar
o Um duto para permitir o fluxo de ar em todo o edifício
o Controles ou um termostato como interface para controlar o sistema
ÿ Sistema split de aquecimento e ar condicionado sem dutos: Mais comumente usado em locais onde os sistemas
split tradicionais não podem ser usados, um sistema split sem dutos típico inclui os seguintes componentes:
o Um ar condicionado para resfriar o refrigerante
o Uma bobina do ventilador para converter o refrigerante e circular o ar
o Tubulação de refrigerante e fios para conectar a unidade externa ao ventiloconvector
ÿ Sistema de aquecimento e ar condicionado encapsulado: É o sistema de ar condicionado mais eficaz e é utilizado

principalmente em locais com espaço adequado para fixação de todos os componentes de um sistema split. As
unidades empacotadas podem ser usadas em espaços que variam de um edifício inteiro a unidades de um quarto.
Um sistema integrado de aquecimento e ar condicionado inclui os seguintes componentes:
o Produtos embalados, como uma bomba de calor ou um ar condicionado combinados com um ventiloconvetor ou
um evaporador em uma única unidade
o Acessórios de qualidade do ar, como filtros e purificadores de ar.

Blindagem de Interferência Eletromagnética (EMI)
ÿ EMI ocorre quando o desempenho do dispositivo

eletrônico é interrompido ou degradado devido à
radiação ou condução eletromagnética
ÿ Altos níveis de perturbação podem causar danos graves,

como monitores instáveis, falhas do sistema,
desligamentos inexplicáveis, etc.
ÿ Blindagem EMI é um revestimento em equipamentos eletrônicos

guardados em caixas de metal que bloqueiam emissões e
radiação
Blindagem de Interferência Eletromagnética (EMI)

A radiação eletromagnética emitida por diferentes dispositivos eletrônicos interfere nos dispositivos
ao redor e causa problemas em seu funcionamento. Altos níveis de perturbação podem causar danos
graves, como monitores instáveis, falhas do sistema e desligamentos inexplicáveis. A blindagem EMI
é a prática de revestir equipamentos eletrônicos com metais para que as ondas eletromagnéticas não
interfiram em outros dispositivos ou o campo seja bloqueado com certos materiais. Os escudos EMI
separam uma parte do equipamento da outra.
A blindagem usa materiais como metais ou espumas metálicas. Um campo elétrico produz uma carga
no material condutor, aplicando um campo eletromagnético em um condutor. O condutor produz outra
carga, que cancela o efeito da carga elétrica externamente aplicada sobre ele. Isso não causa
alteração no material condutor. Quando o campo elétrico é aplicado ao material, ele produz correntes
parasitas (correntes que fluem dentro de um material em circuitos fechados). Essas correntes anulam
o efeito do campo magnético. Desta forma, o material blindado é protegido de efeitos externos ou
perturbações.
Para organizações que usam equipamentos pesados, a interferência de hardware eletrônico é um

problema e a blindagem EMI é necessária para todos os dispositivos nesses tipos de ambientes.
Muitas indústrias, como as de telecomunicações e de saúde, preferem usar a blindagem EMI.

Quente e frio
corredores
ÿ Um corredor quente e frio é um arranjo de racks de servidores e
equipamentos de rede para gerenciar o fluxo de ar frio e quente
ÿ Este arranjo isola os corredores frio e quente um do outro, colocando-

os em direções opostas
ÿ Os corredores frios normalmente estão voltados para os dutos de saída do ar condicionado e os
corredores quentes devem estar voltados para os dutos de entrada do ar condicionado
ÿ Protege o hardware da umidade e do calor, aumenta o

desempenho do hardware e mantém a temperatura ambiente
consistente
Corredores quentes e frios
Os corredores quentes e frios formam um arranjo sistemático de equipamentos para manter o fluxo de ar e economizar
energia. Muitas organizações seguem o alinhamento do corredor quente e frio, que é usado principalmente em salas de
servidores, data centers, etc., onde equipamentos eletrônicos pesados são usados.
Os racks de equipamentos pesados ou servidores são dispostos de forma que as frentes dos equipamentos fiquem
voltadas para o ar frio dos aparelhos de ar condicionado. A parte de trás do equipamento fica voltada para a parte de trás
do próximo rack de equipamentos. Este arranjo é seguido por todos os equipamentos da sala, empurrando o ar quente
da parte de trás do equipamento para uma das extremidades da sala. As condições de resfriamento são mantidas para
que o ar quente que sai do equipamento seja aspirado e não se misture com o ar frio do ambiente. Dependendo da
conveniência, o sistema de resfriamento é colocado abaixo ou acima da sala. Os corredores frios normalmente estão
voltados para os dutos de saída do ar-condicionado e os corredores quentes estão voltados para os dutos de entrada do ar-condicionado.
Isso protege o hardware da umidade e do calor, aumenta o desempenho do hardware e mantém uma temperatura
ambiente consistente.
Corredor Frio: Vantagens e Desvantagens
ÿ Vantagens:
o Fácil de implementar, pois não requer nenhuma arquitetura suplementar para expelir o ar
o Requer portas apenas no final
o Relativamente mais barato
o Pode se encaixar facilmente em um data center existente em termos de aspectos como energia e
distribuição de rede
o Pode ser usado com um espaço de fornecimento de piso elevado

o Controla o suprimento de ar para corresponder ao fluxo de ar severo
ÿ Desvantagens:
o Cria problemas operacionais se armazenamento de baixa densidade ou racks de comunicação são

instalado no espaço do datacenter
o A maioria dos corredores frios tem tetos imediatamente acima do corredor, afetando o fogo e a iluminação
Projeto.
o Ar vazado de pisos elevados e aberturas sob o equipamento entra nos caminhos de ar

às unidades de resfriamento, afetando a eficiência do sistema.
Corredor Quente: Vantagens e Desvantagens
ÿ Vantagens:
o Vazamento de aberturas de piso elevado é passado para o espaço frio
o Relativamente mais eficaz
o Funciona bem em ambiente de laje fornecendo um volume de ar adequado e cobrindo o ar de exaustão
o Fornece resfriamento para o espaço geral do data center
o Perfeita distribuição de ar por todo o espaço
ÿ Desvantagens:
o Sempre requer espaço adicional para o fluxo de ar do corredor quente para o resfriamento
unidade
o Muito caro
o Desconfortável para os técnicos durante o trabalho de manutenção

Listas de verificação de segurança física
Certifique-se de que métodos de controle de

Certifique-se de que as áreas sensíveis
1 acesso adequados sejam implementados para 2 sejam monitoradas com iluminação adequada
evitar acesso não autorizado
Certifique-se de que um sistema de alarme esteja

Certifique-se de que um sistema de trava de
instalado para todos os tipos de ameaças, como
3 incêndio, fumaça, eletricidade, água, etc., e esteja
4 porta apropriado seja implementado e esteja
funcionando corretamente
funcionando corretamente
Garantir que um número adequado de guardas

de segurança seja contratado para monitorar Garantir que o pessoal de segurança receba
5 a segurança física do campus
6 treinamento adequado
Listas de verificação de segurança física
A segurança física de uma organização pode ser construída em camadas ou implementada seguindo uma estratégia
de defesa em profundidade. A organização deve considerar a implementação de todos os controles e medidas de
segurança física para garantir a segurança física de defesa em profundidade.
A lista de verificação a seguir pode ajudar uma organização a garantir que está implementando os controles e medidas
de segurança adequados.
ÿ Seguir as regras de direitos autorais e restrições de licenciamento: A organização deve impor regras de
direitos autorais e restrições de licenciamento para evitar que pessoas de fora ou de dentro criem cópias
ilegais de software protegido por direitos autorais.
ÿ Armazene todos os itens removíveis e importantes em um armário quando não estiverem em uso: os
funcionários devem trancar todas as informações confidenciais e dispositivos importantes em um armário.
Eles não devem deixar nenhuma informação importante desacompanhada, pois pode chamar a atenção de um invasor.
ÿ Manter áreas sensíveis sob vigilância: A organização deve garantir a segurança de áreas sensíveis, como
salas de servidores. Vigilância CCTV e guardas podem ser empregados para manter a segurança em áreas
sensíveis. A organização deve aplicar vigilância 24 horas por dia, 7 dias por semana para essas áreas.
ÿ Sempre aconselhe os funcionários a passar o cartão na entrada: Passar os cartões de identificação na

entrada ajuda a organização a auditar os detalhes de login dos funcionários em caso de incidente.
ÿ Evite manter qualquer material combustível no local de trabalho: Sempre mantenha materiais combustíveis
longe do local de trabalho. Isso garante a segurança dos funcionários, das informações armazenadas e dos
dispositivos armazenados no local de trabalho.

ÿ Garantir sempre a satisfação da empresa: Empregar medidas de segurança que garantam a satisfação dos colaboradores.
As políticas e procedimentos impostos pela organização devem garantir compatibilidade com a infraestrutura da empresa.
As medidas de segurança física impostas devem detectar, relatar, corrigir e prevenir ataques.
ÿ Avalie a segurança física do local: A segurança adequada garante a segurança dos funcionários e das informações na
organização. A segurança do local pode ser aprimorada impedindo que invasores entrem nas estações de trabalho e salas
de servidores, bem como autenticando cada pessoa usando cartões de identificação ou biometria. Outras medidas de
segurança incluem trancar armários, portas e janelas, vigilância adequada usando CCTV e iluminação adequada.
ÿ Evite desconectar os consoles das portas: Desconectar cabos ou consoles das portas levará à desconexão do usuário.
Todos os cabos devem estar conectados às portas e funcionando corretamente.
ÿ Utilização de alarmes e sensores durante incêndio, fumo, etc.: A organização deve assegurar a utilização adequada de
sensores e alarmes para deteção de incêndio ou fumo nas instalações. A organização pode incluir sensores para
dispositivos para detectar qualquer tentativa de retirar esses dispositivos das instalações da organização.
ÿ Evitar danos ao hardware e software: Qualquer dano ao hardware ou software resulta em danos aos sistemas de informação
da organização. Danos ao hardware levam a danos aos sistemas eletrônicos e mecânicos usados no processamento de
dados. Danos ao software levam a danos aos programas e instruções usados para o desenvolvimento de dados.
ÿ Evite deixar quaisquer dispositivos ou dados importantes em áreas de estacionamento ou carros: Quaisquer
dispositivos ou dados desacompanhados podem atrair invasores e levar à perda desses itens ou informações valiosas. A
organização deve empregar um número adequado de guardas de segurança para monitorar todos os carros estacionados.
Iluminação adequada deve ser instalada para observar essas áreas claramente.
Câmeras de segurança devem ser empregadas em áreas sensíveis, e o pessoal que acessa essas áreas deve ser
registrado.
ÿ Evite armazenar informações confidenciais em dispositivos móveis: Armazenar informações confidenciais em um

dispositivo móvel não é recomendado, pois é fácil manipular os dados armazenados em um dispositivo móvel. Os invasores
podem obter acesso a dispositivos móveis e obter todas as suas informações confidenciais.
ÿ Certifique-se de que métodos de controle de acesso adequados sejam implementados para evitar
Acesso.
ÿ Certifique-se de que as áreas sensíveis sejam monitoradas com iluminação adequada.
ÿ Assegurar a instalação de um sistema de alarme para todo o tipo de ameaças como incêndio, fumo,
perda de energia e inundação e está funcionando corretamente.
ÿ Certifique-se de que um sistema de trava de porta apropriado seja implementado e esteja funcionando corretamente.

ÿ Assegurar a contratação de um número adequado de vigilantes para fiscalizar a

segurança do campus.
ÿ Certifique-se de que o pessoal de segurança está devidamente treinado.
ÿ Certifique-se de que o pessoal de segurança seja contratado de uma agência confiável.
ÿ Certifique-se de que as câmeras de vigilância estão funcionando corretamente e monitoradas regularmente.
ÿ Assegurar que os procedimentos adequados sejam implementados para detectar e relatar

incidentes de segurança.
ÿ Garantir que as informações de contato dos funcionários sejam mantidas para uso durante emergências.

Resumo do Módulo
1 Este módulo discutiu a importância da segurança física e seu papel no programa
de segurança da informação da organização
Este módulo apresentou a você os vários controles de segurança física e medidas de
2 segurança que as organizações devem considerar ao implementar a segurança física
3 Este módulo também explicou em detalhes sobre a importância da segurança no local

de trabalho
4 Finalmente, este módulo terminou com uma visão geral sobre vários controles ambientais
5 No próximo módulo, discutiremos detalhadamente os controles técnicos de

segurança de rede
Resumo do Módulo
Este módulo discutiu a importância da segurança física e sua função no programa de segurança da informação de
uma organização. Além disso, este módulo apresentou os vários controles de segurança física e medidas de
segurança que as organizações devem considerar ao implementar a segurança física. O módulo também explicou
em detalhes a importância da segurança no local de trabalho.
Finalmente, este módulo apresentou uma visão geral de vários controles ambientais.
No próximo módulo, discutiremos detalhadamente os controles técnicos de segurança de rede.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 05
C o n t r o l e s d e S eg ur a nç a de R e d e -
Co n t r ol e s T é c n i c o

Controles de Segurança de Rede - Controles Técnicos
Compreendendo a segmentação de rede e seus tipos
Compreendendo os diferentes tipos de firewalls e suas funções
Compreendendo os diferentes tipos de IDS/IPS e suas funções
Visão geral dos diferentes tipos de honeypots
Compreendendo os diferentes tipos de servidores proxy e seus benefícios
Compreendendo os fundamentos das redes privadas virtuais (VPNs) e sua importância na segurança da rede
Visão geral do gerenciamento de incidentes e eventos de segurança (SIEM) e análise de comportamento do usuário (UBA)
Visão geral de vários softwares antivírus/antimalware
O aspecto mais importante dos controles de segurança é a proteção dos ativos organizacionais, como pessoas,
propriedades e dados. Ao estabelecer controles de segurança, uma organização pode reduzir ou mitigar completamente
os riscos aos seus ativos. Este módulo fornece uma visão geral de vários controles técnicos que ajudam as
organizações a proteger suas redes privadas e ativos de TI.
ÿ Compreender a segmentação de rede e seus tipos
ÿ Descrever os diferentes tipos de firewalls e suas funções
ÿ Descrever os diferentes tipos de IDS/IPS e suas funções
ÿ Explicar os diferentes tipos de honeypots
ÿ Entenda os diferentes tipos de servidores proxy e seus benefícios
ÿ Compreender os fundamentos das redes privadas virtuais (VPNs) e sua importância na

segurança de rede
ÿ Explicar o gerenciamento de incidentes e eventos de segurança (SIEM)
ÿ Compreender a análise de comportamento do usuário (UBA)
ÿ Aplicar vários softwares antivírus/antimalware

Fluxo do módulo
Entenda diferente Entenda diferente Entenda diferente

1 Tipos de Rede 2 Tipos de firewalls e 3 Tipos de IDS/IPS e sua
Segmentação sua função função
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Discutir incidentes de Entenda vários

Discutir o comportamento do usuário
7 segurança e gerenciamento de eventos 8 Análise (UBA)
9 Software
(SIEM) antivírus/antimalware
Entenda os diferentes tipos de segmentação de rede

A segmentação de rede aumenta a segurança da rede criando camadas da rede e separando os
servidores que contêm informações confidenciais do restante dos servidores. O objetivo desta
seção é explicar o papel da segmentação de rede na segurança da rede.

O que é Segmentação de Rede?

Proxy E-mail Rede
ÿ Segmentação de rede é a prática de dividir uma rede Servidor Servidor Servidor
em segmentos de rede menores e separar grupos de

sistemas ou aplicativos uns dos outros
INTERNO DMZ1
ZONA ZONA
ÿ Em uma rede segmentada, grupos de sistemas ou

aplicativos que não interagem entre si serão colocados em Do utilizador
Estações de trabalho
diferentes segmentos de rede
Internet
ÿ Benefícios de segurança da segmentação de rede
Firewall
ÿ Segurança aprimorada
ÿ Melhor controle de acesso

DMZ2
interno
ZONA
ÿ Monitoramento aprimorado Servidores
ÿ Melhor desempenho
Base de dados
ÿ Melhor Contenção Inscrição
Servidores Servidores
O que é Segmentação de Rede?
A segmentação de rede é a prática de dividir uma rede em segmentos de rede menores, separando grupos de sistemas
ou aplicativos uns dos outros. Seja uma segmentação de rede física ou virtual, ambas podem restringir a comunicação
em toda a rede e também restringir os ataques à rede. Em uma rede segmentada, grupos de sistemas ou aplicativos
que não interagem uns com os outros são colocados em diferentes segmentos de rede. Mesmo que um invasor/interno
consiga penetrar na segurança do perímetro, ele não poderá acessar os recursos da rede de um segmento para outro.
A segmentação de rede supera a desvantagem de uma rede plana tradicional onde todos os recursos de rede (servidores,
estações de trabalho, etc.) são colocados na mesma rede. Se um invasor conseguir penetrar pela defesa do perímetro,
poderá ver e ter acesso fácil a uma rede plana, pois a maioria das ferramentas de detecção se concentra no que está
acontecendo fora de uma rede. Embora seja fácil gerenciar uma infraestrutura de rede plana, ela está sempre aberta a
vários ataques.
Benefícios de segurança da segmentação de rede:
ÿ Segurança aprimorada: isola o tráfego de rede para impedir o acesso entre

segmentos.
ÿ Melhor controle de acesso: Permite acessar recursos específicos da rede.
ÿ Monitoramento aprimorado: fornece registro de eventos, monitoramento e negação de

conexões e detecção de ações maliciosas.
ÿ Melhor desempenho: reduz o tráfego local, com menos hosts por sub-rede e
isola o tráfego de transmissão para a sub-rede local.
ÿ Melhor contenção: limita quaisquer problemas de rede que possam ocorrer na sub-rede local.

Princípio de trabalho da segmentação de rede
Figura 5.1: Princípio de Funcionamento da Segmentação de Rede
No diagrama acima, a segmentação de rede é usada para separar os servidores nos quais são usados
um firewall, duas zonas DMZ (zonas desmilitarizadas e uma sub-rede isolada da camada 3) e uma zona
interna.
Os servidores Web e servidores de e-mail são separados dos servidores que não requerem acesso direto
à Internet, pois ambos os servidores precisam estar voltados para a Internet e são vulneráveis a ataques.
Mesmo que um dos servidores voltados para a Internet seja comprometido, a separação de ambos os
servidores pode reduzir os danos.
O tráfego bidirecional é permitido da zona interna e DMZ2 para backups/autenticação via diretório ativo,
enquanto o tráfego unidirecional é permitido apenas da zona interna para DMZ1.
Os servidores proxy, de e-mail e da Web do DMZ1 são separados dos servidores de aplicativo e banco
de dados do DMZ2 para maior segurança.
O firewall permite o tráfego de internet para DMZ1 através de determinadas portas (80, 25, 443, etc.)
DMZ2.
Se as estações de trabalho do usuário na zona interna exigirem acesso à Internet, o acesso será
direcionado por meio de um servidor proxy HTTP em DMZ1, pois a zona interna é isolada do tráfego da
Internet. Mesmo que um servidor na DMZ1 seja comprometido, a zona interna permanecerá protegida,
pois o tráfego da zona interna para a DMZ1 é permitido apenas em um sentido.
A segmentação no diagrama acima representa uma segmentação de zona de segurança de firewall que
pode otimizar a segurança da rede. Para maior segurança, uma solução de filtragem da Web baseada
em nuvem (por exemplo, WebTitan, TitanHQ, SolarWinds MSP, etc.) pode ser usada para permitir a
filtragem das solicitações do site e impedir que os usuários finais acessem sites maliciosos.

Tipos de Segmentação de Rede
Segmentação física
A segmentação física é um processo de divisão de uma
rede maior em componentes físicos menores
Segmento 3
hub compartilhado
Dispositivo 1 Dispositivo 2 Dispositivo 3
Esses segmentos podem se comunicar por

Segmento 2
meio de dispositivos intermediários , como switches, Roteador
hub compartilhado
hubs ou roteadores
Segmento 1
hub compartilhado
A segmentação de rede física pode ser uma abordagem

fácil para dividir uma rede, mas é cara , pois ocupa mais Internet
espaço Serviços
Tipos de segmentação de rede (continuação)
Segmentação Lógica
ÿ A segmentação lógica utiliza VLANs, que são
isolado logicamente sem considerar as localizações VLAN 1 VLAN 2 VLAN 3
físicas dos dispositivos VLAN
Interruptor 1
ÿ Cada VLAN é considerada uma lógica independente Dispositivo 1 Dispositivo 1 Dispositivo 1
unidade, e os dispositivos dentro de uma VLAN se

VLAN
comunicam como se estivessem em sua própria rede isolada Interruptor 2
Roteador
ÿ Nesta abordagem, os firewalls são compartilhados Dispositivo 2 Dispositivo 2 Dispositivo 2
e os switches lidam com a infraestrutura de VLAN

VLAN
Interruptor 3
ÿ É mais fácil de implementar e flexível de operar Internet

Serviços

Tipos de segmentação de rede (continuação)

Rede Virtual do Departamento de Vendas Rede Virtual do Departamento de Marketing
Virtualização de rede
ÿ A virtualização de rede é um processo de

combinar todos os recursos de rede
disponíveis e permitir que os profissionais de
segurança compartilhem esses recursos entre
os usuários da rede usando uma única
Camada de Virtualização
unidade administrativa
Camada física
ÿ A virtualização de rede permite que cada

usuário para acessar a rede disponível
recursos como arquivos, pastas,
computadores, impressoras, discos rígidos,
etc. de seu sistema
Tipos de Segmentação de Rede

A segmentação de rede pode ser implementada de três maneiras, a saber, segmentação física,
segmentação lógica e virtualização, em que a rede é isolada fisicamente, isolada logicamente (por
meio de redes locais virtuais ou VLANs) e totalmente virtualizada, respectivamente.
ÿ Segmentação Física: A segmentação física é um processo de divisão de uma rede maior em
componentes físicos menores. Esses segmentos podem se comunicar por meio de dispositivos
intermediários, como switches, hubs ou roteadores. A segmentação física é geralmente usada
para isolar dois ou mais dispositivos uns dos outros. Por exemplo, todos os servidores web
são separados e colocados em um segmento, com servidores de banco de dados e servidores
FTP (File Transfer Protocol) em dois outros segmentos; esses segmentos se comunicam
apenas por meio de seus switches individuais. A segmentação de rede física pode ser uma
abordagem fácil para dividir uma rede, mas é cara, pois ocupa mais espaço e cria problemas
indesejados, como conflitos de tráfego. Também é conhecido por ser um mecanismo seguro,
mas é difícil de implementar, pois cada segmento da rede deve ter conexões de rede
individuais, cabeamento físico e implementações de firewall.

Figura 5.2: Segmentação física da rede
ÿ Segmentação Lógica: Para superar os problemas associados à segmentação física, as organizações escolhem
a segmentação lógica de sua rede. A segmentação lógica utiliza VLANs, que são isoladas logicamente sem
considerar as localizações físicas dos dispositivos. Cada VLAN é considerada uma unidade lógica independente
e os dispositivos dentro de uma VLAN se comunicam como se estivessem em sua própria rede isolada. Esse
tipo de segmentação é mais fácil de implementar e flexível de operar. Nessa abordagem, os firewalls são
compartilhados e os switches lidam com a infraestrutura de VLAN. A segmentação lógica não precisa de novo
hardware e o ambiente fornecido é gerenciado com os recursos de hardware existentes. Esse tipo de
segmentação emprega os conceitos incorporados à infraestrutura de rede, como a criação de VLANs
independentes que compartilham um dispositivo de roteamento físico (switch), segregação de vários tipos de
ativos em diferentes sub-redes de camada 3 e uso de um roteador para permitir a troca de dados entre sub-
redes.
A seguir estão as principais vantagens da segmentação lógica:
o Permite a criação de grupos de trabalho virtuais independentemente da localização dos usuários.
o Ele efetivamente controla a transmissão da rede.
o Melhora a segurança definindo quais nós da rede podem interagir uns com os outros.
o Elimina os limites físicos entre os usuários.

Figura 5.3: Segmentação lógica da rede
ÿ Virtualização de Rede: A Virtualização de Rede (NV) é um processo de combinar todos os

recursos de rede disponíveis e permitir que os profissionais de segurança compartilhem
esses recursos entre os usuários da rede usando uma única unidade administrativa. Ele
abstrai recursos de rede tradicionalmente alocados como hardware real para software. A
NV pode combinar várias redes físicas em uma rede virtual baseada em software ou dividir
uma rede física em redes virtuais separadas e independentes. NV fornece sistemas e
usuários com compartilhamento eficiente, controlado e seguro de recursos de rede
(arquivos, pastas, computadores, impressoras, discos rígidos, etc.). O NV divide a largura
de banda disponível em canais independentes, que podem ser atribuídos ou reatribuídos a
um determinado servidor ou dispositivo em tempo real. Por exemplo, uma LAN virtual
(VLAN) pode unir dispositivos de rede em uma unidade independentemente de sua
localização física, permitindo assim a criação de uma subseção da rede local (LAN).
A seguir estão as principais vantagens da virtualização de rede:
o Permite o uso eficiente, flexível e escalável da rede.
o Separa logicamente o domínio administrativo subjacente com o domínio sobreposto.
o Acomoda a natureza dinâmica da virtualização do servidor.
o Fornece segurança e isolamento de tráfego e detalhes de rede de um usuário para
outro.

Figura 5.4: Ilustração da virtualização de rede

Introdução ao Bastion Host
01 Um bastion host é um sistema de computador projetado e configurado para proteger os recursos de rede contra ataques
02 Um bastion host é o único computador host na Internet que pode ser acessado diretamente da rede pública
03 Ele fornece uma gama limitada de serviços , como hospedagem de sites e correio para garantir a segurança
Internet intranet
Firewall
Bastião
Hospedeiro
Introdução ao Bastion Host
Um bastion host é projetado para defender uma rede contra ataques. Ele atua como um mediador entre redes internas
e externas. Um bastion host é um sistema de computador projetado e configurado para proteger os recursos de rede
contra ataques. Ele fornece uma gama limitada de serviços, como hospedagem de sites e correio para garantir a
segurança. O tráfego que entra ou sai da rede passa por um firewall. Um bastion host tem duas interfaces:
ÿ Uma interface pública diretamente conectada à Internet
ÿ Uma interface privada conectada à intranet
Um bastion host é o único computador host na Internet que pode ser acessado diretamente da rede pública. Como
esses componentes estão expostos a riscos substanciais, é necessário um esforço enorme para projetar e configurar
hosts bastiões para minimizar a probabilidade de ataques.
Vários outros tipos de hosts bastiões são web, correio, Sistema de Nome de Domínio (DNS) e servidores FTP. Os
hosts Bastion também fornecem filtragem de pacotes e serviços de proxy.
Figura 5.5: Ilustração do Bastion Host

Necessidade de Bastion Host
01
Minimize as chances de penetração por intrusos
02 Criar todos os logs, que podem ser usados para identificar ataques ou Criar todos os logs, que podem ser usados para
identificar ataques ou tentativas de ataque
Em caso de ataque, bastion host atua como bode expiatório

03
Forneça um nível adicional de segurança

04
Necessidade de Bastion Host
Um bastion host é um sistema que possui várias interfaces de rede expostas à Internet. O sistema operacional
em tal dispositivo é feito resistente para criar mais segurança do que em qualquer outro computador na rede.
Após a configuração do computador e instalação do software, os conjuntos de regras para tráfego interno e
externo podem ser instalados e configurados sobre o sistema operacional protegido.
Todos os serviços de rede estão desabilitados nos bastion hosts. Eles permitem apenas o acesso à Internet
especificado. Por exemplo, não deve haver nenhuma conta de usuário no servidor bastion, o que cria a
possibilidade de um usuário se conectar ao sistema e assumir o controle dele e também acessar a Internet.
Mesmo o sistema de arquivos de rede, que oferece acesso a arquivos pela rede, também deve ser desabilitado
para não criar uma oportunidade de acesso ao servidor bastião e aos arquivos que podem ser acessados na
Internet. O local mais seguro para colocar o host é na sub-rede como um componente do firewall. A principal
vantagem de colocá-los em sua própria rede é que fica difícil comprometê-los sem nenhum outro recurso na
rede.
Os servidores Bastion criam todos os logs, que podem ser usados pelo administrador da intranet, para informar
se houve um ataque ou tentativas de ataque. Duas cópias dos logs do sistema são mantidas como backup por
vários motivos de segurança. Um dos métodos possíveis para fazer backup dos logs de segurança é conectar o
bastion host a um computador dedicado, que funciona apenas para acompanhar os logs de backup seguros.
Os monitores automatizados são programas mais complexos do que o software de auditoria. Os monitores
automatizados verificam frequentemente os logs do sistema do servidor bastion e disparam alarmes se alguma
atividade suspeita for encontrada nos logs do sistema. Por exemplo, um alarme é acionado se encontrar
tentativas malsucedidas de um usuário com três logins diferentes.

O número de bastion hosts em um firewall não é restrito a um determinado número. Cada bastion host
pode gerenciar vários serviços de Internet na mesma intranet. Em alguns casos, o bastion host pode ser
usado como uma máquina vítima. A máquina vítima pode então ser usada para lidar com
o serviço de Internet que não pode ser gerenciado pelo proxy ou pelos serviços de Internet em que os
problemas de segurança não são conhecidos. Os serviços são substituídos na máquina da vítima em vez
do bastion host por outros serviços. Ele atua como um backup para os servidores bastion mesmo se o
servidor estiver inativo.
Se o roteador de filtragem for colocado entre o bastion host e a intranet, pode ser uma segurança
adicional. O roteador de filtragem descarta todos os pacotes não autorizados após verificar todos os
pacotes entre a Internet e a intranet.
O servidor bastion não pode gerenciar as solicitações, como enviar uma página da Web ou entregar e-
mail quando recebe uma solicitação de serviço. A solicitação é enviada para o servidor de intranet adequado.
O servidor da intranet processa a solicitação e a resposta é enviada de volta ao servidor bastion. O
servidor bastion despacha o serviço solicitado ao solicitante.
Alguns servidores bastion incorporam programas de auditoria, que verificam se um ataque foi lançado
contra eles. Existem várias formas de auditoria. Pode-se usar o programa de soma de verificação para
auditar, que é usado para verificar se alguma pessoa não autorizada modificou algum software no servidor
bastião. A soma de verificação é calculada com base no tamanho de um programa executável instalado
no servidor. Este programa calcula a soma de verificação para ver se há alguma modificação. Se houver
alguma alteração na soma de verificação, essas alterações são indícios de um ataque.

Posicionando o
Bastion Host
Localização física Local de rede
ÿ Colocado em uma sala de servidores especialmente ÿ Definido em uma rede especial também conhecida como
selecionada com controles ambientais adequados Zona desmilitarizada (DMZ) que não transporta dados
confidenciais
ÿ Deve ser configurado em um gabinete de servidor ÿ Evite colocar o bastion host em redes internas
trancado com ventilação, resfriamento e energia de
backup adequados
ÿ Deve estar localizado em uma camada adicional conhecida
como rede de perímetro
ÿ Conecte o roteador de filtragem de pacotes
Posicionando o Bastion Host (continuação)
Bastião
Exterior
Anfitriões
Firewall
Internet
DMZ ou rede de perímetro
Firewall interior
intranet
Posicionando o Bastion Host
Existem várias opções para posicionar um bastion host dentro da configuração de rede, a saber:
ÿ Localização Física: O bastion host é colocado em uma sala de servidores especialmente selecionada com
controles ambientais adequados (contra condições climáticas extremas) e os requisitos físicos necessários

Dispositivos de segurança. Ele deve ser instalado em um gabinete de servidor trancado com ventilação,
resfriamento e energia de backup adequados.
ÿ Localização da rede: o host é colocado em sua própria rede, também conhecida como zona desmilitarizada, onde
não existe tráfego de rede secreto. Recomenda-se evitar colocar o bastion host em redes internas. O bastion host
deve estar localizado em uma camada adicional conhecida como rede de perímetro, e um roteador de filtragem de
pacotes deve ser conectado a ele.
Figura 5.6: Posicionando o Bastion Host

Tipos de Bastion Hosts: Single-homed
ÿ Um dispositivo de firewall com apenas uma interface de rede
ÿ Todo o tráfego, tanto de entrada quanto de saída, é roteado pelo bastion

host
ÿ Testa os dados de acordo com as diretrizes de segurança e age de acordo
Firewall externo
Internet
solteiro
Bastion Host
Firewall interior
intranet
Tipos de Bastion Hosts: Multi-homed

ÿ Um dispositivo de firewall com pelo menos duas interfaces de rede
ÿ Este tipo de bastion host é capaz de separar redes internas e externas, melhorando
assim a segurança
Firewall externo
Internet
Multi-homed
Bastion Host
Firewall interno
intranet

Tipos de Bastion Hosts:

Bastion Host Interno
01 Eles residem dentro da rede interna de uma organização
02 Pode ser single-homed ou multi-homed
03 Os dispositivos de rede interna se comunicam com o bastion host interno
Firewall exterior
Internet
Firewall interno
intranet
Bastion Host Interno
Tipos de Bastion Hosts (continuação)
Hosts dual-homed sem roteamento Máquinas Vítimas
ÿ Operam com múltiplas redes ÿ As máquinas vítimas permitem o login de

conexões, mas as conexões de rede não qualquer usuário ÿ São úteis para testar novos
interagem entre si
aplicativos cujas falhas de segurança ainda não são
conhecidas e para executar serviços que não são seguros
Hosts de serviços externos Firewalls de caixa única
ÿ Bastion hosts são visíveis para todos, o que os ÿ Se uma máquina é construída como um firewall, é
torna vulneráveis a ataques propenso a mais ataques
ÿ Exigem apenas privilégios mínimos de acesso à ÿ A segurança de todo o site depende deste único
rede interna, fornecendo apenas alguns serviços máquina, por isso é necessário garantir que esta
máquina seja absolutamente segura
Tipos de Bastion Hosts
Na maioria das configurações, o bastion host central é conectado a determinados hosts internos.
Por exemplo, o bastion host pode passar o e-mail para um servidor de e-mail interno, harmonizando-se
com um servidor de nomes interno. Esses servidores internos são hosts bastiões secundários e devem
ser mais organizados e monitorados como os hosts bastiões do que como hosts internos. Alguns serviços
podem ser deixados habilitados nesses sistemas, mas devem ser configurados da mesma forma que os
bastion hosts são configurados.

ÿ Bastion Host de hospedagem única
Um bastion host de hospedagem única é um dispositivo de firewall com apenas uma interface de rede. Todo
o tráfego, tanto de entrada quanto de saída, é roteado por meio do bastion host. Ele testa os dados em relação
às diretrizes de segurança e age de acordo.
Figura 5.7: host de bastião de hospedagem única
ÿ Bastion Host Multi-homed
Um host bastion multihomed é um dispositivo de firewall com pelo menos duas interfaces de rede.
Este tipo de bastion host é capaz de separar redes internas e externas, melhorando assim a segurança.
Figura 5.8: Bastião host multi-homed

ÿ Bastion Host Interno
Bastion hosts internos residem dentro da rede interna de uma organização. Eles podem ser hosts bastion de
hospedagem única ou multihomed. Os dispositivos de rede interna se comunicam com o bastion host interno.
Figura 5.9: Bastião host interno
ÿ Hosts Dual-homed sem roteamento
Um host bastion sem roteamento tem um host dual-homed com várias conexões de rede que não interagem
entre si. Esse tipo de host é totalmente um firewall ou pode ser um componente de um firewall multifacetado.
Se o host for um firewall, deve-se ter cuidado para que a configuração e as instruções do bastion host sejam
seguidas com
preocupação.
ÿ Máquinas Vítimas
Nos casos em que haja necessidade de executar serviços não seguros e algumas novas aplicações cujas
falhas de segurança ainda não sejam conhecidas; você pode usar uma máquina (uma máquina vítima) para
instalá-los. Essas máquinas permitem que qualquer usuário faça login. Não há problema, mesmo que essas
máquinas estejam comprometidas. Uma máquina vítima é descartável no sentido de que é usada apenas para
aplicativos com implicações de segurança e para nenhum outro propósito.
As máquinas vítimas são configuradas no procedimento semelhante a um bastion host típico, esperando que
sempre tenham usuários para efetuar login. Será sensato se as pressões forem resistidas, como o desejo do
usuário por mais serviços e programas do que os fornecidos o sistema bastião usual. Também deve-se garantir
que o usuário não se sinta confortável com as máquinas vítimas, porque o design pretendido pode não
funcionar mais. O fator importante que deve ser considerado é que não é reutilizável.

ÿ Hosts de Serviços Externos
Os Bastion hosts, que fornecem serviços exclusivos para a Internet, têm uma preocupação única; eles são
visíveis para todos. Isso o torna vulnerável a ataques e o aumento da vulnerabilidade estará sujeito a ataques
mais bem-sucedidos. Se um dos serviços internos fornecidos aos usuários internos for comprometido, não é
óbvio que terceiros possam avaliar os serviços. Se uma das páginas do site for substituída, todos ficarão cientes
da alteração e tomarão nota dela. Essas máquinas deveriam ter mais recursos de segurança e não possuem
recursos mínimos para facilitar a proteção.
Eles exigem apenas privilégios mínimos de acesso à rede interna.
ÿ Firewalls de caixa única
Se a máquina for construída como um firewall, e não como parte de uma parede, ela estará mais propensa a
ataques. A segurança de todo o site depende dessa máquina. É sempre necessário garantir que esta máquina
esteja absolutamente segura. Uma réplica do sistema original pode ser usada para testar a nova configuração
sem comprometer a conexão com a Internet.

O que é Zona Desmilitarizada (DMZ)?

ÿ Uma sub-rede de computador é colocada entre a rede privada da organização, como uma LAN, e uma rede externa
rede pública, como a Internet, e atua como uma camada de segurança adicional
ÿ Contém os servidores que precisam ser acessados

Rede interna
de uma rede externa três pernas
Firewall
ÿ Servidores Web
ÿ Servidores de e-mail
ÿ Servidores DNS
Internet
ÿ Configurações DMZ
ÿ Ambas as redes internas e externas podem se conectar ao
DMZ
ÿ Hosts na DMZ podem se conectar a redes externas
ÿ Mas hosts na DMZ não podem se conectar a redes internas Rede DMZ
O que é Zona Desmilitarizada (DMZ)?
Uma zona desmilitarizada (DMZ) é uma pequena rede que é colocada entre a rede privada da organização e uma rede pública
externa. Ele impede que alguém de fora obtenha acesso direto ao servidor da organização. Por exemplo, se um invasor usar
uma rede pública para acessar um host DMZ e invadi-lo, apenas as informações desse host serão comprometidas. Desta
forma, uma DMZ atua como uma camada adicional de segurança para as redes e diminui a ameaça de invasão na rede interna.
Uma DMZ consiste nos seguintes tipos de servidores, que precisam ser acessíveis de fora da rede:
ÿ Servidores Web
ÿ Servidores de e-mail
ÿ Servidores de sistema de nome de domínio (DNS)
Configurações DMZ:
ÿ Ambas as redes internas e externas podem se conectar a uma DMZ
ÿ Hosts na DMZ podem se conectar a redes externas
ÿ Hosts na DMZ não podem se conectar a redes internas

Figura 5.10: Representação de uma DMZ
Vantagens do DMZ:
ÿ A separação da DMZ da LAN permite proteção de alto nível da LAN.

ÿ
Proporciona um maior controle dos recursos.
ÿ
Ele usa vários produtos baseados em software e hardware de diferentes plataformas para fornecer uma
camada adicional de proteção.
ÿ
Ele fornece um alto nível de flexibilidade para aplicativos baseados na Internet, como e-mail, serviços da
Web, etc.

Diferentes maneiras de criar uma DMZ

ÿ Neste modelo, a arquitetura de rede contendo a DMZ consiste em três
interfaces
solteiro ÿ A primeira interface de rede conecta o ISP ao firewall, formando a rede externa, enquanto a
Firewall DMZ segunda interface forma a rede interna
ÿ A terceira interface forma a DMZ
Firewall Rede corporativa
Interface 1 Interface 2
Internet Interface 3
pacotes
recebidos DMZ
Web DNS Extranet Correspondência
pública servidor servidor servidor

servidor Rede interna
Diferentes maneiras de criar uma DMZ (continuação)
ÿ Essa abordagem usa dois firewalls para criar uma DMZ ÿ O

Firewall duplo primeiro firewall permite que apenas o tráfego limpo entre na DMZ, enquanto o segundo firewall
DMZ realiza uma verificação dupla sobre ele
ÿ É a abordagem mais segura na implementação de uma DMZ
Rede corporativa
Público
interno
Firewall
Firewall
Internet
pacotes
DMZ
recebidos
Web DNS Extranet

Rede interna
Correspondência
pública servidor servidor servidor

servidor
Diferentes maneiras de criar uma DMZ

Dois métodos básicos para projetar uma rede com uma DMZ são usar um único firewall (modelo
de três pernas) e usar firewalls duplos. Também é possível estender essas configurações de
acordo com os requisitos da rede.
ÿ DMZ de firewall único: Neste modelo, a arquitetura de rede que contém o DMZ consiste
em três interfaces de rede. A primeira interface de rede conecta a internet

provedor de serviços (ISP) ao firewall, formando a rede externa, enquanto a segunda interface forma a
rede interna. A terceira interface forma a DMZ. O firewall atua como um único ponto de falha e deve ser
capaz de gerenciar todo o tráfego para a DMZ.
Figura 5.11: DMZ de firewall único
ÿ DMZ de firewall duplo: A abordagem de firewall duplo usa dois firewalls para criar uma DMZ. O primeiro
firewall permite que apenas o tráfego limpo entre na DMZ, enquanto o segundo firewall realiza uma
verificação dupla. A abordagem de firewall duplo é a abordagem mais segura na implementação de uma
DMZ e também adiciona mais complexidade.
Figura 5.12: Firewall duplo DMZ
Qualquer servidor que exija exposição a uma rede pública pode ser colocado na DMZ. É possível para os
profissionais de segurança colocar servidores como servidores web, servidores DNS, servidores de e-mail e
servidores de protocolo de transferência de arquivo (FTP) na DMZ e habilitar o acesso para clientes internos e
externos.

Fluxo do módulo

Entenda diferente
Segurança

9 Software
Entenda os diferentes tipos de firewalls e suas funções

Esta seção descreve o firewall e os diferentes tipos de tecnologias de firewall disponíveis. Isso inclui
filtragem de pacotes, inspeção multicamada com estado, gateway em nível de circuito, gateway em
nível de aplicativo, proxy de aplicativo, conversão de endereço de rede (NAT), rede privada virtual
(VPN) e firewall de próxima geração (NGFW).

O que é um Firewall?
ÿ Firewall é um software ou Seguro Privado

Internet
hardware, ou uma Rede
combinação de ambos,
que geralmente é usado
Tráfego restrito
para separar uma rede O tráfego é interrompido
porque não atende a critérios específicos
protegida de uma rede
pública desprotegida Tráfego Permitido Fora da Internet
Firewall
ÿ Ele monitora e filtra o tráfego

de entrada e saída da rede
Desconhecido
e impede o acesso não Somente o tráfego da Tráfego
Internet que atende aos
autorizado a critérios especificados pode passar
Acesso a Específico Especificadas

Recursos Tráfego Permitido
redes privadas
Firewall
O que é um Firewall?
Um firewall é um software ou hardware, ou uma combinação de ambos, que geralmente é usado para separar uma
rede protegida de uma rede pública desprotegida. Um firewall é um dispositivo seguro, confiável e confiável colocado
entre redes privadas e públicas. Ele ajuda a proteger uma rede privada dos usuários de uma rede diferente. Ele
monitora e filtra o tráfego de entrada e saída da rede e impede o acesso não autorizado a redes privadas. Ele possui
um conjunto de regras para rastrear o tráfego de rede de entrada e saída e também é responsável por permitir ou
negar a passagem do tráfego. Esses critérios são as regras e restrições configuradas no firewall e podem variar de
um tipo de firewall para outro.
Geralmente, um firewall filtra o tráfego com base no tipo de tráfego, endereços de origem ou destino, protocolos e
portas.

Figura 5.13: Funcionamento de um firewall
Uso típico de firewalls:

ÿ Para proteger os aplicativos e serviços de rede privada na rede interna de
o tráfego não autorizado e a rede pública.
ÿ Restringir o acesso dos hosts da rede privada e dos serviços da rede pública
rede.
ÿ Para oferecer suporte a uma tradução de endereço de rede, que ajuda no uso de endereços IP privados e no
compartilhamento de uma única conexão com a Internet.

Tipos de firewalls: firewalls de hardware
Um firewall de hardware é um suporte dedicado
01 dispositivo de hardware sozinho ou vem como parte de um

roteador
Público
Rede
02 O tráfego de rede é filtrado usando a técnica de filtragem

de pacotes Firewall de hardware
Geralmente parte de um
Roteador TCP/IP
Rede privada segura

É usado para filtrar o tráfego de rede para grandes
03 redes empresariais
Rede local privada
Rede pública
Tipos de Firewall:
Firewalls de software
ÿ Um firewall de software é um programa de software instalado em um
computador, assim como software normal
ÿ Geralmente é usado para filtrar o tráfego para usuários domésticos individuais
ÿ Filtra apenas o tráfego do computador no qual está instalado, não de toda a

rede
Computador com
software de firewall
Computador com
Computador com
Rede pública
Rede privada segura
Computador com Rede pública

Computador com
Observação: é recomendável configurar um firewall de software e hardware para melhor proteção

Tipos de firewalls: baseado em host e

Firewalls baseados em rede
Firewalls baseados em host Firewalls baseados em rede
ÿ O firewall baseado em host é usado para ÿ O firewall baseado em rede é usado

filtrar o tráfego de entrada/saída de um para filtrar o tráfego de entrada/saída
computador individual no qual está da LAN interna
instalado
ÿ É um firewall baseado em hardware
ÿ É um firewall baseado em software
ÿ Exemplo: pfSense, Smoothwall, Cisco
ÿ Este software de firewall vem como parte SonicWall, Netgear, ProSafe, D-Link, etc.
OS
ÿ Exemplo: Firewall do Windows, Iptables, UFW etc.
Observação: é recomendável configurar um firewall baseado em rede e host para melhor proteção
Tipos de Firewall
Existem dois tipos de firewall.
ÿ Firewalls de hardware
Um firewall de hardware é um dispositivo de firewall dedicado colocado no perímetro da rede. Ele é parte
integrante da configuração da rede e também está embutido em roteadores de banda larga ou usado como
um produto independente. Um firewall de hardware ajuda a proteger os sistemas na rede local e funciona de
forma eficaz com pouca ou nenhuma configuração. Emprega a técnica de filtragem de pacotes. Ele lê o
cabeçalho de um pacote para descobrir os endereços de origem e destino e os compara com um conjunto
de regras predefinidas e/ou criadas pelo usuário que determinam se deve encaminhar ou descartar o pacote.
Um firewall de hardware funciona em um sistema individual ou em uma rede específica conectada usando
uma única interface. Exemplos de firewalls de hardware incluem Cisco ASA e FortiGate.
Os firewalls de hardware protegem a rede local privada.
No entanto, os firewalls de hardware são caros e difíceis de implementar e atualizar.
Vantagens:
o Segurança: Um firewall de hardware com seu sistema operacional (SO) é considerado para reduzir os
riscos de segurança e aumentar o nível de controles de segurança.
o Velocidade: firewalls de hardware iniciam respostas mais rápidas e permitem mais tráfego.
o Interferência mínima: como um firewall de hardware é um componente de rede separado, ele permite um
melhor gerenciamento e permite que o firewall seja desligado, movido ou reconfigurado sem muita
interferência na rede.

Desvantagens:
o Mais caro que um firewall de software.
o Difícil de implementar e configurar.
o Consome mais espaço e envolve cabeamento.
Figura 5.14: Firewall de Hardware
ÿ Software Firewall
Um firewall de software é semelhante a um filtro. Ele fica entre um aplicativo regular e os componentes de rede
do sistema operacional. É mais útil para usuários domésticos individuais e é adequado para usuários móveis
que precisam de segurança digital ao trabalhar fora da rede corporativa. Além disso, é fácil de instalar no PC,
notebook ou servidor de grupo de trabalho de um indivíduo. Ele ajuda a proteger seu sistema contra tentativas
externas de acesso não autorizado e fornece proteção contra cavalos de Tróia e worms de e-mail do dia-a-dia.
Inclui controles de privacidade, filtragem da web e muito mais. Um firewall de software se implanta na área
crítica do caminho do aplicativo/rede. Ele analisa o fluxo de dados em relação ao conjunto de regras.
A configuração de um firewall de software é simples em comparação com a de um firewall de hardware. Um

firewall de software intercepta todas as solicitações de uma rede para o computador para determinar se são
válidas e protege o computador contra ataques e acesso não autorizado. Ele incorpora controles definidos pelo
usuário, controles de privacidade, filtragem da web, filtragem de conteúdo, etc., para restringir a execução de
aplicativos inseguros em um sistema individual.
Os firewalls de software usam mais recursos do que os firewalls de hardware, o que reduz a velocidade do
sistema. Exemplos de firewalls de software incluem aqueles produzidos por Norton, McAfee e Kaspersky.
Vantagens:
o Mais barato que os firewalls de hardware.
o Ideal para uso pessoal ou doméstico.
o Mais fácil de configurar e reconfigurar.

Desvantagens:
o Consome recursos do sistema.
o Difícil de desinstalar.
o Não é apropriado para ambientes que exigem tempos de resposta mais rápidos.
Figura 5.15: Firewall de Software
Observação: é recomendável configurar um firewall de software e hardware para melhor proteção.
ÿ Firewalls baseados em host
Um firewall baseado em host é um firewall baseado em software que pode filtrar o tráfego de entrada/saída de um
computador individual no qual está instalado e verifica qualquer atividade maliciosa em toda a rede. Ele vem como
parte do sistema operacional do sistema. Por exemplo, Microsoft Firewall que faz parte do sistema Windows, Iptables,
Uncomplicated Firewall (UFW), etc. Os diferentes níveis de análise de tráfego desses firewalls incluem análise de
pacotes nas camadas de rede e transporte do modelo OSI. Esses firewalls verificam o endereço MAC, o endereço
IP, a origem do pacote e a porta de destino antes de permitir a passagem de um pacote. Em seguida, um filtro stateful
valida os pacotes. No final, o pacote é validado na camada de aplicação.
Vantagens
o Fornece segurança para dispositivos independentemente da mudança de localização
o Fornece segurança interna e evita ataques internos ao permitir apenas acessos autorizados
usuários
o A instalação requer instalação básica de hardware/software
o Útil para indivíduos e pequenas empresas com menos dispositivos, pois fornecem
proteção personalizada

o Forneça flexibilidade permitindo que aplicativos e máquinas virtuais (VMs) levem seus firewalls baseados em host
com eles quando forem movidos entre ambientes de nuvem
o Permite configurar um único dispositivo para os requisitos de um indivíduo usando

regras de firewall
Desvantagens
o Não é adequado para redes maiores
o Fornecer menos segurança porque, se um invasor puder acessar um host, poderá desativar o firewall ou instalar
códigos maliciosos não detectados pela organização
o Deve ser substituído se a largura de banda exceder a taxa de transferência do firewall ou, caso contrário, mais
esforço será necessário para escalar todos os dispositivos se o número de hosts aumentar
o Caro, pois requer instalação e manutenção individual em cada servidor para

grandes organizações
o Equipe de TI dedicada é necessária para manter cada dispositivo
ÿ Firewalls baseados em rede
Um firewall baseado em rede é um firewall baseado em hardware que pode ser usado para filtrar o tráfego de
entrada/saída na LAN interna. Por exemplo, pfSense, Smoothwall, CISCO SonicWall, Netgear, ProSafe, D-Link, etc.
Esse firewall funciona no nível da rede e filtra os dados que atravessam a rede, formando um perímetro de rede
como a primeira linha de defesa. Ele funciona roteando o tráfego para servidores proxy, que gerenciam a transmissão
de dados na rede.
Vantagens
o Firewalls baseados em rede não requerem instalação individual e manutenção em

cada servidor.
o Como qualquer tráfego malicioso existiria na barreira da rede, eles podem fornecer maior
segurança do que os firewalls baseados em host podem fornecer a um host.
o Eles permitem escalabilidade quando as demandas de largura de banda de um cliente aumentam.
o Eles oferecem alta disponibilidade (uptime) e sua segurança pode ser estendida além de um
rede de provedor de serviço único.
o Eles exigem uma força de trabalho limitada que pode ser necessária para gerenciar um ou dois conjuntos de
firewalls de rede.
o São apropriados para PMEs ou organizações com grandes redes.
Desvantagens
o Eles não consideram aplicativos e vulnerabilidades em um sistema/VM.
o Eles não fornecem proteção para comunicação host-to-host na mesma VLAN.
o Sua configuração requer recursos altamente qualificados.

o Seu custo é menor no caso de grandes organizações.

o A manutenção incorreta de firewalls de rede que funcionam como servidores proxy pode
diminuir o desempenho da rede.
Observação: é recomendável configurar um firewall baseado em rede e host para melhor
proteção
No ambiente real, uma combinação de firewalls baseados em host e baseados em rede
fornece maior segurança. Por exemplo, se um invasor for capaz de violar a segurança no
nível da rede, ainda será difícil violar cada firewall baseado em host. Essa combinação é
adequada para grandes organizações com redes complexas, que apresentam níveis de
ameaça mais altos para seus dados confidenciais e precisam atender aos rígidos padrões de conformidade.

Tecnologias de firewall
Os firewalls são projetados e desenvolvidos com a ajuda de diferentes serviços de firewall
Cada serviço de firewall fornece segurança dependendo de sua eficiência e sofisticação
Pacote Nível de Circuito Inscrição

Filtragem Porta de entrada Proxy VPN
Próxima geração
Tecnologias tradicionais de firewall Firewall (NGFW)
Multicamadas com estado Nível de aplicativo Endereço de rede

Inspeção Porta de entrada Tradução
Tecnologias de firewall (continuação)

Tecnologias de firewall operando em cada camada OSI
Camada OSI Tecnologia de firewall
ÿ Rede privada virtual (VPN) ÿ

Inscrição
Proxies de aplicativos
Apresentação ÿ Virtual Private Network (VPN) ÿ Virtual
Private Network (VPN) ÿ Circuit-
Sessão
Level Gateways
Transporte
Filtragem de pacotes
ÿ Rede Privada Virtual (VPN) ÿ

Tradução de Endereço de Rede (NAT)
Rede
ÿ Filtragem de Pacotes ÿ Inspeção
Estatal de Multicamadas

Link de dados
Fisica ÿ Não Aplicável
Tecnologias de firewall
Os firewalls são projetados e desenvolvidos com a ajuda de diferentes serviços de firewall. Cada
serviço de firewall fornece segurança dependendo de sua eficiência e sofisticação. Existem
diferentes tipos de tecnologias de firewall dependendo de onde a comunicação está ocorrendo,
onde o tráfego é interceptado na rede, o estado que é rastreado e assim por diante. Considerando
as capacidades de diferentes firewalls, é fácil escolher e colocar um firewall adequado para
atender os requisitos de segurança da melhor maneira possível. Cada tipo de firewall tem suas vantagens.

Várias tecnologias de firewall estão disponíveis para as organizações implementarem suas medidas de segurança. Às
vezes, as tecnologias de firewall são combinadas com outras tecnologias para criar outra tecnologia de firewall. Por
exemplo, NAT é uma tecnologia de roteamento; no entanto, quando combinada com um firewall, é considerada uma
tecnologia de firewall.
As várias tecnologias de firewall estão listadas abaixo:
ÿ Filtragem de Pacotes
ÿ Gateways em Nível de Circuito
ÿ Gateways em nível de aplicativo
ÿ Stateful Multilayer Inspection Firewall
ÿ Proxy de Aplicação
ÿ Tradução de endereços de rede (NAT)
ÿ Rede Privada Virtual (VPN)
ÿ Firewall de Próxima Geração (NGFW)
A tabela abaixo resume as tecnologias que operam em cada camada OSI:
Camada OSI Tecnologia de firewall
ÿ Rede privada virtual (VPN) ÿ Proxies

Inscrição
de aplicativos
Apresentação ÿ Rede Privada Virtual (VPN)

Sessão
Gateways em nível de circuito
ÿ Rede Privada Virtual (VPN)

Transporte
ÿ Filtragem de Pacotes
ÿ Rede Privada Virtual (VPN) ÿ

Tradução de Endereço de Rede (NAT) ÿ
Rede
Filtragem de Pacotes ÿ Inspeção Estatal
de Multicamadas

Link de dados
Fisica ÿ Não Aplicável
Tabela 5.1: Tecnologias de firewall
Os níveis de segurança dessas tecnologias variam de acordo com seus níveis de eficiência. Uma comparação dessas
tecnologias pode ser feita permitindo que elas passem pela camada OSI entre os hosts. Os dados passam pelas
camadas intermediárias de uma camada superior para uma camada inferior.
Cada camada adiciona informações adicionais aos pacotes de dados. A camada inferior agora envia as informações
obtidas através da rede física para as camadas superiores e depois para o seu destino.

Firewall de filtragem de pacotes
O tráfego é filtrado com base

Inscrição
Os firewalls de filtragem de pacotes funcionam no em regras especificadas, incluindo
nível de rede do modelo OSI (ou o endereço IP de origem e destino,
tipo de pacote e número da porta
camada IP do TCP/IP) TCP
Tráfego desconhecido só é permitido
até o nível 2 da pilha de rede
Protocolo de Internet (IP)

Proibido
Eles geralmente fazem parte de um roteador. A maioria Permitido

dos roteadores suporta filtragem de pacotes Interface de rede
Tráfego de entrada Tráfego de saída permitido

Em um firewall de filtragem de pacotes, cada pacote é
comparado a um conjunto de critérios antes de ser
encaminhado
Firewall de filtragem de pacotes
A filtragem de pacotes é o recurso mais básico de todos os firewalls modernos. Os firewalls de filtragem de pacotes
funcionam no nível de rede do modelo OSI (ou na camada IP do TCP/IP). Eles geralmente fazem parte de um
roteador. A maioria dos roteadores oferece suporte à filtragem de pacotes. Em um firewall de filtragem de pacotes,
cada pacote é comparado a um conjunto de critérios antes de ser encaminhado. Dependendo do pacote e dos
critérios, o firewall pode:
ÿ Solte o pacote
ÿ Reencaminhar ou enviar mensagem ao remetente
Eles avaliam cada pacote com base nas informações do cabeçalho do pacote, incluindo endereço IP de origem,
endereço IP de destino, porta de origem, porta de destino, protocolo etc. Se as informações do cabeçalho do
pacote não corresponderem ao conjunto de regras, o firewall descartará o pacote; ou então, é encaminhado. As
regras podem incluir endereço IP de origem e destino, número de porta de origem e destino ou o protocolo usado.
Quando um pacote de dados passa pela rede, um filtro de pacotes verifica o cabeçalho do pacote e o compara
com a tabela de bypass de conexão que mantém um registro das conexões que passam pela rede. A vantagem
dos firewalls de filtragem de pacotes é seu baixo custo e baixo impacto no desempenho da rede.
O tráfego é filtrado com base em regras especificadas, incluindo endereço IP de origem e destino, tipo de pacote
e número da porta. O tráfego desconhecido só é permitido até o nível 2 da pilha de rede.

Figura 5.16: Firewall de filtragem de pacotes
Existem três métodos disponíveis para configurar filtros de pacotes após determinar o conjunto de regras de
filtragem:
ÿ Regra 1: Esta regra afirma que aceita apenas os pacotes que são seguros, descartando
o resto.
ÿ Regra 2: Esta regra afirma que o filtro descarta apenas os pacotes que são confirmados
inseguro.
ÿ Regra 3: Esta regra afirma que, se não houver instruções específicas fornecidas para qualquer pacote em
particular, o usuário terá a chance de decidir o que fazer com o pacote.
Um pacote de rede pode passar pela rede entrando na conexão previamente estabelecida. Se um novo pacote
entrar na rede, o firewall verifica os pacotes e verifica se o novo pacote segue/atende às regras. Em seguida, ele
encaminha o pacote para a rede e insere a nova entrada de pacote de dados da conexão na tabela de bypass.
Um firewall de filtragem de pacotes não é caro e nem afeta o desempenho da rede. A maioria dos roteadores
oferece suporte à filtragem de pacotes. A filtragem de pacotes é uma medida de segurança de nível relativamente
baixo que pode ser ignorada por técnicas como falsificação de pacotes, em que o invasor cria ou substitui
cabeçalhos de pacotes que não são filtrados pelo firewall.
Como pode ser julgado pelo nome, os firewalls baseados em filtro de pacotes se concentram em pacotes
individuais e analisam suas informações de cabeçalho, bem como o caminho direcionado. Os firewalls de
filtragem de pacotes tradicionais tomam suas decisões com base nas seguintes informações:
ÿ Endereço IP de origem: permite que o firewall verifique se o pacote está vindo de uma fonte válida ou
não. O cabeçalho IP armazena as informações sobre a origem do pacote e o endereço refere-se ao
endereço IP do sistema de origem.
ÿ Endereço IP de destino: permite que o firewall verifique se o pacote está indo para o destino correto; o
cabeçalho IP do pacote armazena o endereço de destino do pacote.

ÿ Porta TCP/UDP de origem: permite que o firewall verifique a porta de origem do pacote.
ÿ Porta TCP/UDP de destino: permite que o firewall verifique a porta de destino de um pacote para permitir ou
negar os serviços.
ÿ Bits de código TCP: Isso permite que o firewall verifique se o pacote tem um SYN, ACK ou
outros bits definidos para conexão.
ÿ Protocolo em uso: Os pacotes carregam protocolos, e este campo verifica o protocolo usado e
decide permitir ou negar pacotes associados.
ÿ Direção: Isso permite que o firewall verifique se o pacote está vindo de um firewall de filtro de pacotes ou
saindo dele.
ÿ Interface: Isso permite que o firewall verifique se o pacote está vindo de um

site não confiável.

Gateway em nível de circuito
O tráfego é filtrado com base
Os gateways de nível de circuito funcionam Inscrição em regras de sessão especificadas,

como quando uma sessão é iniciada
na camada de sessão do modelo OSI ou na
por um computador reconhecido
Camada TCP do TCP/IP
TCP Tráfego desconhecido só é permitido
até o nível 3 da pilha de rede
IP
Proibido
Eles monitoram o handshake TCP entre
Permitido
os pacotes para determinar se uma sessão Interface de Rede
solicitada é legítima ou não

As informações passadas para um
computador remoto por meio de um gateway de nível
de circuito parecem ter se originado do gateway
Gateway em nível de circuito
Os gateways de nível de circuito funcionam na camada de sessão do modelo OSI ou na camada TCP do TCP/IP.
Eles monitoram o handshake TCP entre os pacotes para determinar se uma sessão solicitada é legítima ou não.
As informações passadas para um computador remoto por meio de um gateway de nível de circuito parecem ter
se originado do gateway.
O firewall do gateway em nível de circuito usa os dados presentes nos cabeçalhos dos pacotes de dados para
executar sua ação. Não é um firewall autônomo, mas funciona em coordenação com outros firewalls, como filtro
de pacotes e proxy de aplicativo, para executar suas funções. As informações passadas para um computador
remoto por meio de um gateway de nível de circuito parecem ter se originado do gateway. Assim, os firewalls de
gateway em nível de circuito têm a capacidade de ocultar as informações da rede que protegem. Esses firewalls
são relativamente baratos.
O tráfego é filtrado com base em regras de sessão especificadas, como quando uma sessão é iniciada por um
computador reconhecido. O tráfego desconhecido só é permitido até o nível 3 da pilha de rede.

Figura 5.17: Gateway em nível de circuito
Se um sistema deseja visualizar informações sobre o outro sistema, ele envia uma solicitação ao
segundo sistema e o firewall do gateway em nível de circuito intercepta essa solicitação. O firewall
encaminha o pacote para o sistema destinatário com um endereço diferente. Após o primeiro
sistema receber a resposta, o firewall verifica se a resposta corresponde ao endereço IP do sistema
inicial. Se a resposta corresponder, o firewall encaminha o pacote, caso contrário, ele o descarta.
Vantagens
ÿ Oculta dados da rede privada
ÿ Não filtra pacotes individuais
ÿ Não requer um servidor proxy separado para cada aplicativo
ÿ Fácil de implementar
Desvantagens
ÿ Não é possível digitalizar conteúdos ativos
ÿ Só pode lidar com conexões TCP

Gateways de nível de aplicativo

ÿ Os gateways de nível de aplicativo podem filtrar pacotes na camada de aplicativo do modelo OSI
ÿ Como eles examinam os pacotes na camada do aplicativo, eles podem filtrar comandos específicos do
aplicativo, como http:post e get
ÿ Em termos simples, um gateway de nível de aplicativo pode ser configurado para ser um proxy da web que
não permitirá qualquer FTP, gopher, Telnet ou outro tráfego através
O tráfego é filtrado com base em regras de

Inscrição aplicativos especificados, aplicativos (por
exemplo, navegador) e/ou um protocolo (por
exemplo, FTP) ou uma combinação de todos eles
TCP
Tráfego desconhecido só é permitido até o
topo da pilha de rede
IP
Proibido
Interface de Rede Permitido
Gateways de nível de aplicativo
Os gateways de nível de aplicativo podem filtrar pacotes na camada de aplicativo do modelo OSI. À medida que
examinam os pacotes na camada do aplicativo, eles podem filtrar comandos específicos do aplicativo, como
http:post e get. Em termos simples, um gateway de nível de aplicativo pode ser configurado para ser um proxy da
web que não permitirá nenhum FTP, gopher, Telnet ou outro tráfego.
Um firewall de gateway em nível de aplicativo controla entrada, saída e/ou acesso em um aplicativo ou serviço. Ele
monitora e possivelmente bloqueia as chamadas de entrada, saída ou serviço do sistema que não atendem à política
de firewall definida. Antes de permitir a conexão, ele avalia os pacotes de rede em busca de dados válidos na
camada de aplicação do firewall.
O tráfego é filtrado com base em regras de aplicativos especificados, aplicativos (por exemplo, navegador) e/ou um
protocolo (por exemplo, FTP) ou uma combinação de todos eles. O tráfego desconhecido só é permitido até o topo
da pilha de rede.

Figura 5.18: Gateway em nível de aplicativo
A comunicação cliente e servidor não acontece diretamente; isso acontece apenas por meio de um servidor proxy. Este
servidor atua como um gateway para comunicações bilaterais e descarta pacotes de dados agindo contra as regras de
política do firewall.
ÿ Gateways de nível de aplicativo, também chamados de proxies, concentram-se na camada de aplicativo

em vez de apenas os pacotes.
ÿ Eles executam a filtragem de pacotes na camada de aplicação e tomam decisões sobre se

ou não transmitir os pacotes.
ÿ Um firewall baseado em proxy solicita autenticação para passar os pacotes enquanto funciona no
camada de aplicação.
ÿ Pacotes de entrada ou saída não podem acessar serviços para os quais não há proxy. Em termos simples, o design
de um gateway de nível de aplicativo o ajuda a atuar como um proxy da Web e descartar pacotes como FTP,
gopher, Telnet ou qualquer outro tráfego que não deva ter permissão para passar.
ÿ Como a filtragem de pacotes é realizada no nível do aplicativo, é possível filtrar

comandos específicos, como solicitações GET ou POST.
ÿ Um proxy de cache de conteúdo otimiza o desempenho armazenando informações acessadas com frequência em
vez de enviar novas solicitações para transferências de dados repetitivas aos servidores.
Um firewall em nível de aplicativo verifica os pacotes que não cumprem as regras de filtragem. Os pacotes não autorizados
são descartados e os pacotes autorizados são encaminhados para a camada de aplicação do destino.

Firewall de inspeção multicamada com estado

Inscrição
O tráfego é filtrado em três níveis, com
Um firewall de inspeção
base em uma ampla variedade de regras
multicamada com estado combina os TCP especificadas de filtragem de aplicativos,
aspectos dos outros três tipos sessões e pacotes
O tráfego desconhecido é permitido até

IP o nível 2 da pilha de rede
Proibido
Eles filtram pacotes na camada de
rede, determinam se os pacotes de Interface de Rede Permitido
sessão são legítimos e avaliam o

conteúdo dos pacotes na camada de
aplicação Tráfego de entrada Tráfego de saída permitido
Eles são caros e requerem

pessoal competente para administrar
o dispositivo
Firewall de inspeção multicamada com estado
Os firewalls de inspeção multicamadas com monitoramento de estado combinam todos os aspectos dos três
tipos anteriores de firewalls que foram discutidos. Eles filtram pacotes na camada de rede, determinam se os
pacotes de sessão são legítimos e avaliam o conteúdo dos pacotes na camada de aplicação. Eles são caros e
requerem pessoal competente para administrá-los. O firewall do filtro de pacotes supera sua incapacidade de
verificar os cabeçalhos dos pacotes usando a filtragem de pacotes com monitoramento de estado.
O tráfego é filtrado em três níveis, com base em uma ampla variedade de regras especificadas de filtragem de
aplicativos, sessões e pacotes. O tráfego desconhecido é permitido até o nível 2 da pilha de rede.
Figura 5.19: Firewall de inspeção multicamada com estado

Esses firewalls eliminam a falta de transparência nos gateways de nível de aplicativo, pois permitem uma
conexão direta entre o cliente e o host. Esses firewalls usam algoritmos para examinar, filtrar e processar os
dados da camada de aplicativo em vez de usar proxies. Os firewalls de inspeção multicamadas com
monitoramento de estado têm muitas vantagens, como alto nível de segurança, melhor desempenho e
transparência para os usuários finais. Eles são bastante caros devido à sua complexidade.
ÿ Os firewalls multicamadas com estado podem lembrar os pacotes que passaram por eles anteriormente
e tomar decisões sobre pacotes futuros com base nessas informações.
ÿ Esses firewalls oferecem o melhor da filtragem de pacotes e da filtragem baseada em aplicativos.
ÿ Os Cisco Adaptive Security Appliances contêm firewalls dinâmicos.
ÿ Esses firewalls rastreiam e registram slots ou traduções.
Eles verificam os pacotes que não atendem às regras de filtragem e os descartam na camada de rede da
pilha de protocolos. Os outros pacotes encaminhados para a próxima camada passam por outra camada de
filtragem para confirmar se os pacotes estão na sessão correta. Os pacotes que atualmente não fazem parte
da sessão são descartados na camada TCP. Em seguida, os pacotes são filtrados na camada de aplicação,
permitindo ao usuário permitir apenas ações autorizadas no firewall.

Proxy de aplicativo
Rede corporativa
Inscrição
Firewall Hub/Roteador
Internet servidor proxy
ÿ Um proxy em nível de aplicativo
funciona como um servidor
proxy e filtra conexões para
serviços específicos
ÿ Filtra conexões com base DNS
nos serviços e protocolos rede externa

SMTP
Rede interna
FTP
HTTPS
ÿ Por exemplo, um proxy FTP NNTP
permitirá apenas a passagem

Filtra o tráfego para
do tráfego FTP, enquanto todos um servidor específico
os outros serviços e protocolos
serão bloqueados
Proxy de aplicativo
Um proxy em nível de aplicativo funciona como um servidor proxy e filtra conexões para serviços específicos. Ele
filtra as conexões com base nos serviços e protocolos. Por exemplo, um proxy FTP permitirá apenas a passagem
do tráfego FTP, enquanto todos os outros serviços e protocolos serão bloqueados.
É um tipo de servidor que atua como uma interface entre a estação de trabalho do usuário e a Internet. Ele se
correlaciona com o servidor de gateway e separa a rede corporativa da Internet. Ele recebe solicitações de serviços
de usuários e responde apenas às solicitações originais. Um serviço de proxy é um aplicativo ou programa que
ajuda a encaminhar as solicitações do usuário (por exemplo, FTP ou Telnet) para os serviços reais. Os proxies
também são chamados de gateways no nível do aplicativo, pois renovam as conexões e atuam como um gateway
para os serviços. Os proxies são executados em um host de firewall que é um host dual-homed ou algum outro host
bastião para fins de segurança. Alguns proxies, denominados cache proxies, são executados com o propósito de
eficiência da rede. Eles mantêm cópias dos dados solicitados dos hosts que fazem proxy. Esses proxies podem
fornecer os dados diretamente quando vários hosts solicitam os mesmos dados. Os proxies de cache ajudam a
reduzir a carga nas conexões de rede, enquanto os servidores proxy fornecem segurança e cache.
Um serviço de proxy está disponível entre um usuário em uma rede interna e um serviço em uma rede externa
(Internet) e é transparente. Em vez de uma comunicação direta entre cada um, eles conversam com o proxy e ele
cuida de toda a comunicação entre o usuário e o serviço de Internet.
A transparência é a principal vantagem ao usar serviços de proxy. Para o usuário, um servidor proxy apresenta a
ilusão de que está lidando diretamente com o servidor real, enquanto o servidor real pensa que está lidando
diretamente com o usuário.

Figura 5.20: Proxy do aplicativo
Vantagens
ÿ Os serviços de proxy podem ser bons no registro porque podem entender os protocolos de aplicativos
e permitir o registro de maneira eficaz.
ÿ Os serviços de proxy reduzem a carga nos links de rede, pois são capazes de armazenar em cache cópias
de dados solicitados com frequência e permitem que sejam carregados diretamente do sistema em vez
da rede.
ÿ Os sistemas proxy executam a autenticação no nível do usuário, pois estão envolvidos na conexão.
ÿ Os sistemas de proxy fornecem automaticamente proteção para implementações de IP fracas ou

defeituosas, pois ficam entre o cliente e a Internet e geram novos pacotes de IP para o cliente.
Desvantagens
ÿ Os serviços proxy ficam atrás dos serviços não proxy até que um software proxy adequado seja feito
acessível.
ÿ Cada serviço em um proxy pode usar servidores diferentes.
ÿ Os serviços de proxy podem exigir alterações no cliente, aplicativos e procedimentos.

Tradução de endereço de rede (NAT)
IP privado IP Público
Endereço Endereço
Identificação IP: 192.168.168.2
ÿ A tradução de endereço de rede separa os endereços IP em dois conjuntos e 192.168.168.1 200.0.0.45

permite que a LAN use esses endereços para tráfego interno e externo,
respectivamente
Troca
NAT
ÿ Também funciona com um roteador, da mesma forma que a filtragem de pacotes; Internet
O NAT também modificará os pacotes que o roteador enviar ao mesmo tempo
ÿ Tem a capacidade de alterar o endereço do pacote e torná-lo

parecem ter chegado de um endereço válido
ÿ Limita o número de endereços IP públicos que uma organização pode usar

Tradução de endereço de rede (NAT)
A conversão de endereço de rede separa os endereços IP em dois conjuntos e permite que a LAN use
esses endereços para tráfego interno e externo, respectivamente. Um NAT ajuda a ocultar um layout de
rede interno e força as conexões a passarem por um ponto de estrangulamento. Funciona com a ajuda de
um roteador, auxiliando no envio de pacotes e modificando-os. Quando a máquina interna envia o pacote
para a máquina externa, o NAT modifica o endereço de origem do pacote específico para fazer parecer que
vem de um endereço válido. Da mesma forma, quando a máquina externa envia o pacote para a máquina
interna, o NAT modifica o endereço de destino para transformar o endereço visível no endereço interno
correto. Ele limita o número de endereços IP públicos que uma organização pode usar. Ele pode atuar como
uma técnica de filtragem de firewall, permitindo apenas as conexões originadas na rede interna e bloqueando
as conexões originadas na rede externa. Os NATs também podem modificar os números das portas de
origem e destino. Os sistemas NAT usam diferentes esquemas para traduzir entre endereços internos e
externos:
ÿ Atribuindo um endereço de host externo para cada endereço interno e sempre aplicando a mesma
tradução. Isso torna as conexões mais lentas e não economiza espaço de endereço.
ÿ Alocar dinamicamente um endereço de host externo sem modificar os números de porta no momento
em que o host interno inicia uma conexão. Isso restringe o número de
hosts internos que podem acessar simultaneamente a Internet para o número de endereços externos
disponíveis.
ÿ Criação de um mapeamento fixo de endereços internos para endereços visíveis externamente e uso
de mapeamento de portas para que várias máquinas internas usem os mesmos endereços externos.

ÿ Alocar dinamicamente um par de endereço de host externo e porta cada vez que um host interno inicia
uma conexão. Isso torna o uso mais eficiente possível dos endereços de host externo.
Figura 5.21: Ilustração da tradução do endereço de rede
Vantagens
ÿ NAT ajuda a impor o controle do firewall sobre as conexões de saída.

ÿ
Ele restringe o tráfego de entrada e permite apenas pacotes que fazem parte de uma interação atual
iniciada de dentro.
ÿ
Ele ajuda a ocultar a configuração da rede interna e, assim, reduz a vulnerabilidade da rede ou do
sistema contra ataques externos.
Desvantagens
ÿ O sistema NAT tem que adivinhar quanto tempo deve manter uma determinada tradução, o que é
impossível adivinhar corretamente todas as vezes.
ÿ O NAT interfere nos sistemas de criptografia e autenticação que garantem a segurança do

dados.
ÿ A alocação dinâmica de portas pode interferir na filtragem de pacotes.

Rede Privada Virtual

ÿ Uma VPN é uma rede privada
construída usando redes públicas, como
Roteador VPN / Roteador VPN /
a Internet Firewall
Internet
Firewall
ÿ É usado para a segurança

transmissão de sensível
túnel VPN
informações em uma rede não
confiável, usando encapsulamento e
criptografia
ÿ Estabelece um ponto-a-ponto virtual

ponto de conexão através do uso de
conexões dedicadas
ÿ O dispositivo de computação executando o Rede privada Rede privada

O software VPN só pode acessar o
VPN
Rede Privada Virtual
Uma VPN é uma rede privada construída usando redes públicas, como a Internet. Ele é usado para a transmissão segura
de informações confidenciais em uma rede não confiável, usando encapsulamento e criptografia. Ele estabelece uma
conexão ponto a ponto virtual por meio do uso de conexões dedicadas. O dispositivo de computação que executa o
software VPN só pode acessar a VPN.
Ele é usado para conectar redes de longa distância (WAN). A VPN permite que computadores de uma rede se conectem
a computadores de outra rede. Ele emprega criptografia e proteção de integridade para permitir a utilização de uma rede
pública como uma rede privada. Uma VPN executa criptografia e descriptografia fora do perímetro de filtragem de pacotes
para permitir a inspeção de pacotes provenientes de outros sites; ele encapsula pacotes enviados pela Internet. Uma VPN
combina as vantagens de redes públicas e privadas. Eles não têm relação com a tecnologia de firewall, mas os firewalls
são ferramentas convenientes para adicionar recursos de VPN, pois ajudam a fornecer serviços remotos seguros. Qualquer
VPN executada na Internet emprega os seguintes princípios:
ÿ Criptografa todo o tráfego
ÿ Verificações de proteção de integridade
ÿ Encapsula novos pacotes, que são enviados pela Internet para algo que reverte
o encapsulamento
ÿ Verificações de integridade
ÿ Finalmente, descriptografa o tráfego

Figura 5.22: Rede privada virtual
Vantagens
As VPNs oferecem várias vantagens de segurança e estão listadas abaixo:
ÿ Uma VPN oculta todo o tráfego que flui por ela, garante a criptografia e protege os dados contra
espionagem.
ÿ
Ele fornece acesso remoto para protocolos enquanto também defende contra ataques externos.
Desvantagens
ÿ Como uma VPN é executada em uma rede pública, o usuário permanece vulnerável a um ataque ao
Rede de destino.

Firewall de Próxima Geração (NGFW)

ÿ A tecnologia de firewall de próxima geração (NGFW) é uma tecnologia de firewall
de terceira geração que vai além da inspeção de porta/protocolo
ÿ Além dos recursos de firewall tradicionais, a tecnologia de firewall NGFW tem a

capacidade de inspecionar o tráfego com base no conteúdo do pacote
ÿ Recursos típicos do NGFW:

ÿ Inspeção profunda de pacotes (DPI)
ÿ Inspeção de tráfego criptografado
ÿ Gerenciamento de QoS/largura de banda
ÿ Integração de inteligência de ameaças
ÿ Sistema de prevenção de intrusão integrado
ÿ Proteção avançada contra ameaças
ÿ Controle de aplicativos
ÿ Inspeção antivírus
Firewall de Próxima Geração (NGFW)
Um NGFW é um dispositivo de segurança de rede de terceira geração que fornece firewall, prevenção de invasões e controle de
aplicativos. Além dos recursos de firewall tradicionais, a tecnologia de firewall NGFW tem a capacidade de inspecionar o tráfego
com base no conteúdo do pacote. Ele oferece filtragem de pacotes e tomada de decisão baseada em proxy nas camadas 3 e 4.
Também expande sua proteção na camada de aplicativo (camada 7).
Características do NGFW
ÿ Conscientização e controle de aplicativos
ÿ Autenticação baseada no usuário
ÿ Proteção contra malware
ÿ Inspeção Estatal
ÿ IPS integrado
ÿ Conscientização de identidade (controle de usuários e grupos)
ÿ Modos em ponte e roteados
ÿ Capacidade de utilizar fontes externas de inteligência
Recursos típicos do NGFW
ÿ Inspeção profunda de pacotes (DPI)
ÿ Inspeção de tráfego criptografado
ÿ Gerenciamento de QoS/largura de banda

ÿ Integração de inteligência de ameaças
ÿ Sistema de prevenção de intrusão integrado
ÿ Proteção avançada contra ameaças
ÿ Controle de aplicativos
ÿ Inspecção antivírus
Vantagens
ÿ Segurança no nível do aplicativo: fornece funções de segurança do aplicativo, como IDS e IPS, para filtragem
aprimorada do conteúdo do pacote.
ÿ Acesso ao console único: Pode ser acessado a partir de um único console enquanto o tradicional
firewalls requerem instalação e configuração manual.
ÿ Proteção multicamada: fornece proteção multicamada inspecionando o tráfego de

camadas 2–7.
ÿ Infraestrutura simplificada: atua como o único dispositivo autorizado para gerenciar e atualizar o protocolo de
segurança.
ÿ Uso ideal da velocidade da rede: em firewalls tradicionais, a velocidade da rede diminui com o aumento do protocolo
e dos dispositivos de segurança, enquanto com o NGFW o rendimento potencial é alcançado de forma consistente,
independentemente do aumento no número de protocolos e dispositivos de segurança.
ÿ Proteção antivírus, ransomware e spam e segurança de endpoint: os NGFWs vêm como pacotes completos com
antivírus, proteção contra ransomware e spam e segurança de endpoint. Portanto, não há necessidade de ferramentas
separadas para monitorar e controlar ameaças cibernéticas.
ÿ Capacidade de implementar o acesso baseado em função: o NGFW detecta a identidade do usuário, o que ajuda a
organização a definir o acesso baseado em função a seus dados e conteúdo. Ele também pode trabalhar com
diferentes funções de usuário e limitar o escopo de acesso de um usuário/grupo.

Recursos de firewall
Impedir varredura de rede
Controla o tráfego
Executa a autenticação do usuário
Filtra pacotes, serviços e protocolos
Executa registro de tráfego
Executa tradução de endereços de rede (NAT)
Previne ataques de malware
Recursos de firewall
Esteja ciente dos recursos de um firewall antes de planejar a implementação. Ao conhecer os recursos de diferentes
tipos de firewalls, você poderá decidir qual tipo implementar ou se um controle ou solução de segurança diferente
atende melhor às suas necessidades.
Figura 5.23: Recursos de firewall
Listados abaixo estão os recursos típicos de um firewall:
ÿ Um firewall examina todo o tráfego que passa por ele para ver se ele atende ao conjunto de regras do firewall
critério.

ÿ
Ele permite apenas o tráfego explicitamente permitido pelas regras; todo o outro tráfego é normalmente negado por
padrão.
ÿ
Ele filtra o tráfego de entrada e saída.
ÿ
Ele examina cada pacote que passa pela rede e decide se envia o pacote ao destino ou não.
ÿ
Ele gerencia o acesso público a recursos de rede privada, como aplicativos de host.
ÿ
Ele registra todas as tentativas de entrar na rede privada e aciona um alarme quando há uma tentativa de entrada hostil
ou não autorizada.
ÿ Os firewalls funcionam como filtros e ajudam na prevenção do fluxo de pacotes inseguros para o privado
rede.
ÿ As funções do firewall incluem defesa de gateway, execução de políticas de segurança definidas, ocultação e proteção de
endereços de rede interna, relatórios de ameaças e atividades e segregação de atividades entre redes confiáveis.

Limitações do Firewall
1 2 3 4
Um firewall não impede Um firewall não protege Um firewall não pode Um firewall não é uma
a rede de ataques a rede contra ataques fazer nada se o alternativa ao antivírus
backdoor internos ou antimalware
design e a configuração
da rede estiverem com defeito
5 6 7 8
Um firewall não impede Um firewall não Um firewall não impede Um firewall não
novos vírus pode impedir o uso indevido de bloqueia ataques de um
ameaças de engenharia social senhas nível mais alto da
pilha de protocolo
Limitações do Firewall
Nunca ignore as limitações de um firewall. Implementar um firewall sem entender suas limitações pode dar uma falsa
sensação de segurança. A implantação de uma solução de firewall que não foi projetada para uma determinada tarefa
pode não abordar os riscos de segurança enfrentados pela organização.
Compreender os diferentes tipos de firewalls e analisar as limitações de cada tipo ajudará a equilibrar efetivamente a
segurança com usabilidade, desempenho e custo.
Listadas abaixo estão as limitações típicas dos firewalls:
ÿ Um firewall não protege a rede contra ataques backdoor. Por exemplo, um funcionário insatisfeito que coopera
com um invasor externo.
ÿ Um firewall não protege a rede de ataques internos
ÿ Um firewall não pode fazer nada se o design e a configuração da rede estiverem com defeito
ÿ Um firewall não é uma alternativa ao antivírus ou antimalware. Se dispositivos externos, como um

laptop, telefone celular, disco rígido portátil, etc. já estão infectados e conectados à rede, então os firewalls não
podem proteger a rede nesses casos.
ÿ Um firewall não impede novos vírus. Os firewalls são incapazes de proteger totalmente o
rede de todos os tipos de vírus de dia zero que podem tentar contorná-los.
ÿ Um firewall não pode impedir ameaças de engenharia social. Eles não podem proteger a rede contra engenharia
social, insiders e ataques baseados em dados, nos quais o invasor envia links e e-mails maliciosos para
funcionários dentro da rede.
ÿ Um firewall não impede o uso indevido de senhas
ÿ Um firewall não bloqueia ataques de um nível mais alto da pilha de protocolos

ÿ Um firewall não protege contra ataques provenientes de portas comuns e

formulários
ÿ Um firewall não protege contra ataques de conexões discadas
ÿ Um firewall é incapaz de entender o tráfego encapsulado
ÿ Os firewalls podem impedir que os usuários acessem serviços valiosos, como FTP, Telnet, NIS, etc.
e às vezes restringem o acesso à Internet também.
ÿ Os firewalls concentram a segurança em um único ponto, o que torna outros sistemas dentro do
rede propensa a ataques de segurança.
ÿ Eles podem causar um gargalo se todas as conexões passarem por um firewall.
ÿ Às vezes, os firewalls têm menos velocidade de computação do que sua interface de rede. Isso pode criar um
problema quando um host com uma interface de rede é mais rápido que o processador interno do firewall.

Implementação de firewall e processo de implantação

ÿ Use um processo passo a passo para garantir uma implementação e implantação de firewall bem- sucedida
ÿ O processo ajuda a minimizar quaisquer problemas imprevistos e identificar quaisquer armadilhas potenciais desde o início
Ao implementar um firewall para a rede, as organizações devem planejar seu posicionamento com
Planejamento antecedência
Envolve a configuração de vários componentes e recursos, como hardware, software, configuração de

Configurando políticas, implementação de registro e mecanismos de alerta
Foca principalmente se as regras de firewall são definidas de acordo com as ações executadas pelo
teste firewall
Uma abordagem em fases para implantar vários firewalls em uma rede ajuda a detectar e resolver
Implantando problemas relacionados a políticas conflitantes
Gerenciando e Inclui a manutenção da arquitetura de firewall, políticas, software e outros componentes implantados na
rede
mantendo
Uma abordagem baseada em fases deve ser usada para implementar e implantar um firewall. Use um processo
passo a passo para garantir uma implementação e implantação de firewall bem-sucedidas. O uso de uma abordagem
de cinco fases para implementação e implantação minimiza problemas imprevistos e identifica possíveis armadilhas.
As fases envolvidas na implementação e implantação de um firewall incluem planejamento, configuração, teste,
implantação e gerenciamento e manutenção.
ÿ Ao planejar uma implementação de firewall, considere todos os requisitos para determinar

qual firewall implementar ao aplicar políticas de segurança de rede.
ÿ Após o planejamento, concentre-se na configuração dos componentes de hardware e software do firewall

e estabelecer regras para o funcionamento eficaz do sistema.
ÿ Em seguida, teste o protótipo do firewall e seu ambiente após configurar o firewall com sucesso. Avalie sua
funcionalidade, desempenho, escalabilidade e segurança quanto a possíveis vulnerabilidades e problemas
nos componentes.
ÿ Depois de resolver todos os problemas encontrados durante a fase de teste, implante o firewall em
a rede.
ÿ Depois de implantar o firewall com êxito, monitore a manutenção de componentes e resolva problemas
operacionais durante todo o seu ciclo de vida e considere a incorporação de aprimoramentos ou alterações
significativas quando necessário.
Etapas envolvidas na implementação e implantação do firewall
ÿ Planejamento: Ao implementar um firewall para a rede, as organizações devem planejar seu posicionamento
com antecedência. É fundamental realizar uma avaliação de risco de segurança para saber onde uma
ameaça à rede provavelmente se originaria e os motivos por trás dela.

Dependendo da origem potencial das ameaças, um layout para implementação de firewall deve ser
construído. As organizações devem determinar se precisam implementar um firewall para impor as novas
políticas de segurança.
Se uma organização está pensando em implementar um firewall, lembre-se de delinear uma política de
segurança consistente com base na avaliação de risco. A política de segurança deve determinar como a
comunicação básica ocorrerá no firewall, onde o firewall deve ficar e como configurá-lo.
ÿ Configuração: A configuração de um firewall envolve a configuração de vários componentes e recursos,

como hardware, software, configuração de política, implementação de registro e mecanismos de alerta.
ÿ Teste: Testar um firewall envolve examiná-lo em busca de bugs. O teste de implementação do firewall foca
principalmente se as regras do firewall são definidas de acordo com as ações executadas pelo firewall. O
teste de firewall aumenta a confiabilidade dos produtos que usam o firewall.
ÿ Implantação: É necessário garantir que o firewall seja implantado de acordo com as políticas de segurança
da organização. Também é necessário alertar os usuários sobre a implantação do firewall. Da mesma
forma, a política de segurança do firewall deve ser adicionada à política geral da rede e todas as alterações
de configuração durante a implementação devem ser incluídas. Empregar uma abordagem em fases para
implantar vários firewalls em uma rede ajuda a detectar e resolver problemas relacionados a políticas
conflitantes.
ÿ Gerenciamento e manutenção: o gerenciamento de um firewall inclui a manutenção da arquitetura, políticas,

software e outros componentes do firewall implantados na rede.
Atualize as regras de política quando elas identificarem novas ameaças e se os requisitos mudarem. A
segurança do firewall pode ser garantida monitorando e abordando constantemente os problemas na rede.
Além disso, monitore continuamente os logs do firewall para detectar novas ameaças e ataques na rede.
Execute uma análise de log de firewall para detectar incidentes de segurança.

Proteção de firewall baseada em host com Iptables

ÿ Iptables é um utilitário de firewall integrado para sistemas operacionais Linux
ÿ O Iptables vem pré-instalado em qualquer distribuição Linux. No entanto, você pode atualizá-lo/instalá-lo com o comando sudo apt-get install iptables
Tarefa Comandos Iptable
iptables -A ENTRADA -p tcp ! --syn -m estado --estado

Filtrando pacotes não TCP
NEW -j DROP
Bloqueando Ataque de Varredura de Natal iptables -A INPUT -p tcp --tcp-flags ALL -j DROP
Descarte todos os pacotes NULL iptables -A INPUT -f -j DROP
Elimine todos os pacotes fragmentados iptables -A INPUT -f -j DROP
Proteção de firewall baseada em host com Iptables (continuação)
As regras existentes podem ser verificadas

usando o comando sudo iptables –L –n –v
Endereço IP específico pode ser bloqueado usando

Iptables Firewall
iptables –A INUPT –s 10.10.10.55

–j DROP
Proteção de firewall baseada em host com Iptables
Os firewalls baseados em host fornecem segurança aprimorada contra ameaças. Os sistemas Linux suportam um filtro de
pacotes baseado em kernel que é adequado para usar firewalls baseados em host.

Iptables
Iptables é um utilitário de firewall de linha de comando que pode permitir ou negar tráfego. O Iptables é pré-instalado
em um sistema Linux. Para atualizar ou instalar o iptables, o usuário precisa recuperar o pacote iptables usando o
comando:
sudo apt-get install iptables
Cada pacote que passa pelo sistema de filtragem é atribuído a uma tabela apropriada, dependendo das tarefas
executadas pelo pacote. A tabela contém cadeias que exibem os detalhes do destino do pacote. As tabelas podem ser
usadas para criar regras e o usuário tem a facilidade de criar suas próprias chains e vinculá-las a partir das chains
internas. Isso facilita a capacidade de criar regras complexas. No entanto, o usuário precisa estar alerta extra ao usar o
comando iptables , pois qualquer pequeno erro no comando pode bloquear o sistema e pode exigir que o usuário corrija
o erro manualmente.
Existem três tipos diferentes de correntes:
ÿ Entrada: A cadeia de entrada verifica as conexões de entrada e seu comportamento. Iptables compara o IP
endereço e porta da conexão de entrada para uma regra na cadeia.
ÿ Forward: A cadeia de encaminhamento encaminha principalmente as conexões de entrada para seu

destino. O comando iptables –L –v verifica se uma conexão de entrada precisa de uma cadeia direta.
ÿ Saída: A cadeia de saída é usada para conexões de saída, em que a cadeia verifica a cadeia de saída e decide se
permite ou nega a solicitação de saída.
Figura 5.24 cadeia de iptables
Exemplo de regras de firewall iptables:
ÿ Verifique as regras existentes usando o comando sudo iptables –L –n –v .

Figura 5.25: regras de firewall iptables
ÿ Verifique as regras de uma tabela específica usando o comando # iptables -t nat -L -v –n.
ÿ Bloqueie o endereço IP especificado usando o firewall iptables.
Iptables –A INUPT –s 10.10.10.55 –j DROP
Figura 5.26: Bloqueando um endereço IP específico
ÿ Bloqueie uma porta específica no firewall iptables usando o comando # iptables -A OUTPUT -p
tcp --dport xxx -j DROP.
ÿ Bloqueie o Facebook no firewall Iptables usando o comando # iptables -A OUTPUT -p tcp

-d 66.220.144.0/20 -j DROP.
Tarefa Comandos do Iptables

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Filtrando pacotes não-TCP iptables -A INPUT -p tcp --tcp-flags ALL -j DROP
Bloqueando o ataque de varredura XMAS
Descarte todos os pacotes NULL iptables -A INPUT -f -j DROP

Elimine todos os pacotes fragmentados iptables -A INPUT -f -j DROP
Bloquear inundação de rede em

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/
minuto --limit-burst 200 -j ACCEPT # iptables -A INPUT
porta Apache -p icmp -i eth0 -j
Bloquear solicitações de ping recebidas SOLTA
Bloquear o acesso a um endereço MAC iptables -A INPUT -m mac --mac-source

específico 00:00:00:00:00:00 -j DROP
Bloquear conexão na rede iptables -A INPUT -i eth0 -s
interface xxx.xxx.xxx.xxx -j DROP
iptables -A OUTPUT -p tcp --dports 25.465.587
Desabilitar e-mails enviados
-j REJECT
Tabela 5.2: Outros comandos iptables para várias tarefas

UFW
UFW (firewall descomplicado) é uma interface para iptables. Para iniciantes, é difícil usar o iptables para configurar
um firewall. O UFW pode ajudá-los simplificando o processo de configuração de um firewall para tornar o sistema
seguro na rede. Habilite o UFW para proteger o tráfego incomum
Etapas para configurar um firewall com UFW
ÿ Instale o UFW usando o comando sudo apt-get install ufw .
Figura 5.27: Instalando o UFW
ÿ Verifique o status do UFW usando o comando sudo ufw status verbose . o

a saída estará ativa ou inativa. O status padrão do UFW é desabilitado.
Figura 5.28: Verificando o status do UFW
ÿ Habilite o UFW usando o comando sudo ufw enable .
Figura 5.29: Ativando o UFW
ÿ Defina políticas padrão usando os seguintes comandos.

sudo ufw padrão negar entrada
sudo ufw padrão permitir saída
Adicionar Regras UFW
Há duas maneiras de adicionar regras: denotando o número da porta e usando o nome do serviço.

Alguns exemplos e comandos correspondentes são discutidos abaixo.
ÿ Permitir conexões de entrada e saída na porta 22 para SSH.

sudo ufw permitir ssh
Figura 5.30: Adicionando regras UFW
(ou)
sudo ufw permitir 2000
Figura 5.31: Adicionando regras UFW
ÿ Negar tráfego em uma porta específica.
sudo ufw negar 22.
ÿ Permitir pacotes baseados em TCP ou UDP.
sudo ufw permite 80/tcp sudo ufw
permite http/tcp
sudo ufw permitir 1725/udp
ÿ Permitir conexões de um endereço IP.
sudo ufw permitir a partir de 10.10.10.25
Figura 5.32: Permitindo conexões

ÿ Negar conexões de um endereço IP
Sudo ufw negar de 10.10.10.24.
Figura 5.33: Negando conexões
ÿ Permitir conexões de uma sub-rede específica.

sudo ufw permitir de 198.51.100.0/24
ÿ Permitir uma combinação específica de endereço IP/porta.
sudo ufw permite de 198.51.100.0 para qualquer porta 22 proto tcp
ÿ Quando regras mais avançadas ou específicas precisam ser adicionadas/removidas:
o Adicione as regras ao arquivo /etc/ufw/before.rules (before6.rules para IPv6) para executar as regras.
o Existem arquivos after.rule e after6.rule para adicionar quaisquer regras que

precisam ser adicionados após o UFW executar as regras adicionadas pela linha de comando.
o Um arquivo de configuração adicional localizado em /etc/default/ufw permite ao usuário desabilitar ou

habilitar o IPv6, definir regras padrão e definir o UFW para gerenciar cadeias de firewall integradas.
Remover Regras UFW
Exclua as regras usando o número da porta ou o nome do serviço. Use delete no comando ao remover uma regra. Por
exemplo, o comando para excluir permitindo o tráfego HTTP da porta número 80 é sudo
ufw excluir permite 80.

Implementação de firewall seguro: práticas recomendadas
Para melhorar o desempenho do firewall, limite os aplicativos em

Filtre portas não utilizadas e vulneráveis comuns
execução
Se possível, crie um ID de usuário exclusivo para executar

Configure um servidor syslog remoto e aplique medidas estritas
os serviços de firewall. Em vez de executar os serviços usando o
para protegê-lo de usuários mal-intencionados
administrador ou IDs raiz
Defina o conjunto de regras do firewall para negar todo o tráfego e Monitore os logs do firewall em intervalos regulares. Inclua-os em
habilitar apenas os serviços necessários sua política de retenção de dados
Altere todas as senhas padrão e crie uma senha forte que

Investigue imediatamente todas as entradas de log suspeitas
não seja encontrada em nenhum dicionário. Uma senha forte
encontradas
para garantir que os ataques de força bruta também falhem.
Implementação de firewall seguro: práticas recomendadas
As seguintes práticas recomendadas ajudarão a fortalecer a segurança do firewall:
ÿ Filtrar portas não utilizadas e vulneráveis em um firewall é um método eficaz e eficiente de bloquear pacotes e cargas
maliciosas. Existem diferentes tipos de filtros em firewalls, desde filtros de pacotes simples até filtros de aplicativos
complexos. A abordagem de defesa em profundidade usando filtros em camadas é uma maneira muito eficaz de
bloquear ataques.
ÿ A configuração de contas de administrador para executar um firewall depende dos requisitos de segurança da organização
e das diferentes funções administrativas exigidas pela organização. Uma função define o tipo de acesso concedido ao
administrador associado ao sistema de firewall. Se possível, crie um ID exclusivo para executar os serviços de firewall
em vez de executá-lo como administrador ou root.
ÿ Ao criar um conjunto de regras de firewall, as organizações devem primeiro determinar que tipo de tráfego é necessário
para executar os aplicativos aprovados. Em seguida, defina as regras de firewall para negar todo o tráfego e permitir
apenas os serviços de que a organização precisa.
ÿ Altere todas as senhas padrão e crie uma senha forte que não seja encontrada em nenhum
dicionário. Uma senha forte para garantir que os ataques de força bruta também falhem.
ÿ Os firewalls usam uma base de regras complexa para analisar aplicativos e determinar se o tráfego deve ser permitido ou
não. Configurar regras de firewall para conceder acesso a aplicativos importantes e bloquear o restante melhorará o
desempenho do firewall.
ÿ Certifique-se de que a data, hora e fuso horário no servidor syslog remoto correspondam à configuração de rede para
que o servidor envie mensagens syslog. Os dados do syslog não são úteis para solução de problemas se mostrarem
a data e hora erradas. Além disso, configurar

todos os dispositivos de rede para usar o protocolo de tempo de rede (NTP) garante relógios de sistema corretos e
sincronizados em todos os dispositivos de rede.
ÿ Monitore os logs do firewall em intervalos regulares, mesmo que a política de gerenciamento da empresa permita algum uso
privado de seus equipamentos. Monitorar quais sites os funcionários estão visitando, quais arquivos estão enviando e
recebendo e até mesmo o conteúdo de seus e-mails ajudará a manter a rede segura.
ÿ As ações de 'permissão' dos firewalls de registro oferecem maior percepção do tráfego mal-intencionado e as ações de
'negação' do firewall de rastreamento ajudam a identificar ameaças.
ÿ Faça backups regulares dos logs do firewall – pelo menos mensalmente – e armazene esses backups em dispositivos de
armazenamento secundário para referência futura ou para questões legais caso haja um incidente. A melhor maneira de
conseguir isso é usar uma função de agendamento no firewall. Faça backup do firewall antes e depois de fazer uma
alteração em suas regras e certifique-se de que o arquivo de configuração de backup seja utilizável.
ÿ Realize auditorias pelo menos uma vez por ano em firewalls para avaliar os padrões implementados para proteger os recursos
de TI da organização. Isso oferecerá um registro de todos os arquivos acessados pelos funcionários, incluindo tentativas
malsucedidas. Garantir que cada alteração seja contabilizada simplificará muito as auditorias e ajudará na solução de
problemas diários.
ÿ Os firewalls não podem proteger a rede contra ataques internos. As organizações são obrigadas a implementar diferentes
estratégias, como políticas que restringem o uso de dispositivos externos pelos funcionários na rede interna. Para evitar
qualquer ataque interno à rede, instale um software de monitoramento que ajudará a detectar qualquer atividade interna
suspeita.

Implementação de firewall seguro: recomendações

Use um método e fluxo de trabalho padrão para solicitar
e implementar alterações de firewall
Não estabeleça regras conflitantes ou 4 Limpe e otimize a base de regras do firewall

as elimine, caso já existam
Remova regras não utilizadas ou desatualizadas 3 5 Agende auditorias regulares de segurança de firewall
Notifique o administrador da 2 6
política de segurança sobre alterações no firewall e Mantenha um registro das regras de firewall
documente-as e alterações de configuração
1 7
Implementação de firewall seguro: recomendações
ÿ Notificar o administrador da política de segurança sobre alterações no firewall e documentá-las.

Documente todas as alterações feitas no firewall. Com firewalls, é especialmente crítico documentar as regras
que foram adicionadas ou alteradas para que outros administradores saibam o propósito de cada regra e quem
contatar sobre elas. Uma boa documentação pode facilitar a solução de problemas e reduz o risco de interrupções
de serviço causadas quando uma exclusão ou alteração na regra que o profissional de segurança não consegue
entender.
ÿ Remova regras não utilizadas ou desatualizadas. As organizações podem gerar relatórios de análise para avaliar
as regras de acesso do firewall. Isso auxilia na identificação de regras que se sobrepõem ou estão em conflito
com outras regras na política de regra de acesso. Exclua, mova ou edite regras conflitantes usando os dados do
relatório. As organizações podem desenvolver uma política de regras de acesso mais fácil de usar e mais eficiente
se eliminarem regras desnecessárias.
ÿ Implemente uma solução de fluxo de trabalho consistente para gerenciar e agilizar o processo de mudança de
firewall. Identifique riscos potenciais e corrija erros de configuração antes de fazer alterações no firewall. Reduza
o tempo necessário para avaliar e implementar as mudanças para dar suporte à rede.
ÿ Limpe e otimize a base de regras do firewall.
ÿ Agendar auditorias regulares de segurança de firewall.
ÿ Mantenha um registro das regras de firewall e alterações de configuração.

Implementação de firewall seguro: o que fazer e o que não fazer
01 Implemente um firewall forte

Não negligencie a escalabilidade 06
Limite os aplicativos executados
02 em um firewall
Não confie apenas na
07
filtragem de pacotes
Controle o acesso físico ao firewall

03 Não seja indiferente às
necessidades de hardware 08
04 Avalie os recursos do firewall Não reduza a

09
segurança adicional
05 Considere a integração do fluxo de trabalho Não implemente sem

10
criptografia SSL
Implementação de firewall seguro: o que fazer e o que não fazer
ÿ Implemente um firewall forte.
ÿ Limite os aplicativos executados em um firewall.
ÿ Controle o acesso físico ao firewall.
ÿ Avalie os recursos do firewall.
ÿ Considere a integração do fluxo de trabalho.
ÿ Revise e refine suas políticas e procedimentos.
ÿ Incorporar marcas de confiança.
ÿ Faça backups regulares do conjunto de regras do firewall e dos arquivos de configuração.
ÿ Não negligencie a escalabilidade.
ÿ Não confie apenas na filtragem de pacotes.
ÿ Não seja insensível às necessidades de hardware.
ÿ Não reduza a segurança adicional.
ÿ Não implemente sem criptografia SSL.
ÿ Não permitir acesso telnet através do firewall.
ÿ Não permitir conexões diretas entre o cliente interno e quaisquer serviços externos.

Fluxo do módulo

Entenda diferente
4 Tipos de Honeypots 5 Tipos de servidores
6 na rede
Segurança

7 segurança e gerenciamento de eventos 8 Análise (UBA) 9 Software
Entenda os diferentes tipos de IDS/IPS e sua função

O objetivo desta seção é explicar os diferentes tipos de IDS/IPS, sua função, recursos, limitações
e preocupações na implementação da segurança de IDS. Esta seção também discute componentes
IDS, colaboração de componentes IDS na detecção de intrusão, implantação de IDS baseado em
rede e host, tipos de alertas IDS e ferramentas de detecção de intrusão.

Sistema de Detecção e Prevenção de Intrusão (IDS/IPS)
01 02 03
Um sistema de detecção e prevenção de Se encontrado, o IDS alertará o O IDS verifica o tráfego de rede para
intrusão (IDS/IPS) é um dispositivo de segurança administrador sobre as atividades suspeitas assinaturas que correspondem a padrões
de rede que inspeciona todo o tráfego de de intrusão conhecidos e acionam um alarme

rede de entrada e saída em busca de padrões quando uma correspondência é encontrada
suspeitos que possam indicar uma violação de

segurança da rede ou do sistema
Servidor
Rede não confiável
IPS
Firewall IDS
Sistema de Detecção e Prevenção de Intrusão (IDS/IPS)
Um Sistema de Detecção e Prevenção de Intrusão (IPS/IDPS) é um dispositivo de segurança de rede que inspeciona todo o
tráfego de rede de entrada e saída em busca de padrões suspeitos que possam indicar uma violação de segurança da rede
ou do sistema, identifica atividades suspeitas, se houver, registra informações da atividade suspeita, relata e tenta bloqueá-
lo. Um sistema de prevenção de intrusão (IPS) é uma extensão do sistema de detecção de intrusão (IDS). Um IPS pode
ÿ Enviar alarmes
ÿ Desfragmentar fluxos de pacotes
ÿ Eliminar pacotes maliciosos identificados
ÿ Reduzir problemas de sequenciamento de TCP
ÿ Redefinir uma conexão
ÿ Bloquear o tráfego de um endereço IP malicioso
ÿ Corrigir erros de verificação de redundância cíclica (CRC)
ÿ Limpar opções desnecessárias de transporte e camada de rede
O Sistema de Detecção de Intrusão (IDS) monitora todas as atividades de rede de entrada e saída e identifica padrões
maliciosos procurando por assinaturas de ataque conhecidas e avisa os profissionais de segurança sobre atividades suspeitas,
mas não as impede. Um IDS exibe um alerta, registra o evento ou chama um administrador, reconfigura a rede para mitigar
as consequências de invasões.

IDS x IPS
A principal diferença entre um IPS e um IDS é que o IPS é implementado em linha, mas o IDS fica de
lado. O tráfego direcionado por um IPS bloqueia ou permite os pacotes dependendo da política e
executa a correção, se necessário. No caso do IDS, ele se conecta por meio de um tap de rede e
monitora o tráfego, mas não pode atuar diretamente.
Figura 5.34: IDS vs. IPS

Como funciona um IDS?

Pré-processador IDS
Arquivo de assinatura
Comparação
Arquivo de assinatura
Base de dados servidor de log Cisco

Internet Roteador Firewall IDS
Coincide?
O alarme notifica o
Anomalia
Detecção administrador e o pacote
pode ser descartado
Coincide?
Regra de ação
As conexões são
cortar de
aquela fonte de IP
Protocolo Estatal
Análise
O pacote
Rede Corporativa Coincide?
foi descartado
Troca
Como funciona um IDS?
Figura 5.35: Funcionamento de um IDS
IDS baseado em assinatura: Em um IDS baseado em assinatura, o tráfego de rede é verificado com
os bancos de dados que compreendem as invasões. Conforme mostrado na figura acima, se uma
assinatura de ataque corresponder a qualquer uma das assinaturas no banco de dados do arquivo de
assinatura, a conexão será desconectada do IP de origem, o pacote será descartado, a atividade será registrada,

e um alarme será iniciado. Como alternativa, o pacote será movido para a próxima etapa chamada etapa de detecção
de anomalias.
IDS baseado em anomalia: Um IDS baseado em anomalia usa técnicas estatísticas para comparar o tráfego
monitorado com o tráfego normal. Este método pode identificar novas formas de ataques que não estão no banco de
dados de assinaturas IDS e emitir um aviso. A desvantagem deste método é a emissão de mensagens falsas
positivas, que irão complicar o funcionamento de um administrador. Na etapa de detecção de anomalias, se a
assinatura do ataque corresponder, as conexões serão desconectadas do IP de origem, o pacote será descartado, a
atividade será registrada e um alarme será iniciado. Alternativamente, o pacote será enviado para análise de protocolo
stateful.
Uma análise de protocolo stateful é usada para detectar os desvios do estado do protocolo, que usa perfis
predeterminados com base nas definições de atividades maliciosas desenvolvidas pelo fornecedor. Na análise do
protocolo stateful, se o pacote for correspondido, as conexões serão desconectadas do IP de origem, os pacotes
serão descartados, a atividade será registrada e um alarme será iniciado. Como alternativa, o pacote será passado
para a rede por meio de um switch.
Um IDS realiza uma avaliação de um tráfego de rede para atividades ilegais e violações de políticas. Ele executa uma
avaliação de vulnerabilidade para garantir a segurança da rede. A seguir estão as características do IDS:
ÿ Avaliar as atividades do sistema e da rede
ÿ Analisar vulnerabilidades em uma rede
ÿ Medir a fiabilidade do sistema e dos ficheiros
ÿ Habilidade para identificar as possibilidades de ataques
ÿ Acompanhamento de atividades irregulares em rede e sistema
ÿ Avaliar as violações da política
As organizações podem identificar a presença de ataques ou invasões de fora de uma rede, bem como invasões ou
uso indevido dentro dessa rede. Um IDS geralmente executa uma avaliação ou varredura de vulnerabilidade para
identificar as vulnerabilidades em uma rede e monitorar a segurança da rede.
Os firewalls impedem invasões em uma rede, mas não emitem um alerta sobre uma intrusão ou ataque. Por outro
lado, os sistemas IDS podem monitorar e identificar as invasões dentro de uma rede, bem como sinalizar um alarme
para o administrador.
Vantagens do IDS:
ÿ Um IDS permite monitoramento contínuo e rastreamento de todas as invasões e ataques em um

rede.
ÿ Um IDS fornece uma camada extra de segurança para uma rede.
ÿ Um IDS também pode fornecer um log ou dados relativos ao ataque ou intrusão que podem ser posteriormente
usado para investigar o incidente.
ÿ IDS requer mais manutenção em comparação com firewalls.

Desvantagens do IDS:
ÿ
Nem sempre é possível para um IDS detectar invasões.
ÿ O IDS requer usuários devidamente treinados e experientes para mantê-lo.
ÿ O IDS pode disparar falsos alarmes para o administrador da rede.

Papel de um IDS na defesa da rede
ÿ Um IDS funciona de dentro da rede, ao contrário de um firewall ÿ Um IDS é colocado atrás do firewall, inspecionando
que apenas procura invasões fora da rede todo o tráfego, procurando por heurística e uma correspondência
de padrão para invasões
Por que precisamos de IDS?
Confiar apenas em um firewall para segurança de rede pode fornecer uma falsa sensação de segurança. O firewall é
simplesmente implementado na política de segurança de TI para permitir ou negar o tráfego com base nas regras da
política. Ele permite a passagem de determinados pacotes ou nega o acesso se não atender a determinados critérios
especificados em uma regra. Ele não verifica o conteúdo do tráfego legítimo permitido com base no conjunto de regras.
Mesmo o tráfego legítimo pode conter conteúdo malicioso, que não é avaliado durante a inspeção por um firewall.
Por exemplo, um firewall pode ser configurado para passar o tráfego apenas para a porta 80 do servidor Web e para a
porta 25 do servidor de e-mail, mas não inspecionará a natureza do tráfego que flui por nenhuma dessas portas.
Esta é a razão pela qual um IDS é implementado. Um IDS inspecionará o tráfego legítimo proveniente do firewall e
conduzirá análises baseadas em assinaturas para identificar atividades maliciosas e disparar um alarme para notificar
os profissionais de segurança.
ÿ Um IDS funciona de dentro da rede, ao contrário de um firewall que só olha para fora da
rede para invasões
ÿ Um IDS é colocado atrás do firewall, inspecionando todo o tráfego, procurando heurísticas e um

correspondência de padrão para invasões

Como um IDS detecta uma intrusão?

Reconhecimento de Assinatura
O reconhecimento de assinatura, também

conhecido como detecção de uso indevido, tenta
identificar eventos que indicam um abuso de um
sistema ou recurso de rede
Detecção de anomalia
Ele detecta a intrusão com base no fixo

características comportamentais dos usuários e
componentes de um sistema de computador
Detecção de anomalia de protocolo
Nesse tipo de detecção, os modelos são construídos

para explorar anomalias na maneira como os
fornecedores implantam a especificação TCP/IP
Como um IDS detecta uma intrusão?
Um IDS usa três métodos para detectar invasões na rede.
ÿ Reconhecimento de Assinatura
O reconhecimento de assinatura, também conhecido como detecção de uso indevido, tenta identificar eventos
que indicam um abuso de um sistema ou rede. Essa técnica envolve primeiro a criação de modelos de possíveis
invasões e, em seguida, a comparação desses modelos com eventos recebidos para tomar uma decisão de
detecção. As assinaturas para IDS foram criadas sob a suposição de que o modelo deve detectar um ataque
sem perturbar o tráfego normal do sistema. Apenas os ataques devem corresponder ao modelo; caso contrário,
podem ocorrer falsos alarmes.
o A detecção de intrusão baseada em assinatura compara pacotes de rede de entrada ou saída com as
assinaturas binárias de ataques conhecidos usando técnicas simples de correspondência de padrões para
detectar invasões. Os invasores podem definir uma assinatura binária para uma parte específica do pacote,
como sinalizadores TCP.
o O reconhecimento de assinatura pode detectar ataques conhecidos. No entanto, existe a possibilidade de

outros pacotes inócuos conterem a mesma assinatura, o que acionará um alerta de falso positivo.
o Assinaturas impróprias podem disparar alertas falsos. Para detectar o uso indevido, é necessário um grande
número de assinaturas. Quanto mais assinaturas, maiores são as chances de o IDS detectar ataques; no
entanto, o tráfego pode corresponder incorretamente às assinaturas, impedindo assim o desempenho do
sistema.
o Uma grande quantidade de dados de assinatura requer mais largura de banda de rede. O IDS compara as
assinaturas dos pacotes de dados com as do banco de dados de assinaturas. Um aumento em

o número de assinaturas no banco de dados pode resultar na queda de certos pacotes.
ÿ Detecção de Anomalias
A detecção de anomalias, ou “detecção de não uso”, difere do reconhecimento de assinatura. A detecção de

anomalias envolve um banco de dados de anomalias. Uma anomalia é detectada quando um evento ocorre fora
do limite de tolerância do tráfego normal. Portanto, qualquer desvio do uso regular é um ataque. A detecção de
anomalias detecta invasões com base nas características comportamentais fixas dos usuários e componentes em
um sistema de computador.
Estabelecer um modelo de uso normal é a etapa mais desafiadora na criação de um detector de anomalias.
o No método tradicional de detecção de anomalias, são mantidos os dados essenciais para a verificação das
variações no tráfego da rede. No entanto, na realidade, existe alguma imprevisibilidade no tráfego de rede e
há muitas variações estatísticas, tornando esses modelos imprecisos. Alguns eventos rotulados como
anomalias podem ser apenas irregularidades no uso da rede.
o Nesse tipo de abordagem, a incapacidade de construir um modelo completamente em uma rede regular é uma
preocupação. Esses modelos devem ser usados para verificar redes específicas.
ÿ Detecção de anomalia de protocolo
A detecção de anomalias de protocolo depende das anomalias específicas de um protocolo. Ele identifica falhas
específicas na implantação do protocolo TCP/IP pelos fornecedores. Os protocolos são projetados de acordo com
as especificações RFC, que determinam os protocolos de comunicação padrão para permitir a comunicação
universal. O detector de anomalias de protocolo pode identificar novos ataques.
o Existem novos métodos de ataque e explorações que violam os padrões de protocolo.
o As assinaturas de anomalias maliciosas estão se tornando cada vez mais comuns. Por outro lado, o protocolo
de rede está bem definido e está mudando lentamente. Portanto, o banco de dados de assinaturas deve ser
atualizado com frequência para detectar ataques.
o Os detectores de anomalia de protocolo são diferentes dos IDS tradicionais em termos de como eles
apresentar alarmes.
o A melhor maneira de apresentar alarmes é explicar qual parte do sistema de estado está comprometida. Para
isso, os operadores de IDS devem ter um conhecimento profundo do projeto de protocolo.

Capacidades de IDS
ÿ O IDS fornece uma camada adicional de segurança para a rede sob a defesa em profundidade
princípio
ÿ O IDS faz várias coisas que os firewalls básicos não podem fazer ÿ
O IDS ajuda a minimizar a chance de perder ameaças de segurança que podem vir do firewall
evasões
Funções IDS/IPS
Monitorando e analisando as atividades do

Reconhecendo padrões de ataque típicos
usuário e do sistema
Análise de configurações e vulnerabilidades do

Analisando padrões anormais de atividade
sistema
Avaliação da integridade do sistema e dos arquivos Rastreamento de violações da política do usuário
Capacidades de IDS
O IDS fornece uma camada adicional de segurança para a rede sob o princípio de defesa em profundidade.
O IDS faz várias coisas que os firewalls básicos não podem fazer. O IDS ajuda a minimizar a chance de
perder ameaças de segurança que podem vir de evasões de firewall.
A principal tarefa de um IDS é detectar uma tentativa de invasão em uma rede e emitir uma notificação
sobre o ocorrido. A detecção de ataques hostis depende de vários tipos de ações, incluindo prevenção,
monitoramento de intrusão, detecção de intrusão e resposta. A prevenção de invasões requer uma
combinação bem selecionada de luring e tricking com o objetivo de investigar ameaças.
Desviar a atenção do intruso dos recursos protegidos é outra tarefa. Um IDS monitora constantemente
tanto o sistema real quanto um possível sistema de armadilhas e examina cuidadosamente os dados
gerados para detecção de possíveis ataques.
Uma vez que um IDS detecta uma intrusão, ele emite alertas notificando os administradores. Uma vez que
a intrusão é detectada e notificada, os profissionais de segurança podem executar algumas contramedidas,
que podem incluir bloqueio de funções, encerramento de sessões, backup de sistemas, roteamento de
conexões para uma armadilha do sistema, infra-estrutura legal, etc. Um IDS é um elemento importante do
política de segurança.
Os alertas e logs de IDS são úteis na pesquisa forense de quaisquer incidentes e na instalação de patches
apropriados para permitir a detecção de futuras tentativas de ataque visando pessoas específicas ou
Recursos.
Um IDS observa a atividade da rede de computadores e rastreia as políticas do usuário e os padrões de

atividade para garantir que não violem as políticas. Ele também observa o tráfego de rede e os componentes
para detectar vírus e malware ocultos na forma de spyware, key loggers, etc.

Um IDS funciona coletando informações sobre tentativas ilícitas feitas para comprometer a segurança e, em
seguida, verificando-as. Ele também registra os dados do evento e o profissional de segurança pode usar
esses dados para tomar medidas preventivas futuras e fazer melhorias na segurança da rede.
Funções IDS/IPS
ÿ Monitorar e analisar as atividades do usuário e do sistema
ÿ Analisar configurações e vulnerabilidades do sistema
ÿ Avaliação da integridade do sistema e dos arquivos
ÿ Reconhecendo padrões típicos de ataque
ÿ Analisar padrões anormais de atividade
ÿ Rastreamento de violações da política do usuário
Além de sua funcionalidade principal de identificação e análise de invasões, um IDS pode executar os
seguintes tipos de atividades relacionadas à detecção de invasões:
ÿ Registra informações sobre eventos: Um IDS anota todos os detalhes sobre os eventos monitorados
e encaminha as informações registradas para vários outros sistemas, como servidores de registro
centralizado, informações de segurança e gerenciamento de eventos (SIEM) e sistemas de
gerenciamento corporativo.
ÿ Enviando um alerta: O IDS envia um alerta de intrusão ao profissional de segurança através de e-

mails, mensagens pop-up na interface do usuário do IDS, etc.
ÿ Geração de relatórios: O IDS gera relatórios que fornecem informações sobre eventos observados ou
qualquer evento suspeito que possa ter ocorrido.

Limitações de IDS/IPS: O que um

IDS/IPS NÃO é?
Log de rede Vulnerabilidade

Sistemas Ferramentas de avaliação
IDS/IPS não pode

atuar como ou substituir
antivírus Criptográfico
Produtos Sistemas
Limitações de IDS/IPS: O que um IDS/IPS NÃO é?
Ao contrário da crença popular e da terminologia empregada na literatura sobre IDSs, nem todos os dispositivos de
segurança se enquadram nessa categoria. Em particular, os seguintes dispositivos de segurança não devem ser
categorizados como IDSs:
ÿ Sistemas de registro de rede: Esses dispositivos são sistemas de monitoramento de tráfego de rede. Elas
detectar vulnerabilidades de DoS em uma rede congestionada.
ÿ Ferramentas de avaliação de vulnerabilidade: Esses dispositivos verificam bugs e falhas na operação

sistemas e serviços de rede (scanners de segurança).
ÿ Produtos antivírus: Esses dispositivos detectam software mal-intencionado, como vírus, cavalos de Tróia,
worms, bactérias, bombas lógicas etc.
ÿ Sistemas de segurança/criptográficos: Esses dispositivos protegem dados confidenciais contra roubo ou

alteração exigindo a autenticação do usuário. Os exemplos incluem VPN, SSL, S/MIME, Kerberos e
RADIUS.

Preocupações de segurança IDS/IPS

ÿ Configuração e gerenciamento inadequados de IDS/IPS
tornar um IDS/IPS ineficaz
ÿ A implantação de IDS/IPS deve ser feita com planejamento
cuidadoso, preparação, prototipagem, teste e treinamento especializado
Erros comuns na configuração de IDS/IPS
ÿ Implantar um IDS em um local onde não veja toda a rede

tráfego
ÿ Ignorar frequentemente os alertas gerados pelo IDS
ÿ Não ter a política de resposta adequada e as melhores soluções possíveis

para lidar com um evento
ÿ Não ajustar o IDS para falsos negativos e falsos positivos
ÿ Não atualizar o IDS com as últimas novas assinaturas do fornecedor
ÿ Apenas monitorando conexões de entrada
Preocupações de segurança IDS/IPS
A configuração e o gerenciamento inadequados de IDS/IPS tornarão um IDS/IPS ineficaz. A implantação de IDS/

IPS deve ser feita com planejamento cuidadoso, preparação, prototipagem, teste e treinamento especializado.
Erros comuns na configuração de IDS/IPS
ÿ Implantar um IDS em um local onde não veja todo o tráfego da rede
ÿ Ignorando frequentemente os alertas gerados pelo IDS
ÿ Não ter a política de resposta adequada e as melhores soluções possíveis para lidar com um
evento
ÿ Não ajustar o IDS para falsos negativos e falsos positivos
ÿ Não atualizar o IDS com as últimas novas assinaturas do fornecedor
ÿ Somente monitorando conexões de entrada
Abaixo estão alguns erros e soluções alternativas para evitá-los para implantação efetiva de um IDS na rede:
ÿ Implantar um IDS se o planejamento da infraestrutura não for eficiente: Uma infraestrutura de rede
inadequada ou incompleta não ajudará no funcionamento de um IDS. Se o ajuste do IDS não seguir a
infraestrutura da rede, ele poderá desabilitar a rede inundando-a com alertas.
ÿ Sensibilidade incorreta: Após a implantação de um IDS, as organizações geralmente definem seu nível
para a sensibilidade mais alta, permitindo que o IDS detecte um grande número de ataques. No entanto,
isso também leva a um aumento no número de falsos positivos. Se um IDS gera um grande

número de alertas falsos positivos por dia, isso pode fazer com que o administrador perca um alerta real. A
longo prazo, ignorar esses alertas pode ser prejudicial para a segurança da rede.
ÿ Detectar uma intrusão não é suficiente: as organizações também devem criar uma política de resposta que
os administradores implementem em resposta a um incidente ocorrido. Essa política de resposta deve
responder às seguintes perguntas: O que é um evento normal e o que é um evento malicioso? Qual é a
resposta para cada evento que gera um alerta?
A pessoa que analisa os alertas deve estar ciente desse plano de ação.
ÿ NIDS sem IPsec: Uma infraestrutura que estabeleceu um NIDS sem protocolos de rede IPsec torna a rede
mais vulnerável a invasões. Um NIDS escuta todo o tráfego que detecta e então compara a legitimidade do
tráfego. Se encontrar tráfego criptografado, ele só poderá executar a análise em nível de pacote, pois o
conteúdo da camada de aplicativo está inacessível. Isso aumenta a vulnerabilidade da rede.
ÿ Ignorando o tráfego de saída: muitas organizações preferem proteger e monitorar apenas o tráfego de
entrada e ignorar o tráfego de saída. É importante colocar sensores IDS em toda a organização. Se a
configuração for econômica, a organização deve colocar os sensores próximos aos pontos de estrangulamento
da rede. Isso ajudará a monitorar o tráfego interno e externo da rede do host.
ÿ Implantação de sensores IDS em uma única NIC ou em vários links de dados: isso fará com que um
sensor IDS envie os dados na mesma interface em que está detectando. Isso pode levar a um possível
ataque, pois a interface reporta todos os dados ao banco de dados centralizado. Se um invasor obtiver
acesso a essa infraestrutura, poderá desativar o IDS e impedir novos alertas. O invasor também pode
interceptar os dados na interface e alterá-los. Esse problema pode ser resolvido conectando a interface a
uma rede de monitoramento dedicada.

Indicações Gerais de Invasões
Invasões do sistema de arquivos Invasões de rede Invasões do sistema
ÿ A presença de novos ou ÿ Sondas repetidas do ÿ Logs curtos ou incompletos ÿ

arquivos ou programas desconhecidos serviços disponíveis em suas Desempenho do sistema
máquinas
ÿ Alterações nas permissões de arquivo excepcionalmente lento ÿ Logs
ÿ Conexões de incomuns
ausentes ou logs com permissões ou propriedade
ÿ Mudanças inexplicáveis em um arquivo Localizações
incorretas ÿ Modificações no software do
Tamanho
ÿ Tentativas repetidas de login de hosts sistema e nos arquivos de configuração
ÿ Arquivos nocivos no sistema que remotos
não correspondem à lista principal de ÿ Um fluxo repentino de dados de registro ÿ Exibições gráficas incomuns ou mensagens
arquivos assinados
de texto
ÿ Arquivos ausentes ÿ Lacunas na contabilidade do sistema
ÿ O sistema trava ou reinicia ÿ Processos
desconhecidos
Indicações Gerais de Invasões
Tentativas de invasão em redes, sistemas ou sistemas de arquivos podem ser identificadas seguindo alguns indicadores gerais:
ÿ Invasões do sistema de arquivos
Ao observar os arquivos do sistema, a presença de uma intrusão pode ser identificada. Os arquivos do sistema
registram as atividades do sistema. Qualquer modificação ou exclusão dos atributos do arquivo ou do próprio arquivo
é um sinal de que o sistema foi alvo de um ataque:
o Se você encontrar arquivos/programas novos e desconhecidos em seu sistema, existe a possibilidade de que o
sistema tenha sido invadido. O sistema pode ser comprometido na medida em que pode, por sua vez,
comprometer outros sistemas de rede.
o Quando um intruso obtém acesso a um sistema, ele tenta aumentar os privilégios para obter acesso administrativo.
Quando o invasor obtém privilégios de administrador, ele pode alterar as permissões do arquivo, por exemplo, de
somente leitura para gravação.
o Modificações inexplicáveis no tamanho do arquivo também são uma indicação de um ataque. Certificar-se
você analisa todos os seus arquivos de sistema.
o A presença de arquivos suid e sgid não autorizados em seu sistema Linux que não correspondem
sua lista principal de arquivos suid e sgid pode indicar um ataque.
o Você pode identificar nomes de arquivos desconhecidos em diretórios, incluindo arquivos executáveis com
extensões estranhas e extensões duplas.
o Arquivos ausentes também são um sinal de uma provável invasão/ataque.

ÿ Invasões de Rede
Da mesma forma, as indicações gerais de invasões de rede incluem:
o Um aumento repentino no consumo de largura de banda
o Sondagens repetidas dos serviços disponíveis em suas máquinas
o Solicitações de conexão de IPs diferentes daqueles no intervalo de rede, o que implica que um usuário não
autenticado (intruso) está tentando se conectar à rede
o Tentativas repetidas de login de hosts remotos
o Um fluxo repentino de dados de log, que pode indicar tentativas de ataques DoS, largura de banda
consumo e ataques DDoS
ÿ Intrusões do Sistema
Da mesma forma, as indicações gerais de invasões do sistema incluem:
o Mudanças repentinas nos logs, como logs curtos ou incompletos
o Desempenho do sistema excepcionalmente lento
o Logs ausentes ou logs com permissões ou propriedade incorreta
o Modificações no software do sistema e arquivos de configuração
o Exibições gráficas incomuns ou mensagens de texto
o Lacunas na contabilidade do sistema
o O sistema trava ou reinicia
o Processos desconhecidos

Classificação IDS
Um IDS é classificado com base em uma abordagem, sistema protegido, estrutura, fonte de dados, comportamento e análise de tempo
Por favor, escreva seu grande título está aqui
Classificação do Sistema de Detecção de Intrusão
Detecção de intruso Protegido Comportamento depois

Estrutura Fonte de dados Tempo de Análise
Abordagem Sistema um ataque
Rede Estado do Sistema No vôo Intervalo

ESCONDES NINHOS Híbridos Trilha de Auditoria
pacotes Análise Em processamento
IDS baseado
Anomalia Assinatura
Detecção Detecção Centralizado distribuído IDS ativo ID passivo
Sistema Sistema
Sistema de agente
Classificação IDS
Geralmente, um IDS usa detecção baseada em anomalia e métodos de detecção baseados em assinatura para detectar
invasões. Um IDS é classificado com base em uma abordagem, sistema protegido, estrutura, fonte de dados,
comportamento e análise de tempo.
A classificação dos IDSs é mostrada na figura a seguir. Essa categorização depende das informações coletadas de um
único host ou segmento de rede, em termos de comportamento, com base na alimentação contínua ou periódica de
informações e da fonte de dados.
Figura 5.36: Classificação do Sistema de Detecção de Intrusão

IDS baseado em abordagem
Detecção baseada em assinatura

ÿ Conhecido como detecção de uso indevido
ÿ Monitora padrões de pacotes de dados na rede e os compara com padrões de ataque de rede pré-
configurados, conhecidos como assinaturas ÿ Este método usa operações de comparação de strings
para comparar atividades em andamento , como um pacote ou uma entrada de log, com uma lista de
assinaturas
Vantagens Desvantagens
ÿ Detecta ataques com alarmes falsos mínimos ÿ Esta abordagem detecta apenas ameaças
conhecidas, o banco de dados deve ser
atualizado constantemente com novas
ÿ Pode identificar rapidamente o uso de uma
assinaturas de ataque
ferramenta ou técnica específica
ÿ Auxilia os administradores a rastrear rapidamente ÿ

Ele utiliza assinaturas bem definidas
quaisquer possíveis problemas de segurança e que o impedem de detectar variantes
iniciar procedimentos de tratamento de incidentes comuns dos ataques
IDS baseado em abordagem (continuação)
ÿ Nesta abordagem, alarmes para atividades anômalas são gerados pela avaliação de padrões de rede, como que tipo de
largura de banda é usada, quais protocolos são usados e quais portas e quais dispositivos estão conectados uns aos outros
baseado em anomalia
ÿ Um IDS monitora a atividade típica para um determinado intervalo de tempo e então constrói as estatísticas para o
Detecção
tráfego de rede
ÿ Por exemplo: IDS baseado em anomalia monitora atividades para uso normal de largura de banda da Internet, falha de logon
tentativas, níveis de utilização do processador, etc.
Vantagens ÿ Um Desvantagens ÿ A taxa
IDS baseado em anomalia identifica comportamento de geração de falsos alarmes é alta devido ao comportamento
anormal na rede e detecta os sintomas de ataques imprevisível de usuários e redes
sem detalhes claros
ÿ A necessidade de criar um extenso conjunto de
ÿ As informações adquiridas pelos detectores de anomalias são eventos a fim de caracterizar o comportamento normal
mais usado para definir as assinaturas para detectores de
padrões
uso indevido
.
Copyright © de Copyright © de ECEC-Council -Council. Todos os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.

IDS baseado em abordagem (continuação)
Este método compara eventos Ele também detecta variações no

observados com perfis predeterminados comprimento do comando, valores mínimos/
com base em definições aceitas de máximos para atributos e outras possíveis
atividade benigna para cada protocolo anomalias
para identificar quaisquer desvios do estado
do protocolo
Protocolo Estatal
Análise
Ele pode identificar sequências Para qualquer protocolo
imprevisíveis de comandos. Por exemplo, que realize autenticação, o IDS/IPS
ele pode identificar atividades como emitir rastreará o autenticador que está sendo
os mesmos comandos repetidamente ou usado para cada sessão e registrará o
comandos arbitrários sendo usados autenticador envolvido na atividade
suspeita
IDS baseado em abordagem
Detecção baseada em assinatura
Também é conhecido como detecção de uso indevido. Monitora padrões de pacotes de dados na rede e os compara com padrões
de ataque de rede pré-configurados conhecidos como assinaturas. Uma assinatura é um padrão predefinido no tráfego em uma
rede. Assinaturas de tráfego normais denotam comportamento de tráfego normal. No entanto, as assinaturas de ataque são
maliciosas e prejudiciais à rede. Esses padrões são exclusivos e o invasor usa esses padrões para entrar na rede. Esse método usa
operações de comparação de strings para comparar atividades em andamento, como um pacote ou uma entrada de log, com uma
lista de assinaturas.
Vantagens
ÿ
Ele detecta ataques com alarmes falsos mínimos.
ÿ
Ele pode identificar rapidamente o uso de uma ferramenta ou técnica específica.
ÿ
Ele auxilia os administradores a rastrear rapidamente quaisquer possíveis problemas de segurança e iniciar os
procedimentos de tratamento de incidentes.
Desvantagens
ÿ Esta abordagem detecta apenas ameaças conhecidas, o banco de dados deve ser atualizado com novos
assinaturas de ataque constantemente.
ÿ
Ele utiliza assinaturas bem definidas que o impedem de detectar variantes comuns dos ataques.

Exemplos de assinaturas:
ÿ Uma tentativa de telnet com um nome de usuário 'root', que é uma violação da segurança corporativa
política.
ÿ Uma entrada de log do sistema operacional com um código de status 645 indica que o sistema de auditoria do host
está desabilitado.
Detecção baseada em anomalias
O processo de detecção baseado em anomalias depende de observar e comparar os eventos observados com o
comportamento normal e então detectar qualquer desvio dele. O comportamento normal depende de fatores como usuários,
hosts, conexões de rede e/ou aplicativos. Esses fatores são considerados somente após o exame de uma determinada
atividade durante um período de tempo.
O comportamento normal do tráfego é baseado em vários atributos comportamentais, como atividade normal de e-mail,
número razoável de tentativas com falha, uso do processador, etc. Qualquer atividade que não corresponda ao
comportamento normal pode ser tratada como um ataque. Por exemplo, vários e-mails vindos de um único remetente ou
um grande número de tentativas de login com falha podem indicar um comportamento suspeito. Ao contrário da detecção
baseada em assinatura, a detecção baseada em anomalia pode detectar ataques previamente desconhecidos.
Nesta abordagem, os alarmes para atividades anômalas são gerados pela avaliação de padrões de rede, como que tipo de
largura de banda é usada, quais protocolos são usados e quais portas e quais dispositivos estão conectados uns aos outros.
Um IDS monitora a atividade típica para um determinado intervalo de tempo e, em seguida, cria as estatísticas para o
tráfego de rede. Por exemplo: o IDS baseado em anomalia monitora atividades para uso normal de largura de banda da
Internet, tentativas de logon com falha, níveis de utilização do processador, etc.
Vantagens
ÿ Um IDS baseado em anomalia identifica comportamento anormal na rede e detecta o

sintomas de ataques sem detalhes claros
ÿ As informações adquiridas pelos detectores de anomalias são usadas posteriormente para definir as assinaturas para
detectores de uso indevido
Desvantagens
ÿ A taxa de geração de falsos alarmes é alta devido ao comportamento imprevisível dos usuários e
redes
ÿ A necessidade de criar um conjunto extenso de eventos do sistema para caracterizar o normal

padrões de comportamento
Análise de protocolo com estado
A comunicação em rede usa vários tipos de protocolos para trocar informações em diferentes camadas. Esses protocolos
definem o comportamento aceito. O IDS baseado em análise de protocolo estável detecta atividades suspeitas analisando
o desvio do tráfego de protocolo específico de seu comportamento normal. Usando essa análise, um IDS pode analisar os
protocolos e o tráfego da camada de rede, transporte e aplicação em relação ao seu comportamento normal.

Certos IDSs podem especificar atividades adequadas para cada classe de usuários de acordo com
as informações do autenticador. Este método compara eventos observados com perfis predeterminados
com base em definições aceitas de atividade benigna para cada protocolo para identificar quaisquer
desvios do estado do protocolo. Ele pode identificar sequências imprevisíveis de comandos. Por
exemplo, ele pode identificar atividades como emitir os mesmos comandos repetidamente ou
comandos arbitrários sendo usados. Ele também detecta variações no comprimento do comando,
valores mínimos/máximos para atributos e outras possíveis anomalias. Para qualquer protocolo que
execute autenticação, o IDS/IPS rastreará o autenticador que está sendo usado para cada sessão e
registrará o autenticador envolvido na atividade suspeita.

Sistemas de Detecção de Anomalias e Uso Indevido
Sistema de Detecção de Uso Indevido Sistema de Detecção de Anomalias
Módulo de Detecção Módulo de Detecção
Módulos de auditoria Perfis Módulos de auditoria Perfis Detecção de anomalia

Motor de Interferência
Motor
Sistemas alvo Sistemas alvo
Sistemas de Detecção de Anomalias e Uso Indevido
Sistema de Detecção de Uso Indevido
Em um sistema de detecção de uso indevido, primeiro o sistema de comportamento anormal é definido e depois o comportamento normal. O
sistema de detecção de uso indevido funciona de maneira diferente de um sistema de detecção de anomalias, pois possui uma abordagem
estática na detecção de ataques. Geralmente, os sistemas de detecção de uso indevido apresentam uma baixa taxa de falsos positivos, pois
as regras são predefinidas, como linguagens baseadas em regras, análise de transição de estado, sistema especialista, etc.
Figura 5.37: Sistema de detecção de uso indevido

Vantagens
ÿ Detecção mais precisa do que um sistema de detecção de anomalias
ÿ Menos alarmes falsos
Desvantagem
ÿ Incapaz de detectar novos ataques devido a regras pré-definidas
Sistema de Detecção de Anomalias
Um sistema de detecção de anomalias envolve a detecção de invasões na rede. Ele usa algoritmos para detectar
discrepâncias que ocorrem em uma rede ou sistema. Ele categoriza uma intrusão como normal ou anômala. A invasão de
anomalias é um processo de duas etapas em que a primeira etapa envolve a coleta de informações de como os dados
fluem e a segunda etapa envolve trabalhar nesse fluxo de dados em tempo real e detectar se os dados são normais ou não.
Ao implementar esse processo, um IDS baseado na detecção de anomalias protege os sistemas e redes de destino que
podem ser vulneráveis a atividades maliciosas. Anomalias no sistema podem ser detectadas por meio de inteligência
artificial, redes neurais, mineração de dados, método estatístico, etc.
Figura 5.38: Sistema de detecção de anomalias
Vantagens
ÿ
Ele detecta e identifica sondas no hardware de rede, fornecendo assim avisos antecipados sobre ataques.
ÿ
Ele tem a capacidade de detectar uma ampla gama de ataques na rede.
Desvantagens
ÿ
Se um comportamento de rede legítimo não fizer parte do modelo projetado, o sistema o detectará como anômalo.
Isso aumenta o número de alertas falsos positivos no sistema.
ÿ O tráfego de rede varia e a implantação do mesmo modelo pode levar a uma

falha na detecção de ataques conhecidos.

IDS baseado em comportamento
ÿ Um IDS é categorizado com base

em como ele reage a uma possível
invasão Modo IDS Ativo Modo IDS Passivo
Tráfego Tráfego
ÿ Funciona em um dos dois modos, ativo

ou passivo, com base no
Firewall Firewall
comportamento após um ataque
ÿ IDS Ativo: Detecta e Linha de frente Linha de frente
IPS IPS
responde a invasões detectadas
Escute e Ativo Escute e

Monitor Monitor
ÿ IDS Passivo: Só detecta Resposta
invasões
Modo IDS Ativo Modo IDS Passivo
IDS baseado em comportamento
As técnicas de detecção de intrusão baseadas em comportamento assumem que uma intrusão pode ser detectada observando um
desvio do comportamento normal ou esperado do sistema ou usuários. O modelo de comportamento normal ou válido é extraído de
informações de referência coletadas por vários meios.
Posteriormente, o IDS compara esse modelo com a atividade atual. Quando um desvio é observado, um alarme é gerado.
Um IDS é categorizado com base em como ele reage a uma possível invasão. Ele funciona em um dos dois modos, ativo ou passivo,
com base no comportamento após um ataque.
Modo IDS Ativo
Figura 5.39: Modo IDS ativo

Detecta e responde a invasões detectadas. Um IDS ativo é configurado para bloquear automaticamente
ataques suspeitos sem qualquer intervenção do administrador. Tal IDS tem a vantagem de fornecer
ação corretiva em tempo real em resposta a um ataque. A ação exata difere por produto e depende da
gravidade e do tipo de ataque.
Modo IDS Passivo
Figura 5.40: Modo IDS Passivo
Detecta apenas invasões. Um IDS passivo é configurado apenas para monitorar e analisar a atividade
do tráfego de rede e alertar o administrador sobre possíveis vulnerabilidades e ataques. Este tipo de
IDS não é capaz de executar nenhuma função de proteção ou correção por conta própria. Ele apenas
registra a intrusão e notifica um administrador, por e-mail ou pop-ups. Um administrador de sistema ou
outra pessoa terá que responder ao alarme, tomar as medidas apropriadas para interromper o ataque
e possivelmente identificar o intruso.

IDS baseado em proteção
Rede não confiável NINHOS
Um IDS é classificado com base no sistema/rede

se oferece proteção para
Se protege a rede, é chamado de sistema de detecção

de intrusão de rede (NIDS)
Se protege um host, é chamado de sistema de

ESCONDES ESCONDES ESCONDES ESCONDES ESCONDES
detecção de intrusão de host (HIDS)
Se protege a rede e um host, é chamado de

Uso indevido
sistema híbrido de detecção de intrusão (Hybrid IDS) Detecção
Ataque Conhecido
Uso indevido
Detecção
Desconhecido
Um IDS híbrido combina as vantagens da baixa taxa de falsos Recursos
positivos de um NIDS e da detecção baseada em anomalias de

novo ataque
um HIDS para detectar ataques desconhecidos Anomalia
Detecção
IDS baseado em proteção
Um IDS pode ser classificado com base no dispositivo ou rede para o qual oferece proteção. Existem principalmente
três tipos de tecnologias IDS nesta categoria, que incluem sistemas de detecção de intrusão de rede (NIDS), sistemas
de detecção de intrusão de host (HIDS) e sistemas híbridos de detecção de intrusão (IDS híbrido).
ÿ
Se protege a rede, é chamado de sistema de detecção de intrusão de rede (NIDS)
ÿ
Se protege um host, é chamado de sistema de detecção de intrusão de host (HIDS)
ÿ
Se protege a rede e um host, é chamado de sistema híbrido de detecção de intrusão
(ID Híbrido)

Figura 5.41: IDS baseado em proteção
Sistema de Detecção de Intrusão de Rede (NIDS)
O NIDS é usado para observar o tráfego de qualquer segmento ou dispositivo específico e reconhecer a ocorrência
de qualquer atividade suspeita na rede e nos protocolos de aplicação. O NIDS normalmente é colocado nos limites
entre redes, atrás de firewalls de perímetro de rede, roteadores, VPN, servidores de acesso remoto e redes sem fio.
Sistemas de Detecção de Intrusão de Host (HIDS)
O HIDS é instalado em um host específico e é usado para monitorar, detectar e analisar eventos que ocorrem nesse
host. Ele monitora as atividades relacionadas ao tráfego de rede, logs, processos, aplicativos, acesso a arquivos e
modificações no host. O HIDS é normalmente implantado para proteger informações muito confidenciais mantidas em
servidores acessíveis ao público.
Sistemas híbridos de detecção de intrusão (IDS híbrido)
Um IDS híbrido é uma combinação de HIDS e NIDS. Ele combina as vantagens da baixa taxa de falsos positivos de
um NIDS e da detecção baseada em anomalias de um HIDS para detectar ataques desconhecidos. Ele tem seu
agente instalado em quase todos os hosts da rede e tem a capacidade de trabalhar online com redes criptografadas
e armazenar dados em um único host.

IDS baseado em estrutura
Um IDS também é classificado como um IDS

centralizado ou um IDS distribuído, esta
classificação é baseada na estrutura do IDS
Em um IDS centralizado, todos os dados são

enviados para um local central para análise,
independentemente do número de hosts monitorados
Em um IDS distribuído, vários IDS são implantados em

uma grande rede e cada IDS se comunica entre si para
análise de tráfego
IDS baseado em estrutura (continuação)

Inscrição Rede baseado em host
Controle Centralizado Sistema de monitoramento Sistema de monitoramento Sistema de monitoramento
Consola IDS
Internet
Sistema de monitoramento de rede Sistema de monitoramento baseado em host Totalmente distribuído

Controle (baseado em agente)
Inscrição
Sistema de monitoramento
Internet
IDS baseado em estrutura
Um IDS também é classificado como um IDS centralizado ou um IDS distribuído, esta classificação é
baseada na estrutura do IDS
Estrutura Distribuída de um IDS
Um sistema distribuído de detecção de intrusão (dIDS) consiste em vários IDSs em uma grande rede.
Esses sistemas se comunicam entre si ou com um servidor central que facilita uma

rede avançada de monitoramento, análise de incidentes e dados de ataque instantâneo. Ao ter esses
agentes cooperativos distribuídos em uma rede, os operadores de rede podem obter uma visão mais ampla
do que está ocorrendo em sua rede como um todo.
O dIDS também permite que uma empresa gerencie com eficiência seus recursos de análise de incidentes
centralizando seus registros de ataque e dando ao analista uma maneira de detectar novas tendências ou
padrões e identificar ameaças à rede em vários segmentos de rede.
Figura 5.42: Estrutura distribuída de um IDS
Estrutura Centralizada do IDS
Em um sistema centralizado, os dados são coletados de diferentes sites para um site central e o coordenador
central analisa os dados após uma intrusão. Tal IDS é projetado para sistemas centralizados. Em um IDS
centralizado, a análise de dados é realizada em um número fixo de locais, independentemente de quantos
hosts estão sendo monitorados. Como resultado, a estrutura centralizada de um IDS pode ser prejudicial
em uma rede de alta velocidade.
Figura 5.43: Estrutura Centralizada de um IDS

IDS baseado em tempo de análise
O tempo de análise é um intervalo de tempo decorrido

entre os eventos que ocorrem e a análise desses eventos
Um IDS é Categorizado com base no Tempo de Análise como:
IDS baseado em intervalo IDS baseado em tempo real
ÿ As informações sobre uma detecção de intrusão não ÿ As informações sobre uma detecção de intrusão fluem
não flui continuamente dos pontos de monitoramento para os continuamente dos pontos de monitoramento para os
mecanismos de análise, é simplesmente armazenado e encaminhado mecanismos de análise
ÿ Realiza análise da intrusão detectada ÿ Ele executa a análise da intrusão detectada em tempo real
desligada
IDS baseado em tempo de análise
O tempo de análise refere-se ao tempo decorrido entre a ocorrência de eventos e a análise desses eventos. Com base no tempo de
análise, um IDS pode ser classificado em dois tipos distintos: IDS baseado em intervalo e IDS baseado em tempo real.
IDS baseado em intervalo
A análise baseada em intervalo ou offline refere-se ao armazenamento das informações relacionadas à intrusão para análise
posterior. Esse tipo de IDS verifica o status e o conteúdo dos arquivos de log em intervalos predefinidos. A informação sobre uma
detecção de intrusão não flui continuamente dos pontos de monitoramento para os mecanismos de análise, ela é simplesmente
armazenada e encaminhada. Ele realiza a análise da intrusão detectada offline. IDSs baseados em intervalo são proibidos de
executar uma resposta ativa. O modo de lote era comum nas primeiras implementações de IDS porque seus recursos não suportavam
aquisição e análise de dados em tempo real.
IDS baseado em tempo real
As informações sobre uma detecção de intrusão fluem continuamente dos pontos de monitoramento para os mecanismos de análise.
Ele executa a análise da intrusão detectada em tempo real.
Um IDS baseado em tempo real é projetado para processamento on-the-fly e é a abordagem mais comum para um IDS baseado em
rede. Ele opera em um feed de informações contínuas. O IDS baseado em tempo real coleta e monitora informações de fluxos de
tráfego de rede regularmente. A detecção realizada por este IDS produz resultados rápidos o suficiente para permitir que o sistema
IDS tome uma ação que afete o progresso do ataque detectado. Ele também pode realizar a verificação on-line de eventos com a
ajuda do processamento instantâneo e respondê-los simultaneamente. Um IDS que usa esse tipo de processamento requer mais
RAM e um grande disco rígido devido ao alto armazenamento de dados necessário para rastrear todos os pacotes de rede online.

IDS baseado em análise de dados de origem
Um IDS é classificado com base no

tipo de fonte de dados usada
para detectar invasões
Um IDS usa fontes de dados como trilha de auditoria e pacotes

de rede para detectar invasões
Detecção de intrusão usando trilhas de auditoria Detecção de intrusão usando pacotes de rede
ÿ Trilhas de auditoria ajudam o IDS a detectar problemas ÿ Capturar e analisar pacotes de rede ajuda
de desempenho, violações de segurança e falhas em um IDS a detectar ataques conhecidos
aplicativos
IDS baseado em análise de dados de origem
Um IDS é classificado com base no tipo de fonte de dados usada para detectar invasões. Um IDS usa fontes de dados como trilha de
auditoria e pacotes de rede para detectar invasões. Dependendo da fonte de dados, um IDS pode ser categorizado em dois tipos:
detecção de intrusão usando trilhas de auditoria e detecção de intrusão usando pacotes de rede.
Detecção de intrusão usando trilhas de auditoria
Uma trilha de auditoria é um conjunto de registros que fornecem evidências documentais da atividade de um sistema usando o
sistema e os processos de aplicativos e a atividade do usuário de sistemas e aplicativos. As trilhas de auditoria ajudam o IDS a
detectar problemas de desempenho, violações de segurança e falhas em aplicativos.
Os administradores devem evitar o armazenamento de relatórios de trilha de auditoria em um único arquivo para evitar que intrusos
acessem os relatórios de auditoria e façam alterações.
ÿ Os sistemas de auditoria são usados para o seguinte:
o Assistir acesso a arquivos
o Monitorar chamadas do sistema
o Gravar comandos executados pelo usuário
o Registrar eventos de segurança
o Pesquisar eventos
o Executar relatórios resumidos
ÿ As razões para a realização de trilhas de auditoria são as seguintes:
o Identificar os sinais de um ataque usando análise de eventos
o Identificar eventos de intrusão recorrentes

o Identificar vulnerabilidades do sistema
o Desenvolver assinaturas de acesso e usuário
o Definir regras de tráfego de rede para IDSs baseados em detecção de anomalias
o Fornece uma forma de defesa para um usuário básico contra invasões
Detecção de intrusão usando pacotes de rede
Um pacote de rede é uma unidade de dados transmitida por uma rede para comunicação. Ele contém informações
de controle em um cabeçalho e dados do usuário. O cabeçalho do pacote contém o endereço da origem do pacote
e seu destino; o payload é o corpo do pacote que armazena o conteúdo original. O cabeçalho e a carga útil de um
pacote podem conter conteúdo malicioso enviado por invasores. Capturar esses pacotes antes de entrarem em seu
destino final é uma maneira eficiente de detectar esses ataques.

Componentes IDS
Um sistema IDS é construído em vários componentes.
O conhecimento de suas funções e posicionamento
é necessário para uma implementação eficaz do IDS
Componentes IDS
Sensores de rede
Sistemas de Alerta
Console de comando
Sistema de Resposta
Banco de dados de assinatura de ataque
Componentes IDS
Um sistema IDS é construído em vários componentes. O conhecimento de suas funções e posicionamento é necessário
para a implementação eficaz do IDS. Esses componentes são usados para coletar informações de uma variedade de
sistemas e fontes de rede e, em seguida, analisar as informações em busca de qualquer anormalidade. Os principais
componentes de um IDS estão listados abaixo.
Figura 5.44: Componentes IDS
ÿ Sensores de rede: Esses agentes analisam e relatam qualquer atividade suspeita.
ÿ Analisador: Analisa os dados coletados pelos sensores.
ÿ Sistemas de alerta: Esses sistemas acionam alertas ao detectar atividades maliciosas.
ÿ Console de comando: Atua como interface entre o usuário e o IDS.
ÿ Sistema de resposta: Um IDS usa este sistema para iniciar contramedidas em detecção
Atividades.
ÿ Banco de dados de assinaturas ou comportamentos de ataque: Uma lista de assinaturas detectadas anteriormente
armazenados em um banco de dados que auxiliam o IDS na detecção de intrusão.

Sensores de rede
Sensores de rede são componentes de hardware e software que monitoram o tráfego de rede e acionam alarmes
se alguma atividade anormal for detectada
Os sensores de rede devem ser

colocados e localizados em pontos de
entrada comuns em uma rede, como:
ÿ Gateways de Internet
ÿ Entre conexões LAN
ÿ Servidores de acesso remoto usados

para receber conexões dial-up
ÿ Dispositivos VPN
ÿ Qualquer um dos lados do firewall
Sensores de rede
Sensores de rede são componentes de hardware e software que monitoram o tráfego de rede e acionam alarmes se
alguma atividade anormal for detectada. É um ponto primário de coleta de dados para o IDS. Os sensores de rede
coletam dados da fonte de dados e os transmitem aos sistemas de alerta.
O sensor integra-se com o componente responsável pela coleta de dados, como um gerador de eventos. Os sensores
de rede determinam a coleta de dados com base na política do gerador de eventos, que define o modo de filtragem
para informações de notificação de eventos.
A função do sensor é filtrar as informações e descartar quaisquer dados irrelevantes obtidos do conjunto de eventos
associado ao sistema protegido, detectando assim atividades suspeitas. Os sensores verificam o tráfego em busca
de pacotes maliciosos, acionam um alarme quando suspeitam que um pacote seja malicioso e então alertam o IDS.
Se um IDS confirmar que o pacote é malicioso, os sensores geram uma resposta automática para bloquear o tráfego
da origem do ataque.

Figura 5.45: Sensores de Rede Acionando Alarme
Os sensores de rede devem ser colocados e localizados em pontos de entrada comuns em uma rede, como:
ÿ Portais de Internet
ÿ Entre conexões LAN
ÿ Servidores de acesso remoto usados para receber conexões dial-up
ÿ Dispositivos VPN
ÿ Ambos os lados do firewall

Console de comando
ÿ O software do console de comando é instalado e Habilidade do console de comando
executado em um sistema separado dedicado ao IDS
ÿ Ele fornece uma interface de usuário

para um administrador com a finalidade de receber
e analisar eventos de segurança, mensagens de
alerta e arquivos de log
ÿ Avalia informações de eventos de segurança de diferentes

dispositivos de segurança
ÿ Cuidado: Se o console de comando estiver instalado em

um sistema de computador não dedicado (por exemplo,
firewall, servidor de backup), ele diminuirá drasticamente
a resposta a eventos de segurança, pois esses sistemas
podem estar ocupados lidando com outras tarefas
Console de comando
O software do console de comando é instalado e executado em um sistema separado dedicado ao IDS. Ele
fornece uma interface de usuário para um administrador com a finalidade de receber e analisar eventos de
segurança, mensagens de alerta e arquivos de log. O console de comando avalia as informações de eventos de
segurança de diferentes dispositivos de segurança.
O IDS coleta todos os dados dos dispositivos de segurança e os analisa usando o console de comando.
Os administradores usam o console para analisar mensagens de alerta acionadas pelo sistema de alerta e
gerenciar arquivos de log. O console de comando permite que os administradores em grandes redes processem
grandes volumes de atividades e respondam rapidamente.
Um IDS coleta informações de dispositivos de segurança colocados em toda a rede e as envia para o console de
comando para avaliação. A instalação de um console de comando no sistema para outras finalidades, como
backup de arquivos e funções de firewall, tornará a resposta lenta aos eventos.
A instalação do console de comando em um sistema dedicado oferece o benefício de uma resposta rápida.
Cuidado: Se o console de comando estiver instalado em um sistema de computador não dedicado (por exemplo,
firewall, servidor de backup), ele diminuirá drasticamente a resposta a eventos de segurança, pois esses sistemas
podem estar ocupados lidando com outras tarefas.

Figura 5.46: Habilidade do console de comando

Sistemas de Alerta
Um sistema de alerta envia uma mensagem de alerta quando qualquer anomalia ou uso indevido é detectado
Alertas OSSEC HIDS na escola Alertas de Snort NIDS na escola
Sistemas de Alerta
Os sistemas de alerta acionam um alerta sempre que os sensores detectam atividade maliciosa na rede. O alerta
comunica ao IDS sobre o tipo de atividade maliciosa e sua origem. O IDS usa gatilhos para responder ao alerta e
tomar contramedidas. Um IDS pode enviar alertas usando os seguintes métodos:
ÿ Janelas pop-up
ÿ Mensagens de e-mail
ÿ Sons
ÿ Mensagens móveis
Quando um sensor dispara um alerta, existem três possibilidades:
ÿ O sensor identificou corretamente um ataque bem-sucedido. Este alerta é provavelmente relevante

e é denominado como um verdadeiro positivo.
ÿ O sensor identificou corretamente um ataque, mas o ataque não atingiu seus objetivos.
Esses alertas são conhecidos como positivos não relevantes ou não contextuais.
ÿ O sensor identificou incorretamente um evento como um ataque. Este alerta representa incorreto
informações e é denominado como um falso positivo.
À medida que mais IDSs são desenvolvidos, os profissionais de segurança enfrentariam a tarefa de analisar um
número crescente de alertas resultantes da análise de diferentes fluxos de eventos. Além disso, os IDSs estão longe
de serem perfeitos e podem produzir falsos positivos e positivos não relevantes.

Figura 5.47: Alertas OSSEC HIDS no Sguil
Figura 5.48: Alertas Snort NIDS na escola

Sistema de Resposta
O sistema de resposta emite contramedidas contra

qualquer intrusão detectada
Você também precisa se envolver na decisão

durante a resposta a incidentes e deve ter a capacidade
de responder por conta própria. Você precisa tomar
decisões sobre como lidar com falsos positivos e quando
uma resposta precisa ser escalada
Recomendação: você não deve confiar

apenas em um sistema de resposta IDS para
uma resposta à intrusão
Sistema de Resposta
Um sistema de resposta em um IDS é responsável pelas contramedidas quando uma intrusão é detectada. Essas
contramedidas incluem desconectar o usuário, desabilitar uma conta de usuário, bloquear o endereço de origem do
invasor, reiniciar um servidor ou serviço, fechar conexões ou portas e redefinir sessões TCP. Você também precisa
se envolver na decisão durante a resposta ao incidente e deve ter a capacidade de responder por conta própria. Você
precisa tomar decisões sobre como lidar com falsos positivos e quando uma resposta precisa ser escalada.
Os profissionais de segurança podem configurar um IDS para permitir que o sistema de resposta tome ações contra
invasões ou eles podem responder por conta própria. No caso de falsos positivos, os administradores precisam
responder para permitir esse tráfego na rede sem bloqueá-lo. Usando o sistema de resposta, os administradores
também podem definir o nível de contra-ação que um IDS deve tomar para responder à situação, dependendo da
gravidade da intrusão.
Um IDS tem a vantagem de fornecer ação corretiva em tempo real em resposta a um ataque. Ele age automaticamente
em resposta a uma intrusão detectada. A ação exata difere por produto e depende da gravidade e do tipo de ataque
detectado. Uma resposta ativa comum é aumentar o nível de sensibilidade do IDS para coletar informações adicionais
sobre o ataque e o invasor. Outra possível resposta ativa é fazer alterações na configuração de sistemas ou
dispositivos de rede, como roteadores e firewalls, para impedir a invasão e bloquear o invasor. Os profissionais de
segurança são responsáveis por determinar a resposta apropriada e garantir que a resposta seja executada.
Recomendação: Você não deve confiar apenas em um sistema de resposta IDS para uma intrusão
resposta.


Um IDS não tem a capacidade de tomar uma
decisão, em vez disso, mantém um banco de
dados de assinaturas e padrões de ataque
O tráfego de rede é comparado com essas

assinaturas de ataque conhecidas e, em
seguida, uma decisão pode ser tomada
Se alguma correspondência for encontrada, o

IDS emitirá um alerta e bloqueará o tráfego
suspeito
Recomendação: Você precisa

atualizar periodicamente o banco de
dados de assinatura de ataque IDS
Um IDS não tem a capacidade de tomar uma decisão, mas mantém um banco de dados de assinaturas e padrões de
ataque. Os profissionais de segurança devem exercer seu próprio julgamento ao avaliar alertas de segurança porque um
IDS não tem a capacidade de tomar esses tipos de decisões. No entanto, um IDS pode usar uma lista de assinaturas
detectadas anteriormente, que são armazenadas no banco de dados de assinaturas de ataque, para detectar atividades
suspeitas. O IDS compara a assinatura de pacotes no tráfego da rede com o banco de dados de assinaturas de ataques
conhecidos. O IDS bloqueia o tráfego se um pacote corresponder a uma assinatura armazenada no banco de dados.
Mantenha sempre o banco de dados atualizado para detectar novos tipos de ataques.
Um IDS usa logs de tráfego normais para comparar com o tráfego de rede em execução no momento para identificar
atividades suspeitas. Se identificar atividade de tráfego incomum, ele determina que o tráfego é suspeito e o bloqueia
antes que ele entre na rede.
Recomendação: Você precisa atualizar periodicamente o banco de dados de assinatura de ataque IDS.

Colaboração de componentes IDS na detecção de intrusão
Internet Sensor
Instalar assinaturas de banco de dados
Firewall
LAN interna Coletar dados
Mensagem de alerta enviada

Sensor
IDS responde
Sensor
Administrador avalia danos
Procedimentos de escalonamento seguidos, se necessário

Rede
Base de dados
Gerenciamento
Servidor Servidor
Os eventos são registrados e revisados
DMZ de sub-rede filtrada Sub-rede de gerenciamento confiável
Colaboração de componentes IDS na detecção de intrusão
Figura 5.49: Colaboração de componentes IDS na detecção de intrusão
Etapas de Detecção de Intrusão
Um IDS opera de maneiras diferentes, dependendo da finalidade da configuração. Existe um processo generalizado para
detecção de intrusão. As etapas envolvidas no processo estão listadas abaixo.
ÿ Instalar assinaturas de banco de dados
A primeira etapa da detecção de intrusão ocorre antes que qualquer pacote seja detectado na rede e envolve a
instalação do banco de dados de assinaturas ou perfis de usuário junto com o software e hardware IDS. Esse banco
de dados ajuda o IDS a comparar o tráfego que passa pela rede.

ÿ Reunir Dados
O IDS reúne todos os dados que passam pela rede usando sensores de rede. Os sensores monitoram todos
os pacotes permitidos pelo firewall e os repassam para a próxima linha de sensores. Se identificar pacotes
maliciosos, o sensor envia mensagens de alerta ao IDS.
ÿ Mensagem de Alerta Enviada
O IDS compara todos os pacotes que entram na rede com as assinaturas armazenadas no banco de dados.
Uma mensagem de alerta é transmitida quando um pacote corresponde a uma assinatura de ataque ou se
desvia do uso normal da rede. A mensagem de alerta vai para o console de comando do IDS, onde o
administrador pode avaliá-la.
ÿ IDS Responde
Quando o console de comando recebe uma mensagem de alerta, ele notifica o administrador do alerta por
meio de uma janela pop-up e/ou mensagem de e-mail, dependendo de como está configurado para alertas.
No entanto, se o administrador o configurou para responder automaticamente, o IDS responde ao alerta e
executa uma ação contrária, como descartar o pacote, reiniciar o tráfego de rede e assim por diante.
ÿ Administrador Avalia os Danos
O profissional de segurança deve monitorar os alertas de IDS e determinar se deve tomar alguma
contramedida ou não. O IDS envia alertas dependendo das informações do banco de dados e esses alertas
podem incluir falsos positivos. Os administradores precisam atualizar o banco de dados de assinaturas para
eliminar alarmes falsos positivos.
ÿ Procedimentos de Escalação (Se Necessário)
Os procedimentos de escalonamento são um conjunto de ações escritas na política de segurança e seguidas

se o IDS detectar um verdadeiro positivo (ataque). Esses procedimentos variam de acordo com a gravidade
do incidente.
ÿ Os eventos são registrados e revisados
Os profissionais de segurança devem manter um registro de todos os eventos de intrusão detectados e revisá-
los para decidir quais contramedidas devem ser usadas para eventos futuros. Esses logs podem auxiliar o
profissional de segurança na atualização do banco de dados de assinaturas de ataque com novos eventos e
na detecção de futuros ataques.

Implantação de IDS
baseado em rede e host
Implantação de IDS baseado em rede e host

Implantação de IDS em estágios
ÿ Você deve planejar uma implantação de IDS em etapas em sua rede
ÿ Uma implantação em etapas ajudará você a ganhar experiência

e descubra quanto monitoramento e manutenção dos recursos
de rede são realmente necessários
ÿ O monitoramento e manutenção dos recursos de rede

varia dependendo do tamanho da rede de uma organização
Implantação de IDS em estágios
Antes de implantar efetivamente um IDS, os profissionais de segurança devem entender sua infraestrutura de
rede e as políticas de segurança organizacional. Em seguida, planeje uma implantação de IDS em etapas na
rede. Uma implantação em etapas ajudará você a ganhar experiência e descobrir quanto monitoramento e
manutenção dos recursos de rede são realmente necessários. O monitoramento e a manutenção dos recursos
de rede variam de acordo com o tamanho da rede de uma organização.
A organização deve considerar uma implantação em estágios de um IDS. A implantação inicial de um IDS
requer alta manutenção. Então a organização pode pensar em implementar um IDS no próximo estágio. A
implantação em estágios ajuda a organização a descobrir exatamente onde precisa de segurança do IDS. A
implementação de um IDS na rede da organização é aconselhável quando o pessoal é capaz de lidar com os
alertas de IDS de diferentes sensores colocados em vários locais.
A implantação em etapas fornece aos administradores tempo suficiente para pensar e se acostumar com a
nova tecnologia. Essa abordagem em estágios é benéfica para aqueles que avaliam e investigam alertas de
IDS e logs de IDS.

Implantando IDS baseado em rede
Uma implantação efetiva do NIDS requer muita

atenção em relação à topologia de rede da
organização
As possíveis opções de implantação do IDS são

categorizadas com base na localização dos sensores IDS
Considere todas as opções possíveis e suas vantagens/

desvantagens associadas ao colocar um IDS baseado
em rede
Implantando IDS baseado em rede (continuação)
Localização
Backbones de rede
Localização Localização
Internet Firewall Roteador
Localização
Sub-redes críticas

Local 1 Local 2
ÿ Coloque um sensor IDS atrás de cada ÿ Coloque um sensor IDS fora de um firewall
firewall externo e na rede externo
DMZ
Vantagens Vantagens
ÿ Monitora ataques provenientes do mundo ÿ Capacidade de identificar o número e os tipos de

exterior ataque originados da Internet à rede
ÿ Destaca a incapacidade do firewall e suas políticas

de defesa contra ataques
ÿ Ele pode ver ataques que visam a web ou

Servidores FTP localizados na DMZ
ÿ Monitora os resultados do tráfego de saída de um

servidor comprometido
Local 3 Local 4
ÿ Coloque um sensor IDS ÿ Coloque um sensor IDS

principais backbones de rede sub-redes críticas
Vantagens Vantagens
ÿ Monitora e inspeciona grandes ÿ Detecta ataques a sistemas e

volumes de tráfego, aumentando recursos críticos
a chance de detecção de ataques
ÿ Concentra-se em sistemas e
recursos críticos específicos
ÿ Detecta acessos não autorizados
tentativas de fora da
organização
Implantando IDS baseado em rede

Como um NIDS protege vários hosts de um único local, o profissional de segurança também pode
considerar personalizá-lo para fornecer segurança para toda a rede. Uma implantação efetiva do
NIDS requer muita atenção em relação à topologia de rede da organização. As possíveis opções de
implantação do IDS são categorizadas com base na localização dos sensores IDS. O profissional
de segurança deve considerar a implantação de um console de gerenciamento IDS antes de adicionar seu

sensores. Considere todas as opções possíveis e suas vantagens/desvantagens associadas ao colocar um IDS
baseado em rede.
Os profissionais de segurança precisam implantar sensores IDS de forma incremental em toda a rede.
O profissional de segurança deve considerar vários fatores, como a diferença de tráfego, registro, relatórios e alertas
recebidos ao implantar um novo sensor para um IDS.
O profissional de segurança deve colocar vários sensores de rede em locais estratégicos da rede. O posicionamento
dos sensores dependerá significativamente de qual tipo de recurso de rede precisa ser monitorado para intrusão.
Algumas organizações desejarão usar o IDS para monitorar recursos internos, como uma coleção sensível de máquinas
ou um departamento específico ou local físico. Nesse caso, o local mais lógico para o sensor IDS será no ponto de
estrangulamento entre esses sistemas e o restante da rede interna. Alguns dos pontos de entrada comuns críticos para
colocar sensores estão listados abaixo:
ÿ Nos portais da Internet
ÿ Em conexões entre conexões LAN
ÿ Em servidores de acesso remoto que recebem conexões dial-up de usuários
ÿ Em dispositivos VPN que conectam uma LAN interna a uma LAN externa
ÿ Entre sub-redes separadas por switches
Se uma organização planeja monitorar invasões direcionadas a servidores internos, como servidores DNS ou servidores
de correio, ela deve colocar um sensor dentro do firewall no segmento que conecta o firewall à rede interna. A lógica
por trás disso é que o firewall impedirá a grande maioria dos ataques direcionados à organização, e o monitoramento
regular dos logs do firewall os identificará. O IDS no segmento interno detectará alguns desses ataques que conseguem
passar pelo firewall.
Se um firewall estiver instalado para proteger a rede, posicionar os sensores dentro do firewall é mais seguro do que
colocar um sensor fora do firewall em uma posição exposta à Internet. Se for colocado fora do firewall, pode se tornar
o principal foco de ataques. Um local mais seguro para colocar um sensor está atrás do firewall na DMZ.
Diferentes opções para a implantação de sensores na rede são discutidas abaixo.

Figura 5.50: Implantando IDS baseado em rede
ÿ Local 1: Coloque um sensor IDS atrás de cada firewall externo e na rede DMZ.
O sensor colocado neste local pode detectar ataques de entrada. Também pode ser configurado para detectar
ataques de saída. O sensor é configurado para detectar os ataques menos sensíveis para evitar alarmes falsos.
Esse sensor é configurado para registrar apenas as tentativas de ataque, em vez de enviar alertas para eles.
Vantagens
o Monitora ataques provenientes do mundo exterior
o Destaca a incapacidade do firewall e suas políticas de defesa contra ataques
o Ele pode ver os ataques que visam os servidores web ou FTP localizados na DMZ
o Monitora os resultados do tráfego de saída de um servidor comprometido

ÿ Local 2: Coloque um sensor IDS fora de um firewall externo. Esta localização é ideal para
protegendo a rede de perímetro, bem como identificando os ataques que contornam o firewall externo. O sensor
NIDS protege web, FTP e outros servidores localizados no perímetro da rede. Detecta ataques de impacto baixo
a moderado para evitar as chances de gerar alarmes falsos. Qualquer sensor colocado aqui também tem a
capacidade de monitorar ataques de saída.
Vantagens
o Capacidade de identificar o número e os tipos de ataque originários da Internet para

a rede

ÿ Local 3: Coloque um sensor IDS nos principais backbones da rede. O sensor colocado neste local é usado para
proteger a rede interna da organização. Ele detecta que um ataque pode ter contornado o firewall interno. Um
sensor neste local é capaz de detectar ataques de entrada e saída. Tal sensor é configurado para detectar
ataques de nível de impacto médio a alto.
Vantagens
o Monitora e inspeciona grandes quantidades de tráfego, aumentando a chance de ataque

detecção
o Detecta tentativas não autorizadas de fora da organização
ÿ Local 4: Coloque um sensor IDS em sub-redes críticas. O sensor neste local é usado para proteger hosts sensíveis
na rede, incluindo servidores críticos. Ele é capaz de detectar ataques de entrada e saída. Tal sensor é
configurado para detectar ataques de alto nível de impacto.
Vantagens
o Detecta ataques a sistemas e recursos críticos
o Concentra-se em sistemas e recursos críticos específicos

Implantando um IDS baseado em host
A implantação de um IDS baseado em host fornece uma camada adicional de segurança
Este tipo de IDS deve ser instalado e configurado em cada sistema crítico da rede
30
Você deve considerar a instalação de um IDS baseado em host em todos os

hosts da organização
Ao implantar um IDS baseado em host, é recomendável que ele tenha

funções centralizadas de gerenciamento e geração de relatórios , o que reduz
a complexidade do gerenciamento de alertas de um grande número de hosts
Implantando um IDS baseado em host
A implantação de um IDS baseado em host fornece uma camada adicional de segurança. Este tipo de IDS deve ser
instalado e configurado em cada sistema crítico da rede. Você deve considerar a instalação de um IDS baseado em host
em cada host da organização. Ao implantar um IDS baseado em host, é recomendável que ele tenha funções
centralizadas de gerenciamento e geração de relatórios, o que reduz a complexidade do gerenciamento de alertas de
um grande número de hosts.
A implantação de IDS baseado em host (HIDS) é feita com planejamento e cuidado adequados, pois a implantação em
um ambiente de grande escala tem o potencial de gerar vários alarmes falsos, que podem ser bastante difíceis de
gerenciar. A implantação inicial de um HIDS é feita apenas em servidores críticos.
Os profissionais de segurança devem considerar a implementação de um console de gerenciamento IDS antes de
adicionar hosts adicionais.
Se o profissional de segurança gerenciar confortavelmente o HIDS em servidores críticos no estágio inicial, então, e
somente então, ele poderá considerar a implantação do HIDS em todos os hosts restantes na rede.
Isso permite que o profissional de segurança forneça segurança no nível do host individual. No entanto, a implantação
do HIDS em todos os hosts da rede é bastante cara e requer software e manutenção adicionais, especialmente no caso
de uma implantação de HIDS em larga escala.

O que é um Alerta de IDS?
ÿ Alerta é um graduado ÿ Envia a

evento, que notifica que notificação, indicando que
um determinado evento algo está errado e requer
(ou série de eventos) atingiu atenção e monitoramento
um limite especificado e imediatos
precisa
ação adequada por
uma parte responsável
O que é um Alerta de IDS?
Um alerta é um evento graduado que notifica que um determinado evento (ou série de eventos) atingiu um limite
especificado e precisa de uma ação apropriada por uma parte responsável. Gera incidentes e/ou emite tickets,
indicando que algo está errado e requer atenção e monitoramento imediatos. Esse alerta pode ser feito de várias
maneiras, como envio de e-mails, geração de alertas na área de trabalho etc. Um alerta pode conter detalhes como o
tipo de evento, a duração desse evento, quando ocorreu, onde ocorreu, em qual dispositivo, e em qual sistema
operacional ou versão ele está sendo executado.
Os alertas são o domínio dos dispositivos de segurança e dos sistemas relacionados à segurança. No entanto, isso
não é fixo. Por exemplo, o IDS/IPS analisa todo o tráfego de rede de entrada e decide se uma conexão específica é
permitida ou não, com base no conteúdo do pacote. Se for identificado que uma conexão específica é maliciosa, ele
executará ações predefinidas ou gerará alertas para notificar o
usuários.

Tipos de IDS
Alertas
Verdadeiro Positivo
ÿ Um IDS dispara um alarme quando ocorre um ataque legítimo
(Ataque - Alerta)
Falso positivo
ÿ Um IDS dispara um alarme quando nenhum ataque ocorreu
(Sem Ataque - Alerta)
Falso negativo
ÿ Um IDS não dispara um alarme quando ocorre um ataque legítimo
(Ataque - Sem Alerta)
Verdadeiro Negativo
ÿ Um IDS não dispara um alarme quando um ataque não ocorreu
(Sem Ataque - Sem Alerta)
Tipos de alertas de IDS
Um IDS gera quatro tipos de alertas: Verdadeiro Positivo, Falso Positivo, Falso Negativo e Verdadeiro Negativo.
ÿ Verdadeiro Positivo (Ataque - Alerta): Um verdadeiro positivo é uma condição que ocorre quando um
evento aciona um alarme e faz com que o IDS reaja como se um ataque real estivesse em andamento.
O evento pode ser um ataque real, caso em que um invasor tenta comprometer a rede, ou pode ser um
exercício, caso em que o pessoal de segurança usa ferramentas de hacker para testar um segmento de
rede.
ÿ Falso positivo (sem ataque - alerta): um falso positivo ocorre se um evento acionar um alarme quando
nenhum ataque real estiver em andamento. Ocorre quando um IDS trata a atividade regular do sistema
como um ataque. Os falsos positivos tendem a tornar os usuários insensíveis aos alarmes e enfraquecer
suas reações a eventos de intrusão reais. Ao testar a configuração de um IDS, os administradores usam
falsos positivos para determinar se o IDS pode distinguir entre falsos positivos e ataques reais.
ÿ Falso Negativo (Ataque - Sem Alerta): Um falso negativo é uma condição que ocorre quando um IDS não
consegue reagir a um evento de ataque real. Essa condição é a falha mais perigosa, pois o objetivo de
um IDS é detectar e responder a ataques.
ÿ Verdadeiro Negativo (Sem Ataque - Sem Alerta): Um verdadeiro negativo é uma condição que ocorre
quando um IDS identifica uma atividade como um comportamento aceitável e a atividade é aceitável. Um
verdadeiro negativo significa ignorar com sucesso o comportamento aceitável. Não é prejudicial, pois o
IDS funciona conforme o esperado neste caso.

Características do bem
Soluções IDS
01 Execute continuamente com menos intervenção humana
02 Deve ser tolerante a falhas
03 Resistente à subversão
04 Mínima sobrecarga no sistema
05 Observar desvios do comportamento normal
06 Não é facilmente enganado
07 Adaptado às necessidades específicas do sistema
08 Lida com o comportamento dinâmico do sistema
Características de Boas Soluções de IDS
Um IDS ideal deve ter as seguintes características:
ÿ As organizações devem ter um IDS que possa ser executado sem ou com intervenção humana mínima. A
configuração do sistema monitora e detecta todas as atividades suspeitas no sistema host. No entanto, os
administradores devem ter todos os privilégios de auditoria e monitoramento para que isso funcione.
ÿ Mesmo se o sistema host falhar ou travar, o IDS ainda deve funcionar de forma confiável. É aconselhável
configurar o IDS para que seja tolerante a falhas e não exija reconfiguração ou reinicialização toda vez que o
sistema host falhar. Além disso, deve ser capaz de monitorar a si mesmo para evitar qualquer dano.
ÿ Um IDS deve fornecer recursos para interromper e bloquear ataques. Esses ataques podem ocorrer a partir de
qualquer aplicativo ou software. Isso também envolve alertar o profissional de segurança por meio de
notificações online, móveis ou por e-mail. O método de notificação depende da configuração feita pelo
administrador.
ÿ Por ter recursos de coleta de informações, um IDS ajuda um profissional de segurança a detectar o tipo de
ataque, a origem do ataque e os efeitos que o ataque causou na rede. A coleta de evidências para uma
investigação forense cibernética é uma das características exigidas de um IDS.
ÿ
Em grandes organizações, um IDS é construído com um recurso à prova de falhas para ajudar a se esconder
na rede. Esse recurso ajuda a criar uma rede falsa para atrair intrusos e também para analisar as possibilidades
de diferentes tipos de ataques. Também ajuda na análise de vulnerabilidade da rede.

ÿ Não é facilmente enganado. Um IDS deve ser capaz de detectar mudanças nos arquivos do sistema ou rede. O
recurso de verificação de arquivos em um IDS notifica o profissional de segurança se o intruso fez qualquer
tipo de alteração nos arquivos. O IDS deve relatar todas as atividades ocorridas na rede, pois isso auxilia o
profissional de segurança na hora de analisar as vulnerabilidades e corrigi-las.
ÿ Adaptado às necessidades específicas do sistema. Quando ocorrem mudanças recursivas na rede, um IDS deve
ser adaptável a essas mudanças. Isso também inclui a adaptação de diferentes mecanismos de defesa para
cada sistema diferente na rede.
ÿ Mínima sobrecarga no sistema. A configuração de um IDS deve ser tal que

não causa sobrecarga na rede ou no sistema.
ÿ Resistente à subversão.
ÿ Observar desvios do comportamento normal.
ÿ Lida com o comportamento dinâmico do sistema.

Seleção de soluções IDS/IPS apropriadas

ÿ Os produtos IDS devem atender a certos critérios para serem implantados em uma organização
ÿ Compare os diferentes tipos de tecnologia e selecione a tecnologia mais apropriada para atender aos requisitos
Os produtos devem ser avaliados com base em requisitos organizacionais, como:
ÿ Avalie os requisitos gerais que os produtos IDS terão de atender após a implantação ÿ O tamanho de uma
Requerimentos gerais organização também modifica o número de produtos IDS necessários
Capacidade de segurança ÿ A seleção de um IDS depende do ambiente e das políticas de uma organização, bem como da segurança atual
Requisitos e infraestrutura de rede
Requisitos de ÿ Avalie as características gerais de desempenho de um produto IDS avaliando sua capacidade de lidar com a rede
desempenho recursos de monitoramento de tráfego ou pacotes para NIDS e recursos de monitoramento de eventos para HIDS
Requisitos de
ÿ Os produtos precisam estar em conformidade com a política de gestão da organização para serem usados de forma eficaz
gerenciamento
Custos do ciclo de vida ÿ Os custos estimados do ciclo de vida dos produtos devem estar dentro do orçamento disponível
Seleção de soluções IDS/IPS apropriadas
Os produtos IDS devem atender a determinados critérios para serem implantados em uma organização. Uma
organização deve comparar os diferentes tipos de tecnologia e, em seguida, selecionar a tecnologia mais adequada
para atender aos seus requisitos. Os produtos devem ser avaliados com base em requisitos organizacionais, como
os seguintes:
ÿ Requisitos gerais: Uma organização deve ter uma linha de base clara dos requisitos para um produto IDS.
As soluções IDS podem diferir em termos de recursos e serviços. A organização deve determinar qual
produto IDS atenderá melhor aos seus requisitos. Por exemplo, há situações em que um único produto IDS
pode não atender aos requisitos de uma organização. Este cenário incentiva o uso de vários produtos IDS.
Os produtos Wireless IDS têm certos requisitos gerais, como um método de detecção de anomalias e um
processo de conexão a outros componentes, que determinam se o produto pode atender aos requisitos da
empresa. Avalie os requisitos gerais dos produtos IDS para atender à pós-implantação. O número de
produtos IDS necessários também depende do tamanho da organização.
ÿ Requisitos de capacidade de segurança: A seleção de um IDS depende do ambiente e das políticas de

uma organização, bem como da infraestrutura atual de segurança e rede. É crucial atendê-los, pois o
produto será usado em conjunto com outros controles de segurança.
As organizações devem avaliar os requisitos de capacidade de segurança de IDS como uma linha de base
para a criação de um conjunto específico de critérios. Isso é obtido considerando o ambiente da
organização, as políticas de segurança e a infraestrutura de rede. É importante verificar e confirmar os
recursos de segurança de um produto IDS. Um produto IDS que não atenda aos recursos de segurança
necessários não tem utilidade como controle de segurança e um

profissional deve selecionar um produto diferente ou usar esse produto em combinação com outro controle de
segurança. O produto IDS deve apresentar recursos de segurança, como coleta de informações, registro,
detecção e prevenção.
ÿ Requisitos de desempenho: Avalie os produtos IDS com base em seu desempenho geral
características.
o IDS baseado em rede (NIDS): Este tipo de IDS tem a capacidade de monitorar e
tráfego de rede.
o IDS baseado em host (HIDS): Este tipo de IDS tem a capacidade de monitorar um determinado número
de eventos por segundo.
Os profissionais de segurança devem avaliar as características gerais de desempenho de um produto IDS

avaliando sua capacidade de lidar com tráfego de rede ou seus recursos de monitoramento de pacotes para
NIDS e recursos de monitoramento de eventos para HIDS.
ÿ Requisitos de gestão: Os produtos precisam estar em conformidade com a política de gestão da organização
para oferecer desempenho suficiente. Se o produto não estiver em conformidade com a política da empresa,
será difícil manipulá-lo e fazê-lo funcionar de forma eficaz.
ÿ Custos do ciclo de vida: os produtos IDS são específicos do ambiente e pode ser uma tarefa tediosa para as
organizações quantificar o custo das soluções IDS. O custo do produto IDS deve ser proporcional ao orçamento
disponível da organização. Os custos estimados do ciclo de vida dos produtos IDS selecionados devem estar
dentro da faixa de financiamento disponível. Selecionar um IDS com base no custo é difícil, pois o ambiente, a
segurança e outros critérios de rede provavelmente afetarão o custo.

Detecção de Intrusão com Snort
Snort é um sistema de detecção de intrusão de rede de
01 código aberto, capaz de realizar análise de tráfego em tempo

real e registro de pacotes em redes IP
Ele pode realizar análise de protocolo e pesquisa/

correspondência de conteúdo e é usado para detectar uma https:// www.snort.org
02 variedade de ataques e sondagens, como estouros de buffer,
verificações de portas furtivas e tentativas de impressão digital do sistema operacional
Ele usa uma linguagem de regras flexível para descrever

o tráfego que deve coletar ou passar, bem como um
03 mecanismo de detecção que utiliza uma arquitetura de
plug-in modular
Detecção de Intrusão com Snort
Fonte: https:// www.snort.org
O Snort é um sistema de detecção de intrusão de rede de código aberto capaz de realizar análise de tráfego em tempo
real e registro de pacotes em redes IP. Ele pode executar análise de protocolo e pesquisa/correspondência de conteúdo
e é usado para detectar uma variedade de ataques e sondagens, como estouros de buffer, varreduras de portas furtivas,
ataques CGI, sondagens SMB e tentativas de impressão digital do sistema operacional. Ele usa uma linguagem de
regras flexível para descrever o tráfego que deve coletar ou passar, bem como um mecanismo de detecção que usa
uma arquitetura de plug-in modular.
Usos do Snort:
ÿ Sniffer de pacote direto, como tcpdump
ÿ Logger de pacotes (útil para depuração de tráfego de rede, etc.)
ÿ Sistema de prevenção de intrusão de rede

Figura 5.51: captura de tela do Snort
Figura 5.52: Saída do Snort

Ferramentas de Detecção de Intrusão
Suricata é um robusto mecanismo de detecção de ameaças de rede capaz AlienVault® OSSIM

de detecção de intrusão em tempo real (IDS), prevenção de intrusão em linha https:// cybersecurity.att.com
mínimo (IPS), monitoramento de segurança de rede (NSM) e processamento
pcap offline
Evento de segurança SolarWinds
Gerente
https:// www.solarwinds.com
OSSEC
https:// www.ossec.net
Zeek
https:// zeek.org
Sagan Log Analysis Engine

https:// quadrantsec.com
https:// suricata-ids.org
Ferramentas de Detecção de Intrusão
As ferramentas de detecção de intrusão detectam anomalias. Essas ferramentas, quando executadas em uma estação
de trabalho dedicada, leem todos os pacotes de rede, reconstroem as sessões do usuário e verificam possíveis invasões
procurando por assinaturas de ataque e anomalias estatísticas de tráfego de rede. Além disso, essas ferramentas
oferecem proteção de dia zero em tempo real contra ataques de rede e tráfego mal-intencionado e impedem que malware,
spyware, verificações de portas, vírus, DoS e DDoS comprometam os hosts.
ÿ Meerkat
Fonte: https:// suricata-ids.org
O Suricata é um mecanismo robusto de detecção de ameaças de rede capaz de detecção de intrusão em tempo
real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento
pcap offline. Ele inspeciona o tráfego de rede usando regras poderosas e extensas e uma linguagem de
assinatura, além de fornecer um poderoso suporte a scripts Lua para a detecção de ameaças complexas. Com
formatos padrão de entrada e saída, como YAML e JSON, as integrações com ferramentas existentes, como
SIEMs, Splunk, Logstash/Elasticsearch, Kibana e outros bancos de dados, tornam-se fáceis.

Figura 5.53: captura de tela do TippingPoint
Algumas ferramentas adicionais de detecção de intrusão estão listadas abaixo:
ÿ AlienVault® OSSIM™ (https:// cybersecurity.att.com)

ÿ SolarWinds Security Event Manager (https:// www.solarwinds.com)
ÿ OSSEC (https:// www.ossec.net)
ÿ Zeek (https:// zeek.org)
ÿ Sagan Log Analysis Engine (https:// quadrantsec.com)

Fluxo do módulo

Entenda diferente
Segurança

9 Software
Entenda os diferentes tipos de honeypots

Os honeypots permitem que os profissionais de segurança se defendam contra ataques que nem mesmo
um firewall pode impedir. Honeypots fornecem maior visibilidade e uma camada adicional de segurança
contra ataques internos e externos. Esta seção fornece uma compreensão dos diferentes tipos de
honeypots e ferramentas de honeypot.

Pote de mel
Um honeypot é um recurso do sistema de informação expressamente configurado para atrair e prender pessoas que tentam
penetrar na rede de uma organização
Ele não tem atividade autorizada, não tem nenhum valor de produção e qualquer tráfego para ele provavelmente será uma investigação,
ataque ou comprometimento
Um honeypot pode registrar tentativas de acesso à porta ou monitorar as teclas digitadas por um invasor. Estes podem ser os primeiros
avisos de um ataque mais concentrado
Pote de mel
DMZ
interno
Rede
Firewall Filtro de pacotes

Internet Atacante
Servidor web
Pote de mel
Um honeypot é um sistema de computador na Internet destinado a atrair e prender aqueles que tentam a utilização
não autorizada ou ilícita do sistema host para penetrar na rede de uma organização. É um proxy falso executado
para enquadrar os invasores, registrando o tráfego por meio dele e enviando reclamações aos ISPs das vítimas. Ele
não tem nenhuma atividade autorizada ou valor de produção, e qualquer tráfego para ele provavelmente é uma
investigação, ataque ou comprometimento. Sempre que houver qualquer interação com um honeypot, é mais
provável que seja malicioso. Honeypots são únicos; eles não resolvem um problema específico. Em vez disso, são
ferramentas altamente flexíveis com muitos aplicativos de segurança diferentes.
Honeypots ajudam na prevenção de ataques, na detecção de ataques e na coleta e pesquisa de informações.
Um honeypot pode registrar tentativas de acesso à porta ou monitorar as teclas digitadas por um invasor; esses
podem ser os primeiros avisos de um ataque mais concentrado. Requer uma quantidade considerável de
esforço para manter um honeypot.
Figura 5.54: Exemplo de Honeypot

Tipos de Honeypots
Classificação de Honeypots com base em seus critérios de design
Honeypots de baixa interação

Honeypots de alta interação
ÿ Esses honeypots simulam apenas
ÿ Esses honeypots simulam todos os
um número limitado de
serviços e aplicações de uma
serviços e aplicativos de um
rede alvo
sistema ou rede de destino
Honeypots de média interação

Honeypots Puros
ÿ Esses honeypots simulam um
ÿ Esses honeypots emulam
sistema operacional, aplicativos
a rede de produção real de uma
e serviços reais de uma rede de
organização-alvo
destino
Tipos de Honeypots (continuação)

Classificação de honeypots com base em sua estratégia de implantação
Honeypots de Produção Honeypots de pesquisa
ÿ São implantados dentro da rede de produção da organização ÿ Os honeypots de alta interação são principalmente
junto com outros servidores de produção implantado por institutos de pesquisa, governos ou
organizações militares para obter conhecimento
ÿ Como são implantados internamente, eles também ajudam
detalhado sobre as ações do intruso
a descobrir falhas internas e invasores dentro de uma
organização

Tipos de Honeypots
(continua)
Classificação de honeypots com base em sua tecnologia de engano
Honeypots de malware Honeypots de banco de dados Honeypots de Spam
ÿ São usados para interceptar ÿ Empregam bancos de dados falsos que são ÿ Visar especificamente spammers que
campanhas de malware ou tentativas de vulneráveis para executar ataques abusar de recursos vulneráveis, como
malware na infraestrutura de rede relacionados a bancos de dados, como injeção retransmissões de correio aberto e proxies abertos
de SQL e enumeração de banco de dados
Honeypots de e-mail Honeypots de aranha ÿ Honeynets
ÿ Endereços de e-mail falsos que são Projetado especificamente para capturar ÿ Redes de honeypots que são muito eficazes
usado especificamente para atrair e-mails rastreadores da web e aranhas na determinação de todas as capacidades
falsos e maliciosos de adversários dos adversários
Tipos de Honeypots
Honeypots são classificados nos seguintes tipos com base em seus critérios de design:
ÿ Honeypots de baixa interação
Honeypots de baixa interação emulam apenas um número limitado de serviços e aplicativos de

um sistema ou rede de destino. Se o invasor fizer algo que a emulação não espera, o honeypot
simplesmente gerará um erro. Eles capturam quantidades limitadas de informações, ou seja,
principalmente dados transacionais e algumas interações limitadas. Esses honeypots não podem
ser comprometidos completamente. Eles são configurados para coletar informações de alto nível
sobre vetores de ataque, como sondas de rede e atividades de worms. Alguns exemplos são
KFSensor e Honeytrap.
ÿ Honeypots de média interação
Honeypots de média interação simulam um sistema operacional real, bem como aplicativos e
serviços de uma rede de destino. Eles fornecem maior equívoco de um sistema operacional do
que honeypots de baixa interação. Portanto, é possível registrar e analisar ataques mais
complexos. Esses honeypots capturam dados mais úteis do que honeypots de baixa interação.
Eles só podem responder a comandos pré-configurados; portanto, o risco de intrusão aumenta. A
principal desvantagem dos honeypots de média interação é que o invasor pode descobrir
rapidamente que o comportamento do sistema é anormal. Alguns exemplos de honeypots de
média interação incluem HoneyPy, Kojoney2 e Cowrie.
ÿ Honeypots de alta interação
Ao contrário de suas contrapartes de baixa e média interação, honeypots de alta interação não
emulam nada; eles executam serviços ou softwares vulneráveis reais em sistemas de produção
com sistemas operacionais e aplicativos reais. Esses honeypots simulam todos os serviços e

aplicações de uma rede de destino. Eles podem ser completamente comprometidos por invasores
para obter acesso total ao sistema em uma área controlada. Eles capturam informações completas
sobre um vetor de ataque, como técnicas de ataque, ferramentas e intenção. O sistema
honeypotizado é mais suscetível à infecção, pois as tentativas de ataque podem ser realizadas
em sistemas de produção reais.
Uma honeynet é um excelente exemplo de um honeypot de alta interação. Não é um produto nem
uma solução de software que um usuário instala. Em vez disso, é uma arquitetura – toda uma
rede de computadores projetada para atacar. A ideia é ter uma arquitetura que crie uma rede
altamente controlada com computadores reais rodando aplicações reais, nas quais todas as
atividades são monitoradas e registradas.
Os “bandidos” encontram, atacam e invadem esses sistemas por iniciativa própria. Quando o
fazem, não percebem que estão em uma honeynet. Sem o conhecimento dos invasores, todas as
suas atividades e ações, desde sessões SSH criptografadas até e-mails e uploads de arquivos,
são capturadas pela inserção de módulos do kernel em seus sistemas.
Ao mesmo tempo, a honeynet controla a atividade do invasor. Honeynets fazem isso usando um
gateway honeywall, que permite o tráfego de entrada para os sistemas da vítima, mas controla o
tráfego de saída usando tecnologias de prevenção de intrusão. Isso dá ao invasor a flexibilidade
de interagir com os sistemas da vítima, mas evita que o invasor danifique outros computadores
não-honeynet.
ÿ Honeypots Puros
Honeypots puros emulam a rede de produção real de uma organização-alvo. Eles fazem com que
os invasores dediquem seu tempo e recursos para atacar o sistema de produção crítico da
empresa. Os invasores descobrem e descobrem as vulnerabilidades e acionam alertas que
ajudam os administradores de rede a fornecer avisos antecipados de ataques e, assim, reduzir o
risco de invasão.
Honeypots são classificados nos seguintes tipos com base em sua estratégia de implantação:
ÿ Honeypots de Produção
Honeypots de produção são implantados dentro da rede de produção da organização junto com
outros servidores de produção. Embora tais honeypots melhorem o estado geral de segurança da
organização, eles efetivamente capturam apenas uma quantidade limitada de informações
relacionadas aos adversários. Esses honeypots se enquadram na categoria de honeypot de baixa
interação e são amplamente empregados por grandes organizações e corporações. Como os
honeypots de produção são implantados internamente, eles também ajudam a descobrir falhas
internas e invasores dentro de uma organização.
ÿ Honeypots de Pesquisa
Honeypots de pesquisa são honeypots de alta interação implantados principalmente por institutos
de pesquisa, governos ou organizações militares para obter conhecimento detalhado sobre as
ações de invasores. Ao usar esses honeypots, os analistas de segurança podem obter informações
detalhadas sobre como um ataque é executado, as vulnerabilidades são exploradas e as técnicas
e métodos de ataque são usados pelos invasores. Esta análise, por sua vez, pode ajudar um

organização para melhorar a prevenção de ataques, detecção e mecanismos de segurança e desenvolver uma
infraestrutura de rede mais segura.
A principal desvantagem dos honeypots de pesquisa é que eles não contribuem para a segurança direta da
empresa. Se uma empresa busca melhorar sua infraestrutura de produção, deve optar por honeypots de produção.
Honeypots são classificados nos seguintes tipos com base em sua tecnologia de engano:
ÿ Honeypots de Malware
Honeypots de malware são usados para interceptar campanhas de malware ou tentativas de malware na
infraestrutura de rede. Esses honeypots são simulados com vulnerabilidades conhecidas, como APIs desatualizadas,
protocolos SMBv1 vulneráveis etc. Esses honeypots atraem o invasor ou o malware para realizar ataques, a partir
dos quais o padrão de ataque, as assinaturas de malware e os agentes de ameaças de malware podem ser
identificados de forma eficaz.
ÿ Honeypots de banco de dados
Honeypots de banco de dados empregam bancos de dados falsos que são vulneráveis para realizar ataques
relacionados a banco de dados, como injeção de SQL e enumeração de banco de dados. Esses bancos de dados
falsos enganam os invasores, fazendo-os pensar que esses bancos de dados contêm informações confidenciais
cruciais, como detalhes de cartão de crédito de todos os bancos de dados de clientes e funcionários.
No entanto, todas as informações presentes no banco de dados são falsas e simuladas. Esses bancos de dados
atraem o invasor para realizar ataques, com suas vulnerabilidades; dos ataques, o padrão de ataque e os TTPs do
agente da ameaça em relação aos ataques de banco de dados podem ser identificados de forma eficaz.
ÿ Honeypots de Spam
Honeypots de spam visam especificamente spammers que abusam de recursos vulneráveis, como retransmissões
de correio aberto e proxies abertos. Basicamente, os honeypots de spam consistem em servidores de e-mail que
aceitam deliberadamente e-mails de qualquer fonte aleatória da Internet. Eles fornecem informações cruciais sobre
spammers e suas atividades.
ÿ Honeypots de e-mail
Honeypots de e-mail também são chamados de armadilhas de e-mail. Eles nada mais são do que endereços de e-
mail falsos usados especificamente para atrair e-mails falsos e maliciosos de adversários. Esses IDs de e-mail
falsos serão distribuídos pela Internet aberta e pela dark web para atrair os agentes de ameaças a realizar várias
atividades maliciosas para explorar a organização. Ao monitorar constantemente os e-mails recebidos, as técnicas
de dissimulação do adversário podem ser identificadas pelos administradores e os funcionários internos podem ser
alertados para evitar cair nessas armadilhas de e-mail.
ÿ Honeypots de Aranhas
Honeypots de aranha também são chamados de armadilhas de aranha. Esses honeypots são projetados
especificamente para prender web crawlers e spiders. Muitos agentes de ameaças realizam rastreamento na web e

spidering para extrair informações importantes de aplicativos da web. Essas informações cruciais
incluem URLs, detalhes de contato, detalhes de diretório, etc. Honeypots de aranha são
empregados para prender esses adversários. Um site falso será emulado e apresentado como
legítimo. Atores de ameaças que tentam realizar rastreamento na web em tais armadilhas serão
identificados e colocados na lista negra.
ÿ Honeynets
Honeynets são redes de honeypots. Eles são muito eficazes em determinar todas as capacidades
dos adversários. As Honeynets são implantadas principalmente em um ambiente virtual isolado
junto com uma combinação de servidores vulneráveis. Os vários TTPs empregados por diferentes
invasores para enumerar e explorar redes serão registrados, e essas informações podem ser
muito eficazes para determinar as capacidades completas do adversário.

Ferramentas Honeypot
HoneyBOT é um honeypot de média interação para windows. É uma solução fácil de usar,
HoneyBOT
ideal para pesquisas de segurança de rede
KFSensor
http:// www.keyfocus.net
MongoDB-HoneyProxy
https:// github.com
Modern Honey Network

https:// github.com
ESPot
https:// github.com
HoneyPy
https:// github.com
https:// www.atomicsoftwaresolutions.com
Ferramentas Honeypot
Honeypots são ferramentas de segurança que permitem que a comunidade de segurança monitore os truques e explorações
dos invasores, registrando todas as suas atividades para que possa responder a tais explorações rapidamente antes que o
invasor possa fazer uso indevido ou comprometer o sistema.
ÿ HoneyBOT
Fonte: https:// www.atomicsoftwaresolutions.com
HoneyBOT é um honeypot de média interação para windows. Um honeypot cria um ambiente seguro para capturar
e interagir com tráfego não solicitado em uma rede. HoneyBOT é uma solução fácil de usar que é ideal para
pesquisa de segurança de rede ou como parte de um IDS de alerta precoce.

Figura 5.55: captura de tela do HoneyBOT
Algumas ferramentas honeypot adicionais estão listadas abaixo:
ÿ KFSensor (http:// www.keyfocus.net)

ÿ MongoDB-HoneyProxy (https:// github.com)
ÿ Modern Honey Network (https:// github.com)
ÿ ESPot (https:// github.com)
ÿ HoneyPy (https:// github.com)

Fluxo do módulo

Entenda diferente
Segurança
Discutir segurança Entenda vários

7 Incidente e Evento 8 Análise (UBA)
9 Software
Gestão (SIEM) antivírus/antimalware
Entenda os diferentes tipos de servidores proxy e seus benefícios

Os servidores proxy desempenham um papel importante na proteção dos servidores conectados à
Internet. Eles fornecem uma camada adicional de segurança aos servidores e reduzem a probabilidade
de um ataque aos servidores. Esta seção discute servidores proxy, seus benefícios e tipos de servidores proxy.

O que são servidores proxy?

Um servidor proxy é um computador dedicado ou um sistema de software virtualmente localizado entre um cliente e o servidor real.
01 servidor
02 É uma sentinela entre uma rede interna e a internet aberta
Ele atende às solicitações dos clientes em nome dos servidores reais, evitando assim que os servidores reais se exponham
03 para o mundo exterior
Ele fornece uma camada adicional de defesa para a rede e pode proteger contra certos ataques específicos do sistema operacional
04 (SO) e do servidor da web
Os profissionais de segurança devem implantar um servidor proxy para interceptar conteúdo malicioso e ofensivo da Web, vírus de computador
05 etc., ocultos nas solicitações do cliente
Do utilizador Servidor
Servidor proxy
O que são servidores proxy?
Um servidor proxy é um aplicativo que pode servir como intermediário na conexão com outros computadores. Os profissionais
de segurança devem implantar um servidor proxy para interceptar conteúdo malicioso e ofensivo da Web, vírus de computador,
etc., ocultos nas solicitações do cliente.
Um servidor proxy é usado:
ÿ Como firewall e para proteger a rede local de ataques externos.
ÿ Para navegar anonimamente na web (até certo ponto).
ÿ Para filtrar conteúdo indesejado, como anúncios ou material “inadequado” (usando

servidores proxy).
ÿ Para fornecer alguma proteção contra ataques de hackers.
Como funcionam os servidores proxy?
Quando um usuário usa um proxy para solicitar uma determinada página da Web em um servidor real, o servidor proxy a
recebe. Em seguida, ele envia essa solicitação ao servidor real em nome da solicitação do usuário — ele faz a mediação entre
o usuário e o servidor real para enviar e responder à solicitação.
Figura 5.56: Funcionamento do Proxy

Um servidor proxy melhora a segurança, o controle administrativo e os serviços de cache. Também é usado
para avaliar o tráfego de rede e manter a confidencialidade do usuário.
Os servidores proxy em uma organização ajudam a manter a segurança e os controles administrativos.

No entanto, os invasores usam servidores proxy para ocultar sua presença na Internet.

Benefícios do Servidor Proxy
1 2 3 4
Atua como um Melhora a segurança e a Melhora a Fornece recursos
protetor de segurança entre privacidade dos velocidade de navegação avançados de registro para
os dispositivos do usuário e um dispositivos clientes atividades do usuário
servidor
5 6 7 8
Controla o acesso a Oculta IP interno Reduz as chances Habilita a autenticação
tipos específicos de aborda e filtra solicitações de modificação de cookies para os servidores proxy
serviços restritos de sites externos no navegador antes de lidar com as
configuração solicitações do usuário
Benefícios do Servidor Proxy
A seguir estão os benefícios de usar um servidor proxy ao acessar uma rede:

ÿ
Ele atua como um protetor de segurança entre os dispositivos do usuário e um servidor.
ÿ
Ele aumenta a segurança e a privacidade dos dispositivos clientes.
ÿ
Melhora a velocidade de navegação.
ÿ
Ele fornece recursos avançados de registro para atividades do usuário.
ÿ
É usado para controlar o acesso a tipos específicos de serviços restritos.
ÿ
Ajuda a organização a ocultar seu endereço IP interno.
ÿ
Reduz as chances de modificação de cookies na configuração do navegador e protege contra qualquer tipo de malware.
ÿ
Ele filtra solicitações de sites externos.
ÿ
Melhora a entrega das páginas da web solicitadas aos usuários.
ÿ
Ele habilita a autenticação para os servidores proxy antes de lidar com solicitações e serviços do usuário.

Funcionamento de um servidor proxy
01 Solicitações de host interno para acessar um site
A solicitação entra no servidor proxy que examina o cabeçalho e o conteúdo do pacote

02 com base na base de regras
03 O servidor reconstrói o pacote de dados com um endereço IP de origem diferente
O servidor proxy transmite o pacote para o endereço de destino que oculta o usuário final
04 real que fez a solicitação
Se o pacote de dados for retornado, ele será enviado novamente ao servidor proxy para
05 verificação com a base de regras
O pacote retornado é reconstruído pelo servidor proxy e enviado ao computador de origem

06
Funcionamento de um Servidor Proxy (Cont.)

Os sistemas na rede
interna usam um intervalo
de endereço privado
Servidor proxy
192.168.2.3
3. Interface externa com
4. A resposta é encaminhada
endereço IP registrado pelo proxy ao cliente
24.67.233.7
solicitante
2. A solicitação 1. Solicitação de uma página da Web
é encaminhada Firewall 192.168.2.4

Internet pelo procurador
servidor
192.168.2.5
Funcionamento de um servidor proxy

ÿ O cliente primeiro solicita uma página da web e reconhece o servidor que contém a web
página.
ÿ A requisição da página web é repassada ao servidor proxy, que verifica o pacote com seu
conjunto de convenções para este serviço e decide se a requisição deve ser atendida.

ÿ Uma vez que o proxy tomou a decisão de permitir o pedido, um novo pacote é criado
com o endereço IP de origem do servidor proxy.
ÿ Este novo pacote é a solicitação da página da Web do servidor proxy. o servidor web
recebe a solicitação e retorna a página da Web ao host solicitante.
ÿ Ao receber a página web, o proxy verifica suas regras para determinar se esta
página deve ser permitida.
ÿ Uma vez tomada a decisão de prosseguir, o proxy cria um novo pacote com o web
page como carga útil e a envia para o cliente original.
ÿ Este tipo de serviço aumenta significativamente a segurança da rede, pois nenhum pacote pode trafegar
diretamente do cliente para o servidor.
Figura 5.57: Funcionamento de um Servidor Proxy

Servidores Proxy vs Filtros de Pacotes
Servidores Proxy Filtros de pacotes
ÿ O servidor proxy examina a carga de dados do pacote ÿ Os filtros de pacotes examinam as informações
de roteamento do pacote
ÿ Cria listagens detalhadas de arquivos de log , pois ÿ Registra apenas as informações do cabeçalho do
eles verificam todos os dados dos pacotes IP pacotes IP
ÿ Reestrutura o pacote com novos ÿ Permite ou bloqueia os dados dependendo

dados IP de origem as regras do filtro de pacotes
ÿ No caso de falha de um servidor proxy, ÿ No caso de falha de um filtro de pacotes, todos os pacotes
todas as comunicações de rede podem passar pela rede interna
cessar
Servidores Proxy vs Filtros de Pacotes
Servidores proxy e filtros de pacotes são usados juntos em um firewall e funcionam na camada de aplicação do
modelo OSI. Eles diferem principalmente em termos de inspeção de diferentes partes dos pacotes IP e na
maneira como agem sobre eles.
ÿ Um servidor proxy cria listas detalhadas de arquivos de log porque eles varrem toda a parte de dados dos
pacotes IP, enquanto um filtro de pacotes registra apenas informações de cabeçalho dos pacotes IP.
ÿ Um filtro de pacotes simplesmente permite que o pacote de dados passe para o destino se ele corresponder
às regras do filtro de pacotes. Por outro lado, um servidor proxy reestrutura o pacote com novos dados
IP de origem.
ÿ
No caso de falha de um servidor proxy, todas as comunicações de rede cessariam, enquanto no caso
de falha do filtro de pacotes, todos os pacotes podem passar para a rede interna.

Tipos de Servidores Proxy
Transparente Não transparente SOCKS Proxy

Proxy Proxy
proxy anônimo proxy reverso
Tipos de Servidores Proxy

Discutidos abaixo são vários tipos de servidores proxy.

Proxy Transparente
Um proxy transparente é um proxy através do

01 qual um sistema cliente se conecta a um servidor
sem seu conhecimento
Ele está configurado para ser totalmente invisível

02 para um usuário final
Com um proxy transparente, todos os clientes

03 web devem ser configurados manualmente
Proxy Transparente
Um proxy transparente é um proxy através do qual um sistema cliente se conecta a um servidor sem seu
conhecimento. Ele é configurado para ser totalmente invisível para um usuário final. Ele é colocado entre
duas redes, semelhante a um roteador. Um firewall rastreia o tráfego de saída e o direciona para um
computador específico, como um servidor proxy. Os administradores de rede não precisam configurar o
software do cliente com proxies transparentes. Com um proxy transparente, todos os clientes web devem
ser configurados manualmente.

Proxy não transparente
ÿ Exigir que o software cliente seja configurado para usar o servidor proxy
ÿ O cliente é informado da existência do proxy
ÿ Eles são difíceis de configurar, pois cada programa cliente deve ser configurado para rotear
todas as solicitações para uma única porta
01 02 03 04
Anotação de grupo Tipo de mídia Anonimato
Redução de protocolo
Serviços Transformação Filtragem
Proxy não transparente
Os proxies não transparentes também são conhecidos como proxies explícitos e exigem que o software
cliente seja configurado para usar o servidor proxy. Proxies não transparentes são difíceis de configurar,
pois cada programa cliente deve ser configurado para rotear todas as solicitações para uma única porta.
No entanto, esses proxies fornecem um nível maior de segurança do que outros tipos. Um proxy não
transparente é aquele que modifica uma solicitação ou resposta, e o cliente fica ciente da existência do
proxy. Todo o URL solicitado é enviado ao proxy que possui o nome do host. Ele fornece serviços
adicionais ao agente do usuário, como serviços de anotação de grupo, transformação de tipo de mídia,
redução de protocolo e filtragem de anonimato.

SOCKS Proxy
ÿ O SOCKS é um padrão da Internet Engineering Task Force (IETF)
ÿ É um servidor proxy que não possui as habilidades especiais de cache de um servidor proxy HTTP de cache
ÿ O servidor proxy SOCKS não permite que componentes externos de rede coletem informações no cliente que
gerou o pedido
O pacote SOCKS inclui ou

contém os seguintes
Um servidor SOCK para Um programa cliente Uma biblioteca cliente para
componentes MEIAS
o sistema operacional como FTP, Telnet ou um
especificado
(OS) navegador
SOCKS Proxy
SOCKS, um padrão da Internet Engineering Task Force (IETF), é um servidor proxy que não possui as habilidades especiais
de cache de um servidor proxy HTTP de cache. O protocolo SOCKS usa internamente “soquetes”, que ajudam a rastrear
todas as conexões individuais dos clientes. A função de um servidor SOCKS é tratar todas as requisições dos clientes dentro
do firewall da organização; com base no destino de Internet solicitado ou na identificação do usuário, ele permite ou rejeita
solicitações de conexão. Se a conexão solicitada for válida, ela “vincula” a solicitação e as informações são trocadas com o
protocolo usual (por exemplo, HTTP). O servidor proxy SOCKS não permite que componentes de rede externos coletem
informações sobre o cliente que gerou a solicitação.
O pacote SOCKS contém os seguintes componentes:
ÿ Um servidor SOCK para o sistema operacional (SO) especificado
ÿ Um programa cliente como FTP, Telnet ou um navegador da Internet
ÿ Uma biblioteca cliente para SOCKS

proxy anônimo
ÿ Um proxy anônimo não transfere informações sobre o endereço IP do

seu usuário, ocultando assim informações sobre o usuário e seus interesses de navegação
Prós Contras
ÿ Um usuário pode navegar na Internet ÿ O uso desse tipo de servidor proxy

privadamente usando um pode diminuir a velocidade de
proxy anônimo carregamento de uma página da
Web no navegador
ÿ Com a ajuda de um
servidor proxy anônimo, um ÿ Usando proxy anônimo
o usuário pode acessar até mesmo servidores para contornar a
sites censurados censura na Internet é ilegal em
alguns países
proxy anônimo
Um proxy anônimo não transfere informações sobre o endereço IP de seu usuário, ocultando assim
informações sobre o usuário e seus interesses de navegação. Um usuário pode navegar na Internet
de forma privada usando um proxy anônimo. Com a ajuda de um servidor proxy anônimo, o usuário
pode acessar até sites censurados. O uso desse tipo de servidor proxy pode diminuir a velocidade de
carregamento de uma página da Web no navegador. Além disso, o uso de servidores proxy anônimos
para contornar a censura na Internet é ilegal em alguns países.

proxy reverso
Um proxy reverso geralmente está situado mais perto do(s) servidor(es)
01 e retornará apenas um conjunto configurado de recursos
02 Ele pode otimizar o conteúdo compactando-o para acelerar o carregamento
03 O cliente não tem conhecimento da presença de um proxy reverso
Um servidor proxy reverso é um servidor intermediário localizado entre um

04 cliente e o servidor da Web real
proxy reverso
Um proxy reverso geralmente está situado mais perto do(s) servidor(es) e retornará apenas um conjunto
configurado de recursos. Ele pode otimizar o conteúdo compactando-o para acelerar o carregamento. O
cliente não está ciente da presença de um proxy reverso. Um servidor proxy reverso é um servidor
intermediário localizado entre um cliente e o servidor da Web real.

Como configurar o servidor proxy

Configurando a configuração automática de proxy no Windows 10
Abra as configurações do Windows pressionando a tecla

Passo 1 Windows e I juntos
Passo 2 Clique em Rede e Internet ÿ Proxy
Verifique se o botão de alternância “Detectar

etapa 3 configurações automaticamente” está ativado
O Windows executa uma verificação automática por

Passo 4 padrão
Se o Windows detectar o arquivo PAC, defina o

Passo 5 Botão de alternância “Usar script de configuração” para Ligado
Digite proxy.certifiedhacker.com no campo

Passo 6 "Endereço do script"
Clique em Salvar para implementar as alterações e

Passo 7 usar a Internet por meio do proxy
Como configurar o servidor proxy (cont.)

Abra o menu de configurações do Windows pressionando a
Passo 1 Configurando a configuração manual do proxy no Windows 10
tecla Windows e I juntos
Passo 2 Clique em Rede e Internet ÿ Proxy
A janela de configuração automática do proxy é aberta. Role

etapa 3 para baixo até “Configuração manual de proxy” e defina o
botão de alternância “Usar um servidor proxy” como Ativado
Digite proxy.certifiedhacker.com no campo de endereço e

Passo 4 8888 no campo de porta
Digite *.local no campo abaixo dos campos de endereço e porta

Passo 5 para dispensar o uso de um servidor proxy
Clique em Salvar para implementar as alterações e usar

Passo 6 o proxy no Windows 10


Configurando a configuração do proxy no Google Chrome
Passo 1
Abra o navegador Google Chrome e selecione
"Configurações" na barra de ferramentas
Passo 2
Role a página para baixo e clique em Avançado ÿ

Sistema
etapa 3
A janela Sistema é aberta. Clique em “Abrir as

configurações de proxy do seu computador”
Etapa 4
A janela de configurações do servidor proxy é aberta.

Siga as instruções para configurar o proxy
Passo 1 Passo 2
Abra o navegador Microsoft Edge e clique em "Configurações" no Role para baixo na página e clique em “Sistema”
Configurando menu exibido no canto superior direito
Configuração de proxy em
Microsoft borda etapa 3 Passo 4
A janela Sistema é aberta. Clique em “Abrir as A janela de configuração do servidor proxy é aberta. Siga as
configurações de proxy do seu computador” instruções para configurar o servidor proxy
Como configurar o servidor proxy

Um servidor proxy atua como um gateway entre um usuário e a Internet e pode executar várias
funções, como verificação de vírus, comunicação segura e transmissão rápida de dados; além disso,
mantém a privacidade da identidade online.
A seguir estão as diferentes maneiras de configurar um servidor proxy no Windows 10, Google
Chrome e Microsoft Edge.

Configurando a configuração automática de proxy no Windows 10
ÿ Passo 1: Abra as Configurações do Windows pressionando a tecla Windows e I juntas.
Figura 5.58: captura de tela mostrando as configurações do Windows no Windows 10
ÿ Etapa 2: A caixa Configurações do Windows é exibida. Clique em Rede e Internet ÿ Proxy.
Figura 5.59: Captura de tela exibindo as configurações de proxy no Windows 10
ÿ Etapa 3: Uma janela de configuração automática de proxy é aberta. Certifique-se de que a opção “Detectar automaticamente
configurações” está ativado.

ÿ Etapa 4: o Windows executa uma verificação automática por padrão para verificar se um
a configuração do servidor proxy foi implementada anteriormente na rede e fornece o nome e
as instruções a seguir.
ÿ Etapa 5: Se o Windows detectar o arquivo Proxy Auto-Configuration (PAC), defina a opção “Usar Configuração
Script” para ativar .
Figura 5.60: Captura de tela exibindo a configuração automática de proxy no Windows 10
ÿ Etapa 6: Digite proxy.certifiedhacker.com no campo “Endereço do script” .
ÿ Etapa 7: Clique em Salvar para implementar as alterações e usar a Internet por meio do proxy.
Figura 5.61: Captura de tela mostrando a configuração da configuração automática do proxy

Configurando a configuração manual do proxy no Windows 10
ÿ Passo 1: Abra as Configurações do Windows pressionando a tecla Windows e I juntas.
ÿ Etapa 2: A caixa Configurações do Windows é exibida. Clique em Rede e Internet ÿ Proxy.
Figura 5.62: Captura de tela mostrando a configuração manual do proxy
ÿ Etapa 3: A janela de configuração automática do proxy é aberta. Role para baixo até “Configuração manual de proxy” e
defina o botão de alternância “Usar um servidor proxy” como Ativado.
Figura 5.63: Captura de tela mostrando a configuração da configuração manual do proxy

ÿ Passo 4: Digite proxy.certifiedhacker.com no campo de endereço e 8888 no campo de porta.
Figura 5.64: captura de tela mostrando o texto a ser inserido no campo de endereço e porta para configurar a configuração manual do proxy
ÿ Passo 5: Digite *.local no campo abaixo dos campos endereço e porta para dispensar o uso de um
Servidor proxy.
ÿ Etapa 6: Clique em Salvar para implementar as alterações e usar o proxy no Windows 10.
Configurando a configuração do proxy no Google Chrome
ÿ Passo 1: Abra o navegador Google Chrome e selecione Configurações na barra de ferramentas.
ÿ Etapa 2: Role a página para baixo e clique em Avançado ÿ Sistema.

Figura 5.65: captura de tela exibindo a configuração do proxy no Google Chrome
ÿ Etapa 3: A janela Sistema é aberta. Clique em “Abrir as configurações de proxy do seu computador”.
Figura 5.66: captura de tela exibindo a opção de abrir as configurações de proxy do computador no Google Chrome

ÿ Etapa 4: A janela de configurações do servidor proxy é aberta. Siga as instruções para configurar o
proxy.
Figura 5.67: captura de tela exibindo a configuração do proxy no Windows aberta por meio do Google Chrome
Configurando a configuração do proxy no Microsoft Edge
ÿ Passo 1: Abra o navegador Microsoft Edge e clique em Configurações no menu exibido no canto superior direito.
ÿ Etapa 2: Role a página para baixo e clique em Sistema.
ÿ Etapa 3: A janela Sistema é aberta. Clique em “Abrir as configurações de proxy do seu computador”.
Figura 5.68: Captura de tela exibindo a configuração do proxy no Microsoft Edge

ÿ Etapa 4: A janela de configuração do servidor proxy é aberta. Siga as instruções para configurar o
servidor proxy automaticamente ou manualmente.
Figura 5.69: Captura de tela exibindo a configuração do proxy no Windows aberta por meio do Microsoft Edge

Limitações do Servidor Proxy

Se o proxy não estiver devidamente protegido, ele pode se tornar um ponto de falha em
1 caso de ataque
Aumento da carga de trabalho, pois o proxy deve ser configurado para cada serviço que fornece
2
Se tentarmos alterar as configurações padrão, o servidor proxy pode não funcionar corretamente
3
Os servidores proxy precisam redirecionar as informações, portanto, as páginas da Web às vezes podem carregar
4 lentamente
Se o servidor proxy estiver tentando contornar um software suspeito, alguns elementos de uma página podem não
5 carregar
Limitações do Servidor Proxy
A seguir estão algumas das limitações dos servidores proxy.
ÿ Ponto Único de Falha
Um problema com um servidor proxy é a criação de um único ponto de falha. Se toda a organização usa o
mesmo proxy, essa máquina é bastante crítica e deve ser configurada corretamente. Um erro comum é
esquecer que um proxy é inseguro. Embora um servidor proxy proteja a rede interna, qualquer interface
diretamente conectada à Internet está aberta a ataques. As organizações devem garantir que o proxy seja
usado em conjunto com outros mecanismos de segurança, como um filtro de pacotes, para diminuir a
possibilidade de um ataque de intrusão direto no proxy.
ÿ Um Proxy para Cada Serviço
O proxy deve ser configurado para cada serviço. Uma rede que permite vários tipos de serviços em ambas
as direções pode gerar um trabalho considerável. Para serviços suplementares, é importante que o servidor
proxy permaneça configurado com segurança. A carga de trabalho é alta porque o proxy deve ser
configurado para cada serviço que fornece.
ÿ Configurações padrão
Ao implementar um proxy, é recomendável evitar o uso das configurações padrão. Reserve um tempo para
seguir as regras e restrições. Se algumas configurações padrão forem alteradas, o servidor proxy pode não
funcionar corretamente.
ÿ Os servidores proxy precisam redirecionar as informações; portanto, as páginas da Web podem ocasionalmente carregar lentamente.
ÿ
Se o servidor proxy estiver tentando contornar um software suspeito, alguns elementos de uma página
podem não carregar.

ÿ Como as informações pessoais são passadas por um servidor externo que pode ser acessado por
intrusos, a segurança dos dados pode ser comprometida.

Exemplo de Servidor Proxy: Squid Proxy
ÿ Squid é um proxy de cache para a web e

suporta HTTP, HTTPS, FTP e mais
ÿ Reduz a largura de banda e melhora

o tempo de resposta armazenando em cache e
reutilizando páginas da Web solicitadas com frequência
Exemplo de Servidor Proxy: Squid Proxy
Fonte: http:// www.squid-cache.org
Squid é um proxy de cache para a web e suporta HTTP, HTTPS, FTP e muito mais. Ele reduz a largura de
banda e melhora os tempos de resposta armazenando em cache e reutilizando páginas da Web solicitadas
com frequência. O Squid possui amplos controles de acesso e é um ótimo acelerador de servidor. Ele roda
na maioria dos sistemas operacionais disponíveis, incluindo Windows e é licenciado sob a licença pública
geral GNU (GNU GPL).

Figura 5.70: Captura de tela do Squid Proxy
Figura 5.71: Captura de tela do Squid Proxy

Lista de ferramentas de proxy
whonix proxy ProxyCap

https:// www.whonix.org https:// proxify.com https:// www.proxycap.com
Psiphon Guardster CCProxy

https:// psiphon.ca http:// www.guardster.com https:// www.youngzsoft.net
FoxyProxy Rede global de proxy Violinista

https:// getfoxyproxy.org https:// infatica.io https:// www.telerik.com
GeoSurf anônimo8 Proxy BlackArchName

https:// www.geosurf.com https:// github.com https:// blackarch.org
JonDo ProxySite Proxy Ártico

https:// anonymous-proxy-servers.net https:// www.proxysite.com https:// artica-proxy.com
Lista de ferramentas de proxy
Algumas das ferramentas de proxy estão listadas abaixo:
ÿ Whonix (https:// www.whonix.org)

ÿ Psiphon (https:// psiphon.ca)
ÿ FoxyProxy (https:// getfoxyproxy.org)
ÿ GeoSurf (https:// www.geosurf.com)
JonDo (https:// anonymous-proxy-servers.net)
ÿ Proxify (https:// proxify.com)
ÿ Guardster (http:// www.guardster.com)
ÿ Rede Proxy Global (https:// infatica.io)
ÿ Anonym8 (https:// github.com)
ÿ ProxySite (https:// www.proxysite.com)
ÿ ProxyCap (https:// www.proxycap.com)
ÿ CCProxy (https:// www.youngzsoft.net)
ÿ Violinista (https:// www.telerik.com)
ÿ Proxy BlackArch (https:// blackarch.org)
ÿ Artica Proxy (https:// artica-proxy.com)

Fluxo do módulo

Entenda diferente
4 Tipos de Honeypots 5 Tipos de servidores
6 na rede
Segurança

7 segurança e gerenciamento de eventos 8 Análise (UBA) 9 Software
Discuta os fundamentos da VPN e sua importância na rede

Segurança
A tecnologia VPN ajuda as organizações a proteger a comunicação entre suas redes corporativas
privadas espalhadas pela Internet pública. Ele fornece privacidade e protege a comunicação
entre essas redes por meio de túneis criptografados que transmitem dados entre um usuário
remoto e a rede corporativa. Esta seção explica os fundamentos da VPN e sua importância na
proteção de redes.

O que é uma VPN?
Arquitetura VPN
Escritório Central
Conectividade VPN
VPN Concentrador
roteador com
Módulo VPN
roteador com
3G/CDMA/HSDPA Internet
Módulo VPN
Banda larga móvel
ÿ VPNs são usadas para se comunicar com segurança modem da marca da placa
VPN Concentrador
Teletrabalhador /
com diferentes computadores em canais inseguros Viajando
Pessoal
ÿ Uma VPN usa a Internet e garante segurança

comunicação com escritórios distantes ou usuários Escritório em casa
Laptop com cliente VPN Filial
dentro da rede da empresa
PC com cliente VPN
O que é uma VPN?
A maioria das organizações tem escritórios em diferentes locais ao redor do mundo. Consequentemente, existe a
necessidade de estabelecer uma conexão remota entre esses escritórios. Anteriormente, o acesso remoto era
estabelecido por meio de linhas alugadas com a ajuda de links telefônicos dial-up, como ISDN, DSL, modem a cabo,
satélite e banda larga móvel. No entanto, estabelecer conexões remotas com essas linhas alugadas é bastante caro
e os custos aumentam à medida que aumenta a distância entre os escritórios.
Para superar as desvantagens das tecnologias convencionais de acesso remoto, as organizações estão adotando
redes privadas virtuais (VPNs) para fornecer acesso remoto a seus funcionários e escritórios distantes.
Uma VPN oferece uma solução atraente para profissionais de segurança conectarem a rede de sua organização com
segurança pela Internet. A VPN é usada para conectar escritórios distantes ou usuários individuais à rede de sua
organização por meio de um canal seguro.
A VPN usa um processo de tunelamento para transportar dados criptografados pela Internet. IPsec é o protocolo mais
comum usado em VPN no nível IP. A VPN garante a integridade dos dados usando um resumo de mensagem e
protege a transmissão de dados contra adulterações. A VPN garante qualidade de serviço (QoS) por meio de acordos
de nível de serviço (SLAs) com o provedor de serviços.

Figura 5.72: Arquitetura VPN
ÿ Recursos típicos de VPN
o VPN estabelece uma conexão entre um sistema remoto e uma LAN através de um
rede intermediária como a Internet.
o As VPNs permitem conexões de longa distância baratas pela Internet porque ambos os pontos finais
requerem um link de Internet local, que serve como uma operadora gratuita de longa distância.
o VPN usa protocolos de tunelamento ou encapsulamento.
o VPNs usam criptografia para fornecer uma conexão segura a uma rede remota pela
Internet e protege a comunicação.
o As VPNs fornecem acesso virtual à rede física e a experiência é semelhante à

o caso em que o usuário está fisicamente localizado no escritório.
ÿ Vantagens das VPNs
o VPNs são baratas.
o Eles fornecem uma estrutura para intranets e extranets corporativas.
o VPN garante transferência segura de dados.
o A VPN permite que o usuário acesse aplicativos da web e sites na íntegra

anonimato.

ÿ Desvantagens das VPNs
o Projetar e implementar uma VPN é uma questão complexa que requer especialistas para
configuração.
o A confiabilidade depende do provedor de serviços escolhido.
ÿ Arquitetura VPN
Um determinado conjunto de protocolos e padrões deve ser seguido ao estabelecer uma arquitetura VPN.
Os profissionais de segurança devem decidir o escopo, implementação e implantação da VPN e realizar
monitoramento de rede contínuo para garantir a segurança de uma VPN. Eles devem estar continuamente
cientes da arquitetura geral e do escopo da VPN.
ÿ Protocolos usados na implantação de uma VPN
Para implantar VPNs, existem duas opções principais: IPsec e SSL. Cada protocolo tem suas próprias
vantagens exclusivas e é utilizado dependendo da exigência do usuário ou dos processos de TI da
organização.
ÿ VPN IPsec
A VPN baseada em IPsec é a solução de implantação mais comumente usada pelas organizações. É um
conjunto de protocolos e padrões desenvolvidos pela Internet Engineering Task Force (IETF) para
comunicação segura na camada IP. Ele garante a segurança de cada pacote em comunicação, criptografando-
os e autenticando-os. As conexões IPsec são estabelecidas usando software cliente VPN pré-instalado, que
se concentra principalmente em desktops gerenciados pela empresa.
o Vantagens
• As VPNs IPsec podem oferecer suporte a todos os aplicativos baseados em IP por meio de um produto VPN IPsec.
• Eles oferecem uma enorme versatilidade e personalização através da modificação

do software cliente VPN.
• As organizações podem controlar as funções do cliente VPN usando as APIs no IPsec

software cliente.
• Eles garantem a troca segura de pacotes IP entre redes ou hosts remotos e um gateway IPsec
localizado na borda da rede privada da organização.
As três aplicações básicas de VPNs IPsec (associadas aos requisitos de negócios) são as seguintes.
o VPNs de acesso remoto: permitem que usuários individuais, como teletrabalhadores, se conectem a uma
rede corporativa. Este aplicativo cria uma sessão L2TP/PPTP protegida por criptografia IPsec.
o VPNs de intranet: ajudam na conexão de filiais com o corporativo

sede, criando uma intranet transparente.

o Extranet VPNs: Permitem que as empresas se conectem com seus parceiros de negócios (por
exemplo, fornecedores, clientes e joint ventures).
ÿ SSL VPN (baseado na Web)
As VPNs baseadas em SSL fornecem conectividade de acesso remoto usando um navegador da Web e
sua criptografia SSL nativa, independentemente da localização. O SSL não requer nenhum software
cliente especial pré-instalado e é capaz de qualquer tipo de conectividade. A conectividade varia de
desktops gerenciados pela empresa a desktops não gerenciados pela empresa, como PCs de
funcionários, PCs de terceiros ou desktops de parceiros de negócios. Ele ajuda a reduzir a manutenção
do software de desktop, pois baixa o software dinamicamente sempre que necessário.
o Vantagens
• Ele oferece recursos adicionais, como fácil conectividade de desktops gerenciados por terceiros e
requer pouca ou nenhuma manutenção de software de desktop.
• Fornece acessibilidade à biblioteca SSL e acesso à porta TCP 443.
• Funciona sempre que o usuário pode obter acesso a sites HTTPS, como Internet
bancos, webmail seguro ou sites de intranet.

Como funciona a VPN

A VPN usa autorização e criptografia para conectar
ÿ Um cliente que deseja se conectar hosts externos com segurança
à rede de uma empresa inicialmente se

conecta à Internet
Host não autorizado Host autorizado com software
de cliente VPN, que lida
ÿ Em seguida, o cliente inicia uma VPN com autorização e criptografia
conexão com o servidor da empresa Internet
ÿ Antes de estabelecer uma conexão, os

terminais devem ser autenticados por
meio de senhas, biometria, dados Firewall com opção
de VPN
pessoais ou qualquer combinação destes
ÿ Uma vez estabelecida a conexão, o cliente

pode acessar com segurança a rede da
empresa interno
Rede
Como funciona a VPN
Uma VPN permite uma conexão segura pela Internet de uma rede pública para uma rede privada localizada
em um local distante. Todo o tráfego de rede em uma VPN é criptografado e passa por um túnel virtual
seguro colocado entre o cliente e o servidor VPN.
Todos os pacotes que passam por uma VPN são criptografados ou descriptografados em relação ao tráfego
de entrada ou saída. Os pacotes são criptografados no lado do cliente e descriptografados no servidor VPN.
Um cliente que deseja se conectar à rede de uma empresa inicialmente se conecta à Internet. Em seguida,
o cliente inicia uma conexão VPN com o servidor da empresa. Antes de estabelecer uma conexão, os
endpoints devem ser autenticados por meio de senhas, biometria, dados pessoais ou qualquer combinação
destes. Uma vez estabelecida a conexão, o cliente pode acessar com segurança a rede da empresa.
Por exemplo, quando um cliente com uma conexão VPN habilitada navega no Youtube.com, o tráfego de
saída é criptografado no lado do cliente. Os dados criptografados são então enviados para o servidor VPN
mais próximo, que passa os dados para o servidor gateway. No servidor gateway, os dados são
descriptografados e enviados ao servidor que hospeda o Youtube.com. Quando o Youtube.com envia uma
solicitação de resposta, o servidor VPN realiza o processo inverso no tráfego de saída.
Uma VPN monitora de perto todas as redes inseguras. Ele cria um novo endereço IP para um pacote
criptografado, ocultando o endereço IP real; isso evita que invasores encontrem o endereço IP real do qual
os pacotes foram enviados.

Figura 5.73: Funcionamento da VPN

Por que estabelecer VPN?
Uma VPN bem projetada oferece

os seguintes benefícios:
ÿ Estender a conectividade geográfica
ÿ Reduz custos operacionais versus WANs tradicionais
ÿ Reduza os tempos de trânsito e os custos de viagem para usuários remotos
ÿ Melhorar a produtividade
ÿ Simplifique a topologia de rede
ÿ Fornecer oportunidades de networking global
Por que estabelecer VPN?
A fácil acessibilidade de dados confidenciais pela Internet representa uma séria ameaça à segurança das organizações. Os
invasores facilmente exploram e obtêm acesso a informações confidenciais enviadas por uma rede pública não segura, como a
Internet. Uma VPN garante uma comunicação confiável por meio de um túnel criptografado, impedindo que invasores tenham
acesso às informações da organização. Uma VPN bem projetada e bem implementada pode oferecer os seguintes benefícios:
ÿ
Ele permite uma conexão segura em várias localizações geográficas.
ÿ
Economiza tempo e despesas para os funcionários, pois permite o compartilhamento de informações entre um escritório
corporativo e escritórios regionais.
ÿ
Ele aumenta o nível de saída para usuários remotos.
ÿ
Ele melhora a segurança dos dados ocultando o endereço IP dos invasores.
ÿ
Ele lida com várias conexões simultaneamente e fornece a mesma qualidade de serviço para cada conexão.
ÿ
Tem a capacidade de fornecer uma conexão segura para grandes empresas.
ÿ A implementação de uma VPN aumenta a largura de banda e a eficiência da rede.
ÿ Os custos de manutenção são baixos.
ÿ
Reduz os tempos de trânsito e os custos de viagem para usuários remotos.
ÿ
Melhora a produtividade e simplifica a topologia da rede.
ÿ
Ele oferece oportunidades de networking global e suporte a teletrabalhadores.
ÿ
Tem um retorno sobre o investimento (ROI) mais rápido do que uma WAN convencional.

Esse tráfego criptografado é benéfico quando um usuário conecta seu sistema a redes Wi-Fi em locais
públicos. A criptografia torna difícil para bisbilhoteiros na rede identificar os dados criptografados.
Uma VPN permite que os usuários acessem servidores em todo o mundo, facilitando o acesso a todos os
tipos de conteúdo. Com uma VPN, os usuários não precisam enfrentar restrições como bloqueio geográfico
durante a navegação. Uma VPN permite que o usuário permaneça anônimo sem compartilhar as informações
do dispositivo na rede. Ao ocultar esses dados, uma VPN impede que sites espionem ou monitorem o usuário.
Para evitar o monitoramento excessivo de sites de terceiros ou invasores, os usuários devem instalar uma
VPN para uma navegação segura.

Componentes VPN
Componentes VPN
ÿ Cliente VPN
ÿ Servidor de acesso à rede (NAS) Cliente VPN
ÿ Dispositivo de Terminação de Túnel (ou

servidor VPN)
Rede Remota
ÿ Protocolo VPN
IP IP
ISP ISP
PSTN
Internet
Acesso à rede Servidor VPN Rede corporativa

Servidor
Camada 3 Camada 3
Cliente VPN
Protocolo Protocolo
VPN
Componentes VPN
A arquitetura VPN consiste em quatro componentes principais.
ÿ Cliente VPN: É um computador que inicia uma conexão remota segura com um servidor VPN.
ÿ Servidor de acesso à rede (NAS): Também chamado de gateway de mídia ou servidor de acesso remoto
(RAS), o NAS é responsável por configurar e manter cada túnel em uma VPN de acesso remoto. Os usuários
precisam se conectar ao NAS para usar uma VPN.
ÿ Dispositivo de terminação de túnel (ou servidor VPN): É um computador que aceita VPN
conexões de clientes VPN.
ÿ Protocolo VPN: Inclui protocolos específicos de VPN usados para gerenciar túneis e encapsular dados
privados. Inclui o uso dos protocolos PPTP e L2TP, juntamente com o IPsec.

O diagrama a seguir mostra o uso de vários componentes VPN em uma VPN de acesso remoto:
Figura 5.74: Componentes VPN em uma VPN de acesso remoto
Uma conexão VPN de acesso remoto típica é estabelecida da seguinte forma:
ÿ O usuário remoto propaga uma conexão PPP com o NAS de um ISP através de um PSTN.
ÿ Os pacotes enviados pelo usuário são enviados para o túnel que conecta o servidor NAS e VPN
depois de autenticar o usuário.
ÿ O pacote é criptografado antes de ser colocado no túnel.
ÿ A localização do servidor VPN depende do modelo utilizado para a implementação da VPN.
ÿ O servidor VPN aceita o pacote do túnel, descriptografa e envia para o final

destino.

Concentradores de VPN
ÿ Um VPN Concentrator é um dispositivo de rede usado para criar conexões VPN seguras
ÿ Ele atua como um roteador VPN que geralmente é usado para criar um acesso remoto ou VPN site a site
ÿ Ele usa protocolos de tunelamento para negociar parâmetros de segurança , criar e gerenciar túneis,
encapsular, transmitir ou receber pacotes através do túnel e desencapsula-los
Internet
Acesso VPN via Acesso VPN via
Modem Cabo
Usuário remoto de baixa velocidade Usuário remoto de alta velocidade
Roteador
Segmento público (não confiável)
Cisco VPN 3000
Servidor FTP Firewall

Concentrador
Segmento de firewall
Segmento privado (confiável) Servidor de arquivos Servidor de Email Servidor de Intranet Servidor de Autenticação
Concentradores de VPN
Os concentradores de VPN normalmente aumentam a segurança das conexões feitas por meio de uma VPN.
Eles geralmente são usados quando um único dispositivo precisa lidar com um grande número de túneis VPN.
Eles são mais bem usados para desenvolver uma VPN de acesso remoto e VPN site a site.
Os concentradores VPN implementam a segurança dos túneis usando protocolos de tunelamento. Esses
protocolos gerenciam o seguinte:
ÿ Fluxo de pacotes pelo túnel
ÿ Criptografia e descriptografia de pacotes
ÿ Criação de túneis
Um concentrador de VPN funciona de duas maneiras:
ÿ Recebe pacotes simples em uma extremidade, criptografa na outra extremidade e encaminha o pacote para
o destino final
ÿ Recebe pacotes criptografados em uma extremidade, descriptografa na outra extremidade e encaminha o

pacote para o destino final

Figura 5.75: concentrador de VPN
Na figura, o concentrador VPN é colocado em paralelo com o firewall suportando dois usuários
remotos que possuem uma velocidade de Internet lenta e rápida, respectivamente. Se a VPN for
colocada atrás do firewall, a implementação exigirá alterações de configuração adicionais e
dependerá do fornecedor.
Os concentradores VPN fornecem um alto nível de segurança para arquiteturas VPN SSL e IPsec.
Um túnel VPN normal requer que o IPsec seja implementado na camada de rede do modelo OSI.
Um grande benefício de usar um concentrador de VPN é que o cliente é considerado fora da rede
e pode acessar a rede como se estivesse conectado.

Funções de um concentrador de VPN
ÿ Um VPN Concentrator funciona como um endpoint de túnel bidirecional
As funções do VPN Concentrator são:
Criptografa e descriptografa
dados 01 05 Gerencia chaves de segurança
Autentica usuários 02 06 Estabelece túneis
Gerencia a transferência
de dados pelo túnel 03 07 Atribui endereços de usuário
Gerencia transferências
Negocia os de dados de entrada e saída
parâmetros do túnel
04 08 como um endpoint de túnel
ou roteador
Funções de um concentrador de VPN
Um VPN Concentrator funciona como um ponto final de túnel bidirecional. Um concentrador de VPN adiciona mais
controles de segurança ao roteador, melhorando a segurança da comunicação. As funções de um concentrador de
VPN são as seguintes.
ÿ Criptografia de dados: O concentrador VPN criptografa os dados. Sendo bidirecional, inicialmente criptografa
os pacotes simples que recebe e depois os descriptografa no final do túnel, antes de enviá-los ao destino.
Ele gerencia as chaves de segurança.
ÿ Gerenciando túneis: Ao adicionar os recursos de dados avançados e segurança de rede, um concentrador

VPN tem a capacidade de criar e gerenciar grandes túneis VPN. Esses túneis garantem a integridade dos
dados entre os sistemas. Ele negocia os parâmetros do túnel.
ÿ Autenticação do usuário: um concentrador de VPN autentica os usuários no nível do computador ou no nível

do usuário. A autenticação no nível do computador é executada usando o Layer 2 Tunneling Protocol (L2TP),
enquanto a autenticação no nível do usuário é realizada usando o Point-to-Point Tunneling Protocol (PPTP).
ÿ Manipulador de tráfego: um concentrador de VPN roteia o tráfego encapsulado e não encapsulado,

dependendo da configuração do servidor. Ele lida simultaneamente com o tráfego de uma rede corporativa e
também com os recursos da Internet. Ele gerencia as transferências de dados de entrada e saída como um
ponto final de túnel ou roteador. Ele atribui endereços de usuário.

Tipos e categorias de VPN
Tipos e categorias de VPN

Esta subseção explica diferentes tipos de VPN e suas categorias.

VPNs de cliente para site (acesso remoto)
ÿ As VPNs de acesso remoto permitem que hosts Arquitetura VPN

Escritório Central
ou clientes individuais, como teletrabalhadores

e usuários móveis
Conectividade VPN
estabelecer conexões seguras com a
rede de uma empresa pela Internet VPN Concentrador
Roteador com Módulo VPN

ÿ Cada host contém cliente VPN
software ou usa um cliente baseado na web
roteador com
Internet Módulo VPN
ÿ A VPN criptografa os pacotes de dados
3G/ CDMA/ HSDPA
que são encaminhados pela Internet Banda larga móvel Modem de Banda Larga VPN Concentrador
ao gateway VPN na borda da rede de Teletrabalhador /
destino, com o software instalado na máquina Pessoal Viajante
do cliente
Escritório em casa
ÿ Um Gateway VPN recebe os pacotes Laptop com cliente VPN Filial
e então fecha a conexão com o
PC com cliente VPN
VPN após a conclusão da transferência
VPNs de cliente para site (acesso remoto)

As VPNs de acesso remoto permitem que hosts ou clientes individuais, como teletrabalhadores e usuários
móveis, estabeleçam conexões seguras com a rede de uma empresa pela Internet. Isso permite que os
usuários acessem as informações fornecidas na rede privada. Um nome antigo para uma VPN de acesso
remoto é uma rede virtual privada de discagem (VPDN), na qual uma configuração dial-up é necessária
para a conexão com um servidor.
Todo host que usa uma VPN de acesso remoto deve ter o software cliente VPN instalado; esse software
envolve e criptografa os dados antes que o host envie qualquer tráfego pela Internet para um gateway
VPN. Depois de chegar ao gateway, os dados são desempacotados, descriptografados e encaminhados
para o destino final em uma rede privada. O gateway executa o processo inverso para enviar pacotes de
dados de volta ao usuário.

Figura 5.76: VPN de acesso remoto
Uma VPN de acesso remoto consiste em dois tipos de componentes.
ÿ Servidor de acesso à rede (NAS) ou servidor de acesso remoto (RAS): o NAS é necessário enquanto os
usuários acessam uma VPN. Um processo de autenticação separado está envolvido durante a autenticação
de usuários que acessam uma VPN.
ÿ Software cliente: Os usuários que acessam uma VPN de sua própria rede precisam instalar o software
que ajuda a criar e gerenciar a conexão VPN.
O software cliente VPN e um gateway VPN são necessários para os hosts que suportam uma VPN de acesso remoto.
A maioria dos gateways VPN oferece suporte apenas a IPsec, mantendo os serviços VPN.
Vantagens
ÿ VPNs de acesso remoto minimizam o custo de conexão para os usuários.
ÿ A criptografia de pacotes de dados fornece uma camada de segurança adicional. Isso oculta o endereço IP dos
pacotes e impede que invasores acessem os pacotes.
ÿ As VPNs de acesso remoto podem lidar com um grande número de usuários. A VPN fornece o mesmo serviço
mesmo se mais usuários forem adicionados à rede VPN.
ÿ VPNs de acesso remoto permitem o compartilhamento de arquivos de um local remoto.
Desvantagens
ÿ Computadores sem nenhum antivírus instalado representam uma ameaça à conexão VPN.
ÿ A implementação de muitas conexões VPN simultaneamente pode afetar a largura de banda do

rede.
ÿ
É demorado acessar arquivos e aplicativos pela Internet.

VPNs site a site

A VPN site a site é classificada em dois tipos:
ÿ Baseado em intranet: a conectividade VPN é entre sites de uma única organização
ÿ Baseado em extranet: a conectividade VPN é entre diferentes organizações , como parceiros de negócios,
e seus clientes
VPNs site a site

ÿ A VPN site a site estende a rede Conexão
site a site
da empresa, permite o acesso aos recursos
NAS
de rede de uma organização a partir de
diferentes locais Escritório principal
Internet
ÿ Conecta uma filial ou escritório remoto Filial
rede para a rede da sede da empresa
ÿ Também conhecidas como LAN-to-LAN ou VPNs L2L Filial

Filial
VPNs site a site
Uma VPN site a site ajuda a conectar diferentes redes. Por exemplo, as filiais de uma organização
podem ser conectadas ao campus principal por meio de uma VPN site a site. A principal diferença
entre uma VPN de acesso remoto e uma VPN site a site é que uma VPN site a site não requer
nenhum software cliente. Todo o tráfego é enviado por um gateway VPN que criptografa os
pacotes de dados que passam por ele.
Em uma VPN site a site, o tráfego de saída passa por um túnel para o gateway VPN. Os pacotes
de dados no tráfego de saída são criptografados no gateway e passados para o túnel pela
Internet. O tráfego é enviado para o gateway mais próximo ao local de destino. O gateway mais
próximo descriptografa os pacotes de dados e os encaminha para o destino final.
Figura 5.77: VPN site a site

Existem dois tipos de VPNs site a site.
ÿ Baseado em Intranet: Neste tipo, a conectividade VPN é entre os sites de uma única
organização. Ele cria uma VPN de intranet para conectar cada LAN individual a uma única WAN.
ÿ Baseado em extranet: neste tipo, a conectividade VPN é entre diferentes organizações, como
parceiros de negócios, empresas e clientes. Uma VPN de extranet conecta todas as LANs de
uma organização. A configuração de VPN de extranet impede qualquer acesso a uma VPN de
intranet.

ÿ Um dispositivo VPN de hardware dedicado é usado para conectar roteadores

e gateways para garantir a comunicação em um canal inseguro
hardware
VPNs ÿ Ele foi projetado para servir como um endpoint VPN e pode se conectar a
várias LANs
E1 E2
Dispositivo VPN Dispositivo VPN
Túnel VPN Criptografado
Os dispositivos VPN criam uma conexão segura entre duas ou mais LANs
VPNs de hardware
VPNs baseadas em hardware são dispositivos separados que consistem em processadores individuais e firewalls de hardware. Eles
gerenciam facilmente a autenticação e criptografia de pacotes de dados. A principal vantagem de usar uma VPN baseada em
hardware é que ela oferece mais proteção do que a variante de software.
Figura 5.78: Hardware VPN
Vantagens
ÿ Uma VPN de hardware fornece balanceamento de carga, especialmente para grandes cargas de cliente.
Desvantagens
ÿ
É mais caro do que um software VPN.
ÿ
É mais útil para grandes organizações empresariais do que para as menores.
ÿ
Tem baixa escalabilidade.

Produtos VPN de hardware
Fabricante Nome do Produto Local na rede Internet
Concentradores
da série VPN 3000, VPN 3002
Sistemas Cisco Clientes de hardware, roteadores https:// www.cisco.com
da série 7600 e Web VPN
Módulo de serviços
SonicWALL PRO
SonicWALL https:// www.sonicwall.com
5060,4060,3060,2040,1260
NetScreen 5000, 500,200 e

Juniper Networks https:// www.juniper.net
série ISG
Vigia WatchGuard Firebox série X https:// www.watchguard.com
Produtos VPN de hardware
VPN concentradores da série 3000, VPN

Sistemas Cisco Clientes de hardware 3002, roteadores https:// www.cisco.com
da série 7600 e módulo de serviços Web VPN
SonicWALL PRO 5060, 4060, 3060, 2040, 1260

SonicWALL https:// www.sonicwall.com
Juniper Networks NetScreen série 5000, 500, 200 e ISG https:// www.juniper.net
Vigia Série WatchGuard Firebox X https:// www.watchguard.com
Tabela 5.3: produtos VPN de hardware

VPNs de software
ÿ O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway
que funciona como uma VPN
ÿ Nenhum dispositivo extra precisa ser instalado
ÿ É uma maneira fácil e de baixo custo de

implantar uma VPN e não alterar a rede de
destino Vantagens
ÿ Carga extra de processamento para os

dispositivos nos quais está instalado
ÿ É menos seguro e propenso a ataques

Desvantagens
VPNs de software
O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway que funciona como uma
VPN. As VPNs baseadas em software são mais adequadas para gerenciamento de tráfego de rede e quando a mesma parte
não gerencia os pontos finais da VPN. O gerenciamento de tráfego é realizado usando um processo de tunelamento
dependendo do protocolo e endereço do tráfego. Aceleradores de criptografia de hardware são usados para melhorar o
desempenho da rede.
Vantagens
ÿ Uma VPN de software minimiza o custo de compras adicionais de hardware.

ÿ
É fácil e barato de implantar e não altera a rede de destino.
ÿ
Possui alta escalabilidade.
Desvantagens
ÿ
Isso causa tarefas de processamento aumentadas para dispositivos que implementam a VPN.
ÿ A segurança é um problema; um software VPN é propenso a ataques, pois eles precisam compartilhar o servidor
com outros servidores e sistemas operacionais.

Produtos VPN de software

VPN-1 VSX, VPN-1 Pro, VPN-1

Ponto de Verificação https:// www.checkpoint.com
Borda, Firewall-1
NETGEAR ProSafe VPN https:// www.netgear.com
Cisco AnyConnect seguro

Sistemas Cisco https:// www.cisco.com
cliente de mobilidade
Produtos VPN de software
VPN-1 VSX, VPN-1 Pro, VPN-1

Ponto de Verificação https:// www.checkpoint.com
Borda, Firewall-1
NETGEAR ProSafe VPN https:// www.netgear.com
Cisco AnyConnect seguro

Sistemas Cisco https:// www.cisco.com
cliente de mobilidade
Tabela 5.4: Produtos VPN de software

Selecionando uma VPN apropriada

ÿ Escolha a melhor solução VPN possível para sua empresa
Escolha o tipo de solução VPN com base em
Compatibilidade
Suporte do fornecedor
Escalabilidade e capacidade
Necessidade Segurança
Custo
Selecionando uma VPN apropriada
A seleção de uma VPN apropriada depende de muitos fatores, como custo, protocolos e questões técnicas. A seguir
estão alguns fatores a serem considerados ao selecionar uma VPN.
ÿ Compatibilidade: A organização deve considerar a compatibilidade da VPN selecionada dentro da rede da

organização e determinar se é possível adotar a VPN selecionada. Selecionar e implementar uma VPN
incompatível adicionará despesas extras e causará problemas de segurança.
ÿ Escalabilidade: Aumentar o número de funcionários que trabalham para uma organização é uma tendência
comum. À medida que o número de funcionários aumenta, a VPN configurada precisa acomodar os novos
funcionários. A incapacidade de lidar com um número crescente de usuários afeta negativamente o desempenho
da rede. A organização deve selecionar uma VPN que possa lidar com qualquer número de usuários a qualquer
momento sem afetar o desempenho da rede.
ÿ Segurança: A segurança é um fator importante ao selecionar uma VPN. A seguir estão os dois
principais critérios na seleção de uma VPN.
o Autenticação: As organizações precisam selecionar um método de autenticação apropriado, dependendo do

tipo de rede na qual a VPN é implementada.
o Criptografia: As organizações devem estar altamente alertas sobre o processo de criptografia para a VPN
selecionada. Algumas VPNs não fornecem criptografia direta, permitindo que invasores obtenham
informações da rede.
ÿ Capacidade: As organizações precisam prever o número de usuários que ingressarão no futuro e

em seguida, selecione a VPN de acordo.

ÿ Custo: Uma organização deve considerar o custo como um fator ao selecionar VPNs.
ÿ Necessidade: A necessidade de uma VPN depende dos requisitos de uma organização.

Requisitos como a necessidade de funcionários remotos acessarem a rede ou regras de tráfego criptografado
devem ser considerados. Cada organização é diferente e essas diferenças decidirão a escolha de VPN
apropriada.
ÿ Suporte do fornecedor: A seguir estão os dois fatores a serem considerados no suporte do fornecedor.
o O primeiro fator é o número de servidores e sua localização. A VPN deve ser selecionada de acordo com
a localização do servidor do fornecedor e as atividades realizadas.
o O fornecedor limita as conexões, usa limitação de largura de banda ou restringe o serviço?

As VPNs que controlam a largura de banda, reduzem as velocidades da Internet ou as limitam de
alguma forma não devem ser usadas em uma organização. Além disso, deve-se ter cuidado ao lidar
com os protocolos e serviços executados na rede. A organização deve decidir se os serviços e protocolos
existentes em execução são realmente necessários.

Funcionalidade principal da VPN: encapsulamento

ÿ Os pacotes sobre uma VPN são colocados dentro de outro pacote (encapsulamento) que tem um
IP de origem e destino
ÿ Ocultar a origem e o destino dos pacotes protege a integridade dos dados enviados ÿ Os protocolos de
encapsulamento VPN mais comuns:

ÿ Point-to-Point Tunneling Protocol (PPTP)
ÿ Layer 2 Tunneling Protocol (L2TP) ÿ
Secure Shell (SSH)
ÿ Tomada Segura (SOCKS)
O pacote encapsulado tem o

IP de origem 192.168.50.1 LAN interna
endereço IP do roteador
IP de origem 10.0.50.3
O pacote original é
encapsulado
Computador
Encapsulamento de de origem 10.0.50.3
dados para ocultar
roteador VPN
informações de origem e destino Pacote
Pacote
(criptografado) 192.168.50.1
Funcionalidade principal da VPN: encapsulamento
O encapsulamento é o método pelo qual os protocolos têm funções separadas para se comunicar entre si,
ocultando os dados. A vulnerabilidade dos dados aumenta se os dados não passarem por um canal seguro.
Quando os dados são transmitidos usando o túnel VPN, os dados são encapsulados para garantir a segurança. O
encapsulamento depende de várias tecnologias e protocolos, como GRE, IPsec, L2F, PPTP e L2TP.
Os pacotes enviados por uma VPN são colocados dentro de outro pacote (encapsulamento), que possui IP de
origem e destino diferentes. Ocultar a origem e o destino dos pacotes protege a integridade dos dados enviados.
O túnel VPN atua como um caminho entre a origem e o destino. Para enviar os dados encapsulados com
segurança, é necessário estabelecer um túnel. Todos os pacotes de dados que trafegam pelo túnel são
encapsulados no ponto de origem e desencapsulados no ponto de destino. Para enviar os dados ao ponto de
destino, um protocolo de dados de túnel é criado. As informações no pacote de dados são chamadas de carga útil.
O protocolo de dados do túnel encapsula a carga dentro do cabeçalho que contém as informações de roteamento.
Depois que o servidor recebe a carga útil, ele descarta o cabeçalho, desencapsula a carga útil e a envia ao destino.
Todos os pacotes de dados transmitidos através de uma rede VPN são encapsulados usando uma base VPN ou
um protocolo de operadora. O pacote de dados encapsulado é então enviado através do túnel e posteriormente
desencapsulado na extremidade do receptor.
Por exemplo, um pacote TCP/IP encapsulado com um quadro ATM está oculto dentro do quadro ATM.
Ao receber o quadro ATM, o pacote encapsulado é desencapsulado para extrair o pacote TCP/IP.

Figura 5.79: Encapsulamento VPN
O objetivo principal é fornecer uma camada extra de segurança a cada pacote que trafega pela Internet. Esses
protocolos definem a forma como os pacotes são enviados e recebidos pelo ISP.
Tipos de túnel VPN
ÿ Túnel voluntário: No túnel voluntário, a máquina cliente estabelece uma conexão virtual com o servidor de
túnel de destino. O tunelamento voluntário pode ser configurado somente quando houver uma conexão
existente entre o cliente e o servidor.
ÿ Túnel obrigatório: No túnel obrigatório, a máquina cliente não é o ponto final do túnel. Um servidor de
acesso remoto configura e cria o túnel. Um servidor de acesso dial-up atua como o ponto final do túnel.
Vantagens do túnel VPN
ÿ O tunelamento VPN permite a implantação de uma VPN em uma rede pública.

ÿ
É um método econômico, pois não é necessária uma rede dedicada.
A seguir estão os protocolos de encapsulamento VPN:
ÿ Point-to-Point Tunneling Protocol (PPTP): Este protocolo permite a criptografia multiprotocolo e encapsula
o cabeçalho IP que é direcionado pela Internet. Usado em conexões VPN remotas e site a site, o PPTP
gerencia o encapsulamento usando uma conexão TCP e encapsula quadros PPP em datagramas IP.
ÿ Layer 2 Tunneling Protocol (L2TP): L2TP permite criptografia multiprotocolo e transferência de dados
através de qualquer meio que suporte entrega ponto a ponto. O L2TP é instalado usando o protocolo TCP/
IP. O encapsulamento usa L2TP e consiste nas duas camadas a seguir.
o Encapsulamento L2TP: O quadro PPP é encapsulado usando um cabeçalho L2TP e um UDP

cabeçalho.
o Encapsulamento IPsec: A mensagem L2TP após a primeira camada é encapsulada usando IPsec, que
encapsula o cabeçalho de carga útil de segurança, trailer de autenticação IPsec e um cabeçalho IP
final.

ÿ Secure Shell (SSH): SSH é um serviço orientado a conexão que usa criptografia de chave pública para
autenticar um usuário remoto. Ele inclui os dois tipos de recursos a seguir:
o Encaminhamento de porta
o Túneis seguros
ÿ Socket Secure (SOCKS): SOCKS permite que clientes se comuniquem com servidores de Internet
através de firewalls. SOCKS é empregado em servidores proxy.

Núcleo VPN
Funcionalidade: ÿ Os pacotes enviados por VPN são
criptografados para manter a
confidencialidade das informações
Criptografia
ÿ Os pacotes são lidos descriptografando com
a chave de criptografia do remetente
A chave é enviada para
usuário VPN para

descriptografar dados
ÿ VPN Comum
Tecnologias de criptografia Certificado Filial
Autoridade (CA)
ÿ Criptografia tripla de dados

Padrão (3DES) Internet
ÿ Secure Sockets Layer A chave é enviada para
(SSL) Usuário VPN para
Os certificados são descriptografar dados
gerenciados pelo
ÿ VPN aberta servidor de certificados
Escritório principal
Escritório em casa
Funcionalidade principal da VPN: criptografia
Uma VPN usa criptografia para fornecer uma camada adicional de segurança aos dados transmitidos pela
VPN. A criptografia desempenha um papel importante quando dados confidenciais em uma organização
são transferidos pela Internet. Todos os dados que entram no túnel VPN são criptografados e a
descriptografia é realizada assim que os dados chegam ao final do túnel. Uma chave de criptografia é
usada no processo de criptografia e descriptografia. A criptografia desabilita o monitoramento, registro ou
adulteração dos dados em uma organização.
A criptografia ajuda a proteger os dados que passam pela rede. O remetente criptografa os dados que
passam pela rede e o destinatário descriptografa os dados. Nenhuma criptografia é necessária no link de
comunicação entre um cliente dial-up e o provedor de serviços interno, pois o processo de criptografia
ocorre entre o cliente VPN e o servidor VPN.
Figura 5.80: Criptografia VPN

Na criptografia VPN, tanto o remetente quanto o destinatário devem ter uma chave de criptografia comum que é enviada
junto com os dados. Se um pacote que trafega pela conexão VPN não tiver as chaves associadas a ele, ele não terá
utilidade para o computador. Existem muitos mecanismos para determinar o comprimento da chave de criptografia. A
criptografia de mensagens usando a mesma chave permite a fácil interpretação dos dados criptografados. O
administrador sempre pode selecionar as chaves de criptografia usadas para uma conexão.
Na criptografia de ponta a ponta, a criptografia ocorre entre o aplicativo cliente e o servidor.

O IPsec é usado com uma conexão de ponta a ponta quando uma conexão de acesso remoto é estabelecida.
O IPsec funciona da seguinte maneira:
ÿ Um pacote é criptografado usando uma chave de criptografia. A chave é conhecida apenas pelo remetente e
o receptor.
ÿ Um cabeçalho de encapsulamento, um subprotocolo, oculta as informações confidenciais dos pacotes, incluindo

a identidade do remetente.
Tecnologias de Criptografia VPN
ÿ Algoritmo DES Triplo: É um bloco de dados de 64 bits que processa cada bloco três vezes com uma chave de
56 bits. 3DES elimina as chances de quebrar a chave de criptografia.
ÿ Secure Socket Layer (SSL): SSL é uma tecnologia segura que permite a comunicação entre um servidor e um
cliente. A tecnologia SSL permite a transmissão segura de números de cartão de crédito, credenciais de login,
etc. pela Internet.
ÿ Open VPN: É uma VPN de código aberto e funciona com o protocolo SSL.

Funcionalidade principal da VPN: autenticação

ÿ Os usuários são autenticados para acessar a VPN e seus recursos
ÿ Utiliza certificados digitais para autenticar usuários
ÿ Técnicas comuns de autenticação de usuário para uma VPN
ÿ IPSec
ÿ MS-CHAP
ÿ Kerberos
Roteador VPN 203. 12.205.40

Roteador VPN 200. 15.150.3
4. A verificação do banco de dados

determina se a autenticação foi bem-
sucedida
Internet
Bem sucedido
3. Autorização
solicitada
1. Pacote (não criptografado) Sem sucesso
O pacote é recusado e a mensagem de erro é

2. Pacote (criptografado e devolvida ao remetente
Rede 1 encapsulado) Rede 2
Funcionalidade principal da VPN: autenticação
A autenticação é parte integrante da tecnologia VPN, pois os hosts que recebem a comunicação VPN devem
garantir a autenticidade dos hosts que iniciam e enviam as conexões VPN. Os usuários devem ser autenticados
para acessar a VPN e seus recursos, e a autenticação usa certificados digitais. Uma VPN emprega os três tipos de
autenticação a seguir.
ÿ Autenticação do usuário: Neste tipo de autenticação, a VPN emprega o conceito de autenticação mútua. O
servidor VPN autentica o cliente VPN para verificar se o cliente tem permissão para se conectar. Além
disso, o cliente VPN pode autenticar um servidor VPN para obter as permissões adequadas.
ÿ Autenticação do computador com L2TP/IPsec: Os computadores de acesso remoto são autenticados para
permissões apropriadas usando IPsec e L2TP/IPsec.
ÿ Autenticação e integridade de dados: Todos os pacotes L2TP/IPsec enviados são incluídos com uma soma
de verificação criptográfica baseada na chave de criptografia. Somente o remetente e o destinatário
conhecem essa soma de verificação. Isso é para garantir que os dados enviados não sejam manipulados
durante o trânsito.
Técnicas de autenticação usadas em VPN
ÿ Família IPsec
o Internet Protocol Security (IPsec): Todo o tráfego de aplicativos é protegido usando a rede IP. O IPsec
conduz autenticação de sessão e autenticação de pacote de dados para quaisquer duas entidades
conectadas com segurança. O IPsec garante uma conexão segura entre duas redes ou redes remotas
para a rede principal.
o Layer 2 Tunneling Protocol (L2TP): Este protocolo inicia uma conexão entre duas conexões L2TP.
L2TP é sempre combinado com IPsec para confirmar a segurança.

ÿ Kerberos
O Kerberos consiste em um registro de clientes e suas chaves privadas. Somente o cliente e o Kerberos
conhecem os detalhes da chave privada, e o Kerberos gera chaves de sessão que criptografam as
mensagens entre dois clientes.
ÿ Protocolo de Autenticação de Senha (PAP)
O PAP usa um mecanismo de autenticação de texto não criptografado para autenticar usuários. Ele envia
um nome de usuário e senha de acordo com a solicitação do NAS. O NAS recebe o nome de usuário e a
senha em texto não criptografado, o que implica que o NAS recebe os detalhes de forma não criptografada.
Isso torna mais fácil para os invasores estabelecerem uma conexão com o NAS para adquirir todas as
informações.
ÿ Shiva Password Authentication Protocol (SPAP)
O SPAP é um mecanismo de criptografia reversível que é mais seguro que o PAP. O SPAP desempenha
seu papel quando um cliente Shiva tenta acessar um servidor. No entanto, esse mecanismo de autenticação
é menos seguro que o CHAP (Challenge Handshake Authentication Protocol) ou o Microsoft CHAP (MS-
CHAP).
ÿ Challenge Handshake Authentication Protocol (CHAP)
O CHAP é mais seguro que o PAP e usa uma técnica de autenticação de criptografia, que transmite uma
representação de senha em vez de uma senha real durante o processo de autenticação. O servidor envia
uma mensagem de desafio ao cliente para autenticar os usuários. Os usuários respondem com um valor de
hash criado usando um algoritmo de hash. O servidor então compara esse valor de hash com seu próprio
cálculo do hash. Se eles corresponderem, a autenticação será confirmada. O cliente remoto cria um hash do
ID da sessão, desafio e senha. Ele usa o algoritmo de hashing unidirecional MD-5.
ÿ Microsoft CHAP (MS-CHAP)
O MS-CHAP usa um servidor de acesso remoto para enviar um identificador de sessão e uma string de
desafio para o cliente de acesso remoto. O cliente, por sua vez, envia uma forma criptografada do identificador
e da string de desafio para o servidor. Este formulário criptografado é irreversível.
ÿ Protocolo de Autenticação Extensível (EAP)
Com o EAP, os dados para autenticação são comparados com um servidor de banco de dados de
autenticação. O protocolo de autenticação EAP permite que novos plug-ins sejam adicionados no cliente e
no servidor.
Figura 5.81: Autenticação VPN

Tecnologias VPN
01 VPNs confiáveis VPNs seguras 02
ÿ Foram usados antes da Internet se tornar ÿ Usado quando a Internet se tornou um meio de
universal comunicação corporativa
ÿ As empresas arrendavam circuitos de ÿ Os fornecedores criaram um protocolo que criptografa o

um provedor de comunicações e os usavam da tráfego no computador de origem e descriptografa no
mesma forma que os cabos físicos em uma LAN privada computador receptor
ÿ As organizações conhecem e controlam a via de ÿ O tráfego criptografado age como um túnel entre duas
transmissão redes, mesmo que um invasor veja o tráfego não
será capaz de lê-lo
ÿ Um provedor de comunicação confiável para o cliente
mantém a integridade e a segurança, mas não a ÿ VPNs seguras são redes construídas usando
criptografia, são chamadas de VPNs confiáveis criptografia
ÿ Tecnologias como circuitos ATM , circuitos frame-relay , ÿ Protegem a confidencialidade e integridade

Multiprotocol Label Switching (MPLS) são usadas para dos dados, mas não garantem o caminho de
implementar VPNs confiáveis transmissão
Tecnologias VPN (continuação)

03
Rede Rede
VPNs híbridas
VPN segura
VPN segura
ÿ Uma VPN segura faz parte de
uma VPN confiável, criando
VPN confiável
uma VPN híbrida
VPN híbrida que consiste em
uma VPN segura em uma
ÿ A parte segura de uma VPN intermediária confiável
VPN híbrida é
administrada pelo cliente
ou pelo
provedor, que VPN segura
forneceu a parte confiável

da VPN híbrida
Rede Rede
Tecnologias VPN
A tecnologia VPN permite que as organizações conectem usuários móveis e remotos com acesso
à rede e também conectem filiais separadas da mesma organização a uma única rede. A seguir
estão as tecnologias comuns usadas para implantar VPNs para transmissão segura de dados.

VPN confiável
Mesmo antes da popularidade da Internet, os provedores de serviços forneciam aos clientes circuitos específicos que
não podiam ser usados por mais ninguém. As empresas alugavam circuitos de um provedor de comunicações e os
usavam da mesma maneira que cabos físicos em uma LAN privada. As organizações conhecem e controlam o caminho
para sua transmissão. Isso deu privacidade aos clientes e a capacidade de ter seus próprios endereços IP e políticas.
Para fornecer medidas de segurança e evitar o sniffing dos dados, os provedores de VPN são encarregados de manter a
integridade do circuito. Esse tipo de VPN é chamado de VPN confiável. As tecnologias usadas para implementar VPNs
confiáveis em uma rede IP são circuitos de modo de transferência assíncrona (ATM), circuitos de frame relay e MLPS.
O ATM e o frame relay operam na camada 2 do modelo OSI, e o MLPS opera entre a camada de enlace de dados e a
camada de rede. Os requisitos para uma VPN confiável são os seguintes:
ÿ Quaisquer alterações no caminho de uma VPN podem ser feitas apenas por uma VPN confiável.
ÿ Todos os métodos de roteamento e endereçamento precisam ser descritos antes de criar uma VPN confiável.
ÿ Somente um provedor de VPN pode injetar, alterar ou excluir os dados no caminho de uma VPN.
VPN segura
VPNs seguras são usadas quando a Internet se tornou um meio de comunicação corporativa. O principal objetivo por
trás da implementação de uma VPN segura é garantir a segurança completa dos dados em trânsito. Em uma VPN
segura, todos os pacotes de dados enviados pelo túnel passam por um processo de criptografia em uma extremidade do
túnel e um processo de descriptografia na outra extremidade. Isso impede qualquer tentativa de um invasor de obter
dados em trânsito. As VPNs seguras protegem a confidencialidade e a integridade dos dados, mas não garantem o
caminho de transmissão. Os principais requisitos para VPNs seguras são os seguintes:
ÿ Todos os pacotes de dados no tráfego são criptografados e autenticados antes de enviar para o
cliente.
ÿ O cliente e o servidor precisam estar em um entendimento mútuo antes de iniciar o

ligação entre si.
ÿ A segurança da conexão deve ser confirmada por usuários não autorizados.
VPN híbrida
As VPNs híbridas são aquelas com VPNs confiáveis como parte de VPNs seguras. Eles implementam diferentes
componentes de rede de uma organização simultaneamente para confirmar a segurança a custos muito baixos. Um
profissional de segurança leva mais tempo para diferenciar a transferência de dados entre as VPNs confiáveis que fazem
parte das VPNs seguras. A parte segura de uma VPN híbrida é administrada pelo cliente ou pelo provedor da parte
confiável da VPN híbrida. Os principais requisitos para VPNs híbridas são os seguintes:
ÿ Deve haver uma diferenciação clara entre a VPN confiável e a VPN segura.

Figura 5.82: VPN híbrida

Topologias VPN
ÿ Uma topologia VPN especifica como os pares e as redes dentro de uma VPN são conectados
ÿ Algumas topologias VPN incluem
Topologia VPN Hub-and-Spoke
Topologia de VPN de malha completa
Topologia VPN ponto a ponto
Topologia em estrela
Topologias VPN
Uma topologia VPN lida principalmente com as especificações de como os nós em uma rede estão conectados e como eles
se comunicam com os outros nós. Uma VPN permite que empresas em redes diferentes se comuniquem com compartilhamento
de dados. As topologias VPN permitem que uma organização projete a maneira como se comunica com outras redes. A
seguir estão as diferentes topologias VPN:
ÿ Hub-and-spoke
ÿ Ponto a Ponto
ÿ
Malha completa
ÿ Estrela
É importante observar que a seleção de topologias depende dos requisitos da organização. Por exemplo, uma topologia em
estrela é mais adequada em ambientes onde a empresa precisa compartilhar informações com outra empresa localizada em
uma rede diferente. Uma topologia de malha é mais adequada para uma intranet.

VPN hub-and-spoke
Topologia Falou
Filial
Falou
Cada spoke individual conectado ao escritório

remoto é comunicado de forma segura com o Seguro
Túnel
dispositivo central (hub) CUBO
Internet
Um túnel separado e seguro é estabelecido Escritório principal

HUBs secundários
opcionais para resiliência Seguro
Túnel
entre o hub e cada spoke individual
Falou Falou
Uma conexão persistente é estabelecida entre o

escritório principal de uma organização e suas filiais
usando uma rede de terceiros ou a Internet
Filial
Topologia VPN Hub-and-Spoke
Na tecnologia hub-and-spoke, a organização principal é considerada o hub e seus escritórios remotos são
considerados os spokes. Os spokes acessam a VPN por meio do hub. Essa topologia é usada principalmente
em bancos e organizações internacionais. O hub controla os dois tipos de comunicação a seguir:
ÿ Comunicação entre um spoke e um hub
ÿ Comunicação entre os raios
Essa topologia é usada para representar uma VPN de intranet conectando o escritório principal de uma
organização a seus escritórios regionais. Os hubs facilitam o compartilhamento de grandes quantidades de
dados. Existem túneis separados para transferência de dados entre o hub e um spoke. Todas as transferências
de dados ocorrem por meio do hub. A topologia hub-and-spoke pode se tornar uma topologia multinível,
dependendo do crescimento da rede.
Em uma rede multi-site, o hub central controla a transferência de dados ou é considerado o gateway para os
sites remotos se comunicarem entre si. Por exemplo, uma torre de telefonia celular em uma área é o hub e
todos os dispositivos móveis dentro e ao redor da torre de telefonia celular são os raios. Um profissional de
segurança deve sempre estudar minuciosamente a tecnologia hub-and-spoke em sua rede.
Vantagens
ÿ A topologia hub-and-spoke é relativamente mais barata e fácil de reparar quando um dos

os raios falham.
ÿ Circuitos interligados entre o hub e um spoke aumentam a flexibilidade da rede.

ÿ Essa topologia oferece segurança aprimorada, pois cada dispositivo na rede é separado
outros através de uma única conexão com o hub.
ÿ Essa topologia fornece alto desempenho, centralização e simplicidade.
Desvantagens
ÿ Qualquer problema no hub pode afetar a conexão entre o hub e um spoke e a conexão entre
diferentes spokes.
Figura 5.83: topologia VPN hub-and-spoke
A figura ilustra claramente a topologia hub-and-spoke. Na figura, cada raio nas filiais estabelece uma
conexão segura com o hub na sede. Essas conexões seguras são estabelecidas pela Internet. O
escritório principal pode ter mais de um hub em
por vez, mas apenas um hub é usado para se conectar a cada spoke. Os outros hubs são mantidos como hubs de
backup para flexibilidade.

Essa topologia funciona bem se o tráfego estiver entre o hub e o spoke, em vez de entre spokes ou sites remotos.
Isso ocorre porque o tráfego entre dois spokes precisa passar pelo hub antes de ser encaminhado para o respectivo
spoke. Isso aumenta a chance de um gargalo no hub devido ao aumento das conexões spoke-to-spoke. Todas as
tecnologias IPsec podem ser usadas nessa topologia.
Se o hub enfrentar algum problema de conexão, o failover de IPsec transfere a conexão para um hub de backup
para ser usado por todos os spokes. É possível configurar vários hubs como hub principal.

1 2 3
Ao contrário da topologia Hub-and-Spoke, Essa topologia trata dois terminais Somente IPsec regular ou IPsec/GRE
os escritórios em locais diferentes podem como dois dispositivos pares é atribuído ao túnel, pois qualquer
se comunicar diretamente uns com os participando da comunicação um dos dispositivos pares pode
outros sem qualquer failover de IPsec iniciar a comunicação
Seguro
VPN ponto a ponto Túnel
Internet
Topologia
Local 1 Local 2
Em uma topologia ponto a ponto, quaisquer dois pontos finais são considerados como dispositivos pares que podem se
comunicar entre si. Qualquer um dos dispositivos pode ser usado para iniciar a conexão. Ao contrário de uma topologia
hub-and-spoke, os escritórios em locais diferentes podem se comunicar diretamente entre si sem qualquer failover de
IPsec. A tecnologia IPsec atribuída pode ser IPsec ou IPsec/GRE.
As VPNs ponto a ponto IPsec regulares são comumente configuradas e conhecidas como extranets. É aqui que uma
conexão é estabelecida entre um dispositivo em uma rede gerenciada regularmente e um dispositivo não gerenciado na
rede do provedor de serviços.
As principais características da topologia ponto a ponto são as seguintes:
ÿ Fácil roteamento de dados, que precisam passar por apenas um roteador
ÿ Roteamento ideal entre sites de clientes
ÿ Introduz criptografia e autenticação para confirmar a integridade dos pacotes em trânsito
ÿ Usa um processo de tunelamento para capturar pacotes de dados com pacotes IP normais para encaminhamento
através de redes baseadas em IP
Figura 5.84: Topologia VPN ponto a ponto

ÿ Esta topologia é adequada para

redes complicadas onde todos
os pares se comunicam entre
si
Seguro
Túnel
ÿ Dispositivo para dispositivo
comunicação em rede Seguro
Túnel
acontece com um único
Local 1
túnel IPsec Local 2
Internet Seguro
Seguro Túnel
Seguro
ÿ Uma conexão ponto a ponto é Túnel
Túnel
estabelecida entre cada
dispositivo, evitando um Seguro
Túnel
gargalo no gateway VPN e
economizando criptografia/
descriptografia
a sobrecarga Local 3 Local 4
ÿ Esta topologia é confiável e

oferece redundância
Em uma rede VPN totalmente em malha, todos os pares podem se comunicar entre si, tornando-a uma rede complexa. Essa
topologia é adequada para redes complicadas em que todos os pares se comunicam entre si. Essa topologia permite que
todos os dispositivos da rede se comuniquem diretamente entre si por meio de um túnel IPsec. Uma conexão ponto a ponto é
estabelecida entre cada par de dispositivos, evitando um gargalo no gateway VPN e economizando sobrecarga de criptografia/
descriptografia. Uma VPN totalmente em malha pode implementar tecnologias IPsec, IPsec/GRE e GET VPN normais.
Vantagens
ÿ Qualquer falha em um dos dispositivos não afeta toda a rede.

ÿ
É muito confiável e oferece redundância.
ÿ
Evita qualquer tipo de bloqueio no gateway.
Desvantagens
ÿ
Aumenta o número de dispositivos conectados à rede, dificultando a
gerir.
ÿ Há chances de redundância nas conexões de rede.

Figura 5.85: topologia de VPN de malha completa

Filial Filial
ÿ Essa topologia permite que filiais remotas se comuniquem com
segurança com a sede corporativa
ÿ Não é permitida a interligação entre filiais

Sede da
ÿ Implantado em rede bancária, evitando que uma agência comprometa empresa
outra agência
ÿ Os atacantes devem primeiro comprometer o centro

rede antes de poder comprometer um segundo ramal
Filial Filial
ÿ Novos sites podem ser adicionados facilmente e somente a central

sites precisam ser atualizados
ÿ O site central desempenha um papel importante nesta topologia.

Se falhar, todas as conexões cairão
Essa é a topologia mais comumente usada nas organizações. Nesta topologia, todos os escritórios remotos se comunicam
com o escritório corporativo, mas a comunicação entre os escritórios remotos é negada. Cada dispositivo na rede está
conectado a um hub central que gerencia o tráfego pela rede.
Figura 5.86: Topologia em estrela

Na figura, todas as filiais podem se comunicar entre si por meio da sede corporativa. Porém, nesta topologia, duas
filiais não podem iniciar uma comunicação separada, pois estas são permitidas apenas através da rede corporativa.
Vantagens
ÿ
É mais adequado para infraestrutura financeira, pois o comprometimento de um sistema não compromete
outra agência sem detecção.
ÿ Qualquer ataque a filiais pode ser realizado apenas por meio da filial principal. Qualquer manipulação na rede
pode ser facilmente detectada pelos profissionais de segurança.
ÿ
É fácil adicionar e remover novas filiais ao escritório principal sem afetar os sites vizinhos. No entanto, é
obrigatório atualizar o site principal quanto à adição ou remoção de sites.
Desvantagens
ÿ Qualquer falha no site central afeta a comunicação de todos os outros sites.
ÿ Dois sites não podem se comunicar diretamente.
ÿ Adicionar mais sites à rede pode afetar a capacidade do site principal.

Exemplo de uma VPN: OpenVPN
ÿ OpenVPN oferece flexibilidade

Soluções VPN para proteger
as comunicações de dados para
Privacidade na Internet,
acesso remoto para
funcionários, proteção de IoT
ou para redes de data centers
em nuvem
ÿ É um software de servidor VPN

solução que pode ser
implantada no local usando
servidores padrão ou dispositivos
virtuais ou na nuvem
https:// openvpn.net
Exemplo de VPN: OpenVPN Fonte:
https:// openvpn.net
O OpenVPN fornece soluções VPN flexíveis para proteger as comunicações de dados para privacidade na Internet,
acesso remoto para funcionários, proteção de IoT ou para centros de dados em nuvem de rede. É uma solução de
software de servidor VPN que pode ser implantada localmente usando servidores padrão ou dispositivos virtuais; ele
também pode ser implantado na nuvem.
Figura 5.87: captura de tela do OpenVPN

Riscos de segurança VPN
Impressão digital VPN 01 05 Ataques Man-in-the-Middle
Armazenamento inseguro de
Credenciais de Autenticação 02 06 Falta de bloqueio de conta
Enumeração de nome de usuário

Vulnerabilidades 03 07 Configurações padrão ruins
Orientação deficiente e
Quebra de senha offline 04 08 Documentação
Riscos de segurança VPN
Discutidos abaixo estão os vários riscos de segurança relacionados à VPN.
ÿ Impressão digital VPN
A técnica de impressão digital VPN permite que o invasor acesse informações úteis, como o tipo de conexões
implementadas, os dispositivos usados e os sistemas operacionais implantados. Alguns sistemas, como Cisco PIX
e Nortel Contivity, podem revelar dados cruciais, como o tipo geral de dispositivos implantados para construir a
rede, enquanto outros sistemas exibem detalhes da versão do software.
ÿ Armazenamento inseguro de credenciais de autenticação
Certos problemas de segurança ocorrem se as credenciais não forem armazenadas e protegidas adequadamente.
Esses problemas de segurança são devidos a um método inseguro de armazenamento de credenciais de
autenticação por clientes VPN.
Veja a seguir problemas comuns de VPN com autenticação e credenciais:
o Armazenar o nome de usuário não criptografado em um arquivo ou registro
o Armazenar a senha de forma codificada
o Armazenar credenciais em texto simples na memória
o Registro fraco ou permissões de arquivo para credenciais armazenadas
ÿ Vulnerabilidades de enumeração de nome de usuário
Muitas VPNs de acesso remoto usam o modo IKE agressivo com um método de autenticação de chave pré-
compartilhada. O cliente envia um pacote IKE para o servidor VPN, que

responde usando outro pacote IKE. Esses pacotes contêm várias cargas úteis; a carga de identidade contém o
nome de usuário e a carga de hash contém a senha.
Um invasor pode confirmar a diferença entre nomes de usuário válidos e inválidos de seus
diferenças computacionais. Além disso, um invasor pode adivinhar a senha correta usando o modo agressivo
IKE e descobrir facilmente o hash do servidor VPN. Esse hash pode ser usado com um ataque de força bruta
para obter a senha.
ÿ Quebra de senha offline
A quebra de senha offline é uma das falhas mais comuns de uma VPN. Um invasor pode quebrar uma senha off-
line obtendo acesso aos hashes de senha. Depois que o invasor obtém as credenciais do usuário, ele pode
facilmente obter acesso de hash do servidor VPN.
Senhas simples contendo palavras simples podem aumentar a frequência de quebra de senha.
ÿ Ataques Man-in-the-middle
Os invasores podem usar protocolos de autenticação inseguros, como IKE, para realizar ataques man-in-the-
middle em uma VPN. Nesse tipo de ataque, um invasor intercepta a comunicação entre o cliente e o servidor e
obtém a autenticação do cliente no servidor. Os ataques man-in-the-middle ocorrem durante a transferência de
dados por meio da VPN e permitem que um invasor intercepte, insira, exclua e modifique mensagens; refletir as
mensagens de volta ao remetente; reproduzir mensagens antigas; e redirecionar mensagens.
ÿ Falta de Bloqueio de Conta
O principal objetivo de usar o recurso de bloqueio de conta é restringir o número de tentativas de login a um
determinado limite. Se um usuário continuar tentando fazer login além do limite, a conta será bloqueada
automaticamente. Esse recurso evita ataques de quebra de senha, como força bruta e ataques de dicionário. Os
invasores podem aproveitar a falta de um recurso de bloqueio de conta para obter credenciais de conta, e a falta
desse recurso reduz a segurança da conta.
ÿ Configurações padrão ruins
Quase todas as organizações têm uma configuração automatizada. No entanto, se a organização usar a
configuração padrão da VPN, os invasores poderão explorar essas configurações padrão para comprometer a
segurança da VPN. As configurações padrão suportam muitas cifras e modos, ESP e AH. Um invasor com
acesso à máquina cliente pode solicitar ao usuário final que use uma cifra mais fraca, o que facilitará o ataque.
O usuário final pode não perceber que a cifra e a configuração foram alteradas, pois a VPN continuará
funcionando normalmente.
ÿ Deficiente Orientação e Documentação
A má orientação pode levar a vulnerabilidades de segurança na configuração e implementação de uma VPN.

Uma implementação incorreta oferece uma oportunidade para os invasores obterem acesso à VPN.

Seguem-se as situações em que esta orientação é necessária:
o Usando cifras fracas, como DES de grau de exportação ou único, que podem ser quebradas facilmente
o Usando técnicas de autenticação de chave fraca, como uma chave pré-compartilhada com o modo
agressivo IKE, que envia o nome de usuário e a senha offline vulnerável para quebrar se um nome de
usuário válido for identificado
o Escolher o protocolo AH, que não criptografa o tráfego VPN

Segurança VPN
Segurança VPN
Esta subseção discute várias medidas de segurança VPN.

ÿ Os firewalls estabelecem uma barreira de proteção entre a VPN e o

Internet
firewalls ÿ Antes de implementar uma VPN, certifique-se de que um bom firewall esteja instalado
ÿ Os firewalls devem ser configurados para restringir as portas abertas, os tipos de

pacotes e protocolos que o tráfego tem permissão para passar para a VPN
TÚNEL IPSEC ou WAN
Firewall
Rede corporativa
LAN PCs www.sports.com

Terminais sem fio
servidor de filial
firewalls
Os firewalls estabelecem uma barreira de proteção entre a VPN e a Internet. Antes de implementar
uma VPN, certifique-se de que um bom firewall esteja instalado. Um firewall pode permitir ou negar o
fluxo de dados pela rede. Os firewalls devem ser configurados para restringir as portas abertas, bem
como os tipos de pacotes e protocolos que podem passar para a VPN. Eles também são usados para
encerrar sessões VPN. Os firewalls geralmente ajudam a proteger a rede contra invasores.
Os firewalls podem ser usados das duas maneiras a seguir com uma VPN.
ÿ O servidor VPN está conectado à Internet e o firewall está localizado entre o

Servidor VPN e intranet.
o Aqui, os filtros de pacotes são adicionados para permitir apenas o tráfego VPN de e para o endereço IP do
o servidor VPN.
ÿ Um firewall está conectado à Internet e o servidor VPN está localizado entre o firewall
e intranet.
o Aqui, o firewall possui filtros de entrada e saída na interface da Internet para manter
tráfego e a passagem de tráfego para o servidor VPN.

Figura 5.88: Representação de um firewall na segurança VPN

Servidor IPsec
ÿ O servidor IPsec aprimora a segurança VPN por meio do
uso de algoritmos de criptografia fortes e autenticação
modo túnel
Tanto o cabeçalho Carga útil do cabeçalho
quanto a carga útil de

cada pacote são criptografados
O servidor IPsec
contém dois
modos de criptografia Modo de transporte
Carga útil do cabeçalho

Somente a carga útil de cada
pacote é criptografada
Servidor IPsec
Um servidor IPsec tem os dois tipos de modos de criptografia a seguir.
ÿ Modo de Transporte
Este é o modo padrão para um servidor IPsec. Eles geralmente são usados para comunicação de
ponta a ponta entre um servidor e um cliente. No modo de transporte, o IPsec criptografa a carga
IP por meio de um cabeçalho de autenticação (AH) ou cabeçalho de carga de segurança
encapsulada (ESP). As cargas IP podem ser segmentos TCP (contendo um cabeçalho TCP e
dados de segmento TCP), mensagens UDP (contendo um cabeçalho UDP e dados de mensagem)
ou mensagens ICMP (contendo um cabeçalho ICMP e dados de mensagem ICMP).
AH geralmente não criptografa os dados e apenas fornece autenticação, integridade e proteção

anti-replay. A partir de um AH é possível ler os dados, mas nega qualquer tipo de alteração nos
dados. AH avalia o valor de verificação de integridade (ICV) sobre o endereço de origem e destino;
portanto, não pode ser utilizado para atravessar NATs. O ESP atravessa os NATs, pois não utiliza
o valor do endereço mais externo para o cálculo do ICV. Quando AH
e ESP são usados juntos, então o ESP será aplicado primeiro, seguido pelo AH, que autentica
todo o novo pacote.
o AH em modo transporte: O AH pode ser utilizado individualmente ou junto com o ESP. O

cabeçalho AH protege todo o pacote. No modo de transporte, um novo cabeçalho IP não é
criado antes do pacote de dados; em vez disso, uma cópia do cabeçalho IP original é colocada
com pequenas alterações no ID do protocolo. Portanto, ele falha em fornecer proteção
completa a todos os campos no cabeçalho IP. AH é reconhecido no novo cabeçalho IP com
um ID de protocolo IP de 51.

Figura 5.89: AH no modo de transporte
o ESP no modo de transporte: O cabeçalho IP original é movido para a posição frontal. Colocar o cabeçalho
IP do remetente na posição frontal, fazendo pequenas alterações no ID do protocolo, provará que o modo
de transporte não protegerá ou criptografará o cabeçalho IP original, e o ESP será reconhecido no novo
cabeçalho IP com um ID do protocolo IP de 50.
Figura 5.90: ESP no modo de transporte
ÿ Modo túnel
No modo de túnel, o IPsec criptografa a carga IP e o cabeçalho para proteger um pacote IP inteiro,
encapsulando-o com um cabeçalho AH ou ESP e um cabeçalho IP adicional. Este modo é útil para proteger o
tráfego entre redes diferentes e é usado principalmente para interoperabilidade com gateways.
O modo de túnel do IPsec geralmente é implementado em configurações como gateway a gateway, servidor
a gateway e servidor a servidor. O modo de túnel IPsec é útil para proteger o tráfego enquanto ele passa por
redes não confiáveis.
o AH em modo túnel: O cabeçote AH pode ser utilizado individualmente ou em conjunto com o ESP. Ele
defende o pacote inteiro. Porém, o AH não resguarda todos os campos do novo cabeçalho IP caso haja
alguma alteração no trânsito. No entanto, salvaguarda tudo o que não muda no trânsito. AH é reconhecido
no novo cabeçalho IP com um ID de protocolo IP de 51.

Figura 5.91: AH no modo túnel
o ESP no modo de túnel: ESP é reconhecido no novo cabeçalho IP com um ID de protocolo IP de

50.
Figura 5.92: ESP no modo túnel

Servidor AAA
ÿ O servidor AAA é usado para estabelecer acesso seguro em um ambiente VPN de acesso remoto
O servidor AAA executa os seguintes tipos de verificações
Autenticação Autorização Contabilidade
ÿ Quem é você? ÿ O que você pode fazer? ÿ O que você realmente faz?
Servidor AAA
Autenticação, autorização e contabilidade (AAA) fornecem acesso seguro adicional em um ambiente de acesso remoto. Um
servidor AAA fornece aos usuários uma camada extra de proteção e controle quando comparado a uma lista de controle de
acesso (ACL) sozinha. Uma ACL permite que usuários externos acessem Telnet na rede DMZ. A AAA concede permissões
apenas a alguns usuários para acessar o aplicativo após a ocorrência da autorização e autenticação adequadas. Isso pode ser
implementado usando o seguinte:
ÿ Quem você é (autenticação) é estabelecido pela verificação das credenciais do usuário, como nome de usuário e senha.
ÿ O que você tem permissão para fazer (autorização) é verificado para oferecer controles de acesso, como comandos de
gerenciamento, acesso à rede e acesso VPN.
ÿ O que você realmente faz (contabilidade) refere-se ao tipo de tráfego que os usuários acessam através da VPN. Essa
opção rastreia o tráfego que passa pela VPN e registra todas as atividades do usuário.
A seguir estão os protocolos de autenticação usados para um servidor AAA:
ÿ RAIO
ÿ TACACS+
ÿ RSA SecurID
ÿ Windows NT
ÿ Kerberos
ÿ LDAP

Serviço de usuário de discagem de acesso remoto
Quando um usuário tenta se conectar, o servidor VPN entra

O Remote Access Dial-In User Service (RADIUS) é a em contato com o servidor RADIUS, que autentica o usuário
1 maneira mais simples de usar a autenticação centralizada 4 por meio de um domínio do Windows usando um nome
em VPNs de usuário e uma senha (normalmente um controlador de
domínio do Windows)
Se o nome de usuário e a senha estiverem corretos e

RADIUS é um aplicativo de software que é executado
2 em um servidor e tem acesso a todos os usuários do domínio 5 eles tiverem acesso “dial-in” concedido, eles terão
permissão para acessar a VPN
Em um ambiente VPN, o RADIUS gerencia a autenticação O equipamento VPN deve se comunicar com segurança
e a autorização do usuário. Isso reduz o custo total de com o servidor RADIUS e verificar se o usuário atende a
3 propriedade ao gerenciar as credenciais de um local central
6 determinadas condições definidas antes de conceder
permissão para acessar a rede

(continua)
Internet
VPN
Porta de entrada
DualSheild
Servidor Radius
HTTP
Cliente VPN Rede corporativa
DualSheild Ativo
Autenticação
Diretório
Servidor
O Remote Authentication Dial-In User Service (RADIUS) é o método mais simples para usar autenticação centralizada
em VPNs. RADIUS é um protocolo cliente/servidor que autentica e autoriza os usuários de discagem a acessar o
sistema ou dispositivo. É um aplicativo de software que é executado em um servidor e tem acesso a todos os usuários
do domínio. O RADIUS mantém perfis em seus bancos de dados que permitem que os servidores remotos compartilhem
os dados, bem como uma administração centralizada dos dados.

As empresas que usam uma rede VPN implementam RADIUS para autenticação de dados. Isso reduz o
custo total de propriedade porque as credenciais são gerenciadas de um local central.
No RADIUS, o servidor VPN interage com o servidor RADIUS assim que o usuário tenta uma conexão. O
servidor RADIUS autentica o usuário com suas credenciais. O acesso é concedido ao usuário se e somente
se ele fornecer as credenciais corretas e tiver acesso discado. O servidor RADIUS envia uma mensagem
RADIUS ao cliente RADIUS em resposta à solicitação de autenticação. O equipamento VPN deve se
comunicar com segurança com o servidor RADIUS e verificar se o usuário atende a determinadas condições
definidas antes de conceder permissão para acessar a rede.
As mensagens RADIUS são enviadas como mensagens UDP (User Datagram Protocol), e a carga UDP de
um pacote RADIUS pode incluir apenas uma mensagem RADIUS.
A seguir estão diferentes tipos de mensagem RADIUS.
ÿ Access-request: Enviado pelo cliente RADIUS para solicitar autenticação
ÿ Access-accept: Enviado pelo servidor RADIUS em resposta à mensagem de solicitação de acesso
ÿ Rejeição de acesso: Enviado pelo servidor de acesso ao cliente RADIUS, informando que o
solicitação de conexão é rejeitada
ÿ Access-challenge: Enviado pelo servidor RADIUS ao cliente RADIUS em resposta ao

solicitação de acesso do cliente
ÿ Accounting–request: Enviado pelo cliente RADIUS para solicitar informações para um

conexão
ÿ Accounting-response: Enviado pelo servidor RADIUS em resposta à solicitação de contabilidade

mensagem do cliente RADIUS
Figura 5.93: Servidor RADIUS protegendo VPN

Uma mensagem RADIUS consiste em um cabeçalho RADIUS e atributos RADIUS. Os atributos RADIUS fornecem informações
sobre o número de tentativas de conexão, nome de usuário, senha, serviço solicitado pelo usuário etc., cada um com um atributo
RADIUS separado. Os atributos RADIUS são compartilhados entre servidores RADIUS, clientes RADIUS e proxies RADIUS.
A seguir estão os componentes do RADIUS:
ÿ Acessar clientes
ÿ Servidores de acesso
ÿ Proxies RADIUS
ÿ Servidores RADIUS
ÿ Bancos de dados de contas de usuário

Conexão com VPN:

SSH e PPP
ÿ PPP e SSH são integrados em kernels que usam VPN
ÿ VPNs usando PPP e SSH funcionam bem com endereços IP dinâmicos
Configurando a conexão de rede
Ao configurar vários Cliente e servidor contêm Processos PPP

túneis para o computador, Processos PPP se comunicam usando
certifique-se de que o para se comunicar conexão SSH
endereço IP de cada túnel
seja exclusivo
Conexão com VPN: SSH e PPP
Existem inúmeros benefícios na configuração de uma VPN PPP-SSH. É mais simples que os outros tipos de VPN.
PPP e SSH são embutidos na maioria das distribuições, e a maioria dos kernels são pré-configurados para utilizá-
los bem. Se o protocolo SSH atualmente cruzar o firewall da organização, o PPP sobre SSH também cruzará o
firewall. As VPNs PPP-SSH não têm problemas com endereços IP dinâmicos.
Configurar uma VPN em uma conexão discada não será um problema no caso de VPNs PPP-SSH, e vários túneis
para um único computador podem ser configurados. O usuário deve garantir que o endereço IP de cada interface
de rede do túnel seja discreto. Para estabelecer conexões SSH, são necessários um cliente VPN e servidores.
Tanto o cliente quanto o servidor possuem daemons PPP que se comunicam por meio da conexão SSH.

Conexão com VPN: SSL e PPP
ÿ Protocolo ponto a ponto sobre uma camada de soquete segura

conexão
ÿ Secure Socket Layer

ÿ Suporte integrado para autenticação de host por meio de
certificados digitais
ÿ Estabelecendo uma conexão de rede

ÿ Aperto de mão inicial para comunicação segura
ÿ As mensagens “Olá” estabelecem:
• Versão SSL, suporte para conjuntos Cipher e alguns

dados aleatórios
ÿ A chave é determinada separadamente do aperto de mão
ÿ Dados transferidos pelo link
Conexão com VPN: SSL e PPP
O protocolo ponto a ponto (PPP) sobre uma conexão Secure Socket Layer (SSL) fornece suporte integrado para
autenticação de host por meio de certificados digitais.
A seguir estão as etapas para estabelecer uma conexão de rede:
ÿ Um aperto de mão inicial é realizado para comunicação segura.
ÿ As mensagens “Hello” estabelecem a versão SSL, suporte para conjuntos de cifras e alguns aleatórios
dados.
ÿ A chave é determinada separadamente do aperto de mão.
ÿ Os dados são transferidos pelo link.

Conexão com VPN: Concentrador
Concentrador Configurando a conexão de rede
ÿ Mecanismo especializado que permite ÿ Configurar o concentrador

conexões de pares VPN
ÿ Configurar o software cliente
ÿ Valida seus clientes
ÿ Para usar VPN, o cliente deve usar software
ÿ Insiste nas políticas de segurança da VPN cliente
ÿ Reduz o custo operacional de

administração VPN e criptografia
de gateways, hosts locais
Conexão com VPN: Concentrador
Um concentrador de VPN é usado para VPNs de acesso remoto e permite o uso de um túnel criptografado para
acessar com segurança uma rede corporativa ou qualquer outro tipo de rede via Internet. Os modelos de
concentradores diferem dependendo do número de usuários e da taxa de transferência. Um concentrador de VPN
também é usado para criptografar WLAN ou tráfego com fio.
Um concentrador não deve ser confundido com um gateway ou firewall. É um dispositivo especializado que recebe
uma conexão de pares VPN autenticando-os. Ele aplica as políticas de segurança com relação à rede privada virtual.
Ele elimina a sobrecarga de gerenciamento e criptografia de VPN de gateways e hosts locais. Além disso, reduz o
custo operacional de administração da VPN. Para configurar uma conexão de rede, o usuário deve configurar o
concentrador e configurar o software cliente; para usar a VPN, o usuário deve usar o software cliente.

Fluxo do módulo

Entenda diferente
Segurança

9 Software
Discutir Gerenciamento de Incidentes e Eventos de Segurança (SIEM)

Hoje, as organizações precisam proteger seus ativos de TI contra violações de dados devido a ameaças
internas e externas. Para atender aos rígidos requisitos de conformidade e para identificação e mitigação de
ameaças, as organizações devem auditar as informações que passam por sua rede corporativa.
Os sistemas de gerenciamento de incidentes e eventos de segurança (SIEM) são usados para gerenciar e
armazenar uma enorme coleção de dados de log de diferentes fontes, como redes, aplicativos, dispositivos,
segurança e atividade do usuário em tempo real. O SIEM realiza monitoramento e detecção em tempo real de
eventos de segurança, análise forense e pós-incidente, auditoria e segurança de TI e relatórios de conformidade
regulatória. Assim, o SIEM é altamente importante na segurança da rede.

Gerenciamento de Incidentes e Eventos de Segurança (SIEM)
ÿ SIEM executa SOC (Centro de Operações de Segurança) em tempo real

1 funções como identificação, monitoramento, registro, auditoria e análise
de incidentes de segurança
ÿ Fornece segurança rastreando o comportamento suspeito do usuário final

2 atividades dentro de um ambiente de TI em tempo real
ÿ Fornece serviços de gerenciamento de segurança combinando informações de segurança

Gerenciamento (SIM) e Gerenciamento de eventos de segurança (SEM)
3 ÿ SIM suporta armazenamento permanente, análise e relatórios de dados de log
ÿ SEM lida com monitoramento em tempo real, correlação de eventos,

notificações e exibições do console
Gerenciamento de Incidentes e Eventos de Segurança (SIEM)
O gerenciamento de incidentes e eventos de segurança (SIEM), também conhecido como informações de segurança
e gerenciamento de eventos, executa funções de centro de operações de segurança (SOC) em tempo real, como
identificação, monitoramento, registro, auditoria e análise de incidentes de segurança. Ele executa atividades de
detecção de ameaças e resposta a incidentes de segurança. O SIEM fornece segurança rastreando atividades
suspeitas de comportamento do usuário final em um ambiente de TI em tempo real.
O SIEM fornece serviços de gerenciamento de segurança combinando gerenciamento de informações de segurança

(SIM) e gerenciamento de eventos de segurança (SEM). SIM suporta o armazenamento permanente, análise e relatório
de dados de log. SEM lida com monitoramento em tempo real, correlação de eventos, notificações e visualizações de
console. O SIEM protege os ativos de TI de uma organização contra violações de dados devido a ameaças internas e
externas.

Arquitetura SIEM
Entrada do sistema
Dados do evento Dados contextuais
Dispositivos
Operativo Varreduras de Vulnerabilidade
Sistemas, Segurança Rede Informação do usuário

Dispositivos Dispositivos
Formulários,
Informações de ativos
Servidores, FW, AV, IDS/ Roteador,
IPS, HIPS Interruptor, VPN
bancos de dados
Inteligência de Ameaças
Coleção de dados Regras de Correlação

Normalização
SIEM Agregação de dados
Saída do sistema
Registro Registro Tempo real Tempo real

Painéis Relatórios
Análise forense Monitoramento Alerta
Arquitetura SIEM
A tecnologia SIEM fornece serviços SEM e SIM. O SEM oferece suporte ao gerenciamento de ameaças e tratamento
de incidentes de segurança, coletando e analisando informações de eventos de diferentes fontes de dados em tempo
real. O SIM suporta gerenciamento e análise de log, monitoramento de conformidade e investigação forense de dados
registrados.
O SIEM aplica normalização e agregação a dados de eventos e dados contextuais coletados de diferentes fontes
internas e externas, como aplicativos de negócios, sistemas operacionais, dispositivos de rede, terminais,
gerenciamento de acesso, malware, vulnerabilidades e informações de identidade. As regras de correlação são
aplicadas aos dados normalizados para detectar incidentes de segurança. O SIEM monitora o acesso a servidores e
bancos de dados, realiza o monitoramento da atividade do usuário em vários sistemas e aplicativos em tempo real e
fornece proteção contra várias ameaças internas e externas.

Figura 5.94: arquitetura SIEM

Funções SIEM
1 Coleta de logs e análise de logs 7 Agregação de dados
Correlação de eventos
2 8 Alerta em tempo real
Monitoramento de atividades do
3 Log forense 9 usuário e painéis
4 Conformidade e relatórios de TI 10 Monitoramento de Integridade de Arquivos
Registro do sistema e do dispositivo

5 Monitoramento de registro de aplicativo 11 Monitoramento
6 Auditoria de Acesso a Objetos 12 Retenção de registro
Funções SIEM
ÿ Coleta de log: o SIM coleta e registra dados de diferentes fontes, como redes, aplicativos, dispositivos e atividade
do usuário em tempo real em um repositório central para análise e geração de relatórios.
ÿ Análise de Log: SEM realiza monitoramento e análise em tempo real de incidentes de segurança.
O SIEM monitora todas as políticas de segurança, mecanismos (confidencialidade, autenticação, autorização,
etc.) e dispositivos e aplicativos (IDS/IPS, firewall, etc.) em tempo real. Ele detecta atividades maliciosas e
emite alertas sobre eventos relacionados à segurança.
ÿ Correlação de eventos: o SIEM realiza correlação de eventos em tempo real e alerta analistas e administradores
para proteger a rede corporativa contra ameaças internas e externas.
O SIEM usa regras para correlacionar eventos dentro de um período de tempo para entender as inter-relações
entre os eventos e emitir alertas para invasões e ameaças internas.
ÿ Forense de log: o SIEM coleta, registra e rastreia informações de diferentes recursos na rede corporativa. Além
disso, ele realiza análises forenses e gera vários relatórios forenses, como relatórios de atividade do usuário,
relatórios de conformidade e relatórios de auditoria.
ÿ Conformidade e relatórios de TI: o SIEM garante a conformidade em tempo real com vários regulamentos do
setor, como FISMA, PCI/DSS e HIPAA. Ele coleta automaticamente as informações necessárias para o
cumprimento das políticas organizacionais e governamentais e gera relatórios de conformidade.
ÿ Monitoramento de log de aplicativos: SIEM monitora arquivos de log de vários sistemas operacionais,
servidores e aplicativos da web e gera relatórios de análise quando eventos de segurança são detectados.

ÿ Auditoria de acesso a objetos: o SIEM coleta e gerencia com eficácia todos os logs de auditoria de acesso a objetos no
repositório central. Isso ajuda a rastrear tentativas bem-sucedidas e malsucedidas de acessar recursos organizacionais.
ÿ Agregação de dados: Usando a agregação de dados, o SIEM agrega todos os eventos semelhantes em um relatório
resumido. Este relatório ajuda os analistas de segurança a investigar melhor vários eventos relacionados à segurança
de forma eficaz.
ÿ Alerta em tempo real: o SIEM emite notificações em tempo real por meio de métodos como painéis intuitivos, e-mails ou
mensagens de texto para alertar os analistas sobre eventos de segurança.
ÿ Monitoramento da atividade do usuário: o SIEM rastreia o comportamento suspeito do usuário e gera relatórios de
atividade do usuário. Ele fornece monitoramento de atividade de usuário, monitoramento de atividade de usuário
privilegiado e relatórios de auditoria.
ÿ Painéis: SIEM utiliza painéis para informar os analistas e administradores de segurança para tomar ações defensivas
rapidamente e tomar as decisões corretas durante eventos de segurança.
ÿ Monitoramento da integridade do arquivo: No SIEM, o monitoramento da integridade do arquivo garante o

monitoramento em tempo real e a integridade dos dados confidenciais para atender aos requisitos de conformidade.
Ele ajuda os analistas e administradores de segurança a registrar, acessar e alterar arquivos e pastas do sistema,
como arquivos do sistema operacional, arquivos de configuração do sistema, software instalado e processos em
execução. Ele gera relatórios sobre todas as alterações nos arquivos e pastas do sistema e emite alertas em tempo
real quando um usuário não autorizado tenta acessar quaisquer arquivos ou pastas confidenciais.
ÿ Monitoramento de log de sistema e dispositivo: o SIEM fornece monitoramento estático e dinâmico de sistemas e
redes empresariais. Ele analisa os dados de log para identificar atividades suspeitas relacionadas ao comprometimento
do sistema. Ele coleta, correlaciona e avalia dinamicamente dados de sistemas e dispositivos heterogêneos na rede
para detectar ataques o mais cedo possível, antes de qualquer dano significativo aos recursos da empresa.
ÿ Retenção de log: o SIEM armazena os dados registrados em um repositório central por longos períodos para atender
aos requisitos regulamentares e de conformidade e para conduzir análises forenses, investigações e auditorias
internas. Os dados de log armazenados no repositório central são geralmente criptografados e com registro de data e
hora para proteger os dados contra adulteração.

Soluções SIEM
Uma solução SEIM orientada por análises que fornece o que você precisa para detectar
Splunk ES
e responder rapidamente a ataques internos e externos
ArcSight ESM
https:// www.microfocus.com
IBM QRadar SIEM

https:// www.ibm.com
AlienVault OSSIM
https:// cybersecurity.att.com
FortiSIEM
https:// www.fortinet.com
SolarWinds Security Event

Manager (SEM) https://
https:// www.splunk.com www.solarwinds.com
Soluções SIEM
ÿ Splunk Enterprise
Fonte: https:// www.splunk.com
O Splunk Enterprise Security (ES) é uma solução SEIM orientada por análises que fornece as informações
necessárias para detectar e responder rapidamente a ataques internos e externos.
o Ele automatiza a coleta, indexação e alerta de dados de máquina em tempo real que são críticos para as operações
de uma organização.
o Descobre insights acionáveis de todos os dados, independentemente de serem ou não

estruturado ou não estruturado.
o Ele aproveita a inteligência artificial alimentada pelo aprendizado de máquina para ações
percepções.
O Splunk ES oferece às organizações a capacidade de:
o Melhorar as operações de segurança com tempos de resposta mais rápidos
o Melhore a postura de segurança obtendo visibilidade de ponta a ponta em todas as máquinas

dados
o Aumente os recursos de detecção e investigação usando análises avançadas
o Tome decisões mais bem informadas, aproveitando a inteligência de ameaças

Figura 5.95: captura de tela do Splunk Enterprise
Algumas das ferramentas SIEM adicionais estão listadas abaixo:
ÿ ArcSight ESM (https:// www.microfocus.com)

ÿ IBM QRadar SIEM (https:// www.ibm.com)
ÿ AlienVault OSSIM (https:// cybersecurity.att.com)
ÿ FortiSIEM (https:// www.fortinet.com)
ÿ SolarWinds Security Event Manager (SEM) (https:// www.solarwinds.com)

Fluxo do módulo

Entenda diferente
Segurança

9 Software
Discutir análise de comportamento do usuário (UBA)

Esta seção discute a importância e a função das soluções de análise de comportamento do usuário (UBA) na
segurança de rede.

Análise de comportamento do usuário (UBA)
UBA é o processo de rastreamento do comportamento do usuário para
01 detectar ataques mal-intencionados, ameaças potenciais e fraudes

financeiras
Ele fornece detecção avançada de ameaças em uma
02 organização para monitorar características comportamentais

específicas dos funcionários
As tecnologias UBA são projetadas para identificar variações nos

padrões de tráfego causadas por comportamentos do usuário, que podem
03 ser funcionários descontentes ou invasores mal- intencionados
Análise de comportamento do usuário (UBA)
UBA é o processo de rastreamento do comportamento do usuário para detectar ataques mal-intencionados, ameaças
potenciais e fraudes financeiras. Ele fornece detecção avançada de ameaças em uma organização para monitorar
características comportamentais específicas dos funcionários. As tecnologias UBA são projetadas para identificar
quaisquer variações incomuns nos padrões de tráfego causadas por usuários, que podem ser funcionários descontentes
ou invasores mal-intencionados. O UBA é usado como um mecanismo de defesa para lidar com usuários anômalos
comportamento para superar os problemas mais complicados enfrentados pelos profissionais de segurança hoje.
Os funcionários que trabalham em uma empresa acessam diferentes sites, ferramentas e aplicativos. Todas as suas
atividades são registradas e monitoradas. Enquanto esses aplicativos estão em execução, existe a possibilidade de um
intruso obter acesso ao sistema de TI e roubar credenciais sem o conhecimento do usuário. Quando um intruso (atacante
externo ou interno) permanece na rede da empresa como um usuário legítimo, o UBA distingue esse comportamento
incomum da conta comparando as linhas de base de comportamento do usuário e do invasor; em seguida, emite um
alerta em seu banco de dados e destaca as pontuações de risco. Quando um alerta é emitido, uma notificação é enviada
ao dispositivo pessoal do usuário para confirmação. Caso o usuário não confirme esta atividade, ela é considerada uma
falha grave de segurança. Por meio do UBA, a conta do usuário pode ser desativada pelas equipes de segurança,
dependendo da gravidade do incidente e do nível de risco.

Por que a análise de comportamento do usuário é eficaz?
1 2 3 4
Detecta internos e Identifica possíveis eventos de Analisa diferentes Monitora a geolocalização
externos maliciosos risco na TI padrões de comportamento para cada tentativa de login
em um estágio inicial a infraestrutura humano e grandes
volumes de dados do usuário
5 6 7 8
Detecta malicioso Monitora contas Fornece insights para as Produz resultados em breve
comportamento e reduz o risco privilegiadas e fornece alertas equipes de segurança após a implantação
em tempo real para
comportamento suspeito
Por que a análise de comportamento do usuário é eficaz?
ÿ Detecta internos e externos maliciosos em um estágio inicial
ÿ Identifica possíveis eventos de risco na infraestrutura de TI
ÿ Analisa diferentes padrões de comportamento humano e grandes volumes de dados do usuário
ÿ Monitora geolocalização para cada tentativa de login
ÿ Detecta comportamento malicioso e reduz o risco
ÿ Monitora contas privilegiadas e emite alertas em tempo real para insights de comportamento suspeito
para equipes de segurança
ÿ Fornece insights para equipes de segurança
ÿ Produz resultados logo após a implantação

Ferramentas UBA/UEBA
Exabeam Advanced Analytics

https:// www.exabeam.com
ÿ Análise de comportamento do usuário
(UBA)/Usuário e Entidade
As ferramentas de LogRhythm UEBA
comportamento (UEBA) coletam https:// logrhythm.com
detalhes da atividade do usuário

de várias fontes e usam
inteligência artificial e aprendizado de máquina Sistemas Dtex
https:// dtexsystems.com
(AI/ML) algoritmos para
realizar análise de
comportamento do usuário
Gurucul Risk Analytics (GRA)
para prevenir e detectar várias ameaças https:// gurucul.com
antes que a fraude seja
perpetrado
Securonix UEBA https://
www.securonix.com
Ferramentas UBA/UEBA
UBA ou ferramentas de análise de comportamento de usuário e entidade (UEBA) coletam detalhes da atividade do usuário
de várias fontes e usam inteligência artificial e algoritmos de aprendizado de máquina para executar o UBA para prevenir
e detectar várias ameaças antes que uma fraude seja perpetrada.
Listadas abaixo estão algumas das ferramentas UBA/UEBA importantes:
ÿ Exabeam Advanced Analytics (https:// www.exabeam.com)
ÿ LogRhythm UEBA (https:// logrhythm.com)
ÿ Dtex Systems (https:// dtexsystems.com)
ÿ Gurucul Risk Analytics (GRA) (https:// gurucul.com)
ÿ Securonix UEBA (https:// www.securonix.com)

Fluxo do módulo

Entenda diferente
Segurança

9 Software
Entenda vários softwares antivírus/antimalware

Um invasor usa malware para cometer fraude ou roubo online. Assim, o uso de software antimalware é
recomendado para ajudar a detectar malware, removê-lo e reparar qualquer dano que possa causar. Esta
seção lista e descreve vários softwares anti-malware (anti-Trojan e antivírus)
programas.

Software anti-troiano
Kaspersky O Kaspersky Internet Security oferece proteção
McAfee® LiveSafe
Internet contra cavalos de Tróia, vírus, spyware, ransomware, https:// www.mcafee.com
Segurança phishing e sites perigosos
Bitdefender Total Security

https:// bitdefender.com
HitmanPro
https:// www.hitmanpro.com
Malwarebytes
https:// www.malwarebytes.org
Zemana Antimalware
https:// www.zemana.com
https:// www.kaspersky.com
Software anti-troiano
O software anti-Trojan é uma ferramenta ou programa projetado para identificar e impedir que cavalos de Tróia ou
malware maliciosos infectem sistemas de computador ou dispositivos eletrônicos. As ferramentas anti-Trojan podem
empregar estratégias de varredura, bem como freeware ou ferramentas licenciadas para detectar cavalos de Tróia,
rootkits, backdoors e outros tipos de software potencialmente prejudiciais.
ÿ Kaspersky Internet Security
Fonte: https:// www.kaspersky.com
O Kaspersky Internet Security protege os dispositivos contra vários tipos de invasões devido a cavalos de
Tróia, vírus, spyware, ransomware, phishing e sites perigosos. Ele armazena senhas com segurança para
facilitar o acesso no PC, Mac e dispositivos móveis. Ele faz cópias de backup de fotos, músicas e arquivos
e também criptografa dados no PC. Além disso, bloqueia automaticamente conteúdos impróprios e ajuda
a gerir a utilização das redes sociais. Além disso, oferece segurança extra quando você faz compras ou
transações bancárias online no PC ou Mac.

Figura 5.96: captura de tela do Kaspersky Internet Security
Alguns softwares anti-Trojan adicionais são os seguintes:
ÿ McAfee® LiveSafe™ (https:// www.mcafee.com)
ÿ Bitdefender Total Security (https:// bitdefender.com)
ÿ HitmanPro (https:// www.hitmanpro.com)
ÿ Malwarebytes(https:// www.malwarebytes.org)
ÿ Zemana Antimalware (https:// www.zemana.com)

Software antivírus
Bitdefender O Bitdefender Antivirus Plus funciona contra todas as ameaças – de vírus, worms e
Antivirus Plus Trojans, ransomware, explorações de dia zero, rootkits e spyware
ClamWin
http:// www.clamwin.com
Kaspersky Antivírus
https:// www.kaspersky.com
McAfee Total Protection

https:// www.mcafee.com
Avast Premier Antivirus

https:// www.avast.com
ESET Internet Security

https:// www.eset.com
https:// www.bitdefender.com
Software antivírus
É uma boa prática para as organizações instalar a versão mais recente do software antivírus e atualizá-lo regularmente
para acompanhar a introdução de novos vírus no mercado. A atualização do software antivírus pelos respectivos
fornecedores é um processo contínuo.
ÿ Bitdefender Antivirus Plus
Fonte: https:// www.bitdefender.com
O Bitdefender Antivirus Plus funciona contra todas as ameaças, desde vírus, worms e trojans até ransomware,
exploits de dia zero, rootkits e spyware. Ele usa uma técnica chamada detecção comportamental para
monitorar de perto os aplicativos ativos. Assim que detecta atividades suspeitas, toma medidas decisivas
para prevenir a infecção. Ele detecta e bloqueia sites maliciosos que se disfarçam de sites confiáveis para
roubar dados financeiros, como senhas ou números de cartão de crédito.

Figura 5.97: Captura de tela do Bitdefender Antivirus Plus 2019
Alguns softwares antivírus adicionais são os seguintes:
ÿ ClamWin (http:// www.clamwin.com)
ÿ Kaspersky Anti-Virus (https:// www.kaspersky.com)
ÿ McAfee Total Protection (https:// www.mcafee.com)
ÿ Avast Premier Antivirus (https:// www.avast.com)
ÿ ESET Internet Security (https:// www.eset.com)

Resumo do Módulo
ÿ Este módulo discutiu a segmentação de rede e seus tipos
ÿ Este módulo apresentou a você os diferentes tipos de firewalls e

seus papéis
ÿ Também discutiu os diferentes tipos de IDS/IPS e suas funções
ÿ Este módulo também explica detalhadamente os diferentes tipos de

potes de mel
ÿ Também explicou os diferentes tipos de servidores proxy e seus

benefícios
ÿ Este módulo explicou brevemente os fundamentos da VPN e seus

importância na segurança da rede
ÿ Também discutiu as soluções SIEM e SIEM
ÿ Finalmente, este módulo terminou com uma visão geral sobre

vários softwares antivírus/antimalware
ÿ No próximo módulo, discutiremos em detalhes os conceitos de virtualização e

computação em nuvem
Resumo do Módulo
Este módulo discutiu a segmentação de rede e seus tipos. Ele introduziu os diferentes tipos de firewalls e suas
funções. Além disso, discutiu os diferentes tipos de IDS/IPS e suas funções.
Este módulo também explicou em detalhes os diferentes tipos de honeypots. Além disso, explicou os diferentes
tipos de servidores proxy e seus benefícios. Ele também explicou brevemente os fundamentos da VPN e sua
importância na segurança da rede. Além disso, discutiu soluções SIEM e SIEM. Finalmente, este módulo
apresentou uma visão geral de vários softwares antivírus/antimalware.
No próximo módulo, discutiremos os conceitos de virtualização e computação em nuvem em detalhes.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 06
Virtualização e C om puta ção em Nuv e m

Virtualização e Computação em Nuvem
Noções básicas sobre virtualização, seus componentes e virtualização
01 Facilitadores
02 Compreendendo a segurança e as preocupações da virtualização do sistema operacional
03 Compreendendo as práticas recomendadas para segurança de virtualização de SO
04 Entendendo a computação em nuvem e seus benefícios
05 Visão geral dos diferentes tipos de serviços de computação em nuvem
06 Visão geral dos modelos de implantação de nuvem
Entendendo a importância da segurança na nuvem e suas práticas recomendadas

08
Ambientes de TI modernos usam virtualização de servidor, virtualização de rede, virtualização de
armazenamento e virtualização de desktop para provisionamento rápido de ambientes de rede e para
acompanhar as tecnologias modernas. A virtualização vem mudando os conceitos de segurança nos
ambientes modernos de TI, pois os vários desafios de segurança associados à virtualização são únicos e
distintos dos ambientes convencionais.
A computação em nuvem é uma tecnologia emergente que fornece serviços de computação, como aplicativos
de negócios on-line, armazenamento de dados on-line e webmail pela Internet. A implementação da nuvem
permite uma força de trabalho distribuída, reduz as despesas da organização, fornece segurança de dados
etc. Devido a esses benefícios, muitas organizações empresariais recentemente migraram seus dados e
infraestrutura para a nuvem. No entanto, o ambiente de nuvem também apresenta muitas ameaças e riscos
para as organizações.
Este módulo discute conceitos e tecnologias de virtualização, como virtualização de rede, redes definidas por
software e virtualização de função de rede, bem como sua segurança. Este módulo também explica os vários
aspectos da segurança da nuvem corporativa que são importantes para uma organização armazenar ou
processar dados com segurança na nuvem. Além disso, este módulo discute vários elementos de segurança
na nuvem, como identidade do usuário e gerenciamento de acesso (IAM), criptografia e gerenciamento de
chaves, segurança em nível de aplicativo, segurança de armazenamento de dados, monitoramento, registro
e conformidade para proteger dados confidenciais na nuvem.
ÿ Compreender a virtualização, seus componentes e capacitadores de virtualização
ÿ Entenda as preocupações e segurança da virtualização do sistema operacional

ÿ Compreender as melhores práticas para segurança de virtualização de SO
ÿ Explicar a computação em nuvem e seus benefícios
ÿ Compreender os diferentes tipos de serviços de computação em nuvem
ÿ Explicar os modelos de implantação de nuvem
ÿ Compreender a importância da segurança na nuvem e suas melhores práticas

Fluxo do módulo
Entenda a virtualização
Conceitos essenciais e sistema operacional 1

Segurança de virtualização
Entenda a Nuvem
2 Fundamentos de computação
Discuta as percepções de
Segurança na nuvem e melhor 3
Práticas
Entenda os conceitos essenciais de virtualização e a virtualização do sistema operacional

Segurança
O objetivo desta seção é explicar os conceitos de virtualização, os tipos de virtualização, os vários componentes
da virtualização, os vários capacitadores da tecnologia de virtualização, a segurança e as preocupações com a
virtualização do sistema operacional e as práticas recomendadas.

ÿ A virtualização refere-se a uma representação virtual baseada em software de

uma infraestrutura de TI que inclui rede, dispositivos, aplicativos,
armazenamento, etc
virtualização
ÿ A estrutura de virtualização divide os recursos físicos que são
tradicionalmente vinculados ao hardware, em vários ambientes
simulados individuais
Arquitetura virtual Arquitetura Tradicional
Inscrição Inscrição Inscrição Inscrição

Formulários
Operativo Operativo Operativo Operativo
Sistema Sistema Sistema Sistema Sistema operacional
Infraestrutura virtual HARDWARE
Rede
Rede Servidor Armazenar
Servidor Armazenar
Virtualização (continuação)
virtualização Níveis de Tipos de

virtualização virtualização
Abordagens
ÿ Virtualização completa ÿ Virtualização de dispositivos de armazenamento ÿ Virtualização do sistema operacional
ÿ Virtualização assistida por SO ou Para ÿ Virtualização do sistema de arquivos ÿ Virtualização de rede

virtualização
ÿ Virtualização de Servidores ÿ Virtualização de Servidores

ÿ Virtualização assistida por hardware
ÿ Virtualização de malha ÿ Virtualização de desktop

ÿ Virtualização Híbrida
virtualização
A arquitetura de virtualização pode ser melhor ilustrada comparando-a com a arquitetura tradicional. Na arquitetura
tradicional, a infraestrutura de hardware (máquina hospedeira) roda um único sistema operacional no qual todas as
aplicações são executadas.

Figura 6.1: Arquitetura Tradicional
A figura acima ilustra a arquitetura tradicional. Na figura, uma única instância de um sistema operacional,
com um conjunto de aplicativos, utiliza completamente a infraestrutura de hardware de 32 bits disponível. O
sistema operacional host interage diretamente com o hardware para solicitar recursos do sistema.
Por outro lado, na arquitetura de virtualização, a plataforma de hardware (máquina host) é usada para
executar vários conjuntos de sistemas operacionais virtuais (SOs convidados) e seus aplicativos.
Figura 6.2: Arquitetura de Virtualização
A figura acima ilustra a arquitetura de virtualização. Conforme mostrado na figura, a camada de virtualização
atua como middleware entre os sistemas operacionais e o hardware do computador. Ele particiona
logicamente os recursos de hardware com base nas solicitações recebidas do host e dos sistemas
operacionais convidados. O sistema operacional host interage diretamente com o hardware do computador,
mas os sistemas operacionais convidados interagem por meio da camada de virtualização.

Abordagens de virtualização
Várias abordagens podem ser adotadas para alcançar a virtualização, conforme descrito abaixo:
ÿ Virtualização Completa: Nesse tipo de virtualização, o sistema operacional convidado não sabe que está sendo
executado em um ambiente virtualizado. Ele envia comandos para o gerenciador de máquina virtual (VMM) para
interagir com o hardware do computador. O VMM então traduz os comandos para instruções binárias e os encaminha
para o sistema operacional host. Os recursos são alocados para o sistema operacional convidado por meio do VMM.
ÿ Virtualização assistida por SO ou Paravirtualização: Nesse tipo de virtualização, o SO convidado está ciente do
ambiente virtual em que está sendo executado e se comunica com a máquina host para solicitar recursos. Os comandos
são traduzidos em código binário pelo sistema operacional convidado para o hardware do computador. O VMM não
está envolvido nas operações de solicitação e resposta.
ÿ Virtualização assistida por hardware: Arquiteturas modernas de microprocessadores possuem instruções especiais
para auxiliar na virtualização de hardware. Essas instruções permitem que o sistema operacional convidado execute
instruções privilegiadas diretamente no processador. O sistema operacional trata as chamadas do sistema como
programas do usuário.
ÿ Virtualização Híbrida: Neste tipo de virtualização, o sistema operacional convidado adota a funcionalidade de
paravirtualização e usa o VMM para tradução binária para diferentes tipos de recursos de hardware.
Além disso, o projeto de um ambiente virtual pode incorporar vários níveis de virtualização.
A seguir estão alguns níveis de virtualização que um ambiente virtual pode aproveitar.
ÿ Virtualização de dispositivo de armazenamento: é a virtualização de dispositivos de armazenamento usando técnicas

como distribuição de dados e espelhamento de dados. O RAID é um exemplo de virtualização de armazenamento, no
qual vários dispositivos de armazenamento são combinados em uma única unidade lógica.
ÿ Virtualização do sistema de arquivos: Refere-se à virtualização de dados no nível do sistema de arquivos. Facilita a
conveniência de compartilhamento e proteção de dados dentro do software.
Os pools de dados virtualizados manipulam arquivos e dados com base na demanda do usuário.
ÿ Virtualização do Servidor: A virtualização no nível do servidor permite a partição (ou virtualização) do ambiente do
sistema operacional do servidor. Isso envolve o particionamento lógico do disco rígido do servidor.
ÿ Virtualização de Fabric: Este nível de virtualização torna os dispositivos virtuais independentes do hardware do
computador físico. Ele cria um enorme conjunto de áreas de armazenamento para diferentes máquinas virtuais em
execução no hardware. A tecnologia de rede de área de armazenamento (SAN) é usada para obter a virtualização no
nível da malha.
Tipos de Virtualização
ÿ Virtualização do sistema operacional: esse tipo de virtualização permite que o hardware execute vários sistemas
operacionais simultaneamente, permitindo assim que o usuário execute aplicativos que requerem diferentes sistemas
operacionais em um único sistema. Isso está feito

diretamente no kernel do sistema operacional, o que não apenas reduz os custos de hardware, mas
também economiza tempo gasto na atualização de software em várias máquinas.
ÿ Virtualização de rede: a virtualização foi além de apenas as capacidades de servidor e armazenamento

e agora abrange também a rede. Enquanto os recursos reais de hardware eram visíveis e alocados
para software em redes tradicionais, a virtualização de rede cria uma abstração desses recursos de
rede. Na virtualização de rede, várias redes físicas são combinadas em uma única rede virtual
baseada em software ou uma única rede física é dividida e existe como várias redes virtuais
independentes.
ÿ Virtualização de servidor: é a virtualização de recursos de servidor, como servidores físicos,

processadores e sistemas operacionais. Esse processo permite a criação e abstração de várias
máquinas virtuais em um único servidor. Cada máquina virtual funciona de forma independente e
executa seu próprio sistema operacional.
ÿ Virtualização de desktop: Nesta tecnologia de virtualização, a instância do sistema operacional, que

representa o desktop do usuário, está localizada em um servidor central na nuvem. Isso permite que
o usuário controle a área de trabalho na nuvem e use qualquer dispositivo para acessá-la. Os dados
e arquivos não são armazenados no sistema com o qual o usuário acessa a área de trabalho, mas
sim na nuvem. Os desktops virtualizados podem ser acessados por meio de um servidor e são
hospedados em um servidor central remoto, que pode ser um cluster de computadores, permitindo
assim que o usuário mantenha um desktop em um único servidor central ou nuvem. A virtualização
de desktop reduz o custo de propriedade e o tempo de inatividade, permite o gerenciamento
centralizado e pode aumentar a segurança.

Componentes de virtualização
01 Hypervisor / Virtual Machine Monitor ÿ Um
aplicativo ou firmware que permite que vários sistemas
operacionais convidados compartilhem os recursos de hardware de um host Máquina virtual Máquina virtual
H/W Virtual
02 Máquina Convidada / Máquina Virtual
Armazenamento
Virtual
H/W Virtual
ÿ Instância independente de um sistema operacional criado pelo OS OS

monitor da máquina virtual gerenciamento
Console
de
gerenciamento
servidor
de
aplicativos
aplicativos
03 Máquina Host/Máquina Física
ÿ Máquina física real que fornece recursos de computação para dar Rede virtual
suporte a máquinas virtuais
Monitor de máquina virtual (VMM)
04 Management Server
hipervisor
ÿ Componentes da plataforma de virtualização usados para
gerenciar as máquinas virtuais Máquina Física ou Host
05 Console de gerenciamento
ÿ Interface usada para acessar, configurar e gerenciar o
produto de virtualização
Componentes de virtualização
Os componentes básicos da virtualização incluem,
ÿ Hypervisor/Virtual Machine Monitor: Um aplicativo ou firmware que permite vários

sistemas operacionais convidados para compartilhar os recursos de hardware de um host.
ÿ Máquina convidada/máquina virtual: Instâncias independentes de sistemas operacionais criadas por

um monitor de máquina virtual (VMM). Com os recursos fornecidos, a máquina convidada funciona
como se fosse uma máquina física real.
ÿ Host/máquina física: máquina física real que fornece recursos de computação para dar suporte a
máquinas convidadas. É o componente servidor da máquina virtual que suporta a máquina convidada.
ÿ Management Server: Componentes da plataforma de virtualização usados para gerenciar diretamente

as máquinas virtuais e simplificar a administração de recursos.
ÿ Management Console: Componente usado para acessar, configurar e usar a interface de gerenciamento
do produto de virtualização
ÿ Componentes de Rede: Componentes para criar uma rede virtual para dar suporte a máquinas virtuais.
Firewalls, balanceadores de carga, armazenamento, switches, placas de interface de rede, etc. são
exemplos de componentes de uma rede virtual.
ÿ Armazenamento Virtual: Componentes para abstrair o armazenamento físico em um único dispositivo de armazenamento.
Isso permite que os vários sistemas presentes na máquina host usem o armazenamento disponível
entre si.

Figura 6.3: Componentes da virtualização

Habilitadores de virtualização
Programas
Definiram
Rede
(SDN)
Rede
Função
virtualização
Rede
(NFV)
Virtualização (NV)
Habilitadores de virtualização
Alguns exemplos de tecnologias pelas quais a virtualização pode ser realizada são virtualização de rede (NV), rede
definida por software (SDN) e virtualização de função de rede (NFV).
Essas tecnologias são os principais facilitadores responsáveis pela criação de ambientes virtuais. Eles ajudam na
criação de redes lógicas e virtuais desacopladas do hardware de rede subjacente, e essas redes virtuais podem ser
integradas a ambientes virtuais. As redes virtuais podem ser executadas independentemente em uma rede física em
um hypervisor. A rede definida por software (SDN) e a virtualização de funções de rede (NFV) são responsáveis por
desacoplar os planos de controle e encaminhamento. Essas tecnologias combinam hardware e software para criar
uma rede totalmente definida por software que permite provisionamento e gerenciamento mais simples de recursos
de rede e desempenha um papel fundamental na virtualização.

Fornecedores comuns de virtualização
VMware ESXi Hipervisor Citrix Ferro Virtual Microsoft VirtualBox

(https:// www.vmware.com) (https:// www.citrix.com) (https:// www.oracle.com) (https:// www.virtualbox.org)
Servidor Hyper-V
(https:// www.microsoft.com)
Fornecedores comuns de virtualização
Um hipervisor é um software que executa e gerencia máquinas virtuais. Existem muitos hipervisores populares,
fornecidos por vários fornecedores. Eles incluem,
ÿ VMware ESXi
Fonte: https:// www.vmware.com
O VMware ESXi particiona efetivamente o hardware para consolidar aplicativos e cortar custos com acesso
direto e controle dos recursos subjacentes. Ele é instalado diretamente em um servidor físico. O VMware
ESXi permite,
o Consolidação de hardware para maior utilização da capacidade.
o Melhor desempenho para uma vantagem competitiva.
o Simplificação da administração de TI por meio de gerenciamento centralizado.
o Redução das despesas de capital (CapEx) e das despesas operacionais (OpEx).
o Minimização dos recursos de hardware necessários para executar o hipervisor, resultando em maior
eficiência.
ÿ Hipervisor Citrix
Fonte: https:// www.citrix.com
A plataforma de gerenciamento de virtualização Citrix Hypervisor é otimizada para infraestruturas de

virtualização de aplicativos, desktops e servidores. Ele permite que organizações de qualquer vertical ou
tamanho transformem suas infraestruturas computacionais de TI de negócios.

ÿ Ferro Virtual
Fonte: https:// www.oracle.com
A Virtual Iron fornece software de classe empresarial para virtualização de servidores e gerenciamento de
infraestrutura virtual. Com recursos avançados fornecidos pelo Virtual Iron, os usuários
posso:
o Virtualize as cargas de trabalho de classe empresarial executadas em sistemas operacionais Windows e

Linux não modificados.
o Melhore a utilização dos sistemas atuais e reduza os problemas de energia, espaço e resfriamento por
meio da consolidação do servidor.
o Configure rapidamente os ambientes de desenvolvimento, teste e produção.
o Recupere-se de falhas de forma rápida, confiável e econômica.
o Combine a capacidade de recursos com as demandas de carga de trabalho automaticamente.
o Reduza o trabalho humano e os erros por meio da automação baseada em políticas.
ÿ Servidor Microsoft Hyper-V
Fonte: https:// www.microsoft.com
O Hyper-V no Windows Server permite a criação de um ambiente de computação virtualizado para criar e
gerenciar máquinas virtuais. Vários sistemas operacionais podem ser executados em um computador físico
e os sistemas operacionais podem ser isolados uns dos outros.
ÿ VirtualBox
Fonte: https:// www.virtualbox.org
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
O VirtualBox é um produto rico em recursos e de alto desempenho para clientes corporativos e é a única
solução profissional disponível gratuitamente como software de código aberto sob os termos da GNU General
Public License (GPL) versão 2.

Virtualização do sistema operacional
Segurança e Preocupações
Preocupações e segurança da virtualização do sistema operacional
Na virtualização do sistema operacional, o kernel do sistema operacional do host é virtualmente replicado em

várias instâncias de espaço de usuário isolado, chamados contêineres, contêineres de software ou mecanismos
de virtualização, emprestando assim a funcionalidade do sistema operacional (virtualizado) para cada contêiner.
Um contêiner é amplamente utilizado para encapsular um aplicativo e suas dependências em seu próprio ambiente
e é executado isoladamente de outros contêineres e aplicativos, utilizando os mesmos recursos e sistema
operacional. Esta seção discute vulnerabilidades, ataques e desafios de segurança associados a contêineres. A
seção também explica vulnerabilidades, ataques e desafios de segurança associados ao Docker e ao Kubernetes,
que são amplamente usados para desenvolver, empacotar, executar e gerenciar aplicativos e todas as suas
dependências na forma de contêineres.

Recipiente
ÿ Virtualização baseada em um sistema operacional, na qual a funcionalidade do sistema operacional do kernel é replicada em várias
instâncias de espaço de usuário isolado, chamadas de contêineres, contêineres de software ou mecanismos de virtualização
ÿ Contêineres como serviço (CaaS) inclui a virtualização de contêineres e o gerenciamento de contêineres por meio de
orquestradores
ÿ Usando CaaS, os assinantes podem desenvolver aplicativos conteinerizados avançados e escaláveis por meio da nuvem ou de dados no local
centros
Orquestração de Contêineres
Motor de contêiner Orquestração de Contêineres
Programas
ÿ Ambiente gerenciado para ÿ Um processo automatizado de

implantação de aplicativos gerenciamento dos ciclos de
conteinerizados vida dos contêineres de software Docker Swarm TURNO ABERTO Kubernetes
e sua dinâmica
meio Ambiente
Recipiente
Contêineres (também chamados de contêineres de software ou mecanismos de virtualização) referem-se à

virtualização baseada em um sistema operacional, na qual a funcionalidade do sistema operacional do kernel é
replicada em várias instâncias de espaço de usuário isolado.
Isso pode ser usado, por exemplo, em um ambiente de hospedagem virtual que requer segmentação dos recursos
físicos entre vários usuários para permitir que cada usuário tenha seu próprio espaço virtual. Os contêineres ajudam
a gerenciar os usuários e seus respectivos recursos, mantendo-os isolados. Os contêineres são monitorados e
gerenciados pelo administrador com direitos totais de administrador para todos os contêineres.
Muitos problemas de virtualização são efetivamente resolvidos com a conteinerização. Na conteinerização, embora
cada instância do espaço do usuário seja executada isoladamente, os recursos não são desperdiçados, pois o
sistema operacional real é executado independentemente dos contêineres. Um contêiner encapsula um aplicativo
e suas dependências em seu próprio ambiente enquanto utiliza os mesmos recursos e sistema operacional de
outros contêineres. Em comparação com as VMs, cada imagem de contêiner é migrada e compartilhada com mais
facilidade por causa de seus tamanhos menores. Como apenas um sistema operacional está envolvido, um
contêiner pode ser facilmente mantido. Os contêineres também minimizam os custos de hardware, pois vários
aplicativos são executados no mesmo hardware, aumentando a utilização do hardware.
A seguir estão alguns serviços e tecnologias que podem ser usados para implantar e gerenciar contêineres.
ÿ Contêineres como serviço (CaaS): Refere-se a serviços que permitem a implantação de contêineres e o
gerenciamento de contêineres por meio de orquestradores. Usando CaaS, os assinantes podem
desenvolver aplicativos conteinerizados avançados e escaláveis por meio da nuvem ou de dados no local
centros.

ÿ Mecanismo de contêiner: um mecanismo de contêiner pode ser usado para criar, adicionar e
remover contêineres de acordo com os requisitos. Ele gerencia o ambiente para implantação de
aplicativos em contêineres.
ÿ Orquestração de contêineres: refere-se a um processo automatizado de gerenciamento dos ciclos

de vida de contêineres de software e seu ambiente dinâmico. Atualmente, os orquestradores de
contêiner de código aberto disponíveis são Kubernetes e Docker Swarm, e um orquestrador de
contêiner comercial é o OpenShift da Red Hat.

Arquitetura de Tecnologia de Contêineres
Hospede com
Administrador Administrador Recipientes
Desenvolvedor
Hospede com
Recipientes
Desenvolvedor interno
Teste e Registro
acreditação
Hospede com
Sistemas
Recipientes
Externo orquestrador
Registro
Desenvolvedor
Criação de imagem, teste e Implantação e Gerenciamento de

Armazenamento e Recuperação de Imagem
acreditação Recipiente
Arquitetura de Tecnologia de Contêineres
A arquitetura de tecnologia de contêiner compreende os cinco níveis a seguir:
ÿ O desenvolvedor cria as imagens e as envia para teste e credenciamento.
ÿ Os sistemas de teste e acreditação validam, verificam e assinam as imagens e as enviam para o

registro.
ÿ Nos registros, as imagens são armazenadas e distribuídas mediante solicitação de um orquestrador.
ÿ Nos orquestradores, as imagens são convertidas em contêineres e implantadas nos hosts.
ÿ O host executa e para os contêineres na direção do orquestrador.
Figura 6.4: Arquitetura de tecnologia de contêiner

Tipos de Contêineres
Contêineres do sistema operacional Contêineres de aplicativos
ÿ Contêineres usados como um sistema operacional e ÿ Contêineres usados para executar um único aplicativo
executam vários serviços
ÿ Um contêiner contém o aplicativo, seu
ÿ Exemplos: LXC, OpenVZ, Linux Vserver, BDS dependências e arquivo de requisitos de hardware
Prisões, Solaris Zones
ÿ Exemplos: Docker, Rocket
Tipos de Contêineres
ÿ Contêineres do sistema operacional: os contêineres do sistema operacional são ambientes virtuais que
compartilham o kernel do ambiente do host que fornece espaço de usuário isolado. O usuário pode instalar,
configurar e executar diferentes aplicativos, bibliotecas etc. em contêineres do sistema operacional. Os
contêineres do sistema operacional executam vários serviços e processos. Contêineres de SO são adequados
para usuários que precisam de um sistema operacional para instalar várias bibliotecas, bancos de dados, etc.
Exemplos de contêineres de SO são LXC, OpenVZ, Linux Vserver, BSD Jails e Solaris Zones.
ÿ Contêineres de aplicativos: são contêineres usados para executar um único serviço. Eles têm sistemas de
arquivos em camadas e são construídos sobre as tecnologias de contêiner do sistema operacional. Os
contêineres de aplicativos são adequados para usuários que precisam empacotar um aplicativo e seus
componentes juntos para distribuição. Exemplos de contêineres de aplicativos são Docker e Rocket.

Contêineres v/s Máquina Virtual

Máquinas virtuais
Recipiente Máquina virtual
App1 App2 App3
Fornece virtualização no nível Fornece virtualização em nível Bins/Libs Bins/Libs Bins/Libs

do sistema operacional de hardware
SO convidado SO convidado SO convidado
Leve Peso Pesado

hipervisor
Sistema operacional host

Todos os contêineres compartilham o sistema Cada máquina virtual é executada em A infraestrutura
operacional host seu próprio sistema operacional
Recipientes
Requer menos memória
Aloca a memória necessária App1 App2 App3
espaço
Bins/Libs Bins/Libs Bins/Libs
Totalmente isolado (mais Isolamento em nível de processo
seguro) (menos seguro) Container Engine (Docker)
Sistema operacional host

Exemplo: LXC, LXD, Exemplo: VMWare, Hyper-V, vSphere,
CGManager, Docker Virtual Box A infraestrutura
Contêineres v/s Máquina Virtual
Contêineres e máquinas virtuais diminuem os requisitos de recursos e aumentam a funcionalidade.

As diferenças entre um contêiner e uma máquina virtual são as seguintes.
Recipiente Máquina virtual
Virtualização baseada em um sistema

operacional, na qual a funcionalidade do Um sistema operacional ou ambiente de
Definição sistema operacional do kernel é replicada em aplicativo executado em uma máquina física.
várias instâncias de espaço de usuário isolado.
Modelo Leve. Peso pesado.
virtualização Fornece virtualização do sistema operacional. Fornece virtualização em nível de hardware.
Espaço de memória Requer menos espaço de memória. Requer mais espaço de memória.
Segurança Isolamento em nível de processo (menos seguro). Totalmente isolado (mais seguro).
Hora de inicialização O tempo de inicialização é em milissegundos. O tempo de inicialização é em minutos.
Sistema operacional O sistema operacional do host é compartilhado. Cada VM tem seu próprio sistema operacional.
Exemplos: LXC, LXD, CGManager, Docker. Exemplos: VMware, Hyper-V, vSphere, Virtual Box.
Provedores
Tabela 6.1: Contêineres x Máquinas Virtuais

Figura 6.5: Máquina virtual
Figura 6.6: Contêiner

Docker
ÿ Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas
dependências na forma de contêineres, para garantir que o aplicativo funcione em um ambiente integrado ÿ Docker
fornece uma plataforma como serviço (PaaS) por meio da virtualização no nível do sistema operacional e entrega contêineres
pacotes de software
Docker Engine Arquitetura Docker
Cliente
Gerencia
Gerencia Docker CLI Host do Docker Registro
Cliente
Recipientes API Rest Imagens
DAEMON
Docker
Construir
Servidor
daemon Docker
Gerencia
Docker Gerencia Puxar
Rede
Dados
Volumes Docker
Corre
Construir
Puxar
Recipientes Imagens Corre
Docker
Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as
suas dependências na forma de contêineres, para garantir que cada aplicativo funcione em um ambiente integrado.
O Docker fornece plataforma como serviço (PaaS) por meio da virtualização no nível do sistema operacional e
entrega pacotes de software em contêineres.
Docker Engine: Este é um aplicativo instalado na máquina host e usa os seguintes componentes para desenvolver,
montar, enviar e executar aplicativos.
ÿ Docker Daemon: gerencia as imagens, contêineres, redes e volume de armazenamento do Docker e processa
as solicitações da API do Docker. Ele é responsável pelas ações relacionadas ao contêiner e se comunica
com outros daemons para gerenciar seus serviços.
ÿ API REST do Docker Engine: Esta API é usada por um aplicativo para se comunicar com o
Servidor do Docker.
ÿ Docker CLI: Esta é uma interface de linha de comando usada para interagir com o daemon do Docker.
Usando a CLI, os usuários podem executar comandos (criar, executar e interromper aplicativos) para um
daemon do Docker.
Mecanismo de trabalho dos sistemas Docker: O cliente Docker interage com o daemon Docker usando uma API
REST por meio de soquetes Unix ou uma interface de rede. O cliente Docker e o daemon Docker podem ser
executados no mesmo sistema ou o usuário pode conectar um cliente Docker a um daemon Docker remoto.

Arquitetura Docker: A arquitetura Docker é baseada em um modelo cliente-servidor e possui os seguintes

componentes:
ÿ Docker Client: Isso permite que os usuários se comuniquem com o ambiente Docker.
A principal função do cliente Docker é recuperar as imagens do registro e executá-las no host Docker. Alguns
dos comandos comuns do cliente Docker são:
docker build
docker pull
docker run
ÿ Docker Host: fornece ao usuário um ambiente para executar um aplicativo. O host do Docker consiste em
daemon, imagens, contêineres, redes e armazenamento do Docker. Os componentes a seguir são objetos do
host do Docker.
ÿ Imagens: Uma imagem é um modelo binário somente leitura para construir um contêiner. As imagens são
usadas para construir um contêiner ou para configurar o contêiner com recursos adicionais. Os recursos e
requisitos do contêiner dependem dos metadados das imagens. As imagens do Docker são hospedadas pelos
registros do Docker.
ÿ Contêineres: Um contêiner é um ambiente encapsulado para executar um aplicativo. O acesso de um contêiner

aos recursos é definido pela imagem. O usuário também pode criar uma nova imagem dependendo do estado
do contêiner.
ÿ Rede: o Docker possui drivers de rede para oferecer suporte a contêineres de rede. Ele implementa a rede de
maneira orientada a aplicativos.
ÿ Registros do Docker: são serviços que fornecem locais para armazenamento e download
imagens. Ao trabalhar com registros, os comandos usados com frequência são:
docker push
puxador de encaixe
docker run
Figura 6.7: Mecanismo Docker

Figura 6.8: Arquitetura do Docker

Docker Networking
ÿ O Docker conecta vários contêineres e serviços ou outros
cargas de trabalho não Docker juntas
ÿ A arquitetura de rede Docker é desenvolvida em um conjunto de interfaces
conhecidas como Container Network Model (CNM) ÿ O CNM fornece
portabilidade de aplicativos em redes heterogêneas
infraestruturas
Sandbox de rede Sandbox de rede Sandbox de rede
Recipiente Recipiente Recipiente
Ponto final Ponto final Ponto final Ponto final
Rede Rede
Docker Engine
Driver de rede IPAM Driver
Infraestrutura de rede
Docker Networking
O Docker permite conectar vários contêineres e serviços ou outras cargas de trabalho não Docker. A
arquitetura de rede do Docker é desenvolvida em um conjunto de interfaces conhecido como modelo
de rede de contêiner (CNM). O CNM fornece portabilidade de aplicativos em infraestruturas
heterogêneas. O CNM consiste nos cinco objetos a seguir:
ÿ Sandbox: contém a configuração da pilha de rede de um contêiner, como tabela de roteamento,

gerenciamento de interfaces de contêiner e configurações de DNS. Pode ter vários terminais
de várias redes. O sandbox CNM pode ser implementado para Windows HNS, namespace de
rede Linux ou uma prisão FreeBSD.
ÿ Endpoint: conecta um sandbox a uma rede e abstrai a conexão real à rede do aplicativo. Um
terminal ajuda a manter a portabilidade, para permitir que o serviço utilize vários tipos de
drivers de rede.
ÿ Rede: Uma rede é uma coleção de terminais que têm conectividade entre eles.
Quando uma rede é criada ou atualizada, o driver correspondente é notificado. Uma rede
CNM pode ser usada para implementar uma ponte Linux, VLAN, etc.
ÿ Interfaces de driver CNM: CNM tem duas interfaces conectáveis e abertas para os usuários,
fornecedores, comunidade, etc. para conduzir funcionalidade adicional, visibilidade e controle
na rede. A seguir estão os drivers no modelo CNM:
o Drivers de Rede: São conectáveis e fornecem a implementação real para o funcionamento
da rede. Vários drivers de rede podem ser usados simultaneamente em um mecanismo
ou cluster Docker, mas cada rede Docker é representada por um único driver.

Existem dois tipos de drivers de rede CNM.
• Native Network Driver: Esses drivers são fornecidos pelo Docker.
• Driver de Rede Remota: Esses drivers são criados pela comunidade e fornecedores com
base em seus requisitos.
o Drivers IPAM: os drivers de gerenciamento de endereço IP (IPAM) no Docker fornecem sub-

redes padrão ou endereçamento IP para a rede e os terminais. Um usuário também pode
atribuir um endereço IP manualmente por meio dos comandos network, container e service create.
ÿ Drivers de rede nativa do Docker: são drivers nativos no mecanismo do Docker e podem ser
usados por meio de comandos de rede do Docker. A seguir estão os vários drivers de rede
nativos do Docker.
o Host: O driver do host permite que o contêiner use a pilha de rede do host.
o Bridge: Com o driver bridge, é criada uma bridge Linux no host, que é gerenciada pelo Docker.
o Overlay: Uma rede overlay é criada com o driver overlay e permite a comunicação entre
contêineres na infraestrutura de rede física.
o MACVLAN: Com o driver MACVLAN, uma conexão de rede é criada entre as interfaces do
contêiner e sua interface de host pai (ou sub-interfaces).
o Nenhum: O driver nenhum permite que o contêiner implemente sua própria pilha de rede
e está isolado da pilha de rede do host.
Figura 6.9: Rede Docker

Kubernetes
ÿ Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e
extensível desenvolvida pelo Google para gerenciar aplicativos e microsserviços em contêineres
ÿ O Kubernetes fornece uma estrutura resiliente para gerenciar contêineres distribuídos, gerando implantação
padrões e realizando failover e redundância para os aplicativos
Arquitetura de cluster do Kubernetes
Mestre do Kubernetes
gerenciador do controlador de nuvem Nuvem

controlador kube Gerente
para apiserver
KubeletGenericName KubeletGenericName KubeletGenericName
ser um procurador ser um procurador ser um procurador
Era
Agendador
etcd
Nós do Kubernetes
Kubernetes
O Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvida pelo Google para gerenciar aplicativos e microsserviços em contêineres. O Kubernetes fornece uma
estrutura resiliente para gerenciar contêineres distribuídos, gerar padrões de implantação e executar failover e
redundância para os aplicativos.
Arquitetura de cluster do Kubernetes
No cluster do Kubernetes, os nós do Kubernetes são máquinas de trabalho, que executam os aplicativos em
contêineres. Deve haver pelo menos um nó do trabalhador em um cluster. Os nós do trabalhador hospedam os pods,
que se referem a grupos de contêineres que são implementados juntos no mesmo host. Os componentes de um
cluster Kubernetes são os seguintes:
ÿ Componentes do plano de controle
Os componentes do plano de controle executam decisões para o cluster Kubernetes, como agendamento
ou início de um novo pod. A seguir estão os componentes do plano de controle do cluster:
o Kube-apiserver: O plano de controle do Kubernetes possui um servidor de API em seu front-end.

Kube-apiserver é a implementação do servidor API do Kubernetes. O usuário pode executar várias
instâncias do kube-apiserver para facilitar a manutenção do tráfego entre as instâncias.
o etcd: Este é um armazenamento de apoio para os dados no cluster Kubernetes. Por exemplo, se o usuário
especificar que três instâncias de um pod específico devem ser executadas, essa informação é
armazenada no etcd. Os dados armazenados no etcd são usados para determinar o número de
instâncias em execução. Se uma instância não estiver funcionando, o Kubernetes cria uma instância
adicional do mesmo pod.

o Kube-scheduler: O kube-scheduler monitora pods recém-criados que não possuem nenhum nó atribuído e
atribui a cada um deles um nó para execução.
o kube-controller-manager: Kube-controller-manager executa os processos do controlador. Ele consiste em

um controlador de nó, controlador de replicação, controlador de endpoints, conta de serviço e controladores
de token. Para minimizar a complexidade, todos esses controladores são compilados e executados como
um único processo.
o cloud-controller-manager: Executa o controlador que se comunica com os provedores de nuvem. Os loops

do controlador específicos do provedor de nuvem são executados pelo gerenciador do controlador de
nuvem. Quando um kube-controller-manager é inicializado, o usuário pode desabilitar os loops do
controlador definindo o sinalizador -cloud-provider como externo. Os controladores com dependências do
provedor de nuvem são controlador de nó, controlador de rota, controlador de serviço e controlador de
volume.
ÿ Nó do Kubernetes
Um nó do Kubernetes é uma máquina de trabalho que contém os serviços necessários para executar os pods
e é gerenciado por componentes principais. Os serviços nos nós do Kubernetes são os seguintes:
o Kubelet: Este é um agente de nó que garante que os contêineres estejam rodando em um pod.
Um pod contém um PodSpec, que é um objeto YAML ou JSON. O kubelet garante que os contêineres
mencionados nos PodSpecs estejam em execução e íntegros.
o Kube-proxy: Este é um proxy de rede que executa e mantém regras de rede em cada
nó.
o Container Runtime: É um software que baixa as imagens e executa os containers. O Kubernetes oferece
suporte a tempos de execução de contêiner, como Docker, CRI-O e a interface de tempo de execução de
contêiner (CRI) do Kubernetes.
ÿ Recursos do Kubernetes
o Descoberta de serviço e balanceamento de carga: Kubernetes representa um contêiner usando o DNS

ou seu próprio endereço IP. Caso o tráfego de rede para o contêiner seja alto, o Kubernetes utiliza o
balanceamento de carga para distribuir o tráfego.
o Orquestração de armazenamento: o Kubernetes permite que o usuário escolha entre sistemas de

armazenamento, como armazenamento local, provedores de nuvem pública (AWS ou GCP) ou um sistema
de armazenamento em rede.
o Rollouts e rollbacks automatizados: o Kubernetes permite que o usuário altere o estado real do contêiner
para o estado desejado do contêiner em um local controlado
avaliar.
o Embalagem bin automática: Para utilizar os recursos de forma eficaz, o Kubernetes ajusta os contêineres
em nós, dependendo das especificações fornecidas pelo usuário.

o Autocorreção: o Kubernetes autocorrige os contêineres reiniciando os contêineres com falha. Se

um nó estiver morto, o Kubernetes substitui e reagenda os contêineres. Quando um contêiner
não responde às verificações de integridade definidas pelo usuário, o Kubernetes encerra o
contêiner. O Kubernetes também anuncia os contêineres que estão em condições de funcionamento.
o Gerenciamento de configuração e segredo: o Kubernetes permite que os usuários armazenem

e gerenciem informações confidenciais, como senhas, tokens OAuth e chaves SSH.
Figura 6.10: arquitetura de cluster do Kubernetes

Desafios de segurança de contêineres
1 2 3 4 5
Influxo de vulneráveis Grande superfície falta de visibilidade comprometedor Velocidade de DevOps

Código fonte de ataque segredos
6 7 8 9 10
Contêineres vizinhos Quebra de contêiner baseado em rede Ignorando o Complexidade

barulhentos para o anfitrião ataques isolamento do ecossistema
Desafios de segurança de contêineres
Embora a conteinerização forneça entrega rápida e contínua de aplicativos para desenvolvedores e equipes de
DevOps, existem alguns desafios de segurança associados a ela. Os principais desafios de segurança para contêineres
são os seguintes:
ÿ Entrada de código-fonte vulnerável: como os contêineres são de código aberto, as imagens criadas pelos
desenvolvedores são frequentemente atualizadas, armazenadas e usadas conforme necessário. Isso causa
um influxo de código-fonte que pode abrigar vulnerabilidades e comportamentos inesperados em uma
organização.
ÿ Grande superfície de ataque: Na nuvem ou no local, existem muitos contêineres que são executados em
várias máquinas. Isso fornece uma grande superfície de ataque e, portanto, causa desafios no rastreamento
e detecção de anomalias.
ÿ Falta de Visibilidade: A camada de abstração criada pelo container engine mascara a

atividade de um determinado recipiente.
ÿ Velocidade de DevOps: Em média, a vida útil de um contêiner é quatro vezes menor do que as máquinas
virtuais. Os contêineres podem ser criados instantaneamente, executados por um curto período de tempo,
parados e removidos. Devido a essa efemeridade, um invasor pode executar um ataque e desaparecer
rapidamente.
ÿ Contêineres vizinhos barulhentos: o comportamento de um contêiner pode potencialmente causar um DOS

para outro contêiner. Por exemplo, abrir soquetes com frequência pode congelar a máquina host.
ÿ Quebra de contêiner para o host: os contêineres que são executados como o usuário raiz podem quebrar e
acessar o sistema operacional do host.

ÿ Ataques baseados em rede: um contêiner comprometido é vulnerável a ataques baseados em rede

ataques, especialmente em redes de saída com soquetes brutos irrestritos.
ÿ Ignorando o isolamento/falta de isolamento: Qualquer inadequação no isolamento entre

contêineres pode ser um desafio de segurança, pois um invasor que compromete um contêiner
pode acessar facilmente outro contêiner no mesmo host.
ÿ Complexidade do ecossistema: As ferramentas utilizadas para construir, implantar e gerenciar

contêineres são fornecidas por diferentes fontes. Portanto, o usuário deve manter os componentes
seguros e atualizados.

Ameaças à segurança de contêineres
Ameaças de imagem Ameaças de registro Ameaças de contêineres
ÿ Vulnerabilidades de imagem ÿ Conexões inseguras para ÿ Vulnerabilidades dentro

registros o software de execução
ÿ Defeitos de configuração
de imagem ÿ Imagens obsoletas em registros ÿ Rede ilimitada
acesso de contêineres
ÿ Malware incorporado ÿ Autenticação
insuficiente e restrições ÿ Contêiner inseguro
ÿ Texto claro incorporado de autorização configurações de tempo de execução
segredos
ÿ Vulnerabilidades de aplicativos
ÿ Uso de imagens não
confiáveis ÿ Contêineres não autorizados
Ameaças à segurança de contêineres (continuação)

Ameaças do orquestrador
ÿ Acesso administrativo ilimitado
ÿ Acesso não autorizado
ÿ Tráfego de rede entre contêineres mal separado
ÿ Mistura de níveis de sensibilidade de carga de trabalho

Ameaças do sistema operacional host
ÿ Confiança do nó do orquestrador
ÿ Grande superfície de ataque
ÿ Kernel compartilhado
ÿ Vulnerabilidades do componente do sistema operacional do host
ÿ Direitos de acesso de usuário impróprios
ÿ Violação do sistema de arquivos do sistema operacional host
Ameaças à segurança de contêineres
Os contêineres estão entre as tecnologias mais importantes no DevOps, e muitas organizações estão adotando
essa tecnologia para desenvolver, testar, empacotar e implantar os aplicativos. No entanto. o aumento do uso
de contêineres está expondo as empresas a novas ameaças à segurança. Portanto, há uma necessidade de
proteger os contêineres em todos os pipelines de desenvolvimento dessas ameaças à segurança.

As ameaças associadas aos ecossistemas de contêineres são as seguintes:
ÿ Ameaças de Imagem
o Vulnerabilidades de imagem: Como as imagens são arquivos estáticos que consistem em componentes que
executam um aplicativo, a falta de atualizações nos componentes da imagem ou a falta de atualizações
críticas de segurança tornam a imagem vulnerável. Se a versão da imagem que é utilizada para fazer um
container tiver vulnerabilidades, ela representa um risco para o ambiente conteinerizado.
o Defeitos de Configuração: Além dos defeitos de software, a imagem de um container também está sujeita a
defeitos de configuração. Por exemplo, uma imagem pode não ser configurada com uma conta de usuário
específica e, em vez disso, ser executada com privilégios maiores do que o necessário.
o Malware incorporado: como uma imagem é uma coleção de arquivos compactados, é provável que arquivos
maliciosos sejam incluídos no pacote da imagem intencionalmente ou inadvertidamente. Esse malware
incorporado tem os mesmos privilégios que outros componentes da imagem e pode ser usado para atacar
outros contêineres ou hosts.
o Segredos de texto não criptografado incorporados: a maioria dos aplicativos requer segredos para se
comunicar com segurança com outros componentes. Por exemplo, um aplicativo da web requer um nome
de usuário e senha para se conectar ao banco de dados de back-end. Quando um aplicativo é compactado
em uma imagem, esses segredos são incorporados à imagem. Esse segredo de texto não criptografado
incorporado representa um risco de segurança, pois um usuário com acesso à imagem pode analisar a
imagem para extrair esses segredos.
o Uso de imagem não confiável: O uso de imagens não confiáveis pode introduzir malware, vazar dados ou
introduzir componentes com vulnerabilidades. Recomenda-se evitar a execução de qualquer imagem em
um contêiner de fontes não confiáveis.
ÿ Ameaças de Registro
o Conexões inseguras com registros: as imagens podem conter componentes confidenciais, como software
proprietário e segredos incorporados. Uma conexão insegura com os registros pode permitir um ataque
man-in-the-middle.
o Imagens obsoletas em registros: um registro contém todas as imagens implantadas por uma organização.
Com o tempo, é possível que o registro contenha imagens vulneráveis ou desatualizadas. Essas imagens
vulneráveis não representam uma ameaça durante seu armazenamento no registro, mas podem aumentar
a probabilidade de implantação acidental da imagem vulnerável.
o Restrições de autenticação e autorização insuficientes: como os registros contêm imagens que podem
executar software confidencial ou proprietário, autenticação e autorização insuficientes expõem os detalhes
técnicos do aplicativo ao invasor.
ÿ Riscos do Orquestrador
o Acesso administrativo ilimitado: a maioria dos orquestradores é projetada presumindo que todos os usuários
que estão interagindo com eles são administradores. Na maioria dos casos, um

um único orquestrador executa muitos aplicativos, cada um gerenciado por equipes diferentes. Se o acesso
a um usuário ou grupo não estiver de acordo com seus requisitos, um usuário mal-intencionado poderá
afetar a funcionalidade de diferentes contêineres gerenciados pelo orquestrador.
o Acesso não autorizado: Os orquestradores têm seu serviço de diretório de autenticação, que pode ser
separado de outros diretórios de uma organização, levando a contas órfãs no orquestrador. Essas contas
são altamente privilegiadas e seu comprometimento pode subsequentemente levar ao comprometimento
de todo o sistema. Os volumes de armazenamento de dados de um contêiner são gerenciados pela
ferramenta de orquestração. Muitas organizações criptografam os dados armazenados para impedir o
acesso não autorizado.
o Tráfego de rede intercontêiner mal separado: o tráfego de rede entre cada nó é roteado por meio de uma
rede de sobreposição virtual, que é gerenciada pelo orquestrador e é obscura para ferramentas de
gerenciamento e segurança de rede.
o Combinação de níveis de sensibilidade de carga de trabalho: o foco principal dos orquestradores é

aumentar a densidade de cargas de trabalho. Por padrão, o orquestrador coloca as cargas de trabalho de
diferentes sensibilidades no mesmo host. Por exemplo, em um estado padrão, o orquestrador pode colocar
um contêiner executando um servidor da Web voltado para o público e outro processando dados financeiros
no mesmo host porque o host tem mais recursos disponíveis no momento da implantação. Devido à mistura
de níveis de sensibilidade de carga de trabalho, os dados financeiros de processamento do contêiner
podem ser facilmente comprometidos.
o Fiança do nó do orquestrador: manter a confiança entre os nós em um ambiente é crucial. Como o

orquestrador é o nó fundamental, se a configuração do orquestrador for fraca, ela poderá expor o
orquestrador, bem como outros componentes da tecnologia de contêiner, a um risco maior.
ÿ Riscos de Contêineres
o Vulnerabilidades no software de execução: o invasor pode explorar vulnerabilidades no software de

execução para comprometê-lo. Posteriormente, o invasor pode utilizar o software de tempo de execução
comprometido para realizar outras atividades, como atacar outros contêineres e monitorar a comunicação
entre contêineres.
o Acesso ilimitado à rede de contêineres: No estado padrão, a maioria dos contêineres durante o tempo de
execução acessa outros contêineres ou o sistema operacional host por meio da rede. No caso de um
contêiner ser comprometido, permitir que ele acesse o tráfego de rede aumenta significativamente o risco
para outros contêineres no ambiente.
o Configurações inseguras do tempo de execução do contêiner: durante o tempo de execução do contêiner,

o administrador fica exposto a muitas opções configuráveis. A segurança do sistema pode ser reduzida se
essas opções forem definidas incorretamente.
o Vulnerabilidades de aplicativos: os contêineres podem ser comprometidos devido a falhas em um aplicativo

que eles executam. Isso, no entanto, não é uma falha no contêiner, mas sim que as vulnerabilidades no
aplicativo dentro do ambiente do contêiner comprometem o contêiner.

o Contêineres não autorizados: contêineres não autorizados são contêineres não planejados ou não sancionados.
Eles se originam no ambiente de desenvolvimento quando o desenvolvedor do aplicativo cria um contêiner para
testar o código. Se esses contêineres não forem configurados corretamente ou não passarem pelos rigores da
verificação de vulnerabilidade, eles poderão ser explorados.
ÿ Riscos do sistema operacional host
o Grande superfície de ataque: A superfície de ataque do sistema operacional host é a coleção de todos os pontos
possíveis através dos quais o adversário pode tentar obter acesso e explorar as vulnerabilidades do sistema
operacional host. Uma grande superfície de ataque aumenta o potencial de um invasor obter acesso e
comprometer o sistema operacional do host e os contêineres em execução nesse host.
o Kernel Compartilhado: Em comparação com os sistemas operacionais de uso geral, os sistemas operacionais
específicos de contêiner têm uma área de superfície de ataque menor. No entanto, um contêiner possui apenas
isolamento de recursos em nível de software e o uso de um kernel compartilhado aumenta a superfície de ataque
entre objetos.
o Vulnerabilidades do componente do sistema operacional do host: as vulnerabilidades dos componentes do

sistema operacional do host afetam todos os contêineres e aplicativos em execução no host.
o Direitos de acesso impróprios do usuário: uma organização pode estar em risco quando os usuários se conectam
diretamente no host para gerenciar contêineres. Direitos de acesso de usuário impróprios não afetam apenas o
sistema host, mas também todos os outros contêineres presentes nele.
o Host OS File System Tampering: Se a configuração de um contêiner não for segura, ela expõe os volumes do host
a um risco significativo de adulteração de arquivos. A adulteração do sistema de arquivos do sistema operacional
do host afeta a estabilidade e a segurança do host e de outros contêineres em execução nele.

Ameaças de segurança do Docker
Obtenção de acesso root no servidor host pelo usuário com

escapando
acesso a um contêiner
Obter acesso a um contêiner e utilizá-lo para atacar outros

contêineres do mesmo host ou dentro da rede local.
Contêiner cruzado
Ataques
Exemplos: ataques DDoS, acesso malicioso (remoto), exploits
sem patches
Inter-Contêiner
Ataques Obter acesso não autorizado a um único contêiner
Registro do Docker
Obtendo acesso ao registro do docker
Ataques
Ameaças de segurança do Docker
Existem partes específicas da infraestrutura do Docker que são vulneráveis a ataques. A seguir estão as ameaças de
segurança comuns do Docker.
ÿ Escaping: Nesta ameaça de segurança específica do Docker, o adversário escapa do contêiner e obtém
acesso root no servidor host. O invasor então tenta comprometer outras máquinas dentro da rede local. Os
seguintes fatores podem facilitar fugas de contêineres:
o Padrões inseguros e configuração fraca.
o Divulgação de informações.
o Fracos padrões de rede.
o Trabalhando com o usuário root (UID 0).
o Montagem de diretórios de host dentro de contêineres.
ÿ Ataques entre contêineres: nesse tipo de ataque, o adversário obtém acesso a um contêiner e o utiliza para
atacar outros contêineres do mesmo host ou dentro da rede local.
Os ataques entre contêineres levam a ataques DoS (por exemplo, bombas XML), falsificação de ARP e
roubo de credenciais, comprometimento do contêiner confidencial, etc. As seguintes são causas comuns
para ataques entre contêineres:
o Fracos padrões de rede.
o Restrições fracas do cgroup.
o Trabalhando com o usuário root (UID0).

ÿ Inner-Container Attacks: neste ataque, o atacante ganha acesso não autorizado a um

recipiente único. As causas potenciais para ataques de contêineres internos são:
o Software ultrapassado.
o Exposição a redes inseguras/não confiáveis.
o Uso de imagens de base grandes.
o Fraca segurança do aplicativo.
o Trabalhando com o usuário root (UID 0)
ÿ Ataques de registro do Docker
o Falsificação de imagem: Em um ataque de falsificação de imagem, o adversário obtém acesso ao servidor

de registro e adultera a imagem do Docker.
o Replay Attack: Nesse tipo de ataque, o adversário obtém acesso ao servidor de registro
e fornece conteúdo desatualizado.

Desafios e ameaças de segurança do Kubernetes
01 02 03 04
Explosão de tráfego Superfície de ataque Automatizando a segurança Muitos

leste-oeste aumentada para manter o ritmo contêineres
05 06 07 08
Comunicação Definições de configuração Desafios de segurança em Problemas de conformidade

entre recipientes padrão tempo de execução
Desafios e ameaças de segurança do Kubernetes
O Kubernetes permite que uma organização automatize a implantação de aplicativos, o que leva a um tremendo
crescimento nos negócios. No entanto, essas implantações são vulneráveis a ataques e exploração de adversários.
Assim, a segurança é um componente crítico para todas as implantações do Kubernetes. A conteinerização em nuvens
pode ser direcionada por meio de ataques como ataques de ransomware, criptomineração, roubo de dados e interrupção
de serviço. A natureza hiperdinâmica dos contêineres é responsável pelos seguintes desafios de segurança do
Kubernetes.
ÿ Explosão de tráfego leste-oeste: como os contêineres são implantados dinamicamente em vários hosts ou
nuvens, o tráfego leste-oeste (fluxo de tráfego dentro de um data center) e o tráfego interno devem ser
monitorados quanto a ataques.
ÿ Superfície de Ataque Aumentada: Cada contêiner tem uma superfície de ataque e vulnerabilidades, que podem
ser exploradas por um adversário. Além disso, ferramentas de orquestração de contêineres como Docker e
Kubernetes também aumentam a superfície de ataque do contêiner.
ÿ Automatizando a segurança para manter o ritmo: devido à natureza dinâmica e ao ambiente em constante
mudança do contêiner, modelos antigos e ferramentas de segurança não podem fornecer proteção completa.
Portanto, há uma necessidade de automatizar a segurança para proteger os contêineres.
ÿ Muitos contêineres: os contêineres se comunicam entre si e com pontos de extremidade internos e externos
para funcionamento adequado. No entanto, se um contêiner for explorado, todos os outros contêineres
conectados no ambiente também poderão ser violados.
ÿ Comunicação entre contêineres: os contêineres se comunicam entre si e

com endpoints internos e externos para o bom funcionamento. No entanto, se um contêiner for explorado,
todos os outros contêineres conectados no ambiente também poderão ser violados.

ÿ Definições de configuração padrão: usar as configurações padrão no Kubernetes torna o desenvolvimento

de aplicativos mais rápido e facilita a comunicação com todos os componentes do ambiente Kubernetes.
No entanto, usar as configurações padrão também pode tornar o Kubernetes mais vulnerável e menos
seguro.
ÿ Desafios de segurança de tempo de execução: A natureza transitória e rápida do contêiner torna difícil
para um indivíduo monitorar qual processo do contêiner está sendo executado no momento.
Portanto, também torna mais complexo detectar qualquer processo malicioso em execução.
ÿ Questões de conformidade: as organizações devem seguir as técnicas para garantir que o ambiente
Kubernetes obedeça aos controles de segurança, padrões do setor e políticas organizacionais internas
que foram concebidas para arquiteturas de aplicativos convencionais.

Segurança de Virtualização do SO
Melhores Práticas
Práticas recomendadas de segurança de virtualização de sistema operacional

Práticas recomendadas para segurança de contêineres
1 2 3
Monitore regularmente os CVEs do tempo de Empregue ferramentas com reconhecimento de Configurar aplicativos para serem executados
execução do contêiner e corrija, se alguma aplicativo para monitorar interfaces de rede de como usuários normais para impedir a
vulnerabilidade for detectada contêiner, tráfego de rede e anomalias de rede escalação de privilégios
4 5 6
Configure o sistema de arquivos raiz do host no Empregue ferramentas de verificação de segurança Realize verificações regulares das imagens
modo somente leitura para restringir o acesso de de aplicativos para proteger os contêineres de no repositório para identificar vulnerabilidades ou
gravação software mal -intencionado configurações incorretas
Práticas recomendadas para segurança de contêineres
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente de contêiner.
ÿ Monitore regularmente os CVEs do tempo de execução do contêiner e corrija, se houver vulnerabilidades

são detectados.
ÿ Empregar ferramentas com reconhecimento de aplicativos para monitorar interfaces de rede de contêineres, tráfego de rede e
anomalias da rede.
ÿ Configure os aplicativos para serem executados como usuários normais para evitar o escalonamento de privilégios.
ÿ Configure o sistema de arquivos raiz do host em modo somente leitura para restringir o acesso de gravação e
prevenir ataques de injeção de malware.
ÿ Evite usar software de terceiros e empregue ferramentas de verificação de segurança de aplicativos para
proteger contêineres de software malicioso.
ÿ Realize verificações regulares das imagens no repositório para identificar vulnerabilidades ou configurações
incorretas.
ÿ Implantar firewalls de aplicativos para aprimorar a segurança do contêiner e prevenir ameaças

entrando no ambiente.
ÿ Assegurar o acesso autenticado aos registos incluindo imagens e dados sensíveis.
ÿ Use um banco de dados separado para cada aplicativo para maior visibilidade de
aplicativos e gerenciamento de dados aprimorado.

Práticas recomendadas para segurança do Docker
Habilite o modo
Limite os recursos permitindo acesso somente leitura em sistemas
Sempre use confiável apenas aos recursos exigidos pelo de arquivos e volumes definindo
Somente imagens do Docker contêiner o sinalizador --read-only
02 04 06
01 03 05
Evite expor o Corrija regularmente o sistema operacional Use módulos de segurança do Linux, como
Soquete do daemon host e o Docker com as atualizações de seccomp, AppArmor e
do Docker segurança mais recentes SELinux para obter controle refinado
sobre os processos
Práticas recomendadas para segurança do Docker
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente Docker.
ÿ Evite expor o soquete do daemon Docker porque é o ponto de entrada básico para o
API Docker.
ÿ Use apenas imagens confiáveis do Docker porque as imagens do Docker criadas por usuários mal-intencionados
podem ser injetadas com backdoors.
ÿ Corrija regularmente o sistema operacional host e o Docker com as atualizações de segurança mais recentes.
ÿ Limite os recursos permitindo acesso apenas aos recursos exigidos pelo contêiner.
ÿ Use os módulos de segurança do Linux, como seccomp, AppArmor e SELinux, para obter controle refinado
sobre os processos.
ÿ Limite recursos como memória, CPU, o número máximo de descritores de arquivo, o número máximo de
processos e reinícios para evitar ataques DoS.
ÿ Habilite o modo somente leitura em sistemas de arquivos e volumes definindo o sinalizador --read-only .
ÿ Defina o nível de registro do daemon do Docker como 'info' e evite executar o daemon do Docker usando o
nível de log 'depurar'.
ÿ A configuração de usuário padrão para a imagem do Docker é root; configure o aplicativo de contêiner
para ser executado como usuário sem privilégios para evitar ataques de escalonamento de privilégios.
ÿ Instale apenas os pacotes necessários para reduzir a superfície de ataque.

Garanta a validação adequada do Implemente o método de
01 conteúdo do arquivo e seu caminho configuração para os caminhos

02
em todas as etapas do processamento de credenciais
Use funções de análise

Práticas
Gerar erros explicitamente após
comuns, como ParsePort
06 em toda a base de código para recomendadas para Kubernetes
cada etapa de uma operação 03
composta
aumentar a legibilidade do código
Segurança
Nunca use comandos shell Use a biblioteca JSON bem
05 compostos sem validações

adequadas
testada e estruturas de tipo para
04
construir objetos JSON
Práticas recomendadas para segurança do Kubernetes
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente Kubernetes.
ÿ Assegure a validação adequada do conteúdo do arquivo e seu caminho em todas as etapas do processamento.
ÿ Implementar método de configuração para os caminhos de credenciais e não depender do

caminhos codificados.
ÿ Gerar erros explicitamente após cada etapa de uma operação composta.
ÿ Use a biblioteca JSON bem testada e estruturas de tipo para construir objetos JSON.
ÿ Nunca use comandos shell compostos sem validações adequadas porque eles afetam
o estado do sistema.
ÿ Use bibliotecas centralizadas para executar tarefas comuns e usar funções de análise comuns,
como ParsePort, em toda a base de código para aumentar a legibilidade do código.
ÿ Use logs persistentes no lugar da rotação de logs, para que os logs possam ser gravados em ordem linear e novos
logs possam ser criados quando a rotação for necessária.
ÿ Use o formato de codificação única para todas as tarefas de configuração porque suporta centralizado
validação.
ÿ Limite o tamanho dos arquivos de manifesto para evitar erros de falta de memória no kubelet.
ÿ Use instâncias kube-apiserver que mantêm CRLs para verificar os certificados apresentados.
ÿ Use serviços de gerenciamento de chaves para habilitar a criptografia de dados secretos e evitar o uso de AES
Modo Galois/Contador ou encadeamento de blocos cifrados para criptografia.

Ferramentas de segurança do Docker
Um script que permite verificar: ÿ ÿ Arquivos de configuração do Docker Daemon ÿ

Docker Bench para
Configuração do host Imagens de contêiner e arquivos de compilação
Segurança
ÿ Configuração do Docker Daemon ÿ Tempo de Execução do Contêiner
Twistlock
https:// github.com
Aqua
https:// www.aquasec.com
Anchore
https:// anchore.com
NeuVector
https:// neuvector.com
CloudPassage Halo
https:// www.cloudpassage.com
https:// github.com
Ferramentas de segurança do Docker
ÿ Banco Docker para Segurança
Fonte: https:// github.com
O Docker Bench for Security é um script que verifica dezenas de práticas recomendadas comuns sobre a implantação de
contêineres do Docker na produção. É um script que permite verificar:
o Configuração do host
o Configuração do Docker Daemon
o Arquivos de configuração do Docker Daemon
o Imagens de contêiner e arquivos de compilação
o Tempo de execução do contêiner

Figura 6.11: captura de tela do Docker Bench para segurança
Algumas ferramentas de segurança adicionais do Docker estão listadas abaixo:
ÿ Twistlock (https:// github.com)

ÿ Aqua (https:// www.aquasec.com)
ÿ Anchore (https:// anchore.com)
ÿ NeuVector (https:// neuvector.com)
ÿ CloudPassage Halo (https:// www.cloudpassage.com)

Fluxo do módulo

Entenda a Nuvem
Práticas
Entenda os fundamentos da computação em nuvem

A computação em nuvem fornece vários tipos de serviços e aplicativos pela Internet. Esses serviços permitem
que os usuários utilizem software e hardware gerenciados por terceiros em locais remotos. Os principais
provedores de serviços em nuvem incluem Google, Amazon e Microsoft.
Esta seção apresenta a computação em nuvem, os tipos de serviços de computação em nuvem, a separação
de responsabilidades, os modelos de implantação de nuvem, a arquitetura de referência NIST e seus benefícios,
a arquitetura de armazenamento em nuvem e os provedores de serviços em nuvem.

Introdução à Computação em Nuvem
ÿ A computação em nuvem é uma entrega sob demanda de recursos de TI em que a infraestrutura e

os aplicativos de TI são fornecidos aos assinantes como um serviço medido em uma rede
Características da Computação em Nuvem
Autoatendimento sob demanda Amplo acesso à rede
armazenamento distribuído Agrupamento de recursos
Elasticidade rápida Tecnologia de virtualização
Introdução à Computação em Nuvem
A computação em nuvem é uma entrega sob demanda de recursos de TI em que uma infraestrutura e aplicativos
de TI são fornecidos aos assinantes como serviços medidos em uma rede. Exemplos de soluções em nuvem
incluem Gmail, Facebook, Dropbox e Salesforce.
Características da Computação em Nuvem
As características da computação em nuvem que atraem muitos negócios para adotar a tecnologia em nuvem são
discutidas abaixo.
ÿ Autoatendimento sob demanda: um tipo de serviço prestado por provedores de serviços de nuvem que
fornece recursos de nuvem sob demanda, como capacidade de computação, armazenamento e rede,
sem a necessidade de interação humana com os provedores de serviços.
ÿ Armazenamento distribuído : O armazenamento distribuído em nuvem oferece melhor escalabilidade,

disponibilidade e confiabilidade dos dados. No entanto, pode envolver segurança e conformidade
preocupações.
ÿ Elasticidade rápida: a nuvem oferece provisionamento instantâneo de recursos para aumentar ou diminuir
rapidamente de acordo com a demanda. Os recursos disponíveis para abastecimento aos consumidores
parecem ser ilimitados que podem ser adquiridos invariavelmente na quantidade desejada.
ÿ Gerenciamento automatizado: ao minimizar o envolvimento do usuário, a automação em nuvem acelera

os processos, reduz os custos de mão de obra e reduz a possibilidade de erro humano.
ÿ Amplo acesso à rede: Os recursos da nuvem estão disponíveis na rede e podem ser acessados por meio
de procedimentos padrão por meio de uma ampla variedade de plataformas, incluindo laptops, telefones
celulares e PDAs.

ÿ Pool de recursos: o provedor de serviços em nuvem agrupa todos os recursos para atender a vários clientes em
um ambiente multilocatário, no qual os recursos físicos e virtuais são atribuídos dinamicamente e reatribuídos
sob demanda pelos consumidores.
ÿ Serviço medido: Os sistemas em nuvem empregam o método de medição “pay-per-use”.

Os assinantes pagam pelos serviços em nuvem por meio de assinaturas mensais ou de acordo com o uso de
recursos, como níveis de armazenamento, poder de processamento e largura de banda. Os provedores de
serviços em nuvem monitoram, controlam, relatam e cobram dos clientes de acordo com os recursos
consumidos com total transparência.
ÿ Tecnologia de virtualização: permite o rápido escalonamento de recursos de uma forma que não poderia ser
alcançada por ambientes não virtualizados.
Limitações da computação em nuvem
ÿ As organizações têm controle e flexibilidade limitados
ÿ Propenso a interrupções e outros problemas técnicos
ÿ Questões de segurança, privacidade e conformidade
ÿ Contratos e lock-ins
ÿ Dependência de conexões de rede

Benefícios da computação em nuvem

Econômico Operacional
ÿ Agilidade nos negócios ÿ Flexibilidade e eficiência
ÿ Menor custo de manutenção ÿ Resiliência e redundância
ÿ Adquirir economias de escala ÿ Escala conforme necessário
ÿ Menos despesas de capital ÿ Menos problemas operacionais
ÿ Enormes instalações de armazenamento para organizações ÿ Implantar aplicativos rapidamente
Pessoal Segurança ÿ
ÿ Agilizar processos Menos investimento em controles de
segurança ÿ Resposta eficiente, eficaz e rápida a violações
ÿ Uso eficiente de recursos
de segurança
ÿ Menos treinamento de pessoal ÿ Interface aberta padronizada para serviços gerenciados de

segurança (MSS)
ÿ Menos equipe de TI
ÿ Gerenciamento eficaz de patches e implementação de
ÿ Vários usuários podem utilizar recursos de nuvem atualizações de
segurança ÿ Melhor preparação para recuperação de desastres
Benefícios da computação em nuvem
A computação em nuvem oferece benefícios econômicos, operacionais, de pessoal e de segurança.
ÿ Económico
o Agilidade nos negócios
o Menos custos de manutenção
o Adquirir economias de escala
o Menos despesas de capital
o Enormes instalações de armazenamento para organizações
o Amigo do ambiente
o Menos custo total de propriedade
o Menor consumo de energia
ÿ Operacional
o Flexibilidade e eficiência
o Resiliência e redundância
o Escala conforme necessário
o Menos problemas operacionais
o Implemente aplicativos rapidamente
o Backup e recuperação de desastres

o Atualizações automáticas
ÿ Pessoal
o Agilizar processos
o Uso eficiente de recursos
o Menos treinamento de pessoal
o Menos equipe de TI
o Vários usuários podem utilizar recursos de nuvem
o Evolução de novos modelos de negócio
o Compartilhamento simultâneo de recursos
ÿ Segurança
o Menos investimento em controles de segurança
o Resposta eficiente, eficaz e rápida a violações de segurança
o Interface aberta padronizada para serviços gerenciados de segurança (MSS)
o Gerenciamento eficaz de patches e implementação de atualizações de segurança
o Melhor preparação para recuperação de desastres
o Capacidade de escalar dinamicamente os recursos defensivos sob demanda
o A agregação de recursos oferece melhor gerenciamento dos sistemas de segurança
o Auditorias internas rigorosas e procedimentos de avaliação de risco

Tipos de serviços de computação em nuvem
ADMINISTRADORES DO SISTEMA DESENVOLVEDORES CLIENTES FINAIS CLIENTES FINAIS
Infraestrutura como uma Plataforma como serviço Software como serviço Identidade como serviço
Serviço (IaaS) (PaaS) (SaaS) (IDaaS)
ÿ Fornece máquinas ÿ Oferece ferramentas de ÿ Oferece software para ÿ Oferece serviços IAM,
virtuais e outros hardwares desenvolvimento, assinantes sob demanda pela incluindo SSO, MFA,
abstratos gerenciamento de Internet IGA e coleta de inteligência
e sistemas operacionais que configuração e plataformas ÿ Por exemplo, escritório baseado na web
podem ser controlados por de implantação sob demanda que podem ser
aplicativos como o Google ÿ Por exemplo,
meio de uma API de serviço usado por assinantes para Documentos ou Agenda, OneLogin, Centrify
desenvolver aplicativos Salesforce CRM ou Identity Service,
ÿ
Por exemplo, Amazon personalizados Freshbooks Microsoft Azure Active
EC2, GoGrid, Microsoft ÿ Por exemplo, Google Directory ou Okta
OneDrive ou Rackspace App Engine, Salesforce ou

Microsoft Azure
Tipos de serviços de computação em nuvem (continuação)

FIM FIM
Segurança como serviço (SECaaS) Função como serviço (FaaS)

CLIENTES CLIENTES
ÿ Fornece testes de penetração, autenticação, detecção de intrusão, anti- ÿ Fornece uma plataforma para desenvolver, executar e
malware, incidente de segurança e serviços de gerenciamento de eventos gerenciar funcionalidades de aplicativos para
microsserviços
ÿ Por exemplo, eSentire MDR, Switchfast Technologies, ÿ Por exemplo, AWS Lambda, Google Cloud Functions,
OneNeck IT Solutions ou McAfee Managed Security Funções do Microsoft Azure ou Oracle Cloud Fn
Services
FIM FIM
Contêiner como serviço (CaaS) Qualquer coisa como serviço (XaaS)

CLIENTES CLIENTES
ÿ Oferece virtualização de containers engines, ÿ Oferece qualquer coisa como um serviço pela Internet
e gerenciamento de contêineres, aplicativos e clusters, por baseado na demanda do usuário como produtos digitais ,
meio de um portal da Web ou API alimentação, transporte, consultas médicas, etc.
ÿ Por exemplo, Amazon AWS EC2 ou Google Kubernetes

Engine (GKE) ÿ Ex: Salesforce, AWS, Google Compute
Engine, Azure, O365 e G Suite, JumpCloud
Tipos de serviços de computação em nuvem
Os serviços em nuvem são divididos amplamente nas seguintes categorias:
ÿ Infraestrutura como serviço (IaaS)
Este serviço de computação em nuvem permite que os assinantes usem recursos de TI fundamentais
sob demanda, como poder de computação, virtualização, armazenamento de dados e rede. Este serviço
fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos

(SOs), que podem ser controlados por meio de uma interface de programação de aplicativo (API) de serviço. Como os
provedores de serviços em nuvem são responsáveis pelo gerenciamento da infraestrutura subjacente de computação em
nuvem, os assinantes podem evitar custos de capital humano, hardware e outros (por exemplo, Amazon EC2, Microsoft
OneDrive, Rackspace).
Vantagens:
o Dimensionamento de infraestrutura dinâmica
o Tempo de atividade garantido
o Automação de tarefas administrativas
o Balanceamento elástico de carga (ELB)
o Serviços baseados em políticas
o Acessibilidade global
Desvantagens:
o A segurança do software está em alto risco (fornecedores terceirizados são mais propensos a ataques)
o Problemas de desempenho e velocidades de conexão lentas
ÿ Plataforma como Serviço (PaaS)
Esse tipo de serviço de computação em nuvem permite o desenvolvimento de aplicativos e serviços. Os assinantes não
precisam comprar e gerenciar o software e a infraestrutura abaixo dele, mas têm autoridade sobre os aplicativos implantados
e talvez as configurações do ambiente de hospedagem de aplicativos. Isso oferece ferramentas de desenvolvimento,
gerenciamento de configuração e plataformas de implantação sob demanda, que podem ser usadas pelos assinantes para
desenvolver aplicativos personalizados (por exemplo, Google App Engine, Salesforce, Microsoft Azure).
As vantagens de escrever aplicativos no ambiente PaaS incluem escalabilidade dinâmica, backups automatizados e outros
serviços de plataforma, sem a necessidade de codificar explicitamente para eles.
Vantagens:
o Implantação simplificada
o Funcionalidade comercial pré-criada
o Menor risco de segurança em comparação com IaaS
o Comunidade instantânea
o Modelo de pagamento por uso
o Escalabilidade
Desvantagens:
o Bloqueio do fornecedor
o Privacidade dos dados

o Integração com o restante dos aplicativos do sistema
ÿ Software como serviço (SaaS)
Este serviço de computação em nuvem oferece software aplicativo para assinantes sob demanda pela
Internet. O provedor cobra pelo serviço com base no pagamento por uso, por assinatura, por publicidade ou
por compartilhamento entre vários usuários (por exemplo, aplicativos de escritório baseados na Web, como
Google Docs ou Calendar, Salesforce CRM e Freshbooks).
Vantagens:
o Baixo custo
o Fácil administração
o Acessibilidade global
o Alta compatibilidade (não é necessário hardware ou software especializado)
Desvantagens:
o Problemas de segurança e latência
o Dependência total da Internet
o Alternar entre fornecedores de SaaS é difícil
ÿ Identidade como Serviço (IDaaS)
Este serviço de computação em nuvem oferece serviços de autenticação para as empresas assinantes e é
gerenciado por um fornecedor terceirizado para fornecer serviços de gerenciamento de identidade e acesso.
Ele fornece serviços como Single-Sign-On (SSO), Multi-Factor Authentication (MFA), Identity Governance and
Administration (IGA), gerenciamento de acesso e coleta de inteligência. Esses serviços permitem que os
assinantes acessem dados confidenciais com mais segurança dentro e fora do local (por exemplo, OneLogin,
Centrify Identity Service, Microsoft Azure Active Directory, Okta).
Vantagens:
o Baixo custo
o Segurança melhorada
o Simplifique a conformidade
o Tempo reduzido
o Gerenciamento central de contas de usuário
Desvantagens:
o A falha de um único servidor pode interromper o serviço ou criar redundância em outros

servidores de autenticação
o Vulnerável a ataques de sequestro de contas

ÿ Segurança como serviço (SECaaS)
Esse modelo de computação em nuvem integra serviços de segurança à infraestrutura corporativa de maneira
econômica. É desenvolvido com base em SaaS e não requer nenhum hardware ou equipamento físico.
Portanto, reduz drasticamente o custo em comparação com o gasto quando as organizações estabelecem
seus próprios recursos de segurança. Ele fornece serviços como teste de penetração, autenticação, detecção
de intrusão, antimalware, incidente de segurança e gerenciamento de eventos (por exemplo, eSentire MDR,
Switchfast Technologies, OneNeck IT Solutions, McAfee Managed Security Services).
Vantagens:
o Baixo custo
o Complexidade reduzida
o Proteção contínua
o Segurança aprimorada por meio da melhor experiência em segurança
o Ferramentas de segurança mais recentes e atualizadas
o Provisionamento rápido de usuários
o Maior agilidade
o Maior tempo em competências essenciais
Desvantagens:
o Aumento das superfícies de ataque e vulnerabilidades
o Perfil de risco desconhecido
o APIs inseguras
o Nenhuma personalização para as necessidades de negócios
o Vulnerável a ataques de sequestro de contas
ÿ Container-as-a-Service (CaaS)
Esse modelo de computação em nuvem fornece contêineres e clusters como um serviço para seus assinantes.
Ele fornece serviços como virtualização de mecanismos de contêineres, gerenciamento de contêineres,
aplicativos e clusters por meio de um portal da Web ou de uma API. Usando esses serviços, os assinantes
podem desenvolver aplicativos em contêineres avançados e escaláveis por meio da nuvem ou de data
centers locais. CaaS herda recursos de IaaS e PaaS (por exemplo, Amazon AWS EC2, Google Kubernetes
Engine (GKE)).
Vantagens:
o Desenvolvimento simplificado de aplicativos em contêineres
o Pagamento por recurso
o Maior qualidade

o Desenvolvimento de aplicativos portáteis e confiáveis
o Baixo custo
o Poucos recursos
o A falha do contêiner do aplicativo não afeta outros contêineres
o Segurança melhorada
o Gerenciamento de patches aprimorado
o Resposta aprimorada a bugs
o Alta escalabilidade
o Desenvolvimento simplificado
Desvantagens:
o Alta sobrecarga operacional
o A implantação da plataforma é de responsabilidade do desenvolvedor
ÿ Função como serviço (FaaS)
Este serviço de computação em nuvem fornece uma plataforma para desenvolver, executar e gerenciar
funcionalidades de aplicativos sem a complexidade de construir e manter a infraestrutura necessária (arquitetura
sem servidor). Esse modelo é usado principalmente no desenvolvimento de aplicativos para microsserviços.
Ele fornece funcionalidade sob demanda para os assinantes que desligam a infraestrutura de suporte e não
incorrem em cobranças quando não estão em uso. Ele fornece serviços de processamento de dados, como
serviços de Internet das Coisas (IoT) para dispositivos conectados, aplicativos móveis e web e processamento
em lote e fluxo (por exemplo, AWS Lambda, Google Cloud Functions, Microsoft Azure Functions, Oracle Cloud
Fn).
Vantagens:
o Pagamento por uso
o Baixo custo
o Atualizações de segurança eficientes
o Fácil implantação
o Alta escalabilidade
Desvantagens:
o Alta latência
o Limitações de memória
o Limitações de monitoramento e depuração
o Ferramentas e estruturas instáveis
o Bloqueio do fornecedor

ÿ Qualquer coisa como serviço (XaaS)
Qualquer coisa como um serviço ou tudo como um serviço (XaaS) é um serviço de computação em nuvem
e acesso remoto que oferece qualquer coisa como um serviço pela Internet com base na demanda do
usuário. O serviço pode incluir produtos digitais, como ferramentas, aplicativos e tecnologias, bem como
outros tipos de serviços, como alimentação, transporte e consultas médicas. O serviço é pago de acordo
com o uso e não pode ser adquirido ou licenciado como produtos regulares. Além dos serviços de nuvem
comuns, como software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço
(IaaS), o XaaS inclui serviços como rede como serviço (NaaS), armazenamento como serviço ( STaaS),
teste como serviço (TaaS), malware como serviço (MaaS) e recuperação de desastres como serviço
(DRaaS). O XaaS oferece serviços seguros, como gerenciamento de relacionamento com o cliente (CRM),
computação em nuvem e serviços de diretório (por exemplo, NetApp, AWS Elastic Beanstalk, Heroku e
Apache Stratos).
Vantagens:
o Altamente escalável
o Independente de localização e dispositivos
o Tolerância a falhas e redundância reduzida
o Despesas de capital reduzidas
o Melhora o processo de negócios, suportando elasticidade rápida e compartilhamento de recursos
Desvantagens:
o Chances de interrupção do serviço, pois o XaaS depende da Internet
o Problemas de desempenho devido à alta utilização dos mesmos recursos
o Altamente complexo e difícil de solucionar às vezes

Responsabilidades compartilhadas do cliente x CSP em IaaS, PaaS e SaaS

Computação em Nuvem
Infraestrutura Plataforma Software

Na premissa
(como serviço) (como serviço) (como serviço)
Dados Dados Dados Dados
Interfaces Interfaces Interfaces Interfaces
Formulários Formulários Formulários Formulários
Middleware Middleware Middleware Middleware
Sistemas operacionais Sistemas operacionais Sistemas operacionais Sistemas operacionais
Máquinas virtuais Máquinas virtuais Máquinas virtuais Máquinas virtuais

Proprietários
recursos
de
Rede virtual Rede virtual Rede virtual Rede virtual
Hipervisores Hipervisores Hipervisores Hipervisores
Processamento e Memória Processamento e Memória Processamento e Memória Processamento e Memória
Armazenamento de dados Armazenamento de dados Armazenamento de dados Armazenamento de dados
Interfaces de rede Interfaces de rede Interfaces de rede Interfaces de rede
Instalações e Data Centers Instalações e Data Centers Instalações e Data Centers Instalações e Data Centers
Assinantes/locatários/clientes Provedor de serviço
Responsabilidades compartilhadas do cliente x CSP em IaaS, PaaS e SaaS
Na computação em nuvem, é importante garantir a separação de responsabilidades dos assinantes e provedores

de serviço. A separação de funções evita conflitos de interesse, atos ilegais, fraudes, abusos e erros, além de
auxiliar na identificação de falhas de controle de segurança, incluindo roubo de informações, brechas de segurança
e invasão de controles de segurança. Também ajuda a restringir a quantidade de influência detida por um indivíduo
e garante que não haja responsabilidades conflitantes. É essencial conhecer as limitações de cada modelo de
entrega de serviços em nuvem ao acessar nuvens específicas e seus modelos.
Figura 6.12: Responsabilidades compartilhadas do cliente x CSP em IaaS, PaaS e SaaS

Modelos de implantação em nuvem

nuvem pública nuvem privada
Os serviços são prestados através de uma rede A infraestrutura de nuvem é operada apenas para
aberta ao uso público uma única organização
Usuários encerrando o acesso Caminho de acesso legítimo
Usuários iniciando
Usuários públicos
Acesso
acessando a nuvem via rede Controlador de limite
Perímetro de segurança controlado pelo assinante

Computadores em uma rede que fornecem acesso
provedor de nuvem
Controlador de limite
Fora
Dentro nuvem privada
Perímetro de segurança controlado por

assinante opcional
Bloqueado
Acesso
Novo
Usuários que acessam a nuvem dentro
hardware Hardware antigo Usuários acessando a nuvem de dentro
do perímetro de segurança
do perímetro
Fora das instalações do assinante
Modelos de implantação de nuvem (continuação)

Community Cloud nuvem híbrida
Infraestrutura compartilhada entre várias organizações Combinação de duas ou mais nuvens (privadas,
de uma comunidade específica com preocupações comunitárias ou públicas) que permanecem entidades
comuns (segurança, compliance, jurisdição, etc.) únicas, mas estão unidas, oferecendo assim os
benefícios de vários modelos de implantação
Perímetros de segurança
Organização A Organização A
Organização B Organização B Nuvem privada no local

Nuvem privada terceirizada
Organização C Organização C
Dentro Nuvem da comunidade no local Nuvem comunitária terceirizada

Dentro
Fora
Fora
Usuários acessando recursos de nuvem local Usuário que acessa a nuvem de
dentro de seus perímetros
Usuários acessando recursos de nuvem remotos
Empresas da comunidade que Empresas comunitárias

nuvem pública
fornecem e consomem recursos de nuvem que consomem recursos

Implantação em Nuvem
Modelos (continuação)
ÿ Ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de
Multinuvem
nuvem, gerenciados por meio de uma interface proprietária para atingir metas de negócios de longo prazo
dados de aplicativos dados de aplicativos
nuvem pública nuvem pública
dados de aplicativos dados de aplicativos
nuvem pública nuvem privada
Empresas/usuários que
consomem recursos de nuvem
Modelos de implantação em nuvem
A seleção do modelo de implementação em nuvem é baseada nos requisitos da empresa. Pode-se implantar serviços em nuvem
de diferentes maneiras, de acordo com os fatores abaixo:
ÿ Localização do host de serviços de computação em nuvem
ÿ Requisitos de segurança
ÿ Compartilhamento de serviços em nuvem
ÿ Capacidade de gerenciar alguns ou todos os serviços em nuvem
ÿ Capacidades de personalização
Os cinco modelos de implantação de nuvem padrão são
ÿ Nuvem Pública
Nesse modelo, o provedor disponibiliza serviços como aplicativos, servidores e armazenamento de dados ao público
pela Internet. Portanto, ele é responsável pela criação e manutenção constante da nuvem pública e de seus recursos
de TI. Os serviços de nuvem pública podem ser gratuitos ou baseados em um modelo de pagamento por uso (por
exemplo, Amazon Elastic Compute Cloud (EC2), Google App Engine, Microsoft Azure, IBM Cloud).
Vantagens :
• Simplicidade e eficiência
• Baixo custo
• Tempo reduzido (quando o servidor trava, precisa reiniciar ou reconfigurar a nuvem)
• Sem manutenção (o serviço de nuvem pública é hospedado fora do local)

• Sem contratos (sem compromissos de longo prazo)
o Desvantagens:
• A segurança não é garantida
• Falta de controle (fornecedores terceirizados estão no comando)
• Velocidade lenta (depende de conexões com a Internet; a taxa de transferência de dados é limitada)
Figura 6.13: Modelo de implantação de nuvem pública
ÿ Nuvem Privada
Uma nuvem privada, também conhecida como nuvem interna ou corporativa, é uma infraestrutura de nuvem
operada por uma única organização e implementada dentro de um firewall corporativo.
As organizações implantam infraestruturas de nuvem privada para manter o controle total sobre os dados
corporativos (por exemplo, BMC Software, VMware vRealize Suite, SAP Cloud Platform).
Vantagens :
• Aprimoramento da segurança (os serviços são dedicados a uma única organização)
• Maior controle sobre os recursos (a organização está no comando)
• Alto desempenho (a implantação da nuvem dentro do firewall implica alta

taxas de transferência)
• Desempenho personalizável de hardware, rede e armazenamento (conforme a organização

possui nuvem privada)
• Os dados de conformidade com Sarbanes Oxley, PCI DSS e HIPAA são muito mais fáceis de obter

o Desvantagens:
• Alto custo
• Manutenção no local
Figura 6.14: Modelo de implantação de nuvem privada
ÿ Nuvem Comunitária
É uma infraestrutura multilocatária compartilhada entre organizações de uma comunidade específica com
preocupações comuns de computação, como segurança, conformidade regulamentar, requisitos de desempenho
e jurisdição. A nuvem da comunidade pode ser local ou externo e regida pelas organizações participantes ou
por um provedor de serviços gerenciado terceirizado (por exemplo, Optum Health Cloud, Salesforce Health
Cloud).
Vantagens :
• Mais barato em comparação com a nuvem privada
• Flexibilidade para atender as necessidades da comunidade
• Cumprimento das normas legais
• Alta escalabilidade
• As organizações podem compartilhar um conjunto de recursos de qualquer lugar via Internet
o Desvantagens:
• Competição entre consumidores no uso de recursos
• Previsão imprecisa dos recursos necessários
• Falta de personalidade jurídica em caso de responsabilidade
• Segurança moderada (outros inquilinos podem acessar dados)
• Preocupações de confiança e segurança entre os inquilinos

Figura 6.15: Modelo de implantação de nuvem comunitária
ÿ Nuvem Híbrida
É um ambiente de nuvem composto por duas ou mais nuvens (privadas, públicas ou comunitárias) que
permanecem como entidades únicas, mas estão unidas para oferecer os benefícios de vários modelos de
implantação. Nesse modelo, a organização disponibiliza e gerencia alguns recursos internamente e
fornece outros recursos externamente (por exemplo, Microsoft Azure, Zymr, Parangat, Logicalis).
Exemplo: uma organização realiza suas atividades críticas na nuvem privada (por exemplo, dados
operacionais do cliente) e atividades não críticas na nuvem pública.
Vantagens :
• Alta escalabilidade (contém nuvens públicas e privadas)
• Oferece recursos públicos seguros e escaláveis
• Alto nível de segurança (compreende nuvem privada)
• Permite reduzir e gerir o custo de acordo com os requisitos
o Desvantagens:
• A comunicação no nível da rede pode ser conflitante, pois usa

nuvens privadas
• Difícil de obter conformidade de dados
• Organização dependente da infraestrutura interna de TI em caso de interrupções (manter

redundância em centros de dados para superar)
• Complexos acordos de nível de serviço (SLAs)

Figura 6.16: Modelo de implantação de nuvem híbrida
ÿ Multinuvem
É um ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem que
são gerenciados por meio de uma interface proprietária para atingir metas de negócios de longo prazo. A
multinuvem usa vários serviços de computação e armazenamento de diferentes fornecedores de nuvem. Ele
distribui ativos de nuvem, software, aplicativos, etc. em vários ambientes de hospedagem em nuvem. Os
ambientes multinuvem são, em sua maioria, totalmente privados, totalmente públicos ou uma combinação de
ambos. As organizações usam ambientes de várias nuvens para distribuir recursos de computação, aumentando
assim o poder de computação e os recursos de armazenamento e limitando a perda de dados e o risco de
tempo de inatividade em grande medida (por exemplo, Microsoft Azure Arc, AWS Kaavo IMOD, Google Cloud
Anthos).
Vantagens :
• Alta confiabilidade e baixa latência
• Flexibilidade para atender às necessidades do negócio
• Otimização de custo-desempenho e mitigação de riscos
• Baixo risco de ataques distribuídos de negação de serviço (DDoS)
• Maior disponibilidade de armazenamento e poder de computação
• Baixa probabilidade de bloqueio do fornecedor
o Desvantagens:
• A falha do sistema multi-nuvem afeta a agilidade dos negócios
• Usar mais de um provedor causa redundância
• Riscos de segurança devido à superfície de ataque complexa e grande
• Custo operacional

Figura 6.17: modelo de implantação de várias nuvens

Local x Hospedado x
Nuvem
Parâmetros Local Nuvem Hospedado
A organização estabelece a infraestrutura Um terceiro é proprietário da infraestrutura e executa Um terceiro é proprietário da plataforma; a
Propriedade e executa todas as operações de negócios as operações de negócios da organização empresa usa os recursos com base no requisito
O software ou aplicativo está instalado em O provedor de nuvem instala o software ou aplicativo Um terceiro configura todo o centro de
Implantação
servidores físicos internos em servidores virtuais hospedagem em nuvem ou centro de dados
Depende das habilidades dos funcionários O desempenho pode ser otimizado

atuação Depende da velocidade da internet
internos trabalhando com o provedor de serviços
A infraestrutura física e a configuração inicial são A infraestrutura virtual é paga conforme A infraestrutura privada alugada é relativamente cara
Custo
caras uso para a organização
A plataforma pode realizar

Conectividade Os sistemas podem funcionar sem a Internet O serviço de Internet ativa é obrigatório comunicação tanto com uma rede interna
privada quanto com a Internet
A segurança está sob o controle da

Depende das habilidades da equipe Menos seguro do que outras opções, pois é
Segurança organização; todos os sistemas devem estar
de administração totalmente operado fora do local
atualizados e corrigidos constantemente
Mantido por uma agência de hospedagem

Manutenção Mantida por equipe interna Mantido pelo provedor de nuvem
terceirizada
A escalabilidade depende da disponibilidade de

Escalabilidade Oferece escalabilidade limitada Facilmente e altamente escalável
aplicativos na nuvem
Local x Hospedado x Nuvem

Existem muitas tecnologias para as organizações escolherem e implantarem aplicativos ou software
para executar seus negócios com eficiência. Uma organização deve considerar vários fatores, como
orçamento, tamanho da empresa e desafios de manutenção antes de escolher uma opção de
implantação. Escolher a plataforma de implantação apropriada para seus negócios costuma ser uma
tarefa desafiadora para as organizações. Antes de escolher uma opção de implantação, as organizações
devem estar cientes de várias tecnologias, seus recursos e quão seguros eles são. A tabela abaixo
descreve vários modelos de implantação de TI e seus serviços.
Parâmetros Local Nuvem Hospedado
A organização Um terceiro é proprietário Um terceiro é proprietário

estabelece o da infraestrutura e executa da plataforma; a empresa usa
Propriedade
infraestrutura e executa todas as operações de negócios os recursos com base no
as operações de negócios. para a organização. requisito.
O provedor de nuvem
O software ou Um terceiro configura todo o
instala o software ou
Implantação aplicativo é instalado em centro de hospedagem em
aplicativo no virtual
servidores físicos internos. nuvem ou centro de dados.
servidores.
O desempenho pode ser

Depende das habilidades dos Depende da velocidade da
atuação otimizado trabalhando com
funcionários internos. Internet.
o provedor de serviços.
A infraestrutura
A infraestrutura física e a
A infraestrutura virtual é privada alugada é relativamente
Custo configuração inicial são
paga de acordo com o uso. cara para a organização.
caras.

A plataforma pode realizar

Os sistemas podem O serviço de Internet ativo é comunicação tanto com uma rede
Conectividade
funcionar sem a Internet. obrigatoriedade. interna privada quanto com a Internet.
A segurança está sob o

Menos seguro do que outros controle da organização; todos os
Depende das habilidades da
Segurança opções, pois é totalmente operado sistemas devem estar atualizados
equipe de administração.
fora do local. e corrigidos constantemente.
Mantido por um interno Mantido pelo provedor de nuvem. Mantido por uma agência de
Manutenção
equipe. hospedagem terceirizada.
A escalabilidade depende da
Escalabilidade Oferece escalabilidade limitada. Facilmente e altamente escalável. disponibilidade de aplicativos na
nuvem.
Tabela 6.2: Comparação entre os modelos de implantação de TI no local, hospedado e na nuvem

Arquitetura de referência de implantação de nuvem NIST

A arquitetura de referência de computação em nuvem do NIST define cinco atores principais:
Consumidor de Nuvem
Uma pessoa ou organização que usa serviços de computação

em nuvem provedor de nuvem
provedor de nuvem Camada de serviço Serviço na nuvem
Consumidor de Nuvem Gerenciamento

Uma pessoa ou organização que presta serviços às SaaS
Corretor de Nuvem
partes interessadas PaaS Suporte de negócios
Auditor de Nuvem Serviço
IaaS intermediação
operadora de nuvem
auditoria de segurança Privacidade
Segurança
Provisionamento/
Um intermediário para fornecer conectividade e Serviço
Abstração de Recursos e Configuração
Privacidade
serviços de transporte entre consumidores e provedores
Agregação
Auditoria de impacto Camada de Controle
de nuvem
atuação Portabilidade/
Camada de Recursos Físicos Serviço
Auditor de Nuvem auditoria Interoperabilidade
hardware Arbitragem
Uma parte para fazer avaliações independentes dos
controles do serviço de nuvem e emitir uma opinião sobre isso Instalação
Corretor de Nuvem
Uma entidade que gerencia serviços de nuvem em termos operadora de nuvem
de uso, desempenho e entrega, e mantém o relacionamento

entre provedores de nuvem e
consumidores
Arquitetura de referência de implantação de nuvem NIST

A figura abaixo fornece uma visão geral da arquitetura de referência de computação em nuvem
do NIST; ele exibe os principais atores, atividades e funções na computação em nuvem. O
diagrama ilustra uma arquitetura genérica de alto nível, destinada a entender melhor os usos,
requisitos, características e padrões da computação em nuvem.
Figura 6.18: Arquitetura de referência de computação em nuvem NIST

Os cinco atores significativos são os seguintes:
ÿ Consumidor Nuvem
Um consumidor de nuvem é uma pessoa ou organização que mantém um relacionamento comercial com os
provedores de serviços de nuvem (CSPs) e utiliza os serviços de computação em nuvem. O consumidor de nuvem
navega nas solicitações do catálogo de serviços do CSP para os serviços desejados, estabelece contratos de
serviço com o CSP (diretamente ou por meio do agente de nuvem) e usa os serviços.
O CSP cobra o consumidor com base nos serviços prestados. O CSP deve cumprir o contrato de nível de serviço
(SLA) no qual o consumidor de nuvem especifica os requisitos técnicos de desempenho, como qualidade de
serviço, segurança e remédios para falha de desempenho. O CSP também pode definir limitações e obrigações,
se houver, que os consumidores de nuvem devem aceitar.
Os serviços disponíveis para um consumidor de nuvem nos modelos PaaS, IaaS e SaaS são os seguintes:
o PaaS – banco de dados (DB), inteligência de negócios, implantação de aplicativos, desenvolvimento

e teste e integração
o IaaS – armazenamento, gerenciamento de serviços, rede de entrega de conteúdo (CDN), plataforma

hospedagem, backup e recuperação e computação
o SaaS – recursos humanos, planejamento de recursos empresariais (ERP), vendas, gerenciamento de

relacionamento com clientes (CRM), colaboração, gerenciamento de documentos, e-mail e produtividade de
escritório, gerenciamento de conteúdo, serviços financeiros e redes sociais.
ÿ Provedor de Nuvem
Um provedor de nuvem é uma pessoa ou organização que adquire e gerencia a infraestrutura de computação
destinada a fornecer serviços (diretamente ou por meio de um agente de nuvem) às partes interessadas por meio
de acesso à rede.
ÿ Operador de Nuvem
Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte entre CSPs
e consumidores de nuvem. A operadora de nuvem fornece acesso aos consumidores por meio de uma rede,
telecomunicações ou outros dispositivos de acesso.
ÿ Auditor Nuvem
Um auditor de nuvem é uma parte que realiza um exame independente dos controles do serviço de nuvem para
expressar uma opinião a respeito. As auditorias verificam a adesão aos padrões por meio de uma revisão das
evidências objetivas. Um auditor de nuvem pode avaliar os serviços fornecidos por um CSP em relação aos
controles de segurança (gerenciamento, salvaguardas operacionais e técnicas destinadas a proteger a
confidencialidade, integridade e disponibilidade do sistema e suas informações), impacto na privacidade
(conformidade com as leis e regulamentos de privacidade aplicáveis que regem a privacidade de um indivíduo),
desempenho, etc.

ÿ Agente de nuvem
A integração de serviços em nuvem está se tornando muito complicada para os consumidores gerenciarem. Assim, um
consumidor de nuvem pode solicitar serviços de nuvem de um agente de nuvem, em vez de entrar em contato
diretamente com um CSP. O agente de nuvem é uma entidade que gerencia os serviços de nuvem em relação ao uso,
desempenho e entrega e mantém o relacionamento entre CSPs e consumidores de nuvem.
Os serviços fornecidos pelos corretores de nuvem se enquadram em três categorias:
o Intermediação de Serviços: Melhora uma determinada função por uma capacidade específica e
fornece serviços de valor agregado para consumidores de nuvem.
o Agregação de Serviços: Combina e integra vários serviços em um ou mais

novos serviços.
o Arbitragem de Serviços: Semelhante à agregação de serviços, mas sem a fixação dos serviços agregados (o cloud
broker pode escolher serviços de várias agências).

Arquitetura de armazenamento em nuvem
Arquitetura de armazenamento em nuvem de alto nível

O armazenamento em nuvem é um meio de armazenamento de dados
usado para armazenar dados digitais em pools lógicos usando uma rede Front-end
APIs públicas para dados e gerenciamento
A arquitetura de armazenamento em nuvem consiste Computador virtual Virtual
em três camadas principais , a saber, front-end, Servidores Computador

Servidores
middleware e back-end
A camada Front-end é acessada pelo usuário final Objeto Middleware

Bloquear, arquivar ou
Armazenar
onde fornece APIs para o gerenciamento do Armazenamento de objetos
armazenamento de dados
Conjuntos de armazenamento lógico

A camada Middleware executa várias funções , como
desduplicação de dados e replicação de dados
Processo interno
Servidores de armazenamento físico Armazenamento Físico
A camada de back-end é onde o hardware é Servidores
implementado Localização do serviço de nuvem 1 Localização n
Arquitetura de armazenamento em nuvem
O armazenamento em nuvem é um meio usado para armazenar dados digitais em pools lógicos usando uma rede. O
armazenamento físico é distribuído para vários servidores, que pertencem a uma empresa de hospedagem.
As organizações podem comprar capacidade de armazenamento dos provedores de armazenamento em nuvem para armazenar
dados de usuários, organizações ou aplicativos. Os provedores de armazenamento em nuvem são os únicos responsáveis por
gerenciar os dados e mantê-los disponíveis e acessíveis. Os serviços de armazenamento em nuvem podem ser acessados
usando um serviço de computação em nuvem, uma API de serviço da web ou qualquer aplicativo que use a API, como
armazenamento de desktop em nuvem, gateway de armazenamento em nuvem ou sistemas de gerenciamento de conteúdo baseados na web.
O serviço de armazenamento em nuvem é operado a partir de um serviço externo, como o Amazon S3.
A arquitetura de armazenamento em nuvem possui as mesmas características da computação em nuvem em termos de

escalabilidade, interfaces acessíveis e recursos medidos. Ele é construído em uma infraestrutura altamente virtualizada e conta
com várias camadas para fornecer serviços de armazenamento contínuo aos usuários. As três camadas principais correspondem
ao front-end, middleware e back-end. A camada front-end é acessada pelo usuário final e fornece APIs para o gerenciamento do
armazenamento de dados. A camada de middleware executa funções como eliminação de duplicação de dados e replicação de
dados. A camada de back-end é onde o hardware é implementado.
O armazenamento em nuvem é feito de recursos distribuídos. É altamente tolerante a falhas por meio de redundância, consistente
com a replicação de dados e altamente durável. Os serviços de armazenamento de objetos amplamente utilizados incluem
Amazon S3, Oracle Cloud Storage e Microsoft Azure Storage, Open Stack Swift, etc.

Figura 6.19: Arquitetura de armazenamento em nuvem

Provedores de serviços em nuvem
https:// aws.amazon.com
https:// azure.microsoft.com
https:// cloud.google.com https:// www.ibm.com
Discutidos abaixo estão alguns dos provedores de serviços de nuvem populares:
ÿ Amazon Web Service (AWS)
Fonte: https:// aws.amazon.com
A AWS fornece serviços de computação em nuvem sob demanda para indivíduos, organizações, governo
etc. com base no pagamento conforme o uso. Este serviço fornece a infraestrutura técnica necessária por
meio de ferramentas e computação distribuída. O ambiente virtual fornecido pela AWS inclui CPU, GPU,
RAM, armazenamento em HDD, sistemas operacionais, aplicativos e software de rede, como servidores web,
bancos de dados e CRM.
Figura 6.20: Captura de tela da Amazon AWS

ÿMicrosoft Azure
Fonte: https:// azure.microsoft.com
O Microsoft Azure fornece serviços de computação em nuvem para criar, testar, implantar e gerenciar
aplicativos e serviços por meio de datacenters do Azure. Ele fornece todos os tipos de serviços de computação
em nuvem, como SaaS, PaaS e IaaS. Oferece vários serviços em nuvem, como computação, armazenamento
móvel, gerenciamento de dados, mensagens, mídia, aprendizado de máquina e IoT.
Figura 6.21: captura de tela do Microsoft Azure
ÿ Google Cloud Platform (GCP)
Fonte: https:// cloud.google.com GCP
fornece IaaS, PaaS e serviços de computação sem servidor. Isso inclui computação, armazenamento e
análise de dados, aprendizado de máquina, rede, bigdata, IA em nuvem, ferramentas de gerenciamento,
identidade e segurança, IoT e plataformas de API.
Figura 6.22: captura de tela do Google Cloud Platform

ÿ IBM Nuvem
Fonte: https:// www.ibm.com
O IBM Cloud™ é um conjunto robusto de ferramentas avançadas de dados e IA e profundo conhecimento do setor.
Ele fornece vários serviços de nuvem, como IaaS, SaaS e PaaS, por meio de modelos de entrega de nuvem
pública, privada e híbrida. Esses serviços incluem computação, rede, armazenamento, gerenciamento, segurança,
bancos de dados, análises, IA, IoT, dispositivos móveis, ferramentas de desenvolvimento e blockchain.
Figura 6.23: captura de tela do IBM Cloud

Fluxo do módulo

Entenda a Nuvem
Práticas
Discuta os insights de segurança na nuvem e as melhores práticas

O objetivo desta seção é explicar a responsabilidade compartilhada de segurança em diferentes modelos de
serviços em nuvem (IaaS, PaaS e SaaS). Esta seção explica as funções corporativas na proteção dos vários
elementos da nuvem, como segurança e monitoramento do usuário (por exemplo, IAM, criptografia e gerenciamento
de chaves, segurança no nível do aplicativo, segurança e monitoramento do armazenamento de dados), registro
em log e conformidade. Esta seção também explica várias práticas recomendadas de segurança e ferramentas
usadas por empresas para segurança na nuvem. Esta seção explica as recomendações do NIST para segurança
na nuvem e várias ferramentas de segurança na nuvem.

Segurança na nuvem: responsabilidade compartilhada
1 A segurança e a conformidade da nuvem são responsabilidade Segurança na Nuvem

compartilhada do provedor de nuvem e
consumidor
2 De acordo com o módulo de nuvem selecionado, as

responsabilidades de segurança são divididas com base no
modelo de responsabilidade compartilhada
Nuvem Nuvem
Fornecedor Cliente
3
Se os consumidores não protegerem suas funções, todo o modelo
de segurança na nuvem falhará
Segurança na nuvem: responsabilidade compartilhada (continuação)
Modelo de responsabilidade compartilhada para segurança na nuvem
Local IaaS PaaS SaaS

Responsabilidade
(para referência) (Infraestrutura como um serviço) (Plataforma-como-servir=gelo) (Software como serviço)
Acesso do usuário
Dados
Formulários
Sistema operacional
Tráfego de rede
A infraestrutura
Fisica
Responsabilidade do Cliente Responsabilidade do provedor de nuvem
Segurança na nuvem: responsabilidade compartilhada
A segurança é uma responsabilidade compartilhada em sistemas de nuvem, em que os consumidores de nuvem e

os provedores de serviços em nuvem têm níveis variados de controle sobre os recursos de computação disponíveis.
De acordo com o módulo de nuvem selecionado, as responsabilidades de segurança são divididas com base no
modelo de responsabilidade compartilhada. Se os consumidores não protegerem suas funções, todo o modelo de
segurança na nuvem falhará.

Figura 6.24: Segurança na nuvem: responsabilidade compartilhada
Em comparação com os sistemas de TI tradicionais, nos quais uma única organização tem autoridade sobre
toda a pilha de recursos de computação e todo o ciclo de vida dos sistemas, os provedores de serviços em
nuvem e os consumidores trabalham juntos para projetar, construir, implantar e operar sistemas baseados em
nuvem. Portanto, ambas as partes compartilham responsabilidades para manter a segurança adequada nesses
sistemas. Diferentes modelos de serviços em nuvem (IaaS, PaaS e SaaS) implicam níveis variados de controle
entre os provedores de serviços em nuvem e os consumidores de nuvem.
Figura 6.25: Modelo de responsabilidade compartilhada para segurança na nuvem

Elementos de segurança na nuvem

Consumidores de serviços em nuvem Segurança e monitoramento do usuário
responsabilid
cliente
do ÿ Os consumidores de serviços em nuvem são responsáveis por:
ÿ Segurança e monitoramento do usuário (identidade e gerenciamento de acesso

(EU SOU)
Serviços de identidade (AuthN/Z, federação, delegação, provisionamento)
Serviços de suporte (Auditoria, gerenciamento de privilégios de superusuário)
Segurança da Informação - Dados

ÿ Dados de segurança da informação (criptografia e gerenciamento de chaves) ÿ Segurança no nível do aplicativo ÿ
Criptografia (trânsito, descanso, processamento), gerenciamento de chaves, ACL, registro
Segurança de armazenamento de dados ÿ Monitoramento, registro e conformidade
Segurança no nível do aplicativo
Responsab
provedor
nuvem
de
do Provedores de serviços em nuvem
ÿ Os provedores de serviços em nuvem são responsáveis por proteger a

infraestrutura compartilhada, incluindo roteadores, switches, balanceadores
PaaS
Pilha de aplicativos, conectores de serviço, banco de dados, armazenamento
Segurança de plataforma e infraestrutura
PaaS– NoSQL, API, filas de mensagens, armazenamento
Nível do sistema operacional convidado (Firewall, Hardening, Monitoramento de segurança)
de carga, firewalls, hipervisores, redes de armazenamento, consoles de Nível de hipervisor/host (firewalls, monitoramento de segurança)
IaaS
gerenciamento, DNS, serviços de diretório e nuvem

Nível de rede (BGP, balanceadores de carga, firewalls, monitoramento de segurança)
API
Elementos de segurança na nuvem (continuação)
Identidade e acesso Ciclo de vida do usuário Aprovar autorizações de usuários com base em funções/regras
Gerenciamento (IAM)
Contrato
Autenticação Gerenciamento de usuários Gerenciamento de autorização

Gerenciamento
Colaboradores,
ÿ IAM é o gerenciamento das Fornecedores, Parceiros,
Clientes, etc.
Modelo de autorização
identidades digitais dos Gerenciamento de usuários
Autoritário
Serviços
usuários e seus direitos de Uso
Origens Estado desejado
acesso aos recursos da nuvem

Gerenciamento e provisionamento de dados
ÿ Inclui a criação, Autenticação
Gerenciamento
gerenciamento e remoção Serviços
Serviços de provisionamento, gerenciamento de dados

de identidades digitais, bem Serviços (Manuais/Automatizados)
como a autorização de usuários

Serviços de monitoramento
Acesso serviços de auditoria

Gerenciamento
Serviços de relatórios
Serviços
Real
Estado
Acesso
Federação Monitoramento e Auditoria
Gerenciamento Sistemas e Aplicações

Observância
ÿ Uma ideia clara sobre os padrões de regulamentação que uma organização deseja
cumprir, juntamente com seus requisitos associados, permite que as organizações
se beneficiem da agilidade e crescimento dos negócios
ÿ Considerações de conformidade para que as organizações integrem seus

programas de conformidade com seus provedores de nuvem:
ÿ Conheça os requisitos que afetam uma organização para saber sobre as jurisdições
de uma organização, setor ou atividades empregadas pela organização para
conduzir negócios
ÿ Realizar avaliações de risco de conformidade regulares para ajudar as organizações

a adotar os processos de avaliação de risco atualizados e revisados regularmente
ÿ Monitorar e auditar o programa de conformidade da organização antes que uma crise

ocorra ajuda as organizações a determinar as lacunas e melhorar sua posição de
conformidade

(continua)
Segurança de armazenamento de dados
ÿ Em uma nuvem, os dados são armazenados em servidores conectados à Internet

em data centers e é responsabilidade dos data centers proteger os dados
ÿ As técnicas de segurança de armazenamento de dados incluem dados locais

criptografia, gerenciamento de chaves, gerenciamento de senha forte, avaliação
periódica de segurança de controles de segurança de dados, backup de dados
em nuvem, etc.
Monitoramento ÿ
O monitoramento é necessário para gerenciar serviços baseados em nuvem,

aplicativos e infraestrutura
ÿ O monitoramento de atividades deve observar as atividades como replicação de

dados, alterações de nomes de arquivos de dados, alterações de classificação
de arquivos de dados, alterações de propriedade de dados para monitorar acesso
não autorizado a dados, etc.

Exploração madeireira
ÿ Os logs de segurança são usados para

detecção de ameaças, análise de dados e
Segurança de rede auditorias de conformidade para aprimorar a
segurança na nuvem
ÿ Principal desafio na rede em nuvem
a segurança inclui a falta de visibilidade da rede ÿ O gerenciamento eficiente de
no monitoramento e gerenciamento de atividades logs de segurança para nuvem inclui
suspeitas pelo consumidor agregar todos os logs, capturar dados
apropriados, controlar a coleta de logs e a
ÿ A segurança da rede em nuvem requer o frequência de distribuição, garantir a
seguir recursos de segurança adicionais, como
escalabilidade do sistema, etc.
criptografar dados em trânsito, fornecer autenticação
multifator, instalar firewalls, ativar a prevenção contra
perda de dados,
etc.
Consumidores de serviços em nuvem
Os consumidores de serviços em nuvem são responsáveis por:
ÿ Segurança e monitoramento de usuários (gerenciamento de identidade e acesso (IAM)
ÿ Segurança da informação – dados (criptografia e gerenciamento de chaves)
ÿ Segurança no nível do aplicativo
ÿ Segurança de armazenamento de dados
ÿ Monitoramento, registro e conformidade
Os provedores de serviços em nuvem são responsáveis por proteger a infraestrutura compartilhada, incluindo roteadores, switches,
balanceadores de carga, firewalls, hipervisores, redes de armazenamento, consoles de gerenciamento, DNS, serviços de diretório e API de
nuvem.

Figura 6.26: Elementos de segurança na nuvem
O gerenciamento de identidade e acesso (IAM) oferece controle de acesso baseado em função aos clientes
ou funcionários de uma organização para acessar informações críticas dentro da empresa. Compreende
processos de negócios, políticas e tecnologias que permitem a vigilância de identidades eletrônicas ou
digitais. Os produtos IAM fornecem ferramentas e tecnologias aos administradores do sistema para regular
o acesso do usuário (criar, gerenciar e remover o acesso) a sistemas ou redes com base nas funções de
usuários individuais dentro da empresa. As organizações geralmente preferem a autenticação multifuncional
que pode ser estendida à Federação de Identidade. Porque a Federação de Identidade inclui IAM com logon
único (SSO) e uma conta AD centralizada para gerenciamento seguro. Além disso, o IAM habilita a
autenticação multifator (MFA) para o usuário raiz e suas contas de usuário associadas. O MFA é usado para
controlar o acesso às APIs do serviço em nuvem.
No entanto, a melhor opção é selecionar um MFA virtual ou um dispositivo de hardware.

Figura 6.27: Gerenciamento de identidade e acesso (IAM)
Observância
Uma compreensão clara dos requisitos de uma organização e como a conformidade é alcançada pode permitir que
as organizações se beneficiem da agilidade e do crescimento dos negócios. A falha de conformidade pode levar a
multas regulatórias, ações judiciais, incidentes de segurança cibernética e danos à reputação.
A seguir estão as considerações de conformidade para uma organização integrar seus programas de conformidade
com seus provedores de nuvem.
ÿ Conhecer os requisitos que impactam uma organização é importante. Esses requisitos são baseados na
jurisdição de uma organização, indústria ou nas atividades empregadas por uma organização para sua
operação.
ÿ A realização regular de avaliações de risco de conformidade ajuda as organizações a estabelecer a base

de um forte programa de conformidade. Esse processo permite que as organizações adotem os processos
de avaliação de riscos atualizados e revisados regularmente.
ÿ Monitorar e auditar o programa de conformidade de uma organização proativamente ou antes que uma
crise ocorra pode ajudar as organizações a encontrar lacunas e melhorar sua posição de conformidade.
Segurança de armazenamento de dados
Em uma nuvem, os dados são armazenados em servidores conectados à Internet em datacenters, e é

responsabilidade dos datacenters proteger os dados. No entanto, os clientes devem proteger seus dados para
garantir a segurança de dados abrangente
Técnicas de segurança de armazenamento de dados:
ÿ Criptografia de dados locais: Garantindo a confidencialidade de dados confidenciais na nuvem.

ÿ Gerenciamento de chaves: geração, uso, proteção, armazenamento, backup e exclusão de chaves de criptografia.
O gerenciamento de chaves na nuvem garante uma segurança de chave estrita devido à maior possibilidade de
exposição de chaves.
ÿ Gerenciamento de senhas fortes: usar senhas fortes e alterá-las regularmente

intervalos.
ÿ Avaliação periódica de segurança dos controles de segurança de dados: Monitoramento contínuo e

revisar os controles de segurança de dados implementados.
ÿ Backup de dados na nuvem: Fazer backups locais dos dados na nuvem evita possíveis perdas de dados em
a organização.
Segurança de rede
O principal desafio na segurança da rede em nuvem inclui a falta de visibilidade da rede no monitoramento e gerenciamento
de atividades suspeitas do consumidor. A segurança de rede em nuvem requer os seguintes recursos de segurança
adicionais em comparação com os recursos de segurança de rede tradicionais.
ÿ Criptografar dados em trânsito
ÿ Forneça autenticação multifator
ÿ Instalar firewalls
ÿ Habilitar a prevenção contra perda de dados
Métodos para proteger uma rede na nuvem
ÿ Usando DMZs
ÿ Isolar recursos com sub-redes, firewalls e tabelas de roteamento
ÿ Protegendo as configurações de DNS
ÿ Limitando o tráfego de entrada/saída
ÿ Proteger exposições acidentais
ÿ Sistemas de detecção e prevenção de intrusão
ÿ Implementação de camadas de firewall
Monitoramento
O monitoramento de nuvem é necessário para gerenciar serviços, aplicativos e infraestrutura baseados em nuvem.
O monitoramento eficaz da nuvem ajuda uma organização a proteger um ambiente de nuvem contra possíveis ameaças,
armazenar e transferir dados na nuvem com facilidade e proteger os dados pessoais de
clientes.
O monitoramento de atividades deve observar as seguintes atividades para monitorar dados não autorizados
Acesso:
ÿ Replicação de dados: desempenha um papel fundamental no gerenciamento de dados, migrando bancos de dados
online e sincronizando os dados em tempo real. O monitoramento da migração deve ser executado durante a
replicação de dados.

ÿ Alterações no nome do arquivo de dados: atividades de manipulação de dados, como alterações no nome do arquivo de dados, devem
ser monitoradas. Os atributos de alteração de arquivo devem ser utilizados para monitorar alterações no sistema de arquivos.
ÿ Alterações na classificação de arquivos: o monitoramento de atividades por meio de alterações na classificação de arquivos ajuda
na determinação de quaisquer alterações nos arquivos de dados em nuvem.
ÿ Alterações de propriedade de dados: o monitoramento da atividade de dados por meio de alterações de propriedade de dados deve ser
monitorado de perto para evitar acesso não autorizado e violação de segurança.
O monitoramento de dados deve definir limites e regras para atividades normais, o que pode ajudar na detecção de atividades incomuns e enviar
alertas aos proprietários de dados se qualquer violação for observada no limite definido.
Exploração madeireira
Os logs de segurança fornecem um registro das atividades no ambiente de TI de uma organização. Eles são usados para detecção de ameaças,
análise de dados e auditorias de conformidade para aprimorar a segurança na nuvem.
Após a adoção acelerada de plataformas de nuvem, em vez de usar alguns servidores, as empresas agora mantêm milhares de servidores que
desempenham um papel menor na pilha de infraestrutura de aplicativos. Isso complica a agregação de silos de dados.
Para garantir um gerenciamento de log eficiente e seguro na nuvem, as organizações devem seguir as práticas a seguir.
ÿ Agregar todos os logs
ÿ Capturar Dados Apropriados
ÿ Mantenha os aplicativos seguros
ÿ Escalabilidade do Sistema

Identidade e acesso da AWS

Gerenciamento
ÿ O IAM permite que os usuários controlem com segurança o acesso aos serviços da AWS e
Recursos
ÿ AWS IAM permite estabelecer regras de acesso e permissões para

usuários e aplicativos
Conta
Grupo: Grupo:
Grupo: Teste
Administradores Desenvolvedores
atormentar Oliver Jorge
Mike Jack Jacó
DevApp1 TestApp1
Gerenciamento de identidade e acesso da AWS
O gerenciamento de identidade e acesso (IAM) da AWS é um serviço da web que permite ao cliente
controlar com segurança o acesso aos serviços e recursos da AWS. Ele ajuda a estabelecer as regras
de acesso e permissões para usuários e aplicativos específicos. Ele controla quem é autenticado
(conectado) e autorizado (tem permissões) para acesso a recursos.
Figura 6.28: Contas

Recursos IAM
Os principais recursos do IAM incluem
ÿ Acesso compartilhado à conta da AWS/segurança aprimorada
Criar nomes de usuário e senhas para outros usuários/grupos para delegar acesso a recursos e APIs de
serviços específicos da AWS sem compartilhar sua senha ou chave de acesso.
ÿ Permissões granulares
Conceder permissões diferentes a pessoas diferentes para vários recursos para fornecer granularidade para
controlar o acesso do usuário a serviços e recursos específicos da AWS.
ÿ Acesso seguro aos recursos da AWS para aplicativos executados no Amazon EC2
Fornecer credenciais para aplicativos executados em instâncias do EC2 para permitir que os aplicativos
acessem outros recursos da AWS.
ÿ Autenticação multifator
Adicionando autenticação de dois fatores às contas de usuário para segurança adicional.
ÿ Federação de Identidade
Permitindo usuários que já possuem senhas em outros lugares e permitindo que os usuários tenham apenas
uma senha para trabalho no ambiente local e na nuvem.
ÿ Informações de identidade para garantia
Receber registros de log se os usuários utilizarem o AWS CloudTrail.
ÿ Norma de Segurança de Dados da Indústria de Cartões de Pagamento
Suporte ao padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) para organizações
que lidam com cartões de crédito de marca dos principais esquemas de cartões.
ÿ Integrado com Serviços AWS
Habilitar o fornecimento de controles de acesso a partir de um local específico no console de gerenciamento

da AWS, que será implementado em todo o ambiente da AWS.
ÿ Política de Senha
Permitindo redefinir uma senha ou alternar senhas remotamente e definir regras para uso de senha.
ÿ Políticas e Grupos
Use grupos IAM para facilitar o gerenciamento de permissões e seguir as melhores práticas de IAM. O IAM
permite a organização de usuários do IAM em grupos do IAM e aplica uma política a cada grupo; usuários
individuais ainda possuem suas credenciais.

AWS IAM: bloqueie o usuário raiz da sua conta da AWS

Chaves de acesso
ÿ A chave de acesso (um ID de chave de acesso e uma chave de acesso secreta) é usada para fazer solicitações programáticas à AWS
ÿ A chave de acesso da conta de usuário raiz da AWS fornece acesso total a todos os recursos da AWS
Habilitando o AWS MFA na conta de usuário raiz da AWS

Para proteger a chave de acesso do usuário root:
ÿ Não crie usuário root da AWS

chaves de acesso à conta, a menos que necessário
ÿ Altere a chave de acesso da conta do usuário

root da AWS regularmente
ÿ Nunca compartilhe o usuário root da AWS

senha da conta ou chaves de acesso
ÿ Use senhas fortes para fazer login

no Console de gerenciamento da AWS
ÿ Habilite o AWS MFA no usuário raiz da AWS

conta
AWS IAM: bloqueie sua conta da AWS Chaves de acesso do usuário raiz A chave de acesso
(um ID de chave de acesso e uma chave de acesso secreta) permite solicitações programáticas para a AWS.
No entanto, não é recomendável usar a chave de acesso do usuário raiz da AWS porque ela pode fornecer acesso completo a todos
os recursos dos serviços da AWS. Deve-se observar que os usuários não podem reduzir as permissões associadas à chave de
acesso do usuário raiz da AWS.
Chave de acesso do usuário root seguro
Para proteger a chave de acesso do usuário root,
ÿ Uma chave de acesso de usuário raiz da AWS não deve ser criada, a menos que seja necessário. Em vez disso, o
endereço de e-mail e a senha da conta devem ser usados para fazer login no console de gerenciamento da AWS e criar
um usuário IAM administrativo.
ÿ A chave de acesso do usuário raiz da AWS deve ser alterada ou excluída regularmente.
Etapas para excluir ou alterar as chaves de acesso do usuário raiz:
o Acesse a página Minhas credenciais de segurança no console de gerenciamento da AWS.
o Faça login com o endereço de e-mail e a senha da sua conta.
o Gerenciar chaves de acesso na seção de chaves de acesso.
ÿ Nunca compartilhe a senha do usuário root AWS ou chaves de acesso para evitar ter que incorporar
eles em um aplicativo.
ÿ Use senhas fortes para fazer login no console de gerenciamento da AWS.
Etapas para usar senhas fortes:

o Selecione o nome ou número da conta desejada; em seguida, selecione Minha conta na parte superior
canto direito do console de gerenciamento da AWS.
o Selecione Editar no lado direito da página ao lado da seção Configurações da conta .
o Selecione Editar para alterar a senha na linha Senha .
o A AWS exige que a senha satisfaça as seguintes condições:
• A senha deve ter no mínimo 8 e no máximo 128 caracteres.
• A senha deve incluir pelo menos três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números
e ! @ # $ % ^ & * () <> [] {} | _+-= símbolos.
• A senha não deve ser idêntica ao nome ou e-mail da conta da AWS

Morada.
ÿ Habilite o AWS MFA na conta do usuário raiz da AWS.
Etapas para habilitar dispositivos MFA:
o Adquira qualquer um dos seguintes dispositivos MFA. Observe que apenas um dispositivo MFA pode ser
ativado por conta de usuário raiz da AWS ou usuário IAM.
• Dispositivo MFA virtual
• Dispositivo U2F
• Dispositivo MFA baseado em hardware
• Celular
o Ative o dispositivo MFA.
• Os usuários do IAM com dispositivos MFA virtuais ou de hardware podem habilitar seus dispositivos
Console de gerenciamento da AWS, AWS CLI ou API do IAM.
• Para usuários IAM com chaves de segurança U2F ou um telefone celular que pode receber textos SMS,
o dispositivo MFA pode ser ativado no console de gerenciamento da AWS.
• Para contas de usuário raiz da AWS com qualquer tipo de dispositivo MFA (exceto SMS MFA), o
dispositivo pode ser habilitado no console de gerenciamento da AWS.
Figura 6.29: Habilitando AWS MFA na conta de usuário raiz da AWS

AWS IAM: criar usuários individuais do IAM

1 2 3
Não permita que um usuário use o Forneça um conjunto exclusivo de Isso ajudará a alterar ou revogar
conta de usuário raiz; em vez disso, crie credenciais de segurança e permissões as permissões de
contas de usuário individuais apropriadas para os usuários do IAM Usuários do IAM conforme necessário
para acessar os serviços da AWS
AWS IAM: criar usuários individuais do IAM
Recomenda-se evitar o uso da conta de usuário raiz da AWS para acessar a AWS. Em vez disso, contas de usuário individuais
devem ser criadas para acessar a AWS. Da mesma forma, um usuário deve criar um usuário IAM para si e habilitá-lo com
permissões administrativas; esta conta deve ser usada para todas as operações. Cada usuário do IAM deve receber um
conjunto exclusivo de credenciais de segurança e diferentes permissões. As permissões de usuário do IAM devem ser
alteradas ou revogadas, se necessário.
Etapas para criar um novo usuário do IAM:
ÿ Selecione Usuários na seção Gerenciamento de identidade e acesso (IAM) e clique em Adicionar

usuário para criar um novo usuário.
Figura 6.30: Adicionar um usuário
ÿ
No campo Nome do usuário , forneça qualquer nome (aqui, Alice).

ÿ Para Tipo de acesso, forneça acesso ao Console de gerenciamento da AWS para Alice na
seção Selecionar tipo de acesso da AWS . Selecione o botão de opção Senha personalizada
e insira uma senha no campo Senha . A guia Exigir redefinição de senha é opcional; no entanto,
habilite essa configuração. Em seguida, clique em Próxima permissão.
Figura 6.31: Defina a senha do console para o usuário Alice
ÿ Na seção Definir permissões , a opção Adicionar usuário ao grupo é selecionada por padrão.
Verifique o grupo recém-criado (aqui, Training_Group); isso adicionará o usuário ao grupo. Em
seguida, clique em Avançar: Tags.

Figura 6.32: Adicionar um usuário ao grupo
ÿ As tags são opcionais; no entanto, a marcação ajuda a procurar chaves de marca facilmente no futuro.
Especifique Departamento como Chave de Tag e Valor-Chave como Treinamento. Clique em Next: Review para
revisar a criação do usuário IAM.
Figura 6.33: Especificar tags

ÿ Depois de verificar as configurações na página Revisão, clique em Criar usuário.
Figura 6.34: Criar usuário
ÿ Após clicar em Criar usuário, uma mensagem de sucesso é exibida.
Figura 6.35: Mensagem de confirmação

AWS IAM: use grupos para atribuir permissões

a usuários do IAM
ÿ Crie grupos e atribua

permissões para reduzir a complexidade do
gerenciamento de acesso para organizações com
grande número de usuários
ÿ Crie grupos com funções de trabalho semelhantes
Vantagens:
Atribuir e reatribuir direitos a grupos é fácil

e consome menos tempo
Reduz a atribuição acidental de maiores

privilégios aos usuários
AWS IAM: Use grupos para atribuir permissões a usuários do IAM Conceder
permissões a cada usuário do IAM pode ser uma tarefa difícil. Portanto, crie grupos e defina direitos e
permissões específicos para cada grupo. Adicione contas de usuário do IAM a esses grupos com base em
suas funções de trabalho. Isso pode ajudar a modificar os usuários IAM de um grupo específico em um ponto
e reduzir a complexidade do gerenciamento de acesso para organizações com vários usuários e a atribuição
acidental de privilégios mais altos aos usuários. É fácil e consome menos tempo atribuir e reatribuir direitos a
grupos. Se a função de um usuário for alterada, a conta de usuário do IAM poderá ser transferida para o novo
grupo.
ÿ Clique em Grupos no painel esquerdo em Gerenciamento de identidade e acesso (IAM).
Figura 6.36: Clique em Grupos no Painel

ÿ Clique em Criar novo grupo.
Figura 6.37: Clique no botão “Criar novo grupo”
ÿ Na seção Definir nome do grupo, digite o nome do grupo no campo Nome do grupo
(aqui, Training_Group) e clique em Next Step.
Figura 6.38: Definir nome do grupo

ÿ
Na seção Attach Policy , procure por iamuserchangepassword; os registros correspondentes são
filtrados e, em seguida, verifique IAMUserChangePassword.
Figura 6.39: Verifique o nome da política “IamUserChangePassword”
ÿ Procure por administrador de banco de dados; os registros correspondentes são filtrados, verifique
DatabaseAdministrator e clique em Next.
Figura 6.40: Verifique o nome da política “DatabaseAdministrator”

ÿ
Na seção Revisão , duas políticas são adicionadas. Clique em Criar grupo.
Figura 6.41: Criar grupo com as políticas selecionadas
ÿ Training_Group é criado em Groups.
Figura 6.42: Criar grupo

AWS IAM: conceder privilégio mínimo

ÿ Para implementar um controle de acesso mais granular, comece com permissões
mínimas e gradualmente adicione permissões conforme necessário
ÿ Implementar acesso condicional para restringir o acesso privilegiado
ÿ Use a guia Access Advisor para monitorar regularmente o acesso do usuário
ÿ Implemente políticas baseadas em recursos para restringir o acesso a

Recursos
AWS IAM: conceder privilégio mínimo
Durante a criação de políticas do IAM, as permissões são necessárias apenas para executar as tarefas
necessárias. Assim, as políticas devem ser formuladas de acordo com os papéis dos usuários. Inicialmente,
devem ser fornecidas permissões mínimas para garantir a segurança; as permissões podem ser estendidas
no futuro. Os tipos de ação incluem lista, leitura, gravação, gerenciamento de permissão e marcação. Por
exemplo, se as ações forem selecionadas nos níveis de acesso Lista e Leitura, elas serão usadas para
conceder acesso somente leitura aos usuários. Um exemplo das ações das políticas e suas descrições
são dadas abaixo.
O recurso de dados “service last access” pode ser usado para visualizar os dados na guia Access Advisor
no console do IAM. Os mesmos dados podem ser visualizados na seção AWS Organizations do console
do IAM se o usuário estiver conectado com as credenciais da conta mestra. Essas informações podem ser
usadas para exibir as permissões desnecessárias para refiná-las adequadamente. Os eventos de uma
conta no histórico de eventos do AWS CloudTrail podem ser usados para implementar permissões
granulares adicionais.

Figura 6.43: Permissões de serviço concedidas ao usuário e quando um serviço foi acessado pela última vez
Figura 6.44: Exibindo as políticas de concessão de permissões

AWS IAM: use políticas gerenciadas pela AWS

Políticas gerenciadas pela AWS
AWS
Conta AWS1 Conta da AWS2
Administradores de grupo Oliver
ÿ As políticas gerenciadas pela

Acesso do administrador da política
AWS são políticas independentes
atormentar
criadas e administradas pela AWS
ÿ As políticas gerenciadas pela AWS são Mike

Jorge
projetadas para fornecer permissões para

Susana
Política PowerUserAccess
casos de uso
ÿ Use políticas gerenciadas pela AWS ao projetar Função EC2 - Aplicativo
e criar políticas de acesso
Função ThirdPartyAccess
Política AWSCloudTrailReadOnlyAccess
AWS IAM: use políticas gerenciadas pela AWS
Os administradores precisam de algum tempo para entender as políticas e fornecê-las aos funcionários para que
executem as tarefas necessárias. Eles precisam entender melhor as políticas do IAM e devem testar o IAM antes
da implementação. Os usuários também precisam estar cientes das tarefas que devem executar e entender as
permissões concedidas a eles.
Para melhor compreensão, as políticas gerenciadas pela AWS fornecem permissões aos usuários e os familiarizam
com as tarefas que devem executar com as permissões concedidas. As políticas gerenciadas pela AWS (políticas
independentes criadas e administradas pela AWS) são úteis até o design e a criação de políticas de acesso.
As políticas gerenciadas pela AWS fornecem permissões para muitos casos de uso comuns:
ÿ As políticas gerenciadas da AWS de acesso total definem permissões para administradores de serviço,
concedendo acesso total a um serviço. Por exemplo, AmazonDynamoDBFullAccess e IAMFullAccess.
ÿ As políticas gerenciadas pela AWS para usuários avançados fornecem vários níveis de acesso aos
serviços da AWS sem permitir o gerenciamento de permissões. Por exemplo, AWSCodeCommitPowerUser
e AWSKeyManagementServicePowerUser.
ÿ As políticas gerenciadas pela AWS de acesso parcial fornecem níveis específicos de acesso à AWS e
Serviços. Por exemplo, AmazonMobileAnalyticsWriteOnlyAccess
AmazonEC2ReadOnlyAccess.

Figura 6.45: Políticas gerenciadas pela AWS
O diagrama acima ilustra três políticas gerenciadas pela AWS: AdministratorAccess,

PowerUserAccess e AWSCloudTrailReadOnlyAccess. Aqui, uma única política gerenciada pela
AWS é anexada às entidades principais em diferentes contas da AWS e diferentes entidades
principais em uma única conta da AWS.

Práticas recomendadas para proteger a nuvem
Aplicar mecanismos de proteção, backup e Aplicar contratos legais na política de

01 retenção de dados comportamento dos funcionários 05
Aplicar SLAs para aplicação de patches Proibir o compartilhamento de credenciais de

02 e correção de vulnerabilidades usuário entre usuários, aplicativos e serviços 06
Os fornecedores devem passar regularmente Implemente controles fortes de autenticação,

03 Auditorias AICPA SAS 70 Tipo II autorização e auditoria 07
Verifique a própria nuvem em listas Verifique a proteção de dados no estágio

04 negras de domínio público de design e no tempo de execução 08
Práticas recomendadas para proteger a nuvem
A seguir, são discutidas várias práticas recomendadas para proteger um ambiente de nuvem:
ÿ Aplicar proteção de dados, backup e mecanismos de retenção.
ÿ Aplicar SLAs para aplicação de patches e correção de vulnerabilidades.
ÿ Os fornecedores devem passar regularmente por auditorias AICPA SAS 70 Tipo II.
ÿ Verifique sua nuvem em listas negras de domínio público.
ÿ Aplicar contratos legais na política de comportamento dos funcionários.
ÿ Proibir o compartilhamento de credenciais de usuário entre usuários, aplicativos e serviços.
ÿ Implementar controles seguros de autenticação, autorização e auditoria.
ÿ Verifique a proteção de dados no design e no tempo de execução.
ÿ Implementar fortes práticas de geração, armazenamento, gerenciamento e destruição de chaves.
ÿ Monitore o tráfego do cliente em busca de atividades maliciosas.
ÿ Impeça o acesso não autorizado ao servidor usando pontos de verificação de segurança.
ÿ Divulgar logs e dados aplicáveis aos clientes.
ÿ Analisar as políticas de segurança e SLAs do provedor de nuvem.
ÿ Avalie a segurança das APIs de nuvem e registre o tráfego de rede do cliente.
ÿ Certifique-se de que a nuvem seja submetida a verificações e atualizações de segurança regulares.
ÿ Certifique-se de que a segurança física seja um assunto 24 x 7 x 365.

ÿ Aplicar padrões de segurança na instalação/configuração.
ÿ Certifique-se de que a memória, o armazenamento e o acesso à rede estejam isolados.
ÿ Aproveite as fortes técnicas de autenticação de dois fatores, sempre que possível.
ÿ Aplicar um processo básico de notificação de violação de segurança.
ÿ Analisar os módulos de software da cadeia de dependência da API.
ÿ Aplicar processos rigorosos de registro e validação.
ÿ Executar avaliação de vulnerabilidade e risco de configuração.
ÿ Divulgar informações de infraestrutura, patches de segurança e detalhes de firewall para os clientes.

Recomendações do NIST
para segurança na nuvem
01
Avalie o risco representado aos dados, software e infraestrutura do cliente
02 Selecione um modelo de implantação adequado de acordo com as necessidades
03 Garantir que os procedimentos de auditoria estejam em vigor para proteção de dados e

isolamento de software
04 Renovar SLAs em caso de lacunas de segurança encontradas entre os

requisitos de segurança da organização e os padrões do provedor de nuvem
05
Estabelecer mecanismos apropriados de detecção e relatório de incidentes
06
Analisar quais são os objetivos de segurança da organização
07 Informe-se sobre quem é responsável pela privacidade de dados e questões de segurança na

nuvem
Recomendações do NIST para segurança na nuvem
ÿ Avaliar o risco representado aos dados, software e infraestrutura do cliente.
ÿ Selecione um modelo de implantação apropriado de acordo com as necessidades.
ÿ Garantir que os procedimentos de auditoria estejam em vigor para proteção de dados e isolamento de software.
ÿ Renovar SLAs em caso de lacunas de segurança entre os requisitos de segurança da organização

e os padrões do provedor de nuvem.
ÿ Estabelecer mecanismos apropriados de detecção e relatório de incidentes.
ÿ Analisar os objetivos de segurança da organização.
ÿ Informe-se sobre quem é o responsável pela privacidade de dados e questões de segurança na nuvem.

Segurança de nuvem da organização/provedor

Lista de verificação de conformidade
Gerenciamento Provedor da organização

Todos estão cientes de suas responsabilidades de segurança na nuvem?
Existe um mecanismo para avaliar a segurança de um serviço em nuvem?
A governança de negócios mitiga os riscos de segurança que podem resultar da “TI

paralela” baseada em nuvem?
A organização sabe em quais jurisdições seus dados podem residir?
Existe um mecanismo para gerenciar os riscos relacionados à nuvem?
A organização entende a arquitetura de dados necessária para operar com

segurança adequada em todos os níveis?
A organização pode ter certeza da continuidade do serviço de ponta a ponta em

vários provedores de serviços em nuvem?
O provedor cumpre todos os padrões relevantes do setor (por exemplo, a Lei de Proteção
de Dados do Reino Unido)?
A função de conformidade compreende as questões regulamentares específicas relativas

à adoção de serviços em nuvem pela organização?
Lista de verificação de conformidade de segurança de nuvem da organização/provedor
As tabelas abaixo fornecem listas de verificação para determinar se a equipe de segurança, o restante da organização e qualquer provedor
de nuvem proposto podem garantir a segurança da nuvem.
Listas de verificação para determinar se o CSP está adequado e pronto para a segurança na nuvem:
Equipe de segurança
Os membros da equipe de segurança são treinados formalmente em tecnologias de nuvem? ÿ
As políticas de segurança da organização consideram a infraestrutura em nuvem? ÿ
A equipe de segurança já esteve envolvida na implementação da infraestrutura de nuvem? ÿ
Uma organização definiu procedimentos de avaliação de segurança para infraestrutura de nuvem?

ÿ
Uma organização já foi auditada quanto a ameaças de segurança na nuvem? ÿ
A adoção da nuvem pela organização estará em conformidade com os padrões de segurança seguidos pela
ÿ
organização?
A governança de segurança foi adaptada para incluir a nuvem? ÿ
A equipe possui recursos adequados para implementar infraestrutura e segurança em nuvem?

ÿ
Tabela 6.3: Lista de verificação para determinar se a equipe de segurança está apta e pronta para a segurança na nuvem

Operação Provedor da organização
Os relatórios de conformidade regulatória, relatórios de auditoria e informações

ÿ ÿ
de relatórios estão disponíveis no provedor?
As políticas e procedimentos de tratamento de incidentes e continuidade de negócios da

ÿ ÿ
organização são projetados considerando questões de segurança na nuvem?
Os relatórios de conformidade e auditoria do provedor de serviços de nuvem estão acessíveis

ÿ ÿ
à organização?
O SLA do CSP aborda o tratamento de incidentes e as preocupações de continuidade

ÿ ÿ
dos negócios?
O CSP tem políticas e procedimentos claros para lidar com evidências digitais
ÿ ÿ
na infraestrutura de nuvem?
O próprio CSP está em conformidade com os padrões do setor? ÿ ÿ
O CSP possui pessoal qualificado e suficiente para resolução de incidentes e gerenciamento

ÿ ÿ
de configuração?
O CSP definiu procedimentos para apoiar a organização em caso de incidentes em um

ÿ ÿ
ambiente multilocatário?
O uso de um provedor de nuvem oferece à organização uma vantagem ambiental?

ÿ ÿ
A organização sabe em qual aplicativo ou banco de dados cada entidade de dados é

ÿ ÿ
armazenada ou controlada?
O aplicativo baseado em nuvem é mantido e tolerante a desastres (ou seja, ele se

ÿ ÿ
recuperaria de um desastre interno ou externo)?
Todo o pessoal é adequadamente examinado, monitorado e supervisionado? ÿ ÿ
O CSP oferece a flexibilidade de realocação e troca de serviços?

ÿ ÿ
O CSP implementou controles de segurança de perímetro (por exemplo, IDS,

ÿ ÿ
firewalls) e fornece logs de atividades regulares para a organização?
O CSP fornece garantia razoável de qualidade ou disponibilidade de serviço?

ÿ ÿ
É fácil integrar com segurança os aplicativos baseados em nuvem no tempo de execução

ÿ ÿ
e na rescisão do contrato?
O CSP fornece suporte 24 horas por dia, 7 dias por semana, para operações em nuvem e problemas
ÿ ÿ
relacionados à segurança?
Os processos de aquisição contêm requisitos de segurança na nuvem? ÿ ÿ
O CSP frequentemente realiza avaliações de vulnerabilidade para identificar falhas de

ÿ ÿ
segurança e aplicar os patches necessários?
Tabela 6.4: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em suas operações

Tecnologia Provedor da organização
Existem controles de acesso apropriados (por exemplo, logon único federado) que fornecem
ÿ ÿ
aos usuários acesso controlado a aplicativos em nuvem?
A separação de dados é mantida entre a organização e as informações do cliente no

ÿ ÿ
tempo de execução e durante o backup (incluindo o descarte de dados)?
A organização considerou e abordou backup, recuperação, arquivamento e

desativação de dados armazenados no ambiente de nuvem? ÿ ÿ
Existem mecanismos para autenticação, autorização e gerenciamento de chaves no

ÿ ÿ
ambiente de nuvem?
Existem mecanismos para gerenciar o congestionamento da rede, conexão incorreta,

configuração incorreta, falta de isolamento de recursos, etc., que afetam os serviços e a ÿ ÿ
segurança?
A organização implementou controles de segurança suficientes nos dispositivos clientes

ÿ ÿ
usados para acessar a nuvem?
Todos os sistemas baseados em nuvem, infraestrutura e localizações físicas estão

ÿ ÿ
devidamente protegidos?
Os projetos de rede são adequadamente seguros para a estratégia de adoção da

ÿ ÿ
nuvem da organização?
Tabela 6.5: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em sua tecnologia
Gerenciamento Provedor da organização
Todos estão cientes de suas responsabilidades de segurança na nuvem? ÿ ÿ
Existe um mecanismo para avaliar a segurança de um serviço em nuvem? ÿ ÿ
A governança de negócios mitiga os riscos de segurança que podem resultar da “TI

ÿ ÿ
paralela” baseada em nuvem?
A organização sabe em quais jurisdições seus dados podem residir?

ÿ ÿ
Existe um mecanismo para gerenciar os riscos relacionados à nuvem? ÿ ÿ
A organização entende a arquitetura de dados necessária para operar com segurança

ÿ ÿ
adequada em todos os níveis?
A organização pode ter certeza da continuidade do serviço de ponta a ponta em

ÿ ÿ
vários provedores de serviços em nuvem?
O provedor cumpre todos os padrões relevantes do setor (por exemplo, a Lei de Proteção
ÿ ÿ
de Dados do Reino Unido)?
A função de conformidade compreende as questões regulamentares específicas relativas

ÿ ÿ
à adoção de serviços em nuvem pela organização?
Tabela 6.6: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em seu gerenciamento

Ferramentas de segurança na nuvem
Uma solução de segurança de TI de ponta a ponta que fornece uma avaliação

Nuvem Qualys
contínua e sempre ativa da postura global de segurança e conformidade, com
Plataforma
visibilidade de todos os ativos de TI, independentemente de onde residam
CloudPassage Halo
https:// www.cloudpassage.com
McAfee MVISION Cloud

CipherCloud
https:// www.ciphercloud.com
Netskope Security Cloud

https:// www.netskope.com
Prisma Cloud
https:// www.paloaltonetworks.com
https:// www.qualys.com
Ferramentas de segurança na nuvem
Algumas ferramentas para proteger o ambiente de nuvem incluem o seguinte:
ÿ Qualys Cloud Platform
Fonte: https:// www.qualys.com
Qualys Cloud Platform é uma solução de segurança de TI de ponta a ponta que fornece uma avaliação
contínua e sempre ativa da postura global de segurança e conformidade, com visibilidade de todos os
ativos de TI, independentemente de onde residam. Inclui sensores que fornecem visibilidade contínua e
todos os dados da nuvem podem ser analisados em tempo real. Ele responde a ameaças imediatamente,
executa a vulnerabilidade ativa na solicitação de registro de data e hora do protocolo de mensagens de
controle da Internet e visualiza os resultados em um só lugar com o AssetView.

Figura 6.46: captura de tela da Qualys Cloud Platform
As ferramentas adicionais de segurança na nuvem incluem o seguinte:
ÿ CloudPassage Halo (https:// www.cloudpassage.com)

ÿ McAfee MVISION Cloud (https:// www.mcafee.com)
ÿ CipherCloud (https:// www.ciphercloud.com)
ÿ Netskope Security Cloud (https:// www.netskope.com)
ÿ Prisma Cloud (https:// www.paloaltonetworks.com)

Resumo do Módulo
ÿ Este módulo discutiu a virtualização, seus componentes e capacitadores de
virtualização
ÿ Ele discutiu a segurança e as preocupações da virtualização do sistema operacional
ÿ Também discutiu as melhores práticas para virtualização de SO

segurança
ÿ Este módulo discutiu a computação em nuvem e seus benefícios
ÿ Discutiu diferentes tipos de serviços de computação em nuvem

e modelos de implantação em nuvem
ÿ Finalmente, este módulo terminou com uma breve discussão sobre a importância
da segurança na nuvem e suas melhores práticas
ÿ No próximo módulo, discutiremos sobre segurança de rede sem fio

em detalhe
Resumo do Módulo
Este módulo discutiu a virtualização, seus componentes e ativadores de virtualização. Ele discutiu a segurança e as
preocupações com a virtualização do sistema operacional. Ele também discutiu as práticas recomendadas para
segurança de virtualização de sistema operacional. Além disso, este módulo discutiu a computação em nuvem e seus
benefícios. Ele discutiu diferentes tipos de serviços de computação em nuvem e modelos de implantação em nuvem.
Por fim, este módulo apresentou uma breve discussão sobre a importância da segurança na nuvem e suas melhores práticas.
No próximo módulo, discutiremos detalhadamente a segurança da rede sem fio.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 07
Segurança de Rede Wireless

Segurança de rede sem fio
Compreendendo a terminologia sem fio, sem fio
1 Redes e padrões sem fio
Compreendendo as topologias de rede sem fio e

2 Classificação das Redes Sem Fio
3 Compreendendo os componentes de uma rede sem fio
4 Visão geral dos mecanismos de criptografia de rede sem fio
Compreendendo os diferentes tipos de rede sem fio

5 Métodos de Autenticação
Noções básicas sobre medidas de segurança de rede sem fio e sem fio
6 Ferramentas de segurança
Este módulo trata da segurança de rede para redes sem fio em empresas. As redes sem fio são amplamente
utilizadas nas organizações atualmente e são propensas a vários ataques.
Portanto, as organizações precisam se concentrar no planejamento para proteger a rede sem fio em toda a
organização.
ÿ Compreender a terminologia sem fio, redes sem fio e padrões sem fio
ÿ Compreender as topologias de rede wireless e classificação de redes wireless
ÿ Compreender os componentes de uma rede sem fio
ÿ Explicar os mecanismos de criptografia de rede sem fio
ÿ Compreender os diferentes tipos de métodos de autenticação de rede sem fio
ÿ Explicar medidas de segurança de rede sem fio e ferramentas de segurança sem fio

Fluxo do módulo
Discutir diferentes tipos

Entenda a rede sem fio
Mecanismos de Criptografia
02 03 de rede sem fio
Métodos de Autenticação
Discutir e Implementar
Fundamentos de rede 01 04 Rede sem fio
Medidas de segurança
Entenda os fundamentos da rede sem fio

O objetivo desta seção é entender os fundamentos das redes sem fio, incluindo as terminologias
de rede sem fio, os componentes usados nas redes sem fio, os usos das redes sem fio e suas
vantagens e limitações. Esta seção aborda os diferentes tipos de tecnologias sem fio, padrões
de rede sem fio e topologias.

Terminologias sem fio
Descreve a quantidade de O endereço MAC de um Um local onde uma rede sem

informação que pode ser AP que configurou um fio está disponível para uso
transmitida através de uma conexão Conjunto de Serviços Básicos (BSS) público
largura de banda BSSID Ponto de acesso
GSM Ponto de acesso (AP) banda ISM
Um sistema universal usado Usado para conectar Um conjunto de

para transporte móvel para redes dispositivos sem fio para um frequências para as
sem fio em todo o mundo rede sem fio/com fio comunidades industriais,
científicas e médicas internacionais
Terminologias sem fio (continuação)

Associação
O processo de conectar um dispositivo sem fio a um AP
Identificador do Conjunto de Serviços (SSID)
Um identificador exclusivo de 32 caracteres alfanuméricos atribuído a uma rede local sem fio (WLAN)
Multiplexação Ortogonal por Divisão de Frequência (OFDM)
Método de codificação de dados digitais em múltiplas frequências portadoras
Múltiplas entradas, múltiplas saídas ortogonais de multiplexação por divisão de frequência (MIMO-OFDM)
Uma interface aérea para comunicações sem fio de banda larga 4G e 5G
Espectro de propagação de sequência direta (DSSS)
Um sinal de dados original multiplicado por um ruído pseudo-aleatório espalhando o código
Espectro de propagação de salto de frequência (FHSS)
Um método de transmissão de sinais de rádio comutando rapidamente uma portadora entre muitos canais de frequência
Terminologias sem fio
Em uma rede sem fio, os dados são transmitidos por meio de ondas EM que transportam sinais pelo caminho de
comunicação. Os termos associados a redes sem fio incluem o seguinte:
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão de
dados móveis em redes sem fio em todo o mundo.

ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão. Normalmente,
a largura de banda refere-se à taxa de transferência de dados e é medida em bits (quantidade de dados) por
segundo (bps).
ÿ Ponto de acesso (AP): Um AP é usado para conectar dispositivos sem fio a uma rede sem fio/com fio. Ele permite
que dispositivos de comunicação sem fio se conectem a uma rede sem fio por meio de padrões sem fio, como
Bluetooth e Wi-Fi. Ele serve como um switch ou hub entre uma LAN com fio e uma rede sem fio.
ÿ Identificador do conjunto de serviço básico (BSSID): É o endereço de controle de acesso à mídia (MAC) de um
ponto de acesso (AP) ou estação base que configurou um conjunto de serviço básico (BSS). Geralmente, os
usuários desconhecem o BSS ao qual pertencem. Quando um usuário move um dispositivo, o BSS usado pelo
dispositivo pode mudar devido a uma variação no alcance coberto pelo AP, mas essa mudança pode não afetar
a conectividade do dispositivo sem fio.
ÿ Banda industrial, científica e médica (ISM): Esta banda é um conjunto de frequências usadas pelas
comunidades industriais, científicas e médicas internacionais.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
Os pontos de acesso referem-se a áreas com disponibilidade de Wi-Fi, onde os usuários podem habilitar o Wi-Fi
em seus dispositivos e conectar-se à Internet.
ÿ Associação: Refere-se ao processo de conexão de um dispositivo wireless a um AP.
ÿ Identificador de conjunto de serviços (SSID): Um SSID é um identificador exclusivo de 32 caracteres

alfanuméricos fornecido a uma rede local sem fio (WLAN) que atua como um identificador sem fio da rede. O
SSID permite conexões à rede desejada entre as redes independentes disponíveis. Dispositivos conectados à
mesma WLAN devem usar o mesmo SSID para estabelecer conexões.
ÿ Multiplexação por divisão de frequência ortogonal (OFDM): Um OFDM é um método de modulação digital de
dados no qual um sinal, em uma frequência escolhida, é dividido em várias frequências portadoras que são
ortogonais (ocorrendo em ângulos retos) entre si. OFDM mapeia informações sobre as mudanças na fase da
portadora, frequência, amplitude ou uma combinação destes e compartilha a largura de banda com outros canais
independentes. Ele produz um esquema de transmissão que suporta taxas de bits mais altas do que a operação
de canal paralelo. É também um método de codificação de dados digitais em múltiplas frequências portadoras.
ÿ Múltiplas entradas, múltiplas saídas-multiplexação ortogonal por divisão de frequência (MIMO OFDM):
MIMO-OFDM influencia a eficiência espectral dos serviços de comunicação sem fio 4G e 5G. A adoção da
técnica MIMO-OFDM reduz a interferência e aumenta a robustez do canal.
ÿ Espectro de dispersão de seqüência direta (DSSS): DSSS é uma técnica de espectro de dispersão que multiplica
o sinal de dados original com um código de dispersão de ruído pseudo-aleatório. Também conhecida como
esquema de transmissão de dados ou esquema de modulação, a técnica protege os sinais contra interferência
ou bloqueio.
ÿ Frequency-hopping spread spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por divisão de
código com salto de frequência (FH-CDMA), é um método de transmissão de sinais de rádio por

comutação rápida de uma portadora entre muitos canais de frequência. Diminui a eficiência de
interceptação não autorizada ou bloqueio de telecomunicações. No FHSS, um transmissor salta
entre as frequências disponíveis usando um algoritmo especificado em uma sequência pseudo-
aleatória conhecida tanto pelo remetente quanto pelo destinatário.

Redes sem fio
ÿ As redes sem fio usam sinais de radiofrequência (RF)

para conectar dispositivos sem fio em uma rede
ÿ A tecnologia de fidelidade sem fio (Wi-Fi) utiliza a

Padrão do Instituto de Engenheiros Elétricos e
Eletrônicos (IEEE) de 802.11 e usa ondas de rádio para
comunicação
Vantagens
ÿ A instalação é fácil e elimina a fiação
ÿ O acesso à rede pode ser de qualquer lugar dentro do

alcance de um ponto de acesso (AP)
ÿ Locais públicos como aeroportos, escolas, etc., podem

oferecer uma conexão de internet constante usando WLAN
Redes sem fio
O mundo da informática caminha para uma nova era de evolução tecnológica com o uso de tecnologias
sem fio. A rede sem fio está revolucionando a maneira como as pessoas trabalham e se divertem. Ao
remover a conexão física ou o cabo, os indivíduos podem usar as redes de maneiras mais recentes que
tornam os dados portáteis, móveis e acessíveis.
Um ambiente de rede sem fio abre muitas novas expansões e possibilidades de fluxo de trabalho.
Com a disponibilidade de uma rede sem fio, não há necessidade de se preocupar quando um usuário
deseja mover seu PC de um escritório para outro ou quando deseja trabalhar em um local que não possui
uma porta Ethernet.
A rede sem fio é muito útil em locais públicos, incluindo bibliotecas, cafeterias, hotéis, aeroportos e outros
estabelecimentos que oferecem conexões WLAN.
O aspecto mais importante na rede sem fio é um ponto de acesso através do qual um usuário pode se
comunicar com outro host móvel ou fixo. Um ponto de acesso é um dispositivo que contém um transceptor
de rádio (que envia e recebe sinais) juntamente com uma interface de rede com fio jack 45 (RJ-45)
registrada, que permite ao usuário conectar-se a uma rede com fio padrão usando um cabo.
Vantagens de uma rede sem fio

ÿ A instalação é rápida e fácil sem a necessidade de fiação através de paredes e tetos ÿ
Fornece facilmente conectividade em áreas onde é difícil colocar cabos ÿ A rede pode ser
acessada de qualquer lugar dentro do alcance de um AP
ÿ Espaços públicos como aeroportos, bibliotecas, escolas e até cafeterias oferecem constante
Conexões de Internet através de WLANs

Desvantagens de uma rede sem fio
ÿ A segurança pode não atender às expectativas

ÿ A largura de banda sofre à medida que o número de dispositivos na rede aumenta
ÿ Atualizações Wi-Fi podem exigir novas placas wireless e/ou APs ÿ Alguns
equipamentos eletrônicos podem interferir nas redes Wi-Fi

Tecnologias sem fio

Em uma rede sem fio, a transmissão de dados ocorre por meio de ondas eletromagnéticas que transportam sinais ao longo do
caminho de comunicação
Tipos de tecnologias sem fio
Wi-fi Bluetooth RFID WiMAX

ÿ Ele usa ondas de rádio ÿ Usando a tecnologia ÿ Usa radiofrequência ÿ Usa longa distância
ou micro -ondas para Bluetooth, os dados (RF) ondas rede sem fio e Internet de
permitir que dispositivos são transmitidos entre celulares eletromagnéticas para transferir dados paraalta velocidade e pertence à
eletrônicos troquem telefones, computadores e identificação automática e família IEEE 802.16 de
dados ou se conectem a outros dispositivos de rede em para tags de rastreamento padrões de rede sem fio
a Internet distâncias curtas anexadas a objetos
Tecnologias sem fio
Em uma rede sem fio, a transmissão de dados ocorre por meio de ondas eletromagnéticas que transportam sinais ao
longo do caminho de comunicação.
Tipos de tecnologias sem fio

ÿ Wi-Fi
A fidelidade sem fio (Wi-Fi) faz parte da família 802.11 de padrões de rede sem fio do Institute of Electrical and
Electronics Engineers (IEEE). Essa tecnologia usa ondas de rádio ou micro-ondas para permitir que dispositivos
eletrônicos troquem dados ou se conectem à Internet.
Muitos dispositivos, como computadores pessoais, laptops, câmeras digitais, smartphones, etc., suportam a
tecnologia Wi-Fi. O Wi-Fi opera na faixa de frequência entre 2,4 GHz e 5 GHz. Uma rede Wi-Fi usa ondas de
rádio para transmitir os sinais pela rede. Para isso, um computador deve ter um adaptador sem fio para traduzir
os dados em sinais de rádio e passá-los por uma antena e um roteador. É aqui que a mensagem é decodificada
e os dados são enviados para a internet ou por outra rede. Hotspots são áreas que possuem disponibilidade de
Wi-Fi, onde os usuários podem habilitar o Wi-Fi em seus dispositivos e se conectar à internet por meio de um
hotspot.
ÿBluetooth _
Na tecnologia Bluetooth, os dados são transmitidos entre telefones celulares, computadores e outros dispositivos
de rede em distâncias curtas. Os sinais transmitidos via Bluetooth cobrem distâncias curtas de até 10 m em
comparação com outros modos de comunicação sem fio.
O Bluetooth transfere os dados a uma velocidade inferior a 1 Mbps e opera na faixa de frequência de 2,4 GHz.
Esta tecnologia está sob IEEE 802.15 e usa uma tecnologia de rádio chamada FHSS para transferir dados para
outros dispositivos habilitados para Bluetooth.

ÿ RFID
A tecnologia de identificação por radiofrequência (RFID) usa ondas eletromagnéticas de radiofrequência (RF) para
transferir dados para identificação automática e para rastrear tags anexadas a objetos. Os dispositivos RFID funcionam
dentro de uma pequena faixa de até 20 pés.
ÿ WiMAX
A tecnologia de interoperabilidade mundial para acesso por micro-ondas (WiMAX) usa redes sem fio de longa distância
e Internet de alta velocidade. Pertence à família IEEE 802.16 de padrões de rede sem fio. Os sinais WiMAX podem
funcionar a uma distância de vários quilômetros com taxas de dados de até 75 Mbps. Ele usa um aplicativo sem fio
fixo e estações móveis para fornecer dados de alta velocidade, voz, chamadas de vídeo e conectividade com a Internet
aos usuários. O fórum WiMAX desenvolveu o WiMAX e afirma que cerca de 135 países implantaram mais de 455
redes WiMAX.

Redes com fio versus redes sem fio

Redes com fio Redes sem fio
Alta largura de banda Largura de banda baixa
Baixa variação de largura de banda Alta variação de largura de banda
Baixas taxas de erro Altas taxas de erro
Mais seguro Menos seguro
Menos dependente de equipamento Mais dependente do equipamento
conectividade simétrica Possível conectividade assimétrica
máquinas de alta potência Máquinas de baixa potência
Máquinas de alto recurso Máquinas com poucos recursos
baixo atraso atraso alto
operação conectada Operação desconectada
Redes com fio versus redes sem fio
As diferenças entre uma rede com fio e uma sem fio são as seguintes:
Redes com fio Redes sem fio
Alta largura de banda Largura de banda baixa
Baixa variação de largura de banda Alta variação de largura de banda
Baixas taxas de erro Altas taxas de erro
Mais seguro Menos seguro
Menos dependente de equipamentos Mais dependente do equipamento
conectividade simétrica Possível conectividade assimétrica
máquinas de alta potência Máquinas de baixa potência
Máquinas de alto recurso Máquinas com poucos recursos
baixo atraso atraso alto
operação conectada Operação desconectada
Tabela 7.1: Diferenças entre uma rede com e sem fio

Padrões sem fio

Frequência largura de banda taxa de transmissão de dados Alcance (m)
Protocolo Modulação
(GHz) (MHz) (Mbps) Interior Exterior
802.11
2.4 22 1, 2 DSSS, FHSS 20 100
(Wi-Fi)
5 35 120
802.11a 20 6, 9, 12, 18, 24, 36, 48, 54 OFDM
3.7 — 5000
802.11b 2.4
22 1, 2, 5.5, 11 DSSS 35 140
É uma versão aprimorada de 802.11a e 802.11b que permite portabilidade global, permitindo variação de frequências, níveis de
802.11d
potência e largura de banda
802.11e Fornece orientação para priorização de transmissões de dados, voz e vídeo, permitindo qualidade de serviço (QoS)
802.11g 2.4 20 6, 9, 12, 18, 24, 36, 48, 54 OFDM
Padrões sem fio (continuação)

Frequência largura de banda Alcance (m)
Protocolo Modulação da taxa de transmissão de dados (Mbits/s)
(GHz) (MHz) Interior Exterior
Este é um padrão para WLANs que fornece criptografia aprimorada para redes que usam os padrões 802.11a, 802.11b e
802.11i
802.11g
7.2, 14.4, 21.7, 28.9, 43.3,

5 20 70 150
57.8, 65, 72.2
802.11n MIMO-OFDM
15, 30, 45, 60, 90, 120, 135,
2.4 40 70 150
150
7.2, 14.4, 21.7, 28.9, 43.3,

20 35
57.8, 65, 72.2, 86.7, 96.3
15, 30, 45, 60, 90, 120, 135,

40 35
802.11ac 150, 180, 200
5 MIMO-OFDM
32,5, 65, 97,5, 130, 195, 260,
80 35
292,5, 325, 390, 433,3
65, 130, 195, 260, 390, 520,

160 35
585, 650, 780, 866,7
802.11ax 40 Até 2294[F]
2.4/5/6 80 até 4803 [F] MIMO-OFDM 30 120
80+80 até 10530

Padrões sem fio (continuação)

Frequência largura de banda taxa de transmissão de dados Alcance (m)
Protocolo Modulação
(GHz) (MHz) (Mbps) Interior Exterior
OFDM, portadora única,

802.11ad 60 2160 6,75 Gbit/s portadora única de baixa 60 100
potência
Este padrão define a prioridade de demanda e o protocolo de controle de acesso ao meio para aumentar a taxa de dados
802.12
Ethernet para 100 Mbps
802.15 Este padrão define as especificações de comunicação para redes de área pessoal sem fio (WPANs)
802.15.1
2.4 1-3 Mbps 10
(Bluetooth)
802.15.4
2.4 868, 900
(Zigbee)
802.15.5 Um padrão para redes mesh com confiabilidade aprimorada por meio de redundância de rota
802.16 Um grupo de padrões de comunicação sem fio de banda larga para redes de área metropolitana (MANs)
Padrões sem fio
Os padrões IEEE correspondem aos vários métodos de transmissão de redes sem fio. Eles são os
seguintes:
ÿ 802.11 (Wi-Fi): Este padrão corresponde a WLANs e usa FHSS ou DSSS como espectro de
salto de frequência. Ele permite que um dispositivo eletrônico se conecte à internet usando
uma conexão sem fio estabelecida em qualquer rede.
ÿ 802.11a: Este padrão é a segunda extensão do padrão 802.11 original. Ele opera na banda de
frequência de 5 GHz e suporta uma largura de banda de até 54 Mbps usando OFDM. Tem
uma velocidade máxima rápida, mas é mais sensível a paredes e outros obstáculos.
ÿ 802.11b: IEEE expandiu o padrão 802.11 criando as especificações 802.11b em 1999. Esse
padrão opera na banda de rádio industrial, científica e médica (ISM) de 2,4 GHz e suporta
uma largura de banda de até 11 Mbps usando modulação DSSS.
ÿ 802.11d: Este padrão é uma versão aprimorada dos padrões 802.11a e 802.11b. Ele suporta
os domínios regulatórios. As particularidades deste padrão podem ser definidas na camada
de controle de acesso à mídia (MAC).
ÿ 802.11e: Este padrão define a qualidade de serviço (QoS) para aplicativos sem fio. O serviço
aprimorado é modificado usando a camada MAC. Este padrão mantém a qualidade do
streaming de vídeo e áudio, aplicações online em tempo real, protocolo de voz sobre internet
(VoIP), etc.

ÿ 802.11g: Este padrão é uma extensão do padrão 802.11. Ele suporta uma largura de banda máxima de 54
Mbps usando a tecnologia OFDM e usa a mesma banda de 2,4 GHz do 802.11b. É compatível com o padrão
802.11b, o que significa que os dispositivos 802.11b podem funcionar diretamente com um ponto de acesso
802.11g.
ÿ 802.11i: Este padrão é usado como padrão para WLANs e fornece criptografia aprimorada para redes. 802.11i
requer novos protocolos como TKIP e padrão de criptografia avançada (AES).
ÿ 802.11n: Este padrão foi desenvolvido em 2009. Visa melhorar o padrão 802.11g em termos de largura de
banda. Ele opera nas bandas de 2,4 e 5 GHz e suporta uma taxa de dados máxima de até 300 Mbps. Ele
usa vários transmissores e antenas receptoras (MIMO) para permitir uma taxa de dados máxima junto com
melhorias de segurança.
ÿ 802.11ac: Este padrão fornece uma rede de alto rendimento na frequência de 5 GHz.
É mais rápido e confiável do que o padrão 802.11n. Envolve rede gigabit que fornece uma experiência
instantânea de transferência de dados.
ÿ 802.11ax: 802.11ax também conhecido como Wi-Fi 6. É a sexta geração do Wi-Fi

padrão. Ele foi projetado para operar em todas as bandas ISM entre 1 e 6 GHz.
ÿ 802.11ad: 802.11ad envolve a inclusão de uma nova camada física para redes 802.11.
Este padrão funciona no espectro de 60 GHz. A velocidade de propagação de dados neste padrão é
significativamente diferente das bandas que operam em 2,4 GHz e 5 GHz. Com um espectro de frequência
muito alto, a velocidade de transferência é muito maior que a do 802.11n.
ÿ 802.12: Este padrão domina a utilização de mídia trabalhando no protocolo de prioridade de demanda. Com
base nesse padrão, a velocidade da Ethernet aumenta para 100 Mbps. É compatível com os padrões 802.3
e 802.5. Os usuários atualmente nesses padrões podem atualizar diretamente para o padrão 802.12.
ÿ 802.15: define os padrões para uma rede de área pessoal sem fio (WPAN). Ele descreve a especificação para
conectividade sem fio com dispositivos fixos ou portáteis.
ÿ 802.15.1 (Bluetooth): Bluetooth é usado principalmente para troca de dados entre fixo e
dispositivos móveis em distâncias curtas.
ÿ 802.15.4 (Zigbee): O padrão 802.15.4 possui baixa taxa de dados e complexidade. Zigbee é a especificação
usada no padrão 802.15.4. Ele transmite dados de longa distância através de uma rede mesh. Essa
especificação lida com aplicativos que operam com uma taxa de dados baixa, mas com maior duração da
bateria. Sua taxa de dados é de 250 kbits/s.
ÿ 802.15.5: Este padrão se implanta em uma topologia full mesh ou meia mesh. Inclui
inicialização de rede, endereçamento e unicasting.
ÿ IEEE 802.16: Este padrão também é conhecido como WiMAX e é uma especificação para redes de acesso
metropolitano sem fio de banda larga fixa (MANs) que usam uma arquitetura ponto a multiponto.

Topologias de rede sem fio

ÿ Os dispositivos trocam informações entre si de forma
Ad hoc independente semelhante ao modo de comunicação peer-to-peer sem a
Rede necessidade de um AP para comunicação
Arquitetura
ÿ Para configurar este modo corretamente, primeiro configure o
(Básico Independente
Conjunto de Serviços (IBSS)) adaptador sem fio para todos os dispositivos. Todos devem ter o
mesmo nome de canal e SSID para ativar as conexões
ÿ Os dispositivos na rede sem fio são conectados por A infraestrutura
meio de um AP Topologia de rede

(Centralmente
ÿ Um AP se conecta à internet através de um modem coordenado
Arquitetura/ Básico
ÿ Instalado em grandes organizações Conjunto de Serviço (BSS))
Topologias de rede sem fio
Para planejar e instalar uma rede sem fio, é necessário determinar o tipo de arquitetura que seria
adequado para o ambiente de rede.
Existem dois tipos de topologias wireless:
ÿ Arquitetura de rede autônoma ad-hoc (conjunto de serviços básicos independentes (IBSS))
O modo ad-hoc também é chamado de modo de conjunto de serviço básico independente (IBSS).
Os dispositivos conectados em uma rede sem fio se comunicam diretamente entre si, de maneira
semelhante ao modo de comunicação ponto a ponto. O modo ad-hoc não implementa um ponto
de acesso sem fio (WAP)/ponto de acesso (AP) para comunicação entre dispositivos. Os
adaptadores sem fio em cada dispositivo são configurados no modo ad-hoc e não no modo de
infraestrutura. Os adaptadores para todos os dispositivos devem usar o mesmo nome de canal e
SSID para estabelecer as conexões de rede com sucesso.
Figura 7.1: Arquitetura independente

O modo ad-hoc funciona de forma eficaz para um pequeno grupo de dispositivos e é necessário conectar
todos os dispositivos próximos uns dos outros. O desempenho da rede diminui à medida que o número de
dispositivos aumenta. Torna-se complicado para um administrador de rede gerenciar a rede neste modo,
porque os dispositivos se conectam e desconectam regularmente. Não é possível conectar este modo com
uma rede com fio tradicional e não permite o acesso à Internet até que um gateway especial esteja presente.
O modo ad-hoc funciona melhor em uma área pequena e não requer nenhum ponto de acesso (como roteador
ou switch), minimizando assim o custo. Este modo atua como uma opção de backup e aparece quando há um
problema ou mau funcionamento nos APs ou em uma rede coordenada centralmente (modo infraestrutura).
Este modo usa a funcionalidade de cada adaptador para ativar a autenticação de segurança e usar serviços
sem fio.
As principais características de uma rede sem fio ad-hoc são as seguintes:
o O AP criptografa e descriptografa mensagens de texto.
o Cada AP opera de forma independente e possui seus respectivos arquivos de configuração.
o A configuração de rede permanece constante com mudanças na rede

condições.
ÿ Topologia de Rede de Infraestrutura (Arquitetura Centralmente Coordenada/Serviço Básico

Definir (BSS))
Uma arquitetura coordenada centralmente (modo de infraestrutura) ou um modo de conjunto de serviço básico
(BSS) é uma arquitetura em que todos os dispositivos sem fio se conectam entre si por meio de um AP.
Este AP (roteador ou switch) recebe acesso à Internet conectando-se a um modem de banda larga. Este
modo funcionará de forma eficaz quando implantado em grandes organizações. Simplifica o gerenciamento
de rede e ajuda a resolver os problemas operacionais. Ele garante resiliência enquanto permite que vários
sistemas se conectem através da rede.
Este modo fornece opções de segurança aprimoradas, escalabilidade, estabilidade e fácil gerenciamento. A
desvantagem é que é caro, pois é necessário um AP (roteador ou switch) para conectar os dispositivos entre
si.
Figura 7.2: Arquitetura Centralmente Coordenada

A seguir estão as principais características do modo de infraestrutura:

o Aumenta ou diminui o alcance da rede sem fio adicionando e removendo
os APs.
o O controlador reconfigura a rede de acordo com as mudanças no RF

pegada.
o O controlador monitora e controla regularmente as atividades na rede sem fio
reconfigurando os elementos AP para manter e proteger a rede.
o O controlador centralizado sem fio gerencia todas as tarefas AP.
o O controlador de rede sem fio executa várias tarefas cruciais, como autenticação de
usuário, criação e aplicação de políticas, tolerância a falhas, expansão de rede, controle
de configuração, etc.
o Mantém backups de outros APs em local diferente, e estes são usados quando um
avarias específicas do AP.

Classificação das Redes Sem Fio

Redes sem fio baseadas na conexão
Acesso
Usuários Apontar
Extensão Múltiplo
Acesso Acesso
para um fio Banda larga
Roteador
Usuários Apontar Apontar Usuários Acesso
Rede Extensão
Pontos
Apontar
Banda larga
Internet
Roteador
Usuários
Internet
Internet
E1 E2
LAN para LAN USB 3G/4G

4G
Sem fio Banda larga Banda larga Usuários
Roteador Roteador
Ponto de acesso
Rede
ponto de acesso 3G
Conexão 3G
Torre de celular
Classificação de Redes Wireless (Cont.)
Rede sem fio com base na área geográfica de cobertura
WLAN WPAN
Ele conecta usuários em uma área local Ele interliga dispositivos posicionados ao
com uma rede. A área pode variar de redor de um indivíduo, em que as
uma única sala a um campus inteiro conexões são sem fio. Tem um alcance muito
curto
WWAN WMAN
A WWAN cobre uma área maior que a Ele acessa redes de área de banda larga
WLAN. Pode abranger uma determinada usando uma antena externa. É uma boa
região, nação ou até mesmo o globo alternativa para uma rede fixa
inteiro
Classificação das Redes Sem Fio
As redes sem fio são classificadas com base na conexão utilizada e na área geográfica.
Redes sem fio baseadas na conexão
ÿ Extensão para uma rede cabeada
A extensão para uma rede com fio pode ser obtida colocando APs entre uma rede com fio e dispositivos sem
fio.

Nessa rede, o AP atua como um hub que fornece conectividade para computadores sem fio.
Ele também pode conectar uma LAN sem fio a uma LAN com fio, o que permite aos computadores sem fio o
acesso aos recursos da LAN, como servidores de arquivos ou conectividade existente com a Internet.
Os dois tipos de APs usados neste tipo de rede sem fio são:
o APs de software que podem ser conectados a uma rede com fio e que funcionam em um
computador com uma placa de interface de rede sem fio.
o Hardware APs (HAPs) que fornecem suporte abrangente para a maioria dos recursos sem fio. Com um
suporte de software de rede adequado, os usuários na LAN sem fio podem compartilhar arquivos e
impressoras situados na LAN com fio e vice-versa.
A rede pode ser estendida ainda mais de acordo com o tamanho do local e a interferência de outros
dispositivos. Isso permite uma conexão com fio/sem fio em todo o local para vários usuários.
Figura 7.3: Extensão para uma rede com fio
ÿ Múltiplos Pontos de Acesso (APs)
Computadores sem fio se conectam usando vários APs. Se uma única área grande não for coberta por um
único AP, vários APs ou pontos de extensão serão usados. Os pontos de extensão não são definidos no
padrão sem fio. Ao usar vários APs, cada AP deve cobrir seus vizinhos. Isso permite que os usuários se
movam facilmente usando um recurso chamado roaming. Alguns fabricantes desenvolvem pontos de extensão
que atuam como relés sem fio e, assim, estendem o alcance de um único AP. Múltiplos pontos de extensão
podem ser agrupados para fornecer acesso sem fio a locais distantes do ponto de acesso central.

Figura 7.4: Múltiplos pontos de acesso
ÿ Rede sem fio LAN-to-LAN
Os APs fornecem conectividade sem fio para computadores locais e computadores em uma rede diferente.
Todos os HAPs têm a capacidade de se conectar diretamente a outros HAPs. Construir LANs interconectadas
usando conexões sem fio é grande e complexo. Vários PCs habilitados para LAN podem ser conectados a um
AP para comunicação sem fio.
Figura 7.5: Rede sem fio LAN-to-LAN
ÿ Hotspot 4G
Um ponto de acesso fornece acesso à Internet por meio de uma WLAN com a ajuda de um roteador conectado
ao provedor de serviços de Internet (ISP). Vários dispositivos podem ser conectados ao mesmo tempo usando
um adaptador de rede Wi-Fi. Os hotspots usam o serviço de operadoras de celular para acesso à internet 4G.
Os computadores geralmente procuram pontos de acesso, identificando assim o SSID (nome da rede) da rede
sem fio.

Figura 7.6: ponto de acesso 4G
Rede sem fio com base na área geográfica de cobertura
As redes sem fio são classificadas em WLAN, rede de área ampla sem fio (WWAN), rede de área pessoal sem fio
(WPAN) e rede de área metropolitana sem fio (WMAN) com base na área que cobrem geograficamente.
ÿ WLAN
o Uma WLAN conecta usuários em uma área local com uma rede. A área pode variar de um
quarto individual para um campus inteiro.
o Ele conecta usuários sem fio e a rede com fio.
o Ele usa ondas de rádio de alta frequência.
o WLAN também é conhecido como LAWN.
o Em 1990, o IEEE criou um grupo para desenvolver um padrão para equipamentos sem fio.
o No modo ponto a ponto, os dispositivos sem fio dentro do alcance um do outro se comunicam
diretamente entre si sem usar um AP central.
o No modo infra-estrutura, o ponto de acesso é conectado à internet com os usuários sem fio. Um ponto de
acesso funciona como um mediador entre as redes com e sem fio.
Vantagens:
o WLAN é flexível para instalar.
o As redes sem fio são fáceis de configurar e usar.
o As redes sem fio são robustas. Se uma estação base estiver inativa, os usuários podem movê-la fisicamente
seus PCs no alcance de outra estação base.
o Tem uma chance melhor de sobreviver em caso de desastre.
Desvantagem:
o As velocidades de transferência de dados são normalmente mais lentas do que a rede com fio.

ÿ WWAN
o WWAN cobre uma área maior que a WLAN.
o Lida com tecnologia de rede celular, como acesso múltiplo por divisão de código (CDMA), sistema global
para comunicações móveis (GSM), serviço geral de rádio por pacote (GPRS) e dados por pacote
digital celular (CDPD) para transmissão de dados.
o Esta tecnologia pode abranger uma determinada região, nação ou até mesmo o globo inteiro.
o O sistema possui um rádio celular integrado (GSM/CDMA) que ajuda os usuários a enviar ou
receber dados.
o Em WWAN, os dados sem fio consistem em links de micro-ondas fixos, redes de despacho digital, LANs
sem fio, dados sobre redes celulares, WANs sem fio, links de satélite, redes de paginação unidirecional
e bidirecional, comunicações baseadas em laser, infravermelho difuso, keyless entrada do carro, o
sistema de posicionamento global e muito mais.
ÿ WPAN
o WPAN interconecta dispositivos posicionados ao redor de um indivíduo, em que as conexões são sem
fio.
o WPAN tem um alcance muito curto. Ele pode se comunicar dentro de um alcance de 10 m. Uma WPAN
interconecta os dispositivos de rede móvel que as pessoas carregam consigo ou têm em suas mesas.
o O principal conceito da tecnologia WPAN é conectar.
o Quando quaisquer dois dispositivos WPAN estiverem dentro de um alcance de alguns metros até o
servidor central, eles se comunicarão entre si, semelhante a uma rede com fio.
o Outra característica de uma WPAN é a capacidade de bloquear outros dispositivos e impedir

interferência.
o Cada dispositivo em uma WPAN pode se conectar a qualquer outro dispositivo na mesma WPAN.
No entanto, para isso, eles devem estar dentro do alcance físico um do outro.
Bluetooth é o melhor exemplo de WPAN.
ÿ WMAN
O WMAN cobre uma área metropolitana, como uma cidade inteira ou um subúrbio.
o Ele acessa redes de área de banda larga usando uma antena externa.
o É uma boa alternativa para rede fixa. É simples de construir e é

barato.
o Em uma WMAN, as estações assinantes se comunicam com a estação base que está
conectado a uma rede central ou hub.
o Uma WMAN usa uma infraestrutura sem fio ou conexões de fibra ótica para ligar os sites.
Um link WMAN entre as WLANs. O barramento duplo de fila distribuída (DQDB) é o padrão MAN para
comunicações de dados, especificado pelo padrão IEEE 802.6. Com base no DQDB, a rede pode ser
estabelecida em 30 mi com uma velocidade de 34 a 154 Mbits/s.

Componentes de uma rede sem fio

Ponto de acesso (AP)
ÿ É um dispositivo de hardware que permite que dispositivos de comunicação sem fio se conectem
a uma rede sem fio por meio de padrões sem fio, como Bluetooth, Wi-Fi, etc.
Placas sem fio (NIC) ÿ

Sistemas conectados à rede sem fio requerem placas de interface de rede
(NIC) para estabelecer uma conexão Ethernet padrão
Modem sem fio
ÿ É um dispositivo que recebe e transmite sinais de rede para outras unidades sem
a necessidade de cabeamento físico
Ponte sem fio
ÿ Conecta várias LANs na camada de controle de acesso ao meio (MAC) e é separada

lógica ou fisicamente. É usado para aumentar a área de cobertura da rede sem fio
Componentes de um
Rede sem fio
(continua)
Repetidor sem fio roteador sem fio Gateways sem fio Adaptador USB sem fio
ÿ Retransmite o ÿ Desempenha as ÿ Roteia pacotes de dados e ÿ Conecta diferentes

sinal existente funções de um funciona como um ponto de dispositivos a uma
capturado de um roteador , bem como um wireless acesso sem fio. Uma rede sem fio para
roteador wireless ou AP e fornece conexão com a Internet acessar a Internet
AP para criar um novo acesso à Internet para pode ser compartilhada sem um computador,
rede vários dispositivos entre várias roteador ou qualquer
estações outro dispositivo de rede

Componentes de uma rede sem fio (cont.)

Antena ÿ Converte impulsos elétricos em ondas de rádio e vice-versa
Tipos de Antena
Antena Direcional Antena Grade Parabólica Antena Dipolar
ÿ Usado para transmissão e ÿ Baseia-se no princípio de ÿ Antena bidirecional, usada para

obtenção de ondas de rádio de antena parabólica e pode captar suportar conexões de clientes
uma única direção sinais Wi-Fi a uma distância de 16 em vez de aplicativos site a site
km ou mais.
Antena Omnidirecional Antena Yagi Antenas Refletoras
ÿ Fornece um padrão de radiação ÿ Uma antena unidirecional comumente ÿ São usados para
horizontal de 360 . É usado usado em comunicações na faixa concentrar a energia
em estações base sem fio. de frequência de 10 MHz a frequência eletromagnética que é irradiada
muito alta (VHF) e frequência ultra alta ou recebida em um ponto focal
(UHF)
Componentes de uma rede sem fio
Os principais componentes de uma rede sem fio são os seguintes:
ÿ Ponto de acesso: Um ponto de acesso (AP) é um dispositivo de hardware que usa o modo de rede de
infraestrutura sem fio para conectar componentes sem fio a uma rede com fio para transmissão de dados.
Ele serve como um switch ou hub entre uma LAN com fio e uma rede sem fio. Ele tem um transmissor
embutido, receptor e uma antena. As portas adicionais no WAP ajudam a expandir o alcance da rede e
fornecem acesso a clientes adicionais.
O número de APs depende do tamanho da rede. No entanto, vários APs fornecem acesso a um número
maior de clientes sem fio e, por sua vez, expandem o alcance da rede sem fio. O alcance de transmissão
e a distância que um cliente deve estar de um AP sem fio é um valor padrão máximo; Os APs transmitem
sinais utilizáveis muito além do intervalo padrão.
A distância à qual um sinal de AP sem fio é transmitido depende dos padrões sem fio, obstruções e
condições ambientais entre os clientes e os APs.
A faixa de transmissão e o número de dispositivos que um WAP pode conectar dependem do padrão sem
fio usado e da interferência de sinal entre os dispositivos. No projeto de rede de infraestrutura sem fio,
vários APs podem ser usados para cobrir uma área extensa, ou um único AP pode ser usado para cobrir
uma pequena área geográfica, como prédios, residências,
etc.
ÿ Placas de rede sem fio (NIC): Placas de rede sem fio ou adaptadores de rede sem fio (placas de interface de
rede sem fio (NICs)) são placas que localizam e se comunicam com um AP com um sinal poderoso, dando
acesso à rede aos usuários. É necessário em cada dispositivo para se conectar à rede sem fio. Laptops ou
computadores de mesa geralmente possuem placas de rede sem fio integradas ou slots para conectá-las.
Estes incluem dois tipos de placas plug-in. Um é chamado de associação internacional de cartão de
memória de computador pessoal

(PCMCIA) e a outra é uma interconexão de componentes periféricos (PCI). Os laptops possuem slots
para inserir as placas de plug-in PCMCIA, enquanto os computadores de mesa possuem slots internos
para adicionar placas PCI. A funcionalidade de uma placa de rede com e sem fio é semelhante. A
diferença entre as duas placas é que uma placa de rede com fio possui uma porta para conectar em uma
rede, enquanto uma placa de rede sem fio possui uma antena integrada para conectar em uma rede sem
fio. Normalmente, os computadores com barramento PCI ou portas USB podem se conectar à NIC sem
fio.
Os dados transmitidos usando uma NIC fornecem os seguintes recursos:
o Customização dos dados internos do computador de paralelo para série antes

transmissão
o Divisão de dados em pequenos blocos que incorpora envio e recebimento

endereços
o Informa quando enviar os pacotes ao destino.
o Entrega o pacote.
ÿ Modem sem fio: Um modem sem fio é um dispositivo que permite que os PCs se conectem a uma rede
sem fio e acessem a conexão à Internet diretamente com a ajuda de um ISP. Eles recebem e transmitem
sinais de rede para outras unidades sem um cabo físico. Os roteadores Wi-Fi têm a capacidade de
transmitir um serviço de Internet dentro de um alcance limitado, enquanto os modems sem fio podem ser
usados em praticamente qualquer local onde um telefone celular esteja presente. Dispositivos portáteis,
como laptops, telefones celulares, PDAs, etc., usam modems sem fio para receber sinais pelo ar,
semelhante a uma rede celular. Existem vários tipos de modems sem fio. Os usuários podem escolher
um modem sem fio com base em seus requisitos. Os tipos comuns de modems sem fio incluem:
o Cartões: São a forma mais antiga de conexão sem fio. Existem dois tipos de cartões, ou seja, cartões
de dados e cartões de conexão, que estão disponíveis em operadoras móveis e são usados por
laptops, PCs e roteadores. Eles são pequenos em tamanho e fáceis
usar.
• Pendrives: Eles se conectam rapidamente à internet usando um modem sem fio. Eles se
assemelham a uma unidade flash de barramento serial universal (USB) e se encaixam facilmente
na porta USB de um laptop. Os computadores requerem a instalação de drivers e software
especiais para usá-los. Eles são portáteis.
• Pontos de acesso móveis
• Roteadores sem fio
Os seguintes recursos são considerados ao decidir sobre um modem sem fio:
o Velocidade do modem
o Protocolos que pode suportar, como ethernet, GPRS, rede digital de serviços integrados
(ISDN), dados otimizados para evolução (EVDO), Wi-Fi, CPCD
o Banda de frequência 900 MHz, 2,4 GHz, 23 GHz, 5 Hz

o Técnica de rádio, como um DSSS ou salto de frequência
o Número total de canais para transmissão e recepção de dados
o Força máxima do sinal
o Capacidade full duplex ou half duplex
ÿ Ponte sem fio: Uma ponte sem fio conecta várias LANs na camada de controle de acesso ao meio (MAC).
Essas pontes separam as redes lógica ou fisicamente. Eles cobrem distâncias maiores que os APs.
Poucas pontes sem fio suportam conexões ponto a ponto para um AP, enquanto algumas suportam
conexões ponto a multiponto para vários outros APs.
A ponte sem fio ajuda a conectar dois segmentos de LAN por meio de um link sem fio. Dois segmentos
residem na mesma sub-rede e se parecem com dois switches ethernet conectados com um cabo a todos
os computadores dentro da sub-rede. As transmissões atingem todas as máquinas nessa sub-rede,
permitindo que os clientes do protocolo de configuração dinâmica de host (DHCP) em um segmento
obtenham os respectivos endereços de um servidor DHCP de um segmento diferente. Uma ponte sem fio
pode ser usada para conectar computadores em uma sala a computadores em outra sala sem um cabo.
ÿ Repetidor sem fio (expansores de alcance): Este dispositivo retransmite o sinal existente capturado do
roteador sem fio ou um AP para criar uma nova rede. Funciona como um AP e uma estação
simultaneamente. Os clientes que estão muito distantes do roteador ou AP podem se integrar com a
mesma WLAN através de um repetidor. Isso implica que este dispositivo estende o sinal, pegando-o de
um ponto de acesso sem fio e transmitindo-o para a área descoberta. Esses repetidores requerem uma
antena omnidirecional. Eles capturam, aumentam e retransmitem os sinais.
ÿ Roteador sem fio: um roteador sem fio é um dispositivo em uma WLAN que interconecta dois tipos de redes
usando ondas de rádio para os dispositivos sem fio, como computadores, laptops e tablets. Ele funciona
como um roteador na LAN, mas também fornece mobilidade aos usuários. Ele também funciona como um
ponto de acesso sem fio e fornece acesso à Internet para vários dispositivos.
Os roteadores sem fio têm a capacidade de filtrar o tráfego de rede com base no endereço IP do remetente
e do destinatário. Um roteador sem fio fornece criptografia forte, filtra endereços MAC e controla a
autenticação SSID.
ÿ Gateways sem fio: um gateway sem fio é um componente chave de uma rede sem fio. É um dispositivo que
permite que dispositivos habilitados para Internet acessem a rede. Ele combina o
funções de APs e roteadores sem fio. Os gateways sem fio têm o recurso de conversão de endereço de
rede (NAT), que traduz o IP público em um IP privado e DHCP. Uma conexão com a Internet pode ser
compartilhada entre várias estações.
ÿ Adaptador USB sem fio: Um adaptador USB sem fio conecta diferentes dispositivos a uma rede sem fio
para acessar a Internet sem um computador, roteador ou qualquer outro dispositivo de rede. Ele também
suporta links de comunicação e sincroniza entre dois ou mais dispositivos. Existem três variedades
principais de um adaptador sem fio:
o Celular
oBluetooth

o Wi-Fi
ÿ Antena: Uma antena é um dispositivo projetado para transmitir e receber ondas eletromagnéticas em frequências
de rádio. É um conjunto de hastes e fios metálicos que capta as ondas de rádio e as traduz em corrente
elétrica. Ele converte impulsos elétricos em ondas de rádio e vice-versa. O tamanho e a forma de uma antena
são projetados dependendo da frequência do sinal que eles devem receber.
Uma antena que recebe sinais de alta frequência é altamente focada, enquanto uma antena de baixo ganho
recebe ou transmite em um grande ângulo. Um transdutor traduz os campos de RF em uma corrente alternada
(AC) e vice-versa.
A seguir estão as funções das antenas:
o Linha de transmissão: Antenas transmitem ou recebem ondas de rádio de um ponto a outro. Essa
transmissão de energia ocorre no espaço livre através dos meios naturais, como ar, água e terra. As
antenas evitam a transmissão de energia por outros meios.
o Radiador: Um radiador irradia energia poderosamente. Esta energia irradiada é transmitida através do
meio. Um radiador é sempre do tamanho de metade do comprimento de onda.
o Ressonador: O uso de um ressonador é necessário em aplicações de banda larga.

As ressonâncias que ocorrem devem ser atenuadas.
As características de uma antena são as seguintes:
o Banda de frequência operacional: As antenas operam em uma banda de frequência entre 960
MHz e 1215 MHz.
o Potência de transmissão: Antenas transmitem potência em 1200 W de pico e 140 W em um

média.
o Ganho típico: O ganho é a relação entre a potência de entrada da antena e a potência de saída da antena.
É medido em decibéis em relação a uma antena isotrópica (dBi).
O ganho é geralmente de 3,0 dBi.
o Padrão de radiação: O padrão de radiação de uma antena é obtido na forma de um gráfico tridimensional
e geralmente é representado em termos de dois parâmetros, a saber, elevação e azimute.
o Diretividade: O ganho de diretividade de uma antena é o cálculo da potência irradiada em uma determinada
direção. Geralmente é a relação entre a intensidade da radiação em uma determinada direção e a
intensidade média da radiação.
o Polarização: É a orientação das ondas eletromagnéticas da fonte. Existem várias polarizações, como
linear, vertical, horizontal, circular, polarizada circular à esquerda (LHCP) e polarizada circular à direita
(RHCP).
Existem seis tipos de antenas wireless:
o Antena direcional: Uma antena direcional pode transmitir e receber ondas de rádio
de uma única direção. A fim de melhorar a transmissão e recepção, um

antena direcional é projetada para funcionar efetivamente em uma direção especificada. Isso
também ajuda a reduzir a interferência.
o Antena omnidirecional: Antenas omnidirecionais irradiam energia eletromagnética (EM) em todas

as direções. Ele fornece um padrão de radiação horizontal de 360°. Eles irradiam ondas fortes
uniformemente em duas dimensões, mas as ondas geralmente não são tão fortes na terceira
dimensão. Essas antenas são eficientes em áreas onde as estações sem fio usam tecnologia de
acesso múltiplo por divisão de tempo. Um bom exemplo de antena omnidirecional é a antena
usada por estações de rádio. Essas antenas são eficazes para transmissão de sinal de rádio
porque o receptor pode não estar parado. Portanto, um rádio pode receber um sinal
independentemente de sua localização.
Vantagem:
• Antenas omnidirecionais podem lidar com sinais de qualquer direção.
Desvantagens:
• A área de cobertura de uma antena omnidirecional pode ser limitada devido à interferência de
paredes e outros obstáculos no sinal irradiado.
• É difícil para uma antena omnidirecional funcionar em um ambiente interno.
o Antena de grade parabólica: Uma antena de grade parabólica usa o mesmo princípio de uma
antena parabólica, mas não possui uma antena sólida. Consiste em um semi-prato em forma de
grade composta por fios de alumínio. As antenas de grade parabólica podem alcançar
transmissões Wi-Fi de longa distância por meio de feixes de rádio altamente focados. Este tipo
de antena é útil para transmitir sinais de rádio fracos em distâncias muito longas da ordem de 10
milhas. O design desta antena economiza peso e espaço e pode receber sinais Wi-Fi polarizados
horizontal ou verticalmente.
Vantagem:
• Esta antena é resistente ao vento.
Desvantagens:
• Esta antena é cara, pois requer um sistema de alimentação para refletir o rádio
sinais.
• Além do sistema de alimentação, a antena requer um refletor. Montagem de

esses componentes tornam a instalação demorada.
o Antena Yagi : A antena Yagi, também chamada de antena Yagi-Uda, é uma antena unidirecional
comumente usada em comunicações usando a banda de frequência de 10 MHz a frequência
muito alta (VHF) e frequência ultra alta (UHF). Os principais objetivos desta antena são melhorar
o ganho da antena e reduzir o nível de ruído do sinal de rádio. Possui um padrão de emissão e
resposta de radiação unidirecional e concentra a radiação e a resposta. Consiste em um refletor,
dipolo e diretores. Esta antena gera um padrão de radiação de fogo final.

Vantagens:
• Uma antena Yagi tem um bom alcance e facilidade de apontar a antena.
• A antena Yagi é direcional, focalizando todo o sinal em uma direção cardinal.

Isso resulta em alto rendimento.
• A instalação e montagem desta antena é fácil e menos demorada, pois

em comparação com outras antenas.
Desvantagem:
• A antena é muito grande, especialmente quando construída para altos níveis de ganho.
o Antena dipolo : Uma antena dipolo é um condutor elétrico reto medindo meio comprimento de
onda de ponta a ponta e é conectado no centro da linha de alimentação de radiofrequência
(RF). Também chamada de dupleto, a antena é bilateralmente simétrica; portanto, é
inerentemente uma antena balanceada. Este tipo de antena alimenta uma linha de
transmissão de RF de fio paralelo balanceado. Ele é usado para oferecer suporte a conexões
de cliente em vez de aplicativos site a site.
Vantagens:
• Uma antena dipolo oferece sinais balanceados. Com o design de dois pólos, o dispositivo
recebe sinais de uma variedade de frequências.
Desvantagens:
• Embora uma antena dipolo interna possa ser pequena, uma antena dipolo externa
pode ser muito maior, dificultando o gerenciamento.
• Para atingir a frequência perfeita, as antenas devem passar por múltiplas combinações.
Isso pode ser um aborrecimento, especialmente no caso de antenas externas.
o Antenas refletoras : As antenas refletoras são usadas para concentrar a energia eletromagnética
irradiada ou recebida em um ponto focal. Esses refletores são geralmente parabólicos.
Vantagens:
• Se a superfície da antena parabólica estiver dentro do limite de tolerância, ela pode ser
utilizada como espelho primário para todas as frequências. Isso pode evitar interferência
durante a comunicação com outros satélites.
• Quanto maior o refletor da antena em termos de comprimento de onda, maior é o ganho.
Desvantagem:
• Antenas refletoras refletem sinais de rádio.
• O custo de fabricação da antena é alto.

Fluxo do módulo

Fundamentos de rede
01 04 Rede sem fio
Entenda os mecanismos de criptografia de rede sem fio

O objetivo desta seção é explicar os vários mecanismos de criptografia usados em redes sem fio,
como criptografia WEP, criptografia de fidelidade sem fio (Wi-Fi), acesso protegido (WPA), criptografia
de acesso protegido Wi-Fi 2 (WPA2), criptografia Wi-Fi criptografia de acesso protegido 3 (WPA3).
Esta seção também descreve as limitações desses mecanismos de criptografia.

Tipos de criptografia sem fio

Uma emenda IEEE que especifica mecanismos de segurança
802.11i
para redes sem fio 802.11
WEP Um algoritmo de criptografia para redes sem fio IEEE 802.11
Oferece suporte a vários métodos de autenticação,

EAP
como cartões de token, Kerberos e certificados
SALTO Uma versão proprietária do EAP desenvolvida pela Cisco
Um protocolo avançado de criptografia sem fio usando TKIP e

WPA
MIC para fornecer criptografia e autenticação mais fortes
TKIP Um protocolo de segurança usado no WPA como substituto do WEP
Tipos de criptografia sem fio (continuação)

WPA2 Uma atualização para WPA usando AES e CCMP para criptografia de dados sem fio
AES Uma criptografia de chave simétrica, usada em WPA2 como um substituto para TKIP
Um protocolo de criptografia usado em WPA2 para criptografia e autenticação

CCMP mais fortes
WPA2
Integra padrões EAP com criptografia WPA2
Empreendimento
Um sistema centralizado de gerenciamento de autenticação e autorização

RAIO
Um protocolo que encapsula o EAP dentro de um túnel de segurança da

PEAP
camada de transporte (TLS) criptografado e autenticado
Um protocolo de segurança Wi-Fi de terceira geração que usa GCMP-256 para

WPA3
criptografia e HMAC-SHA-384 para autenticação
Tipos de criptografia sem fio
Existem vários tipos de algoritmos de criptografia sem fio que podem proteger uma rede sem fio.
Cada algoritmo de criptografia sem fio tem vantagens e desvantagens.
ÿ 802.11i: É uma emenda IEEE que especifica mecanismos de segurança para 802.11 wireless
redes.

ÿ WEP: WEP é um algoritmo de criptografia para redes sem fio IEEE 802.11. é um velho
padrão de segurança sem fio e pode ser quebrado facilmente.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como
cartões de token, Kerberos e certificados.
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ WPA: É um protocolo avançado de criptografia sem fio que usa TKIP e Message Integrity Check (MIC) para
fornecer criptografia e autenticação fortes. Ele usa um vetor de inicialização de 48 bits (IV), verificação de
redundância cíclica de 32 bits (CRC) e criptografia TKIP para segurança sem fio.
ÿ TKIP: É um protocolo de segurança utilizado no WPA em substituição ao WEP.
ÿ WPA2: É uma atualização para WPA usando AES e o Protocolo de Código de Autenticação de Mensagem em
Cadeia de Bloco de Cifra de Modo Contador (CCMP) para criptografia de dados sem fio.
ÿ AES: É uma criptografia de chave simétrica usada no WPA2 em substituição ao TKIP.
ÿ CCMP: É um protocolo de criptografia usado no WPA2 para criptografia forte e

autenticação.
ÿ WPA2 Enterprise: Integra padrões EAP com criptografia WPA2.
ÿ RADIUS: É um sistema centralizado de gerenciamento de autenticação e autorização.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de um túnel TLS (Transport Layer Security) criptografado e
autenticado.
ÿ WPA3: É um protocolo de segurança Wi-Fi de terceira geração que oferece novos recursos para uso pessoal e
empresarial. Ele usa Galois/Counter Mode-256 (GCMP-256) para criptografia e o código de autenticação de
mensagem hash de 384 bits com o Secure Hash Algorithm (HMAC-SHA-384) para autenticação.

Criptografia Wired Equivalent Privacy (WEP)

WEP é um protocolo de segurança definido pelo padrão 802.11b; foi projetado para fornecer uma LAN sem fio com um nível de segurança
e privacidade comparável ao de uma LAN com fio
O WEP usa um vetor de inicialização de 24 bits (IV) para formar a cifra de fluxo RC4 para confidencialidade e a soma de verificação
CRC-32 para integridade das transmissões sem fio
Ele tem vulnerabilidades significativas e falhas de design e , portanto, pode ser facilmente quebrado
Armazenamento de chaves WEP
(K1, K2, K3, K4) CRC-32

Dados ICV soma de verificação
RC4
Cifra --
Semente WEP
Como funciona o WEP XOR Algoritmo X
Chave WEP
4 Keystream 4 PAD KID texto cifrado
Pacote criptografado por WEP (corpo do quadro de

Armação MAC)
Criptografia Wired Equivalent Privacy (WEP)
O WEP foi uma das primeiras tentativas de proteger as redes sem fio contra violações de segurança, mas conforme a
tecnologia melhorou, tornou-se evidente que as informações criptografadas com WEP são vulneráveis a ataques.
Discutimos o WEP em detalhes aqui.
O que é criptografia WEP?
WEP é um componente dos padrões IEEE 802.11 WLAN. Seu objetivo principal é garantir a confidencialidade dos
dados em redes sem fio em um nível equivalente ao das LANs com fio, que podem usar a segurança física para impedir
o acesso não autorizado a uma rede.
Em uma WLAN, um usuário ou invasor pode acessar a rede sem se conectar fisicamente à LAN. Portanto, o WEP utiliza
um mecanismo de criptografia na camada de enlace de dados para minimizar o acesso não autorizado à WLAN. Isso é
feito criptografando dados com o algoritmo de criptografia simétrico Rivest Cipher 4 (RC4), que é um mecanismo
criptográfico usado para se defender contra ameaças.
Papel do WEP na comunicação sem fio
ÿ WEP protege contra espionagem em comunicações sem fio.

ÿ
Ele tenta impedir o acesso não autorizado a uma rede sem fio.
ÿ
Depende de uma chave secreta compartilhada por uma estação móvel e um AP. Esta chave criptografa os
pacotes antes da transmissão. Executar uma verificação de integridade garante que os pacotes não sejam
alterados durante a transmissão. 802.11 WEP criptografa apenas os dados entre os clientes da rede.

Principais Vantagens do WEP
ÿ Confidencialidade: Previne espionagem na camada de enlace.
ÿ Controle de Acesso: Determina quem pode acessar os dados.
ÿ Integridade dos Dados: Protege a alteração dos dados por terceiros.
ÿ Eficiência
Pontos chave
O WEP foi desenvolvido sem nenhuma revisão acadêmica ou pública. Em particular, não foi revisado por criptologistas durante o
desenvolvimento. Portanto, possui vulnerabilidades significativas e falhas de design.
WEP é uma cifra de fluxo que usa RC4 para produzir um fluxo de bytes que são XORed com texto simples. O comprimento do
WEP e da chave secreta são os seguintes:
ÿ WEP de 64 bits usa uma chave de 40 bits
ÿ WEP de 128 bits usa uma chave de 104 bits
ÿ WEP de 256 bits usa chave de 232 bits
Falhas de WEP
As seguintes falhas básicas prejudicam a capacidade do WEP de proteger contra um ataque sério.
ÿ Nenhum método definido para distribuição de chave de criptografia:
o As chaves pré-compartilhadas (PSKs) são definidas uma vez na instalação e raramente (ou nunca) são alteradas.
o É fácil recuperar o número de mensagens de texto simples criptografadas com a mesma chave.
ÿ RC4 foi projetado para ser usado em um ambiente mais aleatório do que o utilizado por
WEP:
o Como o PSK raramente é alterado, a mesma chave é usada repetidamente.
o Um invasor monitora o tráfego e encontra diferentes maneiras de trabalhar com o texto simples
mensagem.
o Com conhecimento do texto cifrado e do texto sem formatação, um invasor pode calcular a chave.
ÿ Os invasores analisam o tráfego de capturas passivas de dados e quebram chaves WEP com o
ajuda de ferramentas como AirSnort e WEPCrack.
ÿ Algoritmos de agendamento de chaves também são vulneráveis a ataques.
Como funciona o WEP
ÿ A soma de verificação CRC-32 é usada para calcular um valor de verificação de integridade (ICV) de 32 bits para os dados,
que, por sua vez, é adicionado ao quadro de dados.
ÿ Um número arbitrário de 24 bits conhecido como vetor de inicialização (IV) é adicionado à chave WEP; a chave WEP e o IV
são chamados juntos de semente WEP.

ÿ A semente WEP é usada como entrada para o algoritmo RC4 para gerar um fluxo de chaves,
que é XOR bit a bit com uma combinação dos dados e ICV para produzir os dados
criptografados.
ÿ O campo IV (IV + PAD + KID) é adicionado ao texto cifrado para gerar um quadro MAC.
Figura 7.7: Fluxo operacional do WEP

Criptografia Wi-Fi Protected Access (WPA)

ÿ WPA é um protocolo de segurança definido pelos padrões 802.11i; ele usa um Protocolo de Integridade de Chave Temporal (TKIP) que
utiliza a criptografia de cifra de fluxo RC4 com chaves de 128 bits e verificação de integridade MIC de 64 bits para fornecer criptografia
e autenticação mais fortes
ÿ O WPA usa TKIP para eliminar os pontos fracos do WEP, incluindo funções de mistura por pacote, integridade da mensagem
verificações, vetores de inicialização estendidos e mecanismos de redigitação
Dados a Transmitir
Chave de Criptografia Temporal MSDU

Michael
Algoritmo MSDU + MIC
Chave
Endereço de transmissão tecla MIC
Misturando
TSC (IV + EIV)
Fragmentação
Como WPA CRC-32
Verificar
Funciona semente WEP

MPDU ICV
soma
Algoritmo XOR x
RC4
Keystream Cabeçalho Mac 4 MIÚDO 4 texto cifrado
Cifra
Pacote para transmitir
Criptografia Wi-Fi Protected Access (WPA)
Wi-Fi Protected Access (WPA) é um protocolo de segurança definido pelo padrão 802.11i. No passado, o principal mecanismo
de segurança usado entre APs sem fio e clientes sem fio era a criptografia WEP, que tem uma grande desvantagem por usar
uma chave de criptografia estática. Um invasor pode explorar essa fraqueza usando ferramentas disponíveis gratuitamente na
Internet. O IEEE define o WPA como “uma expansão para os protocolos 802.11 que podem permitir maior segurança”. Quase
todos os fabricantes de Wi-Fi fornecem WPA.
WPA tem melhor segurança de criptografia de dados do que WEP porque as mensagens passam por um Message Integrity
Check (MIC) usando o Temporal Key Integrity Protocol (TKIP), que utiliza a criptografia de cifra de fluxo RC4 com chaves de
128 bits e MIC de 64 bits para fornecer criptografia forte e autenticação. O WPA é um exemplo de como o 802.11i fornece
criptografia mais forte e permite autenticação de chave pré-compartilhada (PSK) ou EAP. O WPA usa TKIP para criptografia
de dados, o que elimina os pontos fracos do WEP ao incluir funções de mistura por pacote, MICs, IVs estendidos e mecanismos
de redigitação.
Como funciona o WPA
ÿ Um TK, endereço de transmissão e contador de sequência TKIP (TSC) são usados como entrada para o RC4
algoritmo para gerar um fluxo de chaves.
o A sequência IV ou TK, endereço de transmissão ou endereço de destino MAC e TK são combinados com uma
função hash ou função de mistura para gerar uma chave de 128 bits e 104 bits.
o Essa chave é então combinada com RC4 para produzir o keystream, que deve ter o mesmo tamanho da mensagem
original.

ÿ A unidade de dados de serviço MAC (MSDU) e a verificação de integridade de mensagem (MIC) são combinadas
usando o algoritmo de Michael.
ÿ A combinação de MSDU e MIC é fragmentada para gerar os dados do protocolo MAC

unidade (MPDU).
ÿ Um ICV de 32 bits é calculado para o MPDU.
ÿ A combinação de MPDU e ICV é XOR bit a bit com o fluxo de chaves para produzir o
dados criptografados.
ÿ O IV é adicionado aos dados criptografados para gerar o quadro MAC.
Figura 7.8: Fluxo operacional do WPA

Criptografia WPA2
O WPA2 é uma atualização para o WPA e inclui suporte obrigatório Como funciona o WPA2
para o modo de contador com o protocolo de código de autenticação
de mensagem de encadeamento de blocos cifrados (CCMP), um
Endereço de destino
modo de criptografia baseado em AES com forte segurança prioritário
Cabeçalho MAC PN Chave Temporal Dados de texto simples
Modos de operação
WPA2-Pessoal WPA2-Enterprise Construir

Construir
Nonce
AAD
ÿ Inclui EAP ou RADIUS
ÿ Ele usa uma senha de configuração
para autenticação de
(chave pré-compartilhada, Nonce AES
PSK) para proteger acessos de cliente centralizada
AAD CCMP
rede não autorizados usando vários métodos
de autenticação, como Construir
ÿ No modo PSK, cada dispositivo cartões de token e Kerberos

Cabeçalho CCMP
de rede sem fio criptografa o ÿ Os usuários recebem login
tráfego de rede usando uma credenciais por um servidor
chave de 128 bits, derivada centralizado, que devem MAC CCMP criptografado criptografado
de uma senha de 8 a 63 apresentar ao se conectar à Cabeçalho Cabeçalho Dados microfone
caracteres ASCII rede

Quadro MAC WPA2
Criptografia WPA2
Wi-Fi Protected Access 2 (WPA2) é um protocolo de segurança usado para proteger redes sem fio.
O WPA2 substituiu o WPA em 2006. Ele é compatível com o padrão 802.11i e suporta muitos recursos de
segurança que o WPA não oferece. O WPA2 apresenta o uso do algoritmo de criptografia AES compatível
com FIPS 140-2 do Instituto Nacional de Padrões e Tecnologia (NIST), que é um algoritmo de criptografia
sem fio forte, e o protocolo de código de autenticação de mensagem de encadeamento de bloco de cifra de
modo contador (CCMP). Ele fornece proteção de dados mais forte e controle de acesso à rede do que o
WPA. Além disso, oferece um alto nível de segurança às conexões Wi-Fi para que apenas usuários
autorizados possam acessar a rede.
Modos de operação
O WPA2 oferece dois modos de operação:
ÿ WPA2-Pessoal: WPA2-Pessoal usa uma senha definida com antecedência, chamada de chave pré-
compartilhada (PSK), para proteger o acesso não autorizado à rede. Cada dispositivo sem fio usa
a mesma chave de 256 bits gerada a partir de uma senha para autenticar com o AP. No modo PSK,
cada dispositivo de rede sem fio criptografa o tráfego de rede usando uma chave de 128 bits
derivada de uma senha de 8 a 63 caracteres ASCII. O roteador usa a combinação de senha, SSID
de rede e TKIP para gerar uma chave de criptografia exclusiva para cada cliente sem fio. Essas
chaves de criptografia mudam continuamente.
ÿ WPA2-Enterprise: WPA2-Enterprise usa EAP ou RADIUS para autenticação de cliente centralizada

usando vários métodos de autenticação, como cartões de token, Kerberos e certificados. O WPA-
Enterprise atribui uma chave cifrada exclusiva a cada sistema e a oculta do usuário para fornecer
segurança adicional e impedir o compartilhamento de chaves. Os usuários recebem credenciais de
login por um servidor centralizado, que devem apresentar ao se conectar à rede.

Como funciona o WPA2
Durante a implementação do CCMP, dados de autenticação adicionais (AAD) são gerados usando um cabeçalho MAC e
incluídos no processo de criptografia que usa criptografia AES e CCMP.
Consequentemente, a porção não criptografada do quadro é protegida de qualquer alteração ou distorção. O protocolo usa
um número de pacote sequenciado (PN) e uma parte do cabeçalho MAC para gerar um Nonce que ele usa no processo de
criptografia. O protocolo fornece dados de texto simples e chaves temporais, AAD e Nonce são usados como entrada para
o processo de criptografia de dados que usa os algoritmos AES e CCMP.
Um PN está incluído no cabeçalho CCMP para proteção contra ataques de repetição. Os dados resultantes dos algoritmos
AES e CCMP produzem texto criptografado e um valor MIC criptografado.
Finalmente, o cabeçalho MAC montado, o cabeçalho CCMP, os dados criptografados e o MIC criptografado formam o
quadro WPA2 MAC. A figura abaixo mostra o fluxo operacional do WPA2.
Figura 7.9: Fluxo operacional do WPA2

Criptografia WPA3
WPA3 é uma implementação avançada de WPA2 que fornece protocolos
pioneiros e usa o algoritmo de criptografia AES-GCMP 256
Modos de operação
WPA3 - Pessoal WPA3 - Empresarial
ÿ É usado principalmente para fornecer ÿ Protege dados confidenciais usando muitos

autenticação baseada em senha usando algoritmos criptográficos ÿ Fornece criptografia
o protocolo SAE, também conhecido como Dragonfly Key autenticada usando
Intercâmbio GCMP-256
ÿ Ele usa HMAC-SHA-384 para gerar chaves

ÿ É resistente a ataques de dicionário offline
criptográficas
e ataques de recuperação de chave
ÿ Ele usa ECDSA-384 para troca de chaves
Criptografia WPA3
O Wi-Fi Protected Access 3 (WPA3) foi anunciado pela Wi-Fi Alliance em janeiro de 2018 como uma
implementação avançada do WPA2 que fornece protocolos pioneiros. Assim como o WPA2, o protocolo
WPA3 possui duas variantes: WPA3-Personal e WPA3-Enterprise.
O WPA3 fornece recursos de ponta para simplificar a segurança Wi-Fi e fornece os recursos necessários
para oferecer suporte a diferentes implantações de rede, desde redes corporativas até redes domésticas.
Ele também garante consistência criptográfica usando algoritmos de criptografia como AES e TKIP para se
defender contra ataques de rede. Além disso, fornece resiliência de rede por meio de quadros de
gerenciamento protegidos (PMF) que fornecem um alto nível de proteção contra espionagem e ataques
forjados. O WPA3 também não permite protocolos herdados desatualizados.
Modos de operação
O WPA3 oferece dois modos de operação:
ÿ WPA3-Personal: Este modo é usado principalmente para fornecer autenticação baseada em senha.
O WPA3 é mais rígido a ataques do que o WPA2 porque usa um protocolo moderno de
estabelecimento de chaves chamado Simultaneous Authentication of Equals (SAE), também
conhecido como Dragonfly Key Exchange, que substitui o conceito PSK usado no WPA2-Personal.
Alguns dos recursos do WPA3-Personal são descritos abaixo.
o Resistência a ataques de dicionário offline: Previne ataques de senha passiva, como

como força bruta.
o Resistência à recuperação de chave: Mesmo quando uma senha é determinada, é impossível

capturar e determinar chaves de sessão mantendo o sigilo de encaminhamento do tráfego de
rede.

o Escolha de senha natural: permite que os usuários escolham frases fracas ou populares como senhas,
que são fáceis de lembrar.
o Fácil acessibilidade: Pode fornecer maior proteção do que o WPA2 sem alterar
os métodos anteriores usados pelos usuários para se conectar a uma rede.
ÿ WPA3-Enterprise: Este modo é baseado em WPA2. Ele oferece melhor segurança do que o WPA2 em toda a
rede e protege dados confidenciais usando muitos conceitos e ferramentas criptográficas. Alguns dos
protocolos de segurança usados pelo WPA3-Enterprise são descritos abaixo.
• Criptografia autenticada: Ajuda a manter a autenticidade e a confidencialidade dos dados. Para esse
propósito, o WPA3 usa o protocolo Galois/Counter Mode de 256 bits (GCMP-256).
• Derivação e validação de chave: Ajuda na geração de uma chave criptográfica a partir de uma senha ou
chave mestra. Ele usa o modo de autenticação de mensagem com hash de 384 bits (HMAC) com o
Algoritmo de hash seguro, denominado HMAC-SHA-384.
• Estabelecimento e verificação de chave: Ajuda na troca de chaves criptográficas entre duas partes. Para
esse propósito, o WPA3 usa a troca Elliptic Curve Diffie-Hellman (ECDH) e o Elliptic Curve Digital
Signature Algorithm (ECDSA) usando uma curva elíptica de 384 bits.
• Proteção de quadro e administração robusta: WPA3 usa 256-bit Broadcast/Multicast Integrity Protocol
Galois Message Authentication Code (BIP GMAC-256) para esta finalidade.
Aprimoramentos no WPA3 em relação ao WPA2
O WPA3 pode ser usado para implementar uma estratégia de segurança em camadas que pode proteger todos os
aspectos de uma rede Wi-Fi. O WPA3 possui um programa de certificação que especifica os padrões vigentes que o
produto deve suportar. O protocolo de handshake/SAE Dragonfly é obrigatório para a certificação WPA3.
As características importantes do WPA3 são as seguintes.
1. Handshake seguro: O protocolo Simultaneous Authentication of Equals (SAE), também conhecido como
handshake Dragonfly, pode ser usado para tornar uma senha resistente a ataques de dicionário e de força
bruta, impedindo a descriptografia offline dos dados.
2. Wi-Fi Easy Connect: Este recurso simplifica o processo de configuração de segurança gerenciando diferentes
conexões de interface em uma rede com uma interface usando o Wi Fi Device Provisioning Protocol (DPP).
Isso pode permitir com segurança que uma infinidade de dispositivos inteligentes em uma rede se conectem
a um dispositivo usando um código de resposta rápida (QR) ou senha. Também ajuda a configurar uma
conexão entre diferentes dispositivos IoT.
3. Criptografia não autenticada: Ele usa um novo recurso chamado Opportunistic Wireless Encryption (OWE)
que substitui a autenticação “aberta” 802.11, fornecendo melhor proteção ao usar hotspots públicos e redes
públicas.
4. Chaves de sessão maiores: O processo de segurança criptográfica do WPA3-Enterprise suporta tamanhos

de chave de 192 bits ou mais, que são difíceis de quebrar, garantindo proteção rígida.

Comparação de WEP, WPA, WPA2 e WPA3
Criptografia Atributos
Criptografia Criptografia Chave Verificação de Integridade

Tamanho IV
Algoritmo Comprimento da chave Gerenciamento Mecanismo
WEP RC4 24 bits 40/104 bits Nenhum CRC-32
aperto algoritmo de Michael e

WPA RC4, TKIP 48 bits 128 bits
de mão de 4 vias CRC-32
aperto
WPA2 AES-CCMP 48 bits 128 bits de mão de 4 vias CBC-MAC
AES-GCMP Comprimento
WPA3 192 bits ECDH e ECDSA BIP-GMAC-256
256 arbitrário 1 - 2 64
WEP, WPA Deve ser substituído por WPA e WPA2 mais seguros
WPA2 Incorpora proteção contra ataques de falsificação e repetição
Fornece proteção de senha aprimorada e conexões IoT seguras;

WPA3
abrange técnicas de criptografia mais fortes
Comparação de WEP, WPA, WPA2 e WPA3
O WEP fornece confidencialidade de dados em redes sem fio, mas é fraco e falha em atender a qualquer
uma de suas metas de segurança. Enquanto o WPA corrige a maioria dos problemas do WEP, o WPA2
torna as redes sem fio quase tão seguras quanto as redes com fio. Como o WPA2 suporta autenticação,
somente usuários autorizados podem acessar a rede. WEP deve ser substituído por WPA ou WPA2 para
proteger uma rede Wi-Fi. Embora o WPA e o WPA2 incorporem proteções contra ataques de falsificação
e repetição, o WPA3 pode fornecer um mecanismo de proteção por senha mais aprimorado e conexões
IoT seguras; além disso, ele utiliza técnicas de criptografia mais fortes. A tabela abaixo compara WEP,
WPA, WPA2 e WPA3 em termos de algoritmo de criptografia usado, tamanho da chave de criptografia,
vetor de inicialização (IV) que produz, gerenciamento de chave e integridade de dados.
Criptografia Atributos
Criptografia Criptografia Chave Verificação de Integridade

Tamanho IV
Algoritmo Comprimento da chave Gerenciamento Mecanismo
WEP RC4 24 bits 40/104 bits Nenhum CRC-32
Algoritmo de Michael e
WPA RC4, TKIP 48 bits 128 bits aperto de mão de 4 vias
CRC-32
WPA2 AES-CCMP 48 bits 128 bits aperto de mão de 4 vias CBC-MAC
Comprimento
WPA3 AES-GCMP 256 64
ECDH e ECDSA de 192 bits BIP-GMAC-256
arbitrário 1 - 2
Tabela 7.2: Comparação de WEP, WPA, WPA2 e WPA3

Problemas em WEP, WPA e WPA2
Problemas no WEP Problemas no WPA Problemas no WPA2
ÿ CRC-32 não assegura ÿ A chave pré-compartilhada é vulnerável a ÿ A chave pré-compartilhada é vulnerável a

integridade criptográfica completa escutas e ataques de dicionário escutas e ataques de dicionário
ÿ Falta de sigilo de encaminhamento ÿ Falta de sigilo de encaminhamento

ÿ IVs são de 24 bits e enviados em
Texto claro ÿ A vulnerabilidade Hole96 torna WPA2 vulnerável
ÿ WPA-TKIP é vulnerável a falsificação de
a MITM e DoS
pacotes e ataques de descriptografia
ÿ Vulnerável a ataques de texto simples ataques
conhecidos ÿ Número aleatório inseguro ÿ Número aleatório inseguro
gerador (RNG) em WPA permite a gerador (RNG) em WPA2 permite que
ÿ Propenso a ataques de quebra de descoberta de GTK gerado por invasores descubram GTK gerado por AP
senha PA
ÿ Vulnerabilidades no TKIP permitem ÿ Vulnerabilidades KRACK tornam WPA2

ÿ Falta de gerenciamento
centralizado de chaves atacantes para adivinhar o endereço IP da vulnerável a detecção de pacotes,
sub-rede seqüestro de conexão, injeção de
malware e ataques de descriptografia
Problemas em WEP, WPA e WPA2

Problemas no WEP
A criptografia WEP é insuficiente para proteger redes sem fio devido a certos problemas e anomalias, que incluem
o seguinte.
ÿ O CRC32 é insuficiente para garantir a integridade criptográfica completa de um pacote: ao capturar

dois pacotes, um invasor pode inverter um bit de forma confiável no fluxo criptografado e modificar a
soma de verificação para que o pacote seja aceito.
ÿ IVs são de 24 bits: O IV é um campo de 24 bits, que é muito pequeno para ser seguro e é enviado na
parte de texto não criptografado de uma mensagem. Um AP transmitindo pacotes de 1500 bytes a 11
Mbps esgotaria todo o espaço IV em cinco horas.
ÿ O WEP é vulnerável a ataques de texto simples conhecidos: quando ocorre uma colisão IV, torna-se
possível reconstruir o fluxo de chaves RC4 com base no IV e na carga útil descriptografada do pacote.
ÿ O WEP é vulnerável a ataques de dicionário: Como o WEP é baseado em uma senha, ele está sujeito a
ataques de quebra de senha. O pequeno espaço IV permite que o invasor crie uma tabela de
descriptografia, que é um ataque de dicionário.
ÿ WEP é vulnerável a ataques DoS: Isso ocorre porque associa e desassocia mensagens
não são autenticados.
ÿ Um invasor pode eventualmente construir uma tabela de descriptografia de fluxos de chaves

reconstruídos: Com aproximadamente 24 GB de espaço, um invasor pode usar essa tabela para
descriptografar pacotes WEP em tempo real.
ÿ A falta de gerenciamento centralizado de chaves torna difícil alterar as chaves WEP regularmente.

ÿ IV é um valor usado para randomizar o valor do fluxo de chaves e cada pacote tem um valor IV: O IV padrão permite
apenas um campo de 24 bits, que é muito pequeno para ser seguro e é enviado na parte de texto não criptografado de
uma mensagem. Todos os valores IV disponíveis podem ser usados em horas em um AP ocupado. IV faz parte da
chave de criptografia RC4 e é vulnerável a um ataque analítico que recupera a chave após interceptar e analisar uma
quantidade relativamente pequena de tráfego. Keystreams idênticos são produzidos com a reutilização do IV para
proteção de dados porque os keystreams IV curtos são repetidos em um curto período de tempo. Além disso, todos os
adaptadores sem fio do mesmo fornecedor podem gerar a mesma sequência IV. Isso permite que os invasores
determinem o fluxo de chaves e descriptografem o texto cifrado.
ÿ O padrão não exige que cada pacote tenha um único IV: os fornecedores usam apenas uma pequena parte das
possibilidades de 24 bits disponíveis. Consequentemente, um mecanismo que depende da aleatoriedade não é nada
aleatório e os invasores podem determinar facilmente o fluxo de chaves e descriptografar outras mensagens.
ÿ O uso de RC4 foi projetado para ser uma cifra única e não para uso com várias mensagens.
Problemas no WPA
O WPA é uma melhoria em relação ao WEP de várias maneiras porque usa TKIP para criptografia de dados e ajuda na
transferência segura de dados. No entanto, o WPA também tem muitos problemas de segurança.
Alguns dos problemas de segurança do WPA são descritos a seguir.
ÿ Senhas fracas: Se os usuários dependem de senhas fracas, o WPA PSK é vulnerável a

vários ataques de quebra de senha.
ÿ Falta de sigilo de encaminhamento: Se um invasor capturar um PSK, ele pode descriptografar todos os pacotes
criptografados com essa chave (ou seja, todos os pacotes transmitidos ou sendo transmitidos podem ser
descriptografados).
ÿ Vulnerabilidade à falsificação e descriptografia de pacotes: os clientes que usam WPA-TKIP são vulneráveis a ataques
de injeção de pacotes e ataques de descriptografia, o que permite ainda que invasores sequestrem conexões TCP
(Transmission Control Protocol).
ÿ Previsibilidade da chave temporal do grupo (GTK): Um gerador de números aleatórios (RNG) inseguro no WPA permite
que invasores descubram o GTK gerado pelo AP. Isso permite ainda que os invasores injetem tráfego malicioso na rede
e descriptografem todas as transmissões em andamento pela Internet.
ÿ Adivinhação de endereços IP: as vulnerabilidades TKIP permitem que os invasores adivinhem o endereço IP da sub-rede
e injetem pequenos pacotes na rede para diminuir o desempenho da rede.
Problemas no WPA2
Embora o WPA2 seja mais seguro que o WPA, ele também apresenta alguns problemas de segurança, discutidos a seguir.
ÿ Senhas fracas: Se os usuários dependem de senhas fracas, o WPA2 PSK fica vulnerável a vários ataques, como
espionagem, dicionário e ataques de quebra de senha.

ÿ Falta de sigilo de encaminhamento: Se um invasor capturar um PSK, ele pode descriptografar todos os
pacotes criptografados com essa chave (ou seja, todos os pacotes transmitidos ou sendo transmitidos podem
ser descriptografados).
ÿ Vulnerabilidade a ataques man-in-the-middle (MITM) e negação de serviço (DoS): A vulnerabilidade Hole96

no WPA2 permite que invasores explorem uma chave temporal de grupo compartilhada (GTK) para realizar
ataques MITM e DoS.
ÿ Previsibilidade do GTK: Um gerador de números aleatórios inseguro (RNG) no WPA2 permite que invasores
descubram o GTK gerado pelo AP. Isso permite ainda que os invasores injetem tráfego malicioso na rede e
descriptografem todas as transmissões em andamento pela Internet.
ÿ Vulnerabilidades KRACK: WPA2 tem uma vulnerabilidade significativa para uma exploração conhecida como
ataque de reinstalação de chave (KRACK). Essa exploração pode permitir que invasores farejem pacotes,
sequestrem conexões, injetem malware e descriptografem pacotes.
ÿ Vulnerabilidade a ataques DoS sem fio: Os invasores podem explorar o recurso de detecção de ataque de
replay WPA2 para enviar quadros de dados endereçados a grupos forjados com um grande PN para realizar
um ataque DoS.
ÿ Recuperação insegura de PIN WPS: Em alguns casos, desabilitar WPA2 e WPS pode ser um processo
demorado, no qual o invasor precisa controlar o WPA2 PSK usado pelos clientes. Quando WPA2 e WPS
estão ativados, o invasor pode divulgar a chave WPA2 determinando o número de identificação pessoal (PIN)
WPS por meio de etapas simples.

Fluxo do módulo

Fundamentos de rede 01 04 Rede sem fio
Discutir diferentes tipos de autenticação de rede sem fio

Métodos
O objetivo desta seção é explicar os vários métodos de autenticação, como autenticação de
sistema aberto, autenticação de chave compartilhada, etc., usados em redes sem fio.

Métodos de Autenticação Wi-Fi: Sistema Aberto

Autenticação
Qualquer dispositivo sem fio pode ser autenticado com o AP, permitindo assim que o dispositivo
transmita dados apenas quando sua chave WEP corresponder à do AP
Solicitação de sondagem
Resposta da sonda (parâmetros de segurança)
Solicitação de autenticação de sistema aberto
Resposta de autenticação do sistema aberto
Interruptor ou Cabo
Solicitação de associação (parâmetros de segurança)
Ponto de acesso
Modem
(AP)
Resposta da associação Internet
Cliente tentando
conectar
Métodos de autenticação Wi-Fi:

Autenticação de Chave Compartilhada
ÿ A estação e o AP usam a mesma chave WEP para fornecer autenticação,

o que significa que esta chave deve ser habilitada e configurada
manualmente no AP e no cliente
Solicitação de autenticação enviada ao AP
AP envia texto de desafio
O cliente criptografa o texto

de desafio e o envia de volta ao AP
O AP descriptografa o texto de desafio

e, se correto, autentica o cliente
Ponto de acesso (AP) Interruptor ou Cabo

Cliente Modem
O cliente se conecta à rede
tentando Internet
conectar
Métodos de Autenticação Wi-Fi
Os métodos usados para executar a autenticação Wi-Fi incluem autenticação de sistema aberto e autenticação de
chave compartilhada.
ÿ Processo de autenticação de sistema aberto: A autenticação de sistema aberto é um algoritmo de autenticação

nulo que não verifica se é um usuário ou uma máquina solicitando acesso à rede. Ele usa transmissão de
texto não criptografado para permitir que o dispositivo

associar a um AP. Na ausência de criptografia, o dispositivo pode usar o SSID de uma WLAN disponível para
obter acesso a uma rede sem fio. A chave WEP habilitada no AP atua como um controle de acesso para
entrar na rede. Qualquer usuário digitando a chave WEP errada não pode transmitir mensagens via AP,
mesmo que a autenticação seja bem-sucedida. O dispositivo só pode transmitir mensagens quando sua chave
WEP corresponder à chave WEP do AP. Este mecanismo de autenticação não depende de um servidor
RADIUS na rede.
No processo de autenticação de sistema aberto, qualquer cliente sem fio que deseja acessar uma rede Wi-Fi
envia uma solicitação ao AP sem fio para autenticação. Nesse processo, a estação envia um quadro de
gerenciamento de autenticação contendo a identidade da estação transmissora para autenticação e conexão
com as demais estações sem fio. O AP então retorna um quadro de autenticação para confirmar o acesso à
estação solicitada e conclui o processo de autenticação.
Figura 7.10: Processo de autenticação de sistema aberto
Vantagem
o Este mecanismo pode ser usado com dispositivos sem fio que não suportam
algoritmos de autenticação.
Desvantagem
o Não há como verificar se alguém é um cliente genuíno ou um invasor.

Qualquer pessoa que conheça o SSID pode acessar facilmente a rede sem fio.
ÿ Processo de autenticação de chave compartilhada: Nesse processo, cada estação sem fio recebe uma chave
secreta compartilhada por um canal seguro distinto dos canais de comunicação da rede sem fio 802.11. As
etapas a seguir ilustram o estabelecimento de uma conexão de rede usando o processo de autenticação de
chave compartilhada:
o A estação envia um quadro de autenticação para o AP.
o O AP envia um texto de desafio para a estação.
o A estação criptografa o texto de desafio usando sua chave configurada de 64 bits ou 128 bits e envia o texto
criptografado para o AP.
o O AP usa sua chave Wired Equivalent Privacy (WEP) configurada para descriptografar o texto criptografado.
O AP compara o texto descriptografado com o texto de desafio original.
Se forem iguais, o AP autentica a estação.
o A estação se conecta à rede.

O AP pode rejeitar a estação se o texto descriptografado não corresponder ao texto de

desafio original; então, a estação não conseguirá se comunicar com a rede Ethernet ou
com as redes 802.11.
Figura 7.11: Processo de autenticação de chave compartilhada

Processo de autenticação Wi-Fi usando um

Servidor de Autenticação Centralizado
Ponto de acesso
Cliente Cliente solicita conexão RAIO
Servidor
O AP envia uma solicitação EAP para determinar a identidade
Encaminha a identidade para o

EAP-Resposta com identidade Servidor RADIUS usando a porta não controlada
Envia uma solicitação ao cliente sem fio via

AP especificando o mecanismo de autenticação a ser usado
O cliente wireless responde ao

Servidor RADIUS com suas credenciais via AP
Envia uma chave de autenticação multicast/global Envia uma chave de autenticação

criptografada com uma chave de sessão unicast por estação criptografada para o AP se as credenciais forem aceitáveis
Processo de autenticação Wi-Fi usando um servidor de autenticação centralizado

O padrão 802.1X fornece autenticação centralizada. Para que a autenticação 802.1X funcione em uma
rede sem fio, o AP deve ser capaz de identificar com segurança o tráfego de um cliente sem fio
específico. Neste processo de autenticação Wi-Fi, um servidor de autenticação centralizado conhecido
como Remote Authentication Dial-in User Service (RADIUS) envia chaves de autenticação tanto para
o AP quanto para os clientes que tentam se autenticar com o AP. Essa chave permite que o AP
identifique um cliente sem fio específico.
Figura 7.12: Processo de autenticação Wi-Fi usando um servidor de autenticação centralizado

Fluxo do módulo

Fundamentos de rede
01 04 Rede sem fio
Discutir e implementar medidas de segurança de rede sem fio

O objetivo desta seção é explicar as várias medidas de segurança que devem ser implementadas
para proteger a rede sem fio.

Medidas de segurança de rede sem fio

Técnicas de segurança de rede sem fio
Crie um inventário de dispositivos

sem fio 01 05 Defenda-se contra cracking WPA
Colocação do AP wireless e antena

02 06 Detectar APs não autorizados
Desabilitar transmissão SSID 03 07 Localize APs invasores
Selecione um modo de Configurar a segurança em

04
criptografia sem fio forte 08 roteadores sem fio
Medidas de segurança de rede sem fio
Uma rede sem fio pode ser insegura se não forem tomados os devidos cuidados ao configurá-la.
Configurações inseguras podem representar um grande risco para as redes sem fio. Assim, uma rede sem fio deve ser
configurada de acordo com a política de segurança sem fio da organização.
Os seguintes pontos devem ser claramente declarados na política de segurança sem fio da organização:
ÿ Identidade dos utilizadores que estão a utilizar a rede
ÿ Determinar se o usuário tem permissão de acesso ou não
ÿ Defina claramente quem pode e quem não pode instalar os APs e outros dispositivos sem fio no
empreendimento
ÿ Descrever o tipo de informação que os usuários podem comunicar através do

rede sem fio
ÿ Forneça limitações aos APs, como localização, tamanho da célula, frequência, etc., a fim de
superar os riscos de segurança sem fio
ÿ Defina claramente as configurações de segurança padrão para componentes sem fio
ÿ Descrever as condições em que os dispositivos sem fio podem usar a rede
Além disso, uma implementação de segurança sem fio bem-sucedida e eficaz deve envolver o seguinte:
ÿ Implementação centralizada de medidas de segurança para toda a tecnologia wireless
ÿ Programas de conscientização e treinamento de segurança para todos os funcionários

ÿ Configurações padronizadas para refletir as políticas e procedimentos de segurança do

organização
ÿ Gerenciamento e controle de configuração para garantir que os patches e recursos de segurança mais recentes
estejam disponíveis em dispositivos sem fio.
As seguintes atividades ajudam a defender e manter a segurança de uma rede sem fio:
ÿ Criação de um inventário dos dispositivos wireless
ÿ Colocação do AP wireless e antena
ÿ Desativar transmissão SSID
ÿ Selecionando um modo de criptografia sem fio forte
ÿ Defender contra cracking WPA
ÿ Detecção de APs não autorizados
ÿ Localização de pontos de acesso não autorizados
ÿ Configurando a segurança em roteadores sem fio

Criando um inventário de dispositivos sem fio

ÿ Identifique e documente todos os dispositivos clientes de acordo com a marca/modelos/aplicativos, criptografia,
firmware, canal wireless, etc.
ÿ Isso ajuda os defensores da rede a gerenciar e monitorar os dispositivos sem fio na rede
mais forte Melhor Tipo de Máximo

Operativo
# Fazer Modelo Autenticação firmware rádio Saída
Sistema
Modo Nível 802.11 Poder
UMA Intermec CK31 Win CE .NET WPA2/802.1x 4.20 b/g 17 dBm
janelas
B Símbolo 9090G WPA2/802.1x 5.1.70 a/b/g 20 dBm
Móvel
locutor Proprietário
C Vocollect WPA-PSK 4.20 b apenas 12 dBm
T5 Voz
D Símbolo 6846 MS-DOS WEP - b apenas 20 dBm
Xybernaut
E S310LX Windows XP WPA2/802.1x 5.0 a/b/g 20 dBm
Atigo
https:// www.acrylicwifi.com
Criando um inventário de dispositivos sem fio
O uso de dispositivos sem fio em várias organizações está crescendo continuamente. Portanto, torna-se cada vez
mais importante para as organizações rastrear e gerenciar seus ativos sem fio para fins de segurança. Manter um
inventário preciso e atualizado de dispositivos sem fio é necessário para a segurança adequada.
Um inventário de dispositivos de rede ajuda a consolidar todos os dados e dispositivos de rede atualizados.
O inventário pode ajudar a identificar rapidamente os dispositivos que não funcionam, bem como os dispositivos de
rede não autorizados que estão presentes na rede. Uma lista de dispositivos que não estão conectados à rede
também deve ser adicionada à lista. Isso ajuda a detectar dispositivos desconhecidos na rede. Uma verificação
regular do inventário é importante. Através da varredura, os administradores podem determinar os dispositivos de
rede não autorizados, dispositivos problemáticos, vulnerabilidades potenciais, dispositivos que precisam de um
patch/atualização, etc., em uma rede. Uma rede é tão segura quanto seu elo mais fraco. As informações sobre
todos os dispositivos devem ser mantidas independentemente de suas definições de configuração ou do fornecedor.
Um inventário deve ser mantido manualmente ou com a ajuda de uma solução eficaz de rastreamento de inventário.
Às vezes, uma ferramenta de inventário pode não atualizar automaticamente o dispositivo de rede. Nesses cenários,
as informações de um dispositivo devem ser adicionadas manualmente na lista de inventário.

Figura 7.13: Captura de tela de mapas de calor Wi-Fi em acrílico
mais forte Melhor Tipo de Máximo

Operativo
# Fazer Modelo Autenticação firmware rádio Saída
Sistema
Modo Nível 802.11 Poder
UMA Intermec CK31 Win CE.NET WPA2/802.1x 4.20 b/g 17 dBm
janelas
B Símbolo 9090G WPA2/802.1x 5.1.70 a/b/g 20 dBm
Móvel
locutor Proprietário
C Vocollect WPA-PSK 4.20 b apenas 12 dBm
T5 Voz
D 6846 MS-DOS WEP - 20 dBm

Símbolo b apenas
E XybernautAtigo S310LX Windows XP WPA2/802.1x 5.0 a/b/g 20 dBm
Tabela 7.3: Inventário de dispositivos sem fio

Colocação de um AP sem fio
ÿ Diretrizes para montagem AP:

ÿ Coloque APs em locais centrais
ÿ Instale um AP no teto
ÿ Evite colocar APs muito altos em tetos
ÿ Evite montar um AP em uma parede, pois isso pode restringir sua

cobertura 360
ÿ Evite instalar APs em corredores
ÿ Evite instalar APs acima de tetos falsos
ÿ Use fechaduras e um invólucro de sarel de plástico para proteger o

AP de roubo
ÿ Evite colocar o AP em uma gaiola de metal
ÿ Mantenha o AP afastado de objetos metálicos
Colocação de um AP sem fio
A escolha de um local apropriado para um AP é muito importante, pois desempenha um papel vital na obtenção de alto
desempenho, cobertura e velocidade de rede. Muitas organizações têm seus APs colocados em seus espaços internos.
Cada AP requer instalação em um local e ângulo específicos, pois sua instalação em locais aleatórios restringirá o
desempenho da rede. Além disso, a área de cobertura precisa ser planejada com sabedoria. A sobreposição é boa.
Deve-se tomar cuidado para não criar zonas mortas.

Figura 7.14: Posicionamento do AP sem fio
As diretrizes a seguir ajudam a escolher os locais apropriados para os APs e a obter o máximo de cobertura,
desempenho e velocidade:
ÿ Colocar APs em locais centrais
ÿ Instalar um AP no teto
ÿ Evite colocar APs muito altos em tetos
ÿ Evite montar um AP em uma parede, pois pode restringir sua cobertura de 360°
ÿ Evite instalar APs em corredores
ÿ Evite instalar APs acima de tetos falsos
ÿ Use fechaduras e um invólucro de sarel de plástico para proteger o AP contra roubo
ÿ Evite colocar o AP em uma gaiola de metal
ÿ Mantenha o AP afastado de objetos metálicos

Colocação de um Wireless
Antena
ÿ Diretrizes para colocação da antena:
ÿ Use o método de tentativa e erro para selecionar um local apropriado e

direção
ÿ Coloque a antena AP em uma direção perpendicular
ÿ Evite manter a antena em um ângulo de 45
ÿ Aponte o ganho da antena para os usuários
ÿ Conheça os padrões de radiação da antena
ÿ Não coloque obstruções ou objetos que interfiram no funcionamento da antena
ÿ O uso de antenas externas como antenas integradas tem uma limitação
Colocação de uma antena sem fio
A colocação de uma antena depende do tipo, ângulo e localização do AP e da cobertura necessária.

Diretrizes para a colocação de uma antena sem fio
ÿ Use o método de tentativa e erro para selecionar um local e direção apropriados.
ÿ Coloque a antena AP em uma direção perpendicular.
ÿ Evite manter a antena em um ângulo de 45°
ÿ Aponte o ganho da antena para os usuários
ÿ Conhecer os padrões de radiação da antena
ÿ Não coloque obstruções ou objetos que interfiram no funcionamento da antena
ÿ A utilização de antenas externas como antenas integradas tem uma limitação

ÿ
Incline as antenas para baixo quando instaladas no teto
ÿ Use antenas omnidirecionais apontando para baixo para atenuar os sinais trafegando
até o AP
ÿ Evite o uso de antenas dipolo simples como uma solução ideal
ÿ Use elementos de antena de frequência única em vez de elementos sintonizados duplamente

Figura 7.15: Colocação de uma antena wireless

Desativar transmissão SSID
Se o SSID for transmitido, o AP

anunciará sua presença e nome, permitindo
que todos tentem se autenticar e se conectar à
rede sem fio
A transmissão SSID deve ser desativada. No

Nesse cenário, um AP apenas transmitirá sua
presença, mas não seu nome.
Isso desencoraja solicitações de associação

não autorizadas à rede e permite conexões de
usuários legítimos à rede sem fio que possuem
o SSID correto
Desativar transmissão SSID
Um SSID de rede sem fio pode ser transmitido ou oculto. Ao transmitir o SSID, qualquer pessoa pode encontrá-lo e
acessá-lo. Se o SSID estiver oculto, o usuário deverá saber o SSID exato para se conectar à rede sem fio. Os
profissionais de segurança devem sempre desabilitar a transmissão SSID em seus dispositivos.
ÿ SSID Broadcast no Estado Ativado
Ao ativar a transmissão SSID, o roteador sem fio transmitirá sua presença e nome. Ao procurar conexões sem
fio disponíveis, se o SSID for transmitido, o nome e a presença da rede serão identificados. Pode ser bloqueado
com uma senha, mas qualquer pessoa poderá vê-lo.
ÿ Transmissão SSID no estado desativado
Se a transmissão SSID estiver desativada, o roteador sem fio transmitirá sua presença, mas não exibirá o
nome. Em vez disso, “rede sem nome” será exibida como uma conexão presente dentro do alcance de um
usuário. O usuário pode se conectar à rede sem fio após nomeá-la e fornecer as credenciais de autenticação
corretas.

Figura 7.16: Desativando a transmissão SSID

Selecionando um modo de criptografia sem fio forte

Ordem de preferência para
escolher um modo de criptografia:
ÿ Um modo de criptografia sem fio
forte deve ser selecionado para a
01 WPA3
rede sem fio
02 Empresa WPA2 com RADIUS
03 WPA2 Enterprise
04 WPA2PSK
05 WPA Enterprise
06 WPA
07 WEP
Selecionando um modo de criptografia sem fio forte

Um modo de criptografia sem fio forte deve ser usado para manter a rede sem fio protegida
contra vários tipos de ataques. Existem vários modos de criptografia que podem ser usados para
a rede sem fio de uma organização.
Figura 7.17: Selecionando o modo de criptografia sem fio

Ordem de preferência para escolher um modo de criptografia

1. WPA3
2. WPA2 Enterprise com RADIUS
3. WPA2 Empresarial
4. WPA2PSK
5. WPA Empresarial
6. WPA
7. WEP
Ordem de preferência para escolher um método de segurança Wi-Fi

1. WPA3
2. WPA2 + AES
3. WPA + AES
4. WPA + TKIP/AES
5. WPA + TKIP
6. WEP
7. Rede aberta (sem segurança alguma)

Defendendo-se contra o cracking do WPA

Selecione uma senha aleatória que não seja composta de palavras do dicionário
Selecione uma senha complexa que contenha no mínimo 20 caracteres e altere-a em

intervalos regulares
Use apenas criptografia WPA3/WAP2
Defina as configurações do cliente corretamente (por exemplo, valide o servidor, especifique

o endereço do servidor, não solicite novos servidores, etc.)
Use uma rede privada virtual (VPN) , como uma VPN de acesso remoto, VPN Extranet, VPN
Intranet, etc.
Implemente um controle de acesso à rede (NAC) ou proteção de acesso à rede

(NAP) solução para controle adicional sobre a conectividade do usuário final
Defendendo-se contra o cracking do WPA
A única maneira de quebrar o WPA é farejar a chave mestra emparelhada de senha (PMK) associada ao processo de
autenticação de “aperto de mão”. Se essa senha for extremamente complicada, pode ser quase impossível decifrá-la.
As seguintes contramedidas podem ajudar um usuário a derrotar tentativas de quebra de WPA:
ÿ Selecione uma senha aleatória que não seja composta de palavras do dicionário.
ÿ Selecione uma senha complexa que contenha no mínimo 20 caracteres e altere o

senha em intervalos regulares
ÿ Use apenas criptografia WPA3/WAP2
ÿ Defina as configurações do cliente corretamente (por exemplo, valide o servidor, especifique o endereço do servidor,
não solicita novos servidores, etc.)
ÿ Use uma rede privada virtual (VPN), como uma VPN de acesso remoto, VPN Extranet, Intranet
VPN, etc
ÿ Implementar uma solução de controle de acesso à rede (NAC) ou proteção de acesso à rede (NAP)
para controle adicional sobre a conectividade do usuário final
ÿ Não use palavras do dicionário.
ÿ Não use palavras com números anexados no final.
ÿ Não use palavras duplas ou substituição de letras simples, como p@55w0rd.
ÿ Não use sequências comuns do seu teclado, como qwerty.
ÿ Não use sequências numéricas comuns.
ÿ Evite usar informações pessoais na chave/senha.

Uma senha WPA deve ser construída de acordo com as seguintes regras:
ÿ
Deve ter uma senha aleatória.
ÿ
Deve ter pelo menos 12 caracteres de comprimento.
ÿ
Deve conter pelo menos uma letra maiúscula.
ÿ
Deve conter pelo menos uma letra minúscula.
ÿ
Ele deve conter pelo menos um caractere especial, como @ ou !
ÿ Deve conter pelo menos um número.

Detectando pontos de acesso não autorizados
Gerenciamento de Rede Simples

Digitalização sem fio Digitalização em rede com fio
Pesquisa de protocolo (SNMP)
ÿ Executa uma rede sem fio ÿ Use scanners de rede como o Nmap ÿ Use o SNMP para identificar o IP
digitalização para detectar a presença para identificar APs na rede. Isso dispositivos conectados à rede com
de APs sem fio nas proximidades ajudará a localizar dispositivos não fio
autorizados na rede com fio
ÿ A descoberta de um AP não listado no ÿ Use os utilitários de detecção de SNMP,
inventário de dispositivos sem fio como scanner SolarWinds SNMP,
indica a presença de um invasor scanner Lansweeper SNMP , etc., para
PA identificar os dispositivos habilitados
para SNMP na rede
ÿ Use ferramentas de descoberta sem fio ,
como inSSIDer, NetSurveyor,
NetStumbler, Vistumbler, Kismet, etc.,
para detectar redes sem fio
Nota: Para usar o polling SNMP, o serviço SNMP em todos os dispositivos IP na rede deve estar habilitado.
Detectando pontos de acesso não autorizados
Um AP sem fio é denominado AP não autorizado quando é instalado em uma rede confiável sem autorização. Um invasor
interno ou externo pode instalar APs não autorizados em uma rede confiável para fins maliciosos.
Tipos de APs Rogue
1. Roteador sem fio conectado por meio de uma interface “confiável”
2. Roteador sem fio conectado por meio de uma interface “não confiável”
3. Instalar uma placa sem fio em um dispositivo que já esteja em uma LAN confiável
4. Ativar a conexão sem fio em um dispositivo que já esteja em uma LAN confiável
Os métodos mencionados abaixo devem ser usados para detectar redes sem fio nas proximidades da rede e os APs sem
fio detectados devem ser comparados com o inventário de dispositivos sem fio para o ambiente. Se um AP que não está
listado no inventário for encontrado, geralmente pode ser considerado um AP não autorizado.
ÿ Varredura sem fio: realiza uma varredura de rede sem fio ativa para detectar a presença de APs sem fio nas
proximidades. Ele ajuda a detectar APs sem fio não autorizados ou ocultos que podem ser maliciosos. A
descoberta de um AP não listado no inventário de dispositivos sem fio indica a presença de um AP não
autorizado. Você pode usar ferramentas de descoberta sem fio, como inSSIDer, NetSurveyor, NetStumbler,
Vistumbler, Kismet, etc., para detectar redes sem fio.
ÿ Varredura de rede com fio: Scanners de rede com fio, como o Nmap, são usados para identificar um grande
número de dispositivos em uma rede enviando TCP especialmente criado

pacotes para o dispositivo (impressão digital Nmap-TCP). Ele ajuda a localizar APs não autorizados conectados
a uma rede com fio.
ÿ Sondagem de protocolo de gerenciamento de rede simples (SNMP): A sondagem de protocolo de gerenciamento

de rede simples (SNMP) é usada para identificar os dispositivos IP conectados a uma rede com fio. Utilitários de
detecção de SNMP, como SolarWinds SNMP Scanner, Lansweeper, etc., podem ser usados para identificar
dispositivos habilitados para SNMP na rede.
Nota: Para usar o polling SNMP, o serviço SNMP em todos os dispositivos IP na rede deve estar habilitado.

Ferramentas de segurança sem fio

IPS sem fio adaptável da Cisco
ÿ Ele fornece detecção e mitigação de ameaças de rede sem fio contra AirMagnet WiFi Analyzer PRO https://
www.netally.com
ataques maliciosos e vulnerabilidades de segurança
RFProtect
https:// www.arubanetworks.com
Fern Wifi Cracker

https:// github.com
OR-Assistant http://
securitystartshere.org
BoopSuite
https:// github.com
https:// sourceforge.net
https:// www.cisco.com
Ferramentas de segurança sem fio
ÿ Cisco Adaptive Wireless IPS
Fonte: https:// www.cisco.com
O Cisco Adaptive Wireless Intrusion Prevention System (IPS) oferece segurança de rede avançada para
monitoramento dedicado e detecção de anomalias de rede sem fio, acesso não autorizado e ataques de RF.
Totalmente integrada à Cisco Unified Wireless Network, esta solução oferece visibilidade e controle
integrados em toda a rede, sem a necessidade de uma solução de sobreposição. O Adaptive WIPS fornece
detecção e mitigação de ameaças à rede sem fio contra ataques mal-intencionados e vulnerabilidades de
segurança. Ele também oferece aos profissionais de segurança a capacidade de detectar, analisar e
identificar ameaças sem fio.

Figura 7.18: Captura de tela do Cisco Adaptive Wireless IPS
A seguir estão algumas ferramentas adicionais de auditoria de segurança Wi-Fi:
ÿ AirMagnet WiFi Analyzer PRO (https:// www.netally.com)

ÿ RFProtect (https:// www.arubanetworks.com)
ÿ Fern Wifi Cracker (https:// github.com)
ÿ OR-Assistant (http:// securitystartshere.org)
ÿ BoopSuite (https:// github.com)

Configurando a Segurança Administrativa em Roteadores Wireless
Alterar a senha padrão no

roteador sem fio
Atribua uma senha forte e complexa

ao roteador
Escolha o HTTPS para comunicação

segura
Desativar acesso remoto ao roteador
Ativar registro
Configurando a Segurança Administrativa em Wireless

Roteadores (continuação)
Configurando a Segurança Administrativa em Roteadores Wireless

Para proteger o roteador sem fio, as configurações de segurança recomendadas devem ser aplicadas
no roteador sem fio. Essas definições de configuração de segurança ajudam a minimizar qualquer
ataque sem fio e fornecem o melhor desempenho, segurança e confiabilidade ao usar o Wi-Fi.

A seguir estão as recomendações de segurança que devem ser consideradas:
1. Alterando a senha padrão do roteador sem fio
2. Atribuir uma senha forte e complexa ao roteador
3. Escolhendo o protocolo de transferência de hipertexto seguro (HTTPS) para comunicação segura
4. Desativando o acesso remoto ao roteador
5. Ativar o firewall para bloquear determinadas solicitações de WAN
6. Configurando uma política de acesso à internet
7. Especificando os serviços bloqueados, URL, palavras-chave, etc.
8. Desativando a opção de zona desmilitarizada (DMZ)
9. Definindo as configurações de QoS
10. Evite usar os intervalos de IP padrão
11. Mantenha o firmware do roteador atualizado
Figura 7.19: Senha forte

Figura 7.20: Habilitando HTTPS

Figura 7.21: Desativando o acesso remoto ao roteador
Figura 7.22: Ativar registro

Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes sem fio e padrões
1 sem fio
Também discutiu as topologias de rede sem fio e classificação de redes sem fio
2
Este módulo discutiu os componentes de uma rede sem fio e os mecanismos

3 de criptografia de rede sem fio
Ele discutiu os diferentes tipos de métodos de autenticação de

4 rede sem fio
Por fim, este módulo terminou com uma visão geral sobre várias medidas
5 de segurança de rede sem fio e ferramentas de segurança sem fio
No próximo módulo, discutiremos em detalhes a segurança de dispositivos

6 móveis
Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes sem fio e padrões sem fio. Também discutiu as topologias de rede
sem fio e a classificação das redes sem fio. Além disso, este módulo explicou os componentes de uma rede sem fio e
vários mecanismos de criptografia de rede sem fio. Além disso, discutiu os diferentes tipos de métodos de autenticação
de rede sem fio. Por fim, este módulo apresentou uma visão geral sobre várias medidas de segurança de rede sem fio
e ferramentas de segurança sem fio.
No próximo módulo, discutiremos a segurança de dispositivos móveis em detalhes.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 08
Segur anç a de Disp os it ivo s M óv e is
Segurança de dispositivos móveis
1 Compreendendo os vários métodos de conexão de dispositivos móveis
2 Compreendendo os conceitos de gerenciamento de dispositivos móveis
Compreendendo as abordagens comuns de uso móvel em

3 Empreendimentos
Entenda o risco de segurança e as diretrizes associadas a

4 Políticas de uso móvel corporativo
Compreendendo o gerenciamento de segurança móvel de nível empresarial

5 Soluções
Compreendendo as Diretrizes Gerais de Segurança e as Melhores Práticas para

6 Plataformas Móveis
Com a introdução de telefones celulares nas empresas, a segurança corporativa tornou-se mais complexa. A segurança
móvel corporativa tornou-se um grande desafio para as organizações. Portanto, é importante que as organizações
abordem essas preocupações de segurança para gerenciar com eficácia a segurança dos dispositivos móveis.
ÿ Compreender os vários métodos de conexão de dispositivos móveis
ÿ Compreender os conceitos de gestão de dispositivos móveis
ÿ Compreender as abordagens comuns de uso móvel nas empresas
ÿ Entenda o risco de segurança e as diretrizes associadas ao uso de dispositivos móveis corporativos

políticas
ÿ Compreender as soluções de gerenciamento de segurança móvel de nível empresarial
ÿ Explicar as diretrizes gerais de segurança e as melhores práticas para plataformas móveis
Módulo 08 Página 622 Network Defense Essentials Copyright © por EC-Council Todos os direitos
Fluxo do módulo
Discutir riscos de segurança e

Entenda vários dispositivos móveis
1 Métodos de conexão do dispositivo 4 Diretrizes Associadas a
Políticas de uso móvel corporativo
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Discutir e Implementar Geral

Discutir celular comum Móvel
3 Políticas de uso em empresas
Segurança 6 Diretrizes de segurança e melhores
Práticas em plataformas móveis
Entenda vários métodos de conexão de dispositivos móveis
Para proteger os dispositivos móveis de vários ataques cibernéticos, os profissionais de segurança devem
estar cientes dos diferentes métodos de conexão envolvidos nas comunicações móveis. Eles também
devem entender como os dispositivos obtêm acesso à rede e compartilham seus recursos com outros
dispositivos. Existem muitas maneiras pelas quais as redes móveis podem ser conectadas; portanto, é
importante que os profissionais de segurança estejam cientes das preocupações de segurança associadas
a cada método de conexão e como proteger as redes móveis de intenções maliciosas. Esta seção discute
vários métodos de conexão de dispositivos móveis.
Métodos de conexão de dispositivos móveis
Near-field Communication (NFC) ÿ Emprega
indução eletromagnética para permitir a comunicação

entre os dispositivos conectados dentro de 10 cm
Comunicação por Satélite (Satcom) ÿ É um satélite
geoestacionário artificial que presta serviços

em todo o mundo, mas é muito mais lento e mais caro do que outras tecnologias
Comunicação Celular
ÿ Baseia-se em uma única torre de rede que atende dispositivos localizados

dentro de um raio específico
Métodos de conexão de dispositivos móveis (continuação)

SOBRE
É um protocolo de sensor sem fio que permite a comunicação entre sensores e

seus controladores
Barramento Serial Universal (USB)
Ele permite a comunicação com fio para dispositivos. Ele pode ser usado para
fonte de alimentação e transmissão serial de dados entre dispositivos
Sistema de Posicionamento Global (GPS)
É um sistema de radionavegação e posicionamento baseado em comunicação

via satélite. Ele fornece informações relacionadas à geolocalização e ao tempo,
independentemente das condições climáticas da Terra
Infravermelho (IR)
É uma tecnologia sem fio para transferência de dados entre dois dispositivos no formato
digital em um curto alcance de até 5 m
Dispositivo móvel
Conexão
Métodos (continuação)
Celular 5G (Móvel)
Wi-fi Bluetooth Comunicação
É um sem fio comum É uma tecnologia sem fio de curto É um celular de banda larga
tecnologia usada em residências alcance, alta velocidade e baixa rede que opera em alta largura
e prédios de escritórios para potência que permite a comunicação de banda com baixa latência e
conectar dispositivos locais entre dispositivos conectados dentro do fornece downloads de dados em
alta velocidade
Alcance do Bluetooth
Conexão de dispositivo móvel

Métodos (continuação)
Ponto a ponto ÿ Permite a comunicação segura entre dois dispositivos móveis

(P2P) dispositivos sem criptografia de dados porque são
Conexão conectados por caminhos fixos sem a interferência de
outros dispositivos
Ponto a
ÿ Permite conexões um-para-muitos , fornecendo
multiponto
Conexão vários caminhos de um único local para vários outros locais
Frequência de rádio
Identificação ÿ Funciona com tecnologia de radiofrequência, que
identifica uma pessoa ou objeto usando suas tags (rótulos
(RFID)
exclusivos)
Métodos de conexão de dispositivos móveis
A seguir estão alguns métodos de conexão móvel comumente usados.
ÿ Comunicação de campo próximo (NFC): NFC cobre distâncias muito curtas. Emprega indução eletromagnética
para permitir a comunicação entre dispositivos conectados dentro de 10 cm. Embora permita um alcance
muito estreito de comunicação, um invasor com uma antena especializada pode interceptar e capturar os
dados bloqueando o tráfego. Esse
problema de segurança pode resultar da configuração inadequada de NFC e transmissão de dados não
criptografados.
ÿ Comunicação por satélite (Satcom): Satcom é um satélite geoestacionário artificial que fornece serviços
em todo o mundo, mas é muito mais lento e mais caro do que outras tecnologias. Existem muitas
tecnologias que utilizam tecnologia de satélite; alguns empregam uma conexão com satélites
geoestacionários, enquanto outros se conectam a satélites que giram em torno da Terra em órbita baixa,
por meio dos quais voz e dados podem ser transmitidos. A tecnologia também tem problemas de segurança,
como execução remota de código e vulnerabilidades do sistema operacional.
ÿ Comunicação celular: A comunicação celular é baseada em uma única torre de rede que atende dispositivos
localizados em um raio específico. Eles estão instalados em áreas urbanas, suburbanas e rurais e cobrem
uma grande distância. Os dispositivos móveis contêm antenas integradas, que permitem que o dispositivo
se comunique por meio de uma rede celular. As preocupações de segurança com redes celulares incluem
rastreamento de localização, monitoramento de tráfego, ataques de negação de serviço (DoS), ataques de
bloqueio de canal e acesso ilegítimo.
ÿ ANT: ANT é um protocolo de sensor sem fio que permite a comunicação entre sensores e seus controladores.
Essa tecnologia é usada em dispositivos de Internet das Coisas (IoT), como equipamentos de monitoramento
de frequência cardíaca ou condicionamento físico. Não é uma tecnologia sem fio Bluetooth ou 802.11 e
possui seu próprio conjunto de protocolos desenvolvidos para dispositivos de baixa potência. É suscetível
a DoS ou ataques de interferência, e os invasores podem capturar dados em trânsito.
ÿ Universal Serial Bus (USB): USB permite comunicação com fio para dispositivos. Pode ser usado para
fornecimento de energia e transmissão serial de dados entre dispositivos. Ele também foi projetado para
permitir hot-swapping e melhorar os recursos plug-and-play. As portas USB são comumente usadas em
dispositivos móveis para transmissão de dados e fonte de alimentação. É relativamente mais seguro do
que outros métodos de conexão, mas funcionários insatisfeitos podem usar um dispositivo USB para extrair
dados da rede local da organização.
ÿ Sistema de Posicionamento Global (GPS): O GPS é um sistema de radionavegação e posicionamento

baseado em comunicação por satélite. Ele fornece informações relacionadas à geolocalização e ao tempo,
independentemente das condições climáticas da Terra. Os dispositivos não precisam passar nenhum dado
aos satélites para estabelecer uma conexão GPS; eles só precisam receber os sinais de quatro ou mais
satélites de 28 para estimar sua localização. As preocupações de segurança com essa tecnologia incluem
o fato de que os sinais de GPS podem ser interceptados e adulterados usando bloqueadores de GPS
especialmente projetados.
ÿ Infravermelho (IR): IR é uma tecnologia sem fio para transferência de dados entre dois dispositivos no
formato digital em um curto alcance de até 5 m. Funciona apenas quando não há bloqueio físico ou
obstáculo entre os dois dispositivos. É um tipo de recurso de rede integrado a dispositivos como tablets e
smartphones que permite gerenciar dispositivos infravermelhos. Também pode ser usado para transferir
arquivos entre dispositivos. Qualquer dispositivo com acessibilidade por infravermelho pode ser gerenciado
usando o recurso de infravermelho de um dispositivo móvel.
ÿ Wi-Fi: Uma rede Wi-Fi conecta dispositivos dentro de uma área limitada (Wi-Fi habilitado) com alta largura de
banda. Cobre uma distância menor do que uma rede celular. É uma tecnologia sem fio comum usada em
residências e prédios de escritórios para conectar dispositivos locais. Além disso, um dispositivo móvel
pode compartilhar seu serviço de Internet com outros dispositivos usando o recurso de tethering de ponto
de acesso baseado na tecnologia Wi-Fi. Se os clientes não usarem um canal criptografado ou o canal não
usar um protocolo apropriado, os clientes poderão ser alvo de ataques MITM (main-in-the-middle), por meio
dos quais os invasores podem farejar o tráfego entre dois dispositivos de comunicação. Como a tecnologia
usa um conjunto de frequências de 5 ou 2,5 GHz, ela também pode ser vulnerável a ataques DoS e
interferências de frequência.
ÿ Bluetooth: a tecnologia Bluetooth cobre uma distância maior do que a NFC. É uma tecnologia sem fio de
curto alcance, alta velocidade e baixa potência que permite a comunicação entre dispositivos conectados
dentro do alcance do Bluetooth. Quando um dispositivo ativa uma conexão Bluetooth, ele envia solicitações
de “emparelhamento” para um determinado número de dispositivos localizados dentro do alcance, após o
que o dispositivo correspondente emparelha com ele usando o nome e a ID do dispositivo. As preocupações
de segurança com a tecnologia Bluetooth incluem interceptação, espionagem, ataques DoS, transmissão
de vírus ou worms, Bluesnarfing e Bluejacking.
ÿ Comunicação celular (móvel) 5G: 5G ou tecnologia de comunicação de quinta geração é uma rede celular
de banda larga que opera em alta largura de banda com baixa latência e fornece downloads de dados em
alta velocidade. Algumas das aplicações do 5G incluem a indústria automobilística, segurança pública e
acesso sem fio fixo. A tecnologia foi projetada para suportar dispositivos IoT. As preocupações de
segurança com essa tecnologia estão associadas à sua complexidade de gerenciamento. Os invasores
podem tentar aproveitar o aumento do número de dispositivos conectados a uma rede 5G para comprometê-
los e usá-los como botnets para paralisar a rede por meio de ataques DDoS.
ÿ Conexão ponto a ponto (P2P): Uma conexão P2P permite a comunicação segura entre dois dispositivos
móveis sem criptografia de dados porque eles são conectados por caminhos fixos sem a interferência de
outros dispositivos. Por exemplo, em um cenário de comunicação móvel entre duas pessoas, apenas o
dispositivo em questão pode ouvir a voz do dispositivo discado. Os dispositivos de roteamento também
podem usar esse método para se conectarem adotando a técnica de criptografia over-the-air, que reduz o
risco de espionagem.
ÿ Conexão ponto-a-multiponto: Uma conexão ponto-a-multiponto (P2MP, PTMP e PMP) permite conexões
um-para-muitos fornecendo vários caminhos de um único local para vários outros locais. Neste método de
conexão, uma antena central transmite sinais para várias antenas e dispositivos receptores por meio de
multiplexação por divisão de tempo (TDM) ou multiplexação por divisão de frequência (FDM) para
transmissão de dados bidirecional. Uma tecnologia que usa conexões PMP é o Bluetooth, que pode usar o
método PMP para conectar um dispositivo a vários dispositivos, como fones de ouvido e reprodutores de
mídia. Este tipo de conexão não oferece alta segurança ou privacidade, pois o canal de comunicação é
transmitido e compartilhado.
ÿ Identificação por radiofrequência (RFID): o RFID funciona com tecnologia de radiofrequência, que identifica
uma pessoa ou objeto por meio de suas tags (etiquetas exclusivas). A RFID opera no
bandas de baixa frequência (LF), alta frequência (HF) e ultra-alta frequência (UHF). O HF-RFID
com um dispositivo móvel é comunicado por meio de servidores, fornecendo histórico de dados,
persistência de dados e gerenciamento de dados. Os sistemas RFID podem ser suscetíveis a
ataques como análise de energia, engenharia reversa, ataques de repetição, spoofing, sniffing,
DoS e clonagem.
Fluxo do módulo


Discuta os conceitos de gerenciamento de dispositivos móveis

Esta seção discute vários conceitos de gerenciamento de dispositivos móveis.
Gerenciamento de dispositivos móveis (MDM)
O MDM fornece plataformas para distribuição de aplicativos, dados e

configurações por fio ou pelo ar para todos os tipos de dispositivos móveis,
incluindo telefones celulares, smartphones, tablets, etc.
Gerenciamento de aplicativos móveis Gerenciamento de conteúdo móvel Autenticação sensível ao contexto
ÿ Um software que é mais usado por TI ÿ Um software que oferece soluções para ÿ Ele usa as informações contextuais de um
administradores para controlar e proteger o conteúdo ou dados nos dispositivos usuário, como geolocalização, identidade e
proteger os dados organizacionais. Oferece móveis. Ele fornece recursos para armazenar comportamento para aprimorar as decisões
funcionalidades como ativação ou desativação e entregar dados, oferecer os serviços de segurança de dados
remota de dispositivos, limpeza remota em caso necessários e permitir que os funcionários
de roubo ou perda, etc. acessem os dados organizacionais remotamente
Gerenciamento de dispositivos móveis (MDM) (continuação)
Gerenciamento de e-mail móvel Gerenciamento de segurança móvel
Ele oferece acesso seguro à infraestrutura Envolve ações e medidas de precaução

de e-mail organizacional e dados em um para proteger os dados organizacionais e
dispositivos móveis do funcionário os dispositivos móveis usados pelos
funcionários
Gerenciamento de Mobilidade Corporativa Limpeza remota
Consiste em ferramentas e tecnologias usadas É uma técnica usada para garantir e proteger
em uma organização para proteger os dados nos dados de criminosos se um dispositivo móvel
dispositivos pessoais (BYOD) e organizacionais dos usado por um funcionário for perdido. Este
funcionários recurso permite que o administrador envie
um comando
que pode apagar todos os dados do dispositivo
É um recurso em dispositivos móveis que é usado para proteger dados

Bloqueio de tela
e impedir o acesso ilegal de criminosos
senhas e Protege dados privados do funcionário e

informações confidenciais da organização armazenadas
PINs em um dispositivo móvel
É uma tecnologia de segurança avançada e exclusiva que utiliza os

biometria atributos físicos de um indivíduo, como impressão digital, íris, face, voz
e comportamento para verificar sua identidade
É um recurso de mensagens que se origina de um servidor e permite

Notificação push a entrega de dados ou uma mensagem de um aplicativo para um
Serviços dispositivo móvel sem nenhuma solicitação explícita do usuário
geolocalização Full Device Encryption ÿ É um recurso
ÿ É uma tecnologia que pode identificar de segurança que pode criptografar

a localização geográfica do todas as informações
mundo real de usuários ou armazenadas em qualquer meio de
dispositivos quando conectados à armazenamento em um dispositivo
Internet móvel
Geofencing ÿ Uma Conteinerização
geofence é uma cerca virtual ÿ É uma técnica em que todos os dados

que está posicionado em um local e pessoais e organizacionais são
interage com os usuários móveis sempre segregados no dispositivo móvel
que eles cruzam a cerca. de um funcionário. Ajuda a melhorar a
segurança dos dados
ÿ Isso ajuda os profissionais de marketing a reunir
dados confidenciais e saber sobre as organizacionais
atividades off-line dos usuários a partir

dos dados de localização
Gerenciamento de dispositivos móveis (MDM)
O MDM fornece plataformas para distribuição com ou sem fio de aplicativos, dados e definições de
configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones,
tablets e assim por diante. Ele ajuda na implementação de políticas em toda a empresa para reduzir
custos de suporte, descontinuidade de negócios e riscos de segurança. Ele ajuda os administradores de
sistema a implantar e gerenciar aplicativos de software em todos os dispositivos móveis corporativos para proteger,
monitorar, gerenciar e dar suporte a esses dispositivos. Ele pode ser usado para gerenciar dispositivos de propriedade
da empresa e de propriedade do funcionário (BYOD) em toda a empresa.
Discutidos abaixo estão vários conceitos relacionados ao gerenciamento de dispositivos móveis:
ÿ Gestão de aplicações móveis
O gerenciamento de aplicativos móveis (MAM) é um software usado principalmente por administradores de TI

para controlar e proteger dados organizacionais. O MAM oferece funcionalidades como ativação ou desativação
remota de dispositivos, registro de dispositivos na organização e limpeza remota em caso de roubo ou perda.
Esses recursos são adequados para dispositivos móveis usados apenas para fins organizacionais pelos
funcionários. Para dispositivos móveis usados para trabalho e uso pessoal, os administradores de TI podem
implementar e aplicar políticas de privacidade em aplicativos móveis, limitando o compartilhamento de dados
organizacionais. Eles também podem permitir o particionamento dos aplicativos usados na organização e dados
pessoais nos mesmos dispositivos móveis. Os recursos do MAM também incluem distribuição de software ou
aplicativo para funcionários, gerenciamento de licenças, criptografia de dados, configuração e gerenciamento de
inventário.
ÿ Gerenciamento de conteúdo móvel
Gerenciamento de conteúdo móvel (MCM) é um software que faz parte do gerenciamento de dispositivo móvel
(MDM). A MCM oferece soluções para proteger o conteúdo ou dados nos dispositivos móveis usados em uma
organização. Ele fornece recursos para armazenar e entregar dados, oferecer os serviços necessários e permitir
que os funcionários acessem os dados organizacionais remotamente e a qualquer momento necessário. O MCM
garante que o acesso não autorizado aos dados seja restrito ou bloqueado, protegendo assim os dados
confidenciais da organização. Ele supervisiona o gerenciamento de dados críticos, acesso a documentos de
trabalho, gerenciamento de e-mail e gerenciamento de ativos digitais. Ele também pode criptografar dados
confidenciais e usar qualquer técnica de senha forte para transmissão e armazenamento de dados.
ÿ Autenticação sensível ao contexto
A autenticação baseada no contexto é um tipo de técnica de segurança aprimorada que usa as informações
contextuais de um usuário, como geolocalização, identidade e comportamento para aprimorar as decisões de
segurança de dados. Ele também usa os dados sobre o usuário, solicitações feitas, conexão e localização.
Todos esses dados ajudam a impedir que usuários mal-intencionados acessem os dados organizacionais. Essa
técnica também permite que os funcionários acessem a rede organizacional dentro do perímetro do escritório e
nega o acesso quando um dispositivo está conectado a uma rede Wi-Fi pública.
Figura 8.1: Autenticação sensível ao contexto
ÿ Gestão de e-mail móvel
O gerenciamento de e-mail móvel (MEM) oferece acesso seguro à infraestrutura de e-mail organizacional e
aos dados nos dispositivos móveis de um funcionário. Ele ajuda na pré-configuração remota e na pré-
configuração de contas de e-mail organizacionais para funcionários. O MEM pode reforçar a conformidade e
impedir o acesso não autorizado, permitindo que apenas dispositivos e aplicativos aprovados e autorizados
acessem o e-mail.
ÿ Gestão da mobilidade empresarial
O gerenciamento de mobilidade empresarial (EMM) consiste em ferramentas e tecnologias usadas em uma

organização para proteger os dados nos dispositivos pessoais (BYOD) e organizacionais dos funcionários. O
EMM atua como uma solução abrangente responsável por MDM, MAM, MTM, MCM e MEM. Ele protege os
dados corporativos acessados e usados pelos dispositivos móveis dos funcionários. O EMM pode aumentar a
produtividade dos funcionários, pois o administrador de TI pode configurar aplicativos remotamente e fornecer
acesso aos dados aos funcionários.
ÿ Gestão de segurança móvel
O gerenciamento de segurança móvel envolve ações e medidas preventivas para proteger os dados
organizacionais e os dispositivos móveis usados pelos funcionários. Ele pode proteger o acesso à rede da
organização, ajuda na segurança de dispositivos e aplicativos e permite acesso seguro aos e-mails da
organização.
A seguir estão alguns dos recursos do gerenciamento de segurança móvel:
o Gera contêineres lógicos separados em dispositivos móveis para impedir que aplicativos privados acessem
os dados da organização
o Emprega técnicas de senha fortes para restringir o acesso de terceiros
o Automatiza as atualizações dos dispositivos e SO com os patches de segurança mais recentes
o Listas negras de aplicativos maliciosos
o Executa comandos em dispositivos móveis perdidos remotamente
o Configura uma VPN especificamente para os dados, recursos e aplicativos da organização
ÿ Limpeza remota
A limpeza remota é uma técnica usada para proteger e proteger dados de malfeitores se um dispositivo móvel
usado por um funcionário for roubado ou perdido. Esse recurso permite que o proprietário do dispositivo ou o
administrador da organização envie um comando que pode excluir ou apagar todos os dados do dispositivo. Isso
ajuda a evitar que criminosos comprometam dados pessoais confidenciais ou ativos organizacionais confidenciais.
ÿ Bloqueio de tela
O bloqueio de tela é um recurso em dispositivos móveis usado para proteger os dados e impedir o acesso ilegal
de criminosos. Ativar o bloqueio de tela em um dispositivo móvel pode impedir o acesso a dados privados no
dispositivo móvel, mesmo que tenha sido perdido ou roubado. O bloqueio de tela pode ser definido em um
dispositivo móvel usando técnicas de proteção, como senha, bloqueio facial, bloqueio de impressão digital,
padrão ou PIN. Desbloquear a tela envolve um conjunto de ações que precisam ser executadas corretamente,
caso contrário, o dispositivo pode bloquear após um determinado número de tentativas malsucedidas.
ÿ Senhas e PINs
Senhas e PINs são recursos básicos de segurança usados em todos os dispositivos móveis. O uso de um PIN
seguro e senha complexa pode proteger dados privados do funcionário e informações confidenciais da
organização armazenadas em um dispositivo móvel. Uma senha ou PIN atua como uma defesa simples, mas
eficaz, para impedir que os dados sejam acessados por qualquer usuário mal-intencionado. Um PIN consiste em
uma sequência de números, sem letras ou caracteres especiais.
Por outro lado, uma senha compreende letras maiúsculas e minúsculas, numerais e caracteres especiais e
geralmente é mais longa que um PIN.
ÿ Biometria
A biometria é uma tecnologia de segurança avançada e exclusiva que utiliza os atributos físicos de um indivíduo,
como impressão digital, íris, face, voz e comportamento para verificar sua identidade. Esses dados são
armazenados em um banco de dados, e sempre que o dispositivo móvel precisa ser acessado, os dados
fornecidos pelo usuário são comparados com os dados armazenados; o acesso é permitido somente se houver
uma correspondência. A biometria pode ser usada para autenticar um usuário com muita facilidade, rapidez e
segurança. Também evita a necessidade de lembrar senhas complexas.
ÿ Serviços de notificação push
Um serviço de notificação por push é um recurso de mensagens que se origina de um servidor e permite a
entrega de dados ou uma mensagem de um aplicativo para um dispositivo móvel sem nenhuma solicitação
explícita do usuário. É uma ótima ferramenta de marketing para manter contato com os usuários. Este serviço
não requer a abertura de nenhum aplicativo para receber a notificação, e a mensagem de texto na notificação
será exibida no dispositivo móvel mesmo que o aplicativo esteja fechado ou a tela bloqueada.
ÿ Geolocalização
A geolocalização é uma tecnologia que pode identificar a localização geográfica do mundo real de usuários ou
dispositivos quando conectados à Internet. Funciona em dispositivos móveis através
o sistema GPS e é preciso ao nível de aproximadamente um pé. A implantação de geolocalização em aplicativos ajuda
os profissionais de marketing a implementar facilmente seus negócios e técnicas de marketing. A geolocalização também
é famosa por oferecer uma experiência de usuário rica para navegação por meio de mapas e para rastreamento de
pessoas, dispositivos ou veículos com recurso de GPS. A geolocalização também é usada na previsão do tempo. ÿ
Geofencing Geofencing é uma técnica através da qual os profissionais de marketing de aplicativos móveis utilizam a
localização do usuário para coletar informações. Essa técnica pode determinar o quão perto o dispositivo móvel do usuário
está de um local exato usando o recurso de GPS. Uma geofence é uma cerca virtual que é posicionada em um local e
interage com os usuários móveis sempre que eles cruzam a cerca. Isso ajuda os profissionais de marketing a coletar
dados confidenciais e saber sobre as atividades off-line dos usuários a partir dos dados de localização. Ele usa
triangulação celular para localizar o dispositivo do usuário com um nível de precisão de 50 a 50.000 m.
A seguir estão as principais vantagens de usar geofencing para marketing:
o Enviar promoções diretamente aos clientes
o Melhorar as vendas localmente
o Reduzir o custo com publicidade paga
o Obtenha dados sobre a experiência do usuário para melhorias adicionais ÿ
Criptografia completa do dispositivo A criptografia completa do disco é um recurso
de segurança que pode criptografar todas as informações armazenadas em qualquer meio de armazenamento em um
dispositivo móvel. Essa técnica codifica as informações do usuário armazenadas no dispositivo móvel usando uma chave
de criptografia. É útil para criptografar dados automaticamente, que podem ser descriptografados usando a chave. Ele
emprega algoritmos de criptografia, como o padrão de criptografia avançada (AES) de 128 bits com encadeamento de
blocos cifrados (CBC).
ÿ Conteinerização
A conteinerização é uma técnica na qual todos os dados pessoais e organizacionais são segregados no dispositivo
móvel de um funcionário. Com a crescente adoção de políticas BYOD, o uso dessa técnica ajuda substancialmente a
melhorar a segurança dos dados organizacionais. Também melhora a produtividade e facilita o uso dos recursos e
aplicativos da empresa. Esses aplicativos não têm nenhum controle ou comunicação com os aplicativos ou dados
privados dos funcionários, pois existem fora do contêiner.
A seguir estão os benefícios da conteinerização:
o Por padrão, os contêineres são criptografados para proteger os dados corporativos.
o Os dados não podem entrar ou sair do contêiner.
o Os dados são compartilhados apenas entre os aplicativos dentro do contêiner.
o A conteinerização fornece controle completo sobre o espaço de trabalho do contêiner.
o A conteinerização fornece privacidade aos dados do usuário no dispositivo móvel.
Fluxo do módulo


Discutir políticas comuns de uso móvel em empresas

Uma organização que permite que seus funcionários trabalhem remotamente usando um smartphone ou
tablet deve criar uma política para proteger esses dispositivos e proteger os dados da empresa. Esta
seção apresenta as várias políticas de uso móvel que podem ser implementadas por uma organização
com base em seus requisitos.
Abordagens de uso móvel

na empresa
As organizações seguem quatro tipos de abordagens para conceder permissões
aos funcionários para usar dispositivos móveis para fins comerciais.
1 2
BYOD (traga seu COPE (propriedade da empresa,
Próprio Dispositivo) Habilitado Pessoalmente)
3 4
COBO (Empresa CYOD (Escolha o seu
Própria, Somente Comercial) Próprio Dispositivo)
Abordagens de uso móvel na empresa
Uma organização pode implementar qualquer uma das políticas a seguir com base em seus requisitos, bem como na
função e responsabilidades de seus funcionários para permitir que eles usem dispositivos móveis para fins comerciais.
ÿ BYOD (Bring Your Own Device)
ÿ COPE (Pertencente à Empresa, Habilitado Pessoalmente)
ÿ COBO (Propriedade da Empresa, Apenas Comercial)
ÿ CYOD (Escolha seu próprio dispositivo)
As perguntas a seguir podem ajudar uma organização a determinar qual abordagem seguir:
ÿ Dispositivo Específico
o Tipo de dispositivo (qual dispositivo usar o Quem paga pelo dispositivo?

(smartphone/phablet/laptop)?)
o Provedores de serviço para celular
o Seleção do dispositivo (quem usa quais conectividade e planos mensais
dispositivos?)
ÿ Gestão e Apoio
o Quem gerencia o dispositivo? o Quem é responsável pelo suporte?
• Descrever Integração e Aplicação
o Descreva até que ponto o dispositivo é o Descrever os aplicativos instalados/em

integrado e importante para o fluxo de execução
trabalho diário?
o As inscrições pessoais devem ser restritas?
ÿ Traga seu próprio dispositivo (BYOD) refere-se a uma política que permite que os funcionários tragam seus
dispositivos pessoais , como laptops, smartphones e tablets, para o local de trabalho e os usem para
acessar os recursos organizacionais com base em seus privilégios de acesso
Traga o seu
Ter ÿ A política BYOD permite que os funcionários usem os dispositivos com os quais se sentem confortáveis
e que melhor se adaptam às suas preferências e propósitos de trabalho
Dispositivo
(BYOD)
Benefícios BYOD
1 Produtividade aumentada 3 flexibilidade de trabalho
2 Satisfação do empregado 4 Custos mais baixos
Traga seu próprio dispositivo (BYOD)
Traga seu próprio dispositivo (BYOD)/Traga sua própria tecnologia (BYOT)/Traga seu próprio telefone (BYOP)/Traga seu próprio
PC (BYOPC) refere-se a uma política que permite que os funcionários tragam seus dispositivos, como laptops, smartphones e
tablets para o local de trabalho e usá-los para acessar os recursos organizacionais com base em seus privilégios de acesso.
A política BYOD permite que os funcionários usem os dispositivos com os quais se sentem confortáveis e que melhor se adaptam
às suas preferências e objetivos de trabalho. Com a estratégia “trabalhar em qualquer lugar, a qualquer hora”, a tendência BYOD
encontra desafios para proteger os dados da empresa e atender aos requisitos de conformidade.
Vantagens BYOD
A adoção do BYOD é vantajosa para a empresa e também para seus funcionários. Suas vantagens incluem:
ÿ Aumento da produtividade e satisfação dos colaboradores
ÿ Melhora a flexibilidade de trabalho
ÿ Custos de TI mais baixos
ÿ Maior disponibilidade de recursos
Desvantagens BYOD
ÿ Dificuldade em manter o acesso de segurança nas redes organizacionais
ÿ Aumento dos problemas de compatibilidade
ÿ Escalabilidade reduzida
Implementação da política de BYOD
Defina os Decida como gerenciar os
requisitos
1 2 dispositivos dos funcionários e
seu acesso aos dados
3 Desenvolver políticas
Apoio, suporte 5
Segurança
4
Implementação da política de BYOD
Para a implementação da política de BYOD, os dispositivos dos funcionários devem ser introduzidos no ambiente
corporativo para minimizar os riscos associados à segurança e privacidade dos dados.
ÿ Definir os requisitos
Nem todos os requisitos do usuário são semelhantes. Assim, os funcionários devem ser agrupados em
segmentos considerando a criticidade do trabalho, sensibilidade do tempo, valor derivado da mobilidade,
acesso a dados e acesso ao sistema. Além disso, os segmentos de usuários finais devem ser definidos com
base na localização/tipo de trabalhador (por exemplo, um funcionário que trabalha em casa, remoto em tempo
integral, prolongador do dia, remoto em meio período) e um portfólio de tecnologia deve ser atribuído para
cada segmento com base nas necessidades do usuário.
A avaliação do impacto na privacidade (PIA) também deve ser realizada no início de cada projeto BYOD na
presença de todas as equipes relevantes após atribuir as responsabilidades e coletar os requisitos. Ele fornece
um procedimento organizado para documentar os fatos, objetivos, riscos de privacidade e abordagens e
decisões de mitigação de riscos ao longo do ciclo de vida do projeto. Deve ser uma atividade central realizada
pelo comitê de governança móvel (usuários finais de cada segmento/linha de negócios e gestão de TI).
ÿ Decidir como gerenciar os dispositivos dos funcionários e seu acesso a dados
Além do sistema de gerenciamento de dispositivos móveis (MDM) que fornece um nível mínimo de controle,
outras opções, como desktops virtuais ou software no dispositivo, podem ser usadas para melhorar a segurança
e a privacidade dos dados. Além disso, deve garantir que o ambiente corporativo suporte conectividade e
gerenciamento de dispositivos WLAN.
ÿ Desenvolver políticas
o Uma delegação de recursos da empresa deve desenvolver as políticas, em vez de apenas TI. Deve incluir os
principais participantes, como RH, jurídico, segurança e privacidade.
o Cada dispositivo (smartphone, PC, laptop, tablet ou mesmo smartwatch) e sistema operacional na política de BYOD
de uma empresa deve ser listado; dispositivos com um histórico de segurança insatisfatório não devem ser
permitidos. Isso envolve apenas permitir dispositivos com sistemas operacionais ou fabricantes específicos.
o Estabeleça uma política para determinar uma política razoável e obrigatória em relação ao BYOD para proteger
empresas e funcionários.
o A equipe de TI de uma organização deve ser treinada sobre as várias plataformas, dispositivos e sistemas
operacionais para familiarizá-los com os riscos associados ao manuseio incorreto do dispositivo ou para evitar as
ameaças à segurança impostas por um ambiente de trabalho BYOD.
o A política BYOD também deve garantir que os dispositivos sejam devidamente copiados para
evitar a perda de dados críticos em circunstâncias imprevistas.
ÿ Segurança
A tecnologia de gerenciamento móvel é eficaz apenas quando políticas adequadas são estabelecidas, implementadas
e suportadas. As organizações devem garantir segurança suficiente no ecossistema móvel para fazer os programas
BYOD funcionarem. Isso requer uma avaliação completa do ambiente operacional e o desenvolvimento de uma
solução que forneça o seguinte.
o Gerenciamento de ativos e identidade
o Controles de armazenamento local
o Controles de mídia removíveis
o Níveis de acesso à rede
o Controles de aplicativos de rede
o Controles de aplicativos corporativos versus pessoais
o Segurança da Web e de mensagens
o Gerenciamento de saúde do dispositivo
o Prevenção de perda de dados
ÿ Suporte
A natureza inconsistente dos usuários BYOD aumentará a frequência das chamadas de suporte.
Portanto, as organizações devem estabelecer processos e capacidades adequados nos estágios iniciais para garantir
o sucesso. Os comitês móveis devem reavaliar frequentemente os níveis de suporte e garantir a produtividade de
seus funcionários móveis.
Escolha seu próprio dispositivo (CYOD)

Choose Your Own Device (CYOD) refere-se a uma política que permite aos funcionários selecionar dispositivos como
laptops, smartphones e tablets da lista de dispositivos aprovados pela empresa.
A empresa compra o dispositivo selecionado e os funcionários o utilizam para acessar os recursos organizacionais de
acordo com seus privilégios de acesso
Benefícios CYOD
Dispositivos compatíveis com a política de

1 Simplifique as opções do dispositivo
segurança da empresa
3
Satisfação dos funcionários com o controle da

2 empresa
Menor custo em comparação com o COPE 4
Escolha seu próprio dispositivo (CYOD)
Choose Your Own Device (CYOD) refere-se a uma política em que os funcionários selecionam seu dispositivo de escolha
em um conjunto pré-aprovado de dispositivos (laptops, smartphones e tablets) para acessar dados da empresa de acordo
com os privilégios de acesso de uma organização. Por exemplo, permitir que os funcionários selecionem um dispositivo
Apple em vez de dispositivos Android. Recentemente, o CYOD atraiu mais atenção do que o BYOD no mundo dos
negócios porque proteger os sistemas BYOD pode ser difícil, considerando os vários dispositivos disponíveis no mercado,
e os funcionários armazenam dados pessoais e profissionais, independentemente de o dispositivo ser pessoal ou pertencer
ao empregador.
Vantagens CYOD
ÿ Os utilizadores podem transportar apenas um smartphone e um tablet.
ÿ Reduz os custos de hardware em comparação com o COPE.
ÿ Os usuários finais ainda estão no controle de sua própria tecnologia.
ÿ Os padrões de aquisição são mais rigorosos do que os de BYOD.
ÿ Seus padrões de suporte são simplificados.
ÿ Cada dispositivo de segurança é pré-instalado com uma solução de segurança e firewall predefinido e
configurações de rede de um administrador dedicado.
ÿ A administração de um pequeno número de especificações diferentes facilita a manutenção de registros.
ÿ Os funcionários cumprem os requisitos de gerenciamento de dados e informações.
CYOD Desvantagens
ÿ Alguns funcionários de TI podem não ficar satisfeitos com as escolhas.
ÿ
Envolve um processo de aquisição mais complexo do que BYOD ou COPE.
ÿ Os usuários finais enfrentam problemas de substituição e reparo.
ÿ
Precisa ser atualizado com a tecnologia móvel/aplicativos utilizados pelas organizações.
ÿ
Compreende um cronograma de implantação mais lento.
Implementação da Política CYOD
1 Definir conjunto aprovado de dispositivos
Permita que os funcionários selecionem um dispositivo do conjunto

2 de dispositivos aprovados e criem um portfólio de tecnologia
3 Desenvolver políticas
4 Segurança
5 Apoio, suporte
Implementação da Política CYOD
As principais considerações antes de implementar uma política CYOD são
ÿ Definir um conjunto aprovado de dispositivos: as organizações devem formular uma lista de dispositivos e planos
corporativos sancionados para que seus funcionários acessem os dados da empresa de acordo com seus
privilégios de acesso.
ÿ Permita que os funcionários trabalhem com dispositivos de propriedade da empresa (incluindo trabalho
pessoal) e criem um portfólio de tecnologia: permita que os funcionários selecionem dispositivos (laptops,
smartphones e tablets) e planos de catálogos corporativos baseados em funções. Antes da entrega, configure os
dispositivos com aplicativos, software e configurações exigidas por cada funcionário, permitindo que eles operem
os aplicativos imediatamente. Por exemplo, configure dispositivos com Outlook com as credenciais do funcionário.
ÿ Desenvolva políticas e segurança de dispositivos: estabeleça políticas para garantir que os funcionários entendam
as responsabilidades que acompanham o acesso à rede. Quanto mais granulares forem as políticas organizacionais
em termos de tipos de dispositivos, diferentes versões de sistemas operacionais e número do modelo do dispositivo,
mais recursos precisarão ser testados para dar suporte a esses dispositivos. Por exemplo, permitir apenas um
modelo de celular Android específico ou uma versão específica de um sistema operacional móvel.
Implemente o seguinte:
o Proteção contra vírus
o Criptografia
o Controles de acesso à rede e autenticação
o Limpeza de dados e bloqueios remotos em caso de perda ou roubo de dispositivos
o Treine os funcionários para informá-los sobre suas responsabilidades móveis, incluindo como os dados são acessados,
usados e armazenados e como usar aplicativos e serviços.
ÿ Suporte: Implantar soluções especializadas (helpdesk dedicado que conhece as políticas e necessidades da organização) para
resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
o Solução de problemas do dispositivo
o Solução de problemas de serviço
o Dispositivos de ativação
o Desativação de dispositivos
o Gerenciamento de solicitações de serviço
Propriedade Corporativa, Pessoalmente Habilitado (COPE)
Corporate Owned, Personally Enabled (COPE)

refere-se a uma política que permite que os
funcionários usem e gerenciem os dispositivos
adquiridos pela organização
Benefícios COPE
1 2 3 4
Maior controle e Mantém a propriedade Mais barato que Evita que o funcionário
autoridade para dos dispositivos BOYD carregue vários
a organização dispositivos (telefones)
Propriedade Corporativa, Pessoalmente Habilitado (COPE)
Corporate Owned, Personally Enabled (COPE) refere-se a uma política que permite que os funcionários usem e gerenciem os
dispositivos adquiridos pelas organizações. Os dispositivos incluem laptops, notebooks, smartphones, tablets e/ou serviços
de software. Empresas maiores são mais propensas a empregar o modelo COPE.
O COPE é uma opção mais barata do que o BYOD porque as empresas compram dispositivos a um custo menor do que o
preço de varejo. O COPE reduz os riscos associados ao BYOD implementando políticas rigorosas e protegendo os dispositivos.
Vantagens do COPE
ÿ Equilíbrio entre trabalho ou vida pessoal em um único dispositivo
ÿ Menos preocupações de segurança do que BYOD e CYOD
ÿ Aplicativos pessoais
ÿ Controle aprimorado e autoridade sobre dispositivos
ÿ Evita que os colaboradores carreguem dois telemóveis
ÿ Retém a propriedade dos dispositivos
ÿ Mais barato que o BOYD
ÿ Permite que as organizações instalem livremente software de gerenciamento e/ou integrem dispositivos em
sistemas MDM
ÿ Ajuda na resolução de questões regulatórias e legais associadas à exclusão de dados perdidos/roubados

dispositivos móveis
ÿ Economiza os recursos (economia e tempo) do departamento de TI porque os funcionários

são responsáveis pela condição de seus dispositivos.
Desvantagens do COPE
ÿ Necessidade de aquisição de dispositivos
ÿ Devem ser estabelecidas políticas de monitorização
ÿ A empresa é totalmente responsável por acompanhar as tecnologias mais recentes
ÿ Potencial para problemas de produtividade devido à menor liberdade do usuário
ÿ Prazo de implantação mais lento
Implementação da Política COPE
1 2 3
Adquira recursos de Permita que os funcionários trabalhem Desenvolver políticas
computação e com o dispositivo da empresa
dispositivos (incluindo trabalho pessoal) e criem
um portfólio de tecnologia
4 5
Segurança Apoio, suporte
Implementação da Política COPE
As considerações para a implementação de uma estratégia COPE incluem:
ÿ Compra de recursos e dispositivos de computação: A organização compra produtos pré-aprovados

dispositivos de fornecedores com base em seu plano projetado centralmente.
ÿ Permita que os funcionários trabalhem com dispositivos de propriedade da empresa e criem um portfólio de tecnologia:
esses dispositivos de propriedade da organização permitem que os funcionários tenham o conservadorismo do COBO e a
liberdade do BYOD. Os dispositivos são projetados para trabalhos de escritório e pessoais.
ÿ Desenvolver políticas
o Certifique-se de que os funcionários entendam e aprovem completamente a política relacionada à saída deles da empresa.
o Decida se os funcionários terão permissão para adquirir ou manter o dispositivo após deixar a empresa e crie um
procedimento para remover todos os dados e ativos corporativos do dispositivo.
ÿ Segurança: para garantir a segurança do dispositivo, as organizações aplicam controles de segurança, restringem determinados
recursos para proteger contra malware e vazamentos de dados e monitoram os dispositivos quanto a violações de dados ou
jailbreak.
ÿ Suporte: Implantar soluções especializadas (helpdesk dedicado que conhece as políticas e necessidades da organização) para
resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
o Solução de problemas do dispositivo o Desativação de dispositivos
o Solução de problemas de serviço o Gerenciamento de solicitações de serviço
Propriedade da empresa, Negócios

Somente (COBO)
ÿ Company Owned, Business Only (COBO) refere-se a uma política
que permite que os funcionários usem e gerenciem os
dispositivos adquiridos pela organização, mas restringem seu
uso apenas para fins comerciais
Benefícios COBO
Controle total e autoridade para

1 Evita vazamento de dados 2 a organização
Propriedade da empresa, somente negócios (COBO)
Propriedade da empresa, somente negócios (COBO) refere-se a uma política que permite que os funcionários usem e
gerenciem os dispositivos adquiridos pela organização, mas restringem o uso do dispositivo apenas para uso comercial.
COBO é usado para descrever um dispositivo que executa um único aplicativo. Por exemplo,
ÿ Um sistema de inventário com um leitor de código de barras embutido.
ÿ Blackberry é o melhor exemplo de dispositivos usados em um ambiente COBO.
Vantagens COBO
ÿ A empresa mantém controle total sobre todos os aplicativos no dispositivo e seus dados.
ÿ Um cenário de sistema uniforme é respeitado porque a organização compra o

dispositivo.
ÿ Evita vazamento de dados.
Desvantagens COBO
ÿ Alto custo de aquisição de dispositivos.
ÿ Os funcionários realmente não gostam de trabalhar com pelo menos dois dispositivos em seus bolsos.
Implementação da Política COBO
Proibir o uso pessoal de dispositivos 01
Permita que os funcionários trabalhem com um dispositivo

executando um único aplicativo e criem um portfólio de tecnologia
02
Desenvolver políticas 03
Segurança 04
Apoio, suporte 05
Implementação da Política COBO
As considerações para a implementação de uma estratégia COBO são
ÿ Proibir o uso pessoal de dispositivos: As empresas proíbem o uso de dispositivos móveis como
parte de sua política de design com base na abordagem COBO.
ÿ Permita que os funcionários trabalhem com dispositivos que executam um único aplicativo e criem um
portfólio de tecnologia: as empresas permitem que os funcionários trabalhem com um dispositivo que executa
um único aplicativo; por exemplo, um sistema de inventário com um leitor de código de barras embutido. Caso
contrário, podem permitir o uso de smartphones com uso pessoal proibido. Além disso, eles devem implementar
dispositivos altamente granulares, bem como gerenciamento de aplicativos e dados para permitir a conformidade.
ÿ Desenvolver políticas: Garantir que as soluções de gerenciamento de dispositivos móveis (MDM) e gerenciamento
de aplicativos móveis (MAM) atendam totalmente aos requisitos do conceito da empresa.
ÿ Segurança
o Garantir dispositivos totalmente bloqueados para manter o controle sobre políticas granulares e controlar o uso
do dispositivo
o Impedir downloads de aplicativos
ÿ Suporte
Implante sistemas especializados (helpdesk dedicado que conhece as políticas e necessidades da organização)
para resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
o Solução de problemas do dispositivo
o Solução de problemas de serviço
o Desativação de dispositivos
o Gerenciamento de solicitações de serviço
Fluxo do módulo


Discuta os riscos de segurança e as diretrizes associadas às empresas

Políticas de uso móvel
Criar uma política de uso móvel que permita o bom funcionamento e garanta a segurança dos
ativos corporativos é um grande desafio. O objetivo desta seção é explicar os riscos e desafios
de segurança associados às políticas corporativas de uso móvel. Ele descreve os riscos
associados às políticas BYOD, CYOD, COPE e COBO em detalhes, juntamente com as diretrizes
de segurança a serem implementadas para eles.
Riscos e desafios de segurança de dispositivos móveis corporativos
Riscos de segurança Desafios de segurança
ÿ O uso de dispositivos móveis em um ambiente de trabalho mudou a ÿ Os dispositivos móveis são mais difíceis de rastrear e proteger
abordagem de segurança organizacional. O uso móvel em empresas

criou um novo conjunto de riscos e desafios de segurança ÿ Os dispositivos móveis são portáteis o suficiente para que possam ser
facilmente perdidos ou roubados
ÿ Portanto, a segurança de dispositivos móveis corporativos ÿ É difícil garantir que os patches de software móvel e as
encontra desafios de segurança adicionais além dos configurações de segurança sejam atualizados
riscos de segurança no nível do dispositivo móvel,
que incluem sistemas de segurança fracos e configuração
insuficiente de dispositivos e plataformas móveis
ÿ Os dispositivos móveis são alvos móveis que podem ser usados

fora de uma organização e de seu sistema de segurança,
anulando assim o objetivo de prevenir ataques de segurança
quando as organizações permitem dispositivos móveis no local
de trabalho
Riscos e desafios de segurança de dispositivos móveis corporativos
O uso de dispositivos móveis em ambientes de trabalho mudou a abordagem de segurança das

organizações. Isso deu origem a um novo conjunto de riscos e desafios de segurança na segurança
organizacional. Além dos riscos de segurança de dispositivos móveis que incluem sistemas de segurança
fracos e configuração insuficiente de dispositivos e plataformas móveis, a segurança de dispositivos móveis
corporativos enfrenta desafios de segurança adicionais. Dispositivos móveis são alvos móveis que podem
ser usados fora de uma organização e de seu sistema de segurança, anulando assim o objetivo de prevenir
ataques de segurança quando as organizações permitem dispositivos móveis no local de trabalho.
Esses desafios podem ser divididos nas seguintes categorias:
ÿ Riscos e Desafios Físicos
Isso inclui a perda ou roubo de um dispositivo móvel devido à sua portabilidade e leveza. Os
invasores podem executar ações maliciosas se obtiverem acesso físico a um dispositivo, como
atualizar o dispositivo com uma imagem de sistema maliciosa conectada a um computador para
instalar um aplicativo mal-intencionado ou conduzir a extração de dados.
Portanto, os dispositivos não devem ser deixados sem vigilância. Medidas de segurança, como
autenticação e criptografia do dispositivo, devem ser aplicadas. Em vez de usar uma senha
simples, imponha várias formas de autenticação para impedir o acesso não autorizado a
dispositivos móveis.
ÿ Riscos e desafios baseados em rede
Dispositivos móveis que usam interfaces de rede sem fio comuns (Wi-Fi, Bluetooth) para
conectividade são vulneráveis a tentativas de espionagem sem fio.
Portanto, os funcionários devem se conectar a redes confiáveis usando WPA21 ou usar protocolos de rede
seguros (IPSec, SSL, SSH, HTTPS, Kerberos etc.) Além disso, eles podem usar gateways especiais com
firewalls personalizados e controles de segurança para direcionar o tráfego móvel. Por exemplo, filtragem de
conteúdo e ferramentas de prevenção contra perda de dados.
ÿ Riscos e Desafios Baseados no Sistema
Os fabricantes podem introduzir vulnerabilidades involuntariamente nos dispositivos; por exemplo,

vulnerabilidades em teclados SwiftKey ou sistemas operacionais móveis. Portanto, os dispositivos devem ser
atualizados regularmente para reduzir as ameaças.
ÿ Riscos e desafios baseados em aplicativos
Os fornecedores podem não lançar atualizações de aplicativos oportunas e suporte para versões mais antigas
do sistema operacional ou os usuários podem não atualizar seus aplicativos regularmente. Os invasores podem
explorar as vulnerabilidades nos aplicativos e tentar roubar dados, baixar outros malwares ou controlar o
dispositivo remotamente, resultando em perdas financeiras e colocando em risco a reputação de uma organização.
Portanto, controles rígidos devem ser aplicados em relação ao download e instalação de aplicativos em um
dispositivo e ao uso de antivírus móvel. Além disso, políticas fortes devem ser estabelecidas para limitar ou
bloquear o uso de aplicativos de terceiros nos dispositivos.
Risco associado a BYOD, CYOD, COPE e COBO
Compartilhamento de dados confidenciais

1 em redes não seguras
Dispositivos perdidos ou roubados
6 OPÇÃO
01
Vazamento de dados e problemas de

2 segurança de endpoint
Falta de consciência 7 OPÇÃO
01
Capacidade de ignorar as regras de política

3 Descarte de dispositivos de forma inadequada
de rede da organização
8 OPÇÃO
01
4 Suportando vários dispositivos Problemas de infraestrutura

9 OPÇÃO
01
5 Misturar dados pessoais e privados Funcionários descontentes 10 OPÇÃO

01
Risco associado a BYOD, CYOD, COPE e COBO
Os funcionários que se conectam a uma rede corporativa ou acessam dados corporativos usando seus próprios
dispositivos móveis representam riscos de segurança para uma organização. A seguir estão alguns riscos de
segurança associados às políticas BYOD, CYOD, COPE e COBO:
ÿ Compartilhamento de dados confidenciais em uma rede não segura: os funcionários podem acessar
dados corporativos por meio de uma rede pública. Essas conexões podem não ser criptografadas e
compartilhar dados confidenciais por meio de uma rede não segura pode levar ao vazamento de dados.
ÿ Vazamento de dados e problemas de segurança de terminais: nesta era da computação em nuvem, os

dispositivos móveis são terminais inseguros com conectividade em nuvem. Ao sincronizar com e-mail
organizacional ou outros aplicativos, esses dispositivos móveis carregam informações confidenciais. Se um
dispositivo for perdido, ele poderá expor todos os dados corporativos.
ÿ Descarte inadequado de dispositivos: Um dispositivo descartado incorretamente pode conter uma grande
quantidade de informações, como informações financeiras, detalhes de cartão de crédito, números de
contato e dados corporativos. Portanto, é importante garantir que os dispositivos não contenham nenhum
dado antes de serem descartados ou repassados a terceiros.
ÿ Suporte de muitos dispositivos diferentes: as organizações permitem que os funcionários acessem seus
recursos de qualquer lugar do mundo, aumentando assim a produtividade e aumentando a satisfação dos
funcionários. O suporte para diferentes dispositivos e processos pode aumentar o custo. Os dispositivos de
propriedade dos funcionários têm segurança limitada que operam em diferentes plataformas. Isso impede
as capacidades do departamento de TI de gerenciar e controlar dispositivos em uma empresa.
ÿ Misturar dados pessoais e privados: É difícil controlar o isolamento do uso comercial do uso pessoal. Por exemplo,
gerenciar funcionários que compram em sites comprometidos, usam conexões Wi-Fi públicas ou fornecem seus
dispositivos a outras pessoas.
ÿ Dispositivos perdidos ou roubados: devido ao seu pequeno tamanho, os dispositivos móveis são frequentemente perdidos ou roubados.
Quando um funcionário perde seu dispositivo móvel usado para fins pessoais e oficiais, a organização pode enfrentar
um risco de segurança porque os dados corporativos no dispositivo perdido podem ser comprometidos.
ÿ Falta de conscientização: Deixar de educar os funcionários sobre essas políticas e segurança

problemas podem comprometer os dados corporativos armazenados em dispositivos móveis.
ÿ Capacidade de ignorar regras de política de rede organizacional: de acordo com os requisitos, as políticas impostas
podem diferir para redes com e sem fio. Os dispositivos conectados a redes sem fio podem ignorar as políticas de rede
aplicadas apenas em LANs com fio.
ÿ Questões de infraestrutura: essas políticas envolvem lidar com várias plataformas e tecnologias. Nem todos os
funcionários carregam o mesmo dispositivo. Diferentes dispositivos, cada um executando diferentes sistemas
operacionais e programas, possuem brechas de segurança. Isso pode ser problemático para um departamento de TI
configurar e manter uma infraestrutura que suporte os requisitos de diferentes dispositivos, como gerenciamento de
dados, segurança, backup e compatibilidade entre dispositivos.
ÿ Funcionários insatisfeitos : funcionários insatisfeitos em uma organização podem fazer uso indevido dos dados corporativos
armazenados em seus dispositivos móveis. Eles também podem vazar informações confidenciais para os concorrentes.
Diretrizes de segurança para BYOD, CYOD, COPE e COBO
Para profissionais de segurança Para Empregado
ÿ Centros de dados organizacionais seguros com sistemas ÿ Use o mecanismo de criptografia para armazenar dados
de proteção multicamada
ÿ Manter uma separação clara entre dados comerciais e pessoais
ÿ Educar os funcionários sobre a política COPE

ÿ Registre dispositivos com um recurso remoto de localização e limpeza
ÿ Esclarecer quem possui quais aplicativos e dados se a política da empresa permitir
ÿ Atualize regularmente o dispositivo com o sistema operacional mais recente e

ÿ Use canais criptografados para transferência de dados
remendos
ÿ Esclarecer quais aplicativos são permitidos ou proibidos ÿ Use soluções antivírus e de prevenção contra perda de dados (DLP)
ÿ Controle o acesso com base na necessidade de conhecimento ÿ Defina uma senha forte para o dispositivo e altere-a
frequentemente
ÿ Certifique-se de que os funcionários entendam e ÿ Definir senhas para aplicativos para restringir outros de
aprovem completamente as políticas acessando eles
Diretrizes de segurança para BYOD, CYOD, COPE e COBO
A seguir estão algumas das diretrizes de segurança a serem seguidas pelo defensor da rede e funcionários quando as
políticas BYOD, CYOD, COPE e COBO são implementadas.
ÿ Para Profissional de Segurança
Com o aumento do uso de tablets, smartphones e outros dispositivos no trabalho, a segurança móvel tornou-se
uma grande preocupação. Abaixo estão listadas as diretrizes de segurança que devem ser implementadas para
garantir a segurança da rede e dos dados de uma organização.
o Proteja os data centers em organizações com sistemas de proteção multicamadas.
o Educar os funcionários sobre essas políticas.
o Esclareça quem é o proprietário de quais aplicativos e dados.
o Use um canal criptografado para transferência de dados.
o Esclareça quais aplicativos são permitidos ou proibidos.
o Controle o acesso com base na necessidade de conhecimento.
o Não permita dispositivos com jailbreak e rooting.
o Aplicar autenticação de sessão e política de tempo limite nos gateways de acesso.
o Certifique-se de que os funcionários entendam e aprovem completamente as políticas.
o Crie um procedimento para remover todos os dados e ativos corporativos do dispositivo se um

empregado sai da empresa.
o Garantir que as soluções MDM e MAM da empresa correspondam aos seus requisitos.
ÿ Para Empregados
o Impor acesso WLAN da empresa quando estiver no local.
o Garanta o uso de senhas complexas e altere-as com frequência.
o Certifique-se de que os dispositivos móveis sejam registrados e autenticados antes de permitir o acesso
para a rede organizacional.
o Considere métodos de autenticação multifator para aumentar a segurança enquanto

acessando remotamente os sistemas de informação da organização.
o Faça com que os usuários concordem e assinem as políticas antes que possam acessar os
sistema de informação.
o Quando um funcionário deixar a organização, indique se a limpeza total do dispositivo ou a limpeza seletiva de
determinados aplicativos e dados é necessária e certifique-se de que a organização e os dados pessoais sejam
mantidos separadamente.
o Implementar algoritmos fortes para criptografar os dados da organização armazenados nos dispositivos;
também usam um canal criptografado para transferência de dados.
o Se um dispositivo for perdido ou roubado, redefina ou limpe remotamente as senhas do dispositivo para evitar
acesso não autorizado aos dados confidenciais de uma organização.
o Implemente uma VPN baseada em SSL, que fornece acesso remoto seguro.
o Certifique-se de que os dispositivos do usuário sejam atualizados regularmente com os sistemas operacionais e outros
softwares mais recentes, o que pode evitar e, às vezes, até corrigir quaisquer vulnerabilidades de segurança.
o Não forneça acesso off-line às informações confidenciais de uma organização, que

devem ser acessíveis apenas através da rede da empresa.
o Use soluções antivírus e de prevenção contra perda de dados (DLP).
o Defina senhas para aplicativos para impedir que outras pessoas os acessem.
Fluxo do módulo


Discutir e implementar segurança móvel de nível empresarial

Para lidar com os desafios de segurança móvel nas empresas, as organizações estão implementando
várias soluções de gerenciamento de segurança móvel. As soluções de gerenciamento móvel ajudam uma
organização a gerenciar dispositivos móveis em toda a organização a partir de um local central. O objetivo
desta seção é explicar os benefícios dessas ferramentas e soluções de gerenciamento móvel. Ele descreve
as ferramentas de gerenciamento de dispositivos móveis, como soluções MDM, soluções MAM, soluções
de gerenciamento de conteúdo móvel (MCM), soluções de defesa contra ameaças móveis (MTD), soluções
de gerenciamento de e-mail móvel (MEM), soluções de gerenciamento de mobilidade empresarial (EMM)
e gerenciamento unificado de endpoints (UEM).
Dispositivo móvel
Implantação de solução MDM
As soluções de gerenciamento de dispositivos móveis servidores MDM

console de gerenciamento
(MDM) são usadas para implantar, proteger,
monitorar e gerenciar dispositivos da empresa e de funcionários Agente MDM
Na premissa
Rede
Os profissionais de segurança usam o console de Agente MDM
Defensor
gerenciamento do servidor MDM para configurar

remotamente os agentes MDM instalados nos dispositivos
Na nuvem/SaaS Agente MDM
Soluções de gerenciamento de dispositivos móveis (continuação)

Mirador
AirWatch
ÿ O Miradore ajuda a garantir a segurança do dispositivo e dos dados , bem como https:// www.vmware.com
conformidade em uma organização
Microsoft Intune
https:// www.microsoft.com
IBM MaaS360
XenMobile
https:// www.citrix.com
Absolute Manage MDM http://

www.absolute.com
https:// www.miradore.com
Soluções de gerenciamento de dispositivos móveis
O gerenciamento de dispositivos móveis (MDM) está ganhando importância significativa com a adoção de
políticas como BYOD nas organizações. O aumento de diferentes tipos de dispositivos móveis, como
smartphones, laptops e tablets, tornou difícil para as empresas fazer políticas e gerenciar os dispositivos
com segurança. O MDM é uma política que ajuda a gerenciar dispositivos com cuidado, reduzindo os
custos de suporte, mitigando os riscos de segurança e reduzindo a descontinuidade dos negócios.
As soluções de gerenciamento de dispositivos móveis (MDM) são usadas para implantar, proteger, monitorar e gerenciar os
dispositivos da empresa e dos funcionários. Os defensores da rede usam o console de gerenciamento do servidor MDM
para configurar remotamente os agentes MDM instalados nos dispositivos.
Figura 8.2: Implantação da solução MDM
Características das Soluções MDM
ÿ Gestão de Segurança
ÿ Gerenciamento de configuração de dispositivos
ÿ Inventário e rastreamento de dispositivos
ÿ Distribuição de Aplicações Over-the-Air
ÿ Gestão de Políticas Empresariais
o Aplicação de senha
o Execução da Criptografia de Dados
ÿ Integração de Rede Corporativa
ÿ Limpeza Remota de Dados
ÿ Lista negra/lista branca de aplicativos e dispositivos
Soluções de gerenciamento de dispositivos móveis (MDM)
ÿ Miradouro
Fonte: https:// www.miradore.com
O Miradore ajuda a garantir a segurança do dispositivo e dos dados, bem como a conformidade dos dados em
toda a organização. Ele pode criptografar facilmente todos os dados confidenciais, separar o uso comercial do
pessoal, impor senhas seguras e bloqueios de tela e impedir o uso de aplicativos indesejados.

Figura 8.3: captura de tela do Miradore
A seguir estão alguns exemplos de soluções MDM adicionais:

ÿ AirWatch (https:// www.vmware.com)
ÿ Microsoft Intune (https://www.microsoft.com)
ÿ IBM MaaS360 (https:// www.ibm.com)
ÿ XenMobile (https:// www.citrix.com)
ÿ Absolute Manage MDM (http:// www.absolute.com)
Módulo 08 Página 661 Network Defense Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.
Soluções de gerenciamento de aplicativos móveis
O gerenciamento de aplicativos móveis (MAM) é um software ou serviço que permite que os

defensores da rede protejam, gerenciem e distribuam aplicativos corporativos em dispositivos
móveis de funcionários
Restringir
acesso ao aplicativo
dados
organizacionais
Consola de
administração do MAM
Gerenciamento de licenças
Dados pessoais
Funcionário
Administrador de TI
Instalar/desinstalar
aplicativo remotamente
Soluções de gerenciamento de aplicativos móveis (continuação)
Microsoft Intune
O Intune MAM é um conjunto de recursos de gerenciamento

do Intune que permite aos usuários publicar, enviar,
configurar, proteger, monitorar e atualizar aplicativos
móveis
https:// www.microsoft.com
ÿMAM da AppStation ÿAplicação de fusão de escala ÿManageEngine Mobile ÿApriorit Enterprise Mobile Device ÿAppaloosa
https:// www.mobileiron.com Gestão https:// Gerenciador de dispositivos e gerenciamento de aplicativos https:// https:// www.appaloosa.io
scalefusion.com Plus https:// www.manageengine.com www.apriorit.com
Soluções de gerenciamento de aplicativos móveis

O software e os serviços de gerenciamento de aplicativos móveis (MAM) permitem que uma
organização proteja, gerencie e distribua aplicativos corporativos nos dispositivos móveis do usuário,
sem interferir nos aplicativos e dados pessoais. O Enterprise Application Management permite remover
o acesso a um determinado aplicativo para os funcionários que deixaram a organização. O MAM pode
ser aplicado a dispositivos móveis de propriedade da empresa e BYOD. Ele também permite a
separação de aplicativos e dados corporativos de conteúdo pessoal no mesmo dispositivo.
Figura 8.4: Gerenciamento de aplicativos móveis
Recursos comuns fornecidos pelas soluções MAM:
ÿ Ativação do dispositivo
ÿ Recursos de inscrição e provisionamento
ÿ Limpeza remota e outras funcionalidades no nível do dispositivo
ÿ A gestão remota não requer a posse do dispositivo
ÿ Necessita de intervenção mínima do administrador e zero ação do usuário.
Serviços fornecidos pelo Enterprise Application Management (MAM):
ÿ Entrega de aplicativos (loja de aplicativos corporativos)
ÿ Licenciamento de Software
ÿ Configuração de aplicativos
ÿ Autorização de candidatura
ÿ Rastreamento de uso de aplicativos
ÿ Gerenciamento do ciclo de vida do aplicativo
ÿ Atualização de aplicativos
ÿ Monitoramento de desempenho de aplicativos
ÿ Autenticação do usuário
ÿ Relatórios de registro de falhas
ÿ Controle de acesso de usuários e grupos
ÿ Gerenciamento de versão do aplicativo
ÿ Serviços de push
ÿ Relatórios e acompanhamento
ÿ Análise de uso
ÿ Gestão de eventos
ÿ Empacotamento de aplicativos
Exemplos de gerenciamento de aplicativos móveis (MAM)
ÿ Microsoft Intune
Fonte: https:// www.microsoft.com
O Intune MAM é um conjunto de recursos de gerenciamento do Intune que permite que as organizações publiquem,
enviem, configurem, protejam, monitorem e atualizem aplicativos móveis para usuários.
O Intune MAM oferece suporte a duas configurações:
o Intune MDM + MAM: os aplicativos são gerenciados usando MAM e políticas de proteção de aplicativos em
dispositivos registrados no Intune MDM.
o MAM sem registro de dispositivo (MAM-WE): os aplicativos são gerenciados usando MAM e políticas de
proteção de aplicativos em dispositivos que não estão registrados no Intune MDM.
Figura 8.5: Microsoft Intune MAM
ÿ MAM da AppStation (https:// www.mobileiron.com)
ÿ Gerenciamento de aplicativos Scalefusion (https:// scalefusion.com)
ÿ ManageEngine Mobile Device Manager Plus (https:// www.manageengine.com)
ÿ Apriorit Enterprise Mobile Device and Application Management (https://

www.apriorit.com)
ÿ Appaloosa (https:// www.appaloosa.io)
Soluções de gerenciamento de conteúdo móvel

ÿ Soluções de gerenciamento de conteúdo móvel (MCM) ou Base de dados
gerenciamento de informações móveis (MIM) fornecem acesso

seguro a dados corporativos em smartphones, tablets e outros
dispositivos móveis Adicionar
ÿ Permite o compartilhamento fácil e seguro de conteúdo

entre dispositivos dentro de uma empresa
ÿ Os serviços de armazenamento e compartilhamento de arquivos

Gateway de servidor de arquivos
são os dois principais componentes das soluções MCM Sincronizar
organizacional
Administrador de TI conteúdo
ÿ Vaultize
Implante conteúdo em
https:// www.vaultize.com dispositivos usando o
Configurar aplicativos
armário de conteúdo
ÿ MobileIron
Soluções MCM
https:// www.mobileiron.com
ÿ AppTec360°
Funcionário
https:// www.apptec360.com Adicionar
Soluções de gerenciamento de conteúdo móvel
As soluções de gerenciamento de conteúdo móvel (MCM) ou gerenciamento de informações móveis

(MIM) fornecem acesso seguro a dados corporativos (documentos, planilhas, e-mail, agendas,
apresentações e outros dados corporativos) em dispositivos móveis nas redes organizacionais sem
comprometer a velocidade. Eles permitem o compartilhamento fácil e seguro de conteúdo entre
dispositivos dentro de uma empresa. Os serviços de armazenamento e compartilhamento de arquivos
são os dois principais componentes das soluções MCM. O MCM envolve criptografar informações
importantes e permitir o acesso, transmissão ou armazenamento de informações importantes apenas em
aplicativos autorizados usando políticas de proteção de senha fortes.
Figura 8.6: Gerenciamento de conteúdo móvel
O MCM permite:
ÿ Recursos de entrega de conteúdo multicanal que apresentam o gerenciamento de um repositório central de

conteúdo enquanto entrega o conteúdo para dispositivos simultaneamente.
ÿ Controle de acesso ao conteúdo : O controle de acesso ao conteúdo inclui
o Autorização
o Autenticação
o Aprovação de acesso ao conteúdo
o Controle de download
o Wipe-out para usuários específicos
o Acesso com horário específico
ÿ Sistema de modelagem especializado: Existem duas abordagens para adaptação ao CMS móvel
modelos.
o A abordagem multicliente permite visualizar diferentes versões de um site no mesmo domínio e apresenta
modelos adequados com base nos dispositivos usados pelos clientes para visualizar o site.
o Abordagem de vários sites exibe sites móveis em um subdomínio de destino.
ÿ A entrega de conteúdo baseada em localização fornece conteúdo para dispositivos móveis com base em sua
localização física atual.
Exemplos de soluções MCM:
ÿ Vaultize (https:// www.vaultize.com)
ÿ MobileIron (https:// www.mobileiron.com)
ÿ AppTec360° (https:// www.apptec360.com)
Soluções de defesa contra ameaças móveis
MobileIron Threat Defense (MTD)

A defesa contra ameaças móveis (MTD) visa proteger dispositivos
móveis contra ameaças maliciosas avançadas, ataques de rede
e vulnerabilidades de dispositivos
Pradeo Security Mobile Threat Defense

Os agentes instalados nos dispositivos os verificam em https:// www.pradeo.com
busca de vários ataques móveis usando inteligência
avançada contra ameaças
Zimperium Mobile Threat Defense (MTD)

https:// www.zimperium.com
Ele usa aprendizado de máquina e análise em tempo real para
proteger endpoints móveis
Wandera Mobile Threat Defense

https:// www.wandera.com
A MTD gera alertas para as soluções de gerenciamento
de mobilidade empresarial (EMM) para executar as ações
apropriadas (colocar os celulares no estado de quarentena)
Lookout MTD
https:// www.lookout.com
Soluções de defesa contra ameaças móveis
A defesa contra ameaças móveis (MTD)/gerenciamento de ameaças móveis (MTM)/prevenção contra ameaças móveis
(MTP) protege as organizações e seus funcionários contra ameaças em celulares iOS e Android usando diferentes
tecnologias de segurança. Os agentes instalados nos dispositivos os verificam em busca de vários ataques móveis
usando inteligência avançada contra ameaças. Ele usa aprendizado de máquina e análise em tempo real para proteger
endpoints móveis. O MTD gera alertas para que as soluções de gerenciamento de mobilidade empresarial (EMM)
executem as ações apropriadas (colocar os celulares no estado de quarentena).
As ferramentas de gerenciamento MDM e MAM permitem apenas definir perfis de gerenciamento de linha de base para
dispositivos móveis e aplicativos usados nas organizações. Essas duas ferramentas de gerenciamento carecem de
informações relacionadas às características do aplicativo, proteção contra ameaças e comportamentos do usuário,
reagindo a ameaças dinamicamente e fornecendo visibilidade contínua da integridade e confiança do dispositivo. O MTD
estende o EMM/MDM com recursos de segurança adicionais porque funciona com dispositivos e os protege contra os
seguintes ataques.
ÿ
Ele protege contra ameaças de dispositivos/físicas adicionando detecção ativa de ameaças e gerenciamento
móvel baseado em riscos para uma aplicação de políticas mais educada.
ÿ
Ele protege contra malware.
ÿ
Ele protege contra phishing.
ÿ
Ele protege contra ataques de rede.
Fatores a considerar antes de selecionar uma solução MTD:
A solução MTD mais adequada para uma organização depende
ÿ O SO empregado pela organização
ÿ Abordagem móvel (BYOD ou COPE)
ÿ Tipo de acesso dado aos colaboradores nos seus dispositivos
ÿ O EMM empregado pela organização
Exemplos de MTD:
ÿ MobileIron Threat Defense (MTD) (https:// www.mobileiron.com)
ÿ Pradeo Security Mobile Threat Defense (https:// www.pradeo.com)
ÿ Zimperium Mobile Threat Defense (MTD) (https:// www.zimperium.com)
ÿ Wandera Mobile Threat Defense (https:// www.wandera.com)
ÿ Mirante MTD (https:// www.lookout.com)
Soluções de gerenciamento de e-mail móvel

As soluções de gerenciamento de e-mail móvel (MEM) garantem a segurança da infraestrutura e
dos dados de e-mail corporativo
Características das soluções MEM Soluções MEM
ÿ Pré-configura e-mails em dispositivos remotamente 42Gears MEM

https:// www.42gears.com
ÿ Garante que apenas aplicativos e dispositivos aprovados

possam acessar os e-mails
Hexnode Mobile Email Management https://
ÿ Impede o acesso não autorizado de e-mail www.hexnode.com
anexos
ÿ Pré-instala o cliente de e-mail a ser usado para e-mail

Gerenciamento de e-mail móvel Mimecast
Acesso https:// www.mimecast.com
Soluções de gerenciamento de e-mail móvel
As soluções de gerenciamento de e-mail móvel (MEM) garantem a segurança da infraestrutura de e-mail corporativo e dos dados
em dispositivos móveis. MEM permite
ÿ Controle de dispositivos móveis que acessam e-mails
ÿ Prevenção de perda de dados
ÿ Aplicação de políticas rígidas de conformidade
ÿ Criptografia de dados corporativos confidenciais
Principais recursos comuns do MEM:
ÿ Pré-configurar e-mail em dispositivos remotamente: Usando MDM, MEM permite
o Criação de contas de e-mail associando uma política de e-mail aos dispositivos dos funcionários.
o Configurar a assinatura de e-mail e configurar uma conta de e-mail padrão para os usuários.
ÿ Certifique-se de que apenas aplicativos e dispositivos aprovados possam acessar e-mail: usando o MDM, o MEM fornece
o Uma camada adicional de criptografia por meio de S/MIMEMDM.
o Configuração do Simple Certificate Enrollment Protocol (SCEP) para iOS e Windows

dispositivos para proteger e-mails usando certificados.
ÿ Impedir o acesso não autorizado de anexos de e-mail: Usando o MDM, o MEM garante
o Protegendo anexos de e-mail durante o trânsito e após o download.
o Garantir visualização e armazenamento seguros de anexos importantes usando o documento integrado

visualizador de aplicativos MEM e MDM.
o Restringir o compartilhamento de documentos a outros dispositivos ou serviços em nuvem para evitar a segurança
violações.
ÿ Pré-instalação do cliente de e-mail a ser usado para acesso ao e-mail: o aplicativo gerenciado
configurações de MDM permitem
o Personalizar as funcionalidades do aplicativo de e-mail gerenciado para atender às necessidades organizacionais

requisitos.
o Distribuir o aplicativo para dispositivos.
o Parâmetros pré-configurados (tipo de conta, nome de domínio e assinatura de e-mail) para

deixe o aplicativo pronto para uso corporativo após a instalação.
o Pré-configurar as permissões do aplicativo.
Exemplos de soluções MEM:
ÿ 42Gears MEM (https:// www.42gears.com)
ÿ Hexnode Mobile Email Management (https:// www.hexnode.com)
ÿ Gerenciamento de e-mail móvel Mimecast (https:// www.mimecast.com)
Soluções de gerenciamento de mobilidade empresarial
O gerenciamento de mobilidade empresarial (EMM) é uma Gerenciador de dispositivos móveis ManageEngine

solução abrangente para MDM, MAM, MTM, MCM e MEM Plus https:// www.manageengine.com
42Gears Enterprise Mobility Management (EMM)

Dispositivo móvel
E-mail móvel
Gerenciamento
Gerenciamento
(MDM)
(MEM)
Scalefusion EMM
Empreendimento https:// scalefusion.com
Mobilidade
Conteúdo móvel Gerenciamento
Ameaça móvel
Gerenciamento (EMM)
Gerenciamento IBM Security MaaS360®
(MCM) Solução
(MTM) https:// www.ibm.com
Aplicativo móvel
Gerenciamento
Kit de ferramentas Zebra Enterprise Mobility
(EU TENHO)
Management (EMM) https:// www.zebra.com
Soluções de gerenciamento de mobilidade empresarial
O Enterprise Mobility Management (EMM) é uma solução abrangente responsável por MDM, MAM, MTM, MCM e
MEM. Ele protege os dados corporativos acessados e usados pelos dispositivos móveis dos funcionários.
Figura 8.7: Solução de gerenciamento de mobilidade empresarial
Especificamente, o EMM é responsável por:
ÿ Gerenciamento de dispositivos para fornecer a base para soluções EMM por
o Habilitando a configuração automática do dispositivo
o Permitir que os funcionários sejam produtivos nos dispositivos móveis que gostam de usar
o Limpando dados corporativos de dispositivos móveis seletivamente sem interferir

dados pessoais
o Proteger e gerenciar dispositivos móveis em vários sistemas operacionais (Android, iOS, macOS e Windows
10)
ÿ Gestão de conteúdos
o Criptografar anexos de e-mail
o Estabelecer controles DLP para proteger o conteúdo corporativo
o Proteja a distribuição de dados corporativos para dispositivos móveis aplicando políticas de nível de conteúdo (por
exemplo, chaves de criptografia independentes de dispositivo, autenticação e compartilhamento de arquivos)
ÿ Gestão de aplicações
o Proteja aplicativos em qualquer dispositivo
o Criar e gerenciar uma loja de aplicativos corporativa
o Forneça autenticação para usuários finais no dispositivo
o Separe aplicativos empresariais e pessoais em dispositivos móveis
o Gerenciamento de usuário e identidade
ÿ Gerenciamento de ameaças móveis
o Proteja as organizações e seus funcionários contra ameaças em celulares iOS e Android usando diferentes
tecnologias de segurança
ÿ MEM
o Fornecer segurança para a infraestrutura de e-mail corporativo e dados em dispositivos móveis
Exemplos de soluções de EMM:
ÿ ManageEngine Mobile Device Manager Plus (https:// www.manageengine.com)
ÿ 42Gears Enterprise Mobility Management (EMM) (https:// www.42gears.com)
ÿ Scalefusion EMM (https:// scalefusion.com)
ÿ IBM Security MaaS360® (https:// www.ibm.com)
ÿ Kit de ferramentas Zebra Enterprise Mobility Management (EMM) (https:// www.zebra.com)
Soluções Unificadas de Gerenciamento de Endpoint
Mobileiron UEM
As soluções de gerenciamento de endpoint unificado (UEM) garantem o
provisionamento remoto, gerenciamento, controle e proteção de dispositivos
habilitados para Internet a partir de uma única interface
Ivanti Unified Endpoint Manager https://
www.ivanti.com
Features of UEM
ÿ Envio remoto, manual ou automático de atualizações

Workspace ONE
https:// www.vmware.com
ÿ Configuração para políticas de segurança no dispositivo
ÿ Suporte a dispositivos de propriedade dos funcionários
Área de trabalho central do

ÿ Apagando remotamente os dados de dispositivos perdidos ou roubados
ManageEngine https:// www.manageengine.com
ÿ Rastreando o uso do dispositivo
ÿ Detecção e mitigação de ameaças

42Gears UEM
ÿ Estrutura de API para aplicativos personalizados
Soluções Unificadas de Gerenciamento de Endpoint
As soluções de gerenciamento de endpoint unificado (UEM) ajudam no gerenciamento e controle de dispositivos móveis
habilitados para Internet, desktops, aplicativos e conteúdo em toda a organização a partir de uma única interface. Ele fornece
segurança, gerenciamento e provisionamento de dispositivos móveis. As soluções UEM abordam os problemas dos gerentes
de TI estendendo as soluções MDM e EMM.
Recursos e capacidades do UEM
As soluções UEM lidam com os requisitos de segurança exclusivos em empresas móveis, fornecendo:
ÿ Containerização de aplicativos
ÿ Ambiente multi-SO
ÿ Recursos de automação de circuito fechado
ÿ Gerenciamento de identidade baseado em certificado
ÿ Segurança para e-mail corporativo, aplicativos e conteúdo
ÿ Recursos de autoatendimento para simplificar o gerenciamento de TI
ÿ Recursos DLP para definir funções de abertura e copiar/colar
ÿ Ajudar os usuários a manter a conformidade com as políticas corporativas
ÿ Proteja perfis multiusuário para permitir com segurança que os usuários compartilhem um único dispositivo
ÿ Medidas de segurança altamente eficazes que são invisíveis para os usuários finais
ÿ Tecnologia VPN por aplicativo que fornece acesso à rede corporativa para aplicativos autorizados
só
ÿ Permita que os usuários encontrem e instalem aplicativos corporativos essenciais (e-mail corporativo, calendário, etc.)
ÿ Separe e gerencie dados pessoais e corporativos altamente confidenciais em dispositivos móveis.
ÿ Envio remoto, manual ou automático de atualizações
ÿ Configuração para políticas de segurança no dispositivo
ÿ Suporte a dispositivos de propriedade dos funcionários
ÿ Apagar os dados de dispositivos perdidos ou roubados remotamente
ÿ Rastreando o uso do dispositivo
ÿ Detecção e mitigação de ameaças
ÿ Estrutura de API para aplicativos personalizados
Componentes UEM
Os principais componentes que definem os atributos das soluções UEM são:
ÿ CMT
A CMT fornece infra-estrutura de TI para garantir o funcionamento eficiente das empresas móveis e, ao mesmo tempo,
aprimorar o serviço aos usuários finais.
ÿ MDM
O MDM fornece uma base para soluções de UEM, permitindo que a equipe de TI
o E-mail corporativo seguro
o Segurança baseada em certificado
o Configuração automática do dispositivo
o Permita que os funcionários sejam produtivos nos dispositivos móveis que eles gostam de usar
o Limpe os dados corporativos de dispositivos móveis seletivamente sem interferir

dados pessoais
o Proteja e gerencie dispositivos móveis em vários sistemas operacionais (Android, iOS, macOS e
Windows 10)
ÿ EU TENHO
A MAM fornece infraestrutura de TI para
o Proteja aplicativos em qualquer dispositivo
o Criar e gerenciar uma loja de aplicativos corporativa
o Fornecer autenticação para usuários finais em um dispositivo
o Separe aplicativos empresariais e pessoais em dispositivos móveis

ÿ MCM
MCM fornece infraestrutura de TI para
o Criptografar anexos de e-mail
o Estabelecer controles DLP para proteger o conteúdo corporativo
o Proteja a distribuição de dados corporativos para dispositivos móveis aplicando políticas de nível de conteúdo
(chaves de criptografia independentes de dispositivo, autenticação e compartilhamento de arquivos)
Exemplos de soluções UEM para engajamento móvel:
ÿ Mobileiron UEM (https:// www.mobileiron.com)
ÿ Ivanti Unified Endpoint Manager (https:// www.ivanti.com)
ÿ Workspace ONE UEM (https:// www.vmware.com)
ÿ ManageEngine Desktop Central (https:// www.manageengine.com)
ÿ 42Gears UEM (https:// www.42gears.com)
Fluxo do módulo


Discutir e implementar diretrizes gerais de segurança e melhores

As soluções de gerenciamento de segurança móvel de nível empresarial só podem oferecer os benefícios

prometidos se forem respaldadas por fortes práticas de segurança de dispositivos móveis. O objetivo desta
seção é explicar as diretrizes gerais de segurança e as melhores práticas a serem implementadas para
proteger plataformas móveis.
Práticas recomendadas de segurança de aplicativos móveis
Certifique-se de que os aplicativos não salvem senhas
Evite o uso de string de consulta ao lidar com dados confidenciais
Use ofuscação de código e criptografia para proteger o código-fonte do aplicativo
Implemente a autenticação de dois fatores
Use SSL/TLS para enviar dados por canais seguros
Evite armazenar dados de aplicativos em cache
Execute verificações de validação nos dados de entrada
Implemente o gerenciamento seguro de sessão
Práticas recomendadas de segurança de aplicativos móveis
Práticas recomendadas de segurança que protegem aplicativos móveis:
ÿ Certifique-se de que os aplicativos não salvem senhas
ÿ Evite usar string de consulta ao lidar com dados confidenciais
ÿ Use ofuscação de código e criptografia para proteger o código-fonte do aplicativo
ÿ Implementar autenticação de dois fatores
ÿ Use SSL/TLS para enviar dados por um canal seguro
ÿ Evite armazenar dados de aplicativos em cache
ÿ Realizar verificações de validação nos dados de entrada
ÿ Implementar gerenciamento de sessão segura
ÿ Proteger a configuração do aplicativo
ÿ Usar autenticação do lado do servidor
ÿ Use algoritmos criptográficos e gerenciamento de chaves
ÿ Construir modelos de ameaças para defender dados
ÿ Garantir que os funcionários baixem aplicativos confiáveis das lojas de aplicativos da empresa
ÿ Use conteinerização para dados corporativos críticos
ÿ Realizar auditorias regulares de segurança móvel
ÿ Atualizações regulares de software
ÿ Implementar proteção de jailbreak
Práticas recomendadas de segurança de dados móveis
01 Criptografe os dados armazenados no dispositivo
02 Ative a criptografia over-the-air usando SSL, TLS, VPN, WPA2 etc.
03 Faça backup dos dados móveis periodicamente
04 Não armazene informações extremamente confidenciais em dispositivos móveis
05 Não armazene senhas ou PINs como contatos em seu telefone
Use centros de dados privados para armazenar dados e implementar a

06 autenticação do dispositivo
Práticas recomendadas de segurança de dados móveis
Práticas recomendadas de segurança que protegem os dados móveis:
ÿ Proteja a infraestrutura móvel e fortaleça os endpoints
ÿ Criptografe os dados armazenados nos dispositivos
ÿ Habilitar criptografia over-the-air usando SSL, TLS, VPN e WPA2
ÿ Faça backup dos dados móveis periodicamente
ÿ Não armazene informações extremamente sensíveis em dispositivos móveis
ÿ Não armazene senhas ou PINs como contatos em seu telefone
ÿ Use centros de dados privados para armazenar dados e implementar autenticação de dispositivos
ÿ Manter controle de acesso para dispositivos e dados
ÿ Evite redes Wi-Fi públicas
ÿ Defina bloqueios automáticos de dispositivos quando os dispositivos não estiverem em uso
ÿ Garantir que os usuários possam acessar os dados corporativos de um local central seguro
ÿ Atualizações e patches de software completos em tempo hábil
ÿ Educar os funcionários para reconhecer e-mails suspeitos
ÿ Mantenha o software antivírus e anti-malware atualizado
ÿ Treine funcionários para criptografar discos rígidos e USBs antes de armazenar quaisquer dados relacionados ao trabalho
neles
Segurança de rede móvel

Diretrizes
Desative interfaces como Bluetooth, infravermelho e

1 Wi-Fi quando não estiver em uso
Definir dispositivos habilitados para Bluetooth no modo não

2 detectável
Evite conectar-se a redes Wi-Fi desconhecidas e usar

3 pontos de acesso Wi-Fi públicos
Conecte seu dispositivo apenas a redes Wi-Fi criptografadas

4
5 Configurar contas da web para usar conexões seguras
Diretrizes de segurança de rede móvel
As melhores práticas de segurança que protegem as redes móveis:
ÿ Desativar interfaces como Bluetooth, infravermelho e Wi-Fi quando não estiver em uso
ÿ Definir dispositivos habilitados para Bluetooth no modo não detectável
ÿ Evite conectar-se a redes Wi-Fi desconhecidas e usar pontos de acesso Wi-Fi públicos
ÿ Conecte os dispositivos móveis apenas a redes Wi-Fi criptografadas
ÿ Configurar contas da web para usar conexões seguras
ÿ Isolar um grupo de usuários usando diferentes SSIDs e segmentar o tráfego para esses grupos para
diferentes VLANS
ÿ Aplicar diferentes regras de firewall e filtros para diferentes combinações de grupos de usuários ou
dispositivos
ÿ Configurar contas da web para usar conexões seguras
Diretrizes Gerais para Segurança de Plataformas Móveis
Não instale muitos aplicativos e evite o

Limpe ou exclua os dados com segurança ao
upload automático de fotos para as redes
sociais
01 05 descartar um dispositivo
Realizar avaliação de segurança Não compartilhe nenhuma informação dentro

na arquitetura do aplicativo 02 06 Aplicativos habilitados para GPS, a menos que necessário
Manter o controle e gerenciamento de Desative o acesso sem fio, como Wi-Fi

configuração 03 07 e Bluetooth se não estiver em uso
Nunca conecte duas redes separadas, como Wi-

Instale aplicativos de lojas de aplicativos
confiáveis 04 08 Fi e Bluetooth simultaneamente
Diretrizes Gerais para Segurança de Plataformas Móveis
Abaixo estão várias diretrizes que podem ajudar os usuários a proteger seus dispositivos móveis.
ÿ Não instale muitos aplicativos e evite o upload automático de fotos para redes sociais
ÿ Realizar avaliação de segurança para a arquitetura do aplicativo
ÿ Manter controle e gerenciamento de configuração
ÿ Instale aplicativos de lojas de aplicativos confiáveis
ÿ Limpe ou exclua com segurança os dados ao descartar dispositivos
ÿ Não compartilhe nenhuma informação em aplicativos habilitados para GPS, a menos que seja necessário
ÿ Nunca conecte duas redes separadas, como Wi-Fi e Bluetooth simultaneamente
ÿ Desative o acesso sem fio, como Wi-Fi e Bluetooth, se não estiver em uso
ÿ Nunca conecte duas redes separadas, como Wi-Fi e Bluetooth simultaneamente
ÿ Configure uma senha forte com o comprimento máximo possível
ÿ Atualize o sistema operacional e os aplicativos para mantê-los seguros
ÿ Habilitar Gerenciamento Remoto
ÿ Não permitir enraizamento ou jailbreak
ÿ Use serviços de limpeza remota, como Find My Device (Android) e Find My iPhone ou Find
My (Apple iOS) para localizar seu dispositivo em caso de perda ou roubo
ÿ Criptografar o dispositivo e seus backups
ÿ Executar backup e sincronização periódicos
ÿ Filtrar e-mails definindo as configurações do lado do servidor do sistema de e-mail corporativo
ÿ Fortalecer as regras de permissão do navegador
ÿ Projetar e implementar políticas de dispositivos móveis
ÿ Dispositivos de controle e aplicativos
ÿ Proibir chaves USB
ÿ Gerenciar os ambientes operacionais e aplicativos
ÿ Pressione o botão liga/desliga para bloquear o dispositivo quando não estiver em uso
Ferramentas de segurança do Android
Avira Antivirus Security

https:// www.avira.com
Kaspersky Internet Security para

Avast Mobile Security
Android https:// www.avast.com
O Kaspersky Internet Security for Android

bloqueia aplicativos, sites e arquivos suspeitos
McAfee Mobile Security
https:// www.mcafeemobilesecurity.com
Ele permite que você controle o acesso a aplicativos

Lookout Mobile Security
específicos e interrompa chamadas, mensagens de texto e
and Antivirus https://
localização de monitoramento de spyware
www.lookout.com
Inclui ferramentas antifurto para proteger Sophos Mobile Security

celulares e dados https:// www.sophos.com
https:// my.kaspersky.com
Ferramentas de segurança do Android
ÿ Kaspersky Internet Security para Android
Fonte: https:// my.kaspersky.com
O Kaspersky Internet Security for Android bloqueia aplicativos, sites e arquivos suspeitos. Ele permite que
você controle o acesso a aplicativos específicos e interrompa chamadas de monitoramento de spyware,
textos e localização. Inclui ferramentas antifurto para proteger celulares e dados. Ele usa aprendizado de
máquina para combater novas ameaças.
Figura 8.8: Captura de tela do Kaspersky Mobile Antivirus
A seguir estão algumas ferramentas adicionais de segurança do Android:
ÿ Avira Antivirus Security (https:// www.avira.com)

ÿ Avast Mobile Security (https:// www.avast.com)
ÿ McAfee Mobile Security (https:// www.mcafeemobilesecurity.com)
ÿ Lookout Mobile Security and Antivirus (https:// www.lookout.com)
ÿ Sophos Mobile Security (https:// www.sophos.com)
Ferramentas de segurança do dispositivo iOS
Essa ferramenta fornece recursos como proteção na Web e proteção de identidade, identifica
Avira Mobile
sites de phishing direcionados a você pessoalmente, protege e-mails, rastreia seu dispositivo,
Segurança
identifica atividades suspeitas, organiza a memória do dispositivo e faz backup de todos os contatos
Norton Mobile Security

https:// us.norton.com
LastPass Password Manager

https:// www.lastpass.com
Segurança Móvel Lookout

https:// www.mylookout.com
SplashID Safe Password Manager

https:// www.splashid.co m
Webroot Mobile Security

https:// www.webroot.com
https:// www.avira.com
Ferramentas de segurança do dispositivo iOS
ÿ Avira Mobile Security
Fonte: https://www.avira.com
O Avira Mobile Security oferece recursos como proteção na Web e proteção de identidade,
identifica sites de phishing direcionados a um usuário específico, rastreia um dispositivo,
organiza a memória do dispositivo e faz backup de todos os contatos e outros dados de todos
os dispositivos iOS.
Figura 8.9: Capturas de tela do Avira Mobile Security
A seguir estão algumas ferramentas adicionais de segurança do dispositivo iOS:
ÿ Norton Mobile Security (https:// us.norton.com)

ÿ LastPass Password Manager (https:// www.lastpass.com)
ÿ Lookout Mobile Security (https:// www.lookout.com)
ÿ SplashID Safe Password Manager (https:// www.splashid.com)
ÿ Webroot Mobile Security (https:// www.webroot.com)
Resumo do Módulo
ÿ Este módulo discutiu os vários dispositivos móveis
métodos de conexão
ÿ Discutiu os conceitos de gerenciamento de dispositivos móveis
ÿ Também discutiu as abordagens comuns de uso móvel em empresas
ÿ Discutiu o risco de segurança e as diretrizes associadas às políticas corporativas

de uso móvel
ÿ Este módulo também discutiu soluções de gerenciamento de segurança

móvel de nível empresarial
ÿ Finalmente, este módulo terminou com uma visão geral

diretrizes de segurança e práticas recomendadas para plataformas móveis
ÿ No próximo módulo, discutiremos a segurança de dispositivos IoT em

detalhe
Resumo do Módulo
Este módulo discutiu vários métodos de conexão de dispositivos móveis. Ele discutiu os conceitos de gerenciamento de
dispositivos móveis, bem como as abordagens comuns de uso móvel nas empresas.
Além disso, discutiu o risco de segurança e as diretrizes associadas às políticas corporativas de uso móvel. Este módulo
também apresentou soluções de gerenciamento de segurança móvel de nível empresarial. Finalmente, este módulo apresentou
uma visão geral das diretrizes gerais de segurança e melhores práticas para plataformas móveis.
No próximo módulo, discutiremos detalhadamente a segurança de dispositivos IoT.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 09
Seguranç a de dis po si tiv os IoT

Segurança de dispositivos IoT
Compreendendo a IoT e por que as organizações optam por
1
ambientes habilitados para IoT
2 Visão geral das áreas de aplicação IoT e dispositivos IoT
Compreendendo a arquitetura IoT e a IoT

3
Modelos de Comunicação
4 Compreendendo a segurança em ambientes habilitados para IoT
Compreendendo as considerações de segurança da IoT

5
Estrutura
6 Visão geral do gerenciamento de dispositivos IoT
7 Compreendendo as melhores práticas e ferramentas para segurança de IoT
O uso de dispositivos da Internet das Coisas (IoT) na infraestrutura corporativa de TI criou um vasto perímetro de
segurança. Os dispositivos IoT usam redes e a nuvem. No entanto, eles são altamente vulneráveis a ataques de
malware, ransomware e botnet. Os invasores podem facilmente comprometer os endpoints de IoT. Compreender as
medidas de segurança ajudará na proteção de ambientes habilitados para IoT.
ÿ Entenda a IoT e por que as organizações optam por ambientes habilitados para IoT
ÿ Descrever as áreas de aplicação IoT e dispositivos IoT
ÿ Descrever a arquitetura IoT e os modelos de comunicação IoT
ÿ Entenda a segurança em ambientes habilitados para IoT e segurança de IoT em pilha

princípios
ÿ Compreender as considerações de segurança da estrutura IoT
ÿ Entenda o gerenciamento de dispositivos IoT
ÿ Compreender as melhores práticas e ferramentas para segurança IoT

Fluxo do módulo
1 2
Entenda a IoT Discutir o
Dispositivos, Aplicativo segurança em
Áreas, e habilitado para IoT
Comunicação ambientes
modelos
Compreender dispositivos IoT, áreas de aplicação e comunicação

modelos
O objetivo desta seção é entender os dispositivos IoT e as áreas em que os dispositivos IoT podem ser
usados em uma empresa.

O que é IoT?
ÿ Internet of Things (IoT), também conhecida como Internet of Everything (IoE), refere-se à rede
de dispositivos com endereços IP e a capacidade de detectar, coletar e enviar dados usando
sensores embutidos, hardware de comunicação e processadores
ÿ Em IoT, o termo coisa é usado para se referir a um dispositivo que é implantado em objetos
naturais, feitos pelo homem ou feitos por máquinas e tem a funcionalidade de se comunicar pela rede
Dispositivos Industriais Dispositivos vestíveis

Inteligente
Ferramentas
Ver
Manufatura Vestível
Transporte televisões
IoT
Saúde Monitoramento
Checar
Dispositivos
Termostato
Drogas Energia
Dispositivos de saúde Dispositivos domésticos
O que é IoT?
A Internet das Coisas (IoT), também conhecida como Internet de Todas as Coisas (IoE), refere-se a dispositivos de
computação habilitados para a Web e com capacidade de detectar, coletar e enviar dados usando sensores, hardware
de comunicação e processadores que estão embutidos no dispositivo. Na IoT, uma “coisa” refere-se a um dispositivo
que é implantado em um objeto natural, feito pelo homem ou feito por uma máquina e tem a funcionalidade de se
comunicar por meio de uma rede. A IoT utiliza a tecnologia emergente existente para detecção, rede e robótica,
permitindo, portanto, que o usuário obtenha análise, automação e integração mais profundas em um sistema.
Com o aumento dos recursos de rede de máquinas e aparelhos usados em diferentes setores, como escritórios,
residências, indústria, transporte, edifícios e dispositivos vestíveis, eles abrem um mundo de oportunidades para
melhorar os negócios e a satisfação do cliente. Alguns dos principais recursos da IoT são conectividade, sensores,
inteligência artificial, pequenos dispositivos e engajamento ativo.
Figura 9.1: Ilustração de dispositivos IoT

Por que as organizações estão optando por

Ambientes habilitados para IoT
Os dispositivos IoT funcionam em um plano tridimensional, oferecendo conectividade

para qualquer pessoa, a qualquer hora, para qualquer coisa e de qualquer lugar
ÿ Exterior e interior ÿ
Conecte-se a qualquer hora
Dia ÿ Noite
ÿ Em movimento ÿ
Interior (longe do PC) ÿ
Exterior ÿ No PC
ÿ Entre PCs ÿ
Humano para humano (H2H), sem
Conecte qualquer coisa Conecte qualquer lugar
usar um PC ÿ Humano para
coisas (H2T), usando equipamentos
genéricos
ÿ Coisas para coisas (T2T)
Por que as organizações estão optando por ambientes habilitados para IoT
As organizações estão optando por ambientes habilitados para IoT porque os dispositivos IoT funcionam
em um plano tridimensional e fornecem conectividade para qualquer pessoa, a qualquer momento, para
qualquer coisa e de qualquer lugar. Os dispositivos IoT facilitam a conexão com vários objetos; os exemplos
incluem interações Human-to-Thing (H2T) usando equipamentos genéricos, interações Thing-to-Thing (T2T)
entre PCs e interações Human-to-Human (H2H) sem usar um PC. O usuário pode se conectar a dispositivos
IoT em qualquer lugar, independentemente de estarem em movimento, em ambientes fechados (longe do
PC), ao ar livre ou no PC. O mecanismo de trabalho dos dispositivos IoT no plano tridimensional permite ao
usuário monitorar continuamente seus negócios, resolver preocupações instantaneamente, aumentar a
eficiência do negócio, aumentar o crescimento da organização, aumentar a segurança, etc.
Alguns dos principais recursos da IoT são conectividade, sensores, inteligência artificial, pequenos dispositivos
e engajamento ativo. A tecnologia IoT inclui quatro sistemas principais: dispositivos IoT, sistemas de gateway,
sistemas de armazenamento de dados baseados na nuvem e controle remoto usando aplicativos móveis.
Esses sistemas juntos permitem a comunicação entre dois terminais. Discutidos abaixo estão alguns dos
componentes importantes da tecnologia IoT que desempenham um papel essencial no funcionamento de um
dispositivo IoT.
ÿ Tecnologia de detecção: sensores embutidos em dispositivos adquirem uma ampla variedade de

informações do ambiente, como temperatura, gases, localização, funcionamento de máquinas
industriais e dados de saúde de um paciente.
ÿ Gateways IoT: Gateways são usados para preencher a lacuna entre um dispositivo IoT (rede interna)
e o usuário final (rede externa), permitindo assim que eles se conectem e se comuniquem entre si.
Os dados coletados pelos sensores nos dispositivos IoT são coletados e enviados para o usuário ou
nuvem em questão através do gateway.

ÿ Servidor em nuvem/armazenamento de dados: Os dados coletados, após trafegarem pelo gateway,

chegam à nuvem, onde são armazenados e submetidos à análise de dados. Os dados processados são
então transmitidos ao usuário, que realiza ações com base nas informações recebidas.
ÿ Controle remoto usando aplicativos móveis: o usuário final utiliza dispositivos de controle remoto, como
telefones celulares, tablets e laptops instalados com um aplicativo móvel para monitorar, controlar, recuperar
dados e executar ações em dispositivos IoT a partir de um local remoto.
Exemplo:
1. Um sistema de segurança inteligente é integrado a um gateway, que por sua vez ajuda a conectar o
dispositivo para a infraestrutura de Internet e nuvem.
2. O armazenamento de dados na nuvem inclui as informações de todos os dispositivos conectados à rede. As

informações incluem os IDs do dispositivo, o status atual dos dispositivos, quem acessou os dispositivos e
quantas vezes eles acessaram os dispositivos. Também inclui informações como por quanto tempo o
dispositivo foi acessado pela última vez.
3. A conexão com o servidor em nuvem é estabelecida por meio de serviços da web.
4. O usuário do outro lado, que possui o aplicativo necessário para acessar um dispositivo remotamente em seu
celular, interage com o aplicativo e, por sua vez, com o dispositivo. Antes de acessar o dispositivo, eles são
solicitados a se autenticar. Se as credenciais enviadas corresponderem às salvas na nuvem, o usuário
obtém acesso. Caso contrário, o acesso é negado, garantindo a segurança. O servidor em nuvem identifica
o ID do dispositivo e envia uma solicitação associada a esse dispositivo usando gateways.
5. Se o sistema de segurança que está gravando imagens detecta qualquer atividade incomum, ele envia um
alerta para a nuvem por meio do gateway, que corresponde ao ID do dispositivo e ao usuário associado a
ele. Finalmente, o usuário final recebe um alerta.

Áreas e dispositivos de aplicação IoT
Setores de serviço Grupos de aplicativos Localizações Dispositivos
Escritório, Educação, Varejo, Hospitalidade, Saúde,

Comercial/Institucional AVAC, Transportes, Incêndio e Segurança, Iluminação, Segurança,
Aeroportos, Estádios
Edifícios Acessos, etc.
Industrial Processo, Sala Limpa, Campus
Geração de energia, transmissão e distribuição, baixa tensão, energia

Oferta/Demanda
Qualidade, Gestão de energia
Turbinas, Moinhos de Vento, UPS, Baterias, Geradores, Medidores,
Energia Alternativo Eólica Solar, Cogeração, Eletroquímica Furadeiras, Células de Combustível, etc.
Gás de petróleo Plataformas, Derricks, Cabeçotes, Bombas, Oleodutos
A infraestrutura Fiação, acesso à rede, gerenciamento de energia

Câmeras Digitais, Sistemas de Energia, MID, e-Readers, Máquinas
Consumidor Segurança/alertas, proteção contra incêndio, idosos, crianças, energia de Lavar Louça, Computadores de Mesa, Máquinas de Lavar/Secar,
Conscientização e Segurança
e Casa Proteção Medidores, Luzes, TVs, Dispositivos MP3, Consoles de Jogos,
Alarmes, etc.
Conveniência e entretenimento HVAC/clima, iluminação, eletrodomésticos, entretenimento
Cuidado Hospital, pronto-socorro, celular, POC, clínica, laboratórios, consultório médico

Cuidados de saúde Máquinas de Ressonância Magnética, PDAs, Implantes,
e Ciências da Vida Ao vivo/Casa Implantes, Casa, Sistemas de Monitoramento Equipamentos Cirúrgicos, Bombas, Monitores, Telemedicina, etc.
Pesquisar Descoberta de medicamentos, diagnósticos, laboratórios
Não veicular Aéreo, Ferroviário, Marítimo
Veículos Consumidor, Comercial, Construção, Fora de Estrada Veículos, Luzes, Navios, Aviões, Sinalização, Pedágios, etc.
Transporte
Sistemas Trans Portagens, gestão de trânsito, navegação
Áreas e dispositivos de aplicação IoT (continuação)
Grupos de aplicativos de setores de serviço Localizações Dispositivos
Automação de recursos Mineração, Irrigação, Agrícola, Floresta
Fluido/Processos Petroquímica, Hidro, Carbonos, Alimentos, Bebidas Bombas, Válvulas, Cubas, Transportadores,
Industrial Metais, Papéis, Borracha/Plástico, Eletrônica metalúrgica, Fabricação, Montagem/Embalagem, Vasos/
Conversão/Discreta Tanques, etc.
Montagem/Teste
Distribuição Oleodutos, Transporte
Especialidade Postos de combustível, jogos, boliche, cinemas, discotecas, eventos especiais
Terminais POS, Tags, Caixas Registradoras,

Retalho Hospitalidade Hotéis Restaurantes, Bares, Cafés, Clubes
Máquinas de Venda Automática, Sinais, etc.
Lojas Supermercados, Shopping Centers, Single Site, Distribuição, Centers
Vigilância Radar/satélite, Meio ambiente, Segurança militar, Não tripulado, Fixo
Equipamento Armas, Veículos, Navios, Aeronaves, Gear

Tanques, caças, campos de batalha, jipes, carros,
Segurança / Rastreamento Humano, Animal, Postal, Comida, Saúde, Bagagem
ambulância, segurança interna, meio ambiente,
Segurança Pública monitor, etc.
Água, Tratamento, Edificação, Meio Ambiente. Equipar. e pessoal, polícia, bombeiros,
Infraestrutura pública
regulamentação
Serviços de emergência Ambulância, Polícia, Bombeiros, Segurança Interna
Isso e Público Serviços, comércio eletrônico, data centers, operadoras de celular, ISPs Servidores, Armazenamento, PCs,
Redes Empresa privada Escritório de TI/Data Center, redes de privacidade Roteadores, Switches, PBXs, etc.
http:// www.beechamresearch.com
Áreas e dispositivos de aplicação IoT
Os dispositivos IoT têm uma ampla gama de aplicações. Eles são usados em quase todos os setores da
sociedade para auxiliar de várias maneiras a simplificar a rotina de trabalho e tarefas pessoais e, assim,
melhorar o padrão de vida. A tecnologia IoT está incluída em casas e edifícios inteligentes, dispositivos de
saúde, aparelhos industriais, transporte, dispositivos de segurança, setor de varejo, etc.

Algumas das aplicações dos dispositivos IoT são as seguintes:
ÿ Dispositivos inteligentes que estão conectados à Internet, fornecendo diferentes serviços aos usuários
finais, incluem termostatos, sistemas de iluminação e sistemas de segurança e vários outros sistemas
que residem em edifícios.
ÿ
Nos setores de saúde e ciências da vida, os dispositivos incluem dispositivos vestíveis, dispositivos de
monitoramento de saúde, como marcapassos cardíacos implantados, ECG, EKG, equipamentos
cirúrgicos, telemedicina, etc.
ÿ A Internet Industrial das Coisas (IIoT) está atraindo crescimento por meio de três abordagens: aumento da
produção para aumentar a receita, usando tecnologia inteligente que está mudando totalmente a forma
como os produtos são feitos e a criação de novos modelos de negócios híbridos.
ÿ Da mesma forma, o uso da tecnologia IoT no setor de transporte segue o conceito de comunicação veículo-
veículo, veículo-via e veículo-pedestre, melhorando assim as condições de tráfego, sistemas de
navegação e esquemas de estacionamento.
ÿ A IoT no varejo é usada principalmente em pagamentos, anúncios e rastreamento ou monitoramento de

produtos para protegê-los contra roubo e perda, aumentando assim a receita.
ÿ
Em TI e redes, os dispositivos IoT incluem principalmente várias máquinas de escritório, como
impressoras, aparelhos de fax e copiadoras, bem como sistemas de monitoramento PBX; eles servem
para melhorar a comunicação entre os terminais e facilitar o envio de dados por longas distâncias.
Fonte: http:// www.beechamresearch.com
Inscrição
Setores de serviço Localizações Dispositivos
Grupos
Comercial/ Escritório, Educação, Varejo, Hotelaria, Aquecimento, Ventilação e Ar
Institucional Saúde, Aeroportos, Estádios Condicionado (AVAC),
Edifícios Transportes, Incêndio e
Industrial Processo, Sala Limpa, Campus Segurança, Iluminação,
Segurança, Acessos, etc.
Geração de energia, transporte e

Fornecer/
Distribuição, Baixa Tensão, Energia Turbinas, Moinhos de Vento,
Demanda
Qualidade, Gestão de Energia UPS, Baterias, Geradores,
Energia
Eólica Solar, Cogeração, Medidores, Furadeiras,
Alternativo
eletroquímica Células de Combustível, etc.
Gás de petróleo Plataformas, Derricks, Cabeçotes, Bombas, Oleodutos
Fiação, acesso à rede, energia Câmeras Digitais, Sistemas

A infraestrutura
Gerenciamento de Energia, MID, Leitores
Conscientização e Segurança/Alertas, Segurança Contra Incêndios, Idosos,
Eletrônicos, Máquinas de
Consumidor Lavar Louça, Computadores
Segurança Crianças, proteção de energia
e de Mesa, Máquinas de Lavar/
Lar Conveniência Secar, Medidores, Luzes,
HVAC/Clima, Iluminação, Eletrodomésticos, TVs, Dispositivos MP3,
e
Entretenimento
Entretenimento Consoles de Jogos, Alarmes,
etc.

Hospital, pronto-socorro, celular, POC, clínica, laboratórios, Máquinas de Ressonância

Cuidado
Cuidados de saúde consultórios médicos
Magnética, PDAs, Implantes,
e Ao vivo/Casa Implantes, Casa, Sistemas de Monitoramento
Equipamentos Cirúrgicos,
Ciência da vida Bombas, Monitores, Telemedicina,

Pesquisar Descoberta de medicamentos, diagnósticos, laboratórios
etc.
Não veicular Aéreo, Ferroviário, Marítimo
Consumidor, Comercial, Construção, Veículos, Luzes, Navios,

Veículos
Transporte Fora de estrada Aviões, Sinalização, Pedágios,
Transporte etc.
Portagens, Gestão de Tráfego, Navegação
Sistemas
Recurso Mineração, Irrigação, Agrícola,

Automação floresta
Fluido/ Petroquímicos, Hidro, Carbonos, Alimentos,

Bombas, Válvulas, Cubas,
Processos Bebidas
Transportadores, Fabricação,
Industrial Metais, Papéis, Borracha/Plástico, Montagem/Embalagem, Vasos/
Convertendo/
Metalurgia, Eletrônica, Tanques, etc.
Discreto
Montagem/Teste
Distribuição Oleodutos, Transporte
Postos de combustível, jogos, boliche,

Especialidade
Cinemas, Discotecas, Eventos Especiais Terminais POS, Tags,
Retalho Hospitalidade Hotéis Restaurantes, Bares, Cafés, Clubes Caixas Registradoras, Máquinas
Supermercados, Shopping Centers, Individual de Venda Automática, Sinais, etc.

Lojas
Local, Distribuição, Centros
Radar/Satélite, Meio Ambiente, Militar

Vigilância
Segurança, Não Tripulado, Fixo
Armas, Veículos, Navios, Aeronaves,

Equipamento
Engrenagem
Tanques, caças, campos
Humano, Animal, Postal, Alimentos, Saúde, de batalha, jipes, carros,
Segurança / Rastreamento
Bagagem ambulância, segurança interna,
Segurança Pública
Água, Tratamento, Construção, meio ambiente, monitor, etc.
Público
Ambiente, Equipamentos e
A infraestrutura
Pessoal, Polícia, Bombeiros, Regulamentar
Emergência Ambulância, Polícia, Incêndio, Pátria

Serviços Segurança
Serviços, Comércio Eletrônico, Data Centers,

ISTO Público Servidores, Armazenamento, PCs,
Operadoras móveis, ISPs
e Roteadores, Switches, PABXs,
Privado etc.
Redes Escritório de TI/Data Center, redes de privacidade
Empreendimento
Tabela 9.1: Áreas e dispositivos de aplicação de IoT

Arquitetura IoT
Umidade/Umidade Um gateway é responsável por coletar os dados

dos dispositivos IoT e realizar o processamento
preliminar dos dados antes de enviar para a nuvem Armazenamento de dados/
servidor de nuvem
O processamento final, armazenamento de
Temperatura Enviar dados
dados e fornecimento de feedback para os
dispositivos de ponta são realizados na nuvem
receber comando
Gateway IoT
Pressão
Internet
Som/Vibração
Dispositivos IoT
Controle remoto
usando aplicativo móvel

Os usuários acessam a infraestrutura de nuvem
usando smartphones, tablets, desktops e laptops
Arquitetura IoT
Figura 9.2: Arquitetura IoT
A arquitetura IoT inclui várias camadas. Essas camadas são projetadas de forma que possam atender aos requisitos
de vários setores, como sociedades, indústrias, empresas e governos. As camadas da arquitetura IoT estão
conectadas para coletar, salvar e processar dados. As funções executadas por vários blocos de construção são as
seguintes.
ÿ Gateways são dispositivos através dos quais os dados são transmitidos das coisas para a nuvem e
vice-versa. Eles fornecem as seguintes funções:
o Pré-processamento e filtragem de dados antes de transmiti-los para a nuvem, permitindo volumes

menores de dados para processamento e armazenamento detalhados

o Enviando comandos de controle da nuvem para as coisas para permitir que as coisas executem o
comandos usando seus atuadores
ÿ Os gateways de nuvem têm os seguintes recursos:
o Compressão de dados
o Proteger a transferência de dados entre gateways de campo e servidores IoT em nuvem
o Garantir a compatibilidade com diferentes protocolos
o Comunicação com gateways de campo através de vários protocolos baseados no protocolo suportado por
gateways
ÿ Os processadores de dados de streaming garantem que nenhum dado seja perdido ou corrompido, fornecendo
as seguintes características:
o Transição efetiva de dados de entrada para um data lake
o Controle de aplicativos
ÿ Os data lakes armazenam os dados produzidos pelos dispositivos conectados no formato natural. Se os dados
forem necessários para insights significativos, os dados serão extraídos de um data lake e carregados em um
big data warehouse.
ÿ Os armazéns de big data contêm apenas dados limpos, estruturados e combinados. Eles podem armazenar o
seguinte:
o Informações de contexto sobre as coisas e dispositivos; exemplos incluem os locais de

sensores
o Comandos enviados por aplicativos de controle para coisas
ÿ A análise de dados ajuda os analistas de dados a encontrar tendências e obter insights acionáveis usando os
dados do big data warehouse. A análise dos dados na forma de esquemas, diagramas e infográficos revela o
seguinte:
o Desempenho do dispositivo
o Ineficiências do sistema IoT e formas de aprimorá-lo
Além disso, correlações e padrões encontrados manualmente ajudam a criar algoritmos para aplicações de
controle.
ÿ O aprendizado de máquina permite que os analistas de dados criem modelos para aplicativos de controle. Esses
modelos são atualizados regularmente, dependendo dos dados em um big data warehouse. Os exemplos
incluem modelos para reconhecer os padrões de comportamento dos funcionários de uma organização em
termos de quando eles saem e retornam à organização e ajustam as luzes nas instalações de acordo. Depois
de concluída a fase de testes de aplicabilidade e eficiência desses modelos, eles passam a ser utilizados por
aplicações de controle.
ÿ Aplicativos de controle enviam comandos e alertas automáticos aos atuadores. Por exemplo, se surgir uma
situação de pré-falha nos equipamentos/dispositivos de uma organização, os sensores

monitore o estado dos dispositivos e o sistema IoT envia notificações automáticas aos engenheiros do sistema.
Os comandos armazenados em um big data warehouse enviados por aplicativos de controle para atuadores
ajudam no seguinte:
o Investigação de casos problemáticos; por exemplo, verificando a conectividade, gateways e atuadores se os

atuadores não conseguirem executar os comandos enviados por um aplicativo de controle
o Melhorar a segurança identificando brechas de segurança (possíveis ao detectar quantidades incomuns ou

grandes de comandos)
As aplicações de controle podem ser de dois tipos:
o Aplicativos de controle baseados em regras que operam com base nas regras definidas por especialistas
o Aplicativos de controle baseados em aprendizado de máquina que usam modelos, que podem ser atualizados
regularmente com os dados armazenados em um big data warehouse
ÿ Aplicativos de usuário (web ou aplicativos móveis) ajudam a alterar o comportamento dos controles do aplicativo.
Por exemplo, se um sistema de IoT executar mal determinadas ações, os aplicativos do usuário permitirão que
os usuários façam o seguinte:
o Conectar a um sistema IoT
o Monitore e controle (enviando comandos para controlar aplicativos e definindo opções para comportamento
automático) coisas inteligentes enquanto elas estão conectadas a uma rede de coisas semelhantes.

Camadas do
Arquitetura IoT
Formulários Processos, Práticas

Do utilizador Dispositivos) Porta de entrada Conexão Nuvem (CRM, ERP, SCM, PLM) e Políticas
Plataforma
Análise
Camada de dispositivo Camada de Comunicação Camada de plataforma de nuvem Camada de processo
Camadas da arquitetura IoT
Um ecossistema IoT é uma combinação de várias camadas IoT e compreende os componentes que permitem que as
organizações se conectem a seus dispositivos IoT. Especificamente, um ecossistema inclui painéis, controles remotos,
gateways, análises, redes, armazenamento de dados e segurança. A arquitetura geral de um ecossistema IoT é diferente
para diferentes organizações. O modelo de ecossistema ao qual muitas organizações se referem ao tentar entender a
arquitetura de IoT inclui as camadas de IoT.
Figura 9.3: Camadas da Arquitetura IoT
Camada 1: Camada do Dispositivo
A camada de dispositivo ou coisa da IoT inclui o hardware que constitui os dispositivos IoT. Todos os dispositivos
conectados são o ponto final de um ecossistema IoT e adquirem dados com base em um caso de uso específico. Os
dispositivos incluem o seguinte:
ÿ Sensores (temperatura, giroscópio, pressão, sensores de luz, Sistema de Posicionamento Global (GPS),
eletroquímico, identificação por radiofrequência (RFID), etc.)
ÿ Dispositivos móveis (smartphones/tablets)
ÿ Unidades microcontroladoras

ÿ Equipamento de rede
ÿ Computadores de placa única
Camada 2: Camada de Comunicação
A camada de comunicação (conectividade/computação de borda) inclui os componentes de protocolos de

comunicação e redes usados para conectividade e computação de borda. Um caso de uso é executado com sucesso
com conectividade perfeita entre dispositivos IoT.
ÿ Protocolos: Para aplicativos IoT baseados na Internet, uma arquitetura baseada em Protocolo de Controle de
Transmissão (TCP)/Protocolo de Internet (IP) é usada. Os casos de uso de IoT baseados em intranet
utilizam LAN, RF, Wi-Fi, Li-Fi, etc.
ÿ Gateway: Gateways ajudam a gerenciar o tráfego entre dispositivos IoT e redes conectadas.
Para manter e monitorar o tráfego, os gateways de nível 5 são úteis.
Camada 3: Camada de Nuvem
Os servidores hospedados na nuvem aceitam, armazenam e processam os dados do sensor recebidos dos gateways
IoT. Muitas soluções IoT são integradas com serviços em nuvem. Com um conjunto abrangente de serviços e
soluções integrados, a nuvem IoT fornece os insights e perspectivas necessários para os clientes. Ele fornece painéis
para monitorar, analisar e implementar decisões proativas.
Camada 4: Camada de Processo
A camada de processo reúne informações e processa as informações recebidas. Inclui o seguinte:
ÿ Pessoas
ÿ Negócios
ÿ Colaborações
ÿ Tomada de decisão com base nas informações derivadas de políticas e procedimentos de IoT
Informática.

Modelos de Comunicação IoT
01 Modelo de dispositivo para dispositivo

02 Modelo de dispositivo para nuvem
Inscrição
Provedor de serviço
ÿ HTTP ÿ CoAP
ÿ TLS ÿ ÿ DTLS
Lâmpada do Rede sem fio Interruptor de luz do
TCP ÿ IP ÿ UDP ÿ
fabricante A fabricante B
ÿ Bluetooth ÿ IP
Dispositivo com
Onda Z ÿ Dispositivo com
Temperatura
Zigbee Monóxido de carbono
Sensor
Sensor
03 Modelo de dispositivo para gateway 04 Nuvem para nuvem (modelo de compartilhamento de dados de back-end)
Inscrição Pilha de protocolos

ÿ HTTP ÿ CoAP
Provedor de serviço Inscrição
ÿ DTLS CoAP
ÿ TLS Provedor de serviços nº 2
ou
IPv4/IPv6
ÿ UDP HTTP
ÿ TCP Inscrição HTTPS
ÿ IPv6 ÿ IPv6 Provedor de serviços nº 1 Auth 2.0
Gateway local JSON
Dispositivo com Leve
Protocolo local 1
Dispositivo com Sensor
Inscrição
Temperatura ÿ Bluetooth inteligente Monóxido de carbono Provedor de serviços nº 3
Sensor ÿ IEEE 802.11 (Wi-Fi) ÿ Sensor
IEEE 802.15.4 (LR-WPAN)
Modelos de Comunicação IoT
A tecnologia IoT utiliza vários modelos técnicos de comunicação, cada um com suas características.
Esses modelos destacam a flexibilidade com que os dispositivos IoT podem se comunicar entre si ou com o cliente.
Discutidos abaixo estão quatro modelos de comunicação e as principais características associadas a cada modelo:
ÿ Modelo de Comunicação Dispositivo a Dispositivo
Nesse tipo de comunicação, dispositivos interconectados interagem entre si por meio da Internet, mas utilizam
predominantemente protocolos como ZigBee, Z-Wave ou Bluetooth. A comunicação dispositivo a dispositivo é
mais comumente usada em dispositivos domésticos inteligentes, como termostatos, lâmpadas, fechaduras,
câmeras CCTV e geladeiras, que transferem pequenos pacotes de dados entre si a uma taxa de dados baixa.
Este modelo também é popular na comunicação entre dispositivos vestíveis. Por exemplo, um dispositivo de
ECG/EKG conectado ao corpo de um paciente será emparelhado com seu smartphone e enviará notificações
durante uma emergência.
Figura 9.4: Modelo de comunicação dispositivo a dispositivo IoT

ÿ Modelo de comunicação dispositivo-para-nuvem
Nesse tipo de comunicação, os dispositivos se comunicam diretamente com a nuvem, ao invés de se comunicar
diretamente com o cliente para enviar ou receber dados ou comandos. Ele usa protocolos de comunicação
como Wi-Fi ou Ethernet e, às vezes, também usa celular.
Um exemplo de comunicação de dispositivo para nuvem baseada em Wi-Fi é uma câmera CCTV que pode ser
acessada em um smartphone a partir de um local remoto. Nesse cenário, o dispositivo (aqui, a câmera CCTV)
não pode se comunicar diretamente com o cliente; em vez disso, ele primeiro envia dados para a nuvem e, em
seguida, se o cliente inserir as credenciais corretas, ele poderá acessar a nuvem, que por sua vez permite que
ele acesse o dispositivo em sua casa.
Figura 9.5: modelo de comunicação de dispositivo para nuvem IoT
ÿ Modelo de Comunicação Dispositivo-Gateway
No modelo de comunicação dispositivo-a-gateway, o dispositivo IoT se comunica com um dispositivo

intermediário chamado gateway, que por sua vez se comunica com o serviço de nuvem. Esse dispositivo de
gateway pode ser um smartphone ou um hub que está atuando como um ponto intermediário, que também
fornece recursos de segurança e tradução de dados ou protocolos. Os protocolos geralmente utilizados neste
modo de comunicação são ZigBee e
Onda Z.
Se o gateway da camada de aplicativo for um smartphone, ele poderá assumir a forma de um aplicativo que
interage com o dispositivo IoT e com a nuvem. Este dispositivo pode ser uma smart TV que se conecta ao
serviço de nuvem por meio de um aplicativo de celular.
Figura 9.6: modelo de comunicação de dispositivo para gateway de IoT

ÿ Modelo de Comunicação Cloud-to-Cloud (Back-End Data-Sharing)

Esse tipo de modelo de comunicação estende o tipo de comunicação device-to-cloud de
forma que os dados dos dispositivos IoT possam ser acessados por terceiros autorizados.
Aqui, os dispositivos carregam seus dados na nuvem, que posteriormente são acessados
ou analisados por terceiros. Um exemplo desse modelo seria um analisador do consumo
anual ou mensal de energia de uma empresa. Mais tarde, a análise pode ser usada para
reduzir os gastos da empresa com energia seguindo certas técnicas de coleta ou economia
de energia.
Figura 9.7: modelo de compartilhamento de dados de back-end IoT

Ambiente de TI habilitado para IoT
Coisas IoT Rede local Computação baseada em nuvem
Análise de dados de negócios

E
Internet
Porta de entrada servidor web remoto
Com fio/sem fio
Acesso e controle do usuário
Ambiente de TI habilitado para IoT (continuação)

Recursos de um ambiente de TI habilitado para IoT
O monitoramento em tempo real envolve monitorar ativos de IoT, processar produtos,

manter um fluxo, ajudar a detectar problemas e tomar ações imediatamente
A análise em tempo real envolve a análise de coisas da IoT e a adoção de medidas adequadas
A segurança multicamada envolve a prevenção de acesso não autorizado a coisas IoT usando
autenticação multifator (MFA), Transport Layer Security (TLS), gerenciamento de identidade de
dispositivo, etc.
A coleta de dados envolve a troca de dados entre organizações habilitadas para IoT usando diferentes
protocolos de comunicação
A comunicação entre vários dispositivos envolve a configuração de vários dispositivos para acessar
as coisas da IoT, mesmo remotamente, a qualquer momento e de qualquer lugar
Ambiente de TI habilitado para IoT
Um ambiente de TI habilitado para IoT típico compreende dispositivos/coisas que usam um gateway para
comunicação em uma rede para acessar os servidores back-end de uma organização que executam uma plataforma
de nuvem IoT. Esta plataforma IoT permite integrar a informação IoT na organização.

As diferentes camadas de um ambiente de TI habilitado para IoT são discutidas abaixo.
ÿ Camada de coisas/dispositivos
A camada coisas/dispositivos inclui smartphones, dispositivos vestíveis, máquinas autônomas e tags (RFID, NFC, códigos
QR) que podem coletar dados usando seus sensores incorporados, que podem rastrear os principais parâmetros
relacionados ao ambiente físico. Alguns exemplos desses parâmetros são qualidade do ar, umidade, luz e pressão. Para
transferir essas solicitações de dados/comando e controle de telemetria de dispositivos IoT por meio de um gateway para
a nuvem, são usados protocolos baseados em padrões de rede com e sem fio.
Além disso, os dados de comando e controle são transferidos da nuvem através do gateway para os dispositivos. Esses
dispositivos podem controlar o estado de outro dispositivo. Por exemplo, eles podem desligar dispositivos defeituosos ou
disparar um alarme sobre eles. Assim, esses dispositivos IoT permitem o controle remoto.
ÿ Gateway/Camada de controle
A camada de gateway/controle concentra-se na comunicação, nas funções de processamento de descarregamento e na

condução das ações necessárias. O gateway pré-processa a enorme quantidade de dados gerados pelos sensores antes
de enviá-los para a camada de nuvem; assim, reduz a quantidade de dados indesejados encaminhados para a camada de
nuvem. Esse processo pode reduzir os custos de transmissão da rede e permitir a aplicação de regras com base nos
dados recebidos. O gateway pode emitir informações de controle, como alterações de configuração nos dispositivos,
enquanto responde ao comando da camada de dados e solicitações de controle, como solicitações de autenticação
(funcionamento bidirecional). Além disso, o gateway atua como um dispositivo proxy/edge para dispositivos legados e de
baixo consumo de energia que não podem se registrar e se comunicar diretamente com a plataforma IoT. Em particular, o
gateway pode encaminhar comandos recebidos do back-end para o respectivo dispositivo. Todos os novos dispositivos
IoT, dispositivos legados e dispositivos de ponta formam a camada de dispositivos IoT.
Uma camada de controle típica facilita a comunicação eficiente através de uma rede de área pessoal (PAN), uma rede de
área local (LAN), Bluetooth, Zigbee, Message Queuing Telemetry Transport (MQTT)/TCP, etc., e microcomputação (micro-
multi core salgadinhos).
ÿ Comunicação/Data Center/Cloud IOT Platform/Cloud Tier
A camada de nuvem/plataforma IoT de comunicação/datacenter/nuvem concentra-se na computação de dados para

fornecer insights e, assim, gerar valor comercial. Ele atua como middleware orquestrando todo o fluxo de trabalho da IoT.
Ele fornece análises de negócios de back-end para executar processos de eventos, como análise de dados para criar e
adaptar regras de negócios com base em tendências históricas e, em seguida, difundir regras de negócios downstream.
Ele precisa ser dimensionado horizontalmente (para suportar um número crescente de dispositivos IoT) e verticalmente
(para abordar diferentes soluções IoT). As principais funções da camada de nuvem incluem o seguinte:
o Processamento e análise de eventos
o Armazenamento de dados
o Roteamento de mensagem e conectividade

o Integração e ativação de aplicativos
Uma camada de nuvem típica compreende software como serviço (SaaS), análise de dados de negócios, controles de
acesso do usuário, servidores Web remotos etc. e sistemas operacionais (SOs) abertos/pequenos, como o Linux.
Figura 9.8: Esquema de um ambiente habilitado para IoT
Na figura, a camada de coisas/dispositivos IoT se comunica com um gateway de nuvem. Aqui, o gateway autentica e autoriza os
dispositivos a participar do fluxo de trabalho e, assim, garante uma comunicação segura entre os dispositivos e o centro de comando
centralizado.
Além disso, o gateway pode lidar com diferentes protocolos e formatos de dados. Os dispositivos e gateways locais com diferentes
protocolos (SOAP, REST, AMQP, etc.) se registram no gateway de nuvem. Aqui, sem considerar o protocolo de entrada, o gateway
de nuvem pode fornecer uma visão da camada do dispositivo para os componentes IoT restantes.
Recursos de um ambiente de TI habilitado para IoT
Os seguintes recursos das plataformas IoT ajudam um ambiente de TI a atingir seus objetivos rapidamente:
ÿ O monitoramento em tempo real envolve o monitoramento de ativos de IoT, processamento de produtos, manutenção de um
fluxo, ajudando a detectar problemas e tomando ações imediatamente.
ÿ A análise em tempo real envolve analisar as coisas da IoT e tomar as medidas necessárias. Por exemplo, ele fornece
gráficos e análises de streaming em tempo real, permitindo que a empresa tenha uma visão geral de seu desempenho e
produção.
ÿ A segurança multicamada envolve a prevenção de acesso não autorizado a coisas IoT usando autenticação multifator (MFA),
Transport Layer Security (TLS), gerenciamento de identidade de dispositivo, etc.
ÿ A coleta de dados envolve a troca de dados entre organizações habilitadas para IoT usando diferentes protocolos de
comunicação. Esses protocolos devem ser leves e fornecer funcionalidade de baixa largura de banda de rede.
ÿ A comunicação entre vários dispositivos envolve a configuração de vários dispositivos para acessar as coisas da IoT, mesmo
remotamente, a qualquer momento e de qualquer lugar.

Fluxo do módulo
1 2
Entenda a IoT Discutir o
Dispositivos, Aplicativo segurança em
habilitado para IoT
Áreas, e
Comunicação ambientes
modelos
Discutir a segurança em ambientes habilitados para IoT

O objetivo desta seção é explicar os princípios de segurança em ambientes habilitados para IoT.

Segurança em ambientes habilitados para IoT
Com foco inexistente ou inadequado na segurança do dispositivo IoT pelos fabricantes, as

medidas de segurança usadas para fortalecer o dispositivo IoT geralmente são insuficientes
Portanto, as organizações devem se concentrar em combater cenários de ataque em ambientes

habilitados para IoT. As organizações devem se concentrar em proteger dispositivos de rede e
roteadores em um ambiente habilitado para IoT. Isso ajuda a impedir que o invasor acesse outras
partes da rede e execute ataques direcionados
A organização deve usar gerenciamento multicamadas . Um plano de segurança

multicamadas abrangente e manutenção constante são necessários para proteger
efetivamente todos esses dispositivos IoT díspares
Colaboração e sincronização em toda a empresa são necessárias para garantir um

Ambiente habilitado para IoT
Segurança em ambientes habilitados para IoT
Como os dispositivos IoT são muito diferentes uns dos outros, a segurança dos dispositivos depende de seu tipo
e modelo. Com foco inexistente ou inadequado na segurança de dispositivos IoT pelos fabricantes, as medidas
de segurança usadas para dispositivos IoT geralmente ficam aquém. Portanto, uma organização deve se
concentrar em proteger dispositivos IoT e combater cenários de ataque em ambientes habilitados para IoT.
Uma organização pode proteger dispositivos IoT alterando as senhas padrão, desativando recursos não utilizados,
atualizando firmware e aplicativos e usando um aplicativo legítimo desenvolvido por um fornecedor confiável no
caso de dispositivos IoT que dependem de aplicativos de terceiros.
Um adversário usa um dispositivo IoT comprometido como ponto de entrada para uma rede e executa um ataque
de movimento lateral. Por exemplo, uma impressora inteligente comprometida pode infectar outros sistemas e
dispositivos conectados à mesma rede. Um roteador comprometido pode espalhar malware para todos os
dispositivos IoT conectados a ele. Portanto, as organizações devem se concentrar em proteger dispositivos de
rede e roteadores em um ambiente habilitado para IoT.
Para proteger uma rede e roteador IoT, o usuário deve mapear e monitorar todos os dispositivos, aplicar
segmentação de rede, garantir uma arquitetura de rede segura, usar roteadores com firewalls embutidos e
desabilitar serviços desnecessários, como Universal Plug and Play (UPnP). Isso ajuda a impedir que o invasor
acesse outras partes da rede e execute ataques direcionados.
Uma organização deve usar gerenciamento em várias camadas. Para proteger todos os diferentes dispositivos
IoT, é necessário um plano de segurança multicamada abrangente e manutenção constante. A organização deve
aplicar soluções de segurança que protegem os dispositivos IoT e detectam malware no nível do endpoint.
Também deve usar software de segurança que verifique o tráfego de rede entre roteadores e dispositivos
conectados para proteger os dispositivos IoT. Além disso, deve

utilize dispositivos de rede para monitorar todas as portas e protocolos de rede para detectar ameaças
avançadas e proteger os dispositivos IoT contra ataques direcionados. A colaboração e a sincronização em
toda a empresa são necessárias para proteger um ambiente habilitado para IoT.

Gerenciamento de sistema de IoT
Gerenciamento de dispositivo Gerenciamento de usuários Monitoramento de segurança
ÿ Garantir a transmissão segura de dados ÿ Fornecer controle sobre os usuários ÿ Para lidar com brechas de segurança em
para facilitar a interação fina que têm acesso a um sistema IoT. estágios iniciais e prevenir ataques
entre dispositivos e garantir o bom O gerenciamento de usuários mal-intencionados em uma IoT
funcionamento dos dispositivos em um inclui identificar usuários, definir sistema, executar as atividades
sistema IoT funções de usuário e níveis de como registrar e analisar comandos
acesso, controlar acesso, etc. enviados por aplicativos de controle
para as coisas, monitorar e armazenar
todas as ações dos usuários, identificar
os padrões de comportamento malicioso,
etc.
Gerenciamento de sistema de IoT
O gerenciamento do sistema IoT envolve o seguinte.
ÿ Gerenciamento de dispositivos
Garanta a transmissão segura de dados para facilitar a interação fina entre os dispositivos e garantir o funcionamento
adequado dos dispositivos em um sistema IoT.
o Identifique a identidade dos dispositivos para garantir um dispositivo confiável com software genuíno transmitindo
dados confiáveis.
o Configurar dispositivos e controlá-los de acordo com os requisitos de um sistema IoT. Para

por exemplo, forneça IDs para dispositivos.
o Monitore e diagnostique dispositivos para garantir o funcionamento tranquilo e seguro da IoT

dispositivos.
o Atualizar o software e mantê-lo para adicionar funcionalidade, corrigir bugs e resolver

vulnerabilidades.
ÿ Gestão de utilizadores
Forneça controle sobre os usuários que têm acesso a um sistema IoT. O gerenciamento de usuários inclui o seguinte:
o Identificar usuários.
o Defina as funções do usuário (proprietários, convidados, etc.).
o Definir níveis de acesso para usuários.
o Controlar o acesso de alguns usuários a informações específicas.

o Defina a propriedade do usuário.
o Adicionar e remover usuários.
o Gerencie as configurações do usuário.
o Permitir permissões para executar determinadas operações em um sistema IoT (por exemplo, controlar e
registrar atividades do usuário).
ÿ Vigilância de segurança
Para lidar com violações de segurança nos estágios iniciais e evitar ataques mal-intencionados em um sistema
IoT, o seguinte deve ser realizado:
o Registre e analise os comandos enviados pelos aplicativos de controle para as coisas.
o Monitorar as ações dos usuários.
o Armazene todas as ações na nuvem.
o Identificar os padrões de comportamento malicioso.
o Armazene amostras de atividades maliciosas e compare-as com os logs gerados por

o sistema IoT para evitar ataques e seu impacto.

Princípios de segurança de IoT em pilha
Processos, Práticas e
Formulários
Do utilizador Dispositivos) Porta de entrada Conexão Nuvem (CRM, ERP, SCM, PLM) Políticas
Plataforma
Análise
Camada de dispositivo seguro Comunicação segura Camada de nuvem segura Processo seguro
Camada Camada
Princípios de segurança de IoT em pilha
Vários dispositivos IoT estão conectados à rede e eventualmente à nuvem, o que causa vulnerabilidade a muitos vetores de
ameaças. Para desenvolver soluções de IoT de ponta a ponta (E2E), as camadas de dispositivo, comunicação, nuvem e
processo devem ser protegidas. Para esse fim, os seguintes princípios de segurança de IoT em pilha devem ser implementados.
Figura 9.9: Princípios de segurança de IoT em pilha
Princípios de segurança da IoT na camada do dispositivo
ÿ Necessidade de inteligência do dispositivo para lidar com tarefas de segurança complexas: a maioria dos
dispositivos IoT se comunica com serviços, nuvem, servidores, etc., por meio da Internet ou Wi-Fi. Como esses
dispositivos são alimentados por microprocessadores, eles são incapazes de lidar com a complexidade da
conectividade com a Internet e não devem ser utilizados para tarefas de linha de frente em aplicativos de IoT.
Dispositivos inteligentes são seguros e robustos. Eles têm recursos de segurança incorporados e podem lidar com
segurança, criptografia, autenticação, etc. Portanto, os dispositivos inteligentes devem ser usados para tarefas de
linha de frente em aplicativos de IoT.
ÿ Vantagem de segurança do processamento na borda: os dispositivos Smart IoT possuem um recurso de

processamento na borda que processa dados localmente antes de enviar os dados para a nuvem,

eliminando a necessidade de encaminhar uma grande quantidade de dados para a nuvem. O

processamento de borda aumenta a segurança processando os dados, compactando-os em pacotes
separados e enviando-os com segurança para o local desejado. Ele permite que os usuários mantenham
informações confidenciais com eles.
Princípios de segurança da IoT na camada de comunicação
ÿ Iniciar uma conexão com a nuvem, mas não da nuvem: Em vez de conectar os dispositivos IoT com a
Internet, eles devem estar conectados à nuvem. Conexões de entrada devem ser proibidas. A conexão
com a nuvem estabelece um canal bidirecional, através do qual o usuário pode controlar o dispositivo IoT
remotamente.
ÿ Segurança inerente de uma mensagem: todas as comunicações com dispositivos IoT devem ser tratadas
com cuidado. O usuário deve impor protocolos leves baseados em mensagens para dispositivos IoT que
consistem em opções para criptografia dupla, filtragem, enfileiramento, etc. Com a rotulagem adequada,
as mensagens serão tratadas com segurança. Por exemplo, a criptografia dupla protege os dados do
cliente quando os dados passam pelo comutador de mensagens.
Princípio de segurança IoT na camada de nuvem
ÿ Identificação, autenticação e criptografia para máquinas, em vez de humanos: os usuários acessam

os serviços em nuvem com uma senha. Ocasionalmente, os serviços em nuvem usam autenticação de
dois fatores que consiste em uma senha e um gerador de senha única. Para humanos, as senhas são o
método de autenticação aceito, mas as máquinas lidam com certificados digitais enquanto acessam os
serviços em nuvem. O sistema de certificados digitais é usado não apenas para autenticar transações,
mas também para criptografar o canal do dispositivo para a nuvem antes da transação. A identificação
criptográfica fornecida pelo certificado digital não pode ser obtida com um ID de usuário e senha.
Princípio de segurança IoT na camada de processo
ÿ Segurança de controle remoto e atualizações: O controle remoto de um dispositivo IoT permite ao usuário
realizar diagnósticos remotos do dispositivo, definir novas configurações, recuperar arquivos, etc. o
dispositivo não é permitido; no entanto, o dispositivo deve estabelecer uma conexão bidirecional segura
com a nuvem e utilizar um comutador de mensagens como canal de comunicação.

IoT
Estrutura
Segurança
Considerações
BEIRA PORTA DE ENTRADA PLATAFORMA DE NUVEM MÓVEL
ÿ Criptografia de comunicações ÿ Comunicações criptografadas ÿ Comunicações criptografadas ÿ Segurança de armazenamento local

multidirecionais
ÿ Interface web segura
ÿ Criptografia de armazenamento ÿ Canais de comunicação
ÿ Autenticação forte de todos os ÿ Autenticação criptografados
ÿ Atualizar componentes componentes
ÿ Armazenamento criptografado
ÿ Autenticação multifator
ÿ Sem senhas padrão ÿ Atualizações automáticas ÿ Atualizações automáticas
ÿ Mecanismo de bloqueio de conta
Considerações de segurança do IoT Framework
Para projetar dispositivos IoT seguros e protegidos, as questões de segurança devem ser devidamente consideradas.
Uma das considerações mais importantes é o desenvolvimento de uma estrutura IoT segura para construir o
dispositivo. Idealmente, uma estrutura deve ser projetada de forma a fornecer segurança padrão, para que os
desenvolvedores não tenham que considerá-la posteriormente.
Os critérios de avaliação de segurança para a estrutura IoT são divididos em quatro partes. Cada parte tem suas
próprias preocupações relacionadas à segurança que são discutidas nos critérios de avaliação de cada parte.
Os critérios de avaliação de segurança para os dispositivos IoT são discutidos abaixo:
ÿ Borda
A borda é o principal dispositivo físico no ecossistema IoT que interage com seu entorno e contém vários
componentes como sensores, atuadores, sistemas operacionais, hardware e rede e recursos de
comunicação. É heterogêneo e pode ser implantado em qualquer lugar e em qualquer condição. Portanto,
uma estrutura ideal para um edge seria tal que fornecesse componentes multiplataforma para que pudesse
ser implantado e funcionar em qualquer condição física possível.
Outras considerações de estrutura para uma borda seriam comunicações adequadas e criptografia de
armazenamento, sem credenciais padrão, senhas fortes, uso dos componentes atualizados mais recentes,
etc.
ÿ Portal
O gateway atua como o primeiro passo para uma vantagem no mundo da Internet, pois conecta dispositivos
inteligentes a componentes de nuvem. É referido como um agregador de comunicação que permite a
comunicação com uma rede local segura e confiável, bem como

como uma conexão segura com uma rede pública não confiável. Ele também fornece uma camada de
segurança para todos os dispositivos conectados a ele. O gateway serve como um ponto de agregação para a
borda; portanto, tem um papel de segurança crucial no ecossistema.
Uma estrutura ideal para o gateway deve incorporar técnicas de criptografia fortes para comunicações seguras
entre terminais. Além disso, o mecanismo de autenticação para os componentes de borda deve ser tão forte
quanto qualquer outro componente da estrutura. Sempre que possível, o gateway deve ser projetado de forma
que seja autenticado multidirecionalmente para realizar uma comunicação confiável entre a borda e a nuvem.
Atualizações automáticas também devem ser fornecidas ao dispositivo para combater vulnerabilidades.
ÿ Plataforma Cloud
Em um ecossistema IoT, o componente de nuvem é referido como o ponto central de agregação e

gerenciamento de dados. O acesso à nuvem deve ser restrito. O componente de nuvem geralmente apresenta
maior risco, pois é o ponto central de agregação de dados para a maioria dos dados no ecossistema. Também
inclui um componente de comando e controle (C2), que é um computador centralizado que emite vários
comandos para a distribuição de extensões e atualizações.
Uma estrutura segura para o componente de nuvem deve incluir comunicações criptografadas, credenciais de
autenticação fortes, uma interface web segura, armazenamento criptografado, atualizações automáticas, etc.
ÿ Móvel
Em um ecossistema IoT, a interface móvel desempenha um papel importante, principalmente onde os dados
precisam ser coletados e gerenciados. Usando interfaces móveis, os usuários podem acessar e interagir com
o edge em sua casa ou local de trabalho a quilômetros de distância. Alguns aplicativos móveis fornecem aos
usuários apenas dados limitados de dispositivos de borda específicos, enquanto outros permitem a manipulação
completa dos componentes de borda. A devida atenção deve ser dada à interface móvel, pois eles são
propensos a vários ataques cibernéticos.
Uma estrutura ideal para a interface móvel deve incluir um mecanismo de autenticação adequado para o
usuário, um mecanismo de bloqueio de conta após um determinado número de tentativas malsucedidas,
segurança de armazenamento local, canais de comunicação criptografados e segurança dos dados transmitidos
pelo canal.

Gerenciamento de dispositivos IoT
ÿ O gerenciamento de dispositivos IoT ajuda no suporte a soluções IoT usando quaisquer ferramentas e
processos de software e ajuda na integração de dispositivos mais recentes com segurança e rapidez
Central de IoT do Azure

Dispositivo IoT
ÿ Oracle IoT Asset Monitoring Cloud

https:// www.oracle.com
ÿ Predix
https:// www.ge.com
ÿ Nuvem IoT Core

https:// cloud.google.com
ÿ IBM Watson IoT Platform

ÿ AT&T IoT Connectivity Management https://

www.business.att.com
https:// azure.microsoft.com
Gerenciamento de dispositivos IoT
O gerenciamento de dispositivos IoT ajuda os profissionais de segurança a rastrear, monitorar e gerenciar dispositivos IoT físicos a
partir de um local remoto. Os profissionais de segurança podem usar soluções como Azure IoT Central, Oracle IoT Asset Monitoring
Cloud e Predix para realizar o gerenciamento de dispositivos IoT.
Essas soluções permitem que os profissionais de segurança atualizem o firmware remotamente. Além disso, o gerenciamento de
dispositivos IoT ajuda a fornecer permissões e aprimorar os recursos de segurança para garantir a proteção contra várias vulnerabilidades.
O gerenciamento de dispositivos IoT pode ser muito útil na prevenção de ataques de IoT, pois pode fornecer:
ÿ Autenticação adequada, pois apenas dispositivos confiáveis e seguros com credenciais adequadas são
matriculado
ÿ Configuração precisa, dispositivos de controle para garantir a funcionalidade adequada e desempenho aprimorado. Ele também
pode redefinir as configurações de fábrica durante a desativação do dispositivo.
ÿ Monitoramento adequado para detectar falhas e diagnosticar problemas operacionais e bugs de software
através de logs de programa
ÿ Manutenção segura de dispositivos remotos e atualizações frequentes de dispositivos com as últimas

patches de segurança

Soluções de gerenciamento de dispositivos IoT
As soluções de gerenciamento de dispositivos IoT são usadas por profissionais de segurança, administradores de TI ou
administradores de IoT para integração, organização, monitoramento e gerenciamento de dispositivos IoT. Discutidos
abaixo estão algumas soluções de gerenciamento de dispositivos IoT:
ÿ Azure IoT Central
Fonte: https:// azure.microsoft.com
O Azure IoT Central é uma plataforma de software como serviço (SaaS) hospedada e extensível que simplifica a
configuração de soluções de IoT. Ele ajuda a conectar, monitorar e gerenciar facilmente ativos de IoT em escala.
O Azure IoT Central pode simplificar a configuração inicial de uma solução de IoT e pode reduzir a carga de
gerenciamento, os custos operacionais e as despesas gerais de um projeto típico de IoT.
Figura 9.10: captura de tela do Azure IoT Central
Listadas abaixo estão algumas das soluções adicionais para gerenciamento de dispositivos IoT:
ÿ Oracle IoT Asset Monitoring Cloud (https:// www.oracle.com)
Predix (https:// www.ge.com)
ÿ Cloud IoT Core (https:// cloud.google.com)
ÿ IBM Watson IoT Platform (https:// www.ibm.com)
ÿ AT&T IoT Connectivity Management (https:// www.business.att.com)

Melhores práticas de segurança IoT
1 2 3 4
Desative as contas de Use o recurso Implemente Localize redes e
usuário “convidado” e "Bloquear" para mecanismos de dispositivos do sistema de controle
“demo” se habilitadas bloquear contas para autenticação fortes atrás de firewalls e isolá-
tentativas de login inválidas excessivas los do
Rede de negócios
5 6 7 8
Implementar IPS e Implementar criptografia Usar arquitetura VPN Implante a segurança
IDS na rede de ponta a ponta e usar para seguro como um sistema
Chave pública comunicação unificado e integrado
Infraestrutura (PKI)
Melhores práticas de segurança IoT
ÿ Desative as contas de usuário “convidado” e “demo” se habilitadas
ÿ Use o recurso “Bloquear” para bloquear contas para tentativas de login inválidas excessivas
ÿ Implementar um forte mecanismo de autenticação
ÿ Localizar redes e dispositivos do sistema de controle atrás de firewalls e isolá-los do

Rede de negócios
ÿ Implementar IPS e IDS na rede
ÿ Implementar criptografia de ponta a ponta e usar infraestrutura de chave pública (PKI)
ÿ Use arquitetura VPN para comunicação segura
ÿ Implantar segurança como um sistema unificado e integrado
ÿ Permitir que apenas endereços IP confiáveis acessem o dispositivo pela Internet
ÿ Desabilitar telnet (porta 23)
ÿ Desabilite a porta UPnP nos roteadores
ÿ Proteger os dispositivos contra adulteração física
ÿ Corrigir vulnerabilidades e atualizar o firmware do dispositivo regularmente
ÿ Monitore o tráfego na porta 48101, pois os dispositivos infectados tentam espalhar o arquivo malicioso
usando a porta 48101
ÿ A posição dos nós móveis deve ser verificada com o objetivo de referir um nó físico com uma identidade de veículo
apenas, o que significa que um veículo não pode ter duas ou mais identidades

ÿ A privacidade de dados deve ser implementada; portanto, a conta ou identidade do usuário deve ser
mantidos protegidos e escondidos de outros usuários
ÿ A autenticação dos dados deve ser realizada para confirmar a identidade da fonte original
nó
ÿ Manter a confidencialidade dos dados usando criptografia de chave simétrica
ÿ Implemente uma política de senha forte que exija uma senha de pelo menos 8 a 10 caracteres
com uma combinação de letras, números e caracteres especiais
ÿ Use CAPTCHA e métodos de política de bloqueio de conta para evitar ataques de força bruta
ÿ Use dispositivos fabricados por fabricantes com histórico de conscientização de segurança
ÿ Isolar dispositivos IoT em redes protegidas

Ferramentas de segurança IoT
Bevywise IoT Bevywise IoT Simulator é uma ferramenta de simulação inteligível para simular
Simulador dezenas de milhares de clientes MQTT em uma única caixa
SeaCat.io
https:// teskalabs.com
Soluções de segurança DigiCert IoT

https:// www.digicert.com
FortiNAC
https:// www.fortinet.com
Darktrace
https:// www.darktrace.com
Defesa contra ameaças de IoT da

Cisco https:// www.cisco.com
https:// www.bevywise.com
Ferramentas de segurança IoT
A IoT não é a única gama de dispositivos conectados à Internet, mas também é uma tecnologia muito complexa e
em rápido crescimento. Para entender e analisar vários fatores de risco, soluções de segurança adequadas devem
ser incorporadas para proteger os dispositivos IoT. O uso de ferramentas de segurança IoT ajuda as organizações a
limitar significativamente as vulnerabilidades de segurança, protegendo assim os dispositivos e redes IoT de
diferentes tipos de ataques.
ÿ Simulador Bevywise IoT
Fonte: https:// www.bevywise.com
Bevywise IoT Simulator é uma ferramenta de simulação inteligível para simular dezenas de milhares de
clientes MQTT em uma única caixa. Ele pode ser usado para desenvolver, testar e demonstrar servidores e
gerenciadores de IoT. O IoT Simulator pode ser configurado para enviar mensagens em tempo real dentro
de um intervalo ou a partir de um conjunto aleatório de valores com base na hora e no cliente. Além disso,
ele pode simular mensagens dinâmicas em dois formatos de mensagem, ou seja, TXT e JSON, como
dispositivos IoT do mundo real. Para variar de forma flexível os dados publicados em cada sequência e para
sincronizar os dados com o dispositivo real, o IoT Simulator suporta quatro tipos de valores dinâmicos a
serem enviados como parte das mensagens: registro de data e hora da variável do sistema e identificador
do cliente, aleatório, intervalo, linear , e constante. Os eventos IoT podem ser configurados com um conjunto
de dados predefinido carregando um arquivo CSV.

Figura 9.11: captura de tela do Bevywise IoT Simulator
Listadas abaixo estão algumas das ferramentas e soluções adicionais de segurança IoT:
ÿ SeaCat.io (https:// teskalabs.com)
ÿ Soluções de segurança DigiCert IoT (https:// www.digicert.com)
ÿ FortiNAC (https:// www.fortinet.com)
ÿ Darktrace (https:// www.darktrace.com)
ÿ Cisco IoT Threat Defense (https:// www.cisco.com)

Resumo do Módulo
Este módulo discutiu os conceitos de IoT e por que as organizações optam por
1
ambientes habilitados para IoT
2 Ele discutiu as áreas de aplicação IoT e dispositivos IoT
Também discutiu a arquitetura IoT e a comunicação IoT

3
modelos
Este módulo também discutiu a segurança em ambientes habilitados para IoT e os

4
princípios de segurança de IoT empilhados
Ele discutiu brevemente as considerações de segurança da estrutura IoT e

5
do gerenciamento de dispositivos IoT
Finalmente, este módulo terminou com uma discussão detalhada sobre as melhores
6
práticas e ferramentas para segurança IoT
No próximo módulo, discutiremos em detalhes os conceitos de criptografia e PKI

7
Resumo do Módulo
Este módulo discutiu os conceitos de IoT e por que as organizações optam por ambientes habilitados para IoT.
Ele discutiu áreas de aplicação IoT, dispositivos IoT, arquiteturas IoT e modelos de comunicação IoT.
Além disso, este módulo discutiu a segurança em ambientes habilitados para IoT e os princípios de segurança
de IoT empilhados. Ele também discutiu brevemente as considerações de segurança da estrutura IoT e do
gerenciamento de dispositivos IoT. Finalmente, este módulo apresentou uma discussão detalhada sobre as
melhores práticas e ferramentas para segurança IoT.
No próximo módulo, discutiremos os conceitos de criptografia e PKI em detalhes.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 10
Criptografia e PKI

Criptografia e PKI
1 Noções básicas sobre técnicas criptográficas
Compreendendo a criptografia diferente

2 Algoritmos
3 Compreendendo os diferentes algoritmos de hash
Visão geral de diferentes ferramentas de criptografia e

4 calculadoras de hash
5 Compreendendo a infraestrutura de chave pública (PKI)
Noções básicas sobre assinaturas digitais e

6 certificados
Com a crescente adoção da Internet (World Wide Web) para comunicação empresarial e pessoal, proteger
informações confidenciais, como detalhes de cartão de crédito, PINs, números de contas bancárias e mensagens
privadas, está se tornando cada vez mais importante, embora mais difícil de conseguir. As organizações baseadas
em informações de hoje usam extensivamente a Internet para comércio eletrônico, pesquisa de mercado, suporte
ao cliente e uma variedade de outras atividades. A segurança dos dados é fundamental para os negócios online e
a privacidade das comunicações.
A criptografia e os sistemas criptográficos ("cripto") ajudam a proteger os dados contra interceptação e

comprometimento durante as transmissões online. Este módulo fornece uma compreensão abrangente de
diferentes criptosistemas e algoritmos, funções hash unidirecionais e infraestruturas de chave pública (PKIs). Ele
também abrange várias ferramentas usadas para criptografar dados confidenciais.
ÿ Descrever técnicas criptográficas
ÿ Compreender os diferentes algoritmos de encriptação
ÿ Compreender os diferentes algoritmos de hash
ÿ Use diferentes ferramentas de criptografia e calculadoras de hash
ÿ Explicar a infraestrutura de chave pública (PKI)
ÿ Compreender assinaturas digitais e certificados digitais

Criptografia e PKI
Fluxo do módulo
Discutir Criptografia Discutir vários

Técnicas
01 02 Algoritmos criptográficos
Discutir chave pública Discutir vários

Infraestrutura (PKI)
04 03 Ferramentas de Criptografia
Discutir técnicas criptográficas

A criptografia permite proteger transações, comunicações e outros processos realizados no
mundo eletrônico. Esta seção trata de criptografia e seus conceitos associados, o que permitirá
que você entenda os outros tópicos abordados posteriormente neste módulo.

Criptografia e PKI
Criptografia
ÿ Criptografia é a conversão de dados em um código embaralhado que é criptografado e enviado através de um
rede privada ou pública
ÿ A criptografia é usada para proteger dados confidenciais, como mensagens de e-mail, sessões de bate-papo,
transações, dados pessoais, dados corporativos e aplicativos de comércio eletrônico
Objetivos da Criptografia
ÿ Confidencialidade ÿ Autenticação
ÿ Integridade ÿ Não repúdio
Criptografia Descriptografia
Texto simples texto cifrado texto cifrado Texto simples
Criptografia
“Criptografia” vem das palavras gregas kryptos, que significa “oculto, oculto, velado, secreto ou misterioso” e
graphia, que significa “escrita”; assim, a criptografia é “a arte da escrita secreta”.
Criptografia é a prática de ocultar informações convertendo texto simples (formato legível) em texto cifrado (formato
ilegível) usando uma chave ou esquema de criptografia. É o processo de conversão de dados em um código
codificado que é criptografado e enviado por uma rede privada ou pública. A criptografia protege dados
confidenciais, como mensagens de e-mail, sessões de bate-papo, transações na web, dados pessoais, dados
corporativos, aplicativos de comércio eletrônico e muitos outros tipos de comunicação. As mensagens criptografadas
podem, às vezes, ser descriptografadas por criptoanálise (quebra de código), embora as técnicas modernas de
criptografia sejam virtualmente inquebráveis.
Objetivos da Criptografia
ÿ Confidencialidade: Garantia de que a informação é acessível apenas aos autorizados a

Acesse isso.
ÿ Integridade: Confiabilidade de dados ou recursos em termos de prevenção de

alterações não autorizadas.
ÿ Autenticação: Garantia de que a comunicação, documento ou dado é genuíno.
ÿ Não repúdio: Garantia de que o remetente de uma mensagem não pode negar posteriormente ter enviado
a mensagem e que o destinatário não pode negar ter recebido a mensagem.

Criptografia e PKI
Processo de Criptografia
O texto simples (formato legível) é criptografado por meio de algoritmos de criptografia como RSA, DES e
AES, resultando em um texto cifrado (formato ilegível) que, ao chegar ao destino, é descriptografado em
texto simples legível.
Figura 10.1: Exemplo de Criptografia

Criptografia e PKI
Criptografia
ÿ Criptografia é uma forma de proteger a informação , transformando-a de tal
forma que a forma transformada resultante seja ilegível para uma parte não
autorizada
ÿ Para criptografar dados, um algoritmo de criptografia usa uma chave para

realizar uma transformação nos dados
Tipos de Criptografia Criptografia
ÿ Criptografia Simétrica
ÿ Criptografia assimétrica Chave Simétrica (FEK)
Arquivo Criptografia Arquivo Criptografado
Chave pública do usuário

Arquivo criptografado
com FEK em
Cabeçalho
Criptografia
FEK criptografado
Criptografia
Criptografia é a prática de ocultar informações convertendo um texto simples (formato legível) em um

texto cifrado (formato ilegível) usando uma chave ou um esquema de criptografia. A criptografia garante
a confidencialidade e integridade dos dados da organização, em repouso ou em trânsito.
O algoritmo de criptografia criptografa o texto simples com a ajuda de uma chave de criptografia. O
processo de criptografia cria um texto cifrado que precisa ser descriptografado com a ajuda de uma
chave. O processo de descriptografia envolve as mesmas etapas, exceto pelo uso de chaves na ordem inversa.
Figura 10.2: Criptografia

Criptografia e PKI
O processo de criptografia geralmente é aplicado durante a transmissão de dados por meio de uma rede,
telefones celulares, transmissão sem fio e em dispositivos Bluetooth.
Tipos de Criptografia
Existem dois tipos de criptografia.
ÿ Criptografia Simétrica
ÿ Criptografia assimétrica

Criptografia e PKI
Criptografia Simétrica
ÿ Criptografia simétrica é a técnica criptográfica mais antiga usada para criptografar dados digitais para
garantir a confidencialidade dos dados
ÿ É chamada de criptografia simétrica, pois uma única chave é usada para criptografar e descriptografar os dados
ÿ É usado para criptografar grandes quantidades de dados
Tanto o remetente quanto o destinatário Descriptografado Olá

@##^%% criptografado
Como está
$$##%$
Mensagem Mensagem tu?
compartilham a mesma chave para
criptografar e descriptografar os dados
Remetente Receptor
(O remetente usa uma chave (O receptor descriptografa os dados

secreta para criptografar uma mensagem usando a chave secreta e lê a
confidencial e a envia ao destinatário) mensagem confidencial)
Criptografia Simétrica
A criptografia simétrica requer que tanto o remetente quanto o destinatário da mensagem possuam a mesma
chave de criptografia. O remetente usa uma chave para criptografar o texto simples e envia o texto cifrado
resultante para o destinatário, que usa a mesma chave para descriptografar o texto cifrado em texto simples.
A criptografia simétrica também é conhecida como criptografia de chave secreta, pois usa apenas uma chave
secreta para criptografar e descriptografar os dados. Esse tipo de criptografia funciona bem quando se está
se comunicando com apenas algumas pessoas.
Como o remetente e o destinatário devem compartilhar a chave antes de enviar qualquer mensagem, essa
técnica é de uso limitado na Internet no caso em que indivíduos que não tiveram contato prévio frequentemente
precisam de um meio seguro de comunicação. A solução para este problema é a criptografia de chave pública.
Figura 10.3: Criptografia Simétrica
A criptografia de chave simétrica pode usar cifras de fluxo ou cifras de bloco. As cifras de fluxo criptografam
os bits de uma mensagem um por vez, enquanto as cifras de bloco criptografam blocos de bits.

Criptografia e PKI
Vantagens:
ÿ
É fácil criptografar e descriptografar uma mensagem
ÿ
É mais rápido que a criptografia assimétrica
ÿ
É usado para criptografar grandes quantidades de dados
Desvantagens:
ÿ As partes comunicantes precisam compartilhar a chave usada para transmitir os dados
ÿ O acesso não autorizado a uma chave simétrica leva ao comprometimento dos dados em ambas as extremidades

Criptografia e PKI
Criptografia assimétrica
ÿ Ao contrário da criptografia simétrica, a criptografia assimétrica usa duas chaves separadas para
criptografia e descriptografia; uma chave, chamada chave pública, é usada para criptografar mensagens, enquanto a
segunda chave, chamada chave privada, é usada para descriptografar mensagens
ÿ Também é chamada de criptografia de chave pública e é usada para criptografar pequenas quantidades de dados
Chave pública Chave privada

O receptor seleciona uma chave pública e
Confidencial uma chave privada e envia a chave pública Confidencial
Mensagem Mensagem
ao remetente
Remetente Receptor
O remetente usa a chave pública O receptor descriptografa os dados

para criptografar a mensagem e a usando a chave privada e lê o
envia ao destinatário mensagem
Criptografia assimétrica
A criptografia assimétrica foi introduzida para resolver problemas de gerenciamento de chaves. A criptografia
assimétrica envolve uma chave pública e uma chave privada. A chave pública está disponível publicamente, enquanto
o remetente mantém a chave privada em segredo. Também é chamada de criptografia de chave pública e é usada
para criptografar pequenas quantidades de dados.
A criptografia assimétrica usa a seguinte sequência para enviar uma mensagem:
1. Um indivíduo encontra a chave pública da pessoa que deseja contatar em um diretório.
2. Essa chave pública é usada para criptografar uma mensagem enviada ao destinatário pretendido.
3. O destinatário usa a chave privada para descriptografar a mensagem para lê-la.
Ninguém, exceto o detentor da chave privada, pode descriptografar uma mensagem composta com a chave pública
correspondente. Isso aumenta a segurança das informações porque todas as comunicações envolvem apenas chaves
públicas; o remetente da mensagem nunca transmite ou compartilha as chaves privadas. O remetente deve vincular
as chaves públicas aos nomes de usuário em um método seguro para garantir que indivíduos não autorizados,
alegando ser o destinatário pretendido, não interceptem as informações. Para atender ao requisito de autenticação,
pode-se usar assinaturas digitais.

Criptografia e PKI
Figura 10.4: Criptografia assimétrica
Vantagens:
ÿ
É mais seguro do que a criptografia simétrica.
ÿ Não há necessidade de distribuir as chaves.
Desvantagens:
ÿ
Leva um tempo de processamento mais longo do que a criptografia simétrica, pois envolve várias
combinações de chaves secretas e chaves públicas.
ÿ Vários algoritmos complexos envolvidos no processo de criptografia assimétrica também aumentam o tempo
necessário para implementá-lo.

Criptografia e PKI
Acesso do Governo às Chaves (GAK)

GAK significa que as empresas de software fornecerão cópias de todas as chaves
(ou pelo menos uma proporção suficiente de cada chave para que o restante possa
ser quebrado) ao governo
O governo promete que manterá as chaves de maneira segura e só as

usará quando um tribunal emitir um mandado para fazê-lo
Para o governo, isso é semelhante à capacidade de grampear telefones
Chave criptográfica
Item A Item B Item C Item D Item E …

Itens aos quais o GAK tem direito de acesso Itens aos quais o GAK NÃO tem direito de acesso
Acesso do Governo às Chaves (GAK)
Government Access to Keys (GAK) refere-se à obrigação estatutária de indivíduos e organizações de divulgar
suas chaves criptográficas a agências governamentais. Isso significa que as empresas de software fornecerão
cópias de todas as chaves (ou pelo menos o suficiente da chave para que o restante possa ser quebrado) ao
governo. Agências de aplicação da lei em todo o mundo adquirem e usam essas chaves criptográficas para
monitorar comunicações suspeitas e coletar evidências de crimes cibernéticos no interesse da segurança
nacional. O governo promete que manterá as chaves de maneira segura e só as usará quando um tribunal
emitir um mandado para fazê-lo. Para o governo, essa questão é semelhante à capacidade de grampear
telefones.
As agências governamentais costumam usar o depósito de chaves para acesso ininterrupto às chaves. O
depósito de chaves é um acordo de troca de chaves no qual as chaves criptográficas essenciais são
armazenadas com um terceiro em depósito. O terceiro pode usar ou permitir que outros usem as chaves de
criptografia sob certas circunstâncias predefinidas. O terceiro, no que diz respeito ao GAK, geralmente é uma
agência governamental que pode usar as chaves de criptografia para decifrar evidências digitais sob
autorização ou mandado de um tribunal. No entanto, há uma preocupação crescente com a privacidade e a
segurança das chaves e informações criptográficas. As agências governamentais são responsáveis por
proteger essas chaves. Essas agências geralmente usam uma única chave para proteger outras chaves, o que
não é uma boa ideia, pois revelar uma única chave pode expor as outras chaves.
Essas agências não estão cientes de quão confidenciais são as informações protegidas pelas chaves, o que
torna difícil julgar quanta proteção é necessária. Nos casos em que as chaves apreendidas também protegem
outras informações às quais essas agências não têm direito de acesso, as consequências da revelação da
chave não podem ser determinadas, porque as agências governamentais não têm conhecimento das
informações que as chaves protegem. Nesses casos, o proprietário da chave é responsável pelas consequências
da revelação da chave. Antes que os proprietários entreguem suas chaves às agências governamentais, eles precisam ser

Criptografia e PKI
assegurado de que as agências governamentais protegerão essas chaves de acordo com um padrão
suficientemente forte para proteger seus interesses.
Figura 10.5: Ilustração do GAK

Criptografia e PKI
Fluxo do módulo

01 02
Técnicas Algoritmos criptográficos

04 03
Infraestrutura (PKI) Ferramentas de Criptografia
Discutir vários algoritmos criptográficos

Criptografia é o processo de conversão de texto simples legível em texto cifrado ilegível usando
um conjunto de algoritmos complexos que transformam os dados em blocos ou fluxos de
caracteres alfanuméricos aleatórios. Esta seção lida com cifras e vários algoritmos de criptografia,
como DES, AES, RC4, RC5, RC6, DSA, RSA, MD5, MD6, SHA, etc.

Criptografia e PKI
cifras
Tipos de cifras
Cifras são algoritmos usados

Cifras Modernas para criptografar ou descriptografar os dados
Com base no tipo de

Cifras Clássicas chave usada
cifra de substituição Com base no tipo de

Chave privada
dados de entrada
Um bloco de texto simples é
A mesma chave é usada
substituído por texto cifrado
para criptografia e descriptografia
Bloco de Cifra
Criptografa blocos de
cifra de transposição Chave pública dados de tamanho fixo
As letras do texto simples são

Duas chaves diferentes
deslocadas para formar o Cifra de fluxo
são usadas para criptografar
criptograma e descriptografar
Criptografa fluxos
contínuos de dados
cifras
Na criptografia, uma cifra é um algoritmo (uma série de etapas bem definidas) para executar criptografia
e descriptografia. Codificação é o processo de conversão de texto sem formatação em uma cifra ou
código; o processo inverso é chamado de decifração. Uma mensagem criptografada usando uma cifra
torna-se ilegível, a menos que seu destinatário conheça a chave secreta necessária para descriptografá-la.
As tecnologias de comunicação (por exemplo, Internet, telefones celulares) dependem de cifras para manter
a segurança e a privacidade. Os algoritmos de cifra podem ser de código aberto (o processo algorítmico é
de domínio público enquanto a chave é selecionada por um usuário e é privada) ou de código fechado (o
processo é desenvolvido para uso em domínios específicos, como o militar e o algoritmo em si não é de
domínio público). Além disso, as cifras podem ser gratuitas para uso público ou licenciadas.

Criptografia e PKI
Tipos de cifras
Figura 10.6: Classificação das cifras
As cifras são de dois tipos principais: clássicas e modernas.
ÿ Cifras Clássicas
Cifras clássicas são o tipo mais básico de cifras, que operam em letras do alfabeto (A-Z). Essas cifras
são geralmente implementadas manualmente ou com dispositivos mecânicos simples. Como essas cifras
são facilmente decifradas, geralmente não são confiáveis.
Tipos de cifras clássicas
o Cifra de substituição: O usuário substitui unidades de texto claro por texto cifrado de acordo com um
sistema regular. As unidades podem ser letras isoladas, pares de letras ou combinações delas, e
assim por diante. O destinatário realiza a substituição inversa para decifrar o texto.
Exemplos incluem a cifra de Beale, a cifra de chave automática, a cifra de Gronsfeld e a cifra de Hill.
Por exemplo, “HELLO WORLD” pode ser criptografado como “PSTER HGFST” (isto é, H=P, E=S,
etc.).
o Cifra de transposição: Aqui, as letras do texto simples são reorganizadas de acordo com um sistema
regular para produzir o texto cifrado. Por exemplo, “CRYPTOGRAPHY” quando criptografado torna
-se “AOYCRGPTYRHP”. Exemplos incluem a cifra de cerca ferroviária, cifra de rota e transposição
de Myszkowski.
ÿ Cifras Modernas
As cifras modernas são projetadas para resistir a uma ampla gama de ataques. Eles fornecem sigilo de
mensagem, integridade e autenticação do remetente. Um usuário pode calcular uma cifra moderna
usando uma função matemática unidirecional capaz de fatorar grandes números primos.

Criptografia e PKI
Tipos de cifras modernas
o Com base no tipo de chave usada
• Algoritmos de chave simétrica (criptografia de chave privada): Use a mesma chave para
criptografia e descriptografia.
• Algoritmos de chave assimétrica (criptografia de chave pública): Use duas chaves diferentes
para criptografia e descriptografia.
o Com base no tipo de dados de entrada
• Block cipher: Algoritmos determinísticos operando em um bloco (um grupo de bits) de tamanho fixo
com uma transformação invariável especificada por uma chave simétrica. A maioria das cifras
modernas são cifras de bloco. Eles são amplamente usados para criptografar dados em massa.
Os exemplos incluem DES, AES, IDEA, etc. Quando o tamanho do bloco é menor que o usado
pela cifra, o preenchimento é empregado para atingir um tamanho de bloco fixo.
• Cifra de fluxo: cifras de chave simétrica são dígitos de texto simples combinados com um fluxo de
chave (fluxo de dígitos de cifra pseudo-aleatória). Aqui, o usuário aplica a chave a cada bit, um de
cada vez. Exemplos incluem RC4, SEAL, etc.

Criptografia e PKI
Criptografia de dados
Padrão (DES)
DES é projetado para cifrar e decifrar blocos de dados que consistem em 64 bits sob o controle de uma chave de 56 bits
DES é a cifra de bloco arquetípica - um algoritmo que pega uma string de tamanho fixo de bits de texto simples e a transforma
em uma string de bits de texto cifrado do mesmo tamanho
Devido à fraqueza inerente do DES com as tecnologias atuais, algumas organizações repetem o processo três vezes
(3DES) para maior resistência até que eles possam atualizar seus equipamentos para recursos AES
Padrão de criptografia de dados (DES)
DES é um padrão para criptografia de dados que usa uma chave secreta para criptografar e descriptografar
(sistema criptográfico simétrico). O DES usa uma chave secreta de 64 bits, dos quais 56 bits são gerados
aleatoriamente e os outros 8 bits são usados para detecção de erros. Ele usa um algoritmo de criptografia de
dados (DEA), uma cifra de bloco de chave secreta que emprega uma chave de 56 bits operando em blocos de
64 bits. DES é a cifra de bloco arquetípica - um algoritmo que pega uma string de tamanho fixo de bits de texto
simples e a transforma em uma string de bits de texto cifrado do mesmo tamanho. O design do DES permite aos
usuários implementá-lo em hardware e usá-lo para criptografia de usuário único, como armazenar arquivos em
um disco rígido em formato criptografado.
O DES fornece 72 quatrilhões ou mais chaves de criptografia possíveis e escolhe uma chave aleatória para a
criptografia de cada mensagem. Devido à fraqueza inerente do DES em relação às tecnologias de hoje, algumas
organizações usam DES triplo (3DES), no qual repetem o processo três vezes para aumentar a força até que
possam atualizar seus equipamentos para os recursos do AES.

Criptografia e PKI
Padrão Avançado de Criptografia (AES)
ÿ AES é uma chave simétrica ÿ AES é uma cifra de bloco iterada ÿ Tem um tamanho de bloco de 128 bits
algoritmo usado pelas agências do que funciona repetindo a mesma com tamanhos de chave de 128, 192
governo dos EUA para proteger informações operação várias vezes e 256 bits para AES-128,
confidenciais, mas não classificadas AES-192 e AES-256,
material respectivamente
Padrão Avançado de Criptografia (AES)
O padrão de criptografia avançada (AES) é uma especificação do Instituto Nacional de Padrões e Tecnologia (NIST)
para a criptografia de dados eletrônicos. Também ajuda a criptografar informações digitais, como dados de
telecomunicações, financeiros e governamentais. Agências do governo dos EUA têm usado para proteger material
sensível, mas não classificado.
Um AES consiste em um algoritmo de chave simétrica no qual a criptografia e a descriptografia são realizadas
usando a mesma chave. É uma cifra de bloco iterada que funciona repetindo as etapas definidas várias vezes. Ele
tem um tamanho de bloco de 128 bits, com tamanhos de chave de 128, 192 e 256 bits, respectivamente, para
AES-128, AES-192 e AES-256. O design do AES torna seu uso eficiente tanto em software quanto em hardware.
Funciona em várias camadas de rede simultaneamente.

Criptografia e PKI
Algoritmos RC4, RC5 e RC6

Algoritmo RC5
ÿ Um fluxo de chave simétrica de tamanho de chave variável

RC4 cifra com operações orientadas a byte e é baseada no uso
de uma permutação aleatória
ÿ É um algoritmo parametrizado com tamanho de bloco variável,

RC5 tamanho de chave variável e número variável de rodadas. O
tamanho da chave é de 128 bits
ÿ RC6 é uma cifra de bloco de chave simétrica derivada de

RC5 com dois recursos adicionais:
RC6
ÿ multiplicação inteira
ÿ quatro registradores de trabalho de 4 bits (RC5 usa

dois registradores de 2 bits)
Algoritmos RC4, RC5 e RC6
Os algoritmos de criptografia simétrica desenvolvidos pela RSA Security são discutidos abaixo.
ÿ RC4
RC4 é uma cifra de fluxo de chave simétrica de tamanho de chave variável com operações orientadas a byte e é
baseada no uso de uma permutação aleatória. De acordo com algumas análises, é provável que o período da cifra
seja superior a 10.100. Cada byte de saída usa de 8 a 16 operações do sistema; assim, a cifra pode ser executada
rapidamente quando usada em software. O RC4 permite comunicações seguras, como para criptografia de tráfego
(que protege sites) e para sites que usam o protocolo SSL.
ÿ RC5
RC5 é uma cifra de bloco de chave simétrica rápida projetada por Ronald Rivest para RSA Data Security (agora RSA
Security). O algoritmo é um algoritmo parametrizado com um tamanho de bloco variável, um tamanho de chave
variável e um número variável de rodadas. Os tamanhos de bloco podem ser 32, 64 ou 128 bits. O intervalo das
rodadas pode variar de 0 a 255, e o tamanho da chave pode variar de 0 a 2.040 bits. Essa variabilidade integrada
pode oferecer flexibilidade em todos os níveis de segurança. As rotinas usadas no RC5 são expansão de chave,
criptografia e descriptografia.
Na rotina de expansão de chaves, a chave secreta que um usuário fornece é expandida para preencher a tabela de
chaves (cujo tamanho depende do número de rodadas). O RC5 usa uma tabela de chaves para criptografia e
descriptografia. A rotina de criptografia possui três operações fundamentais: adição de inteiros, XOR bit a bit e rotação
de variáveis. O uso intensivo de rotação dependente de dados e a combinação de diferentes operações tornam o RC5
um algoritmo de criptografia seguro.

Criptografia e PKI
Figura 10.7: Diagrama de blocos do algoritmo RC5
ÿ RC6
RC6 é uma cifra de bloco de chave simétrica derivada de RC5. É um algoritmo parametrizado com tamanho de bloco,
tamanho de chave e número de rodadas variáveis. Dois recursos que diferenciam o RC6 do RC5 são a multiplicação
inteira (que é usada para aumentar a difusão, alcançada em menos rodadas com maior velocidade da cifra) e o uso
de quatro registradores de trabalho de 4 bits em vez de dois registradores de 2 bits. O RC6 usa quatro registradores
de 4 bits em vez de dois registradores de 2 bits porque o tamanho do bloco do AES é de 128 bits.

Criptografia e PKI
Algoritmo de Assinatura Digital (DSA) e

Rivest Shamir Adleman (RSA)
Assinatura digital Rivest-Shamir

Algoritmo (DSA) Adleman (RSA)
ÿ Informações Federais ÿ RSA é um sistema de

Processing Standard (FIPS) criptografia e
186-2 especifica o algoritmo autenticação da Internet
de assinatura digital (DSA) que usa um algoritmo
que pode ser usado na desenvolvido por Ron Rivest,
geração e verificação de Adi Shamir e Leonard
assinaturas digitais para Adleman
aplicativos confidenciais e não
ÿ É comumente usado e é um dos
classificados
padrões de criptografia de
fato
Algoritmo de Assinatura Digital (DSA)
O algoritmo de assinatura digital (DSA) é um padrão de processamento de informações federais (FIPS) para
assinaturas digitais. O NIST propôs o DSA para utilizá-lo no padrão de assinatura digital (DSS), adotado como FIPS
186. O DSA auxilia na geração e verificação de assinaturas digitais em aplicações sensíveis e não classificadas. Ele
cria uma assinatura digital de 320 bits com segurança de 512–1024 bits.
Uma assinatura digital é um esquema matemático usado para autenticar mensagens digitais.
O cálculo de uma assinatura digital usa um conjunto de regras (ou seja, o DSA) e um conjunto de parâmetros, com
os quais um usuário pode verificar a identidade do signatário e a integridade dos dados.
Processos envolvidos no DSA:
ÿ Processo de geração de assinatura: Uma chave privada é usada para assinar a mensagem digital.
ÿ Processo de verificação de assinatura: Uma chave pública é usada para verificar se a assinatura digital
fornecida é genuína.
O DSA é um sistema criptográfico de chave pública, pois envolve o uso de chaves públicas e privadas.
Benefícios do DSA:
ÿ Menos hipóteses de falsificação do que no caso de assinatura escrita
ÿ Método rápido e fácil para transações comerciais
ÿ Problema de moeda falsa pode ser drasticamente reduzido

Criptografia e PKI
Rivest Shamir Adleman (RSA)
Ron Rivest, Adi Shamir e Leonard Adleman formularam o RSA, um sistema criptográfico de chave pública para criptografia
e autenticação na Internet. O RSA usa uma aritmética modular e uma teoria elementar dos números para realizar cálculos
usando dois grandes números primos. O sistema RSA é amplamente utilizado em uma variedade de produtos, plataformas
e setores e é um dos padrões de criptografia de fato. Empresas como Microsoft, Apple, Sun e Novell incorporam o algoritmo
RSA em seus sistemas operacionais. O RSA também pode ser encontrado em telefones protegidos por hardware, placas
de rede ethernet e cartões inteligentes.
A sequência a seguir é um exemplo de como a criptografia usa o algoritmo RSA em uma troca prática:
ÿ O remetente criptografa uma mensagem usando uma chave simétrica DES escolhida aleatoriamente. O DES é um
sistema de chave simétrica relativamente inseguro que usa criptografia de 64 bits (56 bits para comprimento de
chave, 8 bits para verificação de redundância cíclica) para criptografar dados.
ÿ O remetente então procura a chave pública do destinatário e a usa para criptografar a chave DES
utilizando o sistema RSA.
ÿ O remetente transmite um envelope digital RSA, consistindo em uma mensagem criptografada por DES
e uma chave DES criptografada com RSA para o destinatário.
ÿ O destinatário descriptografa a chave DES usando sua chave privada RSA e a usa para descriptografar a própria
mensagem.
Esse sistema combina a alta velocidade do DES com a conveniência do gerenciamento de chaves do sistema RSA.

Criptografia e PKI
MD5 e MD6
ÿ O algoritmo MD5 recebe uma mensagem de comprimento arbitrário como entrada e, em seguida, gera uma impressão digital de 128 bits ou
resumo da mensagem da entrada
ÿ MD5 não é resistente a colisões; o uso dos algoritmos mais recentes, como MD6, SHA-2 e SHA-3, é recomendado ÿ O MD6 usa uma
estrutura tipo árvore Merkle para permitir imensa computação paralela de hashes para entradas muito longas.
É resistente a ataques de criptoanálise diferencial ÿ MD5 e
MD6 são implantados para aplicativos de assinatura digital, verificação de integridade de arquivo e armazenamento de senhas
Gerador e verificador de hash MD5 e SHA1
Remetente
Receptor
http:// onlinemd5.com
Algoritmo MD5
MD5 e MD6
MD2, MD4, MD5 e MD6 são algoritmos de compilação de mensagens usados em aplicativos de assinatura digital
para compactar um documento com segurança antes que o sistema o assine com uma chave privada. Os algoritmos
podem ter comprimento variável, mas o resumo da mensagem resultante sempre tem um tamanho de 128 bits.
As estruturas de todos os três algoritmos (MD2, MD4 e MD5) parecem semelhantes, embora o projeto de MD2 seja
razoavelmente diferente do de MD4 e MD5. MD2 suporta máquinas de 8 bits, enquanto MD4 e MD5 suportam
máquinas de 32 bits. O algoritmo preenche a mensagem com bits extras para garantir que o número de bits seja
divisível por 512. Os bits extras podem incluir uma mensagem binária de 64 bits.
Os ataques às versões do MD4 tornaram-se cada vez mais bem-sucedidos. A pesquisa mostrou como um invasor
lança ataques de colisão na versão completa do MD4 em um minuto em um PC típico.
O MD5 é um pouco mais seguro, mas é mais lento que o MD4. No entanto, o tamanho do resumo da mensagem e os
requisitos de preenchimento permanecem os mesmos.
MD5 é uma função hash criptográfica amplamente usada que recebe uma mensagem de comprimento arbitrário como
entrada e gera uma impressão digital de 128 bits (16 bytes) ou resumo de mensagem da entrada. O MD5 pode ser
usado em uma ampla variedade de aplicativos criptográficos e é útil para aplicativos de assinatura digital, verificação
de integridade de arquivos e armazenamento de senhas. No entanto, o MD5 não é resistente a colisões; portanto, é
melhor usar os algoritmos mais recentes, como MD6, SHA-2 e SHA-3.
O MD6 usa uma estrutura semelhante à Merkle-tree para permitir a computação paralela em larga escala de hashes
para entradas muito longas. É resistente a ataques de criptoanálise diferencial.
Para calcular a eficácia das funções de hash, verifique a saída produzida quando o algoritmo randomiza uma
mensagem de entrada arbitrária.

Criptografia e PKI
A seguir estão exemplos de resumos de mensagens minimamente diferentes:
ÿ echo “Há CHF1500 no bo azul” | md5sum

e41a323bdf20eadafd3f0e4f72055d36
ÿ echo “Há CHF1500 na caixa azul” | md5sum

7a0da864a41fd0200ae0ae97afd3279d
ÿ echo “Há CHF1500 na caixa azul.” | md5sum

2db1ff7a70245309e9f2165c6c34999d
Mesmo textos minimamente diferentes produzem códigos MD5 radicalmente diferentes.
Figura 10.8: Verificando MD5

Hash Observação: resumos de mensagem também são chamados de funções hash unidirecionais porque não podem
ser revertidos.
Figura 10.9: Trabalho de resumos de mensagens

Criptografia e PKI
Algoritmo de hash seguro (SHA)

ÿ Este algoritmo gera um hash unidirecional criptograficamente seguro; foi publicado pelo jornal Nacional
Instituto de Padrões e Tecnologia como um padrão de processamento de informações federal dos EUA
SHA-1
ÿ Produz um resumo de 160 bits de uma mensagem com comprimento máximo de
(264 ÿ 1) bits, e se assemelha ao algoritmo MD5
BEBER SHA-2
ÿ É uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou seja,
SHA-256, que usa palavras de 32 bits e SHA-512, que usa palavras de 64 bits
SHA-3
ÿ SHA-3 usa a construção de esponja, na qual os blocos de mensagem são XORed nos bits
iniciais do estado, que é então permutado invertidamente
Algoritmo de hash seguro (SHA)
O NIST desenvolveu o Secure Hash Algorithm (SHA), especificado no Secure Hash Standard (SHS) e publicado
como um padrão federal de processamento de informações (FIPS PUB 180). Ele gera um hash unidirecional
criptograficamente seguro. Rivest desenvolveu o SHA, que é semelhante à família de algoritmos de compilação de
mensagens de funções de hash. É um pouco mais lento que o MD5, mas seu resumo de mensagem maior o torna
mais seguro contra colisões de força bruta e ataques de inversão.
A criptografia SHA é uma série de cinco funções criptográficas diferentes e atualmente possui três gerações:
SHA-1, SHA-2 e SHA-3.
ÿ SHA-0: Retrônimo aplicado à versão original da função hash de 160 bits publicada em 1993 sob o nome de
SHA, que foi retirada do mercado devido a uma “falha significativa” não revelada . Ele foi substituído
por uma versão ligeiramente revisada, ou seja, SHA-1.
ÿ SHA-1: É uma função hash de 160 bits que se assemelha ao antigo algoritmo MD5 desenvolvido por Ron
Rivest. Ele produz um resumo de 160 bits de uma mensagem com um comprimento máximo de (264 - 1)
bits. Ele foi projetado pela Agência de Segurança Nacional (NSA) para fazer parte do Algoritmo de
Assinatura Digital (DSA). É mais comumente usado em protocolos de segurança como PGP, TLS, SSH e
SSL. A partir de 2010, SHA-1 não é mais aprovado para uso criptográfico por causa de suas fraquezas
criptográficas.
ÿ SHA-2: SHA2 é uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou
seja, SHA-256, que usa palavras de 32 bits, e SHA-512, que usa palavras de 64 bits. As versões truncadas
de cada padrão são SHA-224 e SHA-384.
ÿ SHA-3: SHA-3 usa construção de esponja na qual os blocos de mensagem são XORed nos bits iniciais do
estado, que o algoritmo então permuta de forma invertida. Ele suporta o

Criptografia e PKI
mesmos comprimentos de hash do SHA-2, mas difere consideravelmente em sua estrutura interna
do restante da família SHA.
Comparação das funções SHA (SHA-0, SHA-1, SHA-2 e SHA-3).
interno
Bloquear Máximo
Tamanho de Estado
Algoritmo e variante Tamanho tamanho da Rodadas Operações Segurança (bits)
saída (bits)
(bits) mensagem (bits)
tamanho (bits)
32
128 Adicionar modo 2 ,
64 <=18 (colisões
MD5 (como referência) 128 512 2 -1 64 e, ou, xor,
(4*32) encontradas)
podridão
32
160 Adicionar mod ,
64 <34 (colisões
SHA-0 160 512 2 -1 80 2 e, ou, xor, rot
(5*32) encontradas)
32
160 Adicionar modo 2 ,
64 <63 (colisões
SHA-1 160 512 2 -1 80 e, ou, xor,
(5*32) encontradas)
podridão
32
SHA-224 224 256 64
Adicione mod , 112
512 2 -1 64 2 e, ou, xor,
SHA-256 256 (8*32) 128
shr, rot
SHA-2 SHA-384 384 192
SHA-512 512 512 128

Adicionar mod 264 , 256
1024 2 -1 80 e, ou, xor, shr,
SHA-512/224 224 (8*64) 112
podridão.
SHA-512/256 256 128
SHA3-224 224 1152 112
SHA3-256 256 1088 128

1600
SHA3-384 384 832 192
E, xor, não,
SHA-3 ÿ
24
(5*5*64)
SHA3-512 512 576 podridão
256
SHAKE128 d(arbitrário) 1344 Min(d/2.128)
sHAKE256 d(arbitrário) 1088 Min(d/2.256)
Tabela 10.1: Comparação entre funções SHA

Criptografia e PKI
HMAC
O código de autenticação de mensagem baseado em hash (HMAC) é um
tipo de código de autenticação de mensagem (MAC) que faz uso de uma chave
criptográfica em combinação com uma função hash criptográfica
Esse algoritmo inclui uma função de hash incorporada, como

SHA-1 ou MD5
A força do HMAC depende da função de hash incorporada, tamanho da

chave e tamanho da saída de hash
Como o HMAC executa a função de hash subjacente duas vezes, ele protege os
dados de vários ataques de extensão de comprimento
HMAC
O código de autenticação de mensagem baseado em hash (HMAC) é um tipo de código de autenticação de

mensagem (MAC) que usa uma chave criptográfica junto com uma função hash criptográfica. É amplamente
utilizado para verificar a integridade dos dados e autenticação de uma mensagem. Esse algoritmo inclui uma
função de hash incorporada, como SHA-1 ou MD5. A força do HMAC depende da função de hash incorporada,
tamanho da chave e tamanho da saída de hash.
O HMAC inclui dois estágios para calcular o hash. A chave de entrada é processada para produzir duas chaves,
ou seja, a chave interna e a chave externa. O primeiro estágio do algoritmo insere a chave interna e a mensagem
para produzir um hash interno. O segundo estágio do algoritmo insere a saída do primeiro estágio e a chave
externa e produz o código HMAC final.
Como o HMAC executa a função de hash subjacente duas vezes, ele oferece proteção contra vários ataques de
extensão de comprimento. O tamanho da chave e a saída dependem da função hash incorporada, por exemplo,
128 ou 160 bits no caso de MD5 ou SHA-1, respectivamente.

Criptografia e PKI
Fluxo do módulo

01 02

04 03
Discutir várias ferramentas de criptografia

Esta seção trata de várias ferramentas de criptografia que você pode usar para criptografar dados confidenciais
para protegê-los contra acesso não autorizado por qualquer parte que não seja a pessoa a quem se destina.

Criptografia e PKI
Calculadoras de hash MD5 e MD6

Calculadora MD5
Gerador de Hash MD6
https:// www.browserling.com
Todos os geradores de
hash https:// www.browserling.com
Gerador de Hash MD6

https:// convert-tool.com
https:// www.bullzip.com
gerador de hash md5

https:// onlinehashtools.com
HashMy
arquivos
HashCalc
https:// www.slavasoft.com
https:// www.nirsoft.net
Calculadoras de hash MD5 e MD6
As calculadoras de hash MD5 e MD6 que usam diferentes algoritmos de hash para converter texto sem formatação em
seu valor de hash equivalente são discutidas abaixo.
ÿ Calculadora MD5
Fonte: https:// www.bullzip.com
MD5 Calculator é um aplicativo simples que calcula o hash MD5 de um determinado arquivo. Ele pode ser usado
com arquivos grandes (por exemplo, vários gigabytes de tamanho). Possui um contador de progresso e um
campo de texto do qual o hash MD5 final pode ser facilmente copiado para a área de transferência.
MD5 Calculator pode ser usado para verificar a integridade de um arquivo.
Ele permite que você calcule o valor de hash MD5 do arquivo selecionado. Clique com o botão direito do mouse
no arquivo e escolha "Calculadora MD5;" o programa calculará o hash MD5. O campo MD5 Digest contém o
valor calculado. Para comparar este resumo MD5 com outro, pode-se colar o outro valor no campo Compare To.
Obviamente, um sinal de igual (“=”) aparece entre os dois valores se forem iguais; caso contrário, o sinal de
menor que (“<”) ou maior que (“>”) indicará que os valores são diferentes.

Criptografia e PKI
Figura 10.10: captura de tela da calculadora MD5
ÿ HashMyFiles
Fonte: https:// www.nirsoft.net
HashMyFiles é um utilitário que permite calcular os hashes MD5 e SHA1 de um ou mais arquivos no sistema.
Ele permite que você copie a lista de hash MD5/SHA1 para a área de transferência ou salve-a em um
arquivo text/html/xml. Você pode iniciar HashMyFiles no menu de contexto do Windows Explorer e exibir os
hashes MD5/SHA1 dos arquivos ou pastas selecionados.
Figura 10.11: captura de tela do HashMyFiles
Algumas calculadoras de hash MD5 e MD6 adicionais são as seguintes:
ÿ MD6 Hash Generator (https:// www.browserling.com)
ÿ All Hash Generator (https:// www.browserling.com)
ÿ MD6 Hash Generator (https:// convert-tool.com)
ÿ gerador de hash md5 (https:// onlinehashtools.com)
ÿ HashCalc (https:// www.slavasoft.com)

Criptografia e PKI
Calculadoras de hash para dispositivos móveis
Ferramentas de hash Hash Droid

Verificador de
Hash https:// play.google.com
Hashr - Calculadora de hash e soma de

verificação https:// play.google.com
Hash Calc
https:// play.google.com
Gerador de hash - Calculadora de soma de

verificação https:// play.google.com
Verificador inteligente de
hash https:// play.google.com
Calculadoras de hash para dispositivos móveis
Algumas calculadoras de hash para dispositivos móveis são discutidas abaixo.
ÿ Ferramentas de Hash
Fonte: https:// play.google.com
Hash Tools é um utilitário para calcular um hash de um determinado texto ou descriptografar um hash para seu texto
original. Neste aplicativo, as funções hash disponíveis são MD5, SHA-1, SHA-256, SHA-384 e SHA-512.
Figura 10.12: captura de tela das ferramentas de hash

Criptografia e PKI
ÿ Hash Droid
Fonte: https:// play.google.com
O utilitário Hash Droid ajuda a calcular um hash de um determinado texto ou arquivo armazenado no
dispositivo. Neste aplicativo, as funções hash disponíveis são Adler-32, CRC-32, Haval-128, MD2, MD4,
MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA-256, SHA-384, SHA-512 , Tiger e Whirlpool.
Figura 10.13: captura de tela do Hash Droid
Algumas calculadoras de hash MD5 adicionais são as seguintes:
ÿ Verificador de Hash (https:// play.google.com)
ÿ Hashr - Calculadora de Hash e Soma de Verificação (https:// play.google.com)
ÿ Hash Calc (https:// play.google.com)
ÿ Gerador de hash - Calculadora de soma de verificação (https:// play.google.com)
ÿ Hash Smart Checker (https:// play.google.com)

Criptografia e PKI
Ferramentas de Criptografia
BCTextEncoder
AxCrypt
ÿ Criptografa texto confidencial em sua https:// axcrypt.net
mensagem ÿ Usa fortes algoritmos simétricos e de chave pública para criptografia de dados
Ferramentas de criptografia da
Microsoft https:// docs.microsoft.com
Corretivo
https:// www.belightsoft.com
CryptoForge
https:// www.cryptoforge.com
Cyphertop
https:// cyphertop.com
https:// www.jetico.com
Ferramentas de Criptografia
Você pode usar várias ferramentas criptográficas para criptografar e descriptografar suas informações, arquivos etc.
Essas ferramentas implementam diferentes tipos de algoritmos de criptografia.
ÿ BCTextEncoder
Fonte: https:// www.jetico.com
O utilitário BCTextEncoder simplifica a codificação e decodificação de dados de texto. Ele compacta, criptografa
e converte dados de texto simples em formato de texto, que o usuário pode copiar para a área de transferência
ou salvar como um arquivo de texto. Ele usa métodos de criptografia de chave pública, bem como criptografia
baseada em senha. Além disso, ele usa algoritmos simétricos e de chave pública fortes e aprovados para
criptografia de dados.

Criptografia e PKI
Figura 10.14: Captura de tela do BCTextEncoder
Algumas ferramentas de criptografia adicionais são as seguintes:
ÿ AxCrypt (https:// axcrypt.net)
ÿ Ferramentas de criptografia da Microsoft (https:// docs.microsoft.com)
ÿ Corretivo (https:// www.belightsoft.com)
ÿ CryptoForge (https:// www.cryptoforge.com)
ÿ Cyphertop (https:// cyphertop.com)

Criptografia e PKI
Fluxo do módulo

01 02

04 03
Discutir Infraestrutura de Chave Pública (PKI)

Esta seção trata da infraestrutura de chave pública (PKI) e da função de cada componente da PKI e
das autoridades de certificação.

Criptografia e PKI
Assinatura digital
O remetente usa a chave privada Chave privada
ÿ As assinaturas digitais usam os algoritmos de chave assimétrica para
para "assinar" a mensagem e envia
fornecer integridade de dados a mensagem e a assinatura para
um destinatário Confidencial
Mensagem
ÿ Uma função de assinatura específica é adicionada ao assimétrico
algoritmo no lado do remetente para assinar digitalmente a mensagem
Remetente 10010010
e uma função de verificação específica é adicionada para verificar a
código hash
assinatura para garantir a integridade da mensagem no lado do destinatário
ÿ Os algoritmos assimétricos que suportam essas duas funções são chamados

de algoritmos de assinatura digital 1001
0010
O remetente seleciona uma
ÿ A assinatura digital de mensagens diminui o desempenho durante chave pública e privada e envia
a chave pública para o destinatário
verificação; o valor de hash da mensagem é usado em vez da própria
mensagem para melhor desempenho
Chave pública
ÿ Uma assinatura digital é criada usando o código hash do
mensagem, a chave privada do remetente e a função de assinatura Confidencial
Mensagem
ÿ Em seguida, é verificado usando o código hash da mensagem, O receptor verifica a assinatura

10010010
usando a chave pública e então lê Receptor
a chave pública do remetente e a função de verificação
a mensagem código hash
Assinatura digital (continuação)
Chave privada
Mensagem contendo o
Criando uma Confidencial
Assinatura digital
assinatura digital Mensagem
no lado do remetente Mensagem Confidencial
Hash código hash Assinatura 10010010

Algoritmo Função
código hash
Chave pública
Mensagem contendo o
Verificando uma Assinatura digital
assinatura digital Confidencial
no lado do destinatário Mensagem
Hash código hash Verificação Confidencial

10010010
Algoritmo Função Mensagem
código hash
Assinatura digital
Uma assinatura digital é um meio criptográfico de autenticação. A criptografia de chave pública usa criptografia
assimétrica e ajuda o usuário a criar uma assinatura digital.
Uma função de assinatura específica é adicionada ao algoritmo assimétrico no lado do remetente para assinar
digitalmente a mensagem e uma função de verificação específica é adicionada para verificar a assinatura para

Criptografia e PKI
garantir a integridade da mensagem no lado do destinatário. Os algoritmos assimétricos que suportam essas
duas funções são chamados de algoritmos de assinatura digital.
Figura 10.15: Criando uma assinatura digital no lado do remetente
Figura 10.16: Verificando uma assinatura digital no lado do destinatário
Uma função hash é um algoritmo que ajuda os usuários a criar e verificar assinaturas digitais. Esse algoritmo
cria uma representação digital, também conhecida como impressão digital de mensagem. Essa impressão digital
tem um valor de hash muito menor que a mensagem, mas único. Se um invasor alterar a mensagem, a função
de hash produzirá automaticamente um valor de hash diferente.
Para verificar uma assinatura digital, é necessário o valor hash da mensagem original e a função hash usada
para criar a assinatura digital. Com a ajuda da chave pública e do novo resultado, o verificador verifica se a
assinatura digital foi criada com a chave privada relacionada e se o novo valor de hash é igual ao original ou
não. A assinatura digital de mensagens diminui o desempenho durante a verificação; o valor de hash da
mensagem é usado em vez da própria mensagem para melhor desempenho.

Criptografia e PKI
Figura 10.17: Funcionamento da Assinatura Digital

Criptografia e PKI
ÿ Os certificados digitais são usados para lidar com as questões de segurança relacionadas à
transmissão segura de chaves públicas ao destinatário na assinatura digital
Digital ÿ Uma solução intermediária confiável é usada para proteger as chaves públicas, onde a chave
pública é vinculada ao nome de seu proprietário
certificados ÿ Os proprietários da chave pública precisam adquirir suas chaves públicas certificadas pelo
intermediário; o intermediário então emite certificados chamados certificados digitais para os
proprietários, que podem usar para enviar a chave pública a vários usuários
Chave privada
Função de Assinatura Função de verificação
Remetente Receptor
O remetente assina uma mensagem O receptor extrai a chave pública do

digitalmente usando sua chave privada Chave pública certificado digital e verifica a mensagem
e a envia para um destinatário junto assinada digitalmente pelo remetente usando
com um certificado digital Certificado digital Certificado digital a chave pública extraída
Certificados Digitais (continuação)

Atributos do Certificado Digital
Número de série: representa a identidade exclusiva do Emissor: fornece a identidade do

certificado intermediário que emitiu o certificado
Assunto: Representa o proprietário do certificado que Válido a partir de: Denota a data a partir da qual o
pode ser uma pessoa ou uma organização certificado é válido
Algoritmo de assinatura: indica o nome do Válido até: Denota a data até a qual o
algoritmo usado para criar a assinatura certificado é válido
Uso da chave: especifica a finalidade da chave pública, se

Algoritmo de impressão digital: especifica o
ela deve ser usada para criptografia, verificação de assinatura
algoritmo de hash usado para assinaturas digitais
ou ambos
Thumbprint: especifica o valor de hash para o

Chave pública: usada para criptografar uma
certificado, que é usado para verificar a integridade
mensagem ou verificar a assinatura do proprietário
do certificado
Certificados Digitais
Os certificados digitais permitem uma troca segura de informações entre um remetente e um destinatário.
Isso permite o uso de uma chave pública pelo remetente para o destinatário. Uma solução intermediária
confiável é usada para proteger as chaves públicas, onde a chave pública é vinculada ao nome de seu
proprietário. Os proprietários da chave pública precisam adquirir suas chaves públicas certificadas do
intermediário; o intermediário então emite certificados chamados certificados digitais para os proprietários,
que podem usar para enviar a chave pública a vários usuários.

Criptografia e PKI
O remetente solicita um certificado digital da autoridade de certificação (CA). Juntamente com a mensagem
criptografada e a chave pública, a CA fornece outras informações de validação de identidade.
O destinatário aceita a mensagem criptografada e usa a chave pública da CA para decodificar o certificado digital.
Isso permite que o destinatário identifique a assinatura digital e obtenha a chave pública do remetente e outros
detalhes de identificação.
Figura 10.18: Funcionamento dos certificados digitais
Um certificado digital pode conter informações como o nome do remetente que solicitou o certificado, data de validade
e uma cópia da assinatura digital da chave pública do remetente da CA. Os destinatários que recebem o certificado
digital podem verificar a validade do certificado usando a assinatura anexada das autoridades aprovadas usando a
chave privada da autoridade. Cada sistema operacional e navegador da web carrega certificados autorizados da CA,
o que permite fácil validação.
O principal objetivo da implementação de um certificado digital é garantir o não repúdio.
A maioria dos protocolos Secure Sockets Layer (SSL)/Transport Layer Security (TLS) usa certificados para impedir
que invasores alterem ou modifiquem os dados. Os certificados digitais são usados em servidores de e-mail e
assinatura de código.
Atributos do Certificado Digital
ÿ Número de série: representa a identidade exclusiva do certificado.
ÿ Assunto: Representa o titular do certificado que pode ser uma pessoa ou um

organização.
ÿ Algoritmo de assinatura: Informa o nome do algoritmo usado para criar a assinatura.
ÿ Uso da chave: especifica a finalidade da chave pública, se ela deve ser usada para criptografia, verificação de
assinatura ou ambos.
ÿ Chave pública: Usada para criptografar uma mensagem ou verificar a assinatura do proprietário.
ÿ Emissor: Fornece a identidade do intermediário que emitiu o certificado.
ÿ Valid from: Indica a data a partir da qual o certificado é válido.
ÿ Válido até: Indica a data até a qual o certificado é válido.
ÿ Algoritmo de impressão digital: especifica o algoritmo de hash usado para assinaturas digitais.
ÿ Thumbprint: Especifica o valor de hash para o certificado, que é usado para verificar o
integridade do certificado.

Criptografia e PKI
Infraestrutura de chave pública (PKI)
ÿ Uma infra-estrutura de chave pública (PKI) é um conjunto de hardware, software,

pessoas, políticas e procedimentos necessários para criar, gerenciar, distribuir,
usar, armazenar e revogar certificados digitais
Componentes de uma PKI
Uma autoridade certificadora (CA) que emite e verifica Um sistema de gerenciamento de certificados para
certificados digitais geração, distribuição, armazenamento e verificação de certificados
Uma autoridade de registro (RA) que atua como Um ou mais diretórios onde os certificados
o verificador da CA (juntamente com suas chaves públicas) são armazenados
Infraestrutura de chave pública (PKI) (continuação)
Certificação
Atualiza informações
Autoridade (CA)
Solicitação Validação
de emissão de certidão
Autoridade (VA)
Chave pública Chave pública Determinado

Certificado Certificado Resultado
Cadastro
Autoridade (RA)
O usuário solicita
a emissão do certificado
Mensagem com assinatura digital e

Do utilizador cópia do certificado de chave pública
Chave pública
Validação de assinatura eletrônica
Chave privada
Pergunta sobre a validade do certificado de
chave pública para a autoridade de validação
Infraestrutura de chave pública (PKI)

Uma infraestrutura de chave pública (PKI) é uma arquitetura de segurança desenvolvida para
aumentar a confidencialidade das informações trocadas pela Internet. Inclui hardware, software,
pessoas, políticas e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e
revogar certificados digitais. Na criptografia, uma PKI ajuda a vincular as chaves públicas às
identidades de usuário correspondentes por meio de uma CA.

Criptografia e PKI
PKI é um sistema abrangente que permite o uso de criptografia de chave pública e serviços de assinatura
digital em uma ampla variedade de aplicativos. A autenticação PKI depende de certificados digitais (também
conhecidos como certificados de chave pública) que as CAs assinam e fornecem. Um certificado digital é uma
declaração assinada digitalmente com uma chave pública e o nome do sujeito (ou seja, um usuário, empresa
ou sistema).
Os componentes de uma PKI incluem,
ÿ Uma autoridade certificadora (CA) que emite e verifica certificados digitais
ÿ Uma autoridade de registro (RA) que atua como verificador da CA.
ÿ Um sistema de gerenciamento de certificados para geração, distribuição, armazenamento e verificação

de certificados.
ÿ Um ou mais diretórios onde os certificados (juntamente com suas chaves públicas) são armazenados.
Figura 10.19: Componentes PKI
A PKI é amplamente reconhecida como uma prática recomendada para garantir a verificação digital de
transações eletrônicas. Esses são os métodos mais eficazes para fornecer verificação durante transações
eletrônicas. As assinaturas digitais suportadas pela PKI incluem o seguinte:
ÿ Com quem está a lidar (identificação)
ÿ Quem está autorizado a aceder a que informação (direitos)
ÿ Um registo verificável da transação (verificação)

Criptografia e PKI
Usos de PKI
A PKI não serve apenas como uma função comercial; ele fornece a base para outros serviços de segurança. A principal
utilização da PKI é permitir a distribuição e utilização de chaves públicas e certificados com segurança. Os mecanismos de
segurança baseados em PKI incluem e-mail, aplicação de cartão com chip, troca de valores com e-commerce, homebanking
e correio eletrônico. A PKI permite serviços básicos de segurança para uma variedade de sistemas, conforme listado abaixo:
ÿ
Ele usa os protocolos SSL, protocolo de segurança da Internet (IPsec) e protocolo seguro de transferência de
hipertexto (HTTPS) para segurança de comunicação.
ÿ
Ele usa as extensões de correio da Internet seguras/multiuso (S/MIME) e protocolos de privacidade (PGP) muito
bons para segurança de e-mail.
ÿ
Ele usa o protocolo de transação eletrônica segura (SET) para troca de valor.
A seguir estão os principais benefícios da PKI:

ÿ
Reduz as despesas de processamento transacional.
ÿ
Reduz o risco.
ÿ
Melhora a eficiência e o desempenho de sistemas e redes.
ÿ
Reduz a dificuldade dos sistemas de segurança com métodos simétricos binários.

Criptografia e PKI
Autoridades de Certificação
https:// www.digicert.com
https:// www.comodoca.com
https:// www.godaddy.com https:// www.identrust.com
Autoridades de Certificação
Autoridades de certificação (CAs) são entidades confiáveis que emitem certificados digitais. O certificado digital atesta a
posse da chave pública pelo sujeito (usuário, empresa ou sistema) especificado no certificado. Isso ajuda outras pessoas
a confiar em assinaturas ou declarações feitas pela chave privada associada à chave pública certificada.
Algumas CAs populares são discutidas abaixo:
ÿ Conveniente
Fonte: https:// www.comodoca.com
A Comodo oferece uma variedade de certificados digitais PKI com forte criptografia SSL (128/256 disponível)
com Server-Gated Cryptography (SGC). Ele garante padrões de confidencialidade, confiabilidade do sistema e
práticas comerciais pertinentes, conforme julgado por auditorias independentes qualificadas. Oferece soluções
de gerenciamento de PKI, como Comodo Certificate Manager e Comodo EPKI Manager.

Criptografia e PKI
Figura 10.20: captura de tela do site da Comodo
ÿ IdenTrust
Fonte: https:// www.identrust.com
IdenTrust é um terceiro confiável que fornece serviços de CA para muitos setores, como bancos, empresas,
governos e saúde. Ele fornece soluções como assinatura e selagem digital, conformidade com NIST SP
800-171, redes de identidade global e serviços gerenciados de hospedagem de PKI.
Figura 10.21: captura de tela do site IdenTrust

Criptografia e PKI
ÿ DigiCert CertCentral
Fonte: https:// www.digicert.com
A CertCentral simplifica todo o ciclo de vida consolidando tarefas para emissão, instalação,
inspeção, correção e renovação de certificados TLS/SSL. Ele gerencia a emissão de
certificados TLS/SSL de alto volume para vários indivíduos e equipes.
Figura 10.22: Captura de tela do site da DigiCert
ÿ GoDaddy
Fonte: https:// www.godaddy.com
Os Certificados SSL da GoDaddy oferecem uma gama completa de certificados que atendem
às diretrizes do CA/Browser Forum. Eles fornecem o algoritmo de hash SHA-2 e criptografia
de 2048 bits, proteção de servidores ilimitados, etc.
Figura 10.23: captura de tela do site da GoDaddy

Criptografia e PKI
Resumo do Módulo
Este módulo discutiu técnicas criptográficas, diferentes
algoritmos de criptografia e algoritmos de hash
Ele discutiu diferentes ferramentas de criptografia e calculadoras

de hash
Ele também discutiu os conceitos de infraestrutura de chave

pública (PKI)
Finalmente, este módulo terminou com uma visão geral sobre

assinaturas digitais e certificados digitais
No próximo módulo, discutiremos a segurança de dados em

detalhes
Resumo do Módulo
Este módulo discutiu técnicas criptográficas, diferentes algoritmos de criptografia e algoritmos de hash. Ele discutiu
diferentes ferramentas de criptografia e calculadoras de hash. Além disso, explicou conceitos relacionados à
infraestrutura de chave pública (PKI). Finalmente, este módulo apresentou uma visão geral sobre assinaturas digitais
e certificados digitais.
No próximo módulo, discutiremos a segurança de dados em detalhes.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 11
Segurança de Dados

Segurança de dados
Ideia criativa
1 Entendendo a segurança de dados e sua importância
Entendendo as Diferentes Seguranças de Dados

2 tecnologias
Compreendendo os vários controles de segurança para dados

3 Criptografia
Visão geral de criptografia de disco, criptografia de arquivo e

4 Ferramentas de criptografia de mídia removível
Compreendendo os métodos e ferramentas para backup e retenção de

5 dados
6 Compreendendo as soluções de prevenção contra perda de dados (DLP) e DLP
As violações de dados podem custar caro para as organizações. Portanto, é importante manter os dados da
organização protegidos de olhares indiscretos. Este módulo explica a importância dos dados e várias técnicas para
protegê-los.
ÿ Compreender a segurança de dados e a sua importância
ÿ Compreender as diferentes tecnologias de segurança de dados
ÿ Explicar os vários controles de segurança para criptografia de dados
ÿ Use diferentes ferramentas de criptografia de disco, criptografia de arquivo e criptografia de mídia removível
ÿ Explicar métodos e ferramentas para backup e retenção de dados
ÿ Compreender as soluções de prevenção de perda de dados (DLP) e DLP

Segurança de dados
Fluxo do módulo
04
03 Discutir a perda de dados
Conceitos de Prevenção
02 Discutir backup e retenção
de dados
01 Discutir várias seguranças
Controles para criptografia de dados
Entenda a segurança de dados e
sua importância
Entenda a segurança de dados e sua importância

O objetivo desta seção é explicar a importância da segurança de dados. O módulo também explica
os três estados dos dados, ou seja, dados em repouso, dados em uso e dados em trânsito, e
apresenta várias tecnologias de segurança de dados.

Segurança de dados
O que são Dados Críticos de Negócios?
ÿ Dados são o coração de qualquer organização ÿ
Dados críticos contêm informações que são importantes para a operação de negócios ÿ A
identificação e classificação de dados críticos de negócios é o primeiro passo para proteger

dados de uma organização
Exemplos de Dados Críticos
Documentos de escritório
1 arquivos de contabilidade
importantes, planilhas, etc. 4
Software baixado (comprado) da Internet

2 Bancos de dados ou quaisquer dados relacionados a negócios
5
Os arquivos do sistema operacional adquiridos Informações de contato (lista de endereços

3 com um computador, software, etc. de e-mail ) 6
O que são Dados Críticos de Negócios?
Os dados são o coração de qualquer organização. Os dados críticos contêm informações importantes para a operação
comercial. A identificação e classificação de dados críticos para os negócios é a primeira etapa para proteger os dados
de uma organização. Toda organização tem uma abundância de dados. Uma organização deve identificar seus dados
ou arquivos críticos. A criticidade dos dados é baseada em sua importância para a organização. Isso requer analisar e
decidir quais informações são mais importantes para o bom funcionamento da organização. Dados críticos podem
consistir em receita, tendências emergentes, planos de mercado, banco de dados, arquivos incluindo documentos,
planilhas, e-mails, etc. A perda desses dados críticos pode afetar significativamente a organização.
Como os dados críticos podem ser identificados?
ÿ Realizar uma análise de impacto nos negócios para determinar as funções e os dados críticos em uma organização.
Identifique processos e funções que dependem e coexistem com os dados críticos.
ÿ Avalie o impacto dos danos aos dados nos negócios.
Exemplos de Dados Críticos:
ÿ Arquivos de contabilidade ÿ Software baixado (comprado)

da internet
ÿ Bancos de dados ou quaisquer
dados ÿ Informações de contato (livro de endereços de
e-mail)
ÿ Os arquivos do sistema operacional
comprado com um computador, ÿ Fotos pessoais, músicas e vídeos
software, etc.
ÿ Qualquer outro(s) arquivo(s) crítico(s)
ÿ Documentos importantes de escritório,
planilhas, etc.

Segurança de dados
Necessidade de segurança de dados

ÿ Os dados são o ativo final de uma organização, no qual os invasores podem se interessar ÿ Se
os dados de uma organização forem expostos ou perdidos por qualquer meio, isso pode prejudicar gravemente os negócios
e reputação
Riscos de perda de dados no ambiente de negócios
Causa Efeito
Perda/roubo de laptops e P&D Atendimento ao Cliente Dano à marca e perda de

dispositivos móveis corporativo Cliente
reputação
Dados Dados
Perda de vantagem competitiva

Transferência de dados
não autorizada para dispositivos USB
Perda de clientes
Vendas Contratante
Categorização imprópria
Perda de participação de mercado
de dados confidenciais Dados comerciais
Roubo de dados Erosão do valor do acionista
por funcionários/ partes

externas Pessoalmente Transação
Dados Identificáveis RH, Jurídico Finança Dados Multas e penalidades civis
Necessidade de segurança de dados
Os dados são um ativo importante para uma organização e é essencial protegê-los dos cibercriminosos. Se os dados de uma
organização forem expostos ou perdidos por qualquer meio, isso poderá prejudicar consideravelmente os negócios e a reputação da
organização.
Efeito da perda de dados:
ÿ Danos à marca e perda de reputação
ÿ Perda de vantagem competitiva
ÿ Perda de clientes
ÿ Perda de quota de mercado
ÿ Erosão do valor do acionista
ÿ Multas e sanções cíveis
ÿ Contencioso/ações legais
ÿ Multas/Sanções Regulamentares
ÿ Custo e esforço significativos para notificar as partes afetadas e recuperar-se da violação
Existem inúmeras causas para a perda de dados, incluindo
ÿ Perda/roubo de computadores portáteis e dispositivos móveis
ÿ Transferência de dados não autorizada para dispositivos USB
ÿ Categorização imprópria de dados confidenciais

Segurança de dados
ÿ Furto de dados por colaboradores/partes externas
ÿ Impressão e cópia de dados sensíveis pelos colaboradores
ÿ Resposta insuficiente a intrusões
ÿ Transmissão não intencional de dados sensíveis
A perda de dados resultante leva à perda de lealdade e confiança à marca, diminui o número de clientes e afeta a
participação de mercado e o valor do acionista, multas regulatórias, processos legais, etc. Violações de dados e
ataques cibernéticos aumentaram devido à expansão das redes de computadores; portanto, a segurança dos dados é
necessária para proteger os dados em uma organização.
Figura 11.1: Ambiente de negócios

Segurança de dados
Segurança de dados
A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional
ou não intencional de uso indevido de dados, destruição de dados e modificação de dados
Três Estados Críticos de

Dados em uso
Segurança de dados
laptops
1 Dados em Repouso Dados em Repouso
Dados em
Transito
2 Dados em uso
Bancos de Dados/Repositórios
3 Dados em trânsito
Firewall
Internet
Dados em Repouso
Segurança de dados
A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional
ou não intencional de uso indevido de dados, destruição de dados e modificação de dados.
Os dados de uma organização são considerados protegidos quando eles têm provisões suficientes para:
ÿ Restringindo dados de destruição, modificação ou divulgação intencional ou acidental
ÿ Recuperar dados perdidos ou modificados após incidentes
ÿ políticas apropriadas de retenção e destruição de dados
Três estados básicos de dados
ÿ Dados em repouso: Esses dados estão inativos e são armazenados em um dispositivo ou meio de backup, como
discos rígidos, laptops, fitas de backup, dispositivos móveis ou no backup externo na nuvem. Os dados em
repouso permanecem em um estado estável. Os dados em repouso não se moverão ativamente em um sistema
ou rede e não podem ser acessados por um aplicativo ou programa.
ÿ Dados em uso: Esses dados são armazenados ou processados por RAM, CPUs ou bancos de dados. Ele não é
armazenado passivamente no sistema, mas se move ativamente pela infraestrutura de TI. Ele é atualizado,
apagado, processado, acessado e/ou lido pelo sistema.
ÿ Dados em trânsito: Esses dados se movem ativamente de um local para outro na rede ou são criptografados
antes de serem movidos e/ou transmitidos por meio de conexões criptografadas, como HTTPS, SSL, segurança
da camada de transporte (TLS), FTPS, etc.

Segurança de dados
Figura 11.2: Três Estados Básicos de Dados

Segurança de dados
Exemplo: “Dados em repouso” x

“Dados em uso” x “Dados em trânsito”
A implementação adequada de medidas de segurança de dados é

necessária em cada estado para aprimorar proativamente a segurança dos dados
Dados em Repouso Dados em uso Dados em trânsito
Dados inativos armazenados digitalmente Travessia de dados usando algum meio de

Descrição Dados armazenados na memória
em um local físico comunicação
Saldo bancário do cliente armazenado no

Exemplos Dados armazenados na RAM Um e-mail sendo enviado
banco de dados
ÿ Técnicas de autenticação
ÿ Criptografia de dados ÿ SSL e TLS
ÿ Controlo rigoroso na acessibilidade
Segurança ÿ Proteção por senha ÿ Ferramentas de criptografia de e-mail, como
destes dados
Controles ÿ Tokenização PGP ou S/MIME
ÿ Criptografia de memória completa
ÿ Federação de dados ÿ Controles de firewall
ÿ Forte gestão de identidade
Exemplo: “Dados em repouso” x “Dados em uso” x “Dados em trânsito”
Uma implementação adequada de medidas de segurança é necessária em cada estado para aprimorar proativamente
a segurança dos dados. A tabela a seguir descreve os vários estados de dados, seus exemplos específicos e controles
de segurança para proteção contra ataques.
Dados em Repouso Dados em uso Dados em trânsito
Dados inativos armazenados Travessia de dados usando algum

Descrição Dados armazenados na memória
digitalmente em um local físico meio de comunicação
Saldo bancário do cliente

Exemplos Dados armazenados na RAM Um e-mail sendo enviado
armazenado no banco de dados
ÿ Técnicas de
autenticação ÿ
ÿ SSL e TLS
ÿ Criptografia de dados ÿ Controle rígido sobre a
ÿ Ferramentas de criptografia de e-mail
Segurança Proteção por senha acessibilidade desses
como PGP ou
Controles ÿ Tokenização dados ÿ Criptografia de memória
S/MIME
ÿ Federação de dados total ÿ Forte gerenciamento
ÿ Controles de firewall
de identidade
Tabela 11.1: Dados em repouso x Dados em uso x Dados em trânsito

Segurança de dados
Tecnologias de segurança de dados
Controle de acesso a dados Autentica e autoriza os usuários a acessar dados
Proteger as informações, transformando-as de forma que não possam ser

lidas por pessoas não autorizadas
Proteger informações obscurecendo áreas específicas de dados com

Mascaramento de dados
caracteres ou códigos aleatórios
Fazendo uma cópia duplicada de dados críticos que podem ser usados
Resiliência e backup
para fins de restauração e recuperação quando uma cópia principal é
de dados
perdida ou corrompida acidentalmente ou de propósito
Destruir dados, para que não possam ser recuperados e usados para
Destruição de dados
motivos errados
Retenção de dados Armazenar dados com segurança para conformidade ou requisitos de negócios
Tecnologias de segurança de dados
ÿ Controle de Acesso a Dados
Os controles de acesso a dados permitem autenticação e autorização de usuários para acessar os dados. É um
componente importante dos programas de conformidade de segurança que protegem o acesso não autorizado a
informações confidenciais.
ÿ Criptografia de Dados
Proteger as informações, transformando-as de modo que se tornem ilegíveis para uma parte não autorizada. Ele
protege os segredos corporativos, informações classificadas e informações pessoais. Os dados criptografados
não podem ser lidos por pessoas ou entidades não autorizadas.
ÿ Mascaramento de Dados
Proteger informações obscurecendo áreas específicas de dados com caracteres ou códigos aleatórios. O
mascaramento de dados protege dados confidenciais, como informações de identificação pessoal, informações
de saúde protegidas, informações de cartão de pagamento, propriedade intelectual, etc.
Além disso, o mascaramento de dados também protege contra uma ameaça interna. A implementação do
mascaramento de dados reforçará as estratégias de segurança de uma organização.
ÿ Resiliência de Dados e Backup
Fazer uma cópia duplicada de dados críticos a serem usados para fins de restauração e recuperação quando a
cópia principal for perdida ou corrompida, acidentalmente ou de propósito. A resiliência de dados permite que os
dados permaneçam disponíveis para os aplicativos caso haja alguma falha nos dados hospedados. Manter várias
cópias de um backup de dados ajuda a restaurar os dados com facilidade e reduz os riscos de corrupção de
dados ou ataques mal-intencionados.

Segurança de dados
ÿ Destruição de Dados
Envolve a destruição dos dados para que não possam ser recuperados e usados para um motivo errado. A
destruição de discos rígidos antigos ou dispositivos eletrônicos deve ser feita de forma segura e segura. A
destruição de dados ajuda a destruir fisicamente as informações antigas de clientes e funcionários.
ÿ Retenção de Dados
Armazenar dados com segurança para conformidade ou requisitos de negócios. Uma organização deve ter
políticas e processos para retenção e remoção de dados. Os programas de retenção de dados têm um tremendo
impacto na segurança dos dados e podem atender às expectativas de clientes e governos quanto à proteção da
privacidade.

Segurança de dados
Fluxo do módulo
04
de dados
sua importância
Discutir vários controles de segurança para criptografia de dados

O objetivo desta seção é explicar o uso da tecnologia de criptografia para proteger os dados.

Segurança de dados
Técnicas
Criptografia de disco Criptografia em nível de arquivo Criptografia de mídia removível
Criptografia de disco completo é a Nesse tipo de criptografia, a A criptografia de mídia removível

criptografia de todos os dados criptografia ocorre no nível do evita que dispositivos de mídia
em um disco, exceto o registro sistema de arquivos e, em removível, como unidades flash
mestre de inicialização (MBR) combinação com um algoritmo
USB, discos rígidos portáteis,
criptográfico, os dados câmeras digitais, smartphones,
criptografados serão tablets, etc., tenham acesso não autorizado
extremamente seguros
Técnicas de Criptografia de Dados
ÿ Criptografia de disco: Criptografia de dados armazenados em um disco físico ou lógico. A criptografia de disco
completo é a criptografia de todos os dados em um disco, exceto o registro mestre de inicialização (MBR).
Os dados são convertidos automaticamente em um formato que não pode ser facilmente decifrado por um
usuário não autorizado. Na criptografia de disco completo, os dados são criptografados enquanto são gravados
no disco e descriptografados quando o usuário lê os dados do disco. Os benefícios da criptografia de disco
completo são
o É um método de criptografia simples.
o O método de criptografia é claro e coerente para usuários, aplicativos e bancos de dados.
o É uma criptografia baseada em hardware com alto desempenho.
ÿ Criptografia em nível de arquivo: Criptografia de dados armazenados em arquivos/pastas. Nesse tipo de

criptografia, a criptografia ocorre no nível do sistema de arquivos e, em combinação com um algoritmo
criptográfico, os dados criptografados serão extremamente seguros. A criptografia em nível de arquivo regula o
acesso de usuários não autorizados a arquivos ou pastas em redes ou computadores compartilhados. As
vantagens da criptografia em nível de arquivo são as seguintes:
o Cada arquivo é criptografado com uma chave de criptografia discreta.
o O controle de acesso é aplicado usando criptografia de chave pública.
o Ambos os dados estruturados e não estruturados são suportados.
ÿ Criptografia de mídia removível: A criptografia de mídia removível evita que dispositivos de mídia removível,
como unidades flash USB, discos rígidos portáteis, câmeras digitais, smartphones, tablets, etc., tenham acesso
não autorizado.

Segurança de dados
Criptografia de disco: implementando o disco integrado

Criptografia para Windows
1. Ativando a criptografia do dispositivo 2. Habilitando a Criptografia BitLocker Padrão
ÿ Vá para Iniciar ÿ Configurações ÿ Atualização e Segurança ÿ ÿ Entre com uma conta de administrador. Selecione o botão Iniciar ,
Criptografia do dispositivo escolha Painel de controle e clique em Sistema e segurança
ÿ Em BitLocker Drive Encryption, escolha Gerenciar BitLocker
ÿ Ative a opção de criptografia do dispositivo
ÿ Selecione Ativar BitLocker
Criptografia de disco: implementando a criptografia de disco integrada para Windows
O Windows 10 possui métodos de criptografia de disco integrados para criptografar discos rígidos e proteger os dados do
usuário. Por padrão, a criptografia de disco está habilitada em todos os dispositivos que usam o Windows 10. Existem dois
métodos de criptografia de disco no Windows 10: criptografia de dispositivo e BitLocker. Se os usuários não tiverem
criptografia de dispositivo, eles poderão habilitar a criptografia BitLocker padrão; no entanto, o BitLocker não está disponível
na edição Windows 10 Home.
Criptografia do dispositivo
É o método de criptografia mais simples e está disponível em todas as edições do Windows 10. Se um usuário perder o
dispositivo, a criptografia do dispositivo pode proteger os dados contra acesso não autorizado. Esse recurso embaralha toda
a unidade do sistema e as unidades secundárias conectadas ao dispositivo e permite que apenas o usuário acesse o
dispositivo.
Pré-requisitos para criptografia de dispositivo:
1. Módulo de plataforma confiável (TPM).
2. Interface de firmware extensível unificada (UEFI).
3. Verificar se o dispositivo atende aos requisitos de criptografia do dispositivo.
Etapas para verificar se o dispositivo atende aos requisitos de criptografia do dispositivo:
ÿ Clique no botão Iniciar .
ÿ Pesquise informações do sistema, clique com o botão direito do mouse no resultado superior e escolha Executar como
administrador.
ÿ Clique em Resumo do sistema no painel esquerdo.

Segurança de dados
ÿ Suporte para criptografia de dispositivo de pesquisa; o dispositivo do usuário oferece suporte à criptografia de dispositivo se
for exibido Atende aos pré-requisitos.
Figura 11.3: Verificando se o dispositivo atende aos requisitos de criptografia do dispositivo
Para ativar o TPM no UEFI
Siga estas etapas para habilitar o chip TPM no dispositivo do usuário se ele estiver desabilitado.
ÿ Abra Configurações.
ÿ Selecione Atualização e segurança.
ÿ Selecione Recuperação.
ÿ Navegue até a seção Inicialização avançada e clique no botão Reiniciar agora .

Segurança de dados
Figura 11.4: Ativando o TPM no UEFI
ÿ Clique em Solução de problemas.
Figura 11.5: Escolhendo a opção de solução de problemas

Segurança de dados
ÿ Clique em Opções avançadas.
Figura 11.6: Clicando em Opções Avançadas
ÿ Clique em Configurações de Firmware UEFI.
Figura 11.7: Selecionando configurações de firmware UEFI

Segurança de dados
ÿ Clique em Reiniciar.
Figura 11.8: Reiniciando o sistema para alterar as configurações de firmware UEFI
ÿ Navegue até as configurações de segurança.
ÿ Habilite o recurso TPM.
Para habilitar a criptografia do dispositivo
ÿ Vá para Iniciar ÿ Configurações ÿ Atualização e segurança ÿ Criptografia do dispositivo.
ÿ Ative a opção Criptografia do dispositivo.
Figura 11.9: Ativando a criptografia do dispositivo

Segurança de dados
Criptografia do BitLocker
Isso protege os dados criptografando todo o volume de dados usando o algoritmo de criptografia de padrão avançado
de criptografia (AES) no encadeamento de blocos cifrados (CBC) ou no modo XTS com uma chave de 128 ou 256 bits.
O BitLocker está disponível nas edições Windows 10 Pro, Enterprise ou Education.
Para habilitar a criptografia BitLocker padrão
ÿ Entre com uma conta de administrador.
ÿ Selecione o botão Iniciar .
ÿ Escolha Painel de Controle e clique em Sistema e Segurança.
ÿ Em Criptografia de Unidade de Disco BitLocker, escolha Gerenciar BitLocker.
ÿ Selecione Ativar BitLocker.
Figura 11.10: Habilitando a Criptografia BitLocker Padrão

Segurança de dados
Ferramentas de Criptografia de Disco

ÿ VeraCrypt é um software para estabelecer e manter uma rede on-the-fly
volume criptografado (dispositivo de armazenamento de dados)
Criptografia de Unidade de Disco
VeraCryptGenericName ÿ Criptografia on-the-fly significa que os dados são automaticamente criptografados imediatamente BitLocker https:// docs.microsoft.com
antes de serem salvos e descriptografados imediatamente após serem carregados, sem qualquer
intervenção do usuário
FinalCrypt
https:// www.finalcrypt.org
Gerenciador de Criptografia Seqrite

https:// www.seqrite.com
FileVault
https:// support.apple.com
Gilisoft Full Disk Encryption http://

www.gilisoft.com
https:// www.veracrypt.fr
Ferramentas de Criptografia de Disco
O objetivo comum das ferramentas de criptografia de disco é criptografar uma partição de disco para fornecer confidencialidade às
informações armazenadas nela. Algumas ferramentas de criptografia de disco são discutidas abaixo.
ÿ VeraCrypt
Fonte: https:// www.veracrypt.fr
VeraCrypt é um software para estabelecer e manter um volume criptografado on-the-fly (dispositivo de armazenamento de
dados). A criptografia instantânea significa que os dados são criptografados automaticamente logo antes de serem salvos
e descriptografados logo após serem carregados sem qualquer intervenção do usuário.
Nenhum dado armazenado em um volume criptografado pode ser lido (descriptografado) sem usar a senha/arquivo(s) de
chave corretos ou as chaves de criptografia corretas. Todo o sistema de arquivos é criptografado (por exemplo, nomes de
arquivos, nomes de pastas, espaço livre, metadados, etc.).
Os arquivos podem ser copiados de e para um volume VeraCrypt montado da mesma forma que são copiados de/para
qualquer disco normal (por exemplo, por simples operações de arrastar e soltar). Os arquivos são descriptografados
automaticamente em tempo real (na memória/RAM) enquanto são lidos ou copiados de um volume VeraCrypt criptografado.
Da mesma forma, os arquivos que são gravados ou copiados no volume VeraCrypt são criptografados automaticamente
em tempo real (pouco antes de serem gravados no disco) na RAM.

Segurança de dados
Figura 11.11: captura de tela do VeraCrypt
Algumas ferramentas adicionais de criptografia de disco são as seguintes:
ÿ BitLocker Drive Encryption (https:// docs.microsoft.com)

ÿ FinalCrypt (https:// www.finalcrypt.org)
ÿ Seqrite Encryption Manager (https:// www.seqrite.com)
ÿ FileVault (https:// support.apple.com)
ÿ Gilisoft Full Disk Encryption (http:// www.gilisoft.com)

Segurança de dados
Criptografia em nível de arquivo: implementando o arquivo integrado

Criptografia em nível de sistema no Windows
O Encrypting File System (EFS) fornece criptografia

no nível do sistema de arquivos no Windows
Criptografia em nível de arquivo: implementando a criptografia em nível de sistema de arquivos integrada em

janelas
O Encrypting File System (EFS) fornece criptografia no nível do sistema de arquivos no Windows (a partir do Windows
2000), exceto a versão inicial. O usuário precisa habilitar esse recurso em um arquivo, diretório ou unidade específica. O
EFS protege as informações confidenciais de usuários não autorizados que tenham acesso físico a um computador.
Criptografia de arquivo com EPS usando prompt de comando
ÿ Clique com o botão direito do mouse no botão Iniciar e selecione Prompt de Comando (Admin).
ÿ Digite o seguinte comando:
cipher /e “<CAMINHO>”
ÿ Digite o caminho do arquivo com a extensão e pressione Enter.
Figura 11.12: Criptografia de arquivo com EPS

Segurança de dados
Para ativar o EPS usando atributos avançados em um arquivo/pasta selecionado
ÿ Selecione o arquivo para criptografia usando EFS.
ÿ Clique com o botão direito do mouse no arquivo e selecione Propriedades.
Figura 11.13: captura de tela da seleção de propriedades
ÿ Clique em Avançado
Figura 11.14: Escolhendo a opção avançada

Segurança de dados
ÿ Marque a caixa Criptografar conteúdo para proteger os dados e clique em OK
Figura 11.15: Selecionando Criptografar Conteúdo para Proteger Dados
ÿ Clique em Aplicar. Uma caixa aparecerá com a opção de criptografar apenas o arquivo ou criptografar o arquivo
e sua pasta pai. Selecione de acordo com os requisitos e clique em OK
Figura 11.16: Aviso de criptografia

Segurança de dados
Ferramentas de criptografia de arquivos
Advanced Encryption Package é um

software de criptografia de arquivos para Windows 10, 8 e 7. Ele usa algoritmos fortes e comprovados para proteger
documentos confidenciais
AxCrypt
https:// www.axcrypt.net
Criptografia de arquivo
idoo https:// www.idooencryption.com
Criptomator
https:// cryptomator.org
Criptografia
https:// macpaw.com
Criptografia
AES https:// www.aescrypt.com
http:// www.aeppro.com
Ferramentas de criptografia de arquivos
ÿ Pacote Avançado de Criptografia
Fonte: http:// www.aeppro.com
Advanced Encryption Package é um software de criptografia de arquivos para Windows 10, 8 e

7. Ele usa algoritmos fortes e comprovados para proteger documentos confidenciais. Ele suporta
criptografia de arquivo e texto e usa algoritmos simétricos e assimétricos.
Figura 11.17: captura de tela do pacote de criptografia avançada

Segurança de dados
Figura 11.18: captura de tela do pacote de criptografia avançada
Algumas ferramentas adicionais de criptografia de arquivos são as seguintes:
ÿ AxCrypt (https:// www.axcrypt.net)
ÿ Criptografia de arquivo idoo (https:// www.idooencryption.com)
ÿ Cryptomator (https:// cryptomator.org)
ÿ Criptografia (https:// macpaw.com)
ÿ AES Crypt (https:// www.aescrypt.com)

Segurança de dados
Criptografia de mídia removível: implementando o removível

Criptografia de mídia no Windows
Conecte o dispositivo de mídia removível a uma porta USB do seu computador
Vá para Iniciar ÿ Painel de Controle ÿ Sistema e Segurança ÿ Criptografia de Unidade de Disco BitLocker (Gerenciar BitLocker)
Criptografia de mídia removível: implementando a criptografia de mídia removível em

janelas
Mídias removíveis, como unidades flash USB, iPods, smartphones, tablets, câmeras digitais, discos rígidos portáteis,
etc., prevalecem em um local de trabalho e representam uma ameaça real para uma organização.
Com esses dispositivos, os invasores podem introduzir facilmente um código malicioso em uma rede ou transportar
dados confidenciais para fora de uma organização. Portanto, a criptografia é a melhor maneira de proteger dados
confidenciais de serem retirados de uma organização.
A criptografia pode ser aplicada à mídia removível para impedir o acesso não autorizado em caso de perda ou
roubo. Isso adicionará uma camada extra de segurança às informações confidenciais. Várias soluções de criptografia
estão disponíveis no mercado com diferentes recursos. Algumas soluções de criptografia criptografam os dados
armazenados em uma unidade local, mas não em dispositivos USB, enquanto algumas soluções de criptografia
criptografam automaticamente os dados armazenados em mídia removível. Ao selecionar uma solução de
criptografia de mídia removível, é importante verificar como ela está configurada para restringir o acesso a
dispositivos usando uma lista autorizada, dispositivos pessoais, uma cópia de arquivo autorizada e chaves de
criptografia.
Sistemas operacionais como Windows, Linux e Mac usam alguns métodos para criptografar mídias removíveis,
como unidades USB. Eles usam recursos integrados ou soluções de criptografia de terceiros para criptografar
mídias removíveis.
Implementando Criptografia de Mídia Removível no Windows: BitLocker
Para ativar a criptografia de mídia removível no Windows 10
ÿ Conecte o dispositivo de mídia removível em uma porta USB no computador.
ÿ Vá para Iniciar ÿ Painel de Controle ÿ Criptografia de Unidade de Disco BitLocker.

Segurança de dados
Figura 11.19: Escolhendo a opção de criptografia de unidade de disco BitLocker
ÿ Selecione o dispositivo de mídia removível para criptografar e clique em Ativar BitLocker.
Figura 11.20: Ativando o BitLocker

Segurança de dados
ÿ O processo de inicialização do BitLocker será iniciado. Aguarde algum tempo para finalizar a inicialização
processar.
Figura 11.21: BitLocker iniciando a unidade
ÿ
Na janela Escolha como você deseja desbloquear esta unidade , marque a caixa de seleção Usar uma senha
para desbloquear a unidade , insira uma senha forte e clique em Avançar.
Figura 11.22: Desbloqueando o Drive

Segurança de dados
ÿ
Em Como você deseja fazer backup de sua chave de recuperação? janela, escolha Salvar em um
arquivo ou Imprimir a chave de recuperação e clique em Avançar.
Figura 11.23: Salvando em um arquivo
ÿ
Na janela Escolher a quantidade da unidade a ser criptografada , selecione Criptografar o espaço em
disco usado somente se a unidade for nova ou selecione Criptografar a unidade inteira se a unidade
contiver dados e clique em Avançar.
Figura 11.24: Escolhendo a opção Criptografar toda a unidade

Segurança de dados
ÿ
Na janela Escolha qual modo de criptografia usar , selecione Modo compatível se o usuário quiser usar a
unidade criptografada em versões mais antigas do Windows ou selecione Novo modo de criptografia se o usuário
quiser usar a unidade criptografada apenas no Windows 10.
Em seguida, clique em Avançar.
Figura 11.25: Escolhendo o modo compatível
ÿ Clique em Iniciar criptografia.
Figura 11.26: Iniciando a Criptografia

Segurança de dados
ÿ Clique em Fechar quando o processo de criptografia for concluído.
Figura 11.27: Conclusão da Criptografia
Nota: Sempre que o usuário tentar conectar a unidade criptografada, ele deverá fornecer a senha para desbloqueá-
la.

Segurança de dados
Ferramentas de criptografia de mídia removível

ÿ Uma solução para segurança USB que suporta criptografia
GiliSoft USB de dispositivo de armazenamento portátil (unidade
Criptografia idoo USB
Criptografia externa) e pode dividir a unidade externa em duas partes https:// www.idooencryption.com
após a criptografia: a área segura e a área pública
Kakasoft USB Security

https:// www.kakasoft.com
Rohos Mini Drive

https:// www.rohos.com
McAfee File & Removable Media

Protection https:// www.mcafee.com
Criptografia de mídia removível da MFG

https:// www.managedencryption.co.uk
http:// www.gilisoft.com
Ferramentas de criptografia de mídia removível
ÿ Criptografia GiliSoft USB
Fonte: http:// www.gilisoft.com
GiliSoft USB Encryption é uma solução para segurança USB que suporta a criptografia de dispositivos
de armazenamento portáteis (unidades externas) e pode dividir uma unidade externa em duas partes
após a criptografia: uma área segura e uma área pública. Ele converte uma unidade flash USB comum
em uma unidade segura em menos de um minuto, e os dados na área protegida (área segura) são
criptografados por uma criptografia instantânea AES de 256 bits.

Segurança de dados
Figura 11.28: captura de tela da criptografia GiliSoft USB
Algumas ferramentas adicionais de criptografia de mídia removível são as seguintes:
ÿ Idoo USB Encryption (https:// www.idooencryption.com)

ÿ Kakasoft USB Security (https:// www.kakasoft.com)
ÿ Rohos Mini Drive (https:// www.rohos.com)
ÿ McAfee File & Removable Media Protection (https:// www.mcafee.com)
ÿ Criptografia de mídia removível da MFG (https:// www.managedencryption.co.uk)

Segurança de dados
Fluxo do módulo
04
de dados
sua importância
Discutir backup e retenção de dados

A perda de dados é um grande risco que as organizações enfrentam hoje. A perda de dados críticos
pode resultar em muitos danos à organização. Qualquer organização que se depara com uma perda
crítica de dados tem maior probabilidade de enfrentar problemas sérios posteriormente. Portanto, você
deve ter um forte plano de backup e retenção de dados para lidar com esses incidentes. O objetivo
desta seção é explicar o conceito de backup e retenção de dados.

Segurança de dados
Introdução ao backup de dados
O backup de dados é o processo de fazer uma cópia duplicada de

dados críticos, como registros físicos (papel) e de computador
É usado principalmente para duas finalidades: restaurar um

sistema ao seu estado normal de trabalho após danos ou recuperar
dados e informações após perda ou corrupção de dados
Uma estratégia de backup de dados bem-sucedida é necessária

para evitar danos graves aos ativos de uma organização
Introdução ao backup de dados
O backup de dados é o processo de copiar ou armazenar dados importantes. Uma cópia de backup ajudará você a restaurar
os dados originais quando os dados forem perdidos ou corrompidos. O backup é um processo obrigatório para todas as
organizações. O processo de recuperação de arquivos perdidos de um backup é conhecido como restauração ou recuperação
de arquivos.
A ideia principal por trás do backup de dados é proteger dados e informações e recuperá-los após a perda de dados. O
backup de dados é usado principalmente para duas finalidades: restabelecer um sistema ao seu estado de funcionamento
normal após danos ou recuperar dados e informações após perda ou corrupção de dados.
A perda de dados em uma organização afeta suas finanças, relacionamento com clientes e dados da empresa. A perda de
dados em computadores pessoais pode levar à perda de arquivos pessoais, imagens e outros documentos importantes
salvos no sistema.
Razões para perda de dados
ÿ Erro humano: Exclusão de dados propositalmente ou acidentalmente, extravio de armazenamento de dados

dispositivos e erros na administração de bancos de dados.
ÿ Crimes: Roubar ou fazer modificações em dados críticos em uma organização.
ÿ Causas naturais: falhas de energia, alterações repentinas de software ou danos ao hardware.
ÿ Desastres naturais: Enchentes, terremotos, incêndios, etc.
Benefícios de realizar um backup de dados
ÿ
Ele oferece acesso a dados críticos mesmo em caso de desastre, garantindo tranquilidade no local de trabalho.

Segurança de dados
ÿ O backup de dados críticos evita que uma organização perca seus negócios. Também ajuda
eles recuperam dados a qualquer momento.
ÿ A recuperação de dados ajuda as organizações a recuperar dados perdidos e garantir a continuidade dos negócios.
Recomenda-se que toda organização realize um backup de dados regularmente para executar seus negócios com sucesso e
eficiência.
Para evitar danos graves aos ativos de uma organização, é importante projetar uma estratégia para um processo de backup de
dados bem-sucedido. No futuro, essa estratégia de backup de dados pode atuar como um projeto enquanto trabalha no processo
de backup de dados para toda a organização. Algumas empresas também criam uma política de backup de dados que é
necessária ao implementar uma estratégia de backup.

Segurança de dados
Estratégia/Plano de Backup de Dados
1 2 3 4
Identificando os dados Selecionando a mídia de Selecionando uma Selecionando os
críticos de negócios backup tecnologia de backup níveis de RAID apropriados
5 6 7 8
Selecionando um Selecionando os tipos de Escolhendo a solução de Conduzindo um
método de backup apropriado backup backup certa teste de broca de recuperação
Estratégia/Plano de Backup de Dados
Uma estratégia de backup ideal inclui etapas que vão desde a seleção dos dados corretos até a realização de uma simulação
de restauração de dados de teste. Embora a estratégia de backup possa diferir entre organizações, é importante considerar os
seguintes recursos antes de elaborar uma estratégia de backup:
ÿ A estratégia de backup deve ter um recurso de recuperação de dados de qualquer dispositivo externo.
Esses dispositivos podem incluir servidores, máquinas host, laptops, etc.
ÿ
Se a perda de dados for causada por um desastre natural, a estratégia de backup não deve se restringir a apenas um
determinado número de incidentes. A estratégia também deve abranger os métodos de recuperação dos dados após
um desastre natural.
ÿ A estratégia deve incluir as etapas para recuperar os dados o mais cedo possível.
ÿ Quanto menor o custo da recuperação de dados, maior o benefício financeiro para a organização.
ÿ As opções de recuperação automática também devem ser incluídas na estratégia de backup, pois reduzem as chances
de erro humano durante o processo de recuperação.
Etapas envolvidas na estratégia/plano de backup de dados:
1. Identificando os dados críticos de negócios 5. Selecionando um método de backup

apropriado
2. Selecionando a mídia de backup
6. Selecionando os tipos de backup
3. Selecionando uma tecnologia de backup
7. Escolhendo a solução de backup certa
4. Selecionando os níveis de RAID apropriados
8. Realização de um teste de simulação de recuperação

Segurança de dados
Selecionando a mídia de backup
Os backups de dados consomem uma grande quantidade de

espaço de armazenamento. Portanto, selecione o melhor método
de backup para atender aos requisitos da organização
Escolha
sua mídia de backup
com base nesses
fatores
Velocidade
Selecionando a mídia de backup
Escolher a melhor mídia de backup é uma preocupação comum na maioria das organizações. A seleção de um
dispositivo de mídia errado pode levar a uma segregação de dados em diferentes dispositivos de mídia. Com um
plano cuidadosamente considerado, selecionar uma mídia apropriada permitirá um melhor nível de backup de dados.
Uma vez identificados os dados, é importante escolher uma mídia de backup apropriada para armazenar os dados.
A seleção da mídia de backup depende do tipo e quantidade de dados no backup. Às vezes, o backup de dados
consome uma grande quantidade de espaço; conseqüentemente, uma atenção redobrada é necessária para
selecionar a melhor mídia de backup para uma situação e atender às necessidades organizacionais.
A escolha da melhor mídia de backup é baseada nos seguintes fatores: ÿ Custo:
a organização deve ter mídias de armazenamento de backup que melhor se encaixem em seu orçamento. A
mídia de backup deve ter mais espaço de armazenamento do que os dados que ela conterá.
ÿ Confiabilidade: As organizações devem poder confiar nos dados armazenados na mídia de backup sem
falhas. As organizações devem selecionar uma mídia confiável e não suscetível a danos ou perdas.
ÿ Velocidade: As organizações devem selecionar mídias de backup que exijam um número reduzido de
interações humanas durante o processo de backup. A velocidade se torna uma preocupação se o processo
de backup não puder ser concluído quando uma máquina estiver ociosa.
ÿ Disponibilidade: A indisponibilidade da mídia de backup pode ser um problema após a perda ou corrupção
de dados. As organizações devem decidir sobre um meio que esteja sempre disponível.
ÿ Usabilidade: As organizações devem selecionar uma mídia que seja fácil de usar. Um tipo de mídia fácil
tem uma maior flexibilidade durante o processo de backup.

Segurança de dados
Exemplos de dispositivos de mídia de backup de dados

meios de comunicação
Capacidade Vantagens Desvantagens Ilustrações
ÿ Várias trocas manuais de disco podem ser

necessárias devido à capacidade limitada de
discos ópticos ÿ Acessível, fácil de armazenar e transportar
~200 GB dados ÿ Gravar e verificar um backup é lento
(DVD)
ÿ Armazenamento relativamente maior
Discos rígidos capacidade do que discos ópticos ÿ Mais caro que os backups em DVD
portáteis/unidades sem limite ÿ Ideal para o lar ou pequenos ÿ Menos recomendado para pequenos
flash USB escritórios
cópias de segurança
ÿ Gravação mais rápida de backups
ÿ Mídia para backups de nível empresarial

ÿ Caro
unidades de fita sem limite ÿ Fácil de armazenar e transportar
Exemplos de dispositivos de mídia de backup de dados
ÿ Discos Ópticos (DVD)
Os discos graváveis de DVD podem armazenar até ~200 GB de dados e estão prontamente disponíveis. Os
DVDs armazenam mais dados e estão disponíveis a preços acessíveis, em massa, se necessário. No entanto,
eles não são tão usados como no passado, pois os discos rígidos externos estão disponíveis a preços
razoáveis e podem armazenar mais dados do que os DVDs.
Vantagem :
• Menos caro, fácil de armazenar e transportar
o Desvantagem:
• Várias trocas manuais de disco podem ser necessárias devido à capacidade limitada de dados
• Gravar e verificar um backup é lento
ÿ Discos Rígidos Portáteis/Unidades Flash USB
Os discos rígidos portáteis são considerados um meio melhor para backup de dados do que um DVD. Eles estão
disponíveis em altas capacidades e também podem ser usados para backups menores. As unidades flash estão
disponíveis em tamanhos diferentes e têm a capacidade de armazenar grandes arquivos de backup.
RAID é outra opção de disco rígido disponível. Ele contém dois ou mais discos rígidos. A segunda unidade
pode ser usada para copiar dados armazenados na primeira unidade. Este processo permite que dados
importantes sejam preservados. Qualquer alteração nos dados também será refletida automaticamente em
todas as outras unidades.
Vantagens :
• Capacidade de armazenamento relativamente maior do que os discos ópticos

Segurança de dados
• Ideal para casa ou pequenos escritórios
• Gravação mais rápida de backups
o Desvantagens:
• Caro que o DVD
• Menos recomendado para pequenos backups
ÿ Unidades de Fita
Uma unidade de fita é considerada a melhor mídia para backup de dados. Ele facilita o backup de dados em
nível empresarial. As unidades de fita são usadas para armazenar programas e dados. Não há limite na
capacidade de armazenamento e pode ser usado para armazenar grandes quantidades de dados.
Vantagens :
• Mídia para backups de nível empresarial
• Fácil de armazenar e transportar
• Não requer intervenção do usuário
• O backup em fita é totalmente automático
o Desvantagens:
• Caro para usuários domésticos
• Os computadores domésticos requerem atualizações adicionais de hardware e software

Segurança de dados
Matriz redundante de independente

Tecnologia de discos (RAID)
Um método de combinar vários discos rígidos em uma única unidade e gravar dados em várias
01 unidades de disco, oferecendo tolerância a falhas (se uma unidade falhar, o sistema pode continuar
operando)
A colocação de dados em discos RAID permite uma sobreposição equilibrada de entrada/saída
02 (E/S), melhorando o desempenho do sistema, simplificando o gerenciamento de

armazenamento e protegendo contra perda de dados
RAID representa uma parte do armazenamento do computador que pode dividir e replicar
03 dados entre várias unidades, funcionando como armazenamento secundário
O RAID tem seis níveis: RAID 0, RAID 1, RAID 3, RAID 5, RAID 10 e RAID 50, para funcionar
04 de forma eficaz. Todos os níveis de RAID dependem das seguintes técnicas de armazenamento:
Striping aposta aí Espelhamento
Tecnologia Redundant Array Of Independent Disks (RAID)
Muitas organizações dependem da tecnologia RAID para lidar com suas necessidades críticas de backup,
especialmente com o aumento do fluxo e volume de dados. As organizações estão expandindo suas redes
para melhorar sua produtividade. No entanto, esse aumento adicional pode causar gargalos na rede. A
probabilidade de perda de dados devido a desastres, ameaças, erros e falhas de hardware prejudica a
capacidade de crescimento de uma organização. A tecnologia RAID supera essas situações, oferecendo
uma opção de disponibilidade de dados, alto desempenho, opções de recuperação eficientes e acessíveis
sem perda de dados.
Compreendendo a tecnologia RAID
A tecnologia RAID é usada para armazenar dados em locais diferentes em vários discos. Armazenar os
dados em vários discos melhora o desempenho das operações de E/S. A tecnologia RAID funciona
implementando vários discos rígidos como um único disco lógico. Ele permite um armazenamento mais
equilibrado dos mesmos dados em uma matriz de discos. Uma implementação eficaz dessa tecnologia ajuda
a resolver os problemas complexos de tolerância a falhas. Os dados organizados em níveis RAID dependem
das técnicas de armazenamento RAID e métodos de instalação. Normalmente, a implementação do RAID é
feita em um servidor. Embora os computadores pessoais não precisem necessariamente dessa tecnologia,
eles ainda podem configurá-la e utilizá-la em um ambiente menor do que uma empresa.
O RAID tem seis níveis para funcionar de forma eficaz: RAID 0, RAID 1, RAID 3, RAID 5, RAID 10 e RAID
50. Cada nível tem os seguintes recursos:
ÿ Tolerância a falhas: Mesmo que um disco não funcione, outros discos continuarão funcionando
normalmente.
ÿ Desempenho: o RAID atinge alto desempenho durante os processos de leitura e gravação em

vários discos.

Segurança de dados
ÿ Competência: É definida pela quantidade de dados armazenados. A capacidade de armazenamento dos discos
depende do nível de RAID escolhido. A capacidade de armazenamento não precisa ser igual ao tamanho dos
discos RAID individuais.
Todos os níveis de RAID dependem das técnicas de armazenamento listadas abaixo:
ÿ Striping: Striping divide os dados em vários blocos. Esses blocos são posteriormente gravados no sistema RAID.
Striping melhora o desempenho do armazenamento de dados.
ÿ Espelhamento: O espelhamento de dados faz cópias de imagem dos dados e armazena simultaneamente esses
dados no RAID. Isso afeta a tolerância a falhas e o desempenho dos dados.
ÿ Paridade: Paridade usa um método de distribuição para calcular a função de paridade de um bloco de dados.
Durante uma falha de unidade, a paridade recalcula a função usando um método de soma de verificação.

Segurança de dados
Vantagens/Desvantagens dos Sistemas RAID
ÿ RAID oferece hot-swap ou hot plugging, ou seja, substituição de ÿ RAID não é compatível com alguns componentes de hardware
componentes do sistema (caso uma unidade falhe) sem afetar e sistemas de software , por exemplo, programas de
a funcionalidade da rede imagem do sistema
ÿ Dados RAID são perdidos se unidades importantes falharem

ÿ RAID suporta distribuição de disco, resultando em um uma após a outra, por exemplo, RAID 5, onde uma unidade
melhor desempenho de leitura/gravação, pois o sistema usada exclusivamente para paridade não pode recriar a primeira
utiliza completamente a velocidade do processador unidade se uma segunda unidade também falhar
ÿ A verificação de paridade RAID aumentada evita uma falha do ÿ O RAID não pode proteger os dados e oferecer um
sistema ou perda de dados aumento de desempenho para todos os aplicativos
Vantagens/Desvantagens dos Sistemas RAID
Antes da introdução da tecnologia RAID, muitas organizações usavam uma única unidade para armazenar dados.
A tecnologia RAID agora é encontrada em todos os dispositivos de armazenamento de uma organização. Vantagens e
desvantagens do RAID dependem do nível implementado.
Vantagens dos Sistemas RAID
ÿ Desempenho e confiabilidade: a tecnologia RAID aumenta o desempenho de leitura/gravação dos dados em

discos. A velocidade é muito mais rápida do que ao usar uma única unidade como armazenamento. Melhora o
desempenho distribuindo a E/S. Um controlador RAID distribui dados por várias unidades físicas, garantindo que
uma única unidade no sistema RAID não seja sobrecarregada. O RAID mantém a confiabilidade dos dados
mesmo se um disco falhar. Componentes com falha podem ser substituídos em um sistema RAID sem desligar o
sistema. Esse recurso é chamado de hot swapping ou hot plugging. O processo de substituição não afeta a rede
ou o funcionamento dos outros discos.
ÿ Verificação de paridade : A verificação de paridade é um processo em que o sistema RAID compara os dados
armazenados em um sistema travado com os dados armazenados em outros discos. Este processo de verificação
é realizado em todas as unidades. A verificação de paridade é realizada após o espelhamento dos dados.
As verificações regulares de paridade detectam a probabilidade de falha do sistema, evitando assim a perda de
dados.
ÿ Redundância de dados: Um disco pode falhar a qualquer momento. Portanto, a redundância de dados é importante
para uma organização. O RAID fornece redundância de dados aprimorada em caso de falha de hardware.
ÿ Distribuição de disco: A distribuição de disco melhora o desempenho de leitura/gravação dos dados. Os dados são
divididos em pequenos pedaços e distribuídos em vários discos. Dependendo do

Segurança de dados
nível de RAID implementado, os dados são divididos em bytes, bits ou blocos. A leitura e gravação de dados podem
ser feitas simultaneamente em um sistema RAID.
ÿ Tempo de atividade do sistema: essa métrica detecta a confiabilidade e a estabilidade de um computador. O tempo
de atividade do sistema define o tempo até o qual um sistema pode ser deixado desacompanhado sem qualquer
assistência. A configuração do RAID em um sistema ajuda a aumentar o tempo de atividade do sistema. Um alto
tempo de atividade do sistema em uma organização significa uma alta produtividade.
Desvantagens dos Sistemas RAID
ÿ Gravando drivers de rede: a tecnologia RAID foi projetada para ser amplamente utilizada em servidores. Uma grande
desvantagem da tecnologia RAID é a gravação de todos os drivers de rede. A tecnologia RAID é complexa e esse
processo pode ser demorado.
ÿ Incompatibilidade: Diferentes sistemas suportam diferentes tipos de drives RAID. Certos componentes de hardware ou
software podem não ser compatíveis com a unidade RAID configurada em um servidor. Esta incompatibilidade pode
fazer com que o RAID não funcione corretamente. A compatibilidade entre unidades RAID, hardware e software deve
ser verificada antes de configurar um sistema. O RAID pode proteger os dados de todos os aplicativos disponíveis na
rede. Por exemplo, o RAID não é compatível com a imagem do sistema
programas.
ÿ Perda de dados: Todas as unidades RAID funcionam no mesmo ambiente. Eles podem se tornar não funcionais devido
a problemas mecânicos. Assim, a potencial perda de dados aumenta se os discos falharem um após o outro. Quando
duas unidades falham ao mesmo tempo, a recuperação dos dados do disco torna-se difícil. Por exemplo, RAID 5,
onde uma unidade usada exclusivamente para paridade não pode recriar a primeira unidade se uma segunda unidade
também falhar.
ÿ Tempo consumido na reconstrução: O aumento da capacidade do drive foi muito maior do que o aumento da
velocidade de transferência. A recuperação de dados de unidades com grande capacidade de armazenamento pode
ser demorada. Nesses cenários, a reconstrução de um disco com falha também pode ser demorada. Aumentar o
número de unidades não ajuda a aumentar a velocidade de transferência de dados.
ÿ Custo: A implementação da tecnologia RAID pode ser cara. As organizações precisam contratar consultores para
sustentar seu desempenho. Ele também requer controladores RAID externos e discos rígidos para funcionar
corretamente, e isso aumenta o custo geral.
ÿ O RAID não pode proteger os dados e oferecer um aumento de desempenho para todos os aplicativos.
ÿ RAID deve ser mantido por consultores comerciais.
ÿ A configuração do RAID é difícil.

Segurança de dados
Arquitetura de armazenamento RAID
Configuração
Conexão de rede ao host
Dados
ATAQUE
Diário de RAID, SDRAM
Log de
Controlador DIMM
SAN/NAS/Host transações e erros
firmware
Interface Arquivo
multiportas
Controle de backup
Memória
Processador
Controlador
Processador Processador de Controle RAID
Interfaces SAS/SATA NAND
INSTANTÂNEO
SAS/SATA SAS/SATA SAS/SATA SAS/SATA

Backup de bateria ou ultracapacitor
HD ou SSD HD ou SSD HD ou SSD HD ou SSD
Unidade
Expansor SATA/SAS
Cache de memória RAID primário
SAS/SATA SAS/SATA SAS/SATA SAS/SATA

HD ou SSD HD ou SSD HD ou SSD HD ou SSD
Arquitetura de armazenamento RAID (continuação)
Controlador RAID
1
Gerencia uma matriz de unidades de disco físicas e as apresenta ao
computador como unidades lógicas
Interface IDE, SATA ou SCSI

2
As unidades internas são conectadas usando essas interfaces; A conexão
com o servidor também é feita por meio de uma dessas interfaces
Armazenar
Controlador de Memória Multiporta

3
Fornece acesso a um banco de memória e ajuda a obter uma alta
eficiência com acessos aleatórios a endereços
4 SDRAM
Memória dinâmica de acesso aleatório (DRAM) sincronizada com a
velocidade do clock da CPU

Segurança de dados
Armazenamento RAID
Arquitetura (continuação)
RAID Primário
nvSRAM Memória Flash NAND Disco
Cache de Memória
ÿ Cache é usado para escrever ÿ nvSRAM é o mais rápido ÿ Fornece um armazenamento ÿ O hardware apresenta o RAID
os dados em transição. RAM não volátil na não volátil para o cache ao sistema host como um
Um sistema RAID usa um indústria com tempo de principal do sistema RAID disco único e grande
cache para acelerar o acesso de leitura e
desempenho de E/S no gravação de 20 ns
sistema de armazenamento
Arquitetura de armazenamento RAID
A arquitetura RAID depende de dois princípios: redundância e paralelismo, proporcionando uma ampla gama
de opções de armazenamento com melhor desempenho e livre de falhas de disco. A pegada cada vez maior
da Internet levou a um aumento no uso de sistemas RAID por causa de suas altas capacidades de
armazenamento de dados e sistemas de gerenciamento. Muitas implementações de RAID disponíveis
dependem dos seguintes fatores: paralelismo, duplicação e redundância.
Em uma arquitetura RAID, um switch recebe os dados dos servidores conectados à rede. O switch então envia
os dados para o processador em um estágio posterior. O processador transfere os dados recebidos para um
controlador RAID. O controlador RAID pode ser implementado como um hardware usando um RAID-on-Chip
(ROC) ou em um software. O ROC pode conter as interfaces de E/S, um processador, uma interface de host e
um controlador de memória. O ROC é instalado diretamente em uma placa-mãe usando uma placa de
expansão ou em um gabinete de drive externo.

Segurança de dados
Figura 11.29: Arquitetura de armazenamento RAID
A arquitetura de armazenamento RAID descreve como o servidor RAID funciona. O processador controla todo
o funcionamento das matrizes e interfaces do drive. Ele fornece funções flexíveis e de alto desempenho. A
arquitetura na figura acima mostra que um sistema RAID pode depender de unidades de disco rígido (HDDs)
e também de SSDs. O processador requer memória flash DRAM e NAND. A memória flash NAND fornece um
armazenamento não volátil para o cache de memória RAID primário.
Um backup de bateria ou uma unidade ultracapacitor no cache de memória RAID primário é útil quando o
processador de controle RAID sofre uma falha de energia. Nesse cenário, o backup da bateria copia
independentemente o conteúdo da DRAM para a memória flash NAND. Um backup de bateria é uma
alternativa barata durante uma perda de energia. A arquitetura mostra o requisito de uma memória não volátil
no firmware do controlador RAID, no diário RAID e nos arquivos de log de transações e erros.
Principais componentes de uma arquitetura RAID

ÿ Controlador RAID: Este é baseado em hardware ou software e contém os HDDs ou unidades de
estado sólido como uma única unidade lógica. Um controlador RAID tem permissão para acessar
várias cópias de arquivos presentes em vários discos, evitando danos e aumentando o desempenho
do sistema. Em um RAID de hardware, um controlador físico gerencia a matriz RAID com um
controlador na forma de uma placa PCI que suporta SATA ou SCSI. Um RAID de software funciona
de forma semelhante a um RAID de hardware, exceto que seu desempenho é inferior ao anterior.

Segurança de dados
ÿ Cache de memória RAID primário: O controlador RAID tem acesso direto à memória cache, permitindo
acesso mais rápido de leitura e gravação ao sistema de armazenamento. O cache é usado para
armazenar os dados alterados. A memória cache é maior em tamanho e usa SDRAMs de alta
velocidade. Uma memória cache normal possui um cache de gravação e um cache de leitura
separado. O cache de leitura diminui a latência do processo de leitura. Existem dois tipos de memórias
cache de gravação:
o Modo write-through: ignora a memória cache e grava os dados diretamente no disco depois que o
host os envia. O host envia o próximo item de dados após receber uma confirmação de que o
processo de gravação foi concluído.
o Modo write-back: os dados enviados do host são gravados na memória cache. O host pode
executar outras ações enquanto o controlador RAID transfere dados do cache para a unidade de
disco. O controlador RAID reconhece o processo de gravação no host logo após gravar os dados
no cache. Podem surgir problemas se um controlador RAID enviar uma confirmação antes que
os dados tenham sido completamente gravados no disco.
ÿ Interfaces IDE, SATA ou SCSI: IDE, SATA ou SCSI são cabos de dispositivo que transmitem sinais de
leitura/gravação de e para a unidade. Estes são usados principalmente para conectar as unidades
internamente. Além disso, os servidores são conectados usando essas interfaces.
o IDE: Integrated drive electronics (IDE) permite a conexão de dois dispositivos por canal. Normalmente
é usado para dispositivos internos, pois os cabos são grandes e planos.
o SATA: Serial ATA lida com hot plugging e conectividade serial. A técnica de hot plugging pode ser
usada para substituir componentes do computador sem desligar o sistema. O SATA permite
apenas uma conexão por conector e não é flexível para fins industriais.
o SCSI: Small computer system interface (SCSI) permite que vários dispositivos sejam conectados a
uma única porta ao mesmo tempo. O SCSI usa um cabo paralelo para conectar dispositivos
internos e externos.
ÿ nvSRAM: SRAM não volátil, ou nvSRAM, tem um processo de leitura e gravação mais rápido (tempo
de acesso de leitura e gravação de 20 ns) devido à presença de uma interface SRAM assíncrona
padrão. A nvSRAM garante recursos adequados de armazenamento de dados sem a necessidade de
bateria durante um desligamento. A nvSRAM é melhor usada em aplicações que requerem alta
velocidade e armazenamento não volátil a baixo custo, como na indústria médica. nvSRAM faz backup
dos dados mesmo em caso de falha de energia.
ÿ Controlador de memória multiporta: Um MPMC fornece acesso à memória para até oito portas. Um
controlador de memória pode estar presente como um chip separado ou como uma memória integrada.
Ele fornece acesso a um banco de memória e ajuda a obter uma alta eficiência com acessos aleatórios
a endereços.
ÿ Memória flash NAND: A memória flash é um meio de armazenamento projetado a partir da memória
somente leitura programável apagável eletricamente (EEPROM). NAND e NOR são dois tipos de
memórias flash. Ele fornece um armazenamento não volátil para o cache principal do sistema RAID.

Segurança de dados
Seu principal objetivo é reduzir custos e aumentar a capacidade. Não requer energia para reter os
dados. Ele pode melhorar seus ciclos de leitura e gravação com demandas de tensão reduzidas.
ÿ SDRAM: Synchronous dynamic random access memory ou DRAM síncrona (sDRAM) é uma memória
sincronizada com a velocidade do clock do processador. Isso aumenta o número de instruções que
o processador pode processar. A velocidade da SDRAM é medida em Mega Hertz (MHz). Ele é
dividido em várias seções chamadas de bancos que permitem ao dispositivo operar em vários
comandos de acesso à memória simultaneamente.
ÿ Disco: O hardware apresenta o RAID para o sistema host como um disco único e grande.

Segurança de dados
RAID nível 0: divisão de disco

O RAID nível 0 divide os dados em blocos que são gravados uniformemente em vários discos rígidos
Melhora o desempenho de E/S distribuindo a carga de E/S por vários canais e unidades de disco
A recuperação de dados não é possível se uma unidade falhar
Requer um mínimo de duas unidades
Não fornece redundância de dados
RAID 0
UMA B
C D
E F
G H
Disco 0 Disco 1
RAID nível 0: divisão de disco
Dependendo do requisito de sua organização, você pode escolher qualquer nível de RAID. Os níveis de RAID são
baseados em desempenho, tolerância a falhas ou ambos.
O RAID 0 lida com o desempenho dos dados. Nesse nível, os dados são divididos em seções e gravados em várias
unidades. A capacidade de armazenamento do RAID 0 é igual à soma das capacidades dos discos do conjunto. O
RAID 0 não fornece tolerância a falhas. Requer um mínimo de duas unidades. Não fornece redundância de dados. A
falha de um disco pode levar à falha de todos os discos em um volume de nível 0. A probabilidade de recuperar dados
de um RAID nível 0 é mínima.
A distribuição de dados em um RAID nível 0 é igual entre todos os conjuntos de discos, resultando em alto
desempenho. Com alto desempenho simultâneo, a taxa de transferência das operações de leitura e gravação em
vários discos é igual à taxa de transferência da matriz de discos. O aumento da taxa de transferência é uma vantagem
do RAID 0, considerando que a recuperação de dados não está disponível. Os controladores RAID de software e
hardware suportam RAID 0, ajudando a aumentar o desempenho do servidor.
Exemplo: Suponha que a infraestrutura de TI possua um disco rígido de alto desempenho. Os dados no disco rígido
são transferidos a uma velocidade notavelmente alta. Todos os arquivos grandes e críticos são armazenados neste
disco. No entanto, se este disco falhar, todo o conteúdo dos arquivos será afetado, levando à indisponibilidade dos
dados. É aconselhável não armazenar nenhum dado crítico em um RAID nível 0.
Vantagens do RAID nível 0
ÿ Desempenho de leitura e gravação: RAID nível 0 tem um bom desempenho de leitura e gravação. O
desempenho é ainda melhor quando o controlador suporta leituras e gravações independentes em diferentes
discos no array.
ÿ Custo: RAID nível 0 é mais econômico do que os outros níveis de RAID.

Segurança de dados
ÿ Implementação: É fácil de implementar, pois os dados são divididos em um conjunto sequencial de

blocos. Não há perda de armazenamento, pois a capacidade máxima é utilizada.
Desvantagens do RAID Nível 0
ÿ Sem redundância: Sem redundância de dados, a perda de dados é maior.
ÿ Dados não críticos : Os dados que não são críticos para a organização podem ser armazenados no RAID
nível 0. Este nível não usa espelhamento. A recuperação não é possível se dados críticos forem perdidos
no nível 0 do RAID.
ÿ Não confiável: Se um disco falhar, toda a rede será afetada.
Figura 11.30: RAID nível 0

Segurança de dados
RAID Nível 1: Espelhamento de Disco

Várias cópias de dados são gravadas em várias unidades ao mesmo tempo
Ele fornece redundância de dados duplicando os dados da unidade em várias

unidades
Se uma unidade falhar, a recuperação de dados é possível
Requer um mínimo de duas unidades
RAID 1
UMA UMA
B B
C C
D D
Disco 0 Disco 1
RAID Nível 1: Espelhamento de Disco
Um típico RAID 1 contém uma cópia exata dos dados em dois ou mais discos. O RAID 1 grava dados em várias unidades e
em várias unidades espelhadas ao mesmo tempo. A falha de uma unidade não afeta os dados em outras unidades. Isso
permite a recuperação de dados da unidade de espelhamento. Semelhante ao RAID
0, o RAID 1 não fornece paridade, remoção ou expansão de espaço em disco em vários discos. O RAID 1 pode ser usado
em contabilidade, folha de pagamento e outros aplicativos financeiros.
O RAID 1 é adequado para ambientes em que o desempenho de leitura é mais importante do que o desempenho de
gravação. O RAID 1 melhorou o desempenho de leitura porque os dados em um disco podem ser lidos simultaneamente.
O RAID nível 1 fornece confiabilidade de dados em caso de falha de disco, pois ainda pode fornecer acesso aos mesmos
dados espelhados em outros discos. Em uma implementação de hardware RAID 1, são necessários no mínimo dois discos.
Em um software RAID 1, os dados podem ser copiados para um volume de disco. O RAID 1 reduz a capacidade total do
disco pela metade.
Exemplo: Se um servidor RAID 1 estiver configurado com dois drives de 4 TB, a capacidade de armazenamento será de 4
TB e não de 8 TB.
A unidade que acessar os dados primeiro atenderá à solicitação. A taxa de transferência de gravação no RAID 1 é sempre
mais lenta porque cada unidade precisa ser atualizada. Assim, seu desempenho é limitado pela unidade mais lenta. É tão
rápido quanto sua unidade mais lenta. O RAID 1 continuará funcionando enquanto houver pelo menos uma unidade
funcionando.
ÿ Alto desempenho de leitura: como há dois discos, o desempenho de leitura é maior em um sistema RAID nível 1.
Os dados podem ser lidos simultaneamente enquanto são gravados no outro disco. Assim, a redundância é
excelente.

Segurança de dados
ÿ Compatibilidade: RAID 1 é compatível com sistemas RAID de hardware e software, incluindo controladores.
ÿ Confiabilidade: O recurso de espelhamento em um RAID 1 garante que os dados estarão disponíveis, tornando
é mais confiável do que um RAID nível 0.
Desvantagens do RAID Nível 1
ÿ Capacidade: RAID nível 1 sofre duplexação, que precisa do dobro da quantidade de disco
espaço para armazenamento.
ÿ Hot swapping indisponível: Se um disco não for executado, ele não poderá ser substituído enquanto o
servidor ainda estiver em operação. Isso é chamado de troca a quente. RAID nível 1 não suporta hot swap.

Segurança de dados
RAID nível 3: divisão de disco com paridade

Os dados são distribuídos no nível de byte em várias unidades. Uma unidade
01 por conjunto é usada para informações de paridade
Se uma unidade falhar, a recuperação de dados e a correção de erros são

02 possíveis usando a unidade de paridade no conjunto
03 A unidade de paridade armazena as informações em várias unidades
Paridade
Geração
A0 A1 A2 A3
B0 B1 B2 B3
C0 C1 C2 C3
D0 D1 D2 D3
Disco 4
Disco 0 Disco 1 Disco 2 Disco 3
RAID nível 3: divisão de disco com paridade
O nível 3 do RAID é a distribuição de disco com paridade. Ele usa striping e paridade como seus principais recursos para
armazenar dados. Para implementar um sistema RAID nível 3, são necessários no mínimo três discos. Os dados são
armazenados em várias unidades no nível de byte. Este nível de RAID dedica uma unidade para armazenar as informações de
paridade. A divisão em nível de byte permite que os drives funcionem simultaneamente. A qualquer momento, uma operação de
leitura ou gravação pode ocorrer. O RAID 3 é uma boa escolha para bancos de dados especializados ou sistemas de usuário
único.
O nível 3 do RAID possui uma alta taxa de transferência de dados junto com a segurança dos dados. Ele pode executar
recuperação de dados e correção de erros calculando um OR (XOR) exclusivo das informações gravadas na unidade de
paridade.
Vantagens do RAID Nível 3
ÿ Alta taxa de transferência: RAID nível 3 fornece alta taxa de transferência para operações de leitura e gravação
para grandes transferências de dados.
ÿ Resistente: Este nível de RAID é resistente a falhas e avarias de disco.
Desvantagens do RAID nível 3
ÿ Complexidade: A instalação e configuração de um sistema RAID nível 3 é complexa. Seu

a implementação requer um número maior de recursos.
ÿ Desempenho lento: Operações aleatórias afetam seu desempenho, reduzindo assim

Rapidez.

Segurança de dados

Segurança de dados
RAID Nível 5: Paridade Distribuída Intercalada em Bloco

Os dados são distribuídos no nível de byte em várias unidades e as
1 informações de paridade são distribuídas entre todas as unidades membros
2 O processo de gravação de dados é lento
3 Este nível requer um mínimo de três drives para serem configurados
RAID 5
A1 A2 PA
B1 PA B2
CP C1 C2
D1 D2 DP
Disco 0 Disco 1 Disco 2
RAID Nível 5: Paridade Distribuída Intercalada em Bloco
RAID nível 5 envolve uma paridade distribuída intercalada por bloco; ele inclui um striping em nível de bloco com uma paridade
distribuída. As informações de paridade são distribuídas entre todas as unidades, exceto uma. Os fragmentos de dados em um
sistema RAID nível 5 são maiores que o tamanho normal de E/S, mas podem ser redimensionados. Para evitar a perda de dados
após uma falha de unidade, os dados podem ser calculados a partir da paridade distribuída.
O RAID 5 precisa de pelo menos três discos; no entanto, mais de três discos podem ser usados para um melhor desempenho. O
RAID 5 não é uma boa escolha para operações de gravação no sistema. Reconstruir a matriz RAID 5 após uma falha de disco
leva muito tempo. O desempenho pode ser prejudicado quando o array está sendo reconstruído, tornando-o vulnerável a falhas
de disco adicionais. Esse nível oferece desempenho de leitura significativamente melhor, pois os discos processam
independentemente as solicitações de dados.
O RAID 5 é encontrado com mais frequência em servidores de arquivos e aplicativos, servidores de banco de dados, além de
servidores da Web, de e-mail e de notícias.
ÿ Dados de leitura: Entre todos os níveis de RAID, o nível 5 possui as taxas de transação de dados de leitura mais altas.
ÿ Resistir a falhas: o RAID 5 pode suportar a falha de uma única unidade e não é afetado pela perda de dados.
ÿ Hot swapping: Em caso de falha de disco, o disco com falha pode ser substituído por um novo, sem desligamento do
servidor.
ÿ Operação de gravação lenta: servidores construídos usando RAID 5 sofrem de problemas de desempenho com
operações de gravação e, eventualmente, podem resultar em velocidades reduzidas.

Segurança de dados
Exemplo: Funcionários acessando um banco de dados em um servidor RAID 5 reduzirão o tempo de

produção do servidor.

Segurança de dados
RAID nível 10:

Blocos Listrados
e Espelhados
RAID 1+0
RAID 10 é uma combinação de RAID 0 (distribuição de dados RAID 0
01 de volume) e RAID 1 (espelhamento de disco), e sua implementação
RAID 1 RAID 1
requer pelo menos quatro unidades
Ele tem a mesma tolerância a falhas do RAID nível 1 e a mesma A1 A1 A2 A2

02
sobrecarga de espelhamento do Raid 0 A3 A3 A4 A4
A5 A5 A6 A6
Ele distribui os dados em pares espelhados. O espelhamento fornece
A7 A7 A8 A8
03 redundância e melhora o desempenho. A distribuição de dados fornece
Disco 0 Disco 1 Disco 2 Disco 3
desempenho máximo
RAID nível 10: blocos distribuídos e espelhados
O nível 10 do RAID inclui distribuição e espelhamento de disco em um nível de RAID híbrido aninhado. É uma
combinação de RAID nível 1 e RAID nível 0. Também é chamado de “faixa de espelhos”. Este nível pode ser
representado simbolicamente como RAID 1+0 ou RAID 10. O RAID 10 inclui o espelhamento do RAID 1 sem paridade
e o striping do RAID 0. O desempenho do RAID 10 é superior ao do RAID 1.
O RAID nível 10 tem a mesma tolerância a falhas que o RAID nível 1. Requer um mínimo de quatro unidades para
sua operação. O RAID 10 é uma ótima opção para servidores de banco de dados, servidores web, servidores de e-
mail, etc., e pode ser implementado em hardware ou software. O espelhamento fornece redundância e melhora o
desempenho. A distribuição de dados fornece desempenho máximo.
ÿ Operações de E/S aprimoradas: Com uma combinação dos níveis de RAID 1 e 0, ele fornece operações de
E/S aprimoradas.
ÿ Melhor throughput: Comparado com outros níveis de RAID, o RAID 10 oferece melhor
throughput e maior latência.
ÿ Operações de gravação eficientes: As operações de gravação são eficientes neste nível. Portanto, o RAID
10 geralmente é implementado em servidores de banco de dados e outros servidores que executam
operações de gravação.
ÿ Caro: o RAID 10 é caro do que outros níveis de RAID, pois requer o dobro
discos.

Segurança de dados

Segurança de dados
RAID nível 50: espelhamento e distribuição em vários

Níveis de RAID
ÿ RAID 50 é uma combinação de RAID 0 striping e a paridade distribuída de RAID 5
ÿ É mais tolerante a falhas do que um RAID 5, mas usa o dobro da sobrecarga de paridade
ÿ Um mínimo de seis drives são necessários para a configuração. Uma unidade de cada segmento pode
falhar e o array irá se recuperar. Se mais de uma unidade falhar em um segmento, o array deixará de
funcionar.
ÿ Este nível de RAID oferece melhores leituras e gravações do que um RAID 5 e os níveis mais altos
de redundância e desempenho
RAID 5+0
RAID 0
RAID 5 RAID 5
A1 A2 PA A3 A4 Ap
B1 PA B2 B3 PA B4
CP C1 C2 CP C3 C4
D1 D2 DP D3 D4 DP
Disco 0 Disco 1 Disco 2 Disco 3 Disco 4 Disco 5
RAID nível 50: espelhamento e distribuição em vários níveis de RAID
O RAID nível 50 inclui espelhamento e distribuição em vários níveis de RAID. Este nível é uma combinação de um
striping de nível de bloco de nível 0 e uma paridade distribuída de nível 5. A configuração do RAID nível 50 requer um
mínimo de seis unidades. Este nível passa por um processo de hot swap quando um disco falha. Uma unidade de cada
segmento pode falhar e a matriz será recuperada. Se mais de uma unidade falhar em um segmento, o array deixará de
funcionar.
O RAID 50 é uma melhoria em relação ao RAID 5, especificamente por sua operação de gravação e tolerância a falhas.
O RAID nível 50 pode ser implementado em servidores que executam aplicativos que exigem maior tolerância a falhas,
capacidade e desempenho de acesso aleatório. Este nível oferece proteção de dados e reconstruções mais rápidas do
que um sistema RAID 5. Um disco com falha em um segmento afeta apenas esse segmento e não toda a matriz.
Apenas esse segmento é então reconstruído. O restante do array funciona normalmente.
Vantagens
ÿ Segurança: Os dados armazenados em um RAID 50 são mais seguros do que em um RAID 5.

capacidade de armazenamento, este nível oferece melhor segurança do que o RAID 5.
ÿ Não degradável: Com o uso de no mínimo seis drives na configuração, a falha de um disco não impacta a função
do servidor neste nível.
ÿ Desempenho de leitura e gravação: O desempenho de leitura e gravação do nível 50 do RAID é muito

melhor que RAID nível 5.
Desvantagens
ÿ Controlador: Somente um controlador sofisticado pode lidar com RAID nível 50.

Segurança de dados

Segurança de dados
Rede de área de armazenamento (SAN)
Uma SAN é uma rede especializada, dedicada e discreta de alta velocidade que conecta
clientes clientes
dispositivos de armazenamento (discos, matrizes de discos, fitas, servidores, etc.) com uma
interconexão de E/S de alta velocidade (Fiber Channel, SAS, Ethernet, etc.)
E Comunicação
Camada de infraestrutura
As SANs são preferidas em grandes empresas devido à transferência de dados confiável e
escalabilidade flexível
Uma SAN suporta arquivamento de dados, backup, restauração, transferência, recuperação,

Filtro NAS de servidores de aplicativos Servidores de banco de dados
migração e espelhamento de um dispositivo de armazenamento para outro
A camada de infraestrutura de comunicação fornece as conexões físicas para os dispositivos de

rede Fibre Channel Fibre Channel
Fibra Gerenciamento
Comutadores SAN
Canal Camada
A camada de gerenciamento organiza as conexões, elementos de armazenamento e sistemas

de computador
Camada de armazenamento
A camada de armazenamento hospeda os dispositivos de armazenamento
Sistemas de disco ATAQUE Unidade de fita
Rede de área de armazenamento (SAN)
Uma rede de área de armazenamento (SAN) é uma rede de alto desempenho que interconecta dispositivos de
armazenamento com vários servidores. A função de uma SAN é transferir os recursos armazenados disponíveis na
rede comum e reorganizá-los em uma rede independente e de alto desempenho. Isso ajuda os servidores a
compartilhar seu armazenamento na rede. Principalmente, uma SAN aprimora os dispositivos de armazenamento,
como unidades de fita, unidades de disco, servidores de arquivos, RAID, etc. Uma implementação de SAN torna a
manutenção do disco controlável e mais fácil. A implementação precisa de um cabo, um switch e adaptadores de
barramento de host. Cada sistema de armazenamento na SAN deve estar interconectado e, no caso de uma
interconexão física, a largura de banda deve suportar atividades extremas de dados.
Sabemos que os sistemas em uma rede se conectam a dispositivos de armazenamento. No entanto, uma
implementação de SAN é necessária para garantir que todos os sistemas em uma rede estejam conectados a cada
dispositivo de armazenamento disponível na rede. A SAN permite que esses sistemas assumam a propriedade dos
dispositivos de armazenamento; os sistemas podem trocar a propriedade dos dispositivos de armazenamento entre si.
Compreendendo o compartilhamento de armazenamento
O funcionamento de uma SAN depende da comunicação cliente-servidor. Cada organização tem vários servidores
conectados aos sistemas.
Exemplo: Se o computador A precisar de alguns dados do computador B, ele precisará de uma cópia dos dados do
servidor ao qual o computador B está conectado. Isso pode ser feito por meio de transferência de arquivos,
comunicação entre processos e backup. Embora os dados sejam transferidos do computador B para o computador
A, é possível que o computador A encontre erros inoportunos de dados, uma transferência dispendiosa entre os dois
servidores ou outros processos operacionais. A arquitetura SAN é a solução perfeita para esse problema. Na
arquitetura SAN, todos os servidores são conectados a dispositivos de armazenamento, como unidades de fita,
RAIDs, sistemas de disco, etc. por meio de um canal de fibra. Assim, ao invés de

Segurança de dados
comunicando-se com o computador B para os dados, o computador A pode obter diretamente uma cópia dos dados dos dispositivos de
armazenamento conectados aos servidores. Para que esse processo seja bem-sucedido, os dispositivos de armazenamento de dados atuam
como um ponto de acesso comum para todos os servidores.
O compartilhamento de armazenamento SAN elimina o agendamento de transferências de dados entre servidores. Reduz o custo de
transferência de dados entre servidores. Os dispositivos de armazenamento ajudam na transferência oportuna de dados. O armazenamento
SAN oferece apenas operações em nível de bloco que não fornecem abstração de arquivo.
No entanto, se os sistemas de arquivos forem estruturados na parte superior da SAN, o acesso ao arquivo será fornecido, o que é conhecido
como sistema de arquivos SAN.
Hoje em dia, em grandes organizações, SAN é um pool de armazenamento para servidores conectados por meio de uma rede. O canal de
fibra agora foi substituído pelo iSCSI, que se tornou a escolha de muitas organizações tradicionais. Seja qual for o tamanho da organização,
SAN tornou-se uma consolidação de cargas de trabalho na rede.
Uma SAN suporta arquivamento, backup, restauração, transferência, recuperação, migração e espelhamento de dados de um dispositivo de
armazenamento para outro. A camada de infraestrutura de comunicação fornece as conexões físicas para os dispositivos de rede. A camada
de gerenciamento organiza as conexões, elementos de armazenamento e sistemas de computador. A camada de armazenamento hospeda os
dispositivos de armazenamento.
Figura 11.36: SANs

Segurança de dados
Vantagens do SAN
Movimentação de dados sem LAN e sem
Consolidação de armazenamento
servidor
Backup sem LAN e sem

Facilidade de compartilhamento de dados
servidor
Backup e recuperação Clustering de servidor altamente

aprimorados disponível
Armazenamento de dados centralizado Integridade dos dados e uma carga reduzida

na LAN
confiável e seguro
Alto desempenho e baixa

Tolerância a desastres
latência
Vantagens do SAN
Com tecnologias em rápido desenvolvimento e volumes de dados crescentes, as organizações precisam de um dispositivo de
armazenamento que possa atender e lidar com suas necessidades. As vantagens da SAN mencionadas abaixo ajudam na
sua implantação em uma infraestrutura de TI.
Vantagens
ÿ Capacidade: o desempenho da SAN é diretamente proporcional ao tipo de rede. Uma SAN permite o compartilhamento
ilimitado de dados, independentemente da capacidade de armazenamento. Sua capacidade pode ser estendida
ilimitadamente para milhares de terabytes.
ÿ Fácil compartilhamento: os dados SAN são facilmente compartilhados entre os sistemas, pois mantém um tráfego
isolado. O tráfego não interfere no tráfego normal do usuário, aumentando assim o desempenho da transferência de
dados.
ÿ Backup rápido: Uma cópia espelhada de dados pode ser criada instantaneamente. Essas imagens espelhadas podem
ser usadas como backup sempre que necessário.
ÿ Confiabilidade e Segurança: Se uma SAN for configurada corretamente, os dados estarão protegidos. chances de
a intrusão do dispositivo é mínima. Armazenamento de dados centralizado confiável e seguro.
ÿ Produtivo: Uma SAN é escalável; adicionar um novo disco à rede não interrompe a produtividade da SAN. Ao adicionar
um novo disco rígido, não é necessário reiniciar ou desligar.
ÿ Disponibilidade de aplicativos: os algoritmos em uma matriz de armazenamento SAN oferecem proteção de dados.
Isso resulta na disponibilidade de aplicativos em todos os momentos.
ÿ Inicializável: uma SAN pode executar um servidor sem um disco físico e pode ser inicializada pela SAN. Este recurso
permite o acesso a todos os arquivos de página e aplicativos.

Segurança de dados
ÿ Conectividade à distância: Para maior segurança, os dispositivos de armazenamento podem ser mantidos em um
local isolado. Uma das características de uma SAN é que ela pode se conectar com dispositivos de até dez
quilômetros de distância.
ÿ Recuperação: Uma SAN é a opção de recuperação de dados mais confiável. Mesmo quando os servidores estão
offline, uma SAN permanece disponível.
ÿ Utilização efetiva: Uma SAN é uma opção apropriada para espaço de armazenamento do que discos locais. Se
um sistema requer mais armazenamento, uma SAN aloca dinamicamente o espaço necessário. Esse processo é
semelhante às máquinas virtuais.
ÿ Integridade: Maior integridade dos dados e diminuição da carga na LAN.
ÿ Movimentação e backup de dados sem LAN e sem servidor
ÿ Tolerância efetiva a desastres
A implementação de uma SAN é benéfica para uma organização, especialmente quando se considera restrições
orçamentárias, disponibilidade e experiência do funcionário.
Desvantagem
ÿ Muito caro: O custo de implementação de uma SAN pode exceder significativamente o orçamento disponível. Uma
SAN é um investimento e só deve ser implementada se atender aos objetivos da organização.

Segurança de dados
Armazenamento conectado à rede (NAS)
NAS é um serviço de armazenamento de dados baseado em arquivo e um dispositivo de computador

dedicado compartilhado pela rede
NAS é um servidor de arquivos de alto desempenho otimizado para armazenar, recuperar

e servir arquivos
Os servidores NAS contêm sistemas operacionais proprietários ou de código aberto

otimizados para serviço de arquivos
ÿ Usuários com diferentes sistemas operacionais podem ÿ Aplicativos que usam a maioria dos dados
compartilhar arquivos sem problemas de compatibilidade largura de banda de transferência reduzirá significativamente
o desempenho da rede
ÿ Um NAS pode ser conectado a uma LAN usando o

recurso plug and play ÿ A transferência de dados é ineficiente , pois usa TCP/IP em
vez de um protocolo de transferência de dados
ÿ Administração mínima necessária, ao contrário dos servidores especializado
de arquivos Unix ou NT
Armazenamento conectado à rede (NAS)
NAS é um dispositivo de armazenamento conectado a uma rede. Ele armazena e recupera dados de um local
centralizado. O NAS fornece um espaço de armazenamento compartilhado dedicado para uma rede local. A
implementação de um NAS erradica o processo de compartilhamento de arquivos do servidor na rede. O NAS contém
um ou mais dispositivos de armazenamento organizados logicamente. O NAS oferece armazenamento de arquivos por
meio de uma conexão Ethernet padrão.
Os dispositivos NAS não usam um gerenciamento de dispositivo externo e são operados por meio de um utilitário
baseado na web. Como reside em cada nó da LAN, ele possui seu próprio endereço IP. NAS é semelhante a um servidor
de arquivos. Os dispositivos NAS são escaláveis, verticalmente e horizontalmente. Uma implementação NAS é realizada
usando discos grandes e agrupados.
O NAS evoluiu do suporte à virtualização para a replicação de dados e acesso multiprotocolo. Um NAS em cluster é um
exemplo da evolução do NAS. Em uma infraestrutura NAS em cluster, o acesso é fornecido a todos os arquivos,
independentemente de sua localização física. Não requer um sistema operacional de código fechado, como o Windows.
Certos dispositivos são executados em um sistema operacional simplificado, como FreeNAS ou qualquer outra solução
de código aberto.
Os dispositivos NAS estão em alta demanda em pequenas empresas devido à sua eficácia, baixo custo e capacidade
de armazenamento escalável. Eles são classificados em três tipos com base no número de unidades, capacidade da
unidade e escalabilidade.
Vantagens
ÿ Acessibilidade: Um sistema NAS armazena dados como arquivos e é compatível com os protocolos CIFS e NFS.
Vários usuários podem acessar os arquivos simultaneamente usando uma rede Ethernet.
Os computadores em uma rede compartilhada podem acessar os dados por meio de uma conexão sem fio ou
com fio.

Segurança de dados
ÿ Armazenamento: a implantação do NAS em uma rede aumenta a quantidade de armazenamento disponível para os
outros sistemas. Um sistema NAS pode armazenar até 8 TB de dados. Um NAS é mais apropriado para armazenar
grandes aplicativos ou arquivos de vídeo.
ÿ Eficiente e confiável: o NAS garante uma transferência eficiente de dados e acesso confiável à rede. Se um sistema
em uma rede falhar, o funcionamento de outros sistemas não é afetado. Um servidor NAS também pode ser criado
para dar aos usuários a capacidade de acessar arquivos ou aplicativos grandes.
ÿ Backup automático: Certos dispositivos NAS são configurados com um recurso de backup automático. Os dados estão
disponíveis no sistema do usuário, bem como no disco rígido do servidor.
As alterações feitas no sistema do usuário também são refletidas no disco rígido do servidor.
O backup automático não é demorado e garante a segurança dos dados.
ÿ Compatibilidade: usuários com diferentes sistemas operacionais podem compartilhar arquivos sem problemas de
compatibilidade.
ÿ Um NAS pode ser conectado a uma LAN usando o recurso plug and play.
ÿ Administração mínima necessária, ao contrário dos servidores de arquivos Unix ou NT.
ÿ Uso centralizado e custo reduzido de backup e manutenção do que uma SAN.
ÿ Resposta mais rápida do que o Direct Attached Storage (DAS).
Desvantagens
ÿ Consumo: o NAS compartilha a rede com outras máquinas host, e isso tende a consumir uma quantidade maior de
largura de banda da rede. Para sistemas NAS remotos, o desempenho da transferência de dados dependerá da
largura de banda disponível. É aconselhável evitar o armazenamento de bancos de dados em um NAS, pois o tempo
de resposta do servidor varia dependendo da largura de banda. Os aplicativos que usam a maior parte da largura de
banda de transferência de dados reduzirão significativamente o desempenho da rede.
ÿ Congestão de rede: Um grande processo de backup pode afetar a função de uma rede IP e pode levar ao
congestionamento da rede.
ÿ A transferência de dados é ineficiente, pois usa TCP/IP em vez de uma transferência de dados especializada
protocolo.
ÿ O serviço de armazenamento não é confiável para operações de missão crítica.
ÿ Os administradores devem definir cotas de usuário para espaço de armazenamento.

Segurança de dados
Selecionando um método de backup apropriado

ÿ Selecione um método de backup com base em seu custo e capacidade de acordo com os requisitos da organização
Hot Backup (On-line) Backup frio (off-line) Backup morno (Nearline)
ÿ Faça backup dos dados quando o aplicativo, banco ÿ Faça backup dos dados quando o aplicativo, banco de ÿ Uma combinação de backups quentes e
de dados ou sistema estiver em execução e dados ou sistema não estiver em execução frios
disponível para os usuários (desligamento) e não estiver disponível para os usuários
ÿ Usado quando um tempo de inatividade do nível de serviço é ÿ Usado quando um tempo de inatividade do nível de Vantagens:
não permitido serviço é permitido e um backup completo é necessário
ÿ Mais barato do que um backup
Vantagem: Vantagem: dinâmico ÿ Alternando o backup de dados
leva menos tempo que um backup frio,
ÿ Possibilidade de troca imediata de backup ÿ Mais barato mas mais tempo que um backup quente
de dados
Desvantagem: Desvantagem: Desvantagem:
ÿ Muito caro ÿ Mudar o backup de dados requer ÿ É menos acessível que o hot backup
tempo adicional
Selecionando um método de backup apropriado
As organizações podem escolher qualquer método de backup, dependendo do orçamento e da infraestrutura de TI.
Os diferentes tipos de métodos de backup de dados são:
ÿ Hot Backup
Um backup dinâmico é um método popular de backup. Também é chamado de backup dinâmico ou backup
ativo. Em um hot backup, o sistema continua realizando o backup mesmo quando o usuário está acessando
o sistema. A implementação de um hot backup em uma organização evita o tempo de inatividade. No
entanto, as alterações feitas nos dados durante o processo de backup não são refletidas no arquivo de
backup final. Além disso, enquanto o backup está em andamento, os usuários podem achar o sistema
lento. Um backup dinâmico é um processo caro. É usado quando não é permitido um tempo de inatividade
do nível de serviço.
Vantagem:
o Troca imediata de backup de dados é possível
Desvantagem:
o Muito caro
ÿ Backup frio
Um backup frio também é chamado de backup offline. Um backup a frio pode ocorrer quando o sistema não
está funcionando ou não está acessível aos usuários. Um backup a frio é o método de backup mais seguro,
pois evita o risco de copiar os dados. Um backup a frio envolve tempo de inatividade, pois os usuários não
podem usar a máquina até que o processo esteja online novamente. Um backup frio não é tão caro quanto
um backup quente. Ele é usado quando um tempo de inatividade do nível de serviço é permitido e um
backup completo é necessário.

Segurança de dados
Vantagem:
o Menos caro
Desvantagem:
o Alternar o backup de dados requer tempo adicional
ÿ Backup quente
Um backup morno também é chamado de backup nearline. Ele terá uma conectividade com a rede. Em um
backup morno, as atualizações do sistema são ativadas para receber atualizações periódicas. É benéfico
ao espelhar ou duplicar os dados. O processo de backup morno pode levar muito tempo e pode ser
realizado em intervalos que podem durar de dias a semanas. É uma combinação de backups quentes e
frios.
Vantagem: o
Mais barato do que um backup a quente o
Alternar o backup de dados leva menos tempo do que um backup a frio, mas mais tempo do que um
backup a quente
Desvantagem:
o É menos acessível que o hot backup

Segurança de dados
Escolhendo o local do backup
Backup de dados no local Backup de dados fora do local Backup de dados na nuvem
ÿ Armazenamento de dados de backup em ÿ Armazenamento de dados de ÿ Armazenamento de dados de
apenas armazenamento de dados no local

backup em locais remotos em backup no armazenamento
cofres indestrutíveis e à prova de fogo fornecido por um provedor de backup online
Vantagem: Vantagem: Vantagens:
ÿ Os dados de backup no local podem ser ÿ Os dados são protegidos de ÿ Os dados são criptografados e livres
facilmente acessado e restaurado ameaças de segurança física , de ameaças de segurança física
como incêndios, inundações, etc.
ÿ Mais barato
ÿ Os dados podem ser acessados
de qualquer lugar
Desvantagem: Desvantagem: Desvantagens:
ÿ O risco de perda de dados é maior ÿ Problemas com um cronograma ÿ Sem controle direto dos dados de
regular de backup de dados backup
ÿ Mais tempo para backup
Escolhendo o local do backup
Backup de dados no local
Esse tipo de backup é realizado dentro de uma organização. O backup no local usa dispositivos externos, como uma
unidade de fita, DVD, disco rígido, etc. A escolha do armazenamento externo dependerá da quantidade de dados a serem
copiados. ÿ Vantagens:
o Fornece acesso imediato aos dados.
o Mais barato.
o A mídia usada para backup no local está prontamente disponível e custa menos.
o Recuperação mais rápida.
o Escalabilidade aprimorada.
o Não é necessário acesso à Internet.
ÿ Desvantagens: o
Requer interação humana direta para realizar o backup.
o Suscetível a roubo ou desastres naturais.
o O risco de perda de dados é maior.
Backup de dados fora do local
Em um backup externo, o backup é feito em um local remoto em cofres à prova de fogo e indestrutíveis.
Ele armazena os dados em unidades físicas, online ou em um serviço de backup de terceiros. Armazenar os dados online
ajuda a ter um backup de dados atualizado disponível.

Segurança de dados
ÿ Vantagens:
o A implementação de backup externo cria várias cópias que podem ser armazenadas em vários
Localizações.
o O erro humano é mínimo, pois o processo de backup é automatizado.
o A retenção de dados é ilimitada.
o Os dados são protegidos contra ameaças de segurança física, como incêndios, inundações, etc.
ÿ Desvantagens:
o Problemas com uma programação regular de backup de dados.
o É caro, exigindo um serviço de terceiros.
o Requer uma conexão com a Internet, e o consumo de banda será maior.
o O processo é longo e demorado.
Backup de dados na nuvem
Um backup em nuvem também é conhecido como backup online. Envolve armazenar o backup em uma rede pública ou em
um servidor proprietário. Normalmente, um provedor de serviços terceirizado hospeda o servidor proprietário. O processo
de backup de dados em nuvem funciona de acordo com os requisitos da organização.
Se a organização precisar de um backup diário, o servidor proprietário executará um backup diário. Normalmente, todos os
dados não críticos são arquivados usando um backup de dados na nuvem.
ÿ Vantagens:
o O backup de dados em nuvem é eficiente, pois usa tecnologias como backup baseado em disco,
virtualização, criptografia, etc.
o Muitos proprietários fornecem monitoramento de dados e criam relatórios para a organização.
o Os dados em um backup em nuvem são facilmente acessados pela Internet.
o Os dados são criptografados e livres de ameaças de segurança física.
ÿ Desvantagens:
o A recuperação de dados pode ser demorada.
o Os proprietários de backup de dados em nuvem não dão garantias ou garantias na conclusão de um backup. A
organização é responsável por verificar se o processo de backup foi bem-sucedido.

Segurança de dados
Tipos de backup
Completo/Normal
ÿ Todos os dados do sistema são copiados para a mídia de backup
Backup de dados
Dados Diferenciais ÿ Todos os dados que foram alterados desde o último backup completo são copiados para
Cópia de segurança a mídia de backup
Dados Incrementais ÿ Apenas os arquivos que foram alterados ou criados após o último backup são copiados para a mídia de backup
Cópia de segurança
Backup Completo Backup Completo
Incremental 3
300MB
Cópia de segurança Diferencial 3
Diferencial 2 Incremental 2
100MB
Diferencial 1 Incremental 1
10GB 100MB 200MB 500MB 10GB 100MB
Domingo segunda-feira terça-feira quarta-feira Domingo segunda-feira terça-feira quarta-feira
Tipos de backup
Um tipo de backup apropriado é aquele que não causa grande impacto na largura de banda, custo, tempo necessário
e recursos da organização. Os três tipos de backup mais comuns são completo, diferencial e incremental.
ÿ Backup completo: também chamado de backup normal. Um backup completo ocorre automaticamente de
acordo com uma programação definida. Ele copia todos os arquivos e os compacta para economizar espaço.
Um backup completo fornece proteção de dados eficiente para os dados copiados.
ÿ Backup diferencial : O backup diferencial é a combinação de um backup completo e um backup incremental. Um

backup diferencial faz o backup de todas as alterações feitas desde o último backup completo.
Exemplo: Considerando o exemplo acima, suponha que um backup completo está agendado para domingo
e, em seguida, um backup diferencial está agendado para ser executado até sábado. Assim que o backup
completo for concluído no domingo, o backup diferencial ocorrerá na segunda-feira e os dados que foram
alterados serão copiados. Na terça-feira, o backup será para as alterações feitas no domingo e na segunda-
feira. Então, na quarta-feira, incluirá as mudanças de domingo, segunda e terça-feira.
ÿ Backup incremental: Faz backup apenas dos arquivos que foram alterados ou criados após o último backup
são copiados para a mídia de backup. O último backup pode ser de qualquer tipo. Antes de executar um
backup incremental, o backup do sistema deve ser feito usando um backup completo ou normal.
Exemplo: suponha que um backup completo do sistema seja agendado para domingo e um backup
incremental seja agendado de terça a sábado. Uma vez que o backup completo é

Segurança de dados
realizada no domingo, o backup incremental na segunda-feira fará backup apenas das

alterações ocorridas no domingo. Este processo vai continuar até sábado.
Figura 11.37: Tipos de backup

Segurança de dados
Tipos de backup: vantagens e desvantagens

Modelo Vantagens Desvantagens
ÿ O processo de backup é lento
Backup Completo ÿ A restauração é rápida
ÿ Altos requisitos de armazenamento
ÿ Mais rápido que um backup completo

Diferencial ÿ A restauração de dados é mais lenta do que um backup completo
ÿ Restauração mais rápida que um backup incremental
ÿ Mais lento que um backup incremental
ÿ Quantidade reduzida de armazenamento do que um backup completo
ÿ Método mais rápido

incremental
ÿ Menor quantidade de espaço de armazenamento entre outros ÿ Velocidade de restauração mais lenta entre outros tipos de backup
tipos de backup
Tipos de backup: vantagens e desvantagens
Compare as vantagens e desvantagens de cada tipo de backup e selecione aquele que é mais adequado para a
organização.
Backup Completo
ÿ Vantagens:
o É fácil de restaurar; o processo requer um nome de arquivo e um local.
o Mantém diferentes versões dos dados.
ÿ Desvantagens:
o Um processo demorado porque cada arquivo é copiado toda vez que um backup completo é
realizada.
o Grandes requisitos de armazenamento.
Backup incremental
ÿ Vantagens:
o Mais rápido que um backup completo.
o Usa o espaço de armazenamento de forma eficiente e não há duplicação de dados.
o Menor quantidade de espaço de armazenamento entre outros tipos de backup.
ÿ Desvantagens:
o A restauração de dados é demorada e um processo complexo; primeiro, um backup completo é

feito, que é seguido por um backup incremental.

Segurança de dados
backup diferencial
ÿ Vantagens:
o Mais rápido que um backup completo.
o Usa o espaço de armazenamento de forma mais eficiente do que um backup completo; o backup contém apenas as
alterações feitas em intervalos regulares.
o A restauração de dados é mais rápida do que um backup incremental.
o Quantidade reduzida de armazenamento do que um backup completo.
ÿ Desvantagens:
o Mais lento que um backup incremental.
o O processo de restauração é mais lento do que um backup completo.

Segurança de dados
Ferramentas de backup de dados
ÿ O histórico de arquivos é uma ferramenta de backup integrada no Windows

Histórico de arquivos
Ferramenta
ÿ Ele faz backup regularmente de pastas importantes, como Área de Trabalho, Documentos, Downloads, Música,
Imagens, vídeos e partes da pasta AppData
Genie Backup Manager Pro

https:// www.zoolz.com
BullGuard Backup
https:// www.bullguard.com
NTI Backup Agora EZ

https:// www.nticorp.com
Power2Go 13
https:// www.cyberlink.com
Backup4all
https:// www.backup4all.com
Ferramentas de backup de dados
Ferramenta de Histórico de Arquivos
Use o histórico de arquivos para fazer backup e restaurar no Windows. Por padrão, ele faz backup da unidade do sistema.
Outras unidades podem ser selecionadas para backup, se necessário. O backup regular de dados e configurações é recomendado para evitar a perda
de dados.
Etapas para fazer backup do seu PC com o histórico de arquivos
ÿ Selecione Iniciar ÿ Configurações ÿ Atualização e segurança ÿ Backup ÿ Adicionar uma unidade + e selecione uma unidade externa ou
local de rede para backups.
Figura 11.38: PC de backup com histórico de arquivos

Segurança de dados
Histórico de arquivos antes de ser ativado no Windows 10
ÿ Selecione uma unidade externa. O histórico de arquivos agora está arquivando dados. Um controle deslizante liga/desliga aparece
sob um novo título Fazer backup automático dos meus arquivos.
Figura 11.39: Fazer backup usando o histórico de arquivos
ÿ Clique em Mais opções para alterar os padrões do Histórico de arquivos.
ÿ Por padrão, o Histórico de arquivos do Windows 10 fará backup de todas as pastas na pasta do usuário, fará backup dos arquivos
a cada hora, desde que a unidade de backup esteja disponível e manterá as cópias anteriores dos arquivos para sempre. Para
alterar qualquer uma dessas configurações, clique em Mais opções no controle deslizante liga/desliga.

Segurança de dados
Figura 11.40: Backup de pasta
Algumas ferramentas adicionais de backup de dados são as seguintes:
ÿ Genie Backup Manager Pro (https:// www.zoolz.com)

ÿ BullGuard Backup (https:// www.bullguard.com)
ÿ NTI Backup Now EZ (https:// www.nticorp.com)
ÿ Power2Go 13 (https:// www.cyberlink.com)
ÿ Backup4all (https:// www.backup4all.com)

Segurança de dados
Retenção de backup de dados

ÿ Retenção de dados é o processo de armazenar e manter informações importantes para atender
Retenção de dados
requisitos de conformidade e arquivamento de dados de negócios
ÿ Política de retenção de dados é um conjunto de regras para preservar e manter dados para fins operacionais ou regulatórios
Retenção de dados requisitos de conformidade
Política ÿ A política define os períodos de retenção necessários para diferentes tipos de dados e define os padrões mínimos para destruir certas
informações
Etapas para desenvolver uma política de retenção de dados
Crie uma equipe de desenvolvimento de política de retenção de dados
Compreender e determinar os requisitos legais aplicáveis da organização
Identificar e classificar os dados a serem incluídos na política de retenção de dados
Desenvolva a política de retenção de dados
Certifique-se de que todos os funcionários entendam a política de retenção de dados da organização
Retenção de backup de dados
A retenção de dados é o processo de armazenamento e manutenção de informações importantes para atender aos requisitos de
conformidade e arquivamento de dados corporativos. Ele ajuda as organizações a recuperar dados críticos para os negócios em
caso de perda de dados.
Toda organização deve desenvolver uma política de retenção de dados para garantir que todos os dados importantes sejam
armazenados satisfatoriamente. A política de retenção de dados é um conjunto de regras para preservar e manter dados para
requisitos de conformidade operacional ou regulamentar. A política define os períodos de retenção necessários para diferentes tipos
de dados e também define os padrões mínimos para a destruição de determinadas informações.
Uma política de retenção de dados é aplicada a todas as unidades de negócios, processos e sistemas em todos os países onde uma
organização opera. É aplicado a executivos, diretores, funcionários, agentes, afiliados, contratados, consultores, conselheiros ou
prestadores de serviços de uma organização que podem coletar, processar ou ter acesso a diferentes tipos de dados. Além disso, é
aplicado a todos os documentos, como e-mails, documentos impressos, documentos eletrônicos, arquivos de áudio e vídeo, etc.
Etapas para criar uma política de retenção de dados
As etapas a seguir são usadas para criar uma política de retenção de dados:
1. Crie uma equipe de desenvolvimento de política de retenção de dados
Você deve criar uma equipe de desenvolvimento de política de retenção de dados que inclua membros como:
o Assessores jurídicos internos
o Gerentes e supervisores departamentais

Segurança de dados
o Aqueles que recebem e gerenciam relatórios financeiros
o Aqueles que desenvolvem relatórios financeiros
o Membros da equipe para gerenciar as configurações de retenção de dados
2. Identifique os tipos de conformidade regulamentar aplicáveis ao seu negócio
Diferentes conformidades regulatórias especificam diferentes durações de retenção de dados e condições de

remoção de dados. Alguns deles estão listados abaixo:
o A Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
o Lei Sarbanes-Oxley (SOX)
o Serviço de Receita Interna (IRS)
o A Lei de Proteção à Privacidade Online das Crianças (COPPA)
o GDPR da UE
3. Especifique os tipos de dados a serem incluídos em sua política de retenção de dados
Os seguintes tipos de dados devem ser incluídos na política de retenção de dados:
o Documentos
o E-mails e outros documentos eletrônicos
o Registros do cliente
o Informações transacionais
o Planilhas
o Contratos
o Correspondência entre funcionários e clientes, agentes, fornecedores, acionistas e o

público
o Dados de fornecedores e parceiros
o Registros de funcionários
o Registros do cliente
o Informações de vendas, faturas e cobrança
o Documentação fiscal e contábil
o Relatórios financeiros
o Dados de saúde e do paciente
o Dados estudantis e educacionais
o Outras informações produzidas, coletadas e mantidas para satisfazer atividades comerciais regulares

Segurança de dados
4. Desenvolva uma política de retenção de dados
Desenvolva uma política de retenção de dados considerando os seguintes pontos:
o Finalidade
o Leis, regulamentos, políticas, regras e atos aplicáveis
o Cronograma de retenção e exclusão de registros
o Plano de litígio
o Revisar e atualizar cronograma
5. Informe todos os funcionários sobre a política de retenção de dados
Todos os funcionários devem estar cientes e compreender de forma abrangente os diferentes aspectos da política de
retenção de dados. Forneça a cada funcionário uma cópia da política de retenção de dados e também crie sessões de
treinamento e revisão para mantê-los atualizados.

Segurança de dados
Práticas recomendadas da política de retenção de dados
Crie diferentes políticas de retenção

Crie uma política de retenção de dados que
atenda aos requisitos legais e comerciais 01 05 de dados para diferentes tipos de dados,
de acordo com seus impactos legais e comerciais
Reter informações de clientes,

Justifique os motivos por trás dos detalhes da
apólice 02 06 assinantes e usuários somente até que sejam
necessário
Comece a criar uma política com requisitos

Implementar software para gerenciar as
mínimos e adicione novos
requisitos conforme e quando necessário
03 07 tarefas de retenção de dados
Crie uma política simples que seja fácil para Classifique os dados e decida se eles devem
os funcionários implementarem 04 08 ser arquivados ou excluídos
Práticas recomendadas da política de retenção de dados
As seguintes práticas recomendadas de retenção de dados para uma organização podem ajudar a estabelecer e aplicar uma
política de retenção de dados mais compatível e útil adequada às suas necessidades:
ÿ Crie uma política de retenção de dados que atenda aos requisitos legais e comerciais
ÿ Justificar as razões por detrás dos detalhes da apólice
ÿ Comece a criar uma política com requisitos mínimos e adicione novos requisitos conforme e
quando requisitado
ÿ Crie uma política simples que seja fácil para os funcionários implementarem
ÿ Criar diferentes políticas de retenção de dados para diferentes tipos de dados, de acordo com seus requisitos legais e
impactos nos negócios
ÿ Reter informações de clientes, assinantes e usuários apenas até que sejam necessárias
ÿ Implementar software para gerir as tarefas de retenção de dados
ÿ Classificar os dados e decidir se devem ser arquivados ou eliminados
ÿ Arquivos que não são acessados com frequência devem ser movidos para um arquivo de nível inferior
ÿ Organizar e armazenar dados arquivados de forma que sejam facilmente acessíveis

Segurança de dados
Ferramentas de Recuperação de Dados
EaseUS Data O software de recuperação de dados EaseUS pode recuperar rapidamente arquivos perdidos
Assistente de Recuperação após a exclusão ou esvaziamento da lixeira
Recuva®
https:// www.ccleaner.com
Puran File Recovery

http:// www.puransoftware.com
Glary Undelete
https:// www.glarysoft.com
SoftPerfect File Recovery

https:// www.softperfect.com
Wise Data Recovery

https:// www.wisecleaner.com
https:// www.easeus.com
Ferramentas de Recuperação de Dados
ÿ Assistente de Recuperação de Dados EaseUS
Fonte: https:// www.easeus.com
O software de recuperação de dados da EaseUS pode recuperar rapidamente arquivos perdidos após a exclusão ou
esvaziamento da lixeira. Ele verifica todos os arquivos recuperáveis de qualquer dispositivo de armazenamento inacessível e
conclui a recuperação de arquivos com segurança e eficiência. Ele é usado não apenas para a recuperação de arquivos
excluídos e unidades formatadas, mas também para superar outros problemas de perda de dados, como ataques de vírus,
erros humanos, falhas de energia, falhas do sistema, reinstalação/atualização do sistema operacional, falhas no disco rígido e
falhas de software.

Segurança de dados
Figura 11.41: Captura de tela do EaseUS Data Recovery Wizard
Algumas ferramentas adicionais de recuperação de dados são as seguintes:
ÿ Recuva® (https:// www.ccleaner.com)

ÿ Puran File Recovery (http:// www.puransoftware.com)
ÿ Glary Undelete (https:// www.glarysoft.com)
ÿ SoftPerfect File Recovery (https:// www.softperfect.com)
ÿ Wise Data Recovery (https:// www.wisecleaner.com)

Segurança de dados
Fluxo do módulo
04
de dados
sua importância
Discutir conceitos de prevenção contra perda de dados
O objetivo desta seção é explicar a importância da prevenção de perda de dados (DLP) na segurança
de dados.

Segurança de dados
O que é Prevenção contra perda de dados?
ÿ A prevenção contra perda de dados (DLP) inclui um conjunto de produtos e

processos de software que não permitem que os usuários enviem dados
corporativos confidenciais para fora da organização
ÿ É usado por organizações para:
ÿ Descubra fontes de vazamentos de dados
ÿ Monitorar as fontes de vazamento de dados
ÿ Proteger os ativos e recursos da organização
ÿ Evitar a divulgação acidental de informações confidenciais
informações a partes não intencionais
ÿ Gerenciar recursos com regras de negócios, políticas

de segurança e software
O que é Prevenção contra perda de dados?
A prevenção contra perda de dados (DLP) inclui um conjunto de produtos e processos de software que não permitem que os
usuários enviem dados corporativos confidenciais para fora da organização. Esses produtos de software ajudam os profissionais
de segurança a controlar quais dados os usuários finais podem transferir. As regras DLP bloqueiam a transferência de qualquer
informação confidencial em redes externas. Eles controlam qualquer acesso não autorizado às informações da empresa e
impedem que alguém envie programas maliciosos para a organização.
O software DLP é implementado de acordo com as regras organizacionais definidas pela administração.
Isso evita vazamentos e perdas acidentais/maliciosas de dados. Se um funcionário tentar encaminhar ou mesmo fazer upload de
dados da empresa em armazenamento em nuvem ou em um blog, o acesso será negado pelo sistema. Uma política de DLP é
adotada pela administração quando são detectadas ameaças internas a uma empresa. Uma política DLP garante que nenhum
de seus funcionários envie informações confidenciais para fora da organização. Novas ferramentas DLP emergentes não apenas
evitam a perda de dados, mas também monitoram e controlam a ocorrência de atividades irregulares no sistema.
Diferentes produtos DLP estão disponíveis para ajudar os profissionais de segurança a determinar quais dados os usuários
podem transferir. Os produtos DLP também são conhecidos como produtos de prevenção de vazamento de dados, prevenção
de perda de informações ou prevenção de extrusão.
O DLP é usado por organizações para:
ÿ Descubra fontes de vazamentos de dados ÿ Impedir a divulgação acidental de

informações confidenciais para não intencional
ÿ Monitorar as fontes de vazamento de dados
partidos
ÿ Proteger os ativos da organização e
Recursos ÿ Gerenciar recursos com negócios
regras, políticas de segurança e software

Segurança de dados
Tipos de soluções de prevenção contra perda de dados (DLP)
DLP de ponto de extremidade
ÿ Uma solução que monitora e protege sistemas baseados em PC , como tablets, laptops, etc.
ÿ
Ele é usado para evitar vazamento de dados por meio de pranchetas, dispositivos removíveis e aplicativos de compartilhamento
Rede DLP
ÿ Uma solução que monitora, protege e relata todos os dados em trânsito
ÿ
É instalado no “perímetro” da rede de uma organização
ÿ
Ele ajuda os profissionais de segurança a verificar todos os dados que passam pelas portas e protocolos dentro da organização
Armazenamento DLP
ÿ Uma solução que monitora e protege os dados em repouso, ou seja, os dados armazenados na infraestrutura de data center de uma organização
como servidores de arquivos, SharePoint e bancos de dados
ÿ
Ele identifica o local onde as informações confidenciais são armazenadas e ajuda os usuários a determinar se elas estão armazenadas com segurança
Tipos de soluções de prevenção contra perda de dados (DLP)
Existem vários tipos de soluções DLP que funcionam de forma diferente com o mesmo objetivo, ou seja, evitar o
vazamento de dados.
ÿ Endpoint DLP: Endpoint DLP é uma solução que monitora e protege sistemas baseados em PC, como tablets,
laptops, etc. É usado para evitar vazamento de dados por meio de pranchetas, dispositivos removíveis e
aplicativos de compartilhamento. A solução inclui um agente que monitora operações específicas do usuário,
como enviar um e-mail, copiar um arquivo para dispositivos de mídia removível, imprimir um arquivo, etc.
Endpoint DLP protege os dados em uso.
ÿ Network DLP: Network DLP é uma solução que monitora, protege e relata todos os dados em trânsito. Ele é
instalado no “perímetro” da rede de uma organização. Ele ajuda o profissional de segurança a verificar todos
os dados que passam pelas portas e protocolos dentro da organização. Ele pode analisar tráfego de e-mail,
interações de mídia social, tráfego SSL, mensagens instantâneas, etc. A solução mantém relatórios contendo
informações como quais dados são usados, quem está usando os dados e para onde os dados são enviados.
Assim, auxilia no controle do fluxo de dados pela rede da organização e atende à conformidade regulatória.
Os dados coletados por um Network DLP são armazenados em um banco de dados para recuperação posterior.
ÿ DLP de armazenamento: O DLP de armazenamento é uma solução que monitora e protege os dados em
repouso, ou seja, os dados armazenados na infraestrutura do data center de uma organização, como
servidores de arquivos, SharePoint e bancos de dados. Ele identifica o local onde as informações confidenciais
são armazenadas e ajuda os usuários a determinar se elas estão armazenadas com segurança. Ele permite
que usuários autorizados visualizem e compartilhem arquivos confidenciais na rede da organização.

Segurança de dados
Solução DLP: Proteção de Informações do Windows (WIP)

ÿ A Proteção de Informações do Windows (WIP) tem um recurso de prevenção contra perda de dados (DLP) de endpoint que pode ser útil na
proteção de dados locais em repouso em dispositivos de endpoint
ÿ O WIP pode ser configurado para armazenar dados de negócios apenas em dispositivos aprovados/dentro de aplicativos aprovados
Solução DLP: Proteção de Informações do Windows (WIP)
A Proteção de Informações do Windows (WIP) tem um recurso DLP de ponto de extremidade que pode ser útil para proteger
dados locais em repouso em dispositivos de ponto de extremidade. O WIP pode ser configurado para armazenar dados de
negócios apenas em dispositivos aprovados/dentro de aplicativos aprovados.
Se o usuário criar um arquivo em um dispositivo Windows 10, o Windows Defender ATP avaliará seu conteúdo em busca de
informações confidenciais ou personalizadas. No caso de correspondências de arquivo, o Windows Defender ATP aplica DLP
em seus pontos de extremidade. Para descoberta de dados, o Windows Defender ATP se integra à Proteção de Informações
do Azure (AIP) e relata os dados confidenciais detectados. Arquivos com informações confidenciais e rótulos de
confidencialidade são agregados pelo AIP.
Vantagens do WIP:
ÿ Como o WIP separa dados corporativos e pessoais, não há necessidade de um funcionário alternar os aplicativos ou
ambientes.
ÿ
Ele reforça a proteção de dados para aplicativos de linha de negócios existentes.
ÿ O WIP pode remover os dados corporativos dos dispositivos inscritos no Intune MDM.
ÿ Para configuração, implantação e gerenciamento, o WIP integra-se ao Microsoft Intune, System Center Configuration
Manager ou ao gerenciamento atual de dispositivos móveis.

Segurança de dados
Figura 11.42: captura de tela do WIP

Segurança de dados
Soluções DLP
MyDLP permite que o usuário monitore, inspecione e impeça a saída de
MyDLP
todos os dados confidenciais sem problemas
Symantec Data Loss Prevention

https:// www.symantec.com
SecureTrust Data Loss Prevention

https:// www.securetrust.com
McAfee Total Protection

Check Point Data Loss Prevention

https:// www.checkpoint.com
Digital Guardian Endpoint DLP

https:// digitalguardian.com
https:// mydlp.com
Soluções DLP
ÿ MyDLP
Fonte: https:// mydlp.com
MyDLP é uma solução gratuita e de código aberto que permite que as organizações protejam dados
confidenciais. Os canais de inspeção de dados suportados incluem web, e-mail, mensagens instantâneas,
impressoras, dispositivos de armazenamento removíveis, capturas de tela, etc. O MyDLP permite que o usuário
monitore, inspecione e impeça a saída de todos os dados confidenciais sem problemas.
Com sua implantação e configuração simples, uma interface de política fácil de usar e ótimo desempenho, os
administradores de TI e os responsáveis pela segurança podem combater com eficácia o vazamento de dados.

Segurança de dados
Figura 11.43: Captura de tela do MyDLP
Algumas soluções DLP adicionais são as seguintes:
ÿ Symantec Data Loss Prevention (https:// www.symantec.com)
ÿ SecureTrust Data Loss Prevention (https:// www.securetrust.com)
ÿ McAfee Total Protection (https:// www.mcafee.com)
ÿ Check Point Data Loss Prevention (https:// www.checkpoint.com)
ÿ Digital Guardian Endpoint DLP (https:// digitalguardian.com)

Segurança de dados
Práticas recomendadas para uma implementação de DLP bem-sucedida
ÿ Identificar o principal objetivo do DLP
ÿ Identificar dados sensíveis para proteção
ÿ Avalie os fornecedores de DLP disponíveis
ÿ Certifique-se de que o produto DLP selecionado seja compatível e suporte os tipos de

dados e armazenamentos de dados necessários de sua organização
ÿ Identificar os papéis e responsabilidades dos indivíduos para a implementação do

solução DLP
ÿ Implementar DLP com uma base mínima para reduzir falsos positivos e aprimorar a base
gradualmente identificando dados confidenciais
ÿ Aprimorar as políticas DLP para dar suporte a operações DLP eficazes e eliminar
falso-positivo
Práticas recomendadas para uma implementação de DLP bem-sucedida
O DLP protege informações confidenciais em uma organização. A implementação do DLP não apenas evita o
vazamento de dados confidenciais, mas também permite que o profissional de segurança monitore e controle os dados
acessados e compartilhados por um usuário final.
Algumas práticas recomendadas para uma implementação de DLP bem-sucedida são as seguintes:
ÿ Identificar o objetivo principal do DLP.
ÿ Identificar dados confidenciais para proteção.
ÿ Avalie os fornecedores de DLP disponíveis.
ÿ Certifique-se de que o produto DLP selecionado seja compatível e ofereça suporte aos tipos de dados e
armazenamentos de dados necessários da organização.
ÿ Identificar as funções e responsabilidades dos indivíduos para a implementação do DLP

solução.
ÿ Implementar DLP com uma base mínima para reduzir falsos positivos e aprimorar a base gradualmente
identificando dados confidenciais.
ÿ Aprimorar as políticas DLP para dar suporte a operações DLP eficazes e eliminar falsos
positivos.

Segurança de dados
Resumo do Módulo
Este módulo discutiu a segurança de dados e sua importância
Ele discutiu as diferentes tecnologias de segurança de dados
Ele também discutiu vários controles de segurança para

criptografia de dados
Ele demonstrou várias ferramentas de criptografia de disco, criptografia

de arquivo e criptografia de mídia removível
Este módulo também discutiu os métodos e ferramentas para backup

e retenção de dados
Por fim, este módulo terminou com uma visão geral das soluções de
prevenção contra perda de dados (DLP) e DLP
No próximo módulo, discutiremos em detalhes o monitoramento

do tráfego de rede
Resumo do Módulo
Este módulo discutiu a segurança de dados e sua importância. Ele discutiu as diferentes tecnologias de segurança de
dados, bem como vários controles de segurança para criptografia de dados. Além disso, demonstrou várias
ferramentas de criptografia de disco, criptografia de arquivo e criptografia de mídia removível.
Este módulo também discutiu métodos e ferramentas para backup e retenção de dados. Por fim, este módulo
apresentou uma visão geral das soluções de prevenção contra perda de dados (DLP) e DLP.
No próximo módulo, discutiremos detalhadamente o monitoramento do tráfego de rede.
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Módulo 12
Monitoramento de Tráfego de Rede

Compreendendo a necessidade e as vantagens da rede
1 Monitoramento de Tráfego
2 Compreendendo as assinaturas de tráfego de rede
Compreendendo as categorias de tráfego suspeito

3 Assinaturas
4 Visão geral das técnicas de análise de assinatura de ataque
Compreendendo o monitoramento de rede para suspeitos

5 Tráfego
6 Visão geral de várias ferramentas de monitoramento de rede
As organizações precisam realizar monitoramento de rede e analisar o tráfego de rede para identificar atividades
suspeitas em suas redes. Este módulo abrange o conceito de monitoramento de tráfego de rede.
ÿ Compreender a necessidade e as vantagens do monitoramento de tráfego de rede
ÿ Entenda as assinaturas de tráfego de rede
ÿ Descrever as categorias de assinaturas de tráfego suspeitas
ÿ Explicar as técnicas de análise de assinatura de ataque
ÿ Entenda o monitoramento de rede para tráfego suspeito
ÿ Compreender as várias ferramentas de monitoramento de rede
Módulo 12 Página 866 Network Defense Essentials Copyright © por EC-Council Todos os

Fluxo do módulo
Entenda a necessidade e
1 Vantagens do tráfego de rede
Monitoramento
Determinar o tráfego da linha de base
2 Assinaturas para Normal e

Tráfego de rede suspeito
Execute o monitoramento de
3 rede para tráfego suspeito
Entenda a necessidade e as vantagens do tráfego de rede

Monitoramento
O objetivo desta seção é explicar em detalhes a necessidade e as vantagens do monitoramento
do tráfego de rede.

Rede
Tráfego
Monitoramento
O monitoramento de rede é uma abordagem de segurança retrospectiva que envolve o monitoramento de uma rede em busca
de atividades anormais, problemas de desempenho, problemas de largura de banda, etc.
O monitoramento de rede é parte integrante da segurança de rede e é uma tarefa exigente dentro das operações de segurança de rede
das organizações
O monitoramento e a análise contínuos do tráfego de rede são necessários para uma detecção eficaz de ameaças
O monitoramento do tráfego de rede é o processo de capturar o tráfego de rede e inspecioná-lo de perto para
determinar o que está acontecendo na rede. O monitoramento de rede é uma abordagem de segurança retrospectiva
que envolve o monitoramento de uma rede em busca de atividades anormais, problemas de desempenho, problemas
de largura de banda, etc. É parte integrante da segurança de rede e é uma tarefa exigente nas operações de
segurança de rede das organizações. O monitoramento e a análise contínuos do tráfego de rede são necessários
para a detecção eficaz de ameaças. O Profissional de Segurança deve se esforçar constantemente para manter
uma operação de rede sem problemas. Se uma rede ficar inativa, mesmo que por um curto período, a produtividade
da empresa pode diminuir. Para ser proativo em vez de reativo, o movimento e o desempenho do tráfego devem
ser monitorados para garantir que nenhuma violação de segurança ocorra na rede.
O processo de monitoramento de rede envolve a detecção do tráfego que flui pela rede. Para isso, os pacotes de
rede devem ser capturados e uma análise de assinatura deve ser realizada para identificar qualquer atividade
maliciosa.
Os operadores de rede usam ferramentas de análise de tráfego de rede para identificar pacotes maliciosos ou
suspeitos ocultos no tráfego. Eles monitoram as velocidades de download/upload, taxa de transferência, conteúdo,
comportamentos de tráfego etc. para entender o status das operações da rede.

Necessidade de rede
Monitoramento
Mesmo quando as ferramentas de segurança estão instaladas, os

invasores podem encontrar maneiras de contornar esses mecanismos
de segurança para entrar na rede
As ferramentas de segurança geralmente usam técnicas de detecção

baseadas em assinatura . Portanto, eles geralmente não conseguem
identificar assinaturas/padrões de ataque que mudam continuamente
As ferramentas de segurança geralmente não são projetadas para

identificar anomalias comportamentais e são incapazes de detectar
atividades de invasores iniciadas antes e durante um ataque
Necessidade de monitoramento de rede
O monitoramento de rede ajuda os profissionais de segurança a identificar possíveis problemas antes que eles
afetem a continuidade dos negócios. Se ocorrer um problema na rede, a causa raiz pode ser determinada facilmente
com o monitoramento de rede e, com ferramentas de automação de rede, o problema pode ser corrigido
automaticamente. O monitoramento de rede não apenas evita interrupções, mas também dá visibilidade a possíveis
problemas. O monitoramento contínuo da rede minimiza o tempo de inatividade e aumenta o desempenho da rede.
Mesmo quando as ferramentas de segurança estão instaladas, os invasores podem encontrar maneiras de contornar
esses mecanismos de segurança para entrar na rede. As ferramentas de segurança geralmente usam técnicas de
detecção baseadas em assinaturas e é difícil identificar assinaturas/padrões de ataque que mudam continuamente.
Essas ferramentas não são projetadas para identificar anomalias comportamentais e não são capazes de detectar
as atividades dos invasores que são iniciadas antes e durante os ataques.
As ferramentas de monitoramento de rede fornecem o primeiro nível de segurança e ajudam a identificar condições
anômalas na rede, que indicam atividade do invasor.

Vantagens da Rede
Monitoramento
Entendendo como os dados fluem em uma rede
Otimizando o desempenho da rede
Evitando gargalos de largura de banda
Monitorar o tráfego
de rede ajuda a
Detecção de sinais de atividade maliciosa
Encontrar aplicativos desnecessários e vulneráveis
Investigando falhas de segurança
Vantagens do monitoramento de rede
A análise do tráfego de rede é realizada para obter informações detalhadas sobre os tipos de pacotes de rede
ou dados que fluem por uma rede. Normalmente, é executado por meio de monitoramento de rede ou utilitários
de monitoramento de largura de banda de rede. As estatísticas de tráfego da análise de tráfego de rede ajudam
no seguinte:
ÿ Compreender como os dados fluem em uma rede
ÿ Otimizando o desempenho da rede
ÿ Evitando gargalos de largura de banda
ÿ Detecção de sinais de atividade maliciosa
ÿ Encontrar aplicativos desnecessários e vulneráveis
ÿ Investigação de falhas de segurança
ÿ Compreender e avaliar a utilização da rede
ÿ Determinando velocidades de download/upload
ÿ Determinar o tipo, tamanho, origem, destino e conteúdo/dados dos pacotes
As vantagens típicas do monitoramento de rede são as seguintes.
ÿ Proativo: O monitoramento de rede detecta proativamente os aplicativos que consomem a largura de

banda máxima e reduz a largura de banda. Gerencia situações de gargalo do servidor e demais
sistemas conectados à rede. Além disso, o monitoramento de rede oferece uma qualidade de serviço
eficiente aos usuários. Ele cria um registro de todas as irregularidades que ocorrem na rede que o
defensor da rede pode tratar posteriormente.

ÿ Utilização: É importante entender a necessidade de utilização da rede, especialmente com toda a tecnologia
nova e em evolução. O monitoramento de rede fornece detalhes completos sobre a infraestrutura. Ele
fornece uma ideia sobre a quantidade de carga que uma rede pode suportar durante períodos de tráfego
intenso, permitindo a utilização eficiente do espaço na rede.
ÿ Otimização: As técnicas de monitoramento de rede reúnem informações de infraestrutura de rede em tempo

hábil e as salvam para os profissionais de segurança. O profissional de segurança pode então tomar as
medidas necessárias antes que a situação piore. Essas técnicas identificam aplicativos que se mostram
vulneráveis à rede.
ÿ Minimização de riscos: técnicas de monitoramento de rede são necessárias para estabelecer acordos de
nível de serviço (SLAs) e conformidade aplicáveis a usuários ou consumidores. Informações completas de
infraestrutura são necessárias ao elaborar SLAs. O monitoramento em tempo real das topologias e canais
de rede auxilia na criação dos SLAs.
Técnicas de monitoramento de rede são benéficas para profissionais de segurança. São muito fáceis de configurar
e implementar, considerando a complexidade das redes.

Fluxo do módulo
Monitoramento

Determinar assinaturas de tráfego de linha de base para normal e suspeito

Tráfego de rede
O objetivo desta seção é explicar os vários tipos de assinaturas de tráfego de rede e o conceito de
linha de base de assinaturas de tráfego normais. Ele descreve as categorias de assinaturas de
tráfego de rede suspeitas e técnicas de análise de assinatura de ataque.

Assinaturas de Tráfego de Rede

ÿ Uma assinatura é um conjunto de características de tráfego , como endereço IP de origem/destino, portas,
sinalizadores TCP (Transmission Control Protocol), tamanho do pacote, tempo de vida (TTL) e protocolos.
As assinaturas são usadas para definir o tipo de atividade em uma rede
Tipos de assinaturas
Assinatura de tráfego normal Assinaturas de ataque
ÿ Padrões de tráfego aceitáveis ÿ Padrões de tráfego suspeitos

permissão para entrar na rede não autorizados a entrar na rede
Assinaturas de Tráfego de Rede
Uma assinatura é um conjunto de caracteres que definem a atividade da rede, incluindo endereços IP, sinalizadores
TCP (Transmission Control Protocol) e números de porta. Ele inclui um conjunto de regras usadas para detectar o
tráfego malicioso que entra na rede. As assinaturas são usadas para executar o seguinte:
ÿ Gerar alertas em caso de tráfego incomum na rede.
ÿ Identificar características de cabeçalho suspeitas em um pacote.
ÿ Configure um sistema de detecção de intrusão para identificar ataques ou investigações.
ÿ Adquirir conhecimento sobre um ataque específico que ocorreu ou uma vulnerabilidade que pode ser
explorado.
ÿ Combine padrões em uma análise de pacotes.
Tipo de assinaturas
As assinaturas são classificadas em duas categorias principais, dependendo de seu comportamento, conforme descrito
abaixo.
ÿ Assinaturas de tráfego normal: incluem o tráfego de rede normal na rede e são definidas com base em uma
linha de base de tráfego normal para a organização. Essas assinaturas não contêm nenhum padrão malicioso
e podem entrar na rede.
ÿ Assinaturas de ataque: padrões de tráfego que parecem suspeitos são geralmente tratados como assinaturas
de ataque. Essas assinaturas não devem ter permissão para entrar na rede. Se permitido, eles geralmente
causam uma violação de segurança de rede. Essas assinaturas se desviam do comportamento normal de
assinatura e devem ser analisadas.

Linha de base de assinaturas de tráfego normais

ÿ Uma linha de base de rede é o comportamento aceito para tráfego de rede normal.
É uma referência para diferenciar entre tráfego normal e suspeito ÿ As linhas de
base do tráfego de rede diferem entre as organizações e mudam ao longo do tempo
de acordo com o ambiente operacional e o cenário de ameaça predominante
Algumas considerações para criar uma linha de base para o tráfego normal:
ÿ A comunicação TCP/IP envolve um handshake de três vias para

tráfego
ÿ Um sinalizador SYN aparece no início e um sinalizador FIN no final de uma

conexão
ÿ Todas as conversas originadas dentro da zona desmilitarizada (DMZ) são itens de

tráfego confiáveis
ÿ Qualquer tráfego que viole as políticas de rede é tráfego malicioso; por exemplo, a
existência de tráfego de protocolo de transferência de arquivos (FTP) quando esse
tipo é restrito indica um possível problema
Linha de base de assinaturas de tráfego normais
Uma linha de base do tráfego de rede ajuda a entender os padrões de comportamento de uma rede. É uma referência
para diferenciar entre tráfego normal e suspeito. A linha de base permite um conjunto de métricas para monitorar o
desempenho da rede. Essas métricas definem a condição normal de trabalho do tráfego de rede de uma empresa. O
tráfego de rede é comparado com métricas para detectar quaisquer alterações no tráfego que possam indicar um
problema de segurança na rede. Uma linha de base do tráfego de rede estabelece os pacotes aceitos que são seguros
para a organização. A linha de base do tráfego facilita a detecção de atividades suspeitas na rede. Qualquer desvio da
linha de base do tráfego normal pode ser considerado uma assinatura de tráfego suspeita. O profissional de segurança
deve definir uma linha de base de rede para sua organização e validar o tráfego nela. A linha de base é mais eficaz se
funcionar em paralelo com a política da organização. Com a ajuda da linha de base do tráfego normal, o profissional de
segurança pode avaliar os requisitos para proteger a rede. As linhas de base do tráfego de rede diferem entre as
organizações e mudam ao longo do tempo de acordo com o ambiente operacional e o cenário de ameaça predominante.
Embora não haja um padrão da indústria para medir as linhas de base de desempenho do tráfego de rede, existem
ferramentas de monitoramento de rede que fornecem estimativas de que tipo de tráfego é normal. Uma linha de base de
tráfego de rede deve ser definida para todo o tráfego de entrada e saída da Internet e links de rede de longa distância
(WAN). A linha de base do tráfego de rede também deve conter o tráfego para dados críticos de negócios e sistemas de
backup.
ÿ De acordo com uma linha de base de tráfego de rede, as assinaturas de tráfego normais para pacotes TCP devem
têm as seguintes características:
o Para estabelecer um handshake de três vias, o TCP usa os bits SYN, SYN ACK e ACK em cada
sessão.

o O bit ACK deve ser definido em todos os pacotes, exceto no pacote inicial, no qual o
O bit SYN está definido.
o FIN ACK e ACK são usados para encerrar uma conexão. PSH FIN e ACK também podem ser
utilizados inicialmente no mesmo processo.
o RST e RST ACK são usados para encerrar rapidamente uma conexão em andamento.
o Durante uma conversa (após um aperto de mão e antes do término), os pacotes contêm apenas um bit ACK por
padrão. Ocasionalmente, eles também podem ter um conjunto de bits PSH ou URG.
ÿ Um pacote TCP suspeito tem uma ou mais das seguintes características:
o Se os bits SYN e FIN estiverem definidos, o pacote TCP é ilegal.
o SYN FIN PSH, SYN FIN RST e SIN FIN PSH RST são variantes de SIN FIN. Um
o invasor define esses bits adicionais para evitar a detecção.
o Um pacote com apenas um sinalizador FIN é ilegal, pois FIN pode ser usado em mapeamento de rede, varredura de
portas e outras atividades furtivas.
o Alguns pacotes têm todos os seis sinalizadores desativados; estes são conhecidos como flags NULL e são ilegais.
o A porta de origem ou destino é zero.
o Se o sinalizador ACK estiver definido, o número de confirmação não deve ser zero.
o Se um pacote tiver apenas o bit SYN, que é definido no início para estabelecer uma conexão, e quaisquer outros
dados estiverem presentes, então é um pacote ilegal.
o Se o endereço de destino for um endereço de broadcast (terminando em 0 ou 255), é um endereço ilegal

pacote.
o Todo pacote TCP tem dois bits reservados para uso futuro. Se um ou ambos estiverem definidos, o pacote é ilegal.
ÿ Todas as conversas originadas dentro da zona desmilitarizada (DMZ) são tráfego confiável
Itens.
ÿ Qualquer tráfego que viole as políticas de rede é tráfego mal-intencionado, por exemplo, a existência de tráfego FTP (File
Transfer Protocol) quando esse tipo é restrito indica um possível problema.
ÿ Qualquer tráfego de Protocolo de Configuração de Host Dinâmico (DHCP) de servidores DHCP desconhecidos
indica um servidor DHCP não autorizado.
ÿ O tráfego de correio originado na rede, mas não enviado a um servidor de correio, é suspeito.
ÿ Qualquer tráfego DNS não enviado ao servidor DNS é suspeito.
ÿ Qualquer tráfego de saída com endereços internos que não correspondam ao endereço da organização
space pode ser malicioso.

Categorias de assinaturas de trânsito suspeitas
Informativo Reconhecimento
Tráfego contendo certas assinaturas que Tráfego contendo certas assinaturas que
podem parecer suspeitas, mas indicam uma tentativa de obter
podem não ser maliciosas informações
Acesso não autorizado Negação de serviço
Tráfego contendo certas assinaturas que Tráfego contendo certas assinaturas que
indicam uma tentativa de obter indicam uma tentativa de DoS que inunda
acesso não autorizado um servidor com um grande número de
solicitações
Categorias de assinaturas de trânsito suspeitas
O tráfego de rede que se desvia do comportamento normal é classificado como uma assinatura de tráfego suspeita.
É classificado em quatro categorias como segue.
ÿ Informativo: A assinatura de tráfego informativa detecta a atividade normal da rede.

Embora possa não parecer suspeito, os dados coletados por meio da assinatura informativa podem ser usados para
atividades suspeitas. Por exemplo, as assinaturas informativas de tráfego podem incluir o seguinte:
o Solicitações de eco do Internet Control Message Protocol (ICMP)
o Solicitações de conexão TCP
o Conexões de protocolo de datagrama de usuário (UDP)
ÿ Reconhecimento: O tráfego de reconhecimento consiste em assinaturas que indicam uma tentativa de escanear a rede em
busca de possíveis pontos fracos. O reconhecimento é uma descoberta não autorizada de vulnerabilidades, que mapeia
sistemas e serviços. O reconhecimento também é conhecido como coleta de informações e precede um ataque de rede
na maioria dos casos. Por exemplo, assinaturas de tráfego de reconhecimento podem incluir o seguinte:
o Tentativas de varredura de ping
o Tentativas de varredura de portas
o Tentativas de consulta do Domain Name System (DNS)
ÿ Acesso não autorizado: o tráfego pode conter sinais de alguém tentando obter acesso não autorizado, recuperação de
dados não autorizada, acesso ao sistema ou escalonamento de privilégios, etc. Um invasor que não tem privilégios para
acessar a rede de uma organização

geralmente gera esse tipo de tráfego com a intenção de capturar dados sensíveis. Por exemplo, as assinaturas de
tráfego de acesso não autorizado podem incluir o seguinte:
o Tentativas de quebra de senha
o Tentativas de detecção
o Tentativas de força bruta
ÿ Negação de serviço (DoS): Esse tipo de tráfego pode conter um grande número de solicitações de uma única fonte ou
de várias fontes, que são enviadas como uma tentativa de realizar um ataque DoS. Esse tipo de ataque é realizado
para interromper o serviço da organização alvo.
Por exemplo, as assinaturas de tráfego DoS podem incluir o seguinte:
o Ping das tentativas de morte
o SYN tentativas de inundação

Técnicas de análise de assinatura de ataque

Análise de assinatura baseada em conteúdo Análise de assinatura baseada em contexto
ÿ As assinaturas de ataque estão contidas em cargas úteis de pacotes ÿ As assinaturas de ataque estão contidas nos cabeçalhos dos pacotes
CABEÇALHO PAYLOAD
CABEÇALHO PAYLOAD
ÿ Inspecione os pacotes em busca de informações de cabeçalho
ÿ Verifique se há cadeias de caracteres específicas ocorrendo no suspeito incomuns/suspeitas, como as seguintes:
carga útil ÿ Endereços IP de origem e destino
ÿ Opções de IP, protocolos e somas de
verificação ÿ Números de porta de origem e destino
ÿ Sinalizadores de fragmentação de IP, deslocamento ou identificação
Análise baseada em assinatura atômica Análise baseada em assinatura composta
ÿ A análise de pacote único é suficiente para detectar assinaturas de ÿ A análise de vários pacotes é necessária para detectar assinaturas de
ataque ataque
CABEÇALHO PAYLOAD CABEÇALHO PAYLOAD CABEÇALHO PAYLOAD
Técnicas de análise de assinatura de ataque
As técnicas de análise de assinatura de ataque são classificadas em quatro categorias diferentes, conforme a seguir.
ÿ Análise de assinatura baseada em conteúdo: As assinaturas baseadas em conteúdo são detectadas analisando os
dados na carga útil e combinando uma sequência de texto com um conjunto específico de caracteres. Se não forem
detectadas, essas assinaturas podem abrir backdoors em um sistema, fornecendo controles administrativos para um
estranho.
ÿ Análise de assinatura baseada em contexto: Os pacotes geralmente são alterados usando as informações do
cabeçalho. Assinaturas suspeitas no cabeçalho podem incluir dados maliciosos que podem afetar o seguinte:
o Endereços IP de origem e destino
o Números de porta de origem e destino
o Opções de IP
o Protocolos IP
o Somas de verificação IP, TCP e UDP
o Sinalizadores de fragmentação de IP, deslocamento ou identificação
ÿ Análise baseada em assinatura atômica: Para detectar uma assinatura atômica, os profissionais de segurança
precisam analisar um único pacote para determinar se a assinatura inclui padrões maliciosos. Os profissionais de
segurança não exigem nenhum conhecimento de atividades passadas ou futuras para detectar esses padrões de
assinatura.
ÿ Análise baseada em assinatura composta: Ao contrário das assinaturas atômicas, os profissionais de segurança
precisam analisar uma série de pacotes durante um longo período de tempo para detectar

assinaturas de ataque compostas. Detectar esses padrões de ataque é extremamente difícil. A

inundação de ICMP é um exemplo de ataque executado usando assinaturas compostas. Nesse
ataque, vários pacotes ICMP são enviados a um único host para que o servidor permaneça ocupado
respondendo às solicitações.
As assinaturas do invasor podem estar localizadas no cabeçalho ou na carga útil do pacote.

Fluxo do módulo
Monitoramento

Execute o monitoramento de rede para tráfego suspeito

O objetivo desta seção é explicar como usar o Wireshark para realizar monitoramento e análise
de rede. Ele descreve como usar o Wireshark para monitorar e analisar o tráfego do File Transfer
Protocol (FTP), o tráfego Telnet e o tráfego do Hypertext Transfer Protocol (HTTP).

Wireshark
ÿ Wireshark é um farejador de rede amplamente utilizado

para monitoramento e análise de rede
ÿ Captura e navega de forma inteligente o tráfego em um
rede
Componentes do Wireshark
ÿ Barra de menu: hospeda os recursos do Wireshark
ÿ Barra de ferramentas: hospeda as ferramentas e ícones usados com
mais frequência ÿ Barra de ferramentas do filtro: filtra o tráfego com
base nas opções de filtro ÿ Painel da lista de pacotes: exibe os pacotes
capturados ÿ Painel de detalhes do pacote: exibe informações

detalhadas sobre os pacotes capturados em um nível granular ÿ
Byte do pacote painel: Exibe os bytes do pacote capturado em formato

hexadecimal
https:// www.wireshark.org
Wireshark
Fonte: https:// www.wireshark.org
O Wireshark é um farejador de pacotes que pode ser usado para solução de problemas de rede para investigar problemas de
segurança e para analisar e entender os protocolos de rede. Ele pode explorar informações passadas em texto simples.
ÿ Características
O Wireshark possui um rico conjunto de recursos que inclui o seguinte:
o Identifique o baixo desempenho da rede devido à alta latência do caminho.
o Localize dispositivos entre redes que descartam pacotes.
o Valide a configuração ideal dos hosts de rede.
o Analisar a funcionalidade e as dependências do aplicativo.
o Otimize o comportamento do aplicativo para melhor desempenho.
o Analise a capacidade da rede antes do lançamento do aplicativo.
o Verifique a segurança do aplicativo durante a inicialização, login e transferência de dados.
o Identifique o tráfego de rede incomum indicando hosts potencialmente comprometidos.
ÿ Pré-requisitos para captura de pacotes de rede
Configurar o Wireshark para capturar pacotes pela primeira vez pode ser complicado. A seguir estão alguns problemas
comuns encontrados durante a captura de pacotes com o Wireshark pela primeira vez:
o Privilégios especiais são necessários para iniciar uma captura ao vivo.

o A interface de rede correta deve ser escolhida para capturar os dados do pacote.
o Os pacotes de rede devem ser capturados no local correto na rede para visualizar o tráfego desejado.
ÿ Atividades de análise de rede Wireshark
Capturar dados de rede ao vivo é um dos principais recursos do Wireshark. O mecanismo de captura do
Wireshark permite que os defensores da rede executem o seguinte:
o Captura de diferentes tipos de hardware de rede, como Ethernet e 802.11.
o Interrompa a captura com base em diferentes acionadores, como quantidade de dados capturados, tempo
decorrido ou número de pacotes.
o Mostrar pacotes decodificados simultaneamente enquanto a captura está em andamento.
o Filtrar pacotes para reduzir a quantidade de dados a serem capturados.
o Salvar pacotes em vários arquivos durante uma captura longa.
o Captura simultaneamente de várias interfaces de rede.
ÿ Primeira captura de pacotes de rede usando Wireshark
Para capturar pacotes usando o Wireshark, primeiro instale e inicie a ferramenta na rede de destino. Selecione
a interface de rede apropriada para capturar o tráfego. A seguir estão as etapas para iniciar a captura de
pacotes com o Wireshark:
1. Clique duas vezes em uma interface na janela principal.
2. Uma visão geral das interfaces disponíveis pode ser obtida usando a interface de captura
caixa de diálogo.
3. Inicie uma captura a partir desta caixa de diálogo usando o botão Iniciar.
4. Uma captura pode ser iniciada imediatamente usando as configurações atuais selecionando Capturar
ÿ Iniciar ou clicando no primeiro botão da barra de ferramentas.
5. Se o nome da interface de captura for conhecido, o Wireshark pode ser iniciado a partir da linha de comando
através do seguinte comando: $ wireshark -i eth0 –k

Figura 12.1: Interfaces de Rede Wireshark
Figura 12.2: Capturando Tráfego

Componentes do Wireshark
Figura 12.3: Componentes do Wireshark
O menu principal do Wireshark contém os seguintes itens:
ÿ Arquivo: Este menu contém itens para abrir e mesclar, capturar arquivos, salvar, imprimir, importar e
exportar arquivos de captura no todo ou em parte e sair do aplicativo Wireshark.
ÿ Editar: Este menu contém itens para encontrar um pacote, referência de tempo e marcar um ou mais
pacotes. Ele lida com perfis de configuração e define preferências.
ÿ Exibir: Este menu controla a exibição dos dados capturados, incluindo a coloração de pacotes, zoom de
fonte, exibição de um pacote em uma janela separada e expansão e redução dos detalhes da árvore de
pacotes.
o Colorize packet list: Esta opção permite que os defensores da rede controlem se o Wireshark deve
colorir a lista de pacotes. Habilitar a colorização retarda a exibição de novos pacotes durante a
captura e carregamento de arquivos de captura.
o Regras de coloração: Esta opção permite aos defensores da rede colorir os pacotes no painel da
lista de pacotes de acordo com as expressões de filtro de sua escolha. Pode ser muito útil para
detectar certos tipos de pacotes.
o Colorir conversa: Este item de menu traz um submenu que permite que a cor dos pacotes seja
alterada no painel de lista de pacotes com base nos endereços do pacote atualmente selecionado.
Isso facilita a distinção de pacotes pertencentes a diferentes conversas.
ÿ Ir: Este menu contém opções para navegar para um pacote específico, incluindo um pacote anterior, o
próximo pacote, o pacote correspondente, o primeiro pacote e o último pacote.

ÿ Captura: Este menu permite que os defensores da rede iniciem, parem e reiniciem a captura e
para editar filtros de captura.
o Filtros de captura: Esta opção permite que os defensores da rede criem e editem
filtros. Os filtros podem ser nomeados e salvos para uso futuro.
ÿ Analisar: Este menu contém itens para manipular, exibir e aplicar filtros, ativar ou desativar a dissecação de protocolos,
configurar decodificações especificadas pelo usuário e seguir um fluxo diferente, incluindo TCP, UDP e Secure
Sockets Layer (SSL).
o Follow TCP stream: Esta opção exibe todos os segmentos TCP capturados que estão
a mesma conexão TCP como um pacote selecionado.
o Follow UDP stream: Esta opção exibe todos os segmentos UDP capturados que estão
a mesma conexão UDP como um pacote selecionado.
o Follow SSL stream: Esta opção exibe todos os segmentos SSL capturados que estão
a mesma conexão SSL como um pacote selecionado.
ÿ Estatísticas: Este menu contém opções para exibir várias janelas de estatísticas, incluindo um resumo dos pacotes
que foram capturados, exibir estatísticas de hierarquia de protocolo, gráficos IO e gráficos de fluxo.
ÿ Telefonia: Este menu contém opções para exibir várias janelas de estatísticas relacionadas à telefonia, incluindo uma
análise de mídia, diagramas de fluxo e exibição de estatísticas de hierarquia de protocolo.
ÿ Sem fio: Este menu mostra estatísticas sem fio Bluetooth e IEEE 802.11.
ÿ Ferramentas: Este menu contém várias ferramentas disponíveis no Wireshark incluindo a criação de
regras de lista de controle de acesso (ACL) do firewall e uso do interpretador Lua.
o Regras ACL de firewall: Esta ferramenta pode ser usada para criar regras ACL de linha de comando para vários
produtos de firewall diferentes, incluindo Cisco IOS, Linux Netfilter, OpenBSD e Windows Firewall. Regras para
endereços MAC, endereços IPv4, portas TCP e UDP e combinações de portas IPv4+ são suportadas. Assume-
se que as regras serão aplicadas a uma interface externa.
o Lua: Esta ferramenta inclui opções que permitem que os defensores da rede trabalhem com o interpretador Lua
integrado do Wireshark. O Wireshark usa Lua para escrever dissecadores de protocolo.
ÿ Ajuda: Este menu contém itens para ajudar o usuário, incluindo acesso a páginas de manual de ajuda básicas para
várias ferramentas de linha de comando, acesso online a algumas páginas da Web e à caixa de diálogo Sobre o
Wireshark.
ÿ Barra de ferramentas principal: A barra de ferramentas principal oferece acesso rápido a itens do menu usados com
frequência. Esta barra de ferramentas não pode ser personalizada pelo usuário. Se o espaço na tela for necessário
para mostrar mais dados do pacote, a barra de ferramentas pode ser ocultada usando o menu Exibir. Como no
menu, apenas os itens que podem ser usados no estado atual do programa estarão disponíveis. As outras ficarão
acinzentadas.

ÿ Barra de ferramentas do filtro: A barra de ferramentas do filtro permite que os defensores da rede editem e apliquem rapidamente
filtros de exibição.
ÿ Painel de lista de pacotes: Este painel exibe uma lista de pacotes no arquivo de captura atual. Ele colore os pacotes
com base no protocolo. Cada linha na lista de pacotes corresponde a um pacote no arquivo de captura. Se uma
linha neste painel for selecionada, mais detalhes serão exibidos nos painéis Packet Details e Packet Bytes.
ÿ As colunas padrão mostram o seguinte:
o Não: Esta coluna mostra o número de pacotes no arquivo de captura. Este número
não muda, mesmo se um filtro de exibição for usado.
o Time: Esta coluna mostra o timestamp do pacote. O formato de apresentação de

este carimbo de data/hora pode ser alterado.
o Fonte: Esta coluna mostra o endereço de origem do pacote.
o Destino: Esta coluna mostra o endereço de destino do pacote.
o Protocolo: Esta coluna mostra o nome do protocolo na forma abreviada.
o Info: Esta coluna mostra informações adicionais sobre o conteúdo do pacote.
ÿ Painel de detalhes do pacote: Este painel exibe os detalhes do pacote selecionado. Inclui os diferentes protocolos
que compõem as camadas de dados deste pacote. Os protocolos e campos do pacote são exibidos por meio de
uma árvore, que pode ser expandida e recolhida.
As camadas incluem o quadro, Ethernet, IP, TCP, UDP, ICMP e protocolos de aplicação, como
como HTTP.
ÿ Painel de bytes de pacote: Este painel exibe os bytes de pacote em um despejo hexadecimal e as codificações ASCII
(American Standard Code for Information Interchange). Para um despejo hexadecimal, o lado esquerdo mostra o
deslocamento nos dados do pacote e o meio dos dados do pacote é mostrado em uma representação hexadecimal.
À direita, os caracteres ASCII correspondentes são exibidos.
ÿ Barra de status: A barra de status exibe mensagens informativas. Em geral, o lado esquerdo mostra informações
relacionadas ao contexto, a parte do meio mostra o número atual de pacotes e o lado direito mostra o perfil de
configuração selecionado. O usuário pode arrastar as alças entre as áreas de texto para alterar o tamanho.

Siga o fluxo TCP no Wireshark
Senha revelada em
um fluxo TCP
Siga o fluxo TCP no Wireshark
Fonte: https:// www.wireshark.org
O Wireshark exibe dados da porta TCP com um recurso conhecido como “Follow TCP stream”. A ferramenta vê os
dados TCP da mesma forma que a camada de aplicativo. Use esta ferramenta para localizar senhas em uma sessão
telnet ou para interpretar um fluxo de dados.
Para ver o fluxo TCP, selecione um pacote TCP na lista de pacotes de um fluxo/conexão e, em seguida, selecione o
item de menu Follow TCP Stream no menu Wireshark Tools . O Wireshark exibe todos os dados do fluxo TCP
definindo um filtro de exibição apropriado. A ferramenta exibe o conteúdo de streaming na mesma sequência em que
apareceu na rede. Ele exibe os dados capturados em formatos ASCII, EBCDIC, hex dump, C array ou raw.
Conforme mostrado na captura de tela, você pode capturar o tráfego de rede e obter as credenciais de uma máquina
de destino. Você pode tentar capturar sua interface remota e monitorar o tráfego gerado pelas atividades de navegação
de um usuário para extrair informações confidenciais do usuário.

Figura 12.4: Wireshark capturando TCP Stream
Figura 12.5: Recurso Wireshark Follow TCP Stream

Filtros de exibição no Wireshark

ÿ Os filtros de exibição são usados para alterar a visualização dos pacotes nos arquivos capturados
Filtragem de exibição por

1 Protocolo
Exemplo: Digite o protocolo na caixa de filtro; arp, http, tcp, udp, dns ou ip
ÿ tcp.port==23
Monitorando o
2 Portas Específicas
ÿ ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port=23
Filtrando por Múltiplos ip.addr == 10.0.0.4 ou ip.addr

3 Endereços IP == 10.0.0.5
Filtragem por IP
4 Endereço
ip.addr == 10.0.0.4
ÿ ip.dst == 10.0.1.50 && frame.pkt_len > 400

ÿ ip.addr == 10.0.1.12 && icmp && frame.number > 15 &&
5 Outros filtros quadro.número < 30
ÿ ip.src==205.153.63.30 ou ip.dst==205.153.63.30
Filtros de exibição no Wireshark Fonte:
https:// wiki.wireshark.org
Os recursos do Wireshark exibem filtros que filtram o tráfego na rede de destino por tipo de protocolo, endereço
IP, porta, etc. Os filtros de exibição são usados para alterar a visualização dos pacotes nos arquivos capturados.
Para configurar um filtro, digite o nome do protocolo, como arp, http, tcp, udp, dns e ip, na caixa de filtro do
Wireshark. O Wireshark pode usar vários filtros ao mesmo tempo.
Alguns dos filtros de exibição no Wireshark estão listados abaixo:
ÿ Filtragem de exibição por protocolo
Exemplo: Digite o protocolo na caixa de filtro: arp, http, tcp, udp, dns, ip
ÿ Acompanhamento dos Portos Específicos
o tcp.port==23
o ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port==23
ÿ Filtragem por vários endereços IP
o ip.addr == 10.0.0.4 ou ip.addr == 10.0.0.5
ÿ Filtragem por Endereço IP
o ip.addr == 10.0.0.4
ÿ Outros Filtros
o ip.dst == 10.0.1.50 && frame.pkt_len > 400
o ip.addr == 10.0.1.12 && icmp && frame.number > 15 &&

quadro.número < 30
o ip.src==205.153.63.30 ou ip.dst==205.153.63.30

Filtros Wireshark Adicionais

!(arp ou icmp ou dns)
tcp.flags.reset==1 Exibe
01 todas as redefinições de TCP 06 Mascara arp, icmp, dns ou outros protocolos e
permite visualizar o tráfego de seu interesse
udp contém 33:27:58 tcp.port == 4000 Define

02 Define um filtro para os valores HEX de 0x33 0x27 0x58 em
qualquer deslocamento
07 um filtro para qualquer pacote TCP com 4000
como porta de origem ou destino
http.request Exibe tcp.port eq 25 ou icmp Exibe

03 todas as solicitações HTTP GET 08 apenas tráfego SMTP (porta 25) e ICMP
ip.src==192.168.0.0/16 e
tcp.analysis. Retransmissão Exibe todas ip.dst==192.168.0.0/16 Exibe apenas o
04 as retransmissões no rastreamento 09 tráfego na LAN (192.168.xx), entre estações de
trabalho e servidores — sem Internet
ip.src != xxx.xxx.xxx.xxx && ip.dst !=

tcp contém tráfego
xxx.xxx.xxx.xxx && sip Filtre por um protocolo
05 Exibe todos os pacotes TCP que contêm a
palavra “tráfego”
10 (por exemplo, SIP) e filtre IPs indesejados
Filtros Wireshark Adicionais
Fonte: https:// wiki.wireshark.org
Alguns exemplos de filtros Wireshark adicionais estão listados abaixo:
ÿ tcp.flags.reset==1
Exibe todas as redefinições de TCP
ÿ udp contém 33:27:58
Define um filtro para os valores hexadecimais de 0×33 0×27 0×58 em qualquer deslocamento
ÿ http.request
Exibe todas as solicitações HTTP GET
ÿ tcp.analysis.retransmission
Exibe todas as retransmissões no rastreamento
ÿ tcp contém tráfego
Exibe todos os pacotes TCP que contêm a palavra “tráfego”
ÿ !(arp ou icmp ou dns)
Mascara arp, icmp, dns ou outros protocolos e permite visualizar o tráfego de seu interesse
ÿ tcp.port == 4000
Define um filtro para qualquer pacote TCP com 4000 como porta de origem ou destino

ÿ tcp.port eq 25 ou icmp
Exibe apenas tráfego SMTP (porta 25) e ICMP

ÿ ip.src==192.168.0.0/16 e ip.dst==192.168.0.0/16
Exibe apenas o tráfego na LAN (192.168.xx), entre estações de trabalho e servidores — não
Internet
ÿ ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip
Filtra por um protocolo (por exemplo, SIP) e filtra IPs indesejados

Monitorando e analisando o tráfego de FTP
ÿ O FTP é usado para

transferir arquivos sobre
TCP e sua porta

padrão é 21
ÿ FTP envia dados em um

formato de texto simples
ÿ Use o filtro ftp para

verificar se algum FTP
não autorizado
as sessões foram
estabelecido no
rede
Monitorando e analisando o tráfego de FTP

O FTP não oferece um ambiente de rede seguro nem autenticação de usuário segura. Os indivíduos não
precisam de autenticação para acessar um servidor FTP em uma rede. Isso fornece um método fácil para
os invasores entrarem na rede e acessarem os recursos. O FTP não fornece criptografia no processo de
transferência de dados e a transferência de dados entre o remetente e o destinatário é em texto simples.
Consequentemente, informações críticas, como nomes de usuários e senhas, ficam expostas aos invasores.
A implementação do FTP na rede de uma organização deixa os dados acessíveis a fontes externas. A
implantação de FTP em uma rede pode levar a tipos de ataques, como FTP bounce, força bruta de FTP e
ataques de detecção de pacotes.
O Wireshark fornece informações completas sobre o tráfego FTP em uma rede para monitoramento.
A aplicação de um filtro FTP ajuda a detectar sessões não autorizadas em execução no servidor. Além de
monitorar o tráfego no servidor FTP, o conteúdo do arquivo existente e o tamanho do arquivo no servidor
devem ser monitorados.
Figura 12.6: Tráfego FTP

Monitorando e analisando o tráfego Telnet
O Telnet pode fornecer acesso a hosts remotos, incluindo a maioria dos equipamentos
de rede e sistemas operacionais
Telnet não é criptografado; a senha e todos os outros dados são transmitidos como texto
não criptografado
Idealmente, deve ser desativado; habilitá-lo representa enormes riscos de

segurança para a rede
É essencial verificar se alguma sessão Telnet é estabelecida

dentro da rede
Monitorando e analisando o tráfego Telnet (continuação)
ÿ Execute o seguinte para verificar

as sessões Telnet estabelecidas:
ÿ Vá para o menu de estatísticas e

clique em conversas
ÿ Vá para a guia TCP e selecione

a comunicação Telnet
apropriada indicada pela porta 23
e clique em Follow Stream…
ÿ O tráfego Telnet e o
credenciais serão visíveis
em texto claro
Monitorando e analisando o tráfego Telnet
O protocolo Telnet funciona em um modelo cliente-servidor. Ele fornece acesso a equipamentos de rede
e sistemas operacionais remotos. Os dados transferidos por Telnet não são criptografados, facilitando a
espionagem por intrusos. Se uma pessoa tiver acesso a um dispositivo de rede com Telnet configurado,
ela poderá obter acesso à rede e às informações da conta do usuário. Geralmente, o Telnet deve ser
desabilitado em uma organização.

Telnet é um protocolo orientado a sessão, o que implica que a conexão deve estar aberta durante toda a
sessão. Os invasores podem usar sessões abertas de Telnet para realizar uma violação de segurança de rede.
Portanto, os profissionais de segurança devem monitorar as sessões Telnet (se houver) em execução em
sua rede. O monitoramento oportuno de sessões Telnet por meio do Wireshark pode minimizar bastante o
risco de invasão de rede.
Figura 12.7: Tráfego Telnet

ÿ Execute o seguinte para verificar as sessões Telnet estabelecidas:
o Vá para o menu Estatísticas e clique em Conversas.
o Vá para a guia TCP e selecione a comunicação Telnet apropriada indicada por

porta 23 e clique em Follow Stream…
Figura 12.8: guia TCP
o O tráfego Telnet e as credenciais serão visíveis em texto não criptografado.
Figura 12.9: Credencial de texto não criptografado no tráfego telnet

Monitorando e analisando o tráfego HTTP
ÿ O HTTP envia informações de forma simples

texto
ÿ Monitore e analise o tráfego HTTP para os

seguintes propósitos:
ÿ Verifique se algum sensível

as informações são enviadas usando HTTP
ÿ Detectar tráfego malicioso
ÿ Verifique o tráfego em relação a uma violação

de política
ÿ Detectar aplicativos usando serviços

desnecessários/restritos
ÿ Use o filtro http para verificar o tráfego

HTTP específico
Monitorando e analisando o tráfego HTTP
Os aplicativos que implementam HTTP enviam dados em texto não criptografado. A implementação de HTTP
pode representar riscos de segurança para a organização, pois informações confidenciais, como nomes de
usuário e senhas, são enviadas como solicitações HTTP. O invasor pode facilmente farejar o tráfego e roubar
informações confidenciais para uso malicioso. Portanto, os profissionais de segurança devem garantir que
seu tráfego HTTP seja enviado por um protocolo criptografado, como HTTP Secure (HTTPS). Simultaneamente,
eles devem monitorar os aplicativos e garantir que eles não enviem dados por HTTP. Monitorar o tráfego
HTTP também ajuda a detectar o volume de tráfego HTTP na rede. Também ajuda a detectar tráfego
malicioso, tentativas de violação de política, aplicativos que usam serviços desnecessários/restritos.

Use o filtro http para verificar o tráfego HTTP específico.
Figura 12.10: Credencial de texto não criptografado no tráfego HTTP

Sniffers de rede para monitoramento de rede

tcpdump é um analisador de rede de linha de comando
tcpdump ou um farejador de pacotes que ajuda a capturar e Riverbed Packet Analyzer Plus
analisar o tráfego de rede https:// www.riverbed.com
OmniPeek
https:// www.liveaction.com
Observador Analyzer
https:// www.viavisolutions.com
Inspeção e análise profunda

de pacotes SolarWinds
https:// www.solarwinds.com
Xplico
https:// www.xplico.org
https:// www.tcpdump.org
Sniffers de rede para monitoramento de rede

ÿ tcpdump
Fonte: https:// www.tcpdump.org
tcpdump é um analisador de rede de linha de comando ou um farejador de pacotes. Profissionais de
segurança podem usar este utilitário para monitoramento e análise de rede.
Figura 12.11: Captura de tela do tcpdump

Algumas ferramentas adicionais de detecção de rede são as seguintes:
ÿ Riverbed Packet Analyzer Plus (https:// www.riverbed.com)

ÿ OmniPeek (https:// www.liveaction.com)
ÿ Observer Analyzer (https:// www.viavisolutions.com)
ÿ Inspeção e análise profunda de pacotes SolarWinds (https:// www.solarwinds.com)
ÿ Xplico (https:// www.xplico.org)

Ferramentas de monitoramento de rede

PRTG
Um software de monitoramento de rede que suporta
Rede gerenciamento remoto usando qualquer navegador da Rede SolarWinds
Monitor web ou smartphone, vários métodos de notificação e Monitor de desempenho
monitoramento de vários locais https:// www.solarwinds.com
ManageEngine OpManager
https:// www.manageengine.com
Capsa Free Network Analyzer

https:// www.colasoft.com
Solução de Monitoramento de
Rede Monitis https://
www.monitis.com
Nagios Network Analyzer

https:// www.nagios.com
https:// www.paessler.com
Ferramentas de monitoramento de rede
ÿ Monitor de Rede PRTG
Fonte: https:// www.paessler.com
O PRTG Network Monitor é um software de monitoramento de rede que suporta gerenciamento remoto
usando qualquer navegador da web ou smartphone, vários métodos de notificação e monitoramento de vários
locais. O Network Defender pode usar esse utilitário para monitoramento de disponibilidade, uso e atividade,
e abrange toda a gama, desde o monitoramento do site até o monitoramento do desempenho do banco de
dados.
Ajuda no seguinte:
o Evite gargalos de largura de banda e desempenho.
o Identifique aplicativos ou servidores usando a largura de banda disponível.
o Identifique instantaneamente picos repentinos causados por código malicioso.
o Reduzir os custos de aquisição de hardware e largura de banda adicionais.
O PRTG pode coletar dados para quase tudo de interesse na rede. Ele suporta vários protocolos para coleta
de dados:
o Protocolo Simples de Gerenciamento de Rede (SNMP) e Gerenciamento do Windows

Instrumentação (WMI)
o Packet sniffing
o NetFlow, IP Flow Information Export (IPFIX), jFlow e sFlow

Figura 12.12: Captura de tela do PRTG Network Monitor
Figura 12.13: Monitoramento de desempenho usando o PRTG Network Monitor
Algumas ferramentas adicionais de monitoramento de rede são as seguintes:
ÿ SolarWinds Network Performance Monitor (https:// www.solarwinds.com)

ÿ ManageEngine OpManager (https:// www.manageengine.com)
ÿ Capsa Free Network Analyzer (https:// www.colasoft.com)
ÿ Solução de monitoramento de rede Monitis (https:// www.monitis.com)
ÿ Nagios Network Analyzer (https:// www.nagios.com)

Resumo do Módulo
Este módulo discutiu a necessidade e as vantagens do monitoramento de
tráfego de rede
Ele discutiu as assinaturas de tráfego de rede
Também discutiu as categorias de assinaturas de tráfego suspeitas
Este módulo também discutiu as técnicas de análise de assinatura de

ataque e monitoramento de rede para tráfego suspeito
Finalmente, este módulo terminou com uma visão geral de várias

ferramentas de monitoramento de rede
Resumo do Módulo
Este módulo discutiu a necessidade e as vantagens do monitoramento do tráfego de rede. Ele discutiu
as assinaturas de tráfego de rede, bem como as categorias de assinaturas de tráfego suspeitas.
Além disso, este módulo discutiu técnicas de análise de assinatura de ataque e monitoramento de rede
para tráfego suspeito. Finalmente, este módulo apresentou uma visão geral de várias ferramentas de
monitoramento de rede.

Glossário
UMA
Glossário
ÿ
Disponibilidade: garante que as informações estejam disponíveis para as partes autorizadas sem qualquer interrupção.
ÿ Autenticação: Garante que a identidade de um indivíduo seja verificada pelo sistema ou serviço.
ÿ Autorização: Autorização refere-se ao processo de fornecer permissão para acessar os recursos ou

realizar uma ação na rede.
ÿ Contabilidade: Contabilidade é um método de acompanhar as ações do usuário na rede. Ele rastreia quem, quando e como os usuários acessam
a rede.
ÿ Gateways de nível de aplicativo: os gateways de nível de aplicativo podem filtrar pacotes na camada de aplicativo do OSI
modelo.
ÿ Proxy de Aplicativo: Um proxy em nível de aplicativo funciona como um servidor proxy e filtra conexões para
Serviços.
ÿ Proxy Anônimo: Um proxy anônimo não transfere informações sobre o endereço IP de seu usuário, ocultando assim informações sobre o usuário
e seus interesses de navegação.
ÿ Detecção de Anomalias: Detecta a intrusão com base nas características comportamentais fixas dos usuários e
componentes de um sistema de computador.
ÿ Controles administrativos de segurança: Os controles administrativos de segurança são limitações de gerenciamento, procedimentos operacionais
e de responsabilidade e outros controles que garantem a segurança de uma organização.
ÿ Controle de acesso: Controle de acesso é a restrição seletiva de acesso a um ativo ou sistema/rede

recurso.
ÿ
Alerta: um alerta é um evento graduado que notifica que um determinado evento (ou série de eventos) atingiu um limite especificado e precisa
de uma ação apropriada por uma parte responsável.
ÿ Sistemas de Alerta: Um sistema de alerta envia uma mensagem de alerta quando qualquer anomalia ou uso indevido é detectado.
ÿ Sistema de Alarme: Os alarmes são utilizados para chamar a atenção quando há uma violação ou durante uma tentativa de violação.
ÿ Ponto de acesso (AP): Usado para conectar dispositivos sem fio a uma rede sem fio/com fio.
ÿ Detecção baseada em anomalia: O processo de detecção baseada em anomalia depende da observação e comparação
eventos observados com o comportamento normal e, em seguida, detectando qualquer desvio dele.
ÿ Servidor AAA: O servidor AAA é usado para estabelecer acesso seguro em um ambiente VPN de acesso remoto.
ÿ Anything-as-a-Service (XaaS): Anything-as-a-service (XaaS) é um serviço de computação em nuvem e acesso remoto que oferece qualquer coisa
como um serviço pela Internet com base na demanda do usuário.
ÿ Associação: Refere-se ao processo de conexão de um dispositivo wireless a um AP.
ÿ Antena: Converte impulsos elétricos em ondas de rádio e vice-versa.
ÿ Criptografia assimétrica: a criptografia assimétrica usa duas chaves separadas para realizar a criptografia e
descriptografia.
ÿ Padrão Avançado de Criptografia (AES): O AES é uma especificação do Instituto Nacional de Padrões e Tecnologia (NIST) para a criptografia de
dados eletrônicos.
ÿ Trilhas de auditoria: Uma trilha de auditoria é um conjunto de registros que fornecem evidências documentais da atividade de um sistema.
Glossário página 903 Network Defense Essentials Copyright © por EC-Council Todos os

Glossário
ÿ Contêineres de aplicativos: são contêineres usados para executar um único serviço. Eles têm sistemas de arquivos em camadas e são construídos
sobre as tecnologias de contêiner do sistema operacional.
ÿ ANT: É um protocolo de sensor sem fio que permite a comunicação entre os sensores e seus controladores.
B
ÿ Autenticação biométrica: A biometria é uma tecnologia que identifica características humanas para autenticar pessoas.
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e restringe os veículos motorizados às
áreas de estacionamento, escritórios, etc.
ÿ Bastion Host: Um bastion host é um sistema de computador projetado e configurado para proteger os recursos da rede
de ataques.
ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão.
ÿ Identificador do Conjunto de Serviços Básicos (BSSID): É o endereço de controle de acesso à mídia (MAC) de um ponto de acesso (AP) ou
estação base que configurou um conjunto de serviços básicos (BSS).
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e restringe os veículos motorizados a
as áreas de estacionamento, escritórios etc.
ÿ IDS baseado em comportamento: As técnicas de detecção de intrusão baseadas em comportamento assumem que uma intrusão pode ser detectada
observando um desvio do comportamento normal ou esperado do sistema ou usuários.
ÿ Bluetooth: Na tecnologia Bluetooth, os dados são transmitidos entre celulares, computadores e outros
dispositivos de rede em distâncias curtas.
ÿ Biometria: A biometria é uma tecnologia de segurança avançada e única que utiliza o físico de um indivíduo
atributos como impressão digital, íris, rosto, voz e comportamento para verificar sua identidade.
ÿ Traga seu próprio dispositivo (BYOD): BYOD refere-se a uma política que permite que os funcionários tragam seus dispositivos, como
como laptops, smartphones e tablets para o local de trabalho.
ÿ Dados Críticos de Negócios: Os dados críticos de negócios contêm informações que são importantes para a operação de negócios.
C
ÿ Confidencialidade: Garante que as informações não sejam divulgadas a partes não autorizadas
ÿ Controles de compensação: Esses controles são usados como um controle alternativo quando os controles pretendidos falham
ou não pode ser usado.
ÿ Fechaduras Combinadas: Possui combinação de números e letras. O usuário precisa fornecer a combinação para abrir a fechadura.
ÿ Lei de Abuso e Fraude Informática: estabelece que, quem acessar intencionalmente um computador sem autorização ou exceder o acesso
autorizado, e assim obter informações de qualquer computador protegido, e se a conduta envolver uma comunicação interestadual ou estrangeira,
será punido nos termos da Lei.
ÿ Gateway de Nível de Circuito: Os gateways de nível de circuito funcionam na camada de sessão do modelo OSI ou na camada TCP
de TCP/IP.
ÿ VPNs de cliente para site (acesso remoto): As VPNs de acesso remoto permitem que hosts ou clientes individuais, como teletrabalhadores e
usuários móveis, estabeleçam conexões seguras com a rede de uma empresa pela Internet.
ÿ Contêiner: Os contêineres referem-se à virtualização baseada em um sistema operacional, no qual a funcionalidade do sistema operacional do
kernel é replicada em várias instâncias de espaço de usuário isolado.
ÿ Computação em nuvem: A computação em nuvem é uma entrega sob demanda de capacidades de TI onde a infraestrutura de TI e
os aplicativos são fornecidos aos assinantes como um serviço medido em uma rede.
Glossário Página 904 Network Defense Essentials Copyright © por EC-Council Todos os

Glossário
ÿ Cloud Storage: armazenamento em nuvem é um meio de armazenamento de dados usado para armazenar dados digitais em pools lógicos usando um
rede.
ÿ Modelo de comunicação nuvem-para-nuvem (compartilhamento de dados de back-end): esse tipo de modelo de comunicação estende o
tipo de comunicação dispositivo-para-nuvem de forma que os dados dos dispositivos IoT possam ser acessados por terceiros autorizados.
ÿ Plataforma de Nuvem: Em um ecossistema de IoT, o componente de nuvem é referido como o ponto central de agregação e gerenciamento
de dados.
ÿ Cloud Data Backup: Armazenamento de dados de backup no armazenamento fornecido por um provedor de backup online.
ÿ Container-as-a-Service (CaaS): Este modelo de computação em nuvem fornece contêineres e clusters como um serviço para
seus assinantes.
ÿ Community Cloud: Infraestrutura compartilhada entre diversas organizações de uma comunidade específica com
preocupações comuns (segurança, conformidade, jurisdição, etc.).
ÿ Consumidor de nuvem: uma pessoa ou organização que usa serviços de computação em nuvem.
ÿ Provedor de Nuvem: Uma pessoa ou organização que fornece serviços às partes interessadas por meio de acesso à rede.
ÿ Cloud Carrier: Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte
entre CSPs e consumidores de nuvem.
ÿ Cloud Auditor: Um auditor de nuvem é uma parte que realiza um exame independente do serviço de nuvem
controles para expressar uma opinião sobre eles.
ÿ Cloud Broker: Uma entidade que gerencia serviços de nuvem em termos de uso, desempenho e entrega, e mantém o relacionamento entre
provedores de nuvem e consumidores.
ÿ Comunicação Celular: A comunicação celular é baseada em uma única torre de rede que atende dispositivos localizados em um raio
específico.
ÿ Ataques entre contêineres: obter acesso a um contêiner e utilizá-lo para atacar outros contêineres do mesmo
host ou dentro da rede local.
ÿ Camada de Comunicação: A camada de comunicação (conectividade/computação de ponta) inclui os componentes

de protocolos de comunicação e redes usadas para conectividade e computação de ponta.
ÿ Camada de Nuvem: Servidores hospedados na nuvem aceitam, armazenam e processam os dados do sensor recebidos da IoT
entradas.
ÿ Contrabando: O contrabando inclui materiais proibidos de entrar no ambiente, como explosivos, bombas, armas, etc.
ÿ Comunicação Celular (Móvel) 5G: É uma rede celular de banda larga que opera em alta largura de banda
com baixa latência e fornece downloads de dados em alta velocidade.
ÿ IDS Centralizado: Em um sistema centralizado, os dados são coletados de diferentes sites para um site central.
ÿ Autenticação baseada no contexto: A autenticação baseada no contexto é um tipo de técnica de segurança aprimorada
que usa as informações contextuais de um usuário para aprimorar as decisões de segurança de dados.
ÿ Containerização: Containerização é uma técnica na qual todos os dados pessoais e organizacionais são
segregados no dispositivo móvel de um funcionário.
ÿ Escolha seu próprio dispositivo (CYOD): CYOD refere-se a uma política em que os funcionários selecionam seu dispositivo de escolha em
um conjunto pré-aprovado de dispositivos (laptops, smartphones e tablets) para acessar dados da empresa de acordo com os privilégios
de acesso de uma organização.
ÿ Propriedade da empresa, habilitada pessoalmente (COPE): Propriedade da empresa, habilitada pessoalmente (COPE) refere-se a uma
política que permite que os funcionários usem e gerenciem os dispositivos adquiridos pelas organizações.

Glossário
ÿ Propriedade da Empresa, Somente Comercial (COBO): Propriedade da Empresa, Somente Comercial (COBO) refere-se a uma
política que permite que os funcionários usem e gerenciem os dispositivos adquiridos pela organização, mas restringem o uso do
dispositivo apenas para uso comercial.
ÿ Criptografia: Criptografia é a prática de ocultar informações convertendo texto simples (formato legível) em texto cifrado (formato
ilegível) usando uma chave ou esquema de criptografia.
ÿ CCMP: Um protocolo de criptografia usado em WPA2 para criptografia e autenticação mais fortes.
ÿ Autoridades de certificação: Autoridades de certificação (CAs) são entidades confiáveis que emitem certificados digitais.
ÿ Autorização Centralizada: Mantém um único banco de dados para autorizar todos os recursos da rede ou
formulários.
ÿ Console de Comando: Fornece uma interface de usuário para um administrador com a finalidade de receber e
analisando eventos de segurança, mensagens de alerta e arquivos de log.
ÿ Cifras: Uma cifra é um algoritmo para executar criptografia e descriptografia.
D
ÿ Controles de Dissuasão: São usados para desencorajar a violação das políticas de segurança.
ÿ Controles de Detecção: São utilizados para detectar tentativas de acesso não autorizado.
ÿ Controle de Acesso Discricionário (DAC): DAC determina o controle de acesso tomado por qualquer possuidor de um objeto
para decidir o controle de acesso de um sujeito a esse objeto.
ÿ Controles de Detetive: Esses controles detectam violações de segurança e registram qualquer tentativa de invasão.
ÿ
Fechaduras Digitais: As fechaduras digitais usam impressão digital, cartão inteligente ou um PIN no teclado para desbloquear.
ÿ Zona Desmilitarizada (DMZ): Uma sub-rede de computador é colocada entre a rede privada da organização, como uma LAN, e
uma rede pública externa, como a Internet, e atua como uma camada de segurança adicional.
ÿ DMZ de firewall duplo: A abordagem de firewall duplo usa dois firewalls para criar uma DMZ.
ÿ IDS Distribuído: Um sistema de detecção de intrusão distribuído (dIDS) consiste em vários IDSs em um grande
rede.
ÿ Honeypots de banco de dados: honeypots de banco de dados empregam bancos de dados falsos que são vulneráveis a
ataques relacionados a banco de dados, como injeção de SQL e enumeração de banco de dados.
ÿ Docker: Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas
dependências na forma de contêineres, para garantir que o aplicativo funcione em um ambiente contínuo.
ÿ Rede Docker: A arquitetura de rede Docker é desenvolvida em um conjunto de interfaces conhecido como modelo de rede de
contêiner (CNM). O CNM fornece portabilidade de aplicativos em infraestruturas heterogêneas.
ÿ Ataques de Registro do Docker: Obter acesso ao registro do Docker.
ÿ Camada de Dispositivo: A camada de dispositivo ou coisa da IoT inclui o hardware que constitui os dispositivos IoT.
ÿ Comunicação Device-to-Device: Neste tipo de comunicação, dispositivos interconectados interagem entre si através da Internet,
mas utilizam predominantemente protocolos como ZigBee, Z-Wave ou Bluetooth.
ÿ Comunicação dispositivo-para-nuvem: neste tipo de comunicação, os dispositivos se comunicam diretamente com a nuvem, em
vez de se comunicar diretamente com o cliente para enviar ou receber dados ou comandos.

Glossário
ÿ Comunicação de dispositivo para gateway: No modelo de comunicação de dispositivo para gateway, o dispositivo IoT se comunica com um dispositivo
intermediário chamado gateway, que por sua vez se comunica com o serviço de nuvem.
ÿ Autorização Descentralizada: Uma autorização descentralizada mantém um banco de dados separado para cada
recurso.
ÿ Estratégia de backup de dados: Uma estratégia de backup ideal inclui etapas que vão desde a seleção dos dados corretos até
conduzir uma broca de restauração de dados de teste.
ÿ Espalhamento espectral de sequência direta (DSSS): DSSS é uma técnica de espalhamento espectral que multiplica o original
sinal de dados com um código de espalhamento de ruído pseudo-aleatório.
ÿ Antena Direcional: Uma antena direcional pode transmitir e receber ondas de rádio de uma única direção.
ÿ Antena dipolo: Uma antena dipolo é um condutor elétrico reto medindo meio comprimento de onda de ponta a ponta e é conectado no centro da linha
de alimentação de radiofrequência (RF).
ÿ Data Encryption Standard (DES): DES é projetado para cifrar e decifrar blocos de dados que consistem em 64
bits sob controle de uma chave de 56 bits.
ÿ
Algoritmo de Assinatura Digital (DSA): O algoritmo de assinatura digital (DSA) é um Padrão Federal de Processamento de Informações (FIPS)
para assinaturas digitais.
ÿ
Assinatura digital: As assinaturas digitais usam os algoritmos de chave assimétrica para fornecer integridade de dados.
ÿ
Certificados Digitais: Os certificados digitais permitem uma troca segura de informações entre um remetente e um destinatário.
ÿ Segurança de dados: A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional ou não
intencional de uso indevido de dados, destruição de dados e modificação de dados.
ÿ Data Protection Act 2018 (DPA): A DPA é uma lei que prevê a regulamentação do processamento
de informações relativas a pessoas físicas.
ÿ Controle de Acesso a Dados: Os controles de acesso a dados permitem autenticação e autorização de usuários para acessar o
dados.
ÿ Criptografia de Dados: Proteger as informações transformando-as de forma que se tornem ilegíveis para um
parte não autorizada.
ÿ Mascaramento de Dados: Proteção de informações obscurecendo áreas específicas de dados com caracteres ou códigos aleatórios.
ÿ Resiliência de Dados e Backup: Fazendo uma cópia duplicada de dados críticos a serem usados para restauração e recuperação
propósitos.
ÿ Destruição de Dados: Envolve a destruição dos dados para que não possam ser recuperados e usados para um erro
motivo.
ÿ Retenção de dados: armazenar dados com segurança para conformidade ou requisitos de negócios.
ÿ Criptografia de Disco: Criptografia de dados armazenados em um disco físico ou lógico.
ÿ Backup de dados: o backup de dados é o processo de fazer uma cópia duplicada de dados críticos, como registros físicos (papel) e de computador.
ÿ Backup de Dados Diferenciais: Todos os dados que foram alterados desde o último backup completo são copiados para o backup
meios de comunicação.
ÿ Retenção de Dados : Retenção de Dados é o processo de armazenar e manter informações importantes para
atendendo aos requisitos de conformidade e arquivamento de dados de negócios.
ÿ Data Loss Prevention (DLP): DLP inclui um conjunto de produtos e processos de software que não permitem aos usuários
enviar dados corporativos confidenciais para fora da organização.

Glossário
ÿ Assinaturas de Tráfego de Negação de Serviço: Tráfego contendo certas assinaturas que indicam uma tentativa de DoS que
inunda um servidor com um grande número de solicitações.
ÿ Política de Segurança da Informação Corporativa (EISP): O EISP orienta o escopo de uma organização e fornece orientação para
suas políticas de segurança.
ÿ Fechaduras Elétricas/Eletromagnéticas: Fechaduras elétricas ou um sistema de travamento eletrônico

atual.
ÿ Interferência Eletromagnética (EMI): EMI ocorre quando o desempenho do dispositivo eletrônico é interrompido ou
degradado devido à radiação ou condução eletromagnética.
ÿ Honeypots de e-mail : Honeypots de e- mail também são chamados de armadilhas de e-mail. Eles nada mais são do que endereços
de e-mail falsos usados especificamente para atrair e-mails falsos e maliciosos de adversários.
ÿ Encapsulamento: O encapsulamento é o método no qual os protocolos têm funções separadas para se comunicar
entre si, ocultando os dados.
ÿ Endpoint: conecta um sandbox a uma rede e abstrai a conexão real à rede de

a aplicação.
ÿ Enterprise Mobility Management (EMM): EMM consiste em ferramentas e tecnologias usadas em uma organização para proteger
os dados nos dispositivos pessoais (BYOD) e organizacionais dos funcionários.
ÿ EDGE: A borda é o principal dispositivo físico no ecossistema IoT que interage com seu entorno e contém vários componentes
como sensores, atuadores, sistemas operacionais, hardware e rede e recursos de comunicação.
ÿ Criptografia: Criptografia é a prática de ocultar informações convertendo um texto simples (formato legível)
em um texto cifrado (formato ilegível) usando uma chave ou um esquema de criptografia.
ÿ
Autorização explícita: uma autorização explícita mantém detalhes de autorização separados para cada solicitação de recurso.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como token
cartões, Kerberos e certificados.
F
ÿ
Firewall: Firewall é um software ou hardware, ou uma combinação de ambos, que geralmente é usado para separar uma rede
protegida de uma rede pública desprotegida.
ÿ Lei de Liberdade de Informação (FOIA): A Lei de Liberdade de Informação (FOIA) forneceu ao público a
direito de solicitar acesso aos registros de qualquer agência federal.
ÿ Falso Positivo (Sem ataque – Alerta): Um falso positivo ocorre se um evento acionar um alarme quando nenhum ataque real
está em andamento.
ÿ Falso Negativo (Ataque – Sem Alerta): Um falso negativo é uma condição que ocorre quando um IDS não consegue reagir a um
evento de ataque real.
ÿ Function-as-a-Service (FaaS): Este serviço de computação em nuvem fornece uma plataforma para desenvolver, executar e
gerenciar funcionalidades de aplicativos sem a complexidade de construir e manter a infraestrutura necessária.
ÿ Frequency-Hopping Spread Spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por divisão de código com salto
de frequência (FH-CDMA), é um método de transmissão de sinais de rádio comutando rapidamente uma portadora entre muitos
canais de frequência.
ÿ Digitalização de impressão digital: compara duas impressões digitais para verificação e identificação com base nos padrões do
dedo.

Glossário
ÿ Reconhecimento facial: Compara e identifica uma pessoa com base nas características faciais de uma imagem ou
fonte de vídeo.
ÿ Cercas/Cercas Elétricas/Trilhos Metálicos: Cercas/Cercas Metálicas/Cercas Elétricas geralmente marcam as áreas restritas, áreas controladas e
impedem o acesso não autorizado.
ÿ
Topologia VPN Full Mesh: Em uma rede VPN totalmente mesh, todos os pares podem se comunicar uns com os outros, tornando-a uma rede
complexa.
ÿ
Virtualização completa: neste tipo de virtualização, o sistema operacional convidado não sabe que está sendo executado em um ambiente
virtualizado.
ÿ
Virtualização do sistema de arquivos: Refere-se à virtualização de dados no nível do sistema de arquivos.
ÿ Fabric Virtualization: Este nível de virtualização torna os dispositivos virtuais independentes do físico
hardware de computador.
ÿ
Backup de dados completo: também chamado de backup normal. Ele copia todos os arquivos e os compacta para economizar espaço.
ÿ Criptografia em nível de arquivo: Criptografia de dados armazenados em arquivos/pastas.
ÿ
Criptografia completa do dispositivo: a criptografia completa do disco é um recurso de segurança que pode criptografar todas as informações
armazenadas em qualquer meio de armazenamento em um dispositivo móvel.
G
ÿ Lei Gramm-Leach-Bliley (GLBA): A Lei Gramm-Leach-Bliley (GLB Act ou GLBA) é uma lei federal dos Estados Unidos que exige que as instituições
financeiras expliquem como compartilham e protegem as informações privadas de seus clientes.
ÿ Regulamento Geral de Proteção de Dados (RGPD): O RGPD aplicará multas severas a quem violar os seus
normas de privacidade e segurança, com multas que chegam a dezenas de milhões de euros.
ÿ Máquina Convidada: Instância independente de um sistema operacional criada pelo monitor da máquina virtual.
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão de dados móveis em redes sem fio em todo
o mundo.
ÿ Sistema de Posicionamento Global (GPS): GPS é um sistema de navegação e posicionamento de rádio baseado em satélite
comunicação.
ÿ Geolocalização: Geolocalização é uma tecnologia que pode identificar a localização geográfica do mundo real de usuários ou
dispositivos quando conectados à Internet.
ÿ Geofencing: Geofencing é uma técnica através da qual os profissionais de marketing de aplicativos móveis utilizam a localização do usuário para
coletar informações.
ÿ Acesso do Governo às Chaves (GAK): GAK refere-se à obrigação estatutária de indivíduos e organizações
divulgar suas chaves criptográficas para agências governamentais.
H
ÿ Hypertext Transfer Protocol Secure (HTTPS): HTTPS garante uma comunicação segura entre dois
computadores via HTTP.
ÿ Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA): A Regra de Privacidade HIPAA fornece proteções federais para as
informações de saúde individualmente identificáveis mantidas por entidades cobertas e seus parceiros de negócios e dá aos pacientes uma
série de direitos a essas informações.
ÿ Firewalls de hardware: Um firewall de hardware é um dispositivo de hardware autônomo dedicado ou vem como
parte de um roteador.
ÿ Firewalls baseados em host: O firewall baseado em host é usado para filtrar o tráfego de entrada/saída de um computador individual no qual está
instalado.

Glossário
ÿ Honeypot: Um honeypot é um recurso do sistema de informação expressamente configurado para atrair e prender pessoas
que tentam penetrar na rede de uma organização.
ÿ Honeynets: Honeynets são redes de honeypots. Eles são muito eficazes em determinar todas as capacidades dos adversários.
ÿ VPNs de hardware: um dispositivo VPN de hardware dedicado é usado para conectar roteadores e gateways para garantir
comunicação através de um canal inseguro.
ÿ Hypervisor: Um aplicativo ou firmware que permite que vários sistemas operacionais convidados compartilhem
recursos de hardware.
ÿ Máquina Host: Máquina física real que fornece recursos de computação para dar suporte a máquinas virtuais.
ÿ Nuvem Híbrida: Combinação de duas ou mais nuvens (privadas, comunitárias ou públicas) que permanecem entidades únicas, mas
estão unidas, oferecendo assim os benefícios de vários modelos de implantação.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
ÿ Host Intrusion Detection Systems (HIDS): O HIDS é instalado em um host específico e é usado para monitorar, detectar,
e analisar os eventos que ocorrem nesse host.
ÿ Sistemas híbridos de detecção de intrusão (IDS híbrido): Um IDS híbrido é uma combinação de HIDS e NIDS.
ÿ Honeypots de alta interação : Honeypots de alta interação não emulam nada; eles correm de verdade
serviços ou software vulneráveis em sistemas de produção com sistemas operacionais e aplicativos reais
ÿ VPNs híbridas : VPNs híbridas são aquelas com VPNs confiáveis como parte das VPNs seguras. Eles implementam diferentes
componentes de rede de uma organização ao mesmo tempo para confirmar a segurança em níveis muito baixos.
custos.
ÿ Topologia VPN hub-and-spoke: Na tecnologia hub-and-spoke, a organização principal é considerada o hub e seus escritórios remotos
são considerados os spokes.
ÿ Virtualização Híbrida: Neste tipo de virtualização, o sistema operacional convidado adota a funcionalidade de paravirtualização e usa o
VMM para tradução binária para diferentes tipos de recursos de hardware.
ÿ Hot Backup (Online): Também é chamado de backup dinâmico ou backup ativo. Em um backup dinâmico, o sistema
continua realizando o backup mesmo quando o usuário está acessando o sistema.
ÿ Código de autenticação de mensagem baseado em hash (HMAC): HMAC é um tipo de código de autenticação de mensagem (MAC)
que usa uma chave criptográfica juntamente com uma função hash criptográfica.
EU
ÿ
Integridade: Garante que as informações não sejam modificadas ou adulteradas por pessoas não autorizadas.
ÿ Internet Protocol Security (IPsec): IPsec é um protocolo de camada de rede que garante um nível de IP seguro
comunicação.
ÿ Gerenciamento de identidade e acesso (IAM): O gerenciamento de identidade e acesso (IAM) é responsável por fornecer ao indivíduo
certo o acesso certo no momento certo.
ÿ Issue Specific Security Policy (ISSP): ISSP direciona o público sobre o uso de sistemas baseados em tecnologia
com a ajuda de guias.
ÿ Sistema de detecção e prevenção de intrusão (IDS/IPS): Um sistema de detecção e prevenção de intrusão (IDS/IPS) é um dispositivo
de segurança de rede que inspeciona todo o tráfego de entrada e saída da rede em busca de padrões suspeitos que possam indicar
uma violação de segurança na rede ou no sistema.
ÿ
Varredura de íris: analisa a parte colorida do olho suspensa atrás da córnea.
ÿ Autorização Implícita: A autorização implícita fornece acesso aos recursos indiretamente.
Glossário página 910 Network Defense Essentials Copyright © por EC-Council Todos

Glossário
ÿ Bastion Host Interno: Pode ser bastion hosts single-homed ou multi-homed.
ÿ IDS baseado em intervalo: A análise offline ou baseada em intervalo refere-se ao armazenamento das informações relacionadas à
intrusão para análise posterior.
ÿ Servidor IPsec: O servidor IPsec aprimora a segurança VPN por meio do uso de algoritmos de criptografia fortes e
autenticação.
ÿ Infrastructure-as-a-Service (IaaS): Fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos
sistemas que podem ser controlados por meio de uma API de serviço.
ÿ Identity-as-a-Service (IdaaS): Este serviço de computação em nuvem oferece serviços de autenticação para empresas assinantes e é
gerenciado por um fornecedor terceirizado para fornecer serviços de gerenciamento de identidade e acesso.
ÿ Identity and Access Management (IAM): IAM é o gerenciamento das identidades digitais dos usuários e seus
direitos de acesso a recursos.
ÿ Princípios de Garantia de Informação (IA): Os princípios de garantia de informação (IA) atuam como facilitadores para uma
atividades de segurança da organização para proteger e defender sua rede contra ataques de segurança.
ÿ Banda ISM: Um conjunto de frequências para as comunidades industriais, científicas e médicas internacionais.
ÿ
Banda Industrial, Científica e Médica (ISM): Esta banda é um conjunto de frequências usadas pelas comunidades industriais,
científicas e médicas internacionais.
ÿ Infravermelho (IR): IR é uma tecnologia sem fio para transferência de dados entre dois dispositivos no formato digital dentro
um curto alcance de até 5 m.
ÿ Internet das Coisas (IoT): IoT também conhecida como Internet de Todas as Coisas (IoE), refere-se a dispositivos de computação
habilitados para a Web e com capacidade de detectar, coletar e enviar dados usando sensores, hardware de comunicação e
processadores .
ÿ Topologia de Rede de Infraestrutura: Os dispositivos da rede wireless são conectados através de um AP.
ÿ Gerenciamento de usuários IoT: fornece controle sobre os usuários que têm acesso a um sistema IoT.
ÿ Gerenciamento de dispositivos IoT: o gerenciamento de dispositivos IoT ajuda os profissionais de segurança a rastrear, monitorar e
gerencie dispositivos IoT físicos a partir de um local remoto.
ÿ Backup de Dados Incremental: Apenas os arquivos que foram alterados ou criados após o último backup são copiados para
a mídia de backup.
ÿ
IDE: A unidade eletrônica integrada (IDE) permite a conexão de dois dispositivos por canal. Normalmente é usado para dispositivos
internos, pois os cabos são grandes e planos.
ÿ Assinatura Informativa de Tráfego: Tráfego contendo certas assinaturas que podem parecer suspeitas, mas podem
não seja malicioso.
k
ÿ Kerberos: Kerberos é um protocolo de autenticação de rede implementado para autenticar solicitações em redes de computadores.
ÿ Kubernetes: Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvido pelo Google para gerenciar aplicativos em contêineres e microsserviços.
eu
ÿ Sistema de Iluminação: Iluminação adequada deve ser fornecida dentro, fora e na entrada do edifício
o que ajuda a ver longas distâncias durante as patrulhas de segurança.
ÿ Segmentação Lógica: A segmentação lógica utiliza VLANs, que são isoladas logicamente sem considerar
as localizações físicas dos dispositivos.
Glossário Página 911 Network Defense Essentials Copyright © por EC-Council Todos

Glossário
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ Honeypots de baixa interação: Honeypots de baixa interação emulam apenas um número limitado de serviços e
aplicativos de um sistema ou rede de destino.
M
ÿ Controle de acesso obrigatório (MAC): O MAC determina as políticas de uso e acesso para os usuários.
ÿ Bloqueios mecânicos: fornecem um método fácil para restringir o acesso não autorizado em uma organização.
ÿ Mantrap: É um sistema de segurança que possui uma porta de entrada e saída em lados opostos, separando área não segura
da área segura.
ÿ Honeypots de malware: honeypots de malware são usados para interceptar campanhas de malware ou tentativas de malware
a infraestrutura de rede.
ÿ Honeypots de média interação: Honeypots de média interação simulam um sistema operacional real, bem como aplicativos e serviços de
uma rede de destino.
ÿ Management Server: Componentes da plataforma de virtualização usados para gerenciar diretamente as máquinas virtuais e
para simplificar a administração dos recursos.
ÿ Segurança multicamada: envolve a prevenção de acesso não autorizado a coisas IoT usando multifator
autenticação (MFA), Transport Layer Security (TLS), gerenciamento de identidade do dispositivo, etc.
ÿ Controlador de memória multiporta: Um MPMC fornece acesso à memória para até oito portas. Uma memoria
o controlador pode estar presente como um chip separado ou como uma memória integrada.
ÿ Multi Cloud: É um ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem que são gerenciados
por meio de uma interface proprietária para atingir metas de negócios de longo prazo.
ÿ Management Console: Interface usada para acessar, configurar e gerenciar o produto de virtualização.
ÿ Bastion Host Multi-homed: Um dispositivo de firewall com pelo menos duas interfaces de rede.
ÿ Multiple Input, Multiple output Multiplexação Ortogonal por Divisão de Frequência (MIMO-OFDM) :
interface para comunicações sem fio de banda larga 4G e 5G.
ÿ Gerenciamento de dispositivo móvel (MDM): o MDM fornece plataformas para distribuição por ar ou com fio de aplicativos, dados e
definições de configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones e tablets.
ÿ Gerenciamento de aplicativos móveis (MAM): O gerenciamento de aplicativos móveis (MAM) é um software ou serviço que permite que os
defensores da rede protejam, gerenciem e distribuam aplicativos corporativos em dispositivos móveis de funcionários.
ÿ Gerenciamento de conteúdo móvel (MCM): soluções de gerenciamento de conteúdo móvel (MCM) ou gerenciamento de informações
móveis (MIM) fornecem acesso seguro a dados corporativos em smartphones, tablets e outros dispositivos móveis.
ÿ Gerenciamento de e-mail móvel (MEM): As soluções de gerenciamento de e-mail móvel (MEM) garantem a segurança de
a infra-estrutura de e-mail corporativo e dados.
ÿ Gerenciamento de segurança móvel: o gerenciamento de segurança móvel envolve ações e medidas de precaução para
proteger os dados organizacionais e os dispositivos móveis usados pelos funcionários.
ÿ MD5: O algoritmo MD5 recebe uma mensagem de comprimento arbitrário como entrada e, em seguida, gera uma mensagem de 128 bits
impressão digital ou resumo de mensagem da entrada.
ÿ MD6: MD6 usa uma estrutura semelhante à árvore Merkle para permitir computação paralela em larga escala de hashes para muito
entradas longas.

Glossário
N
ÿ Não repúdio: garante que uma parte em uma comunicação não possa negar o envio da mensagem.
ÿ Segmentação de rede: a segmentação de rede é a prática de dividir uma rede em redes menores
segmentos e separando grupos de sistemas ou aplicativos uns dos outros.
ÿ Network Defense Essentials (NDE): Network Defense Essentials (NDE) é um programa de segurança que cobre o
conceitos fundamentais de segurança de rede.
ÿ Virtualização de rede: A virtualização de rede é um processo de combinar todos os recursos de rede disponíveis e permitir que os
profissionais de segurança compartilhem esses recursos entre os usuários da rede usando uma única unidade administrativa.
ÿ Controles de segurança de rede: Os controles de segurança de rede são os recursos de segurança que devem ser
configurado e implementado para garantir a segurança da rede.
ÿ Protocolos de segurança de rede: os protocolos de segurança de rede implementam operações relacionadas à segurança para garantir
a segurança e a integridade dos dados em trânsito.
ÿ Dispositivos de segurança de rede : Dispositivos de segurança de rede são dispositivos implantados para proteger o computador
redes contra tráfego indesejado e ameaças.
ÿ Network Intrusion Detection System (NIDS): O NIDS é usado para observar o tráfego de qualquer segmento ou dispositivo específico
e reconhecer a ocorrência de qualquer atividade suspeita na rede e nos protocolos de aplicação.
ÿ Pacotes de rede: Um pacote de rede é uma unidade de dados transmitida por uma rede para comunicação.
ÿ Servidor de Acesso à Rede (NAS): Também é chamado de gateway de mídia ou servidor de acesso remoto (RAS). Ele é responsável
por configurar e manter cada túnel em uma VPN de acesso remoto.
ÿ Rede: Uma rede é uma coleção de terminais que têm conectividade entre eles.
ÿ Drivers de Rede: São conectáveis e fornecem a implementação real para o funcionamento do

rede.
ÿ Defesa de Rede: O objetivo final da defesa de rede é proteger as informações, sistemas e infraestrutura de rede de uma organização
contra acesso não autorizado, uso indevido, modificação, negação de serviço ou qualquer degradação e interrupções.
ÿ Controles de acesso à rede: Os controles de acesso à rede oferecem vários mecanismos de controle de acesso à rede
dispositivos como roteadores e switches.
ÿ Hosts dual-homed sem roteamento: esse tipo de host é totalmente um firewall ou pode ser um componente
de um firewall multifacetado.
ÿ Firewalls baseados em rede: O firewall baseado em rede é usado para filtrar o tráfego de entrada/saída de
LAN interna.
ÿ Tradução de endereços de rede (NAT): A tradução de endereços de rede separa os endereços IP em dois conjuntos e
permite que a LAN use esses endereços para tráfego interno e externo, respectivamente.
ÿ Next Generation Firewall (NGFW): A tecnologia de firewall NGFW é uma tecnologia de firewall de terceira geração que
vai além da inspeção de porta/protocolo.
ÿ nvSRAM: nvSRAM é a RAM não volátil mais rápida do setor, com tempo de acesso de leitura e gravação de 20 ns.
ÿ Memória Flash NAND: Fornece um armazenamento não volátil para o cache principal do sistema RAID.
ÿ Sensores de rede: sensores de rede são componentes de hardware e software que monitoram o tráfego de rede
e disparar alarmes se qualquer atividade anormal for detectada.
ÿ Proxy não transparente: os proxies não transparentes também são conhecidos como proxies explícitos e exigem que o software cliente
seja configurado para usar o servidor proxy.

Glossário
ÿ Near-field Communication (NFC): NFC cobre distâncias muito curtas. Ele emprega indução eletromagnética para
permitem a comunicação entre dispositivos conectados dentro de 10 cm.
ÿ Network Attached Storage (NAS): NAS é um serviço de armazenamento de dados baseado em arquivo e um computador dedicado
aparelho compartilhado na rede.
ÿ Monitoramento de tráfego de rede: o monitoramento de rede é uma abordagem de segurança retrospectiva que envolve o monitoramento
de uma rede em busca de atividades anormais, problemas de desempenho, problemas de largura de banda, etc.
ÿ Assinaturas de tráfego de rede: uma assinatura é um conjunto de características de tráfego, como endereço IP de origem/destino,
portas, sinalizadores TCP (Transmission Control Protocol), tamanho do pacote, tempo de vida (TTL) e protocolos.
As assinaturas são usadas para definir o tipo de atividade em uma rede.
ÿ Assinaturas de Tráfego Normal: Padrões de tráfego aceitáveis permitidos para entrar na rede.
ÿ Objeto: Um objeto é um recurso explícito no qual uma restrição de acesso é imposta.
ÿ Operação: Uma operação é uma ação executada por um sujeito em um objeto.
ÿ Contêineres de SO: Contêineres de SO são ambientes virtuais que compartilham o kernel do ambiente host que
fornece-lhes espaço de usuário isolado.
ÿ Multiplexação Ortogonal por Divisão de Frequência (OFDM): Método de codificação de dados digitais em múltiplas portadoras
frequências.
ÿ Antena Omnidirecional: Antenas omnidirecionais irradiam energia eletromagnética (EM) em todas as direções.
ÿ Backup de dados no local: Armazenar dados de backup apenas no armazenamento de dados no local.
ÿ Backup de dados fora do local: armazenamento de dados de backup em locais remotos em cofres indestrutíveis à prova de fogo.
ÿ Autenticação de sistema aberto: A autenticação de sistema aberto é um algoritmo de autenticação nulo que não verifica se é um usuário
ou uma máquina solicitando acesso à rede.
ÿ Virtualização Assistida por SO ou Para Virtualização: Nesse tipo de virtualização, o SO convidado está ciente do ambiente virtual em
que está sendo executado e se comunica com a máquina host para solicitar
Recursos.
ÿ Virtualização do Sistema Operacional: Este tipo de virtualização permite que o hardware execute vários
sistemas operacionais simultaneamente.
P
ÿ Abordagem Preventiva: Consiste em métodos ou técnicas que são utilizadas para evitar ameaças ou ataques ao
rede alvo.
ÿ Abordagens Proativas: Consistem em métodos ou técnicas que são usadas para tomar decisões informadas sobre
ataques potenciais no futuro na rede de destino.
ÿ Controles de prevenção: são usados para impedir o acesso indesejado ou não autorizado aos recursos.
ÿ Princípio do Menor Privilégio (POLP): O princípio do menor privilégio (POLP) estende a necessidade de saber
princípio ao fornecer acesso a um sistema.
ÿ Autenticação de senha: A autenticação de senha usa uma combinação de um nome de usuário e uma senha para autenticar os usuários
da rede.
ÿ
Políticas: Políticas são declarações de alto nível que lidam com a segurança da rede administrativa de uma organização.
ÿ Política promíscua: Esta política não impõe nenhuma restrição ao uso de recursos do sistema.

Glossário
ÿ Política Permissiva: Esta política é totalmente aberta, e apenas serviços/ataques ou comportamentos perigosos conhecidos são
bloqueado.
ÿ Política paranóica: Uma política paranóica proíbe tudo. Há uma restrição estrita em todos os computadores da empresa,
seja o uso do sistema ou da rede.
ÿ Política Prudente: Uma política prudente começa com todos os serviços bloqueados. O Network Defender possibilita atendimentos seguros e
necessários individualmente.
ÿ Lista negra de senhas: Uma lista negra de senhas contém uma lista de palavras cujo uso é proibido como senhas
por causa de sua familiaridade.
ÿ Segurança Física: Trata-se de restringir o acesso físico não autorizado à infraestrutura, escritório
instalações, estações de trabalho e funcionários da organização.
ÿ Política de segurança física: A política de segurança física define diretrizes para garantir que medidas de segurança física adequadas sejam
implementadas.
ÿ Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS): PCI-DSS é um padrão de segurança de informações
proprietárias para organizações que lidam com informações de titulares de cartão para cartões de débito, crédito, pré-pagos, e-purse, ATM e
POS.
ÿ Política de Senha: A política de senha fornece diretrizes para o uso de senhas fortes para
Recursos.
ÿ Controles Preventivos: Esses controles evitam violações de segurança e reforçam vários controles de acesso
mecanismos.
ÿ Barreiras Físicas: Barreiras físicas restringem a entrada de pessoas não autorizadas no edifício; use sempre um
combinação de barreiras para impedir a entrada não autorizada.
ÿ Segmentação física: a segmentação física é um processo de divisão de uma rede maior em redes físicas menores
componentes.
ÿ Firewall de filtragem de pacotes: Os firewalls de filtragem de pacotes funcionam no nível de rede do modelo OSI (ou IP
camada de TCP/IP).
ÿ Detecção de anomalia de protocolo: A detecção de anomalia de protocolo depende das anomalias específicas de um protocolo.
ÿ Honeypots de produção: Honeypots de produção são implantados dentro da rede de produção do

organização juntamente com outros servidores de produção.
ÿ Servidores Proxy: Um servidor proxy é um aplicativo que pode servir como intermediário ao se conectar com
outros computadores.
ÿ Platform-as-a-Service (PaaS): Este serviço de computação em nuvem oferece ferramentas de desenvolvimento, gerenciamento de configuração
e plataformas de implantação sob demanda que podem ser usadas pelos assinantes para desenvolver aplicativos personalizados.
ÿ Nuvem pública: o provedor disponibiliza serviços como aplicativos, servidores e armazenamento de dados ao público pela Internet.
ÿ Nuvem Privada: Uma nuvem privada é uma infraestrutura de nuvem operada por uma única organização e implementada
dentro de um firewall corporativo.
ÿ Antena de grade parabólica: Uma antena de grade parabólica usa o mesmo princípio de uma antena parabólica, mas não possui uma antena
sólida. Consiste em um semi-prato em forma de grade composta por fios de alumínio.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de uma Camada de Transporte criptografada e autenticada
Túnel de segurança (TLS).
ÿ Conexão ponto a ponto (P2P): Uma conexão P2P permite a comunicação segura entre dois
dispositivos sem criptografia de dados.

Glossário
ÿ Honeypots puros: Honeypots puros emulam a rede de produção real de uma organização-alvo.
ÿ Filtros de pacotes: Os filtros de pacotes examinam as informações de roteamento do pacote.
ÿ Topologia VPN ponto a ponto: Em uma topologia ponto a ponto, quaisquer dois terminais são considerados como dispositivos pares que
podem se comunicar entre si. Qualquer um dos dispositivos pode ser usado para iniciar a conexão.
ÿ Camada de Processo: A camada de processo reúne informações e processa as informações recebidas.
ÿ Conexão ponto-a-multiponto: Uma conexão ponto-a-multiponto (P2MP, PTMP e PMP) permite conexões de um para muitos fornecendo
vários caminhos de um único local para vários outros locais.
ÿ Senhas e PINs: Senhas e PINs são recursos básicos de segurança usados em todos os dispositivos móveis.
ÿ Push Notification Services: É um recurso de mensagens que se origina de um servidor e permite a entrega de dados ou uma mensagem de
um aplicativo para um dispositivo móvel sem nenhuma solicitação explícita do usuário.
ÿ Public Key Infrastructure (PKI): Uma infraestrutura de chave pública (PKI) é uma arquitetura de segurança desenvolvida para aumentar a
confidencialidade das informações trocadas pela Internet.
ÿ Controles de segurança física: os controles de segurança física fornecem proteção física das informações,
edifícios e todos os outros ativos físicos de uma organização.
ÿ Pretty Good Privacy (PGP): Pretty Good Privacy (PGP) é um protocolo de camada de aplicação que fornece
privacidade criptográfica e autenticação para comunicação de rede.
ÿ Cache de memória RAID primária: Cache é usado para gravar os dados em transição. Um sistema RAID usa um cache para acelerar o
desempenho de E/S no sistema de armazenamento.
R
ÿ Abordagem Reativa: Consiste em métodos ou técnicas que são usadas para detectar ataques na rede de destino.
ÿ Abordagens retrospectivas: consistem em métodos ou técnicas que examinam as causas dos ataques e contêm, remediam, erradicam e
recuperam os danos causados pelo ataque na rede alvo.
ÿ Monitor de Referência: Um monitor de referência monitora as restrições impostas com base em determinados acessos
regras de controle.
ÿ Controle de acesso baseado em função (RBAC): Em um controle de acesso baseado em função, as permissões de acesso estão disponíveis
com base nas políticas de acesso determinadas pelo sistema.
ÿ Controle de acesso baseado em regras (RB-RBAC): As permissões são atribuídas a uma função de usuário dinamicamente com base em um conjunto
de regras definidas pelo administrador.
ÿ Controles de recuperação: Esses controles são usados em uma condição mais grave para se recuperar de violação de segurança
e restaurar informações e sistemas para um estado persistente.
ÿ Honeypots de pesquisa: Honeypots de pesquisa são honeypots de alta interação implantados principalmente por institutos de pesquisa,
governos ou organizações militares para obter conhecimento detalhado sobre as ações de invasores.
ÿ Proxy Reverso: Um proxy reverso geralmente está situado mais perto do(s) servidor(es) e retornará apenas um
conjunto de recursos.
ÿ RFID: A tecnologia de identificação por radiofrequência (RFID) usa ondas eletromagnéticas de radiofrequência (RF) para transferir dados para
identificação automática e para rastrear tags anexadas a objetos.
ÿ Antenas Refletoras: As antenas refletoras são usadas para concentrar a energia eletromagnética que é irradiada
ou recebido em um ponto focal.
ÿ RADIUS: O serviço de usuário dial-in de autenticação remota (RADIUS) é um protocolo de autenticação que fornece autenticação centralizada,
autorização e contabilidade (AAA) para servidores de acesso remoto se comunicarem com um servidor central.

Glossário
ÿ Varredura de retina: analisa a camada de vasos sanguíneos na parte de trás dos olhos para identificar uma pessoa.
ÿ Estruturas regulatórias: as estruturas regulatórias de segurança de TI contêm um conjunto de diretrizes e práticas recomendadas.
ÿ IDS baseado em tempo real : IDS baseado em tempo real reúne e monitora informações de fluxos de tráfego de rede
regularmente.
ÿ Sistema de Resposta: O sistema de resposta emite contramedidas contra qualquer intrusão que seja detectada.
ÿ Registro: Um registro contém todas as imagens implantadas por uma organização.
ÿ Monitoramento em tempo real: o monitoramento em tempo real envolve o monitoramento de ativos de IoT, processamento de produtos,
manter um fluxo, ajudar a detectar problemas e agir imediatamente.
ÿ Análise em tempo real: A análise em tempo real envolve a análise de coisas da IoT e a tomada de medidas adequadas.
ÿ Tecnologia Redundant Array of Independent Disks (RAID): Um método de combinação de vários discos rígidos
em uma única unidade e gravar dados em várias unidades de disco, oferecendo tolerância a falhas.
ÿ Controlador RAID: gerencia uma matriz de unidades de disco físicas e as apresenta ao computador como lógicas
unidades.
ÿ RAID Nível 0: Disk Striping: RAID 0 lida com desempenho de dados. Neste nível, os dados são divididos em seções
e gravados em várias unidades.
ÿ RAID Nível 1: Espelhamento de Disco: Várias cópias de dados são gravadas em várias unidades ao mesmo tempo.
ÿ RAID Nível 3: Divisão de Disco com Paridade: Os dados são distribuídos no nível de byte em várias unidades. Uma unidade
por conjunto é usado para informações de paridade.
ÿ RAID nível 5: Paridade distribuída intercalada em bloco: os dados são divididos no nível de byte em várias unidades e as informações
de paridade são distribuídas entre todas as unidades membros.
ÿ RAID Nível 10: Blocos distribuídos e espelhados: RAID 10 é uma combinação de RAID 0 (dados de volume de distribuição) e
RAID 1 (espelhamento de disco) e sua implementação requer pelo menos quatro unidades.
ÿ RAID nível 50: Espelhamento e divisão em vários níveis de RAID: RAID nível 50 inclui espelhamento e
distribuição em vários níveis de RAID.
ÿ Limpeza Remota: A limpeza remota é uma técnica usada para assegurar e proteger dados de malfeitores se um
dispositivo móvel usado por um funcionário foi roubado ou perdido.
ÿ RC4: RC4 é uma cifra de fluxo de chave simétrica de tamanho de chave variável com operações orientadas a byte e é baseada
no uso de uma permutação aleatória.
ÿ RC5: É um algoritmo parametrizado com tamanho de bloco variável, tamanho de chave variável e número de rodadas variável. O tamanho
da chave é de 128 bits.
ÿ RC6: É um algoritmo parametrizado com tamanho de bloco, tamanho de chave e número de rodadas variáveis.
ÿ Rivest-Shamir-Adleman (RSA): RSA é um sistema de criptografia e autenticação da Internet que usa um

algoritmo desenvolvido por Ron Rivest, Adi Shamir e Leonard Adleman.
ÿ Criptografia de mídia removível: A criptografia de mídia removível impede que dispositivos de mídia removível
acesso não autorizado.
ÿ Assinaturas de tráfego de reconhecimento: O tráfego de reconhecimento consiste em assinaturas que indicam uma tentativa de escanear
a rede em busca de possíveis pontos fracos.
ÿ Secure/Multipurpose Internet Mail Extensions (S/MIME): S/MIME é um protocolo de camada de aplicação que
é usado para enviar mensagens de e-mail criptografadas e assinadas digitalmente.

Glossário
ÿ Secure Sockets Layer (SSL): A Secure Sockets Layer (SSL) é um protocolo usado para fornecer um mecanismo de autenticação seguro
entre dois aplicativos de comunicação, como um cliente e um servidor.
ÿ Assunto: Um assunto pode ser definido como um usuário ou um processo que tenta acessar os objetos.
ÿ Separação de Tarefas (SoD): Isso envolve uma divisão do processo de autorização em várias etapas.
ÿ Autenticação de Smart Card: Um smart card consiste em um pequeno chip de computador que armazena informações pessoais
do usuário para identificação.
ÿ Autenticação Single Sign-on (SSO): Permite que os usuários acessem vários aplicativos usando um único
usuário e senha.
ÿ Lei Sarbanes Oxley (SOX): A Lei Sarbanes-Oxley foi criada para proteger os investidores e o público ao
aumentando a precisão e confiabilidade das divulgações corporativas:
ÿ Política de segurança: Uma política de segurança é um conjunto bem documentado de planos, processos, procedimentos, padrões e
diretrizes necessárias para estabelecer um status ideal de segurança da informação de uma organização.
ÿ Política de segurança específica do sistema (SSSP): SSSP direciona os usuários durante a configuração ou manutenção de um sistema.
ÿ Firewalls de software: Um firewall de software é um programa de software instalado em um computador, como normal
Programas.
ÿ Firewall Stateful Multilayer Inspection: Um firewall Stateful Multilayer Inspection combina os aspectos dos outros três tipos.
ÿ Reconhecimento de assinatura: O reconhecimento de assinatura, também conhecido como detecção de uso indevido, tenta identificar
eventos que indicam um abuso de um sistema ou recurso de rede.
ÿ Protocolo seguro de transferência de hipertexto (S-HTTP): O protocolo seguro de transferência de hipertexto (S-HTTP) é um protocolo
de camada de aplicativo usado para criptografar comunicações da Web transmitidas por HTTP.
ÿ Padrões: Os padrões compreendem controles obrigatórios específicos de baixo nível ou controles relacionados ao
implementação de uma tecnologia específica.
ÿ Bastion Host de hospedagem única: Um dispositivo de firewall com apenas uma interface de rede.
ÿ Firewall Único DMZ: Neste modelo, a arquitetura de rede contendo o DMZ consiste em três redes
interfaces.
ÿ Honeypots de Spam: Honeypots de Spam visam especificamente spammers que abusam de recursos vulneráveis, como
retransmissores de correio aberto e proxies abertos.
ÿ Honeypots de aranha: Honeypots de aranha também são chamados de armadilhas de aranha. Esses honeypots são projetados
especificamente para prender web crawlers e spiders.
ÿ Proxy SOCKS: SOCKS, um padrão da Internet Engineering Task Force (IETF), é um servidor proxy que não
têm as habilidades especiais de cache de um servidor proxy HTTP de cache.
ÿ Site-to-Site VPNs: Site-to-site VPN estende a rede da empresa, permite o acesso de uma organização
recursos de rede de diferentes locais.
ÿ Software VPNs: O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway que funciona como
uma VPN.
ÿ Topologia em Estrela: Cada dispositivo da rede é conectado a um hub central que gerencia o tráfego através
a rede.
ÿ Virtualização de dispositivo de armazenamento: é a virtualização de dispositivos de armazenamento usando técnicas como dados
striping e espelhamento de dados.
ÿ Virtualização do servidor: envolve o particionamento lógico do disco rígido do servidor.

Glossário
ÿ Sandbox: contém a configuração da pilha de rede de um contêiner, como tabela de roteamento, gerenciamento
das interfaces do contêiner e configurações de DNS.
ÿ Gerenciamento de Incidentes e Eventos de Segurança (SIEM): SIEM executa SOC (Operações de Segurança) em tempo real
Center) funções como identificação, monitoramento, registro, auditoria e análise de incidentes de segurança.
ÿ Software-as-a-Service (SaaS): Este serviço de computação em nuvem oferece software para assinantes sob demanda em
a Internet.
ÿ Security-as-a-Service (SECaaS): Este modelo de computação em nuvem integra serviços de segurança em

infraestrutura de maneira econômica.
ÿ Identificador de Conjunto de Serviços (SSID): Um SSID é um identificador exclusivo de 32 caracteres alfanuméricos dado a uma WLAN que
atua como um identificador sem fio da rede.
ÿ Responsabilidade Compartilhada: A segurança é uma responsabilidade compartilhada em sistemas de nuvem, em que os consumidores de
nuvem e os provedores de serviços de nuvem têm níveis variados de controle sobre os recursos de computação disponíveis.
ÿ Autenticação de Chave Compartilhada: Neste processo, cada estação wireless recebe uma chave secreta compartilhada através de um
canal distinto dos canais de comunicação da rede sem fio 802.11.
ÿ Sondagem de protocolo de gerenciamento de rede simples (SNMP): protocolo de gerenciamento de rede simples (SNMP)
O polling é usado para identificar os dispositivos IP conectados a uma rede com fio.
ÿ SDRAM: Memória de Acesso Aleatório Dinâmico (DRAM) que é sincronizada com a velocidade do clock da CPU.
ÿ Storage Area Network (SAN): Uma SAN é uma rede especializada, dedicada e discreta de alta velocidade que
conecta dispositivos de armazenamento com uma interconexão de E/S de alta velocidade.
ÿ Controles de acesso ao sistema: Os controles de acesso ao sistema são usados para restringir o acesso aos dados de acordo com
sensibilidade dos dados, nível de liberação dos usuários, direitos do usuário e permissões.
ÿ VPNs seguras : VPNs seguras são redes construídas usando criptografia.
ÿ Monitoramento de segurança: Para lidar com brechas de segurança em estágios iniciais e prevenir ataques mal-intencionados em um
sistema IoT.
ÿ SATA: Serial ATA lida com hot plugging e conectividade serial. A técnica de hot plugging pode ser usada para substituir componentes do
computador sem desligar o sistema.
ÿ SCSI: Small computer system interface (SCSI) permite que vários dispositivos sejam conectados a uma única porta no
mesmo tempo.
ÿ
Comunicação por satélite (Satcom): Satcom é um satélite geoestacionário artificial que fornece serviços em todo o mundo, mas é muito mais
lento.
ÿ Bloqueio de tela: o bloqueio de tela é um recurso em dispositivos móveis usado para proteger os dados e impedir o acesso ilegal
por criminosos.
ÿ Criptografia Simétrica: A criptografia simétrica requer que tanto o remetente quanto o destinatário do
mensagem possui a mesma chave de criptografia.
ÿ Secure Hashing Algorithm (SHA): Este algoritmo gera um hash unidirecional criptograficamente seguro; foi publicado pelo Instituto Nacional de
Padrões e Tecnologia como um Padrão Federal de Processamento de Informações dos EUA.
ÿ SHA-1: Produz um resumo de 160 bits de uma mensagem com comprimento máximo de (264 ÿ 1) bits e se assemelha ao algoritmo MD5.
ÿ SHA-2: É uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou seja, SHA-256, que usa
palavras de 32 bits e SHA-512, que usa palavras de 64 bits.

Glossário
ÿ SHA-3: SHA-3 usa a construção de esponja, na qual os blocos de mensagens são XORed nos bits iniciais do
estado, que é então permutado invertidamente.
ÿ Transport Layer Security (TLS): TLS garante uma comunicação segura entre aplicativos cliente-servidor
na internet.
ÿ Autenticação de dois fatores: A autenticação de dois fatores é um processo em que um sistema confirma o usuário
identificação em duas etapas.
ÿ A Lei de Direitos Autorais do Milênio Digital (DMCA): A DMCA é uma lei de direitos autorais dos Estados Unidos que implementa
dois tratados de 1996 da Organização Mundial da Propriedade Intelectual (WIPO).
ÿ A Lei Federal de Gerenciamento de Segurança da Informação (FISMA): A FISMA fornece uma estrutura abrangente para
garantir a eficácia dos controles de segurança da informação sobre recursos de informação que suportam operações e ativos
federais.
ÿ A Lei de Privacidade das Comunicações Eletrônicas: A Lei de Privacidade das Comunicações Eletrônicas e a Lei de
Comunicações Eletrônicas por Fios Armazenados são comumente chamadas de Lei de Privacidade das Comunicações
Eletrônicas (ECPA) de 1986.
ÿ A Lei dos Direitos Humanos de 1998: Esta Lei reforça os direitos e liberdades garantidos pela Convenção Europeia dos Direitos
Humanos.
ÿ A Lei de Liberdade de Informação de 2000: Esta Lei prevê a divulgação de informações mantidas por autoridades públicas ou por
pessoas que lhes prestem serviços e altera a Lei de Proteção de Dados de 1998 e a Lei de Registros Públicos de 1958.
ÿ TACACS+: TACACS+ fornece serviços de autenticação, autorização e contabilidade (AAA) para rede
comunicação.
ÿ Verdadeiro Positivo (Ataque - Alerta): Um verdadeiro positivo é uma condição que ocorre quando um evento aciona um alarme e
faz com que o IDS reaja como se um ataque real estivesse em andamento.
ÿ Verdadeiro Negativo (Sem Ataque - Sem Alerta): Um Verdadeiro Negativo é uma condição que ocorre quando um IDS identifica um
atividade como comportamento aceitável, e a atividade é aceitável.
ÿ Proxy Transparente: Um proxy transparente é um proxy através do qual um sistema cliente se conecta a um servidor sem seu
conhecimento.
ÿ Controles técnicos de segurança: Os controles técnicos de segurança são usados para restringir o acesso a dispositivos em um
organização para proteger a integridade de dados confidenciais.
ÿ Catracas: Este tipo de barreira física permite a entrada de apenas uma pessoa por vez.
ÿ TKIP: É um protocolo de segurança utilizado no WPA em substituição ao WEP.
NO
ÿ User Identity Management (IDM): Lida com a confirmação da identidade de um usuário, processo ou dispositivo acessando
a rede.
ÿ User Behavior Analytics (UBA): UBA é o processo de rastreamento do comportamento do usuário para detectar ataques maliciosos,
ameaças potenciais e fraude financeira.
ÿ Universal Serial Bus (USB): USB permite comunicação com fio para dispositivos. Pode ser usado para fornecimento de energia e
transmissão serial de dados entre dispositivos.
ÿ USA Patriot Act 2001: O objetivo do USA PATRIOT Act é deter e punir atos terroristas nos EUA
e em todo o mundo e aprimorar as ferramentas de investigação de aplicação da lei.

Glossário
ÿ Assinaturas de Tráfego de Acesso Não Autorizado: Tráfego contendo determinadas assinaturas que indicam tentativa de
obter acesso não autorizado.
NO
ÿ Vigilância por vídeo: Vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando CCTV
(circuito fechado de televisão).
ÿ Reconhecimento da estrutura da veia: analisa a espessura e a localização das veias para identificar uma pessoa.
ÿ Reconhecimento de Voz: Compara e identifica uma pessoa com base nos padrões de voz ou fala.
ÿ Virtual Private Network: Uma VPN é uma rede privada construída usando redes públicas, como a
Internet.
ÿ Topologias VPN: Uma topologia VPN especifica como os pares e as redes dentro de uma VPN são conectados.
ÿ Virtualização: Virtualização refere-se a uma representação virtual baseada em software de uma infraestrutura de TI que inclui rede,
dispositivos, aplicativos, armazenamento, etc.
ÿ VPN Concentrators: Um VPN Concentrator é um dispositivo de rede usado para criar conexões VPN seguras.
No
ÿ Sinais de alerta: Os sinais de alerta são usados para garantir que alguém não se intrometa inadvertidamente em qualquer área restrita
áreas.
ÿ Wi-Fi: Utiliza ondas de rádio ou micro-ondas para permitir que dispositivos eletrônicos troquem dados ou se conectem ao
Internet.
ÿ WiMAX: A tecnologia de interoperabilidade mundial para acesso por micro-ondas (WiMAX) usa rede sem fio de longa distância e
Internet de alta velocidade.
ÿ WLAN: Conecta usuários em uma área local com uma rede. A área pode variar de um único cômodo a um
campus.
ÿ WWAN: WWAN cobre uma área maior que a WLAN. Pode abranger uma determinada região, nação ou mesmo o
globo inteiro.
ÿ WPAN: Interconecta dispositivos posicionados ao redor de um indivíduo, em que as conexões são sem fio. Tem um alcance muito curto.
ÿ WMAN: Acede a redes de área de banda larga através de uma antena exterior. É uma boa alternativa para um
rede fixa.
ÿ Redes sem fio: as redes sem fio usam sinais de radiofrequência (RF) para conectar dispositivos habilitados para conexão sem fio
em uma rede.
ÿ Varredura de rede com fio: Scanners de rede com fio, como o Nmap, são usados para identificar um grande número de dispositivos em
uma rede enviando pacotes TCP especialmente criados para o dispositivo (impressão digital Nmap-TCP).
ÿ Placas de rede sem fio (NIC): placas de interface de rede sem fio (NICs) são placas que localizam e
comunicar-se com um AP com um sinal potente, dando acesso à rede aos usuários.
ÿ Modem sem fio: Um modem sem fio é um dispositivo que permite que os PCs se conectem a uma rede sem fio e acessem
a ligação à Internet directamente com a ajuda de um ISP.
ÿ Ponte sem fio: Uma ponte sem fio conecta várias LANs na camada de controle de acesso ao meio (MAC).
ÿ Repetidor Wireless (expansores de alcance): Este dispositivo retransmite o sinal existente captado do wireless
roteador ou um AP para criar uma nova rede.
ÿ Roteador sem fio: Um roteador sem fio é um dispositivo em uma WLAN que interconecta dois tipos de redes usando
ondas de rádio para os dispositivos sem fio, como computadores, laptops e tablets.
Glossário página 921 Network Defense Essentials Copyright © por EC-Council Todos

Glossário
ÿ Gateways sem fio: um gateway sem fio é um componente chave de uma rede sem fio. É um dispositivo que permite que
dispositivos habilitados para Internet acessem a rede.
ÿ Varredura sem fio: realiza uma varredura de rede sem fio ativa para detectar a presença de APs sem fio
na proximidade.
ÿ Adaptador USB sem fio: Um adaptador USB sem fio conecta diferentes dispositivos a uma rede sem fio para acessar a Internet
sem um computador, roteador ou qualquer outro dispositivo de rede.
ÿ Wired Equivalent Privacy (WEP): WEP é um protocolo de segurança definido pelo padrão 802.11b; ele foi projetado para fornecer
uma LAN sem fio com um nível de segurança e privacidade comparável ao de uma LAN com fio.
ÿ Wi-Fi Protected Access (WPA): É um protocolo avançado de criptografia sem fio usando TKIP e Message
Verificação de integridade (MIC) para fornecer criptografia e autenticação fortes.
ÿ WPA2: WPA2 é uma atualização para WPA e inclui suporte obrigatório para o modo de contador com protocolo de código de
autenticação de mensagem de encadeamento de blocos cifrados (CCMP), um modo de criptografia baseado em AES com forte
segurança.
ÿ WPA2 Enterprise: Integra padrões EAP com criptografia WPA2.
ÿ WPA3: WPA3 é uma implementação avançada de WPA2 que fornece protocolos pioneiros e usa o algoritmo de criptografia AES
GCMP 256.
ÿ Proteção de informações do Windows (WIP): WIP tem um recurso de prevenção de perda de dados (DLP) de endpoint que pode
ser útil na proteção de dados locais em repouso em dispositivos endpoint.
ÿ Warm Backup (Nearline): Um backup morno também é chamado de backup nearline. Em um backup morno, as atualizações do
sistema são ativadas para receber atualizações periódicas.
Y
ÿ Antena Yagi : A antena Yagi, também chamada de antena Yagi-Uda, é uma antena unidirecional comumente usada em
comunicações usando a banda de frequência de 10 MHz a frequência muito alta (VHF) e frequência ultra alta (UHF).

Referências
Referências
Módulo 01: Fundamentos de Segurança de Rede
1. Segurança de rede, em www.njcpu.net/security.htm.
2. Sra. Mousami Pawar, (2014), Network Security, de https://www.slideshare.net/mousmip/network-security-fundamental.
3. Departamento de Defesa, (2001), Support to Computer Network Defense (CND), em https://

info.publicintelligence.net/DoD-SupportCND.pdf.
4. Computer Network Defense, em https://www.oreilly.com/library/view/cyber-warfare

2nd/9780124166721/xhtml/CHP011.html.
5. Computer Network Defense (CND), em https://www.techopedia.com/definition/27906/computer-network-defense-cnd.
6. (2011), 5 Princípios básicos de garantia de informações, de https://onlinebusinesscertificates.wordpress.com/2011/05/23/5-core-principles-

of-information-assurance/.
7. Segurança física , de https://searchsecurity.techtarget.com/definition/physical-security.
8. Margaret Rouse, Muito boa privacidade (PGP), de https://searchsecurity.techtarget.com/definition/Pretty-Good-Privacy.
9. Muito boa privacidade, de https://en.wikipedia.org/wiki/Pretty_Good_Privacy.
10. S/MIME, de https://en.wikipedia.org/wiki/S/MIME.
11. De Clerq, Secure mail using SMIME, de https://flylib.com/books/en/2.244.1.106/1/.
12. Margaret Rouse, S-HTTP, de https://searchsoftwarequality.techtarget.com/definition/S-HTTP.
13. Protocolo seguro de transferência de hipertexto, de https://en.wikipedia.org/wiki/Secure_Hypertext_Transfer_Protocol.
14. HTTPS, de https://en.wikipedia.org/wiki/HTTPS.
15. GH Admin, (2017), What is Secure Sockets Layer (SSL) and How it Works, em https://www.gohacking.com/secure-sockets
layer-ssl/.
16. O que é um certificado SSL e como ele funciona?, em https://www.digicert.com/what-is-an-ssl-certificate.
17. Michael Cobb, Peter Loshin, Secure Socket Layer, de https://searchsecurity.techtarget.com/definition/Secure-Sockets

Layer-SSL.
18. Transport Layer Security (TLS), de http://etutorials.org/Networking/802.11+security.+wi

fi+protected+access+and+802.11i/Part+II+The+Design+of+Wi-Fi+Security/Chapter+9.+Upper
Layer+Authentication/Transport+Layer+Security+TLS/.
19. Andrew Froehlich, Kevin Beaver, Michael Cobb, segurança da camada de transporte (TLS), em
https://searchsecurity.techtarget.com/definition/Transport-Layer-Security-TLS.
20. Transport Layer Security, em https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_record.
21. Zeus Kerravala, (2018), What is Transport Layer Security (TLS)?, de https://www.networkworld.com/article/2303073/lan wan-what-is-transport-
layer-security-protocol.html .
22. IPsec, em https://en.wikipedia.org/wiki/IPsec.
23. IPsec (Internet Protocol Security), em https://searchsecurity.techtarget.com/definition/IPsec-Internet-Protocol-Security.
Módulo 02: Identificação, Autenticação e Autorização

24. Ravi S. Sandhu e Pierangela Samarati, (1994), Access Control: Principles and Practice, from
https://www.profsandhu.com/journals/commun/i94ac(org).pdf.
25. Categorias de controle de acesso, em

https://en.wikibooks.org/wiki/Fundamentals_of_Information_Systems_Security/Access_Control_Systems#Access_Control_ Categories.
26. Controle de acesso ao computador, em https://en.wikipedia.org/wiki/Computer_access_control#Access_control_models.
Referências Página 923 Network Defense Essentials Copyright © por EC-Council Todos

Referências
27. Tipos de controle de acesso, de

https://en.wikibooks.org/wiki/Fundamentals_of_Information_Systems_Security/Access_Control_Systems#Access_Control_ Types .
28. Lista de controle de acesso, em https://en.wikipedia.org/wiki/Access_control_list.
29. Listas de controle de acesso, em https://docs.microsoft.com/en-us/windows/win32/secauthz/access-control

listas?redirectedfrom=MSDN.
30. Linda Rosencrance, controle de acesso baseado em função, de https://searchsecurity.techtarget.com/definition/role-based-access

controle-RBAC.
31. Controle de acesso baseado em atributo, em https://en.wikipedia.org/wiki/Attribute-based_access_control.
32. (2016), Controle de acesso baseado em atributo (ABAC) - Visão geral, de https://csrc.nist.gov/projects/attribute-based-access
ao controle.
33. Escolher uma senha segura e memorável, em https://

en.wikipedia.org/wiki/Password#Choosing_a_secure_and_memorable_password.
34. Cartão de memória, em https://en.wikipedia.org/wiki/Memory_card.
35. Cartão inteligente, de https://en.wikipedia.org/wiki/Smart_card.
36. Biometria, de https://en.wikipedia.org/wiki/Biometrics.
37. Stephen J. Bigelow, (2008), implemente sistemas de controle de acesso com sucesso em sua organização, em
https://searchitchannel.techtarget.com/feature/The-importance-of-access-control.
38. (2016), Política de Controle de Acesso e Guias de Implementação, de https://csrc.nist.gov/projects/access-control-policy-and

implementation-guides.
39. Vincent C. Hu, David F. Ferraiolo, D. Rick Kuhn, (2006), Avaliação de Sistemas de Controle de Acesso, de http://
csrc.nist.gov/publications/nistir/7316/NISTIR-7316.pdf.
40. Network Access Control (NAC), em https://searchnetworking.techtarget.com/definition/network-access-control.
41. Controle de acesso à rede, em https://en.wikipedia.org/wiki/Network_Access_Control#Controversy.
42. Andrew Plato, Implementando produtos de controle de acesso à rede: Como preparar seus clientes, de
https://searchitchannel.techtarget.com/tip/Implementing-network-access-control-products-How-to-prep-your-clients.
43. Deb Shinder, (2001), Entendendo e selecionando métodos de autenticação, de

https://www.techrepublic.com/article/understanding-and-selecting-authentication-methods/.
44. Linda Rosencrance, Peter Loshin e Michael Cobb, Autenticação de dois fatores (2FA), em https://
searchsecurity.techtarget.com/definition/two-factor-authentication.
45. Autenticação multifator, em https://en.wikipedia.org/wiki/Multi-factor_authentication.
46. Impressão digital, de https://en.wikipedia.org/wiki/Fingerprint_recognition.
47. Retinal Scan, de https://en.wikipedia.org/wiki/Retinal_scan.
48. Iris Recognition, de https://en.wikipedia.org/wiki/Iris_recognition.
49. Reconhecimento de veias, em https://findbiometrics.com/solutions/vein-recognition/.
50. Sistema de reconhecimento facial, de https://en.wikipedia.org/wiki/Facial_recognition_system.
51. Jesse Scardina, Reconhecimento de voz (reconhecimento de alto-

falante), em https://searchcustomerexperience.techtarget.com/definition/voice-recognition-speaker-recognition.
52. Deb Shinder, (2001), Entendendo e selecionando métodos de autenticação, de

https://www.techrepublic.com/article/understanding-and-selecting-authentication-methods/.
53. Joseph Migga Kizza, Guide to Computer Network Security, de

https://books.google.co.in/books?id=d2CYBgAAQBAJ&pg=PA199&lpg=PA199&dq=centralized+authorization&source=bl&o
ts=xOR_IzZaBh&sig=uGAw_WpDELsvHSf1PLbFZ8-
avvQ&hl=en&sa=X&ved=0ahUKEwjqh5jGzbzKAhUSI44KHYDrAc04ChDoAQgnMAI#v=onepage&q=centralized%20authorizati on&f= falso.
54. Controle de Conta de Usuário, em https://en.wikipedia.org/wiki/User_Account_Control.
55. (2017), Controle de Conta de Usuário, de https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account

controle/visão geral do controle da conta do usuário.

Referências
56. Wolfgang Sommergut, (2019), Windows Admin Center: controle de acesso baseado em função, em https://
4sysops.com/archives/windows-admin-center-role-based-access-control/.
57. (2019), Opções de acesso do usuário com o Windows Admin Center, em https://docs.microsoft.com/en-us/windows server/manage/
windows-admin-center/plan/user-access-options.
58. Sandra Gittlen, O que é gerenciamento de identidade e acesso? Guia para IAM, de
https://searchsecurity.techtarget.com/definition/identity-access-management-IAM-system.
59. (2021), David Strom, What is IAM? Gerenciamento de identidade e acesso explicado, de
https://www.csoonline.com/article/2120384/what-is-iam-identity-and-access-management-explained.html.
60. Jagdeep Bhambra, (2014), Gerenciamento de identidade e acesso, de

https://governmenttechnology.blog.gov.uk/2014/06/24/identity-and-access-management/.
61. (2021), Enterprise Identity and Access Management, de https://docs.evolveum.com/iam/enterprise-iam/.
Módulo 03: Controles de Segurança de Rede - Controles Administrativos

62. Andy Scott, (2013), Como criar uma boa política de segurança da informação, de
https://www.computerweekly.com/feature/How-to-create-a-good-information-security-policy.
63. Tipos de políticas de segurança, em https://www.helpwithassignment.com/blog/it_security_assignment_help/.
64. Scott Hebert, Security Policies, de http://slaptijack.com/information-systems/security-policies/.
65. (2009), Configuring Password Policies, em https://docs.microsoft.com/en-us/previous-versions/tn

archive/dd277399(v=technet.10)?redirectedfrom=MSDN.
66. ISO/IEC 27033:2010+ Tecnologia da informação — Técnicas de segurança — Segurança de rede, de

https://www.iso27001security.com/html/27033.html.
67. Tecnologia da informação — Técnicas de segurança — Segurança de rede —, de https://

webstore.iec.ch/preview/info_isoiec27033-1%7Bed2.0%7Den.pdf.
68. O Guia de Política de Segurança de TI, em http://www.instantsecuritypolicy.com/Introduction_To_Security_policies.pdf.
69. Política de segurança de rede, em https://en.wikipedia.org/wiki/Network_security_policy.
70. Política de segurança, em https://searchsecurity.techtarget.com/definition/security-policy.
71. Catherine Paquet, (2013), Network Security Concepts and Policies, de

https://www.ciscopress.com/articles/article.asp?p=1998559&seqNum=3.
72. (2012), Sistema de Gerenciamento de Segurança da Informação ISO/IEC 27001:205 Introdução e Requisitos, de https://
www.slideshare.net/ControlCase/isms-presentation-oct-202012?qid=b5f12936-0a7d-4dad-9e6e
2b68c654397b&v=&b=&from_search=9.
73. ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da informação, de
https://www.iso27001security.com/html/27001.html.
74. Políticas de TI Toda pequena empresa deve ter , de http://www.corpcomputerservices.com/articles/it-policies-small

negócios.
75. Muhanned Wajahat Rajab, (2013), Physical Security, de https://www.slideshare.net/wajraj/physical-security apresentação-23717721?

qid=f4e0b456-8a74-42a7-9543-d03f369c2a72&v=&b=&from_search=2 .
76. Leminhvuong, (2009), Physical Security, de https://www.slideshare.net/leminhvuong/module-10-physical

security?qid=f4e0b456-8a74-42a7-9543-d03f369c2a72&v=&b=&from_search=6.
77. Exemplo de política de uso da Internet, em https://www.gfi.com/pages/sample-internet-usage-policy.
78. Jonathan Gana KOLO, Umar Suleiman DAUDA, Network Security: Policies and Guidelines for Effective Network Management, de
http://ljs.academicdirect.org/A13/007_021.htm.
79. Seu guia para o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS), de
https://www.westpac.com.au/docs/pdf/bb/Guide_to_payment_card_indus1.pdf.
80. Lei de Privacidade de Comunicações Eletrônicas (ECPA), de https://epic.org/privacy/ecpa/.
81. FISA 101: Por que as alterações de modernização da FISA devem ser tornadas permanentes, em https://www.justice.gov/archive/ll/.
82. 1927 (110º): Protect America Act de 2007, em https://www.govtrack.us/congress/bills/110/s1927/text.

Referências
83. Exemplo de política aceitável de uso da Internet, em https://www.nibusinessinfo.co.uk/content/sample-acceptable-internet-use

política.
84. Política de senhas, em http://www.cpcstech.com/pdf/password_policy.pdf.
85. Conformidade de segurança da informação: quais regulamentos se relacionam comigo?, em https://www.tcdi.com/information-security compliance-
which-regulations/.
86. Conformidade e estruturas regulatórias, de https://www.rapid7.com/fundamentals/compliance-regulatory

quadros/.
87. O que são políticas, padrões e diretrizes de TI?, de https://binaryblogger.com/2015/02/11/policies-standards

orientações/.
88. Jeff Battaglino, 7 Hidden Benefits of IT Security Compliance for Your Business, em https://
www.cherwell.com/library/blog/it-security-compliance/.
89. Becky Metivier, (2017), Cybersecurity Compliance Assessments: It's All About Interpretation, de
https://www.tylercybersecurity.com/blog/cybersecurity-compliance-assessments-its-all-about-interpretation.
90. Danny Palmer, (2019), What is GDPR?, de https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to

saber/.
91. Regulamento Geral de Proteção de Dados, de https://en.wikipedia.org/wiki/General_Data_Protection_Regulation.
92. Gramm-Leach-Bliley, de https://dealers-insurance.com/gramm_leach_bliley_act.php.
93. O que é Política de Segurança do Sistema de Informação (ISSP), de https://www.igi-global.com/dictionary/fear-appeals-threat

percepções-e-proteção-motivação-em-sistemas-de-informação-segurança/42993.
94. Nehemiah Mavetera, Investigando Política de Segurança do Sistema de Informação e Programas de Treinamento de Conscientização na África do Sul
Organizações, de https://
www.academia.edu/2409019/Investigating_Information_System_Security_Policy_and_Awareness_Training_Progra ms_in_South_African_Organizations.
95. Política de Segurança de Sistemas de Informação, em https://www.temenos.com/wp-content/uploads/2019/07/governance-policy

sistemas de informação-segurança-2019-jul-03.pdf.
96. Yash Tiwari, (2017), Security Awareness, de https://resources.infosecinstitute.com/security-awareness/#gref.
97. Corey Bleich, Top 10 Types of Employee Training Methods, de https://www.edgepointlearning.com/blog/top-10-types

de-funcionário-treinamento/.
98. Michael Maughan, Employee Security Training Tips: Social Engineering, de

https://www.securitymetrics.com/blog/employee-security-training-tips-social-engineering.
99. (2018), Data Protection Act 2018, em https://www.legislation.gov.uk/ukpga/2018/12/pdfs/ukpga_20180012_en.pdf.
Módulo 04: Controles de Segurança de Rede - Controles Físicos

100. Tom Eston, (2008), Physical Security Assessments, de https://www.slideshare.net/agent0x0/physical-security
avaliações-apresentação.
101. Lisa Phifer, (2010), Segurança e controle de endpoint de dispositivo de armazenamento removível, de
https://searchsecurity.techtarget.com/magazineContent/Removable-storage-device-endpoint-security-and-control.
102. Dhani Ahmad, (2015), Segurança física, em https://www.slideshare.net/emolagi/physical-security-45924353.
103. Tom Rubenoff, (2021), How to Create a Basic Mantrap System, em https://turbofuture.com/industrial/How-to-Create-a
Basic-Mantrap-System.
104. Stuart Gentry, (2021), Controle de Acesso: Modelos e Métodos, de

https://resources.infosecinstitute.com/certification/access-control-models-and-methods/.
105. (2004), Access Control Methodologies, de https://samples.jblearning.com/076372677X/chapple02.pdf.
106. (2009), Authorization and Access Control Technologies, https://docs.microsoft.com/en-us/previous-versions/windows/it

pro/windows-server-2003/cc782880(v=ws.10)?redirectedfrom=MSDN.
107. Jeff A Sandine, (2009), What is the Difference Between Tailgating and Piggybacking Through an Access Controlled Secure Door?, de http://
ezinearticles.com/?What-is-the-Difference-Between-Tailgating-and- Pegando carona por meio de uma porta segura controlada por acesso?
&id=1902821.

Referências
108. Mohd Hamizi, (2015), 3 garantindo a segurança física e de dados, em https://www.slideshare.net/pdawackomct/3-ensuring

segurança física e de dados.
109. Deb Shinder, (2007), 10 medidas de segurança física que toda organização deve adotar, desde
https://www.techrepublic.com/blog/10-things/10-physical-security-measures-every-organization-should-take/.
110. Hudson K, Ruth A, Protegendo o cabeamento de rede, em https://flylib.com/books/en/2.902.1.22/1/.
111. Mani Rathnam, (2015), Hardware Security, em https://www.slideshare.net/manirathnam39/hardware-security.
112. Protegendo dispositivos de rede, de

http://etutorials.org/Networking/Cisco+Certified+Security+Professional+Certification/Part+I+Introduction+to+Network+Sec urity/
Chapter+2+Securing+the+Network/ Protegendo+Rede+Dispositivos/.
113. Faheem Ul Hasan, (2009), Physical Security Assessment, de https://www.slideshare.net/faheemi07/physical-security

avaliação.
114. (2013), Lista de verificação de auditoria de segurança física, em https://www.locknet.com/newsroom/physical-security-audit-checklist/.
115. John Kirtland, (2009), Desafios e benefícios da segurança física de TI, de

https://www.computerweekly.com/opinion/Challenges-and-benefits-of-physical-IT-security.
116. Vijay Luiz, (2015), desafios de segurança física quando os fornecedores estão no local, em https://www.linkedin.com/pulse/physical
security-challenges-when-vendors-site-vijay-luiz.
Módulo 05: Controles de Segurança de Rede - Controles Técnicos

117. (2021), Melhores práticas de segmentação de rede para melhorar a segurança, em https://www.spamtitan.com/web
filtragem/melhores práticas de segmentação de rede/.
118. (2017), Becky Metivier, Os benefícios de segurança da segmentação de rede, de

https://www.tylercybersecurity.com/blog/the-security-benefits-of-network-segmentation.
119. Steve Petryschuk, (2019), Segmentação de rede: o que é e como funciona, de

https://www.auvik.com/franklyit/blog/network
segmentation/#:~:text=Physical%20segmentation%20involves%20breaking%20down,%2C%20routers%2C%20and%20access
s%20points.&text=Tipicamente %2C%20lógico%20segmentação%20não,a%20infraestrutura%20é%20já%20gerenciada..
120. Professor Messer, (2018), Network Segmentation – CompTIA Network+ N10-007 – 4.6, de https://
www.professormesser.com/network-plus/n10-007/network-segmentation-3/.
121. (2014), Introdução às VLANs da Cisco Networking Academy, de

https://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=4.
122. Tom Olzak, (2021), VLAN Network Segmentation and Security- Chapter 5, from https://
resources.infosecinstitute.com/topic/vlan-network-chapter-5/.
123. Basant Shrestha, (2013), VLAN, de https://basantshrestha.wordpress.com/2013/02/04/vlan/.
124. Projeto de firewall, em https://docstore.mik.ua/orelly/networking/firewall/ch04_02.htm.
125. DMZ (computação), de https://en.wikipedia.org/wiki/DMZ_(computação).
126. Firewalls, de http://mercury.webster.edu/aleshunas/COSC%205130/Chapter-22.pdf.
127. Donald Stoddard, Thomas M. Thomas, (2012), Network Security First-Step: Firewalls, em https://
www.ciscopress.com/articles/article.asp?p=1823359&seqNum=7.
128. Habtamu Abie, (2000), An Overview of Firewall Technologies, de https://folk.universitetetioslo.no/abie/fwt.pdf.
129. Jeff Tyson, How Firewalls Work, em https://computer.howstuffworks.com/firewall1.htm.
130. Como funciona um firewall?, em https://www.bullguard.com/bullguard-security-center/pc-security/computer-security

resources/how-does-a-firewall-work.aspx.
131. Amandeep Kaur, (2010), apresentação do Firewall, em http://www.slideshare.net/adkpcte/firewall-presentation.
132. Padrões de firewall e algumas regras básicas, em https://www.downloads.netgear.com/docs/utm_qsgs/utm_fw.pdf.
133. (2009), Understanding Firewall Rules, em https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows

server-2008-R2-and-2008/cc730951(v=ws.11)?redirectedfrom=MSDN.
134. Firewall, Internet Security, Anti Virus Protection - BullGuard, em https://www.bullguard.com/bullguard-security center/pc-security/
computer-security-resources/firewall-protection.aspx.

Referências
135. Como funcionam os firewalls, em https://www.comodo.com/resources/home/how-firewalls-work.php.
136. G. Krishnam Raju, SLN Reddy, Advantages of Firewall, http://www.scribd.com/doc/22594454/ADVANTAGES-OF

FIREWALL.
137. Vangie Beal, Firewall, de https://www.webopedia.com/definitions/firewall/.
138. Ben Lutkevich, What is firewall?, em https://searchsecurity.techtarget.com/definition/firewall.
139. Firewalling Fundamentals, em https://docs.netgate.com/pfsense/en/latest/firewall/fundamentals.html.
140. Por Thorsheim, Comparing Firewall Technologies, de http://www.ittoday.info/AIMS/DSM/84-10-26.pdf.
141. Karen Scarfone, Paul Hoffman, (2009), Guidelines on Firewalls and Firewall Policy, from
http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf.
142. Ajay Yadav, (2020), Network Design: Firewall, IDS/IPS, de https://resources.infosecinstitute.com/topic/network-design

firewall-idsips/.
143. Tecnologias de firewall, em

https://www.novell.com/documentation/nbm37/?page=/documentation/nbm37/over/data/ae70nts.html.
144. Habtamu Abie, (2000), An Overview of Firewall Technologies, de http://

publications.nr.no/directdownload/publications.nr.no/3149/Abie_-_An_overview_of_firewall_technologies.pdf.
145. Tradução do endereço de rede, de https://en.wikipedia.org/wiki/Network_address_translation.
146. Firewall (computação), de https://en.wikipedia.org/wiki/Firewall_(computação).
147. Amy Larsen DeCarlo, Robert G. Ferrell, Os 5 tipos diferentes de firewalls explicados, em https://
searchsecurity.techtarget.com/feature/The-five-different-types-of-firewalls.
148. (2008), IP Packet Filtering, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/

cc957881(v=technet.10)? redirecionado de=MSDN.
149. Filtragem de pacotes, em https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch08_01.htm.
150. Firewall de aplicativo, em https://en.wikipedia.org/wiki/Application_firewall.
151. Filtragem de pacotes, em https://www.techopedia.com/definition/4038/packet-filtering.
152. Circuit-Level Gateway, de http://firewall-review.narod.ru/circuit_level_gateway.html.
153. Circuit-Level Gateway, em https://www.techopedia.com/definition/24780/circuit-level-gateway.
154. Gateway em nível de aplicativo, em http://firewall-review.narod.ru/application_gateway.html.
155. Filtragem da Camada de Aplicação - Segurança Avançada de Firewall, de http://www.internet-computer

security.com/Firewall/Application-Layer-Filtering.html.
156. Deb Shinder, (2004), Application Layer Filtering (ALF): O que é e como se encaixa em seu plano de segurança?, de
https://techgenix.com/Application_Layer_Filtering/.
157. Rajesh K, (2009), O que são: filtragem de pacotes, nível de circuito, nível de aplicativo e firewalls de inspeção multicamadas com estado, de
http://www.excitingip.com/205/what-are-packet-filtering-circuit-level -firewalls de inspeção multicamadas em nível de aplicativo e estado/.
158. Serviços de proxy, de https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch05_03.htm.
159. Network Address Translation, de https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch05_04.htm.
160. Virtual Private Networks, de https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch05_05.htm.
161. Firewall Security, em http://www.ipcopper.com/firewalls.htm.
162. Arquiteturas de firewall, em http://www.swr.com/Firewall/link5.html.
163. Arquiteturas de firewall, em http://www.invir.com/int-sec-firearc.html.
164. Bastion host, de https://en.wikipedia.org/wiki/Bastion_host.
165. (2002), Firewall Deployment for Multitier Applications, em https://zeltser.com/firewalls-for-multitier-applications/.
166. John R. Vacca, Scott Ellis, Firewalls: Jumpstart for Network and Systems Administrators, de https://
books.google.co.in/books?id=ipvoml8c9zcC&pg=PA25&lpg=PA25&dq=Multi
homed+firewall+architecture&source=bl&ots =3E
Q8RRoS9&sig=KbpZfz1RrZmRAn3a5_Qt1QB6CJ4&hl=en&sa=X&ei=Zf0XVM
cEMeTuAT8yILgDg&ved=0CF8Q6AEwCg#v=onepage&q=Multi-homed%20firewall%20architecture&f=false.

Referências
167. Arquiteturas de firewall, de http://www.diablotin.com/librairie/networking/firewall/ch04_02.htm.
168. Fatos sobre firewall, em https://sites.google.com/a/pccare.vn/it/security-pages/firewall-facts.
169. Tradução de endereço de rede, de https://en.wikipedia.org/wiki/Network_address_translation.
170. Network Address Translation, de https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch05_04.htm.
171. Virtual Private Networks, de https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch05_05.htm.
172. Firewalls e redes privadas virtuais, em https://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf.
173. (2002), Firewall Deployment for Multitier Applications, em http://zeltser.com/multi-firewall/.
174. Laura Pelkey, (2012), Implementação de firewall: 3 etapas para segurança de rede, em https://blog.icorps.com/bid/138231/3-
Etapas para uma implementação bem-sucedida de firewall.
175. Implementação de firewall, em https://community.jisc.ac.uk/library/advisory-services/firewall-implementation.
176. Przemyslaw Kazienko, Piotr Dorosz, (2003), Intrusion Detection Systems (IDS) Part I, de http://
googleweblight.com/?lite_url=http://www.windowsecurity.com/articles tutorials/intrusion_detection/
Intrusion_Detection_Systems_IDS_Part_I__network_intrusions_attack_symptoms_IDS_tasks _and_IDS_architecture .html&ei=wjgGk8gA&lc=en-
IN&geid=7&s=1&m=328&ts=1443607601&sig=APONPFmMHyzAy 6SXYxgKzR70YUCJw_ing.
177. Patrick Harper, práticas recomendadas de implantação de IDS seguro, em https://searchitchannel.techtarget.com/tip/Secure-IDS

implantação-melhores-práticas.
178. Edward Yakabovicz, recomendações de implantação do sistema de detecção de intrusão, de

https://searchsecurity.techtarget.com/tip/Intrusion-detection-system-deployment-recommendations.
179. K. Rajasekhar, B. Sekhar Babu , P.Lakshmi Prasanna, DRLavanya, T.Vamsi Krishna, (2011), Uma visão geral das estratégias e
problemas do sistema de detecção de intrusão, em http://www.ijcst.com/vol24/1/krajasekhar.pdf.
180. 27-2-2012, O que é sistema de detecção de intrusão de rede?, de http://www.combofix.org/what-it-is-network-intrusion

detecção-sistema.php.
181. Como funciona a detecção de intrusão, em https://www.spamlaws.com/how-intrusion-detection-works.html.
182. Robert L. Barnard, Sistemas de Detecção de Intrusão, de

http://books.google.co.in/books?id=jo5ANoqS2MMC&pg=PA1&lpg=PA1&dq=Intrusion+detection+functions&source=bl&ot
s=40qoXTh7F0&sig=qkGHE9miEjvFCWK5x3OFFrYBKqY&hl=en&sa=X&ei=IS1HVKaUNZeMuATOzILgCw&ved=0CCwQ6AEwAjg
K#v=onepage&q=Intrusion% 20detecção%20funções&f=falso.
183. IDS Introduction, de http://

etutorials.org/Networking/Router+firewall+security/Part+VII+Detecting+and+Preventing+Attacks/Chapter+16.+Intru sion-Detection+System/
IDS+Introduction/ .
184. Deb Shinder, (2005), SolutionBase: Entendendo como um sistema de detecção de intrusão (IDS) funciona, de
https://www.techrepublic.com/article/solutionbase-understanding-how-an-intrusion-detection-system-ids-works/.
185. J. Forlanda, (2010), Intrusion Detection Systems: How They Work, em https://www.brighthub.com/computing/smb security/articles/
65416/.
186. Pastore M., Dulaney E, Intrusion Detection Systems, de https://flylib.com/books/en/4.213.1.49/1/.
187. Intrusion Detection Systems, de https://www.ipa.go.jp/security/fy11/report/contents/intrusion/ids-meeting/idsbg.pdf.
188. Fredrik Valeur, Giovanni Vigna, Christopher Kruegel e Richard A. Kemmerer, (2004), Uma abordagem abrangente para
Correlação de alerta de detecção de intrusão,
em https://sites.cs.ucsb.edu/~vigna/publications/2004_valeur_vigna_kruegel_kemmerer_TDSC_Correlation.pdf.
189. Nazir Ahmad, (2012), Sistemas de detecção de intrusão, de https://www.slideshare.net/King8117/intrusion-detection-systems

15218543.
190. Karen Scarfone e Peter Mell, (2007), Guide to Intrusion Detection and Prevention Systems, from
https://csrc.nist.gov/publications/detail/sp/800-94/final.
191. Przemyslaw Kazienko, Piotr Dorosz, (2004), Sistemas de Detecção de Intrusão (IDS) Parte 2 – Classificação, de
https://techgenix.com/IDS-Part2-Classification-methods-techniques/.
192. Detecção de uso indevido, de https://en.wikipedia.org/wiki/Misuse_detection.
193. Kanika, Urmila, (2013), Security of Network Using Ids and Firewall, de http://www.ijsrp.org/research-paper-0613/ijsrp
p18150.pdf.

Referências
194. Shiv Shakti Srivastava, Nitin Gupta, Saurabh Chaturvedi, Saugata Ghosh, (2011), A Survey on Mobile Agent based Intrusion
Sistema de detecção, de https://www.ijcaonline.org/isdmisc/number6/isdm137.pdf.
195. Saidat Adebukola Onashoga, Adebayo D. Akinde e Adesina Simon Sodiya, (2009), A Strategic Review of Existing Mobile Agent Based
Intrusion Detection Systems, de http://iisit.org/Vol6/IISITv6p669-682Onashoga623.pdf.
196. Nathan Einwechter, (2001), uma introdução aos sistemas de detecção de intrusão distribuídos, de
https://community.broadcom.com/symantecenterprise/communities/community home/
librarydocuments/viewdocument?DocumentKey=d4dcda2e-19b7-414d-826a
cfbcbfdc9353&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.
197. Julie JCH Ryan, (2002), Intrusion Detection, de http://www.seas.gwu.edu/~jjchryan/VAIDS051402.pdf.
198. Hudson K., Ruth A. Intrusion Detection Systems, de http://flylib.com/books/en/2.902.1.51/1/.
199. Sistema de detecção de intrusão, de https://en.wikipedia.org/wiki/Intrusion_detection_system.
200. Detecção de intrusão, em https://owasp.org/www-community/controls/Intrusion_Detection.
201. Kevin Timm, (2001), Strategies to Reduce False Positives and False Negatives in NIDS, de https://
community.broadcom.com/symantecenterprise/communities/community home/librarydocuments/
viewdocument?DocumentKey=56b0f35a-f1ed-480b- 9fe9- 16c0687435cd&CommunityKey=1ecf5f55-9545-44d6-
b0f4-4e4a7f5f5e68&tab=librarydocuments.
202. Intrusion Detection Systems, em https://www.scribd.com/document/7148986/Intrusion-Detection-Systems.
203. Detecting Signs of Intrusion, de http://ptgmedia.pearsoncmg.com/images/020173723X/samplechapter/allench6.pdf.
204. Vangie Beal (15-7-2005), Sistemas de detecção de intrusão (IDS) e prevenção (IPS), em https://
www.webopedia.com/insights/intrusion-detection-prevention/.
205. O que é um Sistema de Prevenção de Intrusão?, em https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion

prevenção-sistema-ips.
206. (2013), How Intrusion Prevention Systems (IPS) Work in firewall?, em https://community.spiceworks.com/topic/362007-
como-sistemas-de-prevenção-de-intrusão-ips-funcionam-no-firewall.
207. Ron Lepofsky, (2011), Detecção de intrusão: Por que preciso de IDS, IPS ou HIDS, de
https://www.networkworld.com/article/2228598/intrusion-detection--why-do-i-need-ids--ips--or-hids-.html.
208. Ed Sale, Detecção de Intrusão e Prevenção de Intrusão, de

https://www.cs.unh.edu/~it666/reading_list/Defense/ids_vs_idp.pdf.
209. Jennifer J. Minella, DS vs. IPS: Como saber quando você precisa da tecnologia, de
https://searchsecurity.techtarget.com/tip/IDS-vs-IPS-How-to-know-when-you-need-the-technology.
210. (2014), Security: IDS vs. IPS Explained, em https://www.comparebusinessproducts.com/fyi/ids-vs-ips.
211. Jonathan Lister, Quais são as vantagens e desvantagens de um sistema de detecção de intrusão?, de
https://www.hunker.com/12288156/what-are-the-advantages-disadvantages-of-an-intrusion-detection-system.
212. Brad Reese, (2008), Sistemas de detecção de intrusão versus análise de comportamento de rede: Qual você precisa?, de
https://www.networkworld.com/article/2346145/intrusion-detection-systems-vs--network-behavior-analysis--which-do you-need-.html.
213. (2007), Intrusion Detection and Prevention Systems, de https://seclists.org/isn/2007/Mar/5.
214. Rebecca Bace e Peter Mell, (2001), Intrusion Detection Systems, de https://cryptome.org/sp800-31.htm.
215. (2006), Measuring Security Threats with Honeypot Technology, de http://www.honeynet.org/papers/individual/sane

2004.pdf.
216. (2006), SecurityFocus: Honeytokens -O outro Honeypot, de

https://www.symantec.com/connect/articles/honeytokens-other-honeypot.
217. Satyajit, What is HoneyPot?, de https://www.securityhunk.in/2010/06/what-is-honeypot.html.
218. Niels Provos, (2003), A Virtual Honeypot Framework, de http://www.citi.umich.edu/techreports/reports/citi-tr-03-1.pdf.
219. Eric Peter e Todd Schiller, (2008), A Practical Guide to Honeypots, de https://www.cse.wustl.edu/~jain/cse571-09/ftp/honey/
index.html#sec1.4.
220. Krishna Prasad P, (2017), Capturing Attacks on IoT Devices with a multi-purpose IoT Honeypot, em https://
security.cse.iitk.ac.in/sites/default/files/15111021.pdf.

Referências
221. Nishit Majitha, (2017), Honey-System: Design, Implementation, & Attack Analysis, em https://
security.cse.iitk.ac.in/sites/default/files/15111024.pdf.
222. Honeypot (computação), de https://en.wikipedia.org/wiki/Honeypot_(computação).
223. Dolev.S., Application Layer Proxys, de http://www.cs.bgu.ac.il/research/atm_lab/ROUTING_.doc.
224. Servidor Proxy, de https://en.wikipedia.org/wiki/Proxy_server.
225. Servidor proxy, em https://whatis.techtarget.com/definition/proxy-server.
226. Steven J. Vaughan-Nichols, (2021), Como configurar um servidor proxy em seu PC, Mac ou navegador da Web, de
https://www.avast.com/c-how-to-set-up-a-proxy#topic-1.
227. Raju PP, (2013), Diferentes tipos de protocolos VPN, em https://techpp.com/2010/07/16/different-types-of-vpn-protocols/.
228. Tecnologias VPN: Definições e requisitos, em http://www.hit.bme.hu/~jakab/edu/litr/VPN/vpn-technologies.pdf.
229. VPN Technologies, de https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike protocols/14106-

how-vpn-works.html#vpn_tech.
230. Firewalls e redes privadas virtuais, em https://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf.
231. (2014), What is VPN Concentrator?, de https://www.answers.com/Q/What_is_VPN_Concentrator.
232. Jeff Tyson, Chris Pollette e Stephanie Crawford, (2021), How a VPN (Virtual Private Network) Works, de
https://computer.howstuffworks.com/vpn.htm.
233. Como funcionam as redes privadas virtuais, de https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation
ike-protocols/14106-how-vpn-works.html.
234. SSL VPN Security, em https://tools.cisco.com/security/center/resources/ssl_vpn_security.
235. SSL VPN (rede privada virtual Secure Sockets Layer), em https://searchsecurity.techtarget.com/definition/SSL-VPN.
236. Pradosh Kumar Mohapatra e Mohan Dattatreya, (2008), IPSec VPN Fundamentals, em https://
www.eetimes.com/ipsec-vpn-fundamentals/#.
237. Paul Williams, O que é uma VPN? Um guia para redes privadas virtuais, de https://www.bandwidthplace.com/virtual-private
network-the-vantages-of-the-vpn-article/.
238. Quais são os principais benefícios das VPNs?, em https://www.cactusvpn.com/vpn/benefits-of-vpn/.
239. (2014), What is VPN Concentrator?, de https://www.answers.com/Q/What_is_VPN_Concentrator.
240. Terry Slattery, How does the VPN concentrator work?, em https://searchnetworking.techtarget.com/answer/How-does
o-concentrador-VPN-trabalho.
241. Configuração do túnel VPN IPsec Site to Site entre roteadores Cisco, em http://www.firewall.cx/cisco-technical
Knowledgebase/cisco-routers/867-cisco-router-site-to-site-ipsec-vpn.html.
242. (2003), VPN Technologies: Definitions and Requirements, de http://www.hit.bme.hu/~jakab/edu/litr/VPN/vpn

tecnologias.pdf.
243. Andrew Tarantola, (2013), VPNs: O que eles fazem, como funcionam e por que você é burro por não usar um, em https://
gizmodo.com/vpns-what-they-do-how-they -trabalho-e-porque-você-é-burro-f-5990192.
244. Andy Maxwell, (2012), Como tornar as VPNs ainda mais seguras, em https://torrentfreak.com/how-to-make-vpns-even
mais-seguro-120419/.
245. O que é uma VPN?, em https://www.ivpn.net/what-is-a-vpn/.
246. Usman Javaid, (2011), O que é VPN e encapsulamento; Como criar e conectar-se à rede VPN [Guia do iniciante], de
https://www.addictivetips.com/windows-tips/what-is-vpn-how-to-create-and-connect-to-vpn-network/.
247. What is Tunneling?, de http://www.dslreports.com/faq/5318.
248. Virtual Private Network, de https://en.wikipedia.org/wiki/Virtual_private_network.
249. Protocolo de Tunelamento , de https://en.wikipedia.org/wiki/Tunneling_protocol

250. Tunneling Protocol, de https://www.pcmag.com/encyclopedia/term/tunneling-protocol.
251. Tunneling, de https://www.tech-faq.com/tunneling.html.
252. PPTP, em https://techterms.com/definition/pptp.
253. Layer 2 Tunneling Protocol, de https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol.

Referências
254. (2008), Layer Two Tunneling Protocol and Internet Protocol Security, de https://docs.microsoft.com/en-us/previousversions/windows/it-pro/
windows-2000-server/cc958047(v=technet .10)?redirecionado de=MSDN.
255. Guia de Topologias VPN, em http://www.internet-computer-security.com/VPN-Guide/VPN-Topologies.html.
256. Vantagens e Desvantagens das Operações Hub-and-Spoke, de

http://aviationknowledge.wikidot.com/aviation:advantages-and-disadvantages-of-hub-and-spoke-opera.
257. Penna Sparrow, Mesh Topology: Advantages and Disadvantages, em https://www.ianswer4u.com/2011/05/mesh topology-advantages-
and.html#axzz3ElkXi5M9.
258. Penna Sparrow, Star Topology: Advantages and Disadvantages, de https://www.ianswer4u.com/2011/05/star-topology

vantagens-and.html#axzz3ElkXi5M9.
259. (2012), RADIUS Protocol and Components, de https://docs.microsoft.com/en-us/previous-versions/windows/it pro/windows-server-2008-R2-

and-2008/cc726017(v =ws.10)?redirecionado de=MSDN.
260. Salvatore Salamone, (2002), Get IT Done: VPN confiabilidade e escalabilidade, de https://www.techrepublic.com/article/get-it
done-vpn-reliability-and-scalability/.
261. Diretriz para configurar uma VPN funcional, em https://www.wingate.com/resources/WG/VPN_Setup_Guide.pdf.
262. (2016), Security Information and Events Management (SIEM), em https://blog.finjan.com/security-information-and

eventos-gerenciamento-siem/.
263. Jatin Jain, (2015), What Is a SIEM?, em https://resources.infosecinstitute.com/certification/what-is-a-siem/#gref.
264. Karen Scarfone, (2015), A Comprehensive Guide to SIEM Products, de

https://searchsecurity.techtarget.com/feature/Introduction-to-SIEM-services-and-products.
265. Linda Rosencrance, Gerenciamento de eventos e informações de segurança (SIEM), de

https://searchsecurity.techtarget.com/definition/security-information-and-event-management-SIEM.
266. Bip Khanal, (2015), Security Information and Event Management (SIEM), em https://www.linkedin.com/pulse/security information-event-management-
siem-bip-khanal.
267. Rajesh K, (2010), An Introduction to SIEM – Security Information & Event Management, de
http://www.excitingip.com/920/an-introduction-to-siem-security-information-and-event-management/.
268. (2014), Security Information and Event Management (SIEM), em https://www.slideshare.net/k33a/security-information

and-event-management-siem#likes-panel.
269. Gerenciamento de incidentes e eventos de segurança (SIEM), em https://www.je.logicalis.com/globalassets/channel Islands/

whitepapers/security-flyers/security-incident--event-management-siem.pdf.
270. Gerenciamento de incidentes e eventos de segurança (SIEM), em https://www.techopedia.com/definition/4097/security-incident

e-evento-gerenciamento-siem.
271. Gerenciamento de informações e eventos de segurança (SIEM), em https://www.gartner.com/en/information technology/

glossary/security-information-and-event-management-siem.
272. (2020), How does SIEM logging work?, de https://cybersecurity.att.com/blogs/security-essentials/everything-you

queria-saber-sobre-o-siem-e-gerenciamento-de-logs-mas-estava-com-medo.
273. The Essential Guide to User Behavior Analytics, em https://

www.ciosummits.com/Online_Assets_Balabit_Essential_Guide_to_User_Behavior_Analytics.pdf.
274. Idan Tendler, (2016), A análise do comportamento do usuário é a chave para identificar o uso nefasto de credenciais internas, desde
https://www.networkworld.com/article/3027168/security/user-behavior-analytics-is-key-to-identifying-nefarious-use-of insider-credentials.html.
275. Greg Schaffer, (2016), User Behavior Analytics (UBA), de https://

info.varonis.com/hubfs/docs/research_reports/SC_UBA_Report16_Final.pdf.
Módulo 06: Virtualização e Computação em Nuvem

276. (2016), O que é Rede Definida por Software (SDN)? Definição, de
https://www.sdxcentral.com/networking/sdn/definitions/what-the-definition-of-software-defined-networking-sdn/.
277. O que é rede definida por software (SDN)?, em https://www.blueplanet.com/resources/What-is-SDN.html.
278. (2016), O que é infraestrutura NFV (NFVI)? Definição, de https://www.sdxcentral.com/networking/nfv/definitions/nfv

infra-estrutura-nfvi-definição/

Referências
279. Eugene, (2017), Virtualization Techniques in Cloud Computing, em https://www.sam-solutions.com/blog/virtualization técnicas-in-cloud-

computing/.
280. Namrata Bisht, (2021), Virtualization in Cloud Computing and Types, em https://www.geeksforgeeks.org/virtualization cloud-computing-
types/.
281. Shaikh Abdul Azeem, Satyendra Kumar Sharma, (2017), Role of Network Virtualization in Cloud Computing and Network Convergence,
de http://www.iraj.in/journal/journal_file/journal_pdf/3-400-1512365019136-140. pdf.
282. Gabor Nagy, (2015), Operating System Containers vs. Application Containers, de https://blog.risingstack.com/operating
system-containers-vs-application-containers/.
283. Murugiah Souppaya, John Morello, Karen Scarfone, (2017), Application Container Security Guide, de https://
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf.
284. Docker Architecture, em https://www.aquasec.com/cloud-native-academy/docker-container/docker-architecture/.
285. Khaja Ibrahim, (2019) Docker Networking Series – I, de https://directdevops.blog/2019/10/05/docker-networking-series

eu/.
286. (2021), Kubernetes Components, de https://kubernetes.io/docs/concepts/overview/components/.
287. Prasad Katti, Kubernetes Design and Architecture, em https://

github.com/kubernetes/community/blob/master/contributors/design propostas/
architecture/architecture.md#the-kubernetes-node.
288. Amir Jerbi, (2017), 8 Docker security rules to live by, de https://www.infoworld.com/article/3154711/8-docker-security
regras para viver por.html.
289. Aria, (2018), Security Challenges Related to Containers, em https://www.ariacybersecurity.com/container-security

desafios-blog/.
290. Christopher Tozzi, (2018), 3 Vantagens de Segurança de Contêineres e 3 Desafios de Segurança, de

https://containerjournal.com/topics/container-security/3-container-security-advantages-and-3-security-challenges/.
291. (2019), Container Security: Examining Potential Threats to the Container Environment, em https://
www.trendmicro.com/vinfo/us/security/news/security-technology/container-security-examining-potential-threats para -o-ambiente-
contêiner.
292. Shira Caldie, (2017), Usando contêineres do Docker? Cuidado com esses riscos de segurança, de https://www.ontrack.com/uk/blog/the
world-of-data/using-docker-containers-beware-of-these-security-risks/.
293. Chuck Hegarty, (2018), Understanding Container Security: Kernel Exploits, DDoS Attacks & Poisoned Images, em https://
www.siriuscom.com/2018/08/understanding-container-security/
294. Patrick Kleindienst, (2016), Explorando a segurança do Docker – Parte 2: falhas de contêiner, de https://blog.mi.hdm
stuttgart.de/index.php/2016/08/16/exploring-docker-security-part -2-container-falhas/.
295. Karthik, (2012), Virtualization Security in Cloud Computing, de https://resources.infosecinstitute.com/virtualization security-cloud-

computing/#gref.
296. Docker Security, em https://docs.docker.com/engine/security/.
297. Jack Wallen, (2017), 5 dicas para proteger seus contêineres do Docker, em https://www.techrepublic.com/article/5-tips-forsecurity-
your-docker-containers/.
298. Melhores práticas de segurança de imagem do Docker, de

https://res.cloudinary.com/snyk/image/upload/v1551798390/Docker_Image_Security_Best_Practices_.pdf.
299. O que é virtualização?, em https://www.citrix.com/en-in/glossary/what-is-virtualization.html.
300. Virtualização, em https://www.techopedia.com/definition/719/virtualization.
301. O que é virtualização, de https://www.igi-global.com/dictionary/an-evolutionary-approach-for-load-balancing-in-cloud

computação/31852.
302. Clare Hopping, (2021), What is virtualization?, em https://www.itpro.co.uk/612016/what-is-virtualisation.
303. Virtualização - Virtualização de servidor, em http://www.artofcomputing.com/virtualisation-virtual-servers.html.
304. Vikas Garg, Virtualization, de http://www.ijoart.org/papers/VIRTUALIZATION.html.
305. What is Network Virtualization (NV)?, em https://www.vmware.com/topics/glossary/content/network-virtualization.
306. Virtualização de rede e redes virtuais, em https://docs.oracle.com/cd/E19120-01/open.solaris/819-6990/gfkbw/index.html.

Referências
307. Virtualização de rede, em https://www.techopedia.com/definition/655/network-virtualization.
308. Network Virtualization, de https://networksandservers.blogspot.com/2011/10/virtualization-ii.html.
309. Visão geral da virtualização de rede, em https://docs.oracle.com/cd/E26502_01/html/E28992/gfkbw.html.
310. Anatomia de vetores de ataque de contêiner e mitigações, em https://www.bankinfosecurity.com/anatomy-container-attack

vectors-mitigations-a-12490.
311. Uma ameaça de segurança adormecida: como se proteger contra o comprometimento do contêiner,
em https://www.scmagazine.com/home/opinion/executive-insight/a-sleeping-security-threat-how-to-protect-against container- compromisso/.
312. Robail Yasrab, Mitigating Docker Security Issues, em https://arxiv.org/ftp/arxiv/papers/1804/1804.05039.pdf.
313. Steven Vaughan-Nichols, (2019), 5 maneiras de proteger seus contêineres, em https://www.hpe.com/us/en/insights/articles/5-

maneiras de proteger seus contêineres-1904.html.
314. Devdatta Mulgund, (2019), Best Practices for Application Container Security, em https://securityintelligence.com/posts/8-best-practices-for-application-
container-security/.
315. Chandani Vaya, (2019), Uma jornada para a segurança do Kubernetes, de

https://developer.ibm.com/technologies/containers/articles/journey-to-kubernetes-security/.
316. Connor Gilbert, (2019), 9 práticas recomendadas de segurança do Kubernetes que todos devem seguir, de
https://www.cncf.io/blog/2019/01/14/9-kubernetes-security-best-practices-everyone-must-follow/.
317. Chris Cooney, (2019), Security as Standard in the Land of Kubernetes, em https://www.freecodecamp.org/news/security as-standard-in-the-land-of-
kubernetes-50bfad74ca16/.
318. (2019), 15 práticas recomendadas de segurança do Kubernetes para proteger seu cluster, em https://www.mobilise.cloud/15-kubernetes security-
best-practice-to-secure-your-cluster/.
319. Ajmal Kohgadai, (2019), Docker Container Security 101: Risks and 33 Best Practices, em https://
www.stackrox.com/post/2019/09/docker-security-101/.
320. Docker Images, de https://www.katacoda.com/courses/docker/2.
321. Ajmal Kohgadai, (2020), Kubernetes Security 101: Risks and 29 Best Practices, de
https://www.stackrox.com/post/2020/05/kubernetes-security-101/.
322. Kirsten Newcomer, 4 desafios de segurança do Kubernetes e como resolvê-los, em https://techbeacon.com/enterprise

it/4-kubernetes-security-challenges-how-address-them.
323. Anastasios Arampatzis, (2020), Quais são os 5 principais desafios e riscos de segurança do Kubernetes?, de
https://informationsecuritybuzz.com/articles/what-are-the-top-5-kubernetes-security-challenges-and-risks/.
324. Arunvignesh Venkatesh, (2017), Cloud Computing Security: Provider & Consumer Responsibilities, em https://www.mindtree.com/
blog/cloud-computing-security-provider-consumer- Responsibility.
325. Stratoscale, (2016), Security in Cloud Networking: FW, ACLs and More, em https://www.stratoscale.com/blog/data
center/security-cloud-networking-fw-acls/.
326. Natalie Boyd, (2018), Achieving Network Security in Cloud Computing, de

https://www.sdxcentral.com/cloud/definitions/achieving-network-security-in-cloud-computing/.
327. (2018), Top 6 Methods to Protect Your Cloud Data from Hackers, em https://www.idexcel.com/blog/top-6-methods-to
proteja-sua-nuvem-dados-de-hackers/.
328. Naomi Assaraf, (2015), 5 preocupações de segurança com armazenamento de dados em nuvem, respondidas, de https://blog.cloudhq.net/5-safety
preocupações-com-cloud-data-storage-answered/.
329. (2017), 7 dicas eficazes para proteger seus dados na nuvem, em https://hackernoon.com/7-effective-tips-to-secure-your
dados-na-nuvem-820bfe438d2.
330. Ed Moyle, (2019), 3 melhores práticas para monitoramento de segurança em nuvem,

em https://searchcloudsecurity.techtarget.com/tip/Cloud-security-monitoring-Challenges-and-guidance.
331. Mike Mason, (2018), Key Considerations for Compliance in the Cloud, de
https://www.corporatecomplianceinsights.com/key-considerations-compliance-cloud/.
332. (2013), Introduction to Cloud Computing, de https://www.slideshare.net/ProfEdge/introduction-to-cloud-computing

23970527.

Referências
333. Martin Gontovnikas, (2018), What Is Identity as a Service (IDaaS)?, de https://auth0.com/blog/identity-as-a-service-in

2018/.
334. Multi-Cloud, em https://avinetworks.com/glossary/multi-cloud/.
335. (2019), Multicloud, de https://en.wikipedia.org/wiki/Multicloud.
336. Rich Caldwell, (2019), Pros and Cons of a Multi-Cloud Strategy, em https://centricconsulting.com/blog/pros-and-cons-of a-multi-cloud-strategy/.
337. Jignesh Solanki, 6 projetos de arquitetura multi-nuvem para uma estratégia de nuvem eficaz, em https://www.simform.com/multi
nuvem-arquitetura/.
338. (2020), armazenamento em nuvem, de https://en.wikipedia.org/wiki/Cloud_storage.
339. Laxmi Ashrit, What is Cloud Storage – Architecture, Types, Advantages & Disadvantages, em https://
electricalfundablog.com/cloud-storage-architecture-types/.
340. Ensaio básico de tecnologia da informação sobre arquitetura de armazenamento em nuvem, de https://www.uniassignment.com/
essay samples/information-technology/basic-cloud-storage-architecture-information-technology-essay.php.
341. (2019), What is Containers as a service (CaaS)?, em https://www.ibm.com/services/cloud/containers-as-a-service.
342. Usando uma função do IAM para conceder permissões a aplicativos executados em instâncias do Amazon EC2, em
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html.
343. Bloqueie as chaves de acesso do usuário raiz da conta da AWS, em https://docs.aws.amazon.com/IAM/latest/UserGuide/best

Practices.html#lock-away-credentials.
344. Stuart Scott, (2015), AWS Security: Identity and Access Management (IAM), em https://cloudacademy.com/blog/aws security-identity-and-
access-management-iam/.
345. Definindo uma política de senha de conta para usuários do IAM, em

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html.
346. Políticas gerenciadas pela AWS, em https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs

inline.html#aws-managed-policies.
347. Brad Lyman, An Easier Way to Manage Your Policies, em https://aws.amazon.com/blogs/security/an-easier-way-to

gerencie suas políticas/.
348. Criar usuários IAM individuais, em https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam

usuários.
349. Criando seu primeiro usuário e grupo administrador do IAM, em https://docs.aws.amazon.com/IAM/latest/UserGuide/getting

start_create-admin-group.html.
350. Adicionando e removendo usuários em um grupo IAM, de

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html.
351. Rob Moncur, agora crie e gerencie usuários com mais facilidade com o AWS IAM Console, de
https://aws.amazon.com/blogs/security/now-create-and-manage-users-more-easily-with-the-aws-iam-console/.
352. Jeff Barr, IAM: Gerenciamento de identidade e acesso da AWS – agora disponível ao público,
https://aws.amazon.com/blogs/aws/iam-identity-access-management/.
353. Visão geral do gerenciamento de acesso: permissões e políticas, em https://

docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html.
354. Recursos do AWS IAM, em https://aws.amazon.com/iam/features/.
355. AWS IAM, em https://www.simplilearn.com/aws-iam-tutorial-article.
356. O usuário raiz da conta da AWS, em https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html.
357. Termos e conceitos de funções, em https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html.
358. Criando uma função para delegar permissões a um usuário do IAM, de

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html.
359. Abhishek Pandey, apresentando uma maneira mais fácil de delegar permissões aos serviços da AWS: funções vinculadas a serviços, de
https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service linked-roles/.
360. Usando credenciais temporárias com recursos da AWS, em https://

docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html.

Referências
361. Criando um usuário IAM em sua conta da AWS, de

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html.
362. Qualquer coisa como serviço (XaaS), em https://timesofcloud.com/cloud-tutorial/xaas/.
363. Natallia Sakovich, Everything-as-a-Service (XaaS): Definição e exemplos, em https://www.sam

solutions.com/blog/everything-as-a-service-xaas-definition-and-examples/ .
364. Forrest Stroud, (2021), XaaS – Anything-As-A-Service, de https://www.webopedia.com/definitions/anything-as-a-service

esposa/.
365. O que é XaaS (qualquer coisa como um serviço)?, de https://www.netapp.com/knowledge-center/what-is-anything-as-a-service

xaas/#:~:text=%E2%80 %9CAnything%20as%20a%20service%E2%80%9D%20(,a%20service%20over%20the%20internet.
366. Ryan Squires, (2018), Everything-as-a-Service (XaaS): From Software to Property, em https://jumpcloud.com/blog/xaas.
367. (2018), Everything-as-a-Service: Have Federal CIOs Found Their Holy Grail?, de
https://www.eglobaltech.com/post/everything-as-a-service-have-federal-cios-found-their-holy-grail.
368. Brett Mundell, (2019), On-premise vs Cloud vs Hosted: What's the difference?, de https://
www.leveragetech.com.au/blog/on-premise-vs-cloud-vs-hosted/.
369. John Moore, Hosted Services, de https://searchitchannel.techtarget.com/definition/hosted-services.
370. Susan Meyer, Understanding the Differences Between On-Premise vs Hosted vs SaaS + How to Pick the Right Choice for Your
Ecommerce, from https://www.bigcommerce.com/blog/on-prem-vs-hosted-vs- saas/#pros-and-contras-of-on-prem-hosted-and-
saas.
371. Cloud Security, em https://slideplayer.com/slide/6204150/.
Módulo 07: Segurança de Rede Wireless

372. O que é WiFi?, de https://scambusters.org/wifi.html.
373. Rede sem fio, de https://en.wikipedia.org/wiki/Wireless_network#Difficulties.
374. Tipos de rede sem fio explicados com padrões, em https://www.computernetworkingnotes.com/ccna-study

guide/types-of-wireless-network-explained-with-standards.html.
375. Rede sem fio, em https://www.techopedia.com/definition/26186/wireless-network.
376. Wireless Technology, de https://www.nibusinessinfo.co.uk/content/pros-and-cons-wireless-networking.
377. IEEE 802.11i-2004, de https://en.wikipedia.org/wiki/IEEE_802.11i-2004.
378. 802.11i, de https://searchmobilecomputing.techtarget.com/definition/80211i.
379. Ponto de acesso sem fio, em https://en.wikipedia.org/wiki/Wireless_access_point.
380. Agustina, JV Peng Zhang e Kantola, (2003), Avaliação de desempenho do tráfego de transferência GSM em uma rede GPRS/
GSM, em https://ieeexplore.ieee.org/document/1214113?isnumber=27298&arnumber=1214113&count=217&index =21.
381. Peter Loshin, (2019), Defending against the most common wireless network attack, em https://
searchsecurity.techtarget.com/feature/A-list-of-wireless-network-attacks.
382. Chris Weber e Gary Bahadu, (2009), Wireless Networking Security, de https://docs.microsoft.com/en-us/previousversions/
windows/it-pro/windows-xp/bb457019(v=technet. 10)?redirecionado de=MSDN.
383. (2009), How 802.11 Wireless Works, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows server-2003/

cc757419(v=ws.10)? redirecionado de=MSDN.
384. TKIP (Temporal Key Integrity Protocol), em https://www.tech-faq.com/tkip-temporal-key-integrity-protocol.html.
385. Kevin Beaver e Peter T. Davis, Entendendo as fraquezas do WEP, de

https://www.dummies.com/programming/networking/understanding-wep-weaknesses/.
386. Bradley Mitchell, (2021) Wired vs. Wireless Networking, de https://www.lifewire.com/wired-vs-wireless-networking

816352.
387. Bradley Mitchell, (2019), Wireless Standards - 802.11b 802.11a 802.11ge 802.11n, em https://
www.lifewire.com/wireless-standards-802-11a-802-11b-gn-and-802 -11ac-816553.
388. Wi-Fi Protected Access, em https://searchmobilecomputing.techtarget.com/definition/Wi-Fi-Protected-Access.
389. WPA (Wi-Fi Protected Access), em https://www.tech-faq.com/wpa-wi-fi-protected-access.shtml.

Referências
390. Paul Arana, (2006), Benefícios e Vulnerabilidades do Wi-Fi Protected Access 2 (WPA2), de
https://cs.gmu.edu/~yhwang1/INFS612/Sample_Projects/Fall_06_GPN_6_Final_Report.pdf.
391. Lisa Phifer, Identificador do conjunto de serviços, em https://searchmobilecomputing.techtarget.com/definition/service-set-identifier.
392. Antenna Cabling Guide, de http://wireless.gumph.org/content/3/12/011-antenna-cabling.html.
393. Mateusz Buczkowski, (2018), Introduction to Wi-Fi Security, em https://www.grandmetric.com/2018/07/06/ended-wpa3-wi-fi-security-evolution/.
394. Protocolos de segurança sem fio: WEP, WPA, WPA2 e WPA3, de https://www.cyberpunk.rs/wireless-security-protocols
wep-wpa-wpa2-e-wpa3.
395. Penny Hoelscher, (2018), O que é WPA3, é seguro e devo usá-lo?, em https://
www.comparitech.com/blog/information-security/what-is-wpa3/.
396. Descubra o Wi-Fi Security, em https://www.wi-fi.org/discover-wi-fi/security.
397. (2018), WPA3 explicado, de https://medium.com/@reliancegcs/wpa3-explained-wi-fi-is-getting-major-security-update

2b6dca8f3aff.
398. Wi-Fi Protected Access, em https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access.
399. Dicas para proteger sua conexão sem fio, em https://www.sophos.com/en-us/security-news-trends/best-practices/wi

be.aspx.
400. Eric Geier, (2011), o que fazer e o que não fazer em segurança Wi-Fi, em https://www.networkworld.com/article/2182865/wi-fi-security-do
s-and-don-ts.html.
401. Pablo Estrada, (2011), 10 melhores práticas para projetar sua implantação de Wi-Fi para eventos, de
https://meraki.cisco.com/blog/2011/06/10-best-practices-for-designing-your-event-wi-fi-deployment/.
402. Beryl George, Wireless Technologies, de https://slideplayer.com/slide/6835910/.
Módulo 08: Segurança de Dispositivos Móveis
403. Mike Chapple, (2017), Mobile Connection Method, de https://www.linkedin.com/learning/comptia-security-plus-sy0-501-cert-prep-2-technologies-

and-tools/mobile- métodos de conexão?trk=lynda_redirect_learning.
404. Ankit Anand, Cellular Wireless Network Security, de https://www.slideshare.net/AnkitAnand126/cellular-wireless

rede
security#:~:text=Conclusão%20Celular%20Redes%20são%20abertas,autenticação%2C%20confidencialidade%2C%20integridade%20etc..
405. (2021), Ponto a ponto (telecomunicações), de https://en.wikipedia.org/wiki/Point-to

point_(tecommunications)#:~:text=Em%20tecommunications%2C%20a%20point%2Dto,ser%20ouvido%20by%20the%20other..
406. (2019), Diferenças entre comunicação ponto a ponto e multiponto, de

https://www.geeksforgeeks.org/differences-between-point-to-point-and-multi-point-communication/.
407. (2017), ponto a ponto e ponto a multiponto sem fio, em https://www.cablefree.net/wireless-technology/difference

ponto-ponto-ponto-multiponto/.
408. Jerry Hildenbrand, (2020), Como funciona o GPS no meu telefone?, em https://www.androidcentral.com/how-does-gps-work
meu telefone.
409. Suzanne Smiley, (2016), 7 Types of Security Attacks on RFID Systems, em https://www.atlasrfidstore.com/rfid-insider/7-types-security-attacks-rfid-
systems.
410. Kate O'Flaherty, (2020), Quão seguro é o 5G realmente?, de https://www.raconteur.net/technology/5g/5g-security/.
411. Erica Mixon, Mobile Device Management (MDM), de https://searchmobilecomputing.techtarget.com/definition/mobile

gerenciamento de dispositivo.
412. Vangie Beal, (2021), Mobile Device Management, de https://www.webopedia.com/definitions/mobile-device

gerenciamento/.
413. Mykhayl Tserr, Eugene Koshel, (2020), Como construir um sistema de gerenciamento de dispositivos móveis (MDM)?, de
https://www.apriorit.com/dev-blog/473-how-to-build-an-mdm-system.
414. Muhammad Raza, (2019), Mobile Device Management (MDM): An Introduction, de https://www.bmc.com/blogs/mdm
gerenciamento de dispositivo móvel/.

Referências
415. Colin Steele, Mobile Application Management (MAM), de

https://searchmobilecomputing.techtarget.com/definition/mobile-application-management-MAM.
416. Sistema de gerenciamento de conteúdo móvel (CMS), em https://www.contentful.com/r/knowledgebase/mobile-cms/.
417. Gerenciamento de conteúdo móvel (MCM), de https://www.manageengine.com/mobile-device-management/mobile-content

management.html.
418. (2020), Introdução ao gerenciamento de conteúdo móvel, em https://docs.vmware.com/en/VMware-Workspace-ONE

UEM/services/MCM/GUID-AWT-MCM-INTRO.html.
419. Forrest Stroud, (2021), MCM – Mobile Content Management , em https://www.webopedia.com/definitions/mcm-mobile content-management/.
420. (2020), Sistema de gerenciamento de conteúdo móvel, de https://en.wikipedia.org/wiki/Mobile_content_management_system.
421. Joel Snyder, (2021), 3 coisas que você deve saber sobre a limpeza remota, em https://insights.samsung.com/2020/05/28/3- coisas que você
deve saber sobre a limpeza remota -2/.
422. Cliff White, Remote Wipe: a Must for Mobile Security, em https://www.accellion.com/blog/remote-wipe-must-for
segurança para celulares/.
423. A Beginner's Guide to Geofencing for Mobile Apps , em https://clearbridgemobile.com/a-beginners-guide-to-geofencing for-mobile-apps/.
424. Aasif, (2021), A Simple Guide to Geofencing for Mobile App Marketing, em https://www.appypie.com/geofencing-app
marketing.
425. Rahul Singh, (2018), Compreendendo a geolocalização em aplicativos móveis: como os serviços baseados em localização em aplicativos aprimoram
seu apelo?, em https://www.promaticsindia.com/blog/understanding-geolocation-in-mobile-apps-how -location-based-services-in apps-enhance-
their-appeal/.
426. Tela de bloqueio, em https://en.wikipedia.org/wiki/Lock_screen.
427. Amer Owaida, (2020), Quão segura é a tela de bloqueio do seu telefone?, em https://www.welivesecurity.com/2020/06/05/how secure-is-your-
phone-lock-screen/.
428. Maud Panier, (2021), Before We Start: What Are Mobile Push Notifications And How To Us Us, from
https://thetool.io/2020/top-push-notifications-tools
services#:~:text=A%20Push%20Notification%20(também%20chamado,a%20request%20from%20the%20user.&text=Eles% 20são%
20o%20oposto%20lado,Notificações%20origem%20de%20a%20servidor..
429. Ian Blair, O que é uma notificação push? E por que importa?, de https://buildfire.com/what-is-a-push-notification/.
430. Notificação push Kat King, de https://www.twilio.com/docs/glossary/what-is-push-notification.
431. (2020), PINs vs. Passwords: What's the Difference?, de https://www.allclearid.com/2020/01/15/pins-vs-passwords

qual é a diferença/.
432. Segurança de senha e PIN, em https://www.paypal.com/us/webapps/mpp/security/secure-passwords.
433. Leonardo Sam Waterson, (2019), Why Biometrics is a Must for Mobile App Security, em https://
www.m2sys.com/blog/guest-blog-posts/biometrics-mobile-app-security/.
434. KamalBenzekkia, AbdeslamEl Fergouguia, AbdelbakiElBelrhiti ElAlaoui, (2018), A Context-Aware Authentication System for Mobile Cloud Computing,
em https://www.sciencedirect.com/science/article/pii/S1877050918301479.
435. Ben Kepes, (2016), Esqueça a autenticação de dois fatores, aqui vem a autenticação com reconhecimento de contexto, de
https://www.computerworld.com/article/3105866/forget-two-factor-authentication-here-comes-context-aware authentication.html.
436. Bridget Botelho, (2013), Context-aware security, de https://searchsecurity.techtarget.com/definition/context-aware

segurança.
437. Conteinerização de dispositivos Android, em https://www.manageengine.com/mobile-device-management/mdm containerization.html.
438. Alma Evans, (2018), O que é Containerização e por que é importante para o seu negócio?, de
https://www.hexnode.com/blogs/what-is-containerization-and-why-is-it-important-for-your-business/.
439. (2021), Full-Disk Encryption, em https://source.android.com/security/encryption/full-disk.
440. Joel Snyder, (2021), BYOD, CYOD, COPE, COBO — O que eles realmente significam?, de
https://insights.samsung.com/2018/05/09/byod-cyod-cope-cobo-what-do-they-really-mean/.

Referências
441. Rene Millman, (2021), What is BYOD?, em https://www.itpro.co.uk/strategy/28072/what-is-byod.
442. (2018), Enterprise Mobility Management: Models and Solutions, em https://www.altexsoft.com/blog/cloud/enterprise

modelos e soluções de gerenciamento de mobilidade/.
443. Jo Davis, (2014), 5 coisas a considerar antes de implementar o BYOD, em https://realbusiness.co.uk/5-things-to-consider

antes de implementar-byod/.
444. Escolha seu próprio dispositivo (CYOD), em https://www.techopedia.com/definition/29909/choose-your-own-device-cyod.
445. (2021), BYOD vs. CYOD vs. COBO vs. COPE: Como saber quando mudar ou ajustar sua estratégia móvel, em https://
blog.caleromdsl.com/byod-vs-cyod-vs-cope- escolha-direita-empresa-mobilidade-estratégia/.
446. TRAGA SEU PRÓPRIO DISPOSITIVO (BYOD) VS. ESCOLHA SEU PRÓPRIO DISPOSITIVO (CYOD), em https://www.utgjiu.ro/rev_ing/pdf/2018-
4/18_S.%20Iovan,%20C.%20Ivanus%20-
BRING%20YOUR%20OWN%20DEVICE%20(BYOD)%20VS.%20CHOOSE%20YOUR%20OWN%20DEVICE%20(CYOD).pdf.
447. Josh Bouk, (2018), Josh Bouk, CYOD vs BYOD: A Comparative Analysis, de https://www.cassinfo.com/telecom-expense management-blog/cyod-
vs-byod-a-comparative-analysis.
448. Melhores práticas para tornar BYOD, CYOD e COPE simples e seguro, em https://www.citrix.com/en-in/products/citrix endpoint-management/
byod-best-practices.html.
449. Liarna La Porta, (2018), Qual é o melhor modelo de propriedade de dispositivo móvel para o seu negócio?, em https://
www.wandera.com/cope-byod-cyod/.
450. Iskren Tairov, (2016), Enterprise Mobility – Uma solução para aumentar a eficiência dos negócios, de
https://www.researchgate.net/profile/Iskren_Tairov/publication/314286291_ENTERPRISE_MOBILITY_-
_A_SOLUTION_FOR_INCREASED_BUSINESS_EFFICIENCY/links/58bfe640458515bc83906d6e/ENTERPRISE-MOBILITY-A SOLUTION-
FOR-INCREASED-BUSINESS-EFFICIENCY.pdf.
451. Corporativo, Pessoalmente Capacitado: Quando o COPE é o Modelo de Mobilidade Certo para Agências?, de https://
www.accenture.com/t20150523T024231__w__/gr-en/_acnmedia/Accenture/Conversion Assets/DotCom/Documents/
Global /PDF/Dualpub_14/Accenture-Corporately-Owned-Personally-Enabled-When-COPE Right-Mobility-Model-Agencies.pdf.
452. BYOD, CYOD, COPE, COBO — What Do They Really Mean?, em https://www.wired.com/brandlab/2018/06/byod-cyod cope-cobo-really-mean/.
453. Ines Reinhardt, (2019), Mobility Basics Part III: What's The Difference Between Byod, Cobo And Cope?, de https://blog.cortado.com/
mobility-basics-whats-the-difference-between-byod- e-cobo/.
454. Sunil Lalvani, (2014), Transição de BYOD para COBO, de https://cio.economictimes.indiatimes.com/tech-talk/transition from-byod-to-cobo/325.
455. Como escolher a combinação certa: BYOD/COPE/CYOD/COBO, de http://

docs.media.bitpipe.com/io_12x/io_122848/item_1123795/Mobile%20Device%20Ownership%20- %20How%20to%20Choose
%20the%20Right%20Mix.pdf.
456. Ed Tittel, (2014), 7 Enterprise Mobile Security Best Practices, em https://www.cio.com/article/2378779/7-enterprise

mobile-security-best-practices.html.
457. Gerenciamento de dispositivos móveis (MDM) para dispositivos iOS, Android e Windows., de
https://www.manageengine.com/products/desktop-central/mobile-device-management-mdm.html.
458. Bocholt, (2019), Tudo sob controle TISLOG MDM - gerenciamento centralizado para seu hardware, de
https://www.tis-gmbh.de/en/tislog-mdm-mobile-device-management/.
459. Manasdeep, (20130, Mobile Device Management (MDM) – Desafios e Soluções, de

https://niiconsulting.com/checkmate/2013/07/mobile-device-management-challenges-and-solutions/.
460. Mobile Device Management, em https://www.ecom-ex.com/solutions/mobile-device-management/.
461. Forrest Stroud, (2021), Mobile Application Management (MAM), de https://www.webopedia.com/TERM/M/mam

mobile-application-management.html.
462. Gerenciamento de aplicativos móveis, em https://en.wikipedia.org/wiki/Mobile_application_management.
463. O que é Mobile Application Management (MAM)?, em https://www.manageengine.com/mobile-device

management/mobile-application-management.html.
464. Sistema de gerenciamento de conteúdo móvel, de

https://en.wikipedia.org/wiki/Mobile_content_management_system#Key_features.

Referências
465. O que é Mobile Threat Defense?, em https://www.lookout.com/products/mobile-threat-defense/.
466. Robin Gray, What is Mobile Threat Defense (MTD)?, em https://www.wandera.com/what-is-mobile-threat-defense-mtd/.
467. What Is Mobile Threat Defense?, de https://community.broadcom.com/symantecenterprise/communities/community

home/librarydocuments/viewdocument?DocumentKey=b211ab8a-0b3b-4177-8a4d
61bfd8a7f1a7&CommunityKey=63909be8-ed89-4445-bfd4-55f7374256ce&tab=librarydocuments.
468. Scott King, (2017), Gartner Mobile Threat Defense and Enterprise Mobile Security Guide, em https://blog.zimperium.com/
your-guide-to-mobile-threat-defense/.
469. Mobile E-mail Management (MEM), em https://www.manageengine.com/mobile-device-management/mobile-email

management.html.
470. 42Gears Mobile Email Management, em https://www.42gears.com/white-papers/42gears-mobile-email-management/.
471. Entendendo o Unified Endpoint Management, em https://

docs.42gears.com/whitepapers/Understanding%20Unified%20Endpoint%20Management.pdf.
472. KC Karnes, (2020), Mobile App Security Threats and Secure Best Practices, em https://clevertap.com/blog/mobile-app
segurança/.
473. David Oragui, (2018), 7 etapas que você deve seguir para melhorar a segurança de aplicativos móveis, em https://themanifest.com/mobile
apps/7-passos-que-você-deve-tomar-melhorar-aplicativo-móvel-segurança.
474. 5 práticas recomendadas de segurança de aplicativos móveis que você não pode ignorar!, em https://www.preludesys.com/mobile-app-security-best
práticas/.
475. Vijay Singh, (2020), Lista de verificação de segurança para desenvolvimento móvel, em https://hackr.io/blog/mobile-app-security-standards
lista de controle.
476. Daniel Hein, (2019), Mobile Data Security: How to Protect Corporate Data on Mobile Devices, from
https://solutionsreview.com/mobile-device-management/mobile-data-security-how-to-protect-corporate-data-on-mobile devices/.
477. 6 etapas para melhorar rapidamente a segurança de dados móveis, em https://www.imei.com.au/mobile-data-security#datasecurity.
478. 4 etapas práticas para proteger seus dados móveis, em https://www.imei.com.au/mobile-data

segurança#legislaçãoregulamentos.
479. Mobile Security – Introdução, em https://www.tutorialspoint.com/mobile_security/mobile_security_quick_guide.htm.
Módulo 09: Segurança de dispositivos IoT
480. Gamal H. Eladl, Technical Requirements for the Application of Internet of Things, de http://ijcsn.org/IJCSN-2017/6-4/Technical-Requirements-for-the-
Application-of-Internet-of- Coisas.pdf.
481. Enterprise Internet of Things, de http://www.enterox.com/IoT/articles/enterprise-internet-of-things.htm.
482. Ronak Patel, (2019), IoT for Business Enterprises: Everything You Need to Know, em https://dzone.com/articles/iot-for
negócios-empresas-atributos-desafios.
483. Jonathan Greig, (2020), IoT device security: 5 tips for enterprise, from https://www.techrepublic.com/article/iot-device security-5-tips-for-enterprises/.
484. Vishruta Rudresh, (2018), IoT Security Reference Architecture, de https://

cdn2.hubspot.net/hubfs/2539908/Whitepapers/IoT%20Security%20Reference%20Architecture_September 2018.pdf.
485. Steven Lerner, (2019), 12 IoT Security Challenges And How to Address Them in the Enterprise, de
https://www.enterprisedigi.com/iot/articles/iot-security-challenges.
486. Andrey Nikishin, (2018), What is a secure internet of things?, de https://os.kaspersky.com/2018/05/31/what-is-a-secure

Internet das Coisas/.
487. Nick Carstensen, (2019), Improving IOT Security With Log Management, em https://www.graylog.org/post/improving-iot
segurança com gerenciamento de log.
488. David Strom, (2017), 9 maneiras de melhorar a segurança do dispositivo IoT, em https://www.hpe.com/us/en/insights/articles/9-ways-to
make-iot-devices-more-secure-1701.html.
489. Alex Grizhnevich, (2018), arquitetura IoT: blocos de construção e como eles funcionam, em https://www.scnsoft.com/blog/iot
arquitetura-em-uma-casca-de-noz-e-como-funciona.

Referências
490. Priya Pedamkar, IoT Ecosystem, em https://www.educba.com/iot-ecosystem/.
491. O que é o ecossistema da Internet das Coisas?, em https://etma.org/what-is-iot-ecosystem/.
492. Uwazie Emmanuel Chinanu, Onoja Emmanuel Oche, Joy O. Okah-Edemoh, (2018), Architectural Layers of Internet of
Things: Analysis of Security Threats and Their Countermeasures, em https://arpgweb.com/pdf-files/sr4(10)80-89.pdf.
493. Murat Aydos, Yÿlmaz Vural, Adem Tekerek, (2019), Avaliando riscos e ameaças com abordagem em camadas da Internet das Coisas
security, em https://journals.sagepub.com/doi/full/10.1177/0020294019837991.
494. Hezam Akram Abdul-Ghani, Dimitri Konstantas, Mohammed Mahyoub, (2018), A Comprehensive IoT Attacks Survey based on a Building-blocked
Reference Model, de https://thesai.org/Downloads/Volume9No3/Paper_49-A_Comprehensive_IoT_Attacks_Survey.pdf .
495. Ehsan ul Haq, Tariq Aziz Rao, (2018), Security Challenges Facing IoT Layers and its Protective Measures, de
https://www.researchgate.net/publication/323892938_Security_Challenges_Facing_IoT_Layers_and_its_Protective_Meas
ures.
496. (2016), Princípios Estratégicos para Proteger a Internet das Coisas (IoT), de
https://www.dhs.gov/sites/default/files/publications/Strategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINAL....pdf.
497. Diretrizes de segurança IoT para operadoras de rede, em https://www.gsma.com/iot/iot-security-guidelines-for-network

operadores/.
498. (2019), IoT Security Guidelines for Network Operators, em https://www.gsma.com/iot/wp content/uploads/
2019/10/CLP.14-v2.1.pdf.
499. (2019), Segurança da Internet das Coisas (IoT): 9 maneiras de ajudar a se proteger, em https://us.norton.com/internetsecurity
iot-segurando-a-internet-das-coisas.html.
500. (2019), 12 dicas para ajudar a proteger sua casa inteligente e dispositivos IoT, em https://us.norton.com/internetsecurity-iot-smart home-
security-core.html.
501. Jacob Arellano, (2019), Best Practices for Securing IoT Devices, em https://www.verypossible.com/blog/best-practices for-securing-iot-devices.
502. Dean Hamilton, (2018), Melhores práticas para segurança de IoT, em https://www.networkworld.com/article/3266375/best practices-for-
iot-security.html.
503. George Corser, Melhores Práticas de Segurança da Internet das Coisas (IOT), de
https://internetinitiative.ieee.org/images/files/resources/white_papers/internet_of_things_feb2017.pdf.
504. Conner Forrest, (2017), Dez melhores práticas para proteger a Internet das Coisas em sua organização, de
https://www.zdnet.com/article/ten-best-practices-for-securing-the-internet-of-things-in-your-organization/.
Módulo 10: Criptografia e PKI

505. Yuan Xue, (2009), assinatura digital, de https://tao.truststc.org/Members/yuanxue/network_security/Public
recursos/palestra12.
506. Função Hash, de https://en.wikipedia.org/wiki/Hash_function.
507. Andrew Zola, Hashing, de https://searchsqlserver.techtarget.com/definition/hashing.
508. Vangie Beal, (2021), Hashing, de https://www.webopedia.com/definitions/hashing/.
509. Ben Lutkevich, Vicki-Lynn Brunskill, Peter Loshin, Digital Signature, de https://
searchsecurity.techtarget.com/definition/digital-signature.
510. Dawid Czagan, (2019), Não repúdio e assinatura digital, de https://resources.infosecinstitute.com/topic/non

repúdio-assinatura-digital/.
511. Vangie Beal, (2021), Digital Certificate, de https://www.webopedia.com/definitions/digital-certificate/.
512. Peter Loshin, Certificado Digital, https://searchsecurity.techtarget.com/definition/digital-certificate.
513. (2012), Digital Certificates, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc962029(v=technet.10)?

redirectedfrom =MSDN.
514. (2001), Anunciando o Padrão Avançado de Criptografia (AES), de

https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf.

Referências
515. John Talbot e Dominic Welsh, (2006), Complexidade e Criptografia uma introdução, de
https://www.cambridge.org/gb/academic/subjects/mathematics/discrete-mathematics-information-theory-and coding/complexity-and-
cryptography-introduction?format=PB&isbn=9780521617710.
516. O que é criptografia de chave pública?, de http://www.x5.net/faqs/crypto/q3.html.
517. Josh Ryder, (2000), Introduction to Encryption, em https://www.developer.com/guides/introduction-to-encryption/.
518. HMAC, de https://en.wikipedia.org/wiki/HMAC.
519. Código de autenticação de mensagem baseado em hash (HMAC), de https://searchsecurity.techtarget.com/definition/Hash-based

Message-Authentication-Code-HMAC.
520. Como e quando devo usar o HMAC?, em https://security.stackexchange.com/questions/20129/how-and-when-do-i-use

hmac/20301.
521. Krishna Gehlot, (2015), Message Authentication Code & HMAC, de,
https://www.slideshare.net/PRINCEOFSUNCITY/message-authentication-code-hmac.
522. Umesh Hodeghatta RaouMesha Nayak, (2014), Cryptography, de https://link.springer.com/chapter/10.1007/978-1-4302-

6383-8_8.
Módulo 11: Segurança de Dados
523. Data Loss Prevention, em https://www.futuretech-group.com/datalossprevention.html.
524. O que é backup e recuperação?, em https://www.netapp.com/data-protection/backup-recovery/what-is-backup

recuperação/.
525. (2017) Como criptografar seu dispositivo, em https://spreadprivacy.com/how-to-encrypt-devices/.
526. Ayush, (2018), Como criptografar arquivos com criptografia EFS no Windows 10, em https://www.thewindowsclub.com/encrypt files-efs-encryption-
windows-10.
527. Por que fazer backup? A importância de proteger seus dados , a partir de
http://static.highspeedbackbone.net/pdf/hp_why_backup.pdf.
528. (2010), Escolher mídia de backup é fácil quando você sabe como, graças a este guia prático, de https://www.top-windows
tutoriais.com/backup-media/.
529. Simplificando o Backup e Recuperação NAS/SAN com o Barracuda Backup, de

https://www.barracuda.com/assets/docs/White_Papers/Barracuda_Backup_SB_NAS_US.pdf.
530. Qual é a diferença entre backup frio e backup quente, de http://

www.geekinterview.com/question_details/49691.
531. Diferença entre: backup completo, diferencial e incremental, em http://www.backup.info/difference-between-full

backup diferencial e incremental.
532. O que é backup do sistema?, em https://www.ubackup.com/help/system-backup.html.
533. O que é um backup de dados?, em https://support.winzip.com/hc/en-us/articles/115011428608-What-is-a-Data-Backup-.
534. Backup, em https://en.wikipedia.org/wiki/Backup.
535. Backup, em https://searchdatabackup.techtarget.com/definition/backup.
536. Ed Palmer, (2002), Sete etapas para backup e restauração, de

https://searchdatabackup.techtarget.com/magazineContent/Seven-steps-to-backup-and-restore.
537. Kris Bushover, Eric Osterholm, (2008), Estratégias de recuperação de desastres e backup de dados, de
https://www.slideshare.net/spiceworks/disaster-recovery-data-backup-strategies-presentation.
538. Com que frequência você precisa fazer backup de seus arquivos?, em https://www.allbusiness.com/how-often-do-you-need-to-back-up
seus-arquivos-1202-1.html.
539. Com que frequência você deve fazer backup de seus arquivos?, em https://www.datarecoverylabs.com/company/resources/how-often
você deve fazer backup de seus arquivos.
540. Seleção da mídia de backup, em https://tldp.org/LDP/sag/html/backup-media.html.
541. Alexander S. Gillis, RAID (matriz redundante de discos independentes), de

https://searchstorage.techtarget.com/definition/RAID.
542. Vangie Beal, RAID, de https://www.webopedia.com/definitions/raid/.

Referências
543. O que é RAID?, em http://www.freeraidrecovery.com/library/what-is-raid.aspx.
544. Rich Castagna, Kim Hefner, controlador RAID, de https://searchstorage.techtarget.com/definition/RAID-controller.
545. Serial ATA (Serial Advanced Technology Attachment ou SATA), em https://searchstorage.techtarget.com/definition/Serial

ATA.
546. Controlador de matriz de disco, em https://en.wikipedia.org/wiki/Disk_array_controller.
547. RAID, em https://www.prepressure.com/library/technology/raid.
548. Ankur Niyogi, (2005), RAID Redundant Array of Independent Disks, de https://www.slideshare.net/raid
recuperação/entendimento-raid-levels-raid-0-raid-1-raid-2-raid-3-raid-4-raid-5?qid=18a133f3-4e28-4e69-aa94-
2029a17dae35&v=qf1&b=&from_search=11.
549. Antony Adshead, (2009), RAID de software vs RAID de hardware: prós e contras , de
https://www.computerweekly.com/news/1367590/Software-RAID-vs-hardware-RAID-Pros-and-cons.
550. Brien Posey, (2011), Melhores práticas para configurar grupos de RAID, em https://searchdatacenter.techtarget.com/tip/Best
práticas para configurar grupos RAID.
551. Scott Lowe, (2010), Escolha um nível de RAID que funcione para você, em https://www.techrepublic.com/blog/the-enterprise cloud/choose-a-
raid-level-that-works-for- tu/.
552. Rede de área de armazenamento, de https://en.wikipedia.org/wiki/Storage_area_network.
553. (2012), Storage Area Network (SAN), em https://www.slideserve.com/ula/storage-area-network-san.
554. Sarath Pillai, (2014), SAN vs NAS - Diferença entre uma rede de área de armazenamento e armazenamento conectado à rede, em https://
www.slashroot.in/san-vs-nas-difference-between-storage-area-network -and-network-attached-storage.
555. Brien Posey, Vantagens e desvantagens de usar uma SAN, em https://searchstorage.techtarget.com/tip/Advantages and-disadvantages-of-using-a-
SAN.
556. Syed Ubaid Ali Jafri, (2013), Storage Area Network, de https://www.slideshare.net/masterubaid/storage-area-network
25251039.
557. Raphael Ejike, Stroage Area Network (SAN), em https://pt.slideshare.net/raphaelejike/storage-area-network-san

4892728.
558. Arquitetura de rede de área de armazenamento (arquitetura SAN), em https://www.techopedia.com/definition/30211/storage-area

rede-arquitetura-san-arquitetura.
559. Keith Spayth, (2010), Storage Area Network, em https://www.slideshare.net/itsec/san-review.
560. Armazenamento conectado à rede, em https://en.wikipedia.org/wiki/Network-attached_storage.
561. Vangie Beal, NAS - Network Attached Storage, em https://www.webopedia.com/definitions/network-attached-storage/.
562. Garry Kranz, What is network-attached storage (NAS) and how does it work?, em https://
searchstorage.techtarget.com/definition/network-attached-storage.
563. Revisão do armazenamento conectado à rede (NAS): prós e contras, em https://www.bffnas.com/network-attached-storage-nas overview-on-its-
pros-and-cons/.
564. Rajesh K, (2010), NAS – Advantages, Limitations & Recommendations for Ethernet Storage over TCP/IP Networks, em http://www.excitingip.com/
819/network-attached-storage-advantages-limitations-ethernet- melhores práticas de armazenamento-ip-rede/.
565. (2012), Network Attached Storage (NAS), de https://www.slideshare.net/sandeepgodfather/network-attached-storage

nas.
566. Ed Hannan, Cold Backup (Backup Offline), em https://searchdatabackup.techtarget.com/definition/cold-backup.
567. Paul Crocetti, Hot Backup (Dynamic Backup), em https://searchdatabackup.techtarget.com/definition/hot-backup.
568. Erin Sullivan, Brien Posey, (2020), tipos de backup de dados explicados: backup completo, incremental, diferencial e incremental para sempre,
em https://searchdatabackup.techtarget.com/tip/Data-backup-types-explained-Full -incremental-diferencial e-incremental-forever-backup.
569. Tipos de backup, (2009), de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server 2003/cc784306(v=ws.10)?

redirectedfrom =MSDN.
570. Recuperação de dados, de https://en.wikipedia.org/wiki/Data_recovery
571. Stephen Watts, (2018), Data Masking: An Introduction, em https://www.bmc.com/blogs/data-masking/.

Referências
572. Brien Posey, Paul Crocetti, Andrew Burton, Política de Retenção de Dados, de
https://searchdatabackup.techtarget.com/definition/data-retention-policy.
573. Mike Mariano, (2018), 5 etapas principais para desenvolver uma política sólida de retenção de dados, em https://www.ispartnersllc.com/blog/5-
etapas-desenvolvimento-política de retenção de dados/.
Módulo 12: Monitoramento de Tráfego de Rede
574. Analisador de pacotes, em https://en.wikipedia.org/wiki/Packet_analyzer.
575. Packet Analyzer, em https://www.techopedia.com/definition/25323/packet-analyzer.
576. Chris Sanders, Practical Packet Analysis Using Wireshark To Solve Real-World Network Problems, from
http://repository.root-me.org/R%C3%A9seau/EN%20-%20Practical%20packet%20analysis%20-%20Wireshark.pdf.
577. Filtros de exibição Wireshark, de https://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf.
578. Bobby Rogers, TCP/IP Packet Analysis Course, em https://www.vtc.com/products/TCP-IP-Packet-Analysis-Tutorials.htm.
579. (2020), Packet Sniffing, de https://thedatalist.com/pages/packet-sniffing/.
580. Detectar/analisar o tráfego de varredura usando o Wireshark, em https://www.koenig-solutions.com/documents/PenTestExtra-06-

2013.pdf.
581. Alisha Cecil, A Summary of Network Traffic Monitoring and Analysis Techniques, em https://
www.cse.wustl.edu/~jain/cse567-06/ftp/net_monitoring.pdf.
582. Karen Kent Frederick, (2001), Network Intrusion Detection Signatures, de

librarydocuments/viewdocument?DocumentKey=d6b5a639-dba9-442a-b6ad
460d495cff4a&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.
583. Network Traffic Analysis, em https://www.techopedia.com/definition/29976/network-traffic-analysis.
584. Randy Weaver, Dawn Weaver, Dean Farwood, (2013), Guide to Network Defense and Countermeasures, de
https://books.google.co.in/books?id=qbwuj_Umh9YC&pg=PA83&lpg=PA83&dq=Normal+traffic+signatures&source=bl&ots
=WfHdWGSJS0&sig=5MKhVDfvmYh9N0Q6hbVf1- IFhD0&hl=en&sa=X&ved=0ahUKEwi1wtXk57XKAhWUj44KHQoXCv4Q6AEIbzAQ%
%onepage&%q#v=Normal 20assinaturas de tráfego&f=false.
585. Captura de pacotes, em https://www.techopedia.com/definition/25333/packet-capture.
586. (2009), Capturando pacotes de comunicação de rede com o Wireshark Utility, de

librarydocuments/viewdocument?DocumentKey=1421bc97-5808-43d8-8485-
6fa2ceba5586&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.
587. Como configurar uma captura, em https://wiki.wireshark.org/CaptureSetup.
588. Trabalhando com pacotes capturados, de

https://www.wireshark.org/docs/wsug_html_chunked/ChWorkDefineFilterSection.html.
589. Capturando dados de rede ao vivo, de https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection
590. Chris Hoffman, (2017), Como usar o Wireshark para capturar, filtrar e inspecionar pacotes, de
http://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/.
MT
CE-Conselho
EC-Council
ND E
ec-council
currículos oficiais do ec-conselho

NDE PT BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NDE PT BR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

currículos oficiais do ec-council

EC-Council New Mexico

Página II Network Defense Essentials Copyright © por EC-Council Todos os direitos

Página III Network Defense Essentials Copyright © por EC-Council Todos os

Outros programas do EC-Council

O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

Defesa de Rede: Defensor de Rede Certificado

Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

Página IV Network Defense Essentials Copyright © por EC-Council Todos os

Hacking ético: Hacker ético certificado

Teste de penetração: Profissional certificado em testes de penetração

Página V Network Defense Essentials Copyright © por EC-Council Todos os direitos

Computação forense: Investigador forense de hacking de computador

Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council

O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado e

Gestão: Chief Information Security Officer certificado

Página VI Network Defense Essentials Copyright © por EC-Council Todos os

Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado

A credencial Certified Application Security Engineer

Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado

O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

Página VII Network Defense Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Tratamento de Incidentes: Analista SOC Certificado

O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

Página VIII Network Defense Essentials Copyright © por EC-Council Todos os

Informações do exame de EQM

Detalhes do Exame de EQM

Título do exame Fundamentos de Defesa de Rede (NDE)

Código do exame 112-51

Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)

Pontuação de aprovação 70%

Página IX Network Defense Essentials Copyright © por EC-Council Todos os

Fundamentos de segurança de rede 3

Protocolos de segurança de rede 17

Módulo 02: Identificação, Autenticação e Autorização 41

Princípios, terminologias e modelos de controle de acesso 43

Conceitos de gerenciamento de identidade e acesso (IAM) 55

Módulo 03: Controles de Segurança de Rede - Controles Administrativos 71

Quadros Regulamentares, Leis e Atos 73

Projetar e desenvolver políticas de segurança 112

Realizar diferentes tipos de treinamento de segurança e conscientização 128

Módulo 04: Controles de Segurança de Rede - Controles Físicos 139

Importância da Segurança Física 141

Controles de segurança física 146

segurança no local de trabalho 175

Controles Ambientais 185

Módulo 05: Controles de Segurança de Rede - Controles Técnicos 195

Tipos de Segmentação de Rede 197

Tipos de firewalls e sua função 219

Tipos de IDS/IPS e sua função 263

Tipos de Honeypots 324

Tipos de servidores proxy e seus benefícios 333

Fundamentos da VPN e sua importância na Segurança de Redes 360

Gerenciamento de Incidentes e Eventos de Segurança (SIEM) 421

Análise de comportamento do usuário (UBA) 429

Software antivírus/antimalware 433

Módulo 06: Virtualização e Computação em Nuvem 439

Conceitos Essenciais de Virtualização e Segurança de Virtualização de SO 442

Fundamentos da Computação em Nuvem 483

Insights de segurança na nuvem e práticas recomendadas 512

Página X Network Defense Essentials Copyright © por EC-Council Todos os direitos