SEGURANÇA DA INFORMAÇÃO:

CONCEITOS BÁSICOS
Prof. Esp. Sergio Sierro
 INTRODUÇÃO
 Conjunto de processos e metodologias que são concebidos e implementados para
proteger suas informações e as informações de sua empresa.

 A segurança da informação (SI) está diretamente relacionada com proteção de um

conjunto de informações, no sentido de preservar o valor que possuem para um
indivíduo ou uma organização.

 São propriedades básicas da segurança da informação: confidencialidade,

integridade, disponibilidade, autenticidade e não-repúdio.
 INTRODUÇÃO
 A segurança da informação (SI) não está restrita somente a sistemas
computacionais, informações eletrônicas ou sistemas de armazenamento.

 O conceito se aplica a todos os aspectos de proteção de informações e dados.

 Proteção contra o uso ou acesso não-autorizado à informação.

 Proteção contra a negação do serviço a usuários autorizados, enquanto a

integridade e a confidencialidade dessa informação são preservadas.
 CIA
 A tríade CIA (Confidencialidade, Integridade e
Disponibilidade) representa os principais atributos
que, atualmente, orientam a análise, o
planejamento e a implementação da segurança para
um determinado grupo de informações que se deseja
proteger.

 Outros atributos importantes são não-repúdio

(irretratabilidade) e autenticidade.
 CONFIDENCIALIDADE
 Prevenção do vazamento de informação para usuários ou sistemas que não estão
autorizados a ter acesso a tal informação.
 Garantir que determinada informação seja disponibilizada apenas a pessoas,
entidades ou processos autorizados.

 Os principais controles para endereçar os

requisitos de confidencialidade são:
 Criptografia.
 Controle de Acesso.
 Esteganografia.
 INTEGRIDADE
 Trata da preservação/manutenção do dado na sua forma íntegra, ou seja, sem
sofrer modificações através de fontes não autorizadas.
 Os dados não podem ser modificados de maneira não autorizada ou não detectada.

 Os principais controles para endereçar os

requisitos de integridade são:
 Hashing.
 Assinaturas Digital.
 Certificados.
 DISPONIBILIDADE
 Trata da manutenção da disponibilização da informação, ou seja, a informação
precisa estar disponível quando necessário.
 Garante que sistemas, aplicativos e dados estejam disponíveis e acessíveis para
usuários autorizados quando eles precisarem.

 Os principais controles para endereçar os requisitos

de disponibilidade são:
 Redundância.
 Tolerância a falhas.
 Alta disponibilidade.
 AUTENTICIDADE
 Garante que a informação é proveniente da fonte anunciada e que não foi alvo de
mutações ao longo de um processo.
 Garantir a identidade presumida de quem está acessando os recursos ou dados.
 Confirmação de que o usuário é realmente quem afirma ser, desde quem está
emitindo a informação até quem a receberá.
 NÃO REPÚDIO ou IRRETRATABILIDADE
 Impede que o emissor negue que enviou uma mensagem (irretratabilidade de
origem) ou que o destinatário negue que a recebeu (irretratabilidade de destino).
 Garantia que o emissor ou pessoa que executou determinada transação de forma
eletrônica, não poderá negar sua autoria.
 LEGALIDADE
 Garante a legalidade (jurídica) da informação.
 É um princípio jurídico que determina que a comunicação deve seguir as leis do
país.
 Define o valor legal da comunicação em relação à legislação.
 O uso da informação deve estar de acordo com as leis aplicáveis, regulamentos,
licenças e contratos.
 HEXAGRAMA PARKERIANO
 O hexagrama Parkeriano é um conjunto de seis elementos da segurança da
informação proposto por Donn B. Parker.

 Soma mais três atributos aos três atributos

clássicos de segurança do triângulo CIA.

 Os seis elementos não se sobrepõem, ou seja,

cada elemento se refere a um aspecto único
da informação/dado.
 HEXAGRAMA PARKERIANO
 Autenticidade: verifica a veracidade quanto à alegação de origem ou autoria de um
dado documento ou informação. Pode ser feito com o uso de assinatura digital.

 Posse ou Controle: quando o dado, informação ou sistema esta na posse de quem o

controle ou utiliza. Um cartão de banco roubado pode ser usado sem o
consentimento de seu proprietário, que perdeu assim o controle e a posse sobre o
cartão.

 Utilidade: diz respeito ao proveito que o usuário pode fazer de dados, informações
ou sistemas. Um arquivo criptografado cuja chave foi perdida tem sua utilidade
comprometida.
 MECANISMOS DE SEGURANÇA
 O suporte para as recomendações de segurança pode ser encontrado em:

 Controles físicos: são barreiras que limitam o contato ou acesso direto a informação
ou a infraestrutura (que garante a existência da informação) que a suporta.

 Controles lógicos: são barreiras que impedem ou limitam o acesso a informação,

que está em ambiente controlado, geralmente eletrônico, e que, de outro modo,
ficaria exposto a alteração não autorizada por elemento mal intencionado.
 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
 As ameaças à segurança da informação são relacionadas diretamente à perda de
uma de suas três principais características, quais sejam:

 Perda de confidencialidade: há uma quebra de sigilo de uma determinada

informação, permitindo que sejam expostas informações restritas as quais
deveriam ser acessíveis apenas por um determinado grupo de usuários.
 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
 Perda de integridade: determinada informação fica exposta a manuseio por uma
pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão
sob o controle do proprietário (corporativo ou privado) da informação.

 Perda de disponibilidade: a informação deixa de estar acessível (disponível) por

quem necessita dela.
 DIRETO DO CONCURSO
Ano: 2021 Banca: INSTITUTO AOCP Órgão: ITEP - RN Prova: INSTITUTO AOCP - 2021 - ITEP - RN - Perito Criminal -
Computação
Quanto aos princípios e conceitos relacionados à segurança da informação, qual das seguintes alternativas define
o não-repúdio?
a) Garantia de que os dados estejam disponíveis e de forma ininterrupta, sem poder negar o acesso a esses
recursos para quem tiver autorização de acesso.
b) Garantia de sigilo das informações e prevenção do vazamento de dados.
c) Impunidade após a apuração dos fatos relacionados a vazamentos de dados.
d) Uma ação cometida sobre os dados não pode ser negada, ou seja, deve ser capaz de identificar com precisão a
origem ou o causador de algum evento.
e) Garantias para que administradores pertencentes ao topo da hierarquia de uma organização não possam
negar o direito ao sigilo das informações de seus clientes.
 DIRETO DO CONCURSO
Ano: 2021 Banca: INSTITUTO AOCP Órgão: ITEP - RN Prova: INSTITUTO AOCP - 2021 - ITEP - RN - Perito Criminal -
Computação
Quanto aos princípios e conceitos relacionados à segurança da informação, qual das seguintes alternativas define
o não-repúdio?
a) Garantia de que os dados estejam disponíveis e de forma ininterrupta, sem poder negar o acesso a esses
recursos para quem tiver autorização de acesso.
b) Garantia de sigilo das informações e prevenção do vazamento de dados.
c) Impunidade após a apuração dos fatos relacionados a vazamentos de dados.
d) Uma ação cometida sobre os dados não pode ser negada, ou seja, deve ser capaz de identificar com precisão
a origem ou o causador de algum evento.
e) Garantias para que administradores pertencentes ao topo da hierarquia de uma organização não possam
Comentário: O princípio do não-repúdio, também denominado de irretratabilidade, impede que o
negar o direito ao sigiloemissor
das informações de neguem
ou o receptor seus clientes.
uma mensagem transmitida. O princípio de não repúdio impede que
o autor de um documento negue a criação e a assinatura desse documento.
 DIRETO DO CONCURSO
Ano: 2021 Banca: IBFC Órgão: IBGE Prova: IBFC - 2021 - IBGE - Supervisor de Pesquisa – Tecnologia de
Informação e Comunicação
Um Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo voltado para a
Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação
empresarial e seus critérios de:
a) Veracidade, Regularidade e Integridade
b) Confidencialidade, Integridade e Disponibilidade
c) Regularidade, Integridade e Disponibilidade
d) Disponibilidade, Regularidade e Confidencialidade
e) Confidencialidade, Veracidade e Regularidade
 DIRETO DO CONCURSO
Ano: 2021 Banca: IBFC Órgão: IBGE Prova: IBFC - 2021 - IBGE - Supervisor de Pesquisa – Tecnologia de
Informação e Comunicação
Um Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo voltado para a
Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação
empresarial e seus critérios de:
a) Veracidade, Regularidade e Integridade
Comentário: O sistema de gestão da segurança da
b) Confidencialidade, Integridade e Disponibilidade informação preserva a confidencialidade, integridade e
c) Regularidade, Integridade e Disponibilidade disponibilidade da informação por meio da aplicação de um
d) Disponibilidade, Regularidade e Confidencialidade processo de gestão de riscos e fornece confiança para as
partes interessadas de que os riscos são adequadamente
e) Confidencialidade, Veracidade e Regularidade gerenciados.
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESPE / CEBRASPE Órgão: TJ-AM Prova: CESPE / CEBRASPE - 2019 - TJ-AM - Assistente
Judiciário - Programador
No que tange à segurança da informação, julgue o seguinte item.
Os princípios fundamentais da segurança da informação formam o triângulo CIA (confidentiality, integrity,
availability), ao qual o hexagrama parkeriano adiciona três atributos: posse ou controle, autenticidade e
utilidade.
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESPE / CEBRASPE Órgão: TJ-AM Prova: CESPE / CEBRASPE - 2019 - TJ-AM - Assistente
Judiciário - Programador
No que tange à segurança da informação, julgue o seguinte item.
Os princípios fundamentais da segurança da informação formam o triângulo CIA (confidentiality, integrity,
availability), ao qual o hexagrama parkeriano adiciona três atributos: posse ou controle, autenticidade e
utilidade. Comentário: Princípios fundamentais da segurança da informação:
confidencialidade, integridade, disponibilidade, autenticidade e
Certo. irretratabilidade (não repúdio).
O hexagrama Parkeriano é um conjunto de seis elementos da
segurança da informação proposto por Donn B. Parker. O hexagrama
soma mais três atributos aos três atributos clássicos de segurança do
triângulo CIA (confidencialidade, integridade e disponibilidade). Os
atributos do hexagrama Parkeriano são os seguintes:
confidencialidade, posse ou controle, integridade, autenticidade,
disponibilidade e utilidade.
 DIRETO DO CONCURSO
Ano: 2019 Banca: IDECAN Órgão: IF-PB Prova: IDECAN - 2019 - IF-PB - Técnico em Laboratório - InformáticaNo
que tange à segurança da informação, julgue o seguinte item.
Em se tratando da segurança da informação, a literatura cita confidencialidade, integridade e disponibilidade
como os três grandes pilares desta área. A respeito das definições pertencentes a esses três conceitos, analise os
itens abaixo:
I. A confidencialidade garante que as informações não serão acessadas por pessoas não autorizadas, garantindo
portanto a privacidade das informações.
II. A disponibilidade está relacionada à acessibilidade dos dados. Quando a disponibilidade é garantida estamos
permitindo que a informação seja consultada a qualquer momento por parte dos usuários.
III. A integridade está relacionada com a qualidade da informação. Se os dados não são corrompidos ou perdidos,
então não são comprometidos, logo permanecem íntegros.
 DIRETO DO CONCURSO
Ano: 2019 Banca: IDECAN Órgão: IF-PB Prova: IDECAN - 2019 - IF-PB - Técnico em Laboratório - InformáticaNo
que tange à segurança da informação, julgue o seguinte item.
Assinale:
a) se somente o item I estiver correto.
b) se somente os itens I e II estiverem corretos.
c) se somente os itens I e III estiverem corretos.
d) se somente o item III estiver correto.
e) se todos os itens estiverem corretos.
 DIRETO DO CONCURSO
Ano: 2019 Banca: IDECAN Órgão: IF-PB Prova: IDECAN - 2019 - IF-PB - Técnico em Laboratório - InformáticaNo
que tange à segurança da informação, julgue o seguinte item.
Assinale:
a) se somente o item I estiver correto.
b) se somente os itens I e II estiverem corretos.
c) se somente os itens I e III estiverem corretos.
d) se somente o item III estiver correto.
e) se todos os itens estiverem corretos.

Comentário: Confidencialidade: a informação deve ser acessada e utilizada exclusivamente pelos que necessitam dela
para a realização de suas atividades profissionais na organização.
Disponibilidade: a informação deve estar acessível para o funcionamento da organização e para o alcance de seus
objetivos e missão.
Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FCC Órgão: SEGEP-MA Prova: FCC - 2018 - SEGEP-MA - Analista Executivo - Programador de
Sistemas
A segurança da informação considera alguns atributos básicos como: confidencialidade, integridade,
disponibilidade, autenticidade e irretratabilidade. O mecanismo de segurança da informação que tem o objetivo
de garantir a confidencialidade é
a) a assinatura digital.
b) o certificado digital.
c) a função hash.
d) o Token criptográfico.
e) a criptografia.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FCC Órgão: SEGEP-MA Prova: FCC - 2018 - SEGEP-MA - Analista Executivo - Programador de
Sistemas
A segurança da informação considera alguns atributos básicos como: confidencialidade, integridade,
disponibilidade, autenticidade e irretratabilidade. O mecanismo de segurança da informação que tem o objetivo
de garantir a confidencialidade é
a) a assinatura digital. Comentário: A criptografia é o nome que se dá a técnicas que transformam informação
b) o certificado digital. inteligível em algo que um agente externo seja incapaz de compreender. De forma mais
simples, a criptografia funciona como códigos: sem ela, um criminoso poderia interceptar a
c) a função hash. sua senha de e-mail durante o login. Com a criptografia, caso ele intercepte seu acesso, mas
d) o Token criptográfico. não tenha a chave correta, verá apenas uma lista desordenada e aparentemente confusa de
e) a criptografia. caracteres, que não leva a lugar nenhum.
A criptografia é um método de proteção e privacidade de dados muito importante e cada vez
mais presente. Do ponto de vista prático para quem usa Internet e dispositivos que oferecem
proteção criptográfica, há tipos ou termos, que é preciso conhecer: criptografia simétrica e
assimétrica (ou de ponta a ponta).
SEGURANÇA DE PERÍMETRO

Prof. Esp. Sergio Sierro

 SEGURANÇA DE PERÍMETRO
 O perímetro significa limite externo e geralmente é a linha de propriedade e a
primeira linha de defesa contra acesso não autorizado.

 A segurança do perímetro vem de um sistema multiuso integrado que detecta

ameaças, realiza vigilância e analisa padrões de ataque.

 Atua como a primeira linha de defesa de uma rede contra ataques e ameaças.

 A possibilidade de entrada não autorizada não pode ser totalmente eliminada.

SEGURANÇA DE PERÍMETRO
 SEGURANÇA FÍSICA E SEGURANÇA LÓGICA
 A segurança física é caracterizada pelo uso de barreiras físicas que se apresentam
como um obstáculo a progressão física de um indivíduo.

 A segurança lógica é o conjunto de recursos executados para proteger o sistema,

dados e programas contra tentativas de acessos não autorizados.

 Proteção contra ataques e proteção de sistemas contra erros não intencionais,

como remoção acidental de importantes arquivos de sistema ou aplicação.

 Métodos para evitar o acesso de pessoas não autorizadas.

 DMZ
 É uma sub-rede física ou lógica que contém e expõe
serviços de uma organização a uma rede maior e não
confiável, normalmente a Internet.

 Quaisquer dispositivos situados nesta área, isto é, entre

a rede confiável (geralmente a rede privada local) e a
rede não confiável (geralmente a Internet), está na
zona desmilitarizada.

 A segurança de perímetro é proporcionada por um

dispositivo de perímetro.
 FIREWALL
 É um sistema de segurança de rede de computadores que restringe o tráfego da
Internet para/de uma rede privada.

 Funciona bloqueando ou permitindo pacotes de dados seletivamente.

 TIPOS DE FIREWALL
 Filtro de pacotes: uma pequena quantidade de dados é analisada e distribuída de
acordo com os padrões do filtro. Suas decisões são baseadas no endereço IP
(Internet Protocol) do pacote e no número de porta.

 Proxy firewall: sistema de segurança de rede que protege enquanto filtra

mensagens na camada de aplicação. Age como um intermediário entre clientes e
servidores, fazendo pedidos no lugar dos clientes e devolvendo respostas no lugar do
servidor.

 Inspeção de estado: filtragem dinâmica de pacotes que monitora as conexões ativas

para determinar quais pacotes de rede permitir.
 IDS e IPS
 IDS (Sistemas de Detecção de Invasão): analisa e monitora o tráfego da rede em
busca de sinais indicando que invasores estão usando uma ameaça conhecida para
se infiltrar e roubar dados da rede. Comparam a atividade da rede atual a um banco
de dados de ameaças conhecidas para detectar vários tipos de comportamento,
como violações de políticas de segurança, malware e verificações de portas.

 IPS (Sistemas de Prevenção de Intrusões): vivem na mesma área da rede que um

firewall, entre o mundo externo e a rede interna. Nega proativamente o tráfego de
rede com base em um perfil de segurança, se esse pacote representar uma ameaça
de segurança conhecida.
 CONTROLE DE ACESSO
 Habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva,
como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um
indivíduo ou um processo).

 Composto dos processos de autenticação, autorização e auditoria.

 A autenticação identifica quem acessa o sistema.
 A autorização determina o que um usuário autenticado pode fazer.
 A auditoria diz o que o usuário fez.
 SENHAS DE ACESSO
 A senha (password) para acesso, faz parte dos mecanismos de autenticação.

 Existem três grupos básicos de mecanismos de autenticação:

 Aquilo que apenas você sabe (como perguntas de segurança e suas senhas).
 Aquilo que apenas você possui (como seu cartão de senhas bancárias e um token gerador
de senhas).
 Aquilo que você é (informações biométricas, como a sua impressão digital, a palma da
sua mão, a sua voz e o seu olho).
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: COMPESA Prova: FGV - 2018 - COMPESA - Analista de Gestão - Analista de
Tecnologia da Informação
O perímetro de segurança da técnica de defesa em profundidade visa a aumentar a segurança da borda da rede.
O componente do perímetro que visa a intermediar as mensagens de nível de aplicação entre clientes internos e
servidores externos, para impor a política de segurança da empresa, é o
a) Gateway VPN.
b) Firewall de Estado.
c) Firewall Proxy.
d) IDS.
e) DMZ.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: COMPESA Prova: FGV - 2018 - COMPESA - Analista de Gestão - Analista de
Tecnologia da Informação
O perímetro de segurança da técnica de defesa em profundidade visa a aumentar a segurança da borda da rede.
O componente do perímetro que visa a intermediar as mensagens de nível de aplicação entre clientes internos e
servidores externos, para impor a política de segurança da empresa, é o
a) Gateway VPN.
b) Firewall de Estado.
c) Firewall Proxy.
Comentário: O firewall proxy que permite a organização filtrar o que o usuário interno pode
d) IDS. acessar. Portanto, é possível bloquear endereços e portais com conteúdo malicioso ou ofensivo.
e) DMZ.
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESGRANRIO Órgão: UNIRIO Prova: CESGRANRIO - 2019 - UNIRIO - Técnico em Tecnologia da
Informação
Uma empresa utiliza a técnica de defesa em profundidade e tem um perímetro de segurança composto por
elementos independentes que visam a proteger a rede interna.
Diante de um ataque provocado por um verme (worm) que produz uma inundação, o componente do perímetro
capaz de alertar os administradores da rede sobre esse ataque é a(o)
a) DMZ
b) IDS
c) Firewall Proxy
d) Firewall com estado
e) Firewall sem estado
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESGRANRIO Órgão: UNIRIO Prova: CESGRANRIO - 2019 - UNIRIO - Técnico em Tecnologia da
Informação
Uma empresa utiliza a técnica de defesa em profundidade e tem um perímetro de segurança composto por
elementos independentes que visam a proteger a rede interna.
Diante de um ataque provocado por um verme (worm) que produz uma inundação, o componente do perímetro
capaz de alertar os administradores da rede sobre esse ataque é a(o)
a) DMZ
b) IDS Comentário: Sistemas de Detecção de Invasão (IDS): analisa e monitora o tráfego da rede
em busca de sinais indicando que invasores estão usando uma ameaça conhecida para se
c) Firewall Proxy
infiltrar e roubar dados da rede. Os sistemas IDS comparam a atividade da rede atual a
d) Firewall com estado um banco de dados de ameaças conhecida para detectar vários tipos de comportamento,
e) Firewall sem estado como violações de políticas de segurança, malware e verificações de portas.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6:
Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação
Entre as diretrizes para a implementação da segurança de perímetro, utilizada para proteger instalações de
processamento de informação, inclui-se
a) implantar uma área de recepção para controlar o acesso físico.
b) fazer a manutenção de equipamentos em intervalos recomendados pelos fabricantes.
c) segregar cabeamento de comunicação de dados do cabeamento de energia.
d) manter os equipamentos de telecomunicação em conformidade com a especificação de fabricantes.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: APEX Brasil Prova: CESPE / CEBRASPE - 2022 - APEX Brasil - Perfil 6:
Tecnologia da Informação e Comunicação (TIC) - Especialidade: Segurança da Informação
Entre as diretrizes para a implementação da segurança de perímetro, utilizada para proteger instalações de
processamento de informação, inclui-se
a) implantar uma área de recepção para controlar
Comentário: o acesso
A segurança físico. é o nível de proteção mais externo, em analogia
de perímetro
seria as cercas
b) fazer a manutenção de equipamentos ou muros de
em intervalos casas. São barreiras
recomendados que restringem o acesso e limitam as
pelos fabricantes.
fronteiras de um ambiente protegido.
c) segregar cabeamento de comunicação de dados do cabeamento de energia.
d) manter os equipamentos de telecomunicação em conformidade com a especificação de fabricantes.
A) Correto, a segurança de perímetro, assim como as certas, possuem portas/ portões/
portarias de acesso, onde os usuários são recepcionados e autenticados para entrar no
ambiente restrito.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Petrobras Prova: CESPE / CEBRASPE - 2022 - Petrobras - Analista de
Sistemas – Infraestrutura
Com relação à segurança física e lógica e à operação de segurança da informação, julgue o item a seguir.
A proteção de perímetro é usada para dissuadir invasões e para possibilitar que as pessoas utilizem entradas
controladas para entrar em uma instalação.
 DIRETO DO CONCURSO
Ano: 2022 Banca: CESPE / CEBRASPE Órgão: Petrobras Prova: CESPE / CEBRASPE - 2022 - Petrobras - Analista de
Sistemas – Infraestrutura
Com relação à segurança física e lógica e à operação de segurança da informação, julgue o item a seguir.
A proteção de perímetro é usada para dissuadir invasões e para possibilitar que as pessoas utilizem entradas
controladas para entrar em uma instalação.
Comentário: Controlar o acesso em determinados locais é de fundamental importância, pois é
Certo. necessário saber quem entrou, que horas entrou, que horas saiu. Isso só é possível se houver
uma entrada controlada, isso vale para quem mora em condomínios, por exemplo.
Na segurança da informação isso funciona da mesma forma. Portanto, é necessário termos um
controle de acesso físico e para que isso seja possível fazer uma proteção de perímetro é
necessário. A empresa estabelece um perímetro de segurança, define um local de entrada para
que seja mais facilmente controlada e boas.
 DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP - 2018 - UFOB - Técnico de Tecnologia
da Informação
Para alguns especialistas, a informação é considerada o ativo mais valioso das organizações. A segurança física e
lógica, no que diz respeito à proteção das informações, é preocupação dos profissionais da Segurança da
Informação. Sobre esse assunto, julgue o item a seguir.
O firewall é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de
computadores de uma organização, ou seja, entre a rede local e a Internet.
 DIRETO DO CONCURSO
Ano: 2018 Banca: INSTITUTO AOCP Órgão: UFOB Prova: INSTITUTO AOCP - 2018 - UFOB - Técnico de Tecnologia
da Informação
Para alguns especialistas, a informação é considerada o ativo mais valioso das organizações. A segurança física e
lógica, no que diz respeito à proteção das informações, é preocupação dos profissionais da Segurança da
Informação. Sobre esse assunto, julgue o item a seguir.
O firewall é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de
computadores de uma organização, ou seja, entre a rede local e a Internet.

Errado. Comentário: O firewall não faz detecção de intrusão, mas permite ou nega a entrada ou saída de
pacotes de acordo com as regras configuradas. O IDS (Intrusion Detection System) é o sistema de
detecção de intrusão.
 FIREWALL:
CONCEITOS BÁSICOS
Prof. Esp. Sergio Sierro
 INTRODUÇÃO
 Firewall é uma solução de segurança baseada em hardware ou software.
 Implementa uma política de controle de acesso, bloqueando ou permitindo
operações de transmissão ou recepção de dados (tráfego de pacotes).
 Posicionado na frontreira entre duas redes, geralmente uma rede local (LAN) e a
Internet (WAN).
 Inspenciona todos os pacotes que passarem pela extremidade da rede.
 CARACTERÍSTICAS
 Pelo firewall devem passar todos os pacotes que chegam ou saem de uma rede.
 Somente o tráfego autorizado na política de segurança da organização será
encaminhado.

 O firewall deve prover ferramentas para registro e monitoramento do tráfego, como

logs e envios de alertas.

 O firewall também é adequado para:

 Implementação de serviços como NAT e VPN.
 Realização de auditorias.
 Geração de estatísticas do uso da rede.
 FILTRAGEM DE PACOTES
 Os cabeçalhos de todos os pacotes passando pelo firewall são inspecionados.
 É tomada uma decisão explícita para permitir ou bloquear cada pacote.

 Conjunto de regras ou políticas utilizado para analisar e filtrar pacotes enviados por
redes distintas de comunicação.
 Bloqueio ou liberação da passagem de pacotes de dados de maneira seletiva.

 Em sistemas Linux, por exemplo, a filtragem de pacotes é implementada

diretamente no kernel (netfilter/iptables). Os critérios mais utilizados são os
endereços IP e portas TCP/UDP de origem e destino.
 NETWORK ADDRESS TRANSLATION (NAT)
 É um processo de mapeamento de um endereço de protocolo da Internet (IP) para
outro, alterando o cabeçalho dos pacotes IP enquanto estão em trânsito por meio
de um gateway ou firewall.

 Conversão de endereços privados para endereços públicos:

 As máquinas internas utilizam endereços privados.
 Os endereços IP privados (como 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) não são
roteados na Internet

 Esconde a topologia interna da rede:

 Isola as máquinas da rede interna.
 ESTRATÉGIAS GERAIS
 Allow-all strategy (permite tudo):
 Permite todos pacotes, com exceção dos que estão explicitamente proibidos.
 Será necessário listar e criar regras para bloquear tráfegos específicos.
 Modo permissivo.

 Deny-all strategy (Negar tudo):

 Bloqueia todos pacotes, com exceção dos que estão explicitamente permitidos.
 Nenhum tráfego é permitido, exceto pelos protocolos e serviços pré-definidos.
 Modo restritivo.
 FIREWALL:
ARQUITETURA
Prof. Esp. Sergio Sierro
 DUAL-HOMED HOST
 Existe um host chamado dual-homed host que fica entre uma rede interna e a rede
externa.
 Possui ao menos duas interfaces de rede, uma para cada rede.
 Grande controle do tráfego.
 Qualquer problema, coloca em risco a segurança da rede ou mesmo paralisar o tráfego.
 Bastante utilizado para firewall proxy.

 Não há outro caminho de comunicação, todo o tráfego passa por este firewall, não
havendo acesso da rede interna para a rede externa (e vice-versa).
DUAL-HOMED HOST
 SCREENED HOST
 Ao invés de existir um único host intermediando rede interna e rede externa, existem
dois hosts:
 Roteador (screening router).
 Bastion host.

 Temos uma sub-rede de segurança entre rede interna e rede externa. Existe apenas
um screening router e um bastion host situado junto à rede interna.

 O screening router trabalha efetuando filtragem de pacotes, sendo os filtros

configurados para redirecionar o tráfego ao bastion host.
 Deve impedir a comunicação direta entre um servidor externo e um host interno.
SCREENED HOST
 BASTION HOST
 Atua entre o roteador e a rede interna, não permitindo comunicação direta entre
ambos os lados.

 Atua como servidores proxy para vários serviços executando software de servidor
proxy especializado ou servidores padrão para protocolos de proxy automático,
como o Simple Mail Transfer Protocol (SMTP).

 Pode decidir se determinadas conexões devem ser permitidas ou não, mesmo que
tenham passado pelos filtros do roteador.
 SCREENED SUBNET
 Refere-se ao uso de um ou mais roteadores lógicos de triagem (screening router)
como um firewall, para definir três sub-redes (subnet) separadas.

 Roteador externo – separa a rede externa de uma rede de perímetro.

 Roteador interno – separa a rede de perímetro da rede interna.

 A rede de perímetro ou zona desmilitarizada (DMZ), hospeda os servidores (bastion

host) que podem ser acessados ​e têm acesso a redes internas e externas.
SCREENED SUBNET
SCREENED SUBNET
 DMZ
 A DMZ não permite a comunicação direta entre rede interna e rede externa, sendo
feita através do bastion host.

 Nenhum tráfego interno, que pode ser sensível, proprietário ou crítico para os
negócios, passa pela rede de perímetro, protegendo esse tráfego de invasores,
mesmo que o host bastion esteja comprometido.

 Um cliente externo pode acessar apenas o que está exposto na DMZ, enquanto o
restante da rede da organização é protegido por firewall.
 FIREWALL:
TIPOS DE FIREWALL I
Prof. Esp. Sergio Sierro
 FIREWALL PESSOAL
 Destinado ao uso apenas em um computador:
 Pré-instalado em máquinas Windows e Mac ou com algum software antivírus.

 Funciona de forma semelhante a um firewall de servidor – permitindo ou rejeitando

conexões de outros dispositivos, aplicações e endereços IPs, com base em um
conjunto de regras pré-definidas.
FIREWALL PESSOAL
FIREWALL PESSOAL
 FIREWALL DE HARDWARE
 Equipamento que contém apenas esse software de segurança rodando.

 Equipamentos dedicados a efetuarem as regras de firewall.

 Acompanha a aquisição de licenças de software muito custosas, além de

dependerem do usuário final para aplicar atualizações e patches, essa versão é
mais indicada para médias e grandes companhias.

 Os roteadores domésticos também podem funcionar como firewall, agindo

diretamente sobre os computadores que estão conectados com a rede.
 FIREWALL PROXY
 Um firewall proxy é um sistema de segurança de rede que protege os recursos da
rede filtrando mensagens na camada de aplicação. Um firewall proxy também é
chamado de firewall de aplicação ou gateway de aplicação.

 Um firewall proxy atua como um gateway entre usuários internos e a Internet,

para diversos fins como, anonimato, cache, filtro de navegação.
 FIREWALL PROXY
 O firewall proxy filtra o tráfego na camada do aplicativo, camada 7 do modelo OSI
(Open Systems Interconnection).

 O proxy tem seu próprio endereço IP para que uma conexão de rede externa nunca
receber pacotes diretamente da rede de envio.

 Atuam como uma barreira entre usuários autorizados e usuários não autorizados.

 O firewall proxy também são usados para restringir o acesso a sites confidenciais
ou sites relevantes apenas para usuários específicos.
FIREWALL PROXY
 FIREWALL PROXY
 Um proxy de aplicação gera novamente um pacote através de um pacote que foi
permitido. Constrói um novo pacote e envia do firewall para o servidor da internet
(ou pro computador remoto, dependendo do sentido).

 O proxy de aplicação mantém duas conexões separadas.

 Uma conexão é entre o computador da rede interna com o firewall.
 A outra é do firewall com o servidor de internet.
 FIREWALL PACKET FILTERING
 Toma as decisões baseadas nos parâmetros do pacote.
 Pode negar o pacote (DROP) ou deixar o pacote passar (ACCEPT).
 O iptables é um excelente firewall que se encaixa nesta categoria.

 Ao final do conjunto de regras será aplicada uma ação (política) padrão: descartar
ou encaminhar.
 Em um firewall cuja política padrão é descartar, as regras devem ser de liberação, pois
tudo que não for permitido estará proibido.
 Em um firewall cuja política padrão é encaminhar, as regras devem ser de bloqueio, pois
tudo que não for proibido será permitido.
 FIREWALL PACKET FILTERING
 Aplica sequencialmente uma série de regras de filtragem aos pacotes e então
encaminha ou descarta.

 As regras são baseadas nas informações contidas nos cabeçalhos dos pacotes:
 Endereço IP de origem.
 Endereço IP de destino.
 Interface de rede.
 Protocolos (TCP, UDP, ICMP, …).
FIREWALL PACKET FILTERING
 FIREWALL PACKET FILTERING
 A maioria dos filtros de pacotes de IP não têm registo, o que significa que não têm
memória dos pacotes que foram processadores anteriormente.

 Um filtro de pacotes com estado pode armazenar algumas informações sobre o

tráfego anterior, o que permite ao utilizador configurar que apenas respostas a
pedidos da rede interna são permitidos da Internet.

 Os filtros de pacotes sem registo são vulneráveis a spoofing, porque o endereço de

IP de origem e o bit ACK no cabeçalho do pacote podem ser facilmente forjados.
 FIREWALL STATELESS
 O firewall sem estado depende de regras predeterminadas nas listas de controle de
acesso (ACL) para tomar decisões sobre pacotes individuais.

 Inspecionam o cabeçalho do pacote para obter informações, incluindo endereços IP

de origem e destino, número da porta e tipo de tráfego estático.

 Se o pacote de dados estiver em conformidade com as regras, ele será considerado

“seguro” e poderá passar.

 Os filtros de pacotes simples também são chamados de firewall stateless.

 FIREWALL:
TIPOS DE FIREWALL II
Prof. Esp. Sergio Sierro
 FIREWALL STATEFUL INSPECTION
 Um firewall com estado é um tipo de firewall que acompanha e monitora o estado
das conexões de rede ativas enquanto analisa o tráfego de entrada e procura
possíveis riscos de tráfego e dados.

 Está situado nas camadas 3 e 4 (camada de Rede e Transporte) do modelo Open

Systems Interconnection (OSI).

 Monitora o estado e o contexto das comunicações de rede, essas informações

podem ser usadas para identificar ameaças – com base em sua origem, para onde
estão indo ou no conteúdo de seus pacotes de dados.
 FIREWALL STATEFUL INSPECTION
 O estado é o status mais recente ou imediato de um processo ou aplicativo.
 O estado das conexões é armazenado, fornecendo uma lista de conexões com as quais
comparar a conexão que um usuário está tentando fazer.
 Verificar quais estados são seguros e quais representam ameaças.

 O contexto refere-se a endereços IP, pacotes e outros tipos de dados que podem
ser usados ​para fornecer evidências de padrões repetidos.
 No contexto de uma conexão, um firewall com estado pode examinar o conteúdo dos
pacotes de dados que passaram pelo firewall e entraram na rede.
 FIREWALL STATEFUL INSPECTION
 Um firewall stateful inspection (ou firewall de inspeção de estado) coleta dados
sobre todas as conexões feitas.
 Todos esses pontos de dados formam perfis de conexões “seguras”.
 Quando uma conexão subsequente é tentada, é verificada em relação à lista de atributos
coletados.
 Se tiver as qualidades de uma conexão segura, é permitido.
 Caso contrário, os pacotes são descartados.

 A comunicação bidirecional é implícita, de forma que não há necessidade de se

escrever regras de filtragem para cada um dos sentidos.
FIREWALL STATEFUL INSPECTION
 STATEFUL PACKET INSPECTION
 A inspeção de pacotes com estado é uma tecnologia usada para determinar quais
pacotes são permitidos que passem pelo firewall.
 Examina o conteúdo de um pacote de dados e compara com os dados pertencentes a
pacotes que passaram previamente.

 A filtragem de pacotes com estado monitora todas as conexões na rede,

certificando que sejam legítimas.
 A filtragem de pacotes estáticos também examina as conexões de rede, mas apenas
quando elas chegam, focado nos dados dos cabeçalhos dos pacotes.
 TRANSPORT CONTROL PROTOCOL (TCP)
 O TCP é um protocolo usado para enviar e receber dados.
 Orientado a conexões.
 Garante que nenhum pacote esteja faltando e todos os dados enviados chegam ao
destinatário pretendido.
 Envia pacotes em ordem para que possam ser reagrupados facilmente.

 Os firewalls com estado usam o tráfego TCP para acompanhar as conexões

examinando o conteúdo dos pacotes criados no processo TCP.
 TRANSPORT CONTROL PROTOCOL (TCP)
 Os três estágios de uma conexão TCP:
 Sincronização (SYN).
 Sincronização-reconhecimento (SYN-ACK).
 Reconhecimento (ACK).

 Usados ​por um firewall de inspeção de estado para identificar as partes envolvidas

com o objetivo de detectar uma ameaça potencial.
 Se os sinais de um mau ator forem revelados durante o handshake TCP, o firewall
com estado poderá descartar os dados.
 USER DATAGRAM PROTOCOL (UDP)
 UDP é um protocolo sem conexão.
 O firewall não pode contar com os tipos de sinalizadores de estado inerentes ao TCP.

 Usa informações de contexto, como endereços IP e números de porta, juntamente

com outros tipos de dados.
 FIREWALL UTM
 Unified Threat Manager (UTM) significa Gerenciamento Unificado de Ameaças.
 O firewall UTM é uma plataforma integrada que contém diversas soluções de segurança.
 O UTM geralmente se refere a um firewall com uma mistura de outras funções de
segurança, como antivírus e até proteção anti-spam.
 FIREWALL NEXT GENERATION
 Um firewall de próxima geração (NGFW) é uma parte da terceira geração da
tecnologia de firewall.
 Inclui funções típicas de firewalls tradicionais, como filtragem de pacotes, NAT, inspeção
de estado e suporte a rede privada virtual (VPN).
 Combina um firewall tradicional com outras funções de filtragem de dispositivos de rede,
como inspeção profunda de pacotes (DPI), sistema de prevenção de intrusão (IPS)
sistema de detecção de intrusão (IDS).

 Outras técnicas também podem ser empregadas, como inspeção de tráfego

criptografado TLS/SSL, filtragem de sites, QoS, inspeção antivírus e integração de
gerenciamento de identidade de terceiros (LDAP, RADIUS, Active Directory).
 FIREWALL NEXT GENERATION
 Os recursos de um NGFW incluem:
 Deep Packet Inspection (DPI).
 Application Visibility and Control (AVC).
 Webfilter (Filtragem de URL).
 Inspeção SSL / HTTPS.
 Antivírus.
 SD-WAN e controle dinâmico de banda.
 Intrusion Detection System (IDS) e Intrusion Prevention System (IPS).
 Controle integrado de autenticação (Single sign-on).
 VPN SSL – OpenVPN e IPSEC.
FIREWALL NEXT GENERATION
 FIREWALL:
QUESTÕES DE CONCURSOS
Prof. Esp. Sergio Sierro
 DIRETO DO CONCURSO
Ano: 2021 Banca: Quadrix Órgão: CFT Prova: Quadrix - 2021 - CFT - Assistente de Tecnologia da Informação I
A respeito dos conceitos de proteção e segurança, julgue o item.
O firewall é um programa muito eficiente no combate aos vírus em computadores locais. Contudo, ele possui
algumas limitações, como, por exemplo, o fato de não conseguir vigiar o tráfego das portas dos protocolos e de
não conseguir detectar tentativas de intrusão, no sistema do usuário, por um computador remoto.
 DIRETO DO CONCURSO
Ano: 2021 Banca: Quadrix Órgão: CFT Prova: Quadrix - 2021 - CFT - Assistente de Tecnologia da Informação I
A respeito dos conceitos de proteção e segurança, julgue o item.
O firewall é um programa muito eficiente no combate aos vírus em computadores locais. Contudo, ele possui
algumas limitações, como, por exemplo, o fato de não conseguir vigiar o tráfego das portas dos protocolos e de
não conseguir detectar tentativas de intrusão, no sistema do usuário, por um computador remoto.

Errado
Comentário: A questão aborda o conceito de equipamentos de segurança da
informação, especificamente sobre o firewall. Esse dispositivo ou software é usado para
fazer a filtragem de requisições maliciosas e pacotes para proteger a rede da
organização. Ele funciona como um porteiro que impede a entrada de IP's maliciosos ou
com padrões suspeitos.
Com base nisso, o firewall pode usar listas negras ou brancas para fazer um filtro de
restrição de dados. Além disso, os firewalls podem ir além do simples filtro de pacotes
para analisar os conteúdos deles.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico -
Tecnologia e Informação
Julgue o próximo item, com relação aos firewalls e aos sistemas de detecção de intrusos (IDS, em inglês) na
segurança de sistemas.
Em uma organização com muitos usuários que precisem acessar diferentes serviços em inúmeros locais na
Internet, como em uma escola, a política padrão descartar é a mais recomendada para a configuração do firewall
da instituição para a rede de pesquisa acadêmica.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico -
Tecnologia e Informação
Julgue o próximo item, com relação aos firewalls e aos sistemas de detecção de intrusos (IDS, em inglês) na
segurança de sistemas.
Em uma organização com muitos usuários que precisem acessar diferentes serviços em inúmeros locais na
Internet, como em uma escola, a política padrão descartar é a mais recomendada para a configuração do firewall
da instituição para a rede de pesquisa acadêmica.

Comentário: A política padrão de configuração do firewall descartar significa que aquilo

Errado que não é expressamente permitido é proibido. Essa política diminui a facilidade de uso
pelos usuários finais, pois eles verão o firewall como um estorvo, apesar de aumentar a
segurança da rede. Na política padrão permitir, aquilo que não está previamente
proibido é permitido. Essa política pode ser usada por organizações em geral mais
abertas, como as escolas.
 DIRETO DO CONCURSO
Ano: 2018 Banca: Quadrix Órgão: CRO-MT Prova: Quadrix - 2018 - CRO-MT - Assistente Administrativo - Técnico
em Informática
Julgue o item seguinte quanto aos firewalls e ao IDS (Intrusion Detection System).
Os firewalls de filtro de pacotes são os mais eficientes, pois conseguem até mesmo bloquear comandos de
aplicação específicos.
 DIRETO DO CONCURSO
Ano: 2018 Banca: Quadrix Órgão: CRO-MT Prova: Quadrix - 2018 - CRO-MT - Assistente Administrativo - Técnico
em Informática
Julgue o item seguinte quanto aos firewalls e ao IDS (Intrusion Detection System).
Os firewalls de filtro de pacotes são os mais eficientes, pois conseguem até mesmo bloquear comandos de
aplicação específicos.

Errado Comentário: Os firewalls filtro de pacotes realizam as decisões de filtragem com base nas
informações do cabeçalho dos pacotes. Não conseguem bloquear comandos de aplicação
específicos, uma vez que não verificam o conteúdo do pacote.
O proxy firewall consegue bloquear comandos de aplicação específicos (ou gateways de
aplicação). Conseguem analisar comandos da aplicação no conteúdo dos pacotes de
dados, não se limitando somente ao cabeçalho como os filtros. Permitem criar logs do
tráfego e de atividades específicas.
 DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: METRÔ-SP Prova: FCC - 2019 - METRÔ-SP - Analista Desenvolvimento Gestão Júnior
– Ciências da Computação
Considere. Arquitetura de firewall que examina os fluxos de tráfego de ponta a ponta na rede. Rápido, usa uma
maneira inteligente de evitar o tráfego não autorizado, analisando os cabeçalhos dos pacotes e inspecionando o
estado de cada um. É configurado para distinguir pacotes legítimos para diferentes tipos de conexões. Somente
os pacotes que combinam a conexão ativa conhecida podem passar pelo firewall. É mais seguro que modelos
básicos de filtragem de pacotes. Trata-se de
a) packet widerange block.
b) stateful packet inspection.
c) screening router
d) proxy service.
e) screening filter.
 DIRETO DO CONCURSO
Ano: 2019 Banca: FCC Órgão: METRÔ-SP Prova: FCC - 2019 - METRÔ-SP - Analista Desenvolvimento Gestão Júnior
– Ciências da Computação
Considere. Arquitetura de firewall que examina os fluxos de tráfego de ponta a ponta na rede. Rápido, usa uma
maneira inteligente de evitar o tráfego não autorizado, analisando os cabeçalhos dos pacotes e inspecionando o
estado de cada um. É configurado para distinguir pacotes legítimos para diferentes tipos de conexões. Somente
os pacotes que combinam a conexão ativa conhecida podem passar pelo firewall. É mais seguro que modelos
básicos de filtragem de pacotes. Trata-se de
a) packet widerange block.
b) stateful packet inspection.
Comentário: Stateful firewall é um firewall de rede que rastreia o estado operacional e as
c) screening router características das conexões de rede que o atravessam. O firewall está configurado para
d) proxy service. distinguir pacotes legítimos para diferentes tipos de conexões. Somente os pacotes que
combinam a conexão ativa conhecida podem passar pelo firewall.
e) screening filter.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: AL-RO Prova: FGV - 2018 - AL-RO - Analista Legislativo - Infraestrutura de Redes e
Comunicação
A arquitetura de firewall mais adequada para criar uma rede de perímetro denominado de zona desmilitarizada
ou DMZ, é
a) Dual-Homed host.
b) Screened host.
c) Bastion host.
d) Screened subnet.
e) Screening router.
 DIRETO DO CONCURSO
Ano: 2018 Banca: FGV Órgão: AL-RO Prova: FGV - 2018 - AL-RO - Analista Legislativo - Infraestrutura de Redes e
Comunicação
A arquitetura de firewall mais adequada para criar uma rede de perímetro denominado de zona desmilitarizada
ou DMZ, é
a) Dual-Homed host.
Comentário: A arquitetura Screened Subnet também conta com a figura do bastion host,
b) Screened host. mas este fica dentro de uma área isolada de nome interessante: a DMZ, sigla para
c) Bastion host. Demilitarized Zone – Zona Desmilitarizada.
d) Screened subnet. A DMZ, por sua vez, fica entre a rede interna e a rede externa. Acontece que, entre a rede
interna e a DMZ há um roteador que normalmente trabalha com filtros de pacotes. Além
e) Screening router. disso, entre a DMZ e a rede externa há outro roteador do tipo.
Note que esta arquitetura se mostra bastante segura, uma vez que, caso o invasor passe
pela primeiro roteador, terá ainda que lidar com a zona desmilitarizada. Esta inclusive
pode ser configurada de diversas formas, com a implementação de proxies ou com a
adição de mais bastion hosts para lidar com requisições específicas, por exemplo.
 IDS e IPS

Prof. Esp. Sergio Sierro

 SISTEMA DE DETECÇÃO DE INTRUSÃO (IDS)
 Sistema de monitoramento. Se restringe a detectar tentativas de intrusão, registrar
e enviar ao administrador da rede.
 Não altera os pacotes de rede.

 Analisa e monitora o tráfego da rede em busca de sinais indicando que invasores

estão usando uma ameaça conhecida para se infiltrar e roubar dados da rede.

 Compara a atividade da rede atual a um banco de dados de ameaças conhecidas

para detectar vários tipos de comportamento, como violações de políticas de
segurança, malware e verificações de portas.
 SISTEMA DE PREVENÇÃO DE INTRUSÃO (IPS)
 Sistema de controle. Utilizado para detectar e bloquear o tráfego malicioso.

 Um IPS é um dispositivo ativo e em tempo real, ao contrário de um IDS, que não é

em linha e é um dispositivo passivo.

 Impede que o pacote seja entregue com base em seu conteúdo. Executa ações para
interromper o ataque e evitar ataques futuros.

 Nega proativamente o tráfego de rede com base em um perfil de segurança, se

esse pacote representar uma ameaça de segurança conhecida.
 TIPOS DE IDS
 Sistemas de Detecção de Intrusão Baseado em Host (HIDS):
 O IDS é instalado em cada máquina monitorada, para analisar os eventos gravados nos
arquivos de log, ou pelos agentes de auditoria.
 TIPOS DE IDS
 Sistemas de Detecção de Intrusão Baseado em Rede (NIDS):
 Ao invés de monitorar um único computador, monitora a rede como um todo. Analisa e
relata o tráfego de rede de entrada.
 Realiza a captura e análise dos cabeçalhos e conteúdos dos pacotes, os quais são
comparados com padrões ou assinaturas conhecidas.
 TIPOS DE IDS
 Sistemas de Detecção de Intrusão Baseado em Rede (NIDS):
 O desempenho da rede não é afetado.
 A detecção e identificação dos ataques é feita em tempo real, facilitando tomadas de
decisões imediatas.
 Eficácia na detecção de port scan.
 Não se restringe a somente detectar ataques, mas também às tentativas de ataque não
concretizadas.
 TIPOS DE IPS
 Sistema de Prevenção de Intrusão Baseado em Host (HIPS):
 As verificações são em cima da máquina onde se encontra instalado, porém, além de
detectar o ataque, ele toma decisões a respeito das análises efetuadas.
 Possui acesso direto ao sistema operacional e ao próprio kernel, podendo dessa forma
controlar os acessos ao sistema de arquivos, configuração e registros do sistema.
 Procura anomalias, incluindo desvios na largura de banda, protocolos e portas.
 TIPOS DE IPS
 Sistema de Prevenção de Intrusão Baseado em Host (HIPS):
 TIPOS DE IPS
 Sistema de Prevenção de Intrusão Baseado em Rede (NIPS):
 Monitora a rede quanto a atividades maliciosas ou tráfego suspeito analisando a
atividade do protocolo.
 Fica em linha (“inline”) na rede e monitora o tráfego.
 Quando ocorre um evento suspeito, ele age com base em certas regras prescritas.
 Efetua o drop na conexão, impedindo, que os pacotes cheguem ao seu destino.
 TIPOS DE IPS
 Sistema de Prevenção de Intrusão Baseado em Rede (NIPS):
 TÉCNICAS DE DETECÇÃO
 Anomalia:
 Também referida como análise de comportamento de rede ou análise heurística.
 Monitora as ações que ocorrem em uma rede.
 Através de técnicas de inteligência computacional (redes neurais e classificadores
estatísticos) aprende o comportamento padrão do sistema.

 Assinatura:
 Utiliza um banco de dados com os ataques já conhecidos.
 Compara com as ações detectadas com o banco de dados com as assinaturas.
 Uma assinatura é um padrão do que buscar no fluxo de dados.
 Garantir que o banco de dados com as assinaturas esteja sempre atualizado.
 DIRETO DO CONCURSO
Ano: 2019 Banca: INSTITUTO AOCP Órgão: IBGE Prova: INSTITUTO AOCP - 2019 - IBGE - Analista Censitário -
Análise de Sistemas - Suporte a Comunicações e Rede
Sobre os Sistemas de Prevenção de Intrusão (IPS), analise as assertivas e assinale a alternativa que aponta as
corretas.
I. Os IPS podem operar com bases de assinaturas que permitem que o sistema identifique comportamentos
típicos de ameaças conhecidas.
II. Sistemas de detecção de intrusão baseados em anomalias utilizam técnicas de aprendizagem de máquina para
a detecção de tráfegos anômalos na rede.
III. Trabalham exclusivamente monitorando o funcionamento dos computadores e geram alertas quando
identificam algum padrão de comportamento suspeito.
IV. São mais eficientes que os antimalwares para detectar softwares maliciosos nos computadores.
 DIRETO DO CONCURSO
Ano: 2019 Banca: INSTITUTO AOCP Órgão: IBGE Prova: INSTITUTO AOCP - 2019 - IBGE - Analista Censitário -
Análise de Sistemas - Suporte a Comunicações e Rede
a) Apenas I, II e III.
b) Apenas II e III.
c) Apenas II, III e IV.
d) Apenas I e II.
e) Apenas I, II e IV.
 DIRETO DO CONCURSO
Ano: 2019 Banca: INSTITUTO AOCP Órgão: IBGE Prova: INSTITUTO AOCP - 2019 - IBGE - Analista Censitário -
Análise de Sistemas - Suporte a Comunicações e Rede
a) Apenas I, II e III.
Comentário: Sobre a afirmativa I, está CORRETA. O IPS baseado em assinatura usa uma técnica que
b) Apenas II e III. busca ações nitidamente caracterizadas como inválidas, registradas em uma base de dados
c) Apenas II, III e IV. (assinaturas) que contém conhecimento acumulado sobre ataques específicos já conhecidas e
vulnerabilidades.
d) Apenas I e II. Sobre a afirmativa II, está CORRETA. O IPS baseado em anomalia faz uma análise do comportamento
e) Apenas I, II e IV. do sistema e na identificação de possíveis desvios, comparando o estado observado a um padrão de
comportamento considerado normal.
Sobre a afirmativa III, está ERRADA. O IPS trabalha tanto baseado em host, ou seja, instalado em um
computador (HIPS), como baseado em rede, ou seja, monitorando o tráfego de uma rede, sendo
instalado “inline” (NIPS).
Sobre a afirmativa IV, está ERRADA. O IPS tem um propósito diferente dos antimalwares e antivírus.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Suporte e Infraestrutura
A respeito de sistemas de detecção de intrusão e proteção contra softwares maliciosos, julgue o item
subsequente.
A instalação de um software capaz de identificar e alertar uma intrusão em uma estação de trabalho é
considerada uma solução de prevenção a intrusão, mesmo que esse software não consiga efetivamente impedir
ou bloquear a ação maliciosa.
 DIRETO DO CONCURSO
Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico -
Analista de Sistema - Suporte e Infraestrutura
A respeito de sistemas de detecção de intrusão e proteção contra softwares maliciosos, julgue o item
subsequente.Comentário: Os sistemas de detecção de intrusão (IDS) identificam basicamente ameaças de intrusão, ataques
e atividades maliciosas em uma rede e geram alertas. Um IDS basicamente realiza a análise dos pacotes
A instalação de um software
copiados capazdede
no segmento identificar
rede e alertar
para detecção uma intrusão
de ataques emjáuma
ou ataque estação
ocorrido, parade trabalho
alertar é
o administrador da
considerada uma solução
rede sobre de está
o que prevenção a intrusão,
acontecendo mesmo
na rede. que esse
Entretanto, o IDS software não
não previne consiga
a rede efetivamente
de ataques, impedir
já que os alertas
ou bloquear asão
ação maliciosa.
realizados somente depois que o ataque já ocorreu.
O sistema de prevenção de intrusão (IPS) é o processo de detecção de atividades ou ameaças de intrusão e de
gerenciamento de ações responsivas nessas intrusões e ameaças detectadas em toda a rede. O IPS monitora o
Errado tráfego de pacotes em tempo real em busca de atividades maliciosas ou que correspondam a perfis específicos
de ataques, podendo gerar alertas e bloquear o tráfego em tempo real na rede. A principal medida de contra-
ataque do IPS é interromper um ataque em andamento.
Ou seja, um IPS pode prevenir um ataque de continuar ocorrendo, enquanto que um IDS apenas detecta e
alerta o administrador de rede. Portanto, o erro da questão é afirmar que um software capaz de identificar e
alertar uma intrusão é considerada uma solução de prevenção, quando na verdade é uma solução de detecção
de intrusão.
 DIRETO DO CONCURSO
Ano: 2021 Banca: VUNESP Órgão: TJM-SP Prova: VUNESP - 2021 - TJM-SP - Analista em Comunicação e
Processamento de Dados Judiciário (Analista de Redes)
Em relação ao Sistema de Detecção de Intrusão (IDS – Intrusion Detection System) e ao Sistema de Prevenção de
Intrusão (IPS – Intrusion Prevention System) tem-se que
a) o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto.
b) o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede.
c) o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos administradores no caso
de uma ameaça ser detectada.
d) um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
e) um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de
padrões de identificação exclusiva no código de cada exploração de um invasor.
 DIRETO DO CONCURSO
Ano: 2021 Banca: VUNESP Órgão: TJM-SP Prova: VUNESP - 2021 - TJM-SP - Analista em Comunicação e
Processamento de Dados Judiciário (Analista de Redes)
Em relação ao Sistema de Detecção de Intrusão (IDS – Intrusion Detection System) e ao Sistema de Prevenção de
Intrusão (IPS – Intrusion Prevention System) tem-se que
a) o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto.
b) o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede.
c) o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos administradores no caso
de uma ameaça ser detectada.
d) um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
e) um dos métodos Comentário: Normalmente
que o IDS utiliza aprendemos
é a detecção quede
estatística umanomalias,
IDS ou IPS pode funcionar
que se baseiadeemduas
umformas:
dicionário de
Detecção
padrões de identificação por assinatura:
exclusiva no códigonesse caso, exploração
de cada o IDS busca no
detráfego por padrões pré-definidos que se
um invasor.
enquadrem com alguma assinatura cadastrada em seu banco de dados de ataques/ameaças.
Detecção por comportamento (ou anomalia): nesse caso, o IDS estabelece um padrão normal de
comportamento durante uma fase de testes para o tráfego de rede e caso um desvio desse
comportamento seja notado (uma anomalia), um alarme é disparado.
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESPE / CEBRASPE Órgão: TJ-AM Prova: CESPE / CEBRASPE - 2019 - TJ-AM - Assistente
Judiciário - Suporte ao Usuário de Informática
No que diz respeito à criptografia, aos sistemas de detecção de intrusão (IDS) e à certificação digital, julgue o
item seguinte.
Uma desvantagem de utilizar um IDS para proteger a rede contra ataques externos é que ele não pode ser
configurado para realizar a atualização automática de suas definições de assinatura, pois a atualização é um
procedimento cauteloso que deve ocorrer sob a supervisão do administrador de rede.
 DIRETO DO CONCURSO
Ano: 2019 Banca: CESPE / CEBRASPE Órgão: TJ-AM Prova: CESPE / CEBRASPE - 2019 - TJ-AM - Assistente
Judiciário - Suporte ao Usuário de Informática
No que diz respeito à criptografia, aos sistemas de detecção de intrusão (IDS) e à certificação digital, julgue o
item seguinte.
Uma desvantagem de utilizar um IDS para proteger a rede contra ataques externos é que ele não pode ser
configurado para realizar a atualização automática de suas definições de assinatura, pois a atualização é um
procedimento cauteloso que deve ocorrer sob a supervisão do administrador de rede.

Errado. Comentário: Os Sistemas de Detecção de Intrusão (IDS) monitoram e analisam o tráfego de dados da rede
em busca de assinaturas que correspondam a malwares ou ataques conhecidos. O IDS exige que um ser
humano, ou outro sistema, analise os resultados e determine quais ações tomar em seguida, o que pode ser
um trabalho em tempo integral, dependendo da quantidade de tráfego de rede gerada a cada dia. É
perfeitamente normal um IDS suportar a configuração de atualizações automáticas.