Introdução ao Burp Suite

“Burp Suite é uma plataforma integrada para a realização de

testes de segurança em aplicações web. Suas diversas
ferramentas funcionam perfeitamente em conjunto para apoiar
todo o processo de testes, de mapeamento e análise de
superfície de ataque de uma requisição inicial até encontrar
e explorar vulnerabilidades de segurança.”
(Fonte: https://portswigger.net/burp/)

Em testes de segurança em aplicações web, podemos usar um

proxy para capturar pedidos e respostas entre o nosso
navegador e a aplicação web para que possamos ver exatamente
quais dados estão sendo transmitidos. Kali Linux vem com a
versão gratuita do Burp Suite, uma plataforma de testes para
aplicações web que inclui um recurso de proxy. Burp inclui
outros componentes úteis, tais como Burp Spider, que pode
rastrear através da aplicação o conteúdo web e suas
funcionalidades, e o Burp Repeater, que permite que você
manipule e reenvie pedidos para o servidor. Por enquanto,
vamos nos concentrar na Burp Proxy.

Para iniciar o Burp Suite no Kali Linux, vá para Aplicativos

no canto superior esquerdo e clique em Aplicativos > Web
Application Analysis > burpsuite.
 Burp Suite – Caminho no Kali

Burp Suite – Tela principal

Na tela do Burp, vá até a aba Proxy. Por padrão, o Intercept

deve ser selecionado para que o Burp Suite intercepte e segure
qualquer requisição de saída vinda do seu navegador web
configurado para usar o Burp como um proxy para o tráfego web.
Esta configuração permite que vejamos e até mesmo modifiquemos
os detalhes das requisições antes que elas sejam enviadas para
o servidor.

Burp Suite – Tela de Proxy

Agora precisamos dizer ao nosso navegador do Kali para

utilizar o Burp Suite como proxy web.

1. Abra o navegador e vá até Opções (Preferences) >

Avançado (Advanced) e selecione a aba Rede (Network);
2. Clique em Configurar conexão (Settings);
3. Na nova janela, selecione a opção Configuração manual de
proxy (Manual proxy configuration) e coloque o endereço
IP 127.0.0.1 e a porta 8080. Marque também a opção de
usar este proxy para todos os protocolos.

Isto fará com que o navegador jogue o tráfego dele para o

localhost na porta 8080, a porta padrão do Burp Proxy.
 Firefox – Configurando o proxy

Para confirmar que a configuração está redirecionando todo o

tráfego através do Burp Suite, navegue em qualquer site e o
Burp Suite deverá exibir uma requisição HTTP GET da página.
Vou usar o endereço http://testphp.vulnweb.com/login.php
Burp Suite – Capturando a requisição

Veremos a seguir que podemos fazer mudanças na requisição

antes de enviar para o servidor, mas por enquanto, vamos
seguir redirecionando as requisições (e quaisquer outras
subsequentes) clicando no botão Forward. Retornando ao
navegador, podemos ver que o servidor respondeu com a página
solicitada.

Se tentarmos acessar algum site que tenha um formulário de

login, o Burp Suite será capaz de capturar as credenciais.
Veja o exemplo abaixo no site:

Burp Suite – Captura de credenciais

Além de conseguir ler a requisição pura, a qual não é amigável
de ler, você poderá clicar na aba Params no topo da tela de
requisição do Burp Suite para exibir os parâmetros
requisitados de uma forma mais fácil de ler.

Burp Suite – Tela Params

Veja que foi capturado o usuário e senha do formulário. Você

pode modificar estes campos diretamente no proxy. Por exemplo,
se você mudar a senha capturada por outra antes de
redirecionar a requisição para o servidor, o servidor irá
receber a nova senha definida no proxy.

O proxy permite você ver os detalhes de qualque requisição

para o servidor. Se você não precisar mais do proxy em algum
momento, clique em Intercept is on para mudar a chave para
Intercept is off e permitir o tráfego para passar para o
servidor sem necessidade do usuário interagir. Troque o botão
de volta se você precisar capturar alguma requisição em
particular.

Além da função de Proxy, o Burp Suite tem outras

funcionalidades:

Spider – Faz o crawling na aplicação para descobrir o

seu conteúdo e funcionalidades;
Scanner – É usado para fazer scan de requisições HTTP
 automaticamente para achar vulnerabilidades de
segurança;
Intruder – Permite realizar ataques automatizados
personalizados;
Repeater – Usado para modificar manualmente e reenviar
requisições HTTP específicas quantas vezes achar
necessário;
Sequencer – Usado para analisar a qualidade da
aleatoriedade dos tokens de sessão de uma aplicação;
Decoder – P ermite transformar bits de dados de
aplicativos usando codificação e decodificação de
esquemas comuns.
Comparer – Permite realizar uma comparação visual dos
bits dos dados da aplicação para achar diferenças
interessantes.

Estas funcionalidades serão vistas em outras postagens que

farei futuramente aqui no blog.

Fontes:
– Penetration Testing – A hands-on introduction to Hacking
– https://portswigger.net

Tipos de Firewall
Os três principais tipos de firewall são o filtro de pacotes,
o filtro de pacotes com estado e o proxy.

Entretanto os firewalls também exercem as funções adicionais

como NAT (Network Address Translation), VPN (Virtual Private
Netowork) e autenticação/ certificação de usuários.

Acompanhe na sequência, detalhadamente, cada um desses tipos

de firewalls.
Filtro de Pacotes
Este tipo de firewall consiste na ação de controle seletivo do
fluxo de dados que chega e sai de um segmento de rede,
habilitando, ou não, o bloqueio de pacotes com base em regras
especificadas via endereços IP, protocolos (portas) e
tratamento do início da conexão (tcp syn).

Filtrar = peneirar, separar;

Funciona na camada de rede e de transporte;
Faz controle do tráfego que entra e sai na rede;
É transparente aos usuários;
As regras são estáticas – static packet filter;
As regras dos filtros contêm:
Endereço IP de origem
Endereço IP de destino
Protocolos TCP, UDP, ICMP
Portas TCP ou UDP de origem
Portas TCP ou UDP de destino
Tipo de mensagem ICMP

Filtro de pacotes no contexto da pilha TCP/IP

Os filtros de pacotes simples também são chamados de stateless
firewall, conforme se pode observar na figura 1. Cada pacote é
tratado de forma isolada: não guarda o estado da conexão e não
sabe se o pacote faz parte de uma conexão feita anteriormente.

Segundo Scarfone e Hoffman (2008), os filtros de pacotes sem

estado têm como características:

alta vazão – examinam os dados sobre a camada de rede;

baixo overhead e flexíveis – podem ser implantados em
qualquer infraestrutura de redes, onde a sua velocidade
e flexibilidade tornam ideal o uso como perímetro de uma
rede não confiável, bloqueando o tráfego de entrada, um
procedimento conhecido como filtro de entrada;
abrem brechas permanentes no perímetro da rede – são
vulneráveis a ataques e exploits que tiram vantagens das
vulnerabilidades existentes dentro da pilha TCP/IP;
não oferecem autenticação.

Filtro de Pacotes com Estado

Estes filtros realizam as mesmas funcionalidades do filtro de
pacotes, mas também podem manter o estado das conexões por
meio de máquinas de estado. Este tipo de firewall também
possibilita o bloqueio de varreduras, controle efetivo de
fluxo de dados e tratamento do cabeçalho TCP, além de
verificar os campos do datagrama, com o objetivo de
identificar possíveis ataques.

A função de inspeção dos pacotes melhora em comparação com as

funções do filtro de pacotes, pois ele acompanha o estado das
conexões e bloqueia os pacotes que não estão de acordo com o
estado esperado. Isto ocorre através da incorporação de uma
maior sensibilização da camada de transporte, conforme pode
ser constatado na figura 2.

Tal como acontece com a filtragem de pacotes, a inspeção de

estado intercepta pacotes na camada de rede e fiscaliza-os
para ver se essas conexões são permitidas por uma regra de
firewall existentes.

Mas, ao contrário de filtragem de pacotes de inspeção, o

stateful firewall acompanha cada conexão em uma tabela de
estado, apesar de os detalhes das entradas da tabela de estado
variarem de produto de firewall para firewall. As entradas da
tabela de estado normalmente incluem o endereço IP de origem,
o endereço IP de destino, números de porta e informações sobre
o estado de conexão.

O funcionamento do statefull firewall é o seguinte:

o firewall verifica somente o primeiro pacote de cada

conexão, de acordo com as regras de filtragem;
a tabela de conexões ganha uma nova entrada, quando o
pacote inicial é aceito;
os demais pacotes são filtrados, utilizando-se as
informações da tabela de estados.

Filtro de pacotes de estados (Statefull)

A seguir é apresentado um exemplo de uma tabela de estado.

Tabela 1: Exemplo de Tabela de Estados

Tabela de Estados

Repare a primeira linha onde um ativo da rede interna

(192.168.1.100) tenta acessar a outro ativo (192.0.2.71) além
do firewall. A tentativa de conexão é verificada,
inicialmente, com o objetivo de verificar se ela é permitida
pelas regras de firewall.

Caso seja permitida, uma entrada é adicionada à tabela de

estado e indica que

uma nova sessão está sendo iniciada, como apresentado na

primeira entrada em “estado de ligação”.

Caso os ativos 192.0.2.71 e 192.168.1.100 completem a conexão

TCP, o estado da conexão irá mudar para “estabelecida”, e todo
o tráfego posterior correspondente a essa entrada será
permitido (SCARFONE e HOFFMAN, 2008).

Arquiteturas de Firewall
O firewall pode ser aplicado de formas diferentes em uma rede,
atendendo as necessidades da empresa. Essas arquiteturas são
apresentadas na sequência.

Dual-homed host

1. Formada por um equipamento que tem duas interfaces de rede.

2. Funciona como separador entre duas redes.

3. O Firewall torna-se um ponto único de falhas.

Dual-homed Host

Screened host

1. Sem sub-rede de proteção.

2. Elementos = 1 filtro de pacotes e 1 bastion host.

3. Rede protegida que não possui acesso direto à rede externa.

4. Bastion host realiza o papel de procurador – só ele passa

pelo roteador.

5. O filtro deve ter regras que permitam o tráfego para a rede

interna somente por meio do Bastion Host.

6. O Bastion Host reside na rede interna.

7. Se ele for comprometido, o atacante tem acesso à rede

interna (Ex.: sniffer).

8. O Bastion Host concentra várias funções nesta arquitetura:

se ele cair, várias funcionalidades da rede se perdem.
 Screened Host

Screened Subnet

1. Apresenta múltiplos níveis de redundância.

2. É a mais segura.

3. Componentes:

– Roteador externo;

– Sub-rede intermediária (DMZ);

– Bastion Hosts;

– Roteador Interno.

4. O que é a DMZ (De Militarized Zone):

– Trata-se de sub-rede.

– Sub-rede entre a rede externa e a protegida com os serviços

oferecidos aos usuários da rede externa. Proporciona
segurança.

5. Somente a sub-rede DMZ é conhecida pela Internet.

6. Um ataque à rede DMZ não deve comprometer a rede Interna.

7. Permite que serviços sejam providos para os usuários
externos (por meio de bastion hosts) ao mesmo tempo em que
protege a rede interna de acessos externos.

8. A DMZ cria uma zona de confinamento.

Screened Subnet

Proxy
Um gateway de aplicativo de proxy é um recurso do firewall que
combina o controle de acesso com a funcionalidade da camada
superior. Os firewalls contêm um agente proxy que atua como um
intermediário entre dois hosts que desejam se comunicar uns
com os outros, e nunca permite uma conexão direta entre eles.
Cada tentativa de conexão bem-sucedida resulta, na verdade, na
criação de duas conexões separadas, uma entre o cliente e o
servidor proxy e outra entre o servidor proxy e o seu
verdadeiro destino, conforme apresentado na figura 6.
 Proxy na rede

O proxy, além de tornar a rede mais segura, também pode deixá-

la com um maior desempenho. Essa eficiência vem com base na
utilização dele como cache de informações solicitadas. Esta
vantagem possibilita que, caso múltiplas máquinas solicitem o
mesmo dado, este poderá estar disponível no proxy,
ocasionando um melhor desempenho, reduzindo o tráfego na rede,
em virtude da redução do número de conexões solicitadas.

O proxy é transparente para os dois usuários, de forma que, da

sua perspectiva, parece haver uma conexão direta, como pode
ser visto na figura 7. Como os hosts externos se comunicam com
o agente de proxy, conforme apresentado na figura 6, os
endereços IP internos não conhecem o mundo exterior. Cada
agente proxy pode exigir a autenticação de cada usuário da
rede individualmente (proxy de autenticação). Essa
autenticação do usuário pode assumir muitas formas, incluindo
a identificação de usuário e senha, token de hardware ou
software, endereço de origem e dados biométricos (SCARFONE e
HOFFMAN, 2008).
 Conexão direta entre cliente e servidor HTTP

Desta forma, Morimoto (2010) resume as vantagens de se usar um

proxy nos seguintes itens:

1. impõe restrições com base em horários, login, endereço IP e

outras informações, além de bloquear páginas com conteúdos
indesejados;

2. funciona como um cache de páginas e arquivos, armazenando

informações já acessadas. Ao acessar uma página que já foi
apresentada, o proxy envia os dados que armazenou no cache;

3. possibilita registrar todos os acessos (log) realizados

através dele.

Apresentadas as características iniciais do proxy, serão

descritas algumas de suas funcionalidades e como ele trabalha.

O gateway proxy opera na camada de aplicação e verifica o

conteúdo real do tráfego. Ao contrário de análise do filtro de
pacotes, que verifica, principalmente, se o tráfego é
consistente com as regras de análise de IPs, serviços e
protocolos, os gateways de aplicação proxy analisam mais
profundamente o conteúdo do pacote, fazendo a distinção entre
o tráfego normal de um determinado protocolo e o tráfego que
podem conter URLs (Uniform Resource Locator – Localizador –
Padrão de Recursos) indesejadas, isto é, páginas com conteúdos
indesejados.

Para que a comunicação possa ser realizada, os gateways

executam a conexão TCP (3-way handshake) com o sistema de
origem e são capazes de proteger a

informação contra explorações em cada etapa de uma

comunicação. Além disso, os gateways podem tomar decisões para
permitir ou negar o tráfego com base nas informações contidas
nos cabeçalhos de aplicação do protocolo ou de dados. Por
exemplo: um gateway pode determinar se uma mensagem de e-mail
contém um anexo de um determinado tipo que a organização não
permite (como um arquivo executável), ou então as mensagens
instantâneas utilizando a porta 80 (normalmente usado para
HTTP). Outra característica do proxy é que ele pode restringir
as ações a serem executadas (por exemplo, os usuários podem
ser impedidos de usar o FTP). Também pode ser usado para
permitir ou negar as páginas da Web que contêm determinados
tipos ativos como Java ou ActiveX.

Como os serviços de proxy trabalham

Os serviços proxy necessitam de dois componentes: o servidor
proxy e o cliente. Ele recebe as requisições do cliente e
realiza uma avaliação das mesmas. Desta forma, com base nas
ACLs (Access Control Lists – Listas de Controle de Acesso), o
poxy decide quais requisições serão aprovadas, ou negadas.
Caso a requisição seja aceita, o proxy realiza a conexão com o
servidor de internet e encaminha

a solicitação do cliente para o servidor, conforme descrito

anteriormente e visualizado na figura 9. Assim, o servidor
proxy, por sua vez, controla quais usuários podem acessar o
quê, quando e como.
Métodos de utilização do proxy:

1. Método da Conexão Direta (usuário se conecta ao proxy) – no

browser do cliente é configurado o endereço do servido proxy,
a porta em que estará na escuta (Ex.: portas 3128 ou 8080) e
quais serviços estarão sob sua análise;

2. Método de proxy de Autenticação – essa forma de utilização

do Proxy força a todo usuário ser identificado e autenticado,
ao acessar inicialmente algum serviço monitorado pelo Proxy.
Essa forma possibilita ao gerente da rede uma visão precisa
quanto aos usos dos serviços, URLs, entre outros pontos, por
usuário. Isto porque todo e qualquer acesso ficará registrado
e relacionado ao usuário;

3. Método do Proxy Transparente – muito utilizado pelas

empresas, onde nessa situação os usuários não possuem
conhecimento da existência do Proxy, isto é, todo o tráfego do
cliente é analisado sem que o cliente tenha conhecimento.

Com a finalidade de comparar uma requisição que passa pelo

Proxy e uma requisição que não passa, são apresentadas a
seguir essas situações.

Requisição HTTP sem Proxy

Conforme apresentado na figura 8, as seguintes tarefas são

executadas:

1. O cliente realiza a requisição http;

2. O servidor HTTP faz uso somente do caminho e da URL

requisitada;

3. O tipo do protocolo http e o nome do servidor são claros

para o servidor HTTP remoto;

4. O caminho requisitado especifica um documento no sistema de

arquivos local do servidor; ou, ainda, algum outro recurso
disponível daquele servidor.
Requisição do usuário:
http://www.companhia.com.br/depto/setor/pag.html

O browser converte para: GET /depto/setor/pag.html>

Requisição normal

Requisição HTTP com Proxy

Conforme apresentado na figura 9, as seguintes tarefas são

executadas quando se encontra o Proxy no sistema de segurança:

1. o cliente realiza a requisição HTTP com proxy;

2. o cliente especifica toda a URL para o proxy; com isto, o

proxy possui todas as informações necessárias para realizar a
requisição ao servidor remoto especificado na URL.

Requisição do usuário:
http://www.companhia.com.br/depto/setor/pag.html

O browser converte para: GET

http://www.companhia.com.br/depto/setor/pag.html O browser se
conecta ao servidor.

O proxy realiza a conexão com o servidor de internet,

convertendo a requisição para: GET /depto/setor/pag.html
 Uso do servidor proxy entre cliente e servidor HTTP

Apesar de o Proxy apresentar vantagens, citadas anteriormente,

ele também possui algumas desvantagens como:

1. pode-se necessitar servidores diferentes para cada serviço;

2. os serviços oferecidos por proxy ocasionam certo atraso na

realização dos serviços.

Referências

SCARFONE, Karen e HOFFMAN, Paul. Guidelines on firewalls and

firewall policy. National Institute of Standards and
Technology – NIST, 800-3, 2008.

MORIMOTO, Carlos E. Servidores Linux, guia prático. Porto

Alegre: Ed. Sul Editores, 2010.

Autor: Ms. Luiz Otávio Botelho Lento

Segurança de redes de
computadores
Ao se conectar um computador a uma rede, é necessário que tome
as providencias para se certificar que esta nova máquina
conectada possa não vir a ser um “portão” que servirá de
entrada de invasores, ou seja, de pessoas que estão mal
intencionadas, procurando prejudicar alguém ou até mesmo
paralisar a rede inteira.

Embora haja sistemas que conseguem fornecer um grau de

segurança elevado, mesmo sendo bem configurado ainda estará
vulnerável.

Ataques
Um ataque, ao ser planejado, segue um plano de estratégia
sobre o alvo desejado, e uma pessoa experiente em planejamento
de ataque sempre traça um roteiro a ser seguido a fim de
alcançar o objetivo. Um exemplo de roteiro organizado para
atacar é exemplificado a seguir:

Localizar o alvo desejado;

Concentrar o máximo de informações possíveis sobre o
alvo, geralmente utilizando alguns serviços da própria
rede, ou até mesmo, ferramentas utilizadas na
administração e gerenciamento da rede alvo;
Disparar o ataque sobre o alvo, a fim de invadir o
sistema, explorando a vulnerabilidade do sistema
operacional, servidores e serviços oferecidos pela rede.
O invasor pode até mesmo abusar um pouco da sorte
tentando adivinhar uma senha na máquina alvo, fazendo
combinações possíveis;
Não deixar pistas da invasão, pois geralmente as ações
realizadas pelos invasores são registradas no sistema
alvo em arquivos de log, possibilitando que o
administrador do sistema invadido possa vir a descobrir
 a invasão, a não ser que o invasor se preocupe em
eliminar todos e quaisquer vestígios que o incriminem;
O invasor deve conseguir não somente senhas de usuários
comuns, pois os privilégios destes usuários são
limitados, não dando acesso a recursos mais abrangentes
no sistema. Com isso, é de grande importância que o
invasor consiga uma senha de administrador, pois terá
todos os recursos de gerenciamento do sistema
disponíveis, para alterações e até mesmo gerar bug no
sistema. Instalar ferramentas que façam a captura de
senhas de forma clandestina aos olhos do administrador,
para isso existem programas que conseguem rodar em
segundo plano sem que a vítima perceba, podendo ser
colocados na pasta usada pela vítima;
Criar caminhos alternativos de invasão, logo que a
administradora do sistema encontrar uma “porta aberta”
que permita a invasão esta será fechada, mas se o
invasor gerar outras maneiras de invadir o sistema,
certamente terá outra chance de invasão, já que teve a
preocupação de criar novas rotas alternativas;
Utilizar a máquina invadida como “portão de entrada”
para invasão de outras máquinas da rede e até mesmo do
computador central.

Tipos de Ataques
Acompanhe agora o glossário preparado pelo Baixaki para
explicar cada termo designado para os ataques e técnicas
realizados por usuários deste gênero. Também não podemos nos
esquecer de muitos outros termos relacionados aos aplicativos
e arquivos que são apenas um peso para os computadores,
aqueles que nem deveriam ter sido lançados, mas incomodam a
vida de todos.

Adware: este tipo de arquivo malicioso nem sempre é baixado

por acidente para o seu computador. Alguns programas
carregados de propagandas que só as eliminam após a aquisição
de uma licença também são considerados adwares. Em suma, um
adware é um aplicativo que baixa ou exibe, sem exigir
autorização, anúncios na tela do computador.

Application-Layer Attack: os “ataques na camada de aplicação”

podem ser feitos tanto em servidores remotos quanto em
servidores de rede interna. São ataques nas comunicações dos
aplicativos, o que pode gerar permissões de acesso aos
crackers em computadores infectados. Aplicativos que utilizam
base de dados online (como Adobe Reader) também podem ser
atingidos.

Backdoor: traduzindo literalmente, “porta dos fundos”. São

falhas de segurança no sistema operacional ou em aplicativos,
que permitem que usuários acessem as informações dos
computadores sem que sejam detectados por firewalls ou
antivírus. Muitos crackers aproveitam-se destas falhas para
instalar vírus ou aplicativos de controle sobre máquinas
remotas.

Black Hat: o mesmo que “Cracker”. São os usuários que utilizam

os conhecimentos de programação para causar danos em
computadores alheios.

Bloatware: os “softwares bolha” não são considerados

aplicativos de invasão. Na verdade, são programas que causam
perda de espaço livre nos computadores por serem muito maiores
do que deveriam ser. Ou possuem muitas funções, mas poucas que
são realmente funcionais. Alguns dos softwares considerados
Bloatwares são iTunes, Windows Vista e Nero.

Bluebugging: é o tipo de invasão que ocorre por meio de falhas

de segurança em dispositivos Bluetooth. Com equipamentos de
captura de sinal Bluetooth e aplicativos de modificação sem
autorização, crackers podem roubar dados e senhas de aparelhos
celulares ou notebooks que possuam a tecnologia habilitada.

Botnet: são computadores “zumbis”. Em suma, são computadores

invadidos por um determinado cracker, que os transforma em um
replicador de informações. Dessa forma torna-se mais difícil o
rastreamento de computadores que geram spams e aumentam o
alcance das mensagens propagadas ilegalmente.

Crapware: sabe quando você compra um computador pré-montado e

ele chega à sua casa com algumas dúzias de aplicativos que
você não faz ideia da funcionalidade? Eles são chamados
de crapware (em português: software porcaria) e são
considerados um “bônus” pelas fabricantes, mas para os
usuários são poucos os aplicativos interessantes.

Compromised-Key Attack: são ataques realizados para

determinadas chaves de registro do sistema operacional. Quando
o cracker consegue ter acesso às chaves escolhidas, pode gerar
logs com a decodificação de senhas criptografadas e invadir
contas e serviços cadastrados.

Data Modification: alteração de dados. O invasor pode

decodificar os pacotes capturados e modificar as informações
contidas neles antes de permitir que cheguem até o
destinatário pré-definido.

Denial of Service (DoS): “Ataque de negação de serviços” é uma

forma de ataque que pretende impedir o acesso dos usuários a
determinados serviços. Alvos mais frequentes são servidores
web, pois os crackers visam deixar páginas indisponíveis. As
consequências mais comuns neste caso são: consumo excessivo de
recursos e falhas na comunicação entre sistema e usuário.

Distributed Denial of Service (DDoS): o mesmo que DoS, mas

realizado a partir de vários computadores. É um DoS
distribuído.

DNS poisoning: “envenenamento do DSN” pode gerar alguns

problemas graves para os usuários infectados. Quando ataques
deste tipo ocorrem, os usuários atingidos conseguem navegar
normalmente pela internet, mas seus dados são todos enviados
para um computador invasor que fica como intermediário.
“Drive by Java”: aplicativos maliciosos “Drive-by-download”
são arquivos danosos que invadem os computadores quando os
usuários clicam sobre alguns anúncios ou acessam sites que
direcionam downloads sem autorização. O “Drive-by-Java”
funciona da mesma maneira, mas em vez de ser por downloads,
ocorre devido à contaminação de aplicativos Java.

Hacker: são usuários mais curiosos do que a maioria. Eles

utilizam essa curiosidade para buscar brechas e falhas de
segurança em sistemas já criados. Com esse processo, conseguem
muito aprendizado e desenvolvem capacidades de programação
bastante empíricas. Quando utilizam estes conhecimentos para
causar danos passam a ser chamados de crackers.
ICMP Attack: ataques gerados nos protocolos de controle de
mensagens de erro na internet. Um computador com o IP alterado
para o endereço de outro usuário pode enviar centenas ou
milhares de mensagens de erro para servidores remotos, que
irão enviar respostas para o endereço com a mesma intensidade.
Isso pode causar travamentos e quedas de conexão no computador
vitimado.
ICMP Tunneling: podem ser criados túneis de verificação em
computadores invadidos, por meio da emissão de mensagens de
erro e sobrecarga da conexão. Com isso, arquivos maliciosos
podem passar sem interceptações de firewalls do computador
invadido, passando por esses “túneis” de maneira invisível.

IP Spoofing: é uma técnica utilizada por crackers para

mascarar o IP do computador. Utilizando endereços falsos, os
crackers podem atacar servidores ou computadores domésticos
sem medo de serem rastreados, pois o endereço que é enviado
para os destinatários é falso.

Keylogging: é uma prática muito utilizada por ladrões de

contas bancárias. Aplicativos ocultos instalados no computador
invadido geram relatórios completos de tudo o que é digitado
na máquina. Assim, podem ser capturados senhas e nomes de
acesso de contas de email, serviços online e até
mesmo Internet Banking.
Lammer: é o termo utilizado por hackers mais experientes para
depreciar crackers inexperientes que utilizam o trabalho de
outros para realizar suas invasões. Não se limitam a invadir
sites, quando o fazem modificam toda a estrutura e até assinam
as “obras” em busca de fama na comunidade.

Logic Bomb: este termo pode ser empregado em dois casos. O

primeiro refere-se a programas que expiram após alguma data e
então deixam de apresentar algumas de suas funcionalidades. O
segundo, mais grave, é utilizado em casos de empresas que
utilizam aplicativos de terceiros e quando os contratos são
rompidos, estes softwares ativam funções danosas nos
computadores em que estavam instalados.

Malware: qualquer aplicativo que acessa informações do sistema

ou de documentos alocados no disco rígido, sem a autorização
do administrador ou usuário, é considerado um malware. Isso
inclui vírus, trojans, worms, rootkits e vários outros
arquivos maliciosos.

Man-in-the-Middle-Atack: este tipo de ataque ocorre quando um

computador intercepta conexões de dois outros. Cliente e
servidor trocam informações com o invasor, que se esconde com
as máscaras de ambos. Em termos mais simples: pode ser um
interceptador de uma conversa de MSN, que passa a falar com os
dois usuários como se fosse o outro.

Password-based Attacks: é o tipo de ataque gerado por

programas criados no intuito de tentar senhas repetidas vezes
em curtos intervalos de tempo. Criando instabilidades na
verificação do logon referido, podem ser geradas duplicatas de
senhas ou logons válidos.

Ping of Death: um invasor realiza constantes Pings na máquina

invadida para causar travamentos na banda e até mesmo para
travar o computador. É um tipo de ataque Denial of Service.

Phishing: mensagens de email enviadas por spammers são criadas

com interfaces e nomes que fazem referência a empresas famosas
e conhecidas, como bancos. Nestas mensagens são colocados
links disfarçados, que dizem ser prêmios ou informações sobre
a empresa em questão, mas na verdade são arquivos maliciosos.

Phreaker: os hackers de telefonia. São responsáveis pelo roubo

de sinal de outros aparelhos e também por desbloquear
aparelhos famosos, como é o caso dos especializados em
desbloqueio do iPhone.

Pod Slurping: é o nome atribuído às práticas de roubo de

informações por meio de dispositivos portáteis pré-
configurados para a atividade. Podem ser utilizados pendrives,
iPods e muitos outros aparelhos de armazenamento portátil. Há
ataques diretos desta maneira e também ataques que apenas
abrem portas dos computadores para invasões.

Port Scanning: atividade realizada por Port scanners. É a

varredura de servidores em busca de portas vulneráveis para a
invasão posterior.

Repudiation Attacks: quando aplicativos ou sistemas não são

criados com os comandos corretos de rastreamento de logs,
crackers podem utilizar isso para remodelar os envios de
comandos. Assim, podem ser modificados os dados de
endereçamento das informações, que são enviadas diretamente
para servidores maliciosos.

Rootkit: tipo de malware que se esconde nas bases do sistema

operacional, em localidades que não podem ser encontradas por
antivírus comuns. São utilizados para interceptar solicitações
do sistema operacional e alterar os resultados.

Scareware: malwares que são acessados pelos usuários mais

desavisados, pois ficam escondidos sobre banners maliciosos.
Podem ser percebidos em páginas da web que mostram informações
do tipo: “Você está infectado, clique aqui para limpar sua
máquina”.

Session hijacking: roubo de sessão. Ocorre quando um usuário

malicioso intercepta cookies com dados do início da sessão da
vítima em algum serviço online. Assim, o cracker consegue
acessar a página do serviço como se fosse a vítima e realizar
todos os roubos de informações e modificações que desejar.

Scanners: são softwares que varrem computadores e sites em

busca de vulnerabilidades.

Script Kiddy: o mesmo que Lammer.

Server Spoofing: o mesmo que IP Spoofing, mas direcionado a

servidores VPN.

Sidejacking: prática relacionada ao Session hijacking, mas

geralmente com o invasor e a vítima em uma mesma rede. Muito
frequentes os ataques deste tipo em hotspots Wi-Fi sem
segurança habilitada.

Shovelware: é o tipo de aplicativo que se destaca mais pela

quantidade de funcionalidades do que pela qualidade das
mesmas. Muitos conversores multimídia fazem parte deste
conceito de shovelware.

SMiShing: similar a phishing, mas destinado a celulares (SMS).

Smurf: o mesmo que ICMP Attack.

Sniffer Attack: tipo de ataque realizado por softwares que

capturam pacotes de informações trocados em uma rede. Se os
dados não forem criptografados, os ofensores podem ter acesso
às conversas e outros logs registrados no computador atacado.

Snooping: invasões sem fins lucrativos, apenas para

“bisbilhotar” as informações alheias.

Social Engineering (Engenharia Social): é o ato de manipular

pessoas para conseguir informações confidenciais sobre brechas
de segurança ou mesmo sobre senhas de acesso a dados
importantes.
Spam: mensagens enviadas em massa para listas conseguidas de
maneira ilegal. Geralmente carregam propagandas sobre
pirataria de medicamentos. Também podem conter atalhos para
páginas maliciosas que roubam listas de contatos e aumentam o
poder de ataque dos spammers.

Spoof: mascarar informações para evitar rastreamento.

Spyware: são aplicativos (malwares) instalados sem o

consentimento dos usuários. Eles são utilizados para capturar
informações de utilização e navegação, enviando os logs para
os invasores. Keyloggers fazem parte desta denominação.

TCP Syn / TCP ACk Attack: ataques realizados nas comunicações

entre servidor e cliente. Sendo enviadas mais requisições do
que as máquinas podem aguentar, a vítima é derrubada dos
servidores e perde a conexão estabelecida. Podem ocorrer
travamentos dos computadores atingidos.

TCP Sequence Number Attack: tentativas de previsão da

sequência numérica utilizada para identificar os pacotes de
dados enviados e recebidos em uma conexão. Quando é terminada
com sucesso, pode emular um servidor falso para receber todas
as informações do computador invadido.

TCP Hijacking: roubo de sessão TCP entre duas máquinas para

interferir e capturar as informações trocadas entre elas.

Teardrop: uma forma de ataque Denial of Service. Usuários

ofensores utilizam IPs inválidos para criar fragmentos e
sobrecarregar os computadores vitimados. Computadores mais
antigos podiam travar facilmente com estes ataques.

Trojan: tipo de malware que é baixado pelo usuário sem que ele
saiba. São geralmente aplicativos simples que escondem
funcionalidades maliciosas e alteram o sistema para permitir
ataques posteriores.

Vírus: assim como os vírus da biologia, os vírus de computador

não podem agir sozinhos. Anexam-se a outros arquivos para que
possam ser disseminados e infectar mais computadores. São
códigos que forçam a duplicação automática para aumentar o
poder de ataque e, assim, criar mais estrago.

White Hat: hackers éticos.

Worm: funcionam de maneira similar aos vírus, mas não precisam

de outros arquivos hospedeiros para serem duplicados. São
arquivos maliciosos que podem replicar-se automaticamente e
criar brechas nos computadores invadidos. Disseminam-se por
meio de redes sem segurança.

Proteção
Um Firewall e um conjunto de políticas de segurança que tem
como objetivo tentar fazer uma segurança eficiente, mas
sabendo que esta segurança nunca será cem porcento. E alem
disso existe um Firewall software.

Uma das grandes preocupações na área de segurança de redes é a

vulnerabilidade de um computador, que pode comprometer as
transmissões pelo meio físico da rede na qual o mesmo está
ligado. Muito se tem feito para que o equipamento
computacional (host) esteja seguro, impedindo o acesso
indevido a seus dados e monitorando qualquer tentativa de
invasão. Entretanto, um outro método tem se mostrado bastante
eficiente: impedir que informações indesejadas entrem na rede
como um todo.

Não é um método substituto à segurança do host, mas

complementar, e consiste no seguinte: na ligação da rede
interna com Internet, instala-se um equipamento que permitirá,
ou não, a entrada e saída de informação, baseada em uma lista
de permissões e restrições, devidamente configuradas para
suprir as necessidades básicas de comunicação da rede interna
com a Internet e vice-versa. Nem mais nem menos. Esta
configuração é a chave do sucesso ou fracasso de um firewall.

É importante lembrar que o firewall deve estar presente em

todas as conexões da rede com a Internet. Não adianta nada
colocar um firewall super sofisticado na ligação do backbone
se dentro da rede interna, existe um micro conectado com outra
rede.

A utilização de um firewall implica na necessidade de conectar

uma Intranet ao mundo externo, a Internet. Para tanto, podemos
formular um projeto de firewall específico, implicando em
algumas perguntas que se fazem necessárias quando da aquisição
destas políticas:

Gostaríamos que usuários baseados na Internet fizessem

upload ou download de arquivos de ou para o servidor da
empresa?
Há usuários específicos (como concorrentes) aos quais
desejamos negar acesso?
A empresa publicará uma página Web?
O site proverá suporte Telnet a usuários da Internet?
Os usuários da Intranet da empresa deverão ter acesso a
Web sem restrições?
Serão necessárias estatísticas sobre quem está tentando
acessar o sistema através do firewall?
Há pessoal empenhado na monitoração da segurança do
firewall?
Qual o pior cenário possível, caso uma ameaça atinja a
Intranet?
Os usuários precisam se conectar a Intranets
geograficamente dispersas?

Construir um firewall é decidir quais políticas de segurança

serão utilizadas, ou seja, que tipo de tráfego irá ou não ser
permitido na Intranet. Podemos escolher entre um roteador que
irá filtrar pacotes selecionados, ou usar algum tipo de
software proxy que será executado no computador, além de
outras políticas. No geral, uma arquitetura firewall pode
englobar as duas configurações, podendo assim maximizar a
segurança da Intranet, combinando um roteador e um servidor
proxy no firewall.

As três arquiteturas de firewall mais populares são: Dual-

Homed Host Firewall, Screened Host Firewall e Screened Subnet
Firewall, sendo que os dois últimos usam uma combinação de
roteadores e servidores proxy.

Dual-Homed Host Firewall

É uma configuração simples, porém muito segura, na qual

dedicamos um computador host como fronteira entre a Intranet e
a Internet. O computador host usa duas placas de rede,
separadas, para se conectar a cada rede, conforme mostra a
figura abaixo. Usando um firewall deste tipo, é necessário
desativar as capacidades de roteamento do computador, para que
ele não “conecte” as duas redes. Uma das desvantagens desta
configuração é a facilidade de ativar inadvertidamente o
roteamento interno.

Dual-Homed Host Firewall

O Dual-Homed Host Firewall funciona rodando um proxy a nível

de circuito ou a nível de aplicativo. Conforme visto
anteriormente, o software proxy controla o fluxo de pacotes de
uma rede para outra. Como o computador host é dual-homed
(conectado às duas redes), o firewall host vê os pacotes de
ambas, o que permite rodar o software proxy para controlar o
tráfego entre elas.
Screened-Host Firewall

Muitos projetistas de rede consideram os screened-host

firewalls mais seguros do que os Dual-Homed Host Firewalls,
isto porque, acrescentando um roteador e colocando um
computador host fora da Internet, é possível ter um firewall
bastante eficaz e fácil de manter. A figura abaixo mostra um
Screened-Host Firewall.

Screened-Host Firewall

Como podemos ver, um roteador conecta a Internet à Intranet e,

ao mesmo tempo, filtra os tipos de pacotes permitidos. Podemos
configurar o roteador para que ele veja somente um computador
host na rede Intranet. Os usuários da rede que desejarem ter
acesso à Internet deverão fazer isso por meio deste computador
host, enquanto que o acesso de usuários externos é restringido
por este computador host.

Screened-Subnet Firewall

Uma arquitetura Screened-Subnet isola ainda mais a Intranet da

Internet, incorporando uma rede de perímetro intermediário. Em
um Screened-Subnet Firewall, o computador host é colocado na
rede de perímetro, onde os usuários poderão acessá-lo por dois
roteadores separados. Um roteador controla o tráfego da
Intranet e o outro, o tráfego na Internet.
Screened-Subnet Firewall

Um Screened-Subnet Firewall proporciona formidável defesa

contra ameaças. Como o firewall isola o computador host em uma
rede separada, ele reduz o impacto de uma ameaça para este
computador, minimizando ainda mais a chance da rede interna
ser afetada.

A filtragem de pacotes é a maneira mais simples de se

construir um firewall. Geralmente utilizadas em roteadores, as
listas de acesso têm uma ótima relação custo X benefício: os
roteadores já possuem estas facilidades, basta sentar e
aprender a configurá-los; a filtragem é bem eficiente,
invisível e rápida (se o roteador for de boa qualidade).

Mas então o que vamos configurar? Os roteadores (que toda rede

em conexão com Internet possui) tem um papel muito simples:
interligar duas ou mais redes e fazer o transporte de pacotes
de informações de uma rede para outra, conforme sua
necessidade. Mas muitos destes roteadores, além de identificar
o destino do pacote e encaminhá-lo na direção certa, elas
checam ainda: a direção dos pacotes; de onde veio e para onde
vai (rede interna e Internet); endereço de origem e destino;
tipo de pacote; portas de conexão; flags do pacote e etc.

Estes pontos de conexão da Internet com a rede interna podem

receber uma série de regras para avaliar a informação
corrente. São as listas de acesso que definem o que deve e o
que não deve passar por este ponto de conexão.

Baseado nisto podemos definir uma política para segurança da

rede. A primeira opção seria liberar tudo e negar serviços
perigosos; a segunda seria negar tudo e liberar os serviços
necessários. Sem dúvidas a segunda é mais segura, entretanto,
os funcionários da rede interna podem precisar acessar
livremente a Internet como forma de trabalho, e a manutenção
desta lista seria tão trabalhosa, visto que a proliferação de
programas na Internet é muito grande que, em pouco tempo
estaríamos em um emaranhado de regras sem sentido.

Pensando nas dificuldades de configuração e falta de recursos

dos roteadores para a implementação dos filtros de pacotes,
muitos fabricantes criaram ferramentas para fazer este tipo de
filtragem, desta vez baseada em um host (computador)
específico para esta tarefa, localizada nos pontos de conexão
da rede interna com a Internet.

Os chamados filtros inteligentes são aplicações executadas em,

por exemplo, computadores ligados ao roteador e à rede
interna. O tráfego de um lado para outro se dá (ou não)
conforme as regras estabelecidas nas aplicações. Apesar de
esta solução requerer um equipamento extra, ela nos dá uma
série de vantagens sobre os filtros baseados em roteador,
principalmente no que diz respeito à monitoração de acesso.

Roteadores que possuem algum tipo de log, não guardam

informações muito precisas sobre as tentativas de conexão na
(ou da) rede interna, enquanto os filtros inteligentes possuem
vários níveis de logs, nos quais é possível (e bastante
recomendável) perceber os tipos de tentativa de acesso, e até
definir certas ações caso um evento em especial relacionado à
segurança aconteça.

Uma outra característica interessante dos filtros inteligentes

é a tentativa de implementar um controle de pacotes UDP,
guardando informações sobre eles e tentando “improvisar” o
flag ACK. Montando-se uma tabela de pacotes UDP que passam,
pode-se comparar os pacotes UDP que retornam e verificar se
eles são uma resposta ou se são uma tentativa de novo contato.
Mais uma vez vale a pena lembrar que: nem mesmo os filtros
inteligentes são substitutos para a segurança dos computadores
internos. Fica fácil visualizar a quantidade de problemas se
seus computadores da rede interna não apresentarem nenhum
nível de segurança e o firewall for comprometido. Lembre-se:
“Nenhum colete à prova de bala lhe protegerá se alguém enfiar
o dedo no seu olho…”.

O servidor proxy tem duas funções, a primeira e fazer com que

a internet enxergue a intranet apenas como um maquina, com
isso tornando a rede segura e a outra função é armazenar
paginas web para sua rede interna caso precise de atualizações
o servidor proxy vai buscar na internet.

Neste sistema, temos um gateway (computador que faz uma

ligação) entre o nosso computador e o servidor que desejamos
acessar. Esse gateway possui uma ligação com a rede externa e
outra com a rede interna. Tudo que passa de uma rede para
outra deve, obrigatoriamente, passar pelo gateway. O fato de
terem duas ligações lhe confere o nome de “Gateway de Base
Dupla”.

O seu funcionamento é simples, mas de funcionalidade

trabalhosa: Vamos supor que nós queremos acessar um servidor
de FTP em uma rede que possua este gateway de base dupla.
Primeiro, nós precisamos nos conectar ao Proxy (gateway), e
dele nos conectar ao servidor FTP. Ao baixar o arquivo, este
não chegará direto até nós, e sim até o Proxy. Depois de
encerrada a transferência do arquivo até o Proxy, nós o
transferimos, do Proxy até o nosso computador. O conceito é
relativamente simples, mas isto implica em alguns problemas.

Há um outro tipo de Proxy que facilita um pouco as coisas: os

proxies de aplicação. Este, ao invés de fazerem com que o
usuário se conecte com o destino através do Proxy, permite ao
usuário a conexão através do seu próprio computador para que
transfira as informações diretamente, desde que passe nas
regras estabelecidas no Proxy de aplicação. Ao se conectar no
Proxy de aplicação, este oferece as opções que o usuário tem
disponível na rede, nada mais, e isto diminui a chance de
“livre arbítrio” do usuário, como acontece nos gateways
simples ou de base dupla, em que o usuário tem acesso ao
sistema para se conectar a máquinas internas da rede.

Entretanto, uma das principais vantagens destes proxies é a

capacidade de “esconder” a verdadeira estrutura interna da
rede. Vejamos como: ao tentar conectar a uma rede que possui
este tipo de Proxy, eu não preciso saber nada além do número
IP deste servidor. De acordo com o tipo de serviço pedido pela
minha conexão, o servidor de Proxy a encaminha para o servidor
que trata deste serviço, que retorna para o Proxy, que me
responde o serviço.

Criptografia em Redes de
Computadores
Podemos então garantir uma comunicação segura na rede através
da implantação de criptografia. Podemos, por exemplo,
implantar a criptografia na geração dos pacotes, ou seja,
apenas as mensagens enviadas de máquina para máquina serão
criptografadas. O único problema disso continua sendo a
escolha das chaves. Se implementarmos criptografia com chave
simples (uma única para criptografar e descriptografar) temos
o problema de fazer com que todas as máquinas conheçam esta
chave, e mesmo que isso possa parecer fácil em uma rede
pequena, redes maiores que não raramente atravessam ruas e
avenidas ou mesmo bairros isto pode ser inviável. Além no
mais, talvez queiramos estabelecer conexões confiáveis com
máquinas fora de nossa rede e não será possível estabelecer
uma chave neste caso e garantir que somente as máquinas
envolvidas na comunicação a conhecem.

Se, contudo, criptografarmos as mensagens com chave pública e

privada, temos o problema de conhecer todas as chaves públicas
de todas as máquinas com quem queremos estabelecer
comunicação. Isto pode ser difícil de controlar quando são
muitas maquinas.

Questões de Concursos
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte
Técnico e Gerência de Redes de Computadores) Atualmente tem
sido observado o aumento de tentativas e violações que
comprometem a segurança das redes e da Internet. Uma
ferramenta utilizada por hackers para capturar dados digitados
pelas vítimas é um software analisador de tráfego, que
inspeciona pacotes de dados que circulam pela rede e extrai
informações deles. Esse programa é conhecido por:
a) trojan
b) sniffer
c) cookie
d) spoofing
e) phishing
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte
Técnico e Gerência de Redes de Computadores) No que tange à
segurança, administração e gerenciamento das redes de
computadores, os sistemas operacionais disponibilizam um
recurso que bloqueia o usercode de um usuário quando ocorre
uma determinada quantidade de tentativas de acesso
malsucedidas, em consequência da digitação de senhas
incorretas. Exemplificando, se no acesso a um terminal de
caixa eletrônico, um usuário errar a digitação de sua senha
por três vezes consecutivas, a conta é bloqueada de forma
indeterminada ou temporária. Este recurso é conhecido por:
a) intruder bitlocker.
b) intruder blockout.
c) intruder unblock.
d) intruder lockout.
e) intruder unlock.
(Prova: CESGRANRIO – 2008 – BNDES – Profissional Básico –
Especialidade – Análise de Sistemas – Suporte) Um
administrador de redes instalou um novo servidor Linux e
disponibilizou para você um acesso SSH por usuário e senha.
Sua estação de trabalho Windows XP (endereço IP
192.168.1.10/26) e o servidor (endereço IP 192.168.1.40/26) se
conectam à rede por meio de um switch ethernet nível 2. Um
usuário X (endereço IP 192.168.1.34/26), não administrador e
mal-intencionado, está conectado no mesmo switch que você.
Considerando que você efetuará uma conexão SSH a esse
servidor, observe as afirmativas abaixo.
I – Como o tráfego SSH é criptografado, ataques do tipo man-
in-the-middle jamais podem ser bem sucedidos.
II – Seria necessário que a rede fosse interligada por
um HUB para que, pelo menos, X pudesse observar o tráfego
criptografado.
III – É imprescindível que o fingerprint da chave pública SSH
recebida do servidor seja checado, para garantia de
autenticidade.
IV – Uma vez que X consiga invadir o default gateway da sub-
rede do servidor, sua senha será exposta.
Está(ão) correta(s), apenas, a(s) afirmativa(s)
a) I.
b) III.
c) I e IV.
d) II e III.
e) II e IV.

(Prova: CESGRANRIO – 2005 – AL-TO – Assistente Legislativo –

Especialidade – Manutenção em Informática) Para a segurança em
redes de computadores são feitas as afirmativas abaixo.
I – Os roteadores podem ser utilizados para implementar
filtros de pacote de um firewall.
II – O bluetooth possui um modo de segurança que permite a
criptografia dos dados.
III – O RSA é um algoritmo de criptografia de chave privada.
Está(ão) correta(s) a(s) afirmativa(s):
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) I, II e III.
Comentários e Gabarito
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte
Técnico e Gerência de Redes de Computadores) Atualmente tem
sido observado o aumento de tentativas e violações que
comprometem a segurança das redes e da Internet. Uma
ferramenta utilizada por hackers para capturar dados digitados
pelas vítimas é um software analisador de tráfego, que
inspeciona pacotes de dados que circulam pela rede e extrai
informações deles. Esse programa é conhecido por:
Letra “B”. O sniffer é a ferramenta que faz a captura dos
dados na rede para roubar informações que estão sendo
trafegadas por ela.
(Prova: FGV – 2010 – BADESC – Analista de Sistemas – Suporte
Técnico e Gerência de Redes de Computadores) No que tange à
segurança, administração e gerenciamento das redes de
computadores, os sistemas operacionais disponibilizam um
recurso que bloqueia o usercode de um usuário quando ocorre
uma determinada quantidade de tentativas de acesso
malsucedidas, em consequência da digitação de senhas
incorretas. Exemplificando, se no acesso a um terminal de
caixa eletrônico, um usuário errar a digitação de sua senha
por três vezes consecutivas, a conta é bloqueada de forma
indeterminada ou temporária. Este recurso é conhecido por:
Letra “D”. O “intruder lockout” significa que a autenticação
na conta afetada é impossível de ser realizada, mas ela não
foi desativada por um administrador, mas por um gatilho de
segurança devido os erros consecutivos na tentativa de acesso.
(Prova: CESGRANRIO – 2008 – BNDES – Profissional Básico –
Especialidade – Análise de Sistemas – Suporte) Um
administrador de redes instalou um novo servidor Linux e
disponibilizou para você um acesso SSH por usuário e senha.
Sua estação de trabalho Windows XP (endereço IP
192.168.1.10/26) e o servidor (endereço IP 192.168.1.40/26) se
conectam à rede por meio de um switch ethernet nível 2. Um
usuário X (endereço IP 192.168.1.34/26), não administrador e
mal-intencionado, está conectado no mesmo switch que você.
Considerando que você efetuará uma conexão SSH a esse
servidor, observe as afirmativas abaixo.
I – Como o tráfego SSH é criptografado, ataques do tipo man-
in-the-middle jamais podem ser bem sucedidos.
II – Seria necessário que a rede fosse interligada por
um HUB para que, pelo menos, X pudesse observar o tráfego
criptografado.
III – É imprescindível que o fingerprint da chave pública SSH
recebida do servidor seja checado, para garantia de
autenticidade.
IV – Uma vez que X consiga invadir o default gateway da sub-
rede do servidor, sua senha será exposta.
Está(ão) correta(s), apenas, a(s) afirmativa(s)
Letra “B”. I – É possível sim fazer o ataque do tipo man-in-
the-middle, se por padrão aceitar o Host Key na hora da
conexão.
II – É possível a captura sim do tráfego pelo Hub quando se
tem uma placa no modo promíscuo. No caso do switch, pode-se
utilizar um ataque do tipo MAC Flooding para bombardear a
memória da tabela de endereços físicos (MAC), deixando-o em um
estado de falha aberta (failopen mode), e transformando assim
cada pacote que entra em broadcast de saída, assim como um
Hub.
III – Verdadeira
IV – As senhas não seriam expostas, apenas as chaves públicas.
Além disto, ele teria que fazer um sniffer na rede para
capturá-las.

(Prova: CESGRANRIO – 2005 – AL-TO – Assistente Legislativo –

Especialidade – Manutenção em Informática) Para a segurança em
redes de computadores são feitas as afirmativas abaixo.
I – Os roteadores podem ser utilizados para implementar
filtros de pacote de um firewall.
II – O bluetooth possui um modo de segurança que permite a
criptografia dos dados.
III – O RSA é um algoritmo de criptografia de chave privada.
Está(ão) correta(s) a(s) afirmativa(s):
Letra “D”. I – Verdade. Vimos um pouco sobre este assunto aqui
neste artigo, assim como no de Firewall e Filtragem de
Pacotes.
II – Verdade. O Bluetooth utiliza a criptografia SAFER+.
III – Errado. Apesar da afirmativa causar uma certa dúvida
quanto a “chave secreta” (simétrica) com “chave privada”
(assimétrica), elas são diferentes em si. O RSA é uma
criptografia de chave assimétrica. A confusão mesmo aqui é ter
usado o termo “privado”, que para a banca o correto seria
“chave pública”, mas no final das contas seriam a mesma coisa.

Proxy Cache e Reverso

Ele possui várias funções que, se trabalhadas junto com o
firewall, podem trazer ótimos resultados em relação ao
compartilhamento, controle e segurança de acesso à internet.

Proxy Cache
Proxy é um servidor que atende a requisições repassando os
dados do cliente à frente: um usuário (cliente) conecta-se a
um servidor proxy, requisitando algum serviço, como um
arquivo, conexão, página web, ou outro recurso disponível no
outro servidor.

Quando acessamos uma página, fazemos uma requisição ao

servidor WEB que armazena o conteúdo. Após a solicitação ser
processada, a nossa máquina começa a fazer download da página
solicitada. O cache nada mais é do que um um depósito dos
sites acessados pela rede.

Uma máquina da rede solicita acessar um site, obviamente com o

proxy instalado em um servidor. Esta requisição primeiramente
passará pelo proxy, que por sua vez, verificará no diretório
de cache se tal página está armazenada. Estando, ele devolve a
página armazenada para o cliente local, caso contrário, irá
buscar esta página , fará o download, entregará a solicitação
para o usuário e guardará a página em cache.

Existe um limite dado pelo administrador da Rede para que ele

não armazene tudo.

Delimitando o tamanho, o servidor trabalha sozinho. Ele guarda

as informações mais recentes e, quando o diretório estiver
cheio, ele apagará os documentos mais antigos, ou seja,
aqueles que raramente são acessados, deixando, assim, os sites
mais visitados.

Outra função interessante são suas politicas de controle de

acesso,conhecidas por ACL (Acces Control List).

Elas permitem especificar endereços de origem ou destino,

domínio, horários, usuários, portas ou métodos de conexão ao
proxy, que serão utilizados para permitir ou negar acessos.

A vantagem disso tudo, é que, uma empresa que quer ter

controle sob o que seus empregados estão acessando, e na
realidade, o que eles podem ou não acessar.

Em resumo, algumas vantagens são:

1- É possível impor restrições de acesso com base no horário,

login, endereço IP da máquina e outras informações, além de
bloquear páginas com conteúdo indesejado. É por isso que quase
todos os softwares de filtro de conteúdo envolvem o uso de
algum tipo de proxy, muitas vezes o próprio Squid (já que,
como o software é aberto, você pode incluí-lo dentro de outros
aplicativos, desde que respeitando os termos da GPL).

2- O proxy funciona como um cache de páginas e arquivos,

armazenando informações já acessadas. Quando alguém acessa uma
página que já foi carregada, o proxy envia os dados que
guardou no cache, sem precisar acessar a mesma página
repetidamente. Isso acaba economizando bastante banda,
tornando o acesso mais rápido.
3- Uma terceira vantagem de usar um proxy é que ele loga todos
os acessos realizados através dele. Você pode visualizar os
acessos posteriormente usando o Sarg, um gerador de relatórios
que transforma as longas listas de acessos dos logs em
arquivos html bem organizados.

Servidor Proxy

Proxy Reverso
Um proxy reverso é um servidor de rede geralmente instalado
para ficar na frente de um servidor Web. Todas as conexões
originadas externamente são endereçadas para um dos servidores
Web através de um roteamento feito pelo servidor proxy, que
pode tratar ele mesmo a requisição ou, encaminhar a requisição
toda ou parcialmente a um servidor Web que tratará a
requisição.

Um proxy reverso repassa o tráfego de rede recebido para um

conjunto de servidores, tornando-o a única interface para as
requisições externas. Por exemplo, um proxy reverso pode ser
usado para balancear a carga de um cluster de servidores Web.
O que é exatamente o oposto de um proxy convencional que age
como um despachante para o tráfego de saída de uma rede,
representando as requisições dos clientes internos para os
servidores externos a rede a qual o servidor proxy atende.

Proxy Reverso nada mais é do que um servidor “burro” que

apenas recebe requisições e delega as mesmas ou então faz algo
simples,como devolver uma página pré processada, mas ele é
“burro” não sabe executar aquela requisição por completo, ele
é um proxy não é o servidor de verdade.

Proxy Reverso

Em poucas palavras, o Proxy Reverso é o servidor que irá

receber as requisições para aplicações de clientes da internet
e entregá-las a rede local ou uma DMZ.

Algumas de suas vantagens são:

Segurança – Se você tem uma camada antes de chegar ao

seu servidor, você pode incluir um firewall ou algo do
gênero para verificar se tal requisição é ou não segura
o suficiente para chegar ao ser web server. Outro
benefício é que o seu proxy reverso é isolado do seu web
server, assegurando que a requisição não sabe para onde
ela vai a seguir;
Balanceamento de Carga – Um proxy reverso é inteligente
 o suficiente para fazer o que chamamos de Balanceamento
de Carga. Imagine que você possui diversos web servers
rodando a mesma aplicação e você deseja distribuir as
requisições para aquele servidor web que não está
ocupado. Um proxy reverso fica responsável por essa
delegação. Ou seja uma requisição chega ao Proxy Reverso
e ele sabe para qual servidor enviar ela;
Cache – Você pode colocar um cache no seu proxy reverso,
para que, caso a requisição que ele devolva não
necessite de nenhum processamento no web server, o
próprio proxy já devolva a resposta, aumentando a
performance da sua aplicação;
Criptografia SSL – A criptografia SSL pode ser delegada
ao próprio servidor proxy, ao invés dos servidores Web.
Neste caso, o servidor proxy pode ser dotado de
aceleradores criptográficos de alta performance;
Compressão – Um servidor proxy pode otimizar e comprimir
o conteúdo tornando o acesso mais rápido;

Soluções ‘instaláveis’:

Cisco Cache Engine (http://www.cisco.com);

iPlanet Web Proxy Server (http://www.sun.com);
ISA Server (http://www.microsoft.com);
LocalDirector (http://www.cisco.com);
ProxySG (http://www.bluecoat.com);
Squid Web Proxy Cache (http://www.squid-cache.org);
Nginx (http://wiki.nginx.org/).
Apache (http://www.apache.org/);

Soluções em Appliance:

Citrix NetCaler (http://www.citrix.com.br)

Cisco CSM – Content Switch Module (http://www.cisco.com)
F5 -Big IP (http://www.f5.com)

Veja o vídeo abaixo como material adicional.

http://www.youtube.com/watch?v=38Bt_0ufH1E
Questões de Concursos
(FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico
e Gerência de Redes de Computadores) Squid é um software muito
empregado em redes corporativas como servidor proxy e cache
HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em
sua operação, o Squid recebe os pedidos de usuários que
desejam visualizar páginas externas e verifica se tem a página
em cache. Se tiver a página em cache, verifica se ela ainda é
válida e envia para o cliente e, caso contrário, busca a
página no servidor externo, armazena no cache e transmite para
o cliente.

Deste modo, na próxima vez que outro usuário solicitar esta

página, a mesma será carregada muito mais rapidamente, pois
estará em um cache local. No processo de instalação e
configuração, deve-se definir em qual IP e porta
o Squid deverá aguardar requisições.

Utilizando o IP 10.10.0.5 e considerando o default para a

porta, um comando válido, é:
a) #http port 10.10.0.5:8080
b) #http port 10.10.0.5:2135
c) #http port 10.10.0.5:5050
d) #http port 10.10.0.5:9632
e) #http port 10.10.0.5:3128

(Prova: FGV – 2009 – MEC – Gerente de Segurança) O objetivo

principal de um servidor proxy é possibilitar que máquinas de
uma rede privada possam acessar uma rede pública, como a
Internet, sem que para isto tenham uma ligação direta com
esta. O Servidor proxy costuma ser instalado em uma máquina
que tenha acesso direto à Internet, sendo que as demais
efetuam as solicitações por meio desta. A configuração do
squid fica gravada em um determinado arquivo e em um diretório
específico. Esse arquivo e esse diretório são conhecidos,
respectivamente, por:
a) squid.conf e /sys/squid
b) squid.cfg e /sys/squid
c) squid.conf e /etc/squid
d) squid.cfg e /etc/squid
e) squid.conf e /cfg/squid

(Prova: FGV – 2009 – MEC – Administrador de Redes) O Squid é

um software livre, um servidor que funciona como um
intermediário no contato dos computadores da rede local com
outras máquinas fora dela, como na internet. Ele recebe as
requisições de acesso externo dos hosts locais e as repassa a
outros computadores fora da rede local, retornando as
respostas aos computadores que as solicitaram. O Squid oferece
uma série de recursos que o tornam uma excelente alternativa
para aproveitamento mais racional da comunicação. Dentre esses
recursos, dois são descritos a seguir.

I. O Squid armazena o conteúdo acessado, de forma que se algum

host fizer novamente uma requisição ao mesmo conteúdo, que já
se encontra armazenado, ele recebe diretamente esse conteúdo,
sem a necessidade de efetuar uma nova busca dos dados na
Internet. O uso desse recurso resulta em maior rapidez no
acesso à Internet, pois o link do host com o proxy é bem mais
rápido do que deste com a Internet.

II. O acesso ao servidor proxy pode ser limitado por meio do

controle de acesso dos usuários, já que somente usuários
autorizados poderão acessar a Internet. Este recurso é
bastante flexível e pode ser implementado de várias maneiras,
como pelo uso do protocolo LDAP.
Os recursos descritos são denominados respectivamente:
a) cache e autenticação.
b) cache e validação.
c) cache e autorização.
d) swap e validação.
e) swap e autenticação.
(Prova: CESPE – 2010 – TRE-MT – Analista Judiciário –
Tecnologia da Informação) A utilização de proxy-server pode
melhorar significativamente os recursos de rede, uma vez que
os objetos solicitados podem estar nele armazenados. Quanto a
esse assunto e em relação ao Squid proxy-server, assinale a
opção correta.
a) O Squid suporta a política de substituição GDSF (greedy
dual-size frequency)
b) A execução do comando squid -k parse, pela linha de
comando, permite verificar a consistência dos objetos
armazenados em cache.
c) O Squid define métodos específicos para a remoção de
objetos em cache, entre os quais, o método REMOVE.
d) O NTFS (NT file system) é o sistema de arquivos padrão
utilizado pelo Squid versão 2.5.
e) O Squid suporta apenas os protocolos HTTP e HTTPS.

Comentários e Gabarito
(FGV – 2010 – BADESC – Analista de Sistemas – Suporte Técnico
e Gerência de Redes de Computadores) Squid é um software muito
empregado em redes corporativas como servidor proxy e cache
HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em
sua operação, o Squid recebe os pedidos de usuários que
desejam visualizar páginas externas e verifica se tem a página
em cache. Se tiver a página em cache, verifica se ela ainda é
válida e envia para o cliente e, caso contrário, busca a
página no servidor externo, armazena no cache e transmite para
o cliente.

Deste modo, na próxima vez que outro usuário solicitar esta

página, a mesma será carregada muito mais rapidamente, pois
estará em um cache local. No processo de instalação e
configuração, deve-se definir em qual IP e porta
o Squid deverá aguardar requisições.

Utilizando o IP 10.10.0.5 e considerando o default para a

porta, um comando válido, é:
Letra “E”. A porta padrão do Squid é a 3128.
(Prova: FGV – 2009 – MEC – Gerente de Segurança) O objetivo
principal de um servidor proxy é possibilitar que máquinas de
uma rede privada possam acessar uma rede pública, como a
Internet, sem que para isto tenham uma ligação direta com
esta. O Servidor proxy costuma ser instalado em uma máquina
que tenha acesso direto à Internet, sendo que as demais
efetuam as solicitações por meio desta. A configuração do
squid fica gravada em um determinado arquivo e em um diretório
específico. Esse arquivo e esse diretório são conhecidos,
respectivamente, por:
Letra “C”. O arquivo de configuração é o “squid.conf” e fica
no diretório “/etc/squid/”.

(Prova: FGV – 2009 – MEC – Administrador de Redes) O Squid é

um software livre, um servidor que funciona como um
intermediário no contato dos computadores da rede local com
outras máquinas fora dela, como na internet. Ele recebe as
requisições de acesso externo dos hosts locais e as repassa a
outros computadores fora da rede local, retornando as
respostas aos computadores que as solicitaram. O Squid oferece
uma série de recursos que o tornam uma excelente alternativa
para aproveitamento mais racional da comunicação. Dentre esses
recursos, dois são descritos a seguir.

I. O Squid armazena o conteúdo acessado, de forma que se algum

host fizer novamente uma requisição ao mesmo conteúdo, que já
se encontra armazenado, ele recebe diretamente esse conteúdo,
sem a necessidade de efetuar uma nova busca dos dados na
Internet. O uso desse recurso resulta em maior rapidez no
acesso à Internet, pois o link do host com o proxy é bem mais
rápido do que deste com a Internet.

II. O acesso ao servidor proxy pode ser limitado por meio do

controle de acesso dos usuários, já que somente usuários
autorizados poderão acessar a Internet. Este recurso é
bastante flexível e pode ser implementado de várias maneiras,
como pelo uso do protocolo LDAP.
Os recursos descritos são denominados respectivamente:
Letra “A”. A afirmativa I é uma explicação do que o cache,
assim como a II é de autenticação.

(Prova: CESPE – 2010 – TRE-MT – Analista Judiciário –

Tecnologia da Informação) A utilização de proxy-server pode
melhorar significativamente os recursos de rede, uma vez que
os objetos solicitados podem estar nele armazenados. Quanto a
esse assunto e em relação ao Squid proxy-server, assinale a
opção correta.
Letra “A”. O GDSF é uma política de memória onde ele armazena
no cache arquivos pequenos, pois são de maior chance de serem
solicitados novamente. Esta política é boa para ambientes com
muitos usuários.
O comando “squid -k parse” verifica se o arquivo de
configuração tem erros.
O Squid suporta os protocolos HTTP, SSL, FTP, WAIS.

Conceito de DMZ
A DMZ, do termo em inglês “DeMilitarized Zone”, ou seja, “Zona
Desmilitarizada”, nada mais é do que áreas intermediárias
entre a rede interna e externa onde os servidores que recebem
tráfego externo estão hospedados de maneira separada da rede
interna de uma empresa, por exemplo.

Sua função é manter os serviços que possuem acesso externo

separados da rede local, restringindo ao máximo um potencial
dano causado por algum invasor, tanto interno como externo.

Ela permite o acesso de usuários externos aos servidores

específicos localizados na rede de perímetro, ao mesmo tempo
em que evita o acesso à rede corporativa interna. Ela tem como
papel principal ser uma espécie de uma rede “tampão” entre as
redes externa e interna.
A configuração é realizada através do uso de equipamentos de
Firewall, que vão realizar o controle de acesso entre a rede
local, a Internet e a DMZ (ou, em um modelo genérico, entre as
duas redes a serem separadas e a DMZ).

Os equipamentos situados na DMZ têm como função fornecer

serviços aos usuários externos, de tal modo que estes não
necessitem acessar a rede interna, proporcionando um certo
grau de isolamento da rede interna (confiável) em relação ao
tráfego que vêm da rede externa (não confiável).

Os equipamentos na DMZ podem estar em um switch dedicado ou

compartilhar um switch da rede, porém neste último caso devem
ser configuradas Redes Virtuais distintas dentro do
equipamento, também chamadas de vlans (Ou seja, redes
diferentes que não se “enxergam” dentro de uma mesma rede
– LAN) porem isto não sera abordado.

Os equipamentos colocados na DMZ devem ser configurados de

modo a funcionar com o mínimo de recursos possíveis ao
oferecer um determinado serviço. Além disso, o comprometimento
de um equipamento qualquer situado na DMZ não deve servir para
o comprometimento de equipamentos e/ou serviços da rede
interna, ou seja, qualquer tentativa de ataque deve ficar
confinada aos equipamentos situados na DMZ.

Veja alguns exemplos de DMZ:

Exemplo de DMZ com Serviços

Conforme a figura os servidores WEB, de arquivos e de Email
podem ser acessados de ambas as redes. Normalmente
administradores de redes não permitem que qualquer tráfego
passe diretamente através de uma DMZ. Uma DMZ pode ser
implementada com fitros de rede configurados nas suas bordas,
estes filtros são responsáveis por realizar o controle de
acesso do que entra e do que sai da DMZ e podem ser do tipo
packet filtering, stateful packet filtering e de cache como
servidores de proxy conhecidos como ALGs (Application Layer
Gateway).

O Packet filtering limita o tráfego dentro da rede baseado no

destino e na origem de endereços IPs, portas e outras flags
que podem ser utilizadas na implementação das regras de
filtro.

O Stateful packet filtering filtra o tráfego baseado no

destino e na origem dos endereços IPs, portas, flags além de
realizar “stateful inspection” uma inspeção de pacotes que
permite o armazenamento de dados de cada conexão em uma tabela
de sessão. Esta tabela armazena o estado do fluxo de pacotes e
serve como ponto de referência para determinar se os pacotes
pertencem a uma conexão existente ou se são pacotes de uma
fonte não autorizada.

As ALGs funcionam no nível da aplicação e interceptam e

estabelecem conexões dos hosts da rede interna com a rede
externa, autorizando ou não a conexão.

As DMZs podem possuir a capacidade de conter um ataque e

limitar os danos na rede. Uma das arquiteturas mais utilizadas
são as DMZs que utilizam uma solução de defesa em camadas.
 Exemplo de DMZ com VPN

A forma mais simples de projetar uma DMZ é utilizando um Proxy

Firewall com três ou mais interfaces de rede, onde cada uma
delas terá um papel específico: Rede interna confiável; Rede
DMZ; Rede Externa não confiável (Internet).

Se for utilizar uma DMZ com regras de Firewall, o Firewall

será normalmente configurado para proteger a rede interna da
Internet. Para criar uma DMZ, o firewall também deve aplicar
as regras para proteger o DMZ a partir da Internet e das
regras destinadas a proteger a rede interna da DMZ. Isto
tornará mais difícil para um atacante para penetrar a rede
interna.

É possível ainda separar a DMZ em múltiplos hosts da DMZ, o

que irá aumentar um pouco mais a segurança, já que se um host
dele for comprometido, os outros estarão seguros por se
encontrarem em outra DMZ.

Dentro das características das DMZ podemos citar:

Servidores que precisam ser acessados externamente são

posicionados dentro de uma DMZ;
As DMZs são estabelecidas entre duas zonas de segurança;
Em uma DMZ pode-se posicionar dispositivos para
realizarem um cache de rede;
As DMZs realizam o controle do tráfego do que entra e do
 que sai da rede;
A DMZ pode conter um ataque sem que o mesmo passe para
dentro da rede.

Questões de Concursos
(FGV – 2008 – Senado Federal – Analista de Suporte de
Sistemas) A necessidade cada vez maior de uso da Internet
pelas organizações e a constituição de ambientes corporativos
levam a uma crescente preocupação com a segurança, fazendo com
que o firewall assuma um papel de elevada importância. A esse
respeito, analise o esquema e as afirmativas abaixo.

I. A zona desmilitarizada (DMZ) refere-se à parte que fica

entre a rede interna, que deve ser protegida, e a rede
externa.
II. O esquema evita parcialmente o problema de comprometimento
da rede interna da organização, caso um ataque ao servidor de
dados tenha sucesso.
III. O proxy existente no firewall protege a rede atuando como
um gateway, operando na camada de rede do modelo OSI/ISO.
Assinale:
a) se somente a afirmativa I estiver correta.
b) se somente as afirmativas I e III estiverem corretas.
c) se somente as afirmativas I e II estiverem corretas.
d) se somente as afirmativas II e III estiverem corretas.
e) se todas as afirmativas estiverem corretas.
(FCC – 2007 – TRE-MS – Analista Judiciário – Área
Judiciária) Uma DMZ – Zona Desmilitarizada – é um segmento de
rede parcialmente protegido que para possibilitar maior
segurança na Internet deve estar associada ao mecanismo de
proteção
a) Plano de contingência.
b) Proxy.
c) Criptografia.
d) Firewall.
e) Sistema de detecção de intrusão.

Gabarito e Comentários das

Questões
(FGV – 2008 – Senado Federal – Analista de Suporte de
Sistemas) A necessidade cada vez maior de uso da Internet
pelas organizações e a constituição de ambientes corporativos
levam a uma crescente preocupação com a segurança, fazendo com
que o firewall assuma um papel de elevada importância. A esse
respeito, analise o esquema e as afirmativas abaixo.

Letra “C”. Como na terceira afirmativa ele especificou que é o

Proxy existente no Firewall em si, ele está referindo-se ao
“Proxy Firewall”, que trabalha na Camada de Aplicação Modelo
OSI (7).

Caso fosse apenas um Proxy fazendo papel de filtragem de

tráfego, seria a terceira Camada do Modelo OSI, a de Rede. Se
fosse um “Stateful Packet Inspection”, estaria trabalhando na
Camada 4 do Modelo OSI, a de Transporte.

(FCC – 2007 – TRE-MS – Analista Judiciário – Área

Judiciária) Uma DMZ – Zona Desmilitarizada – é um segmento de
rede parcialmente protegido que para possibilitar maior
segurança na Internet deve estar associada ao mecanismo de
proteção
Letra “D”. O Firewall tem exatamente essa função de proteger
os segmentos de sub-redes.