Prévia do material em texto

Segurança da Informação
Unidade 3
Boas práticas de segurança da informação
Diretor Executivo 
DAVID LIRA STEPHEN BARROS
Gerente Editorial 
CRISTIANE SILVEIRA CESAR DE OLIVEIRA
Projeto Gráfico 
TIAGO DA ROCHA
Autoria 
DANIEL CARLOS NUNES
AUTORIA
Daniel Carlos Nunes 
Olá! Sou Mestre em Desenvolvimento de Processos pela UNICAP, 
com experiência na elaboração de rotinas e processos para a otimização 
de operações e redução do custo operacional, executando atividades por 
cerca de 20 anos. Docente de Pós-Graduação na Universidade Estácio, 
fui professor formador, modalidade à distância, do Sistema Escola Aberta 
do Brasil - UAB, Instituto Federal de Educação, Ciências e Tecnologia de 
Pernambuco (IFPE). Fui Professor Líder de Projeto no Centro de Estudos 
e Sistemas Avançados do Recife, CESAR / HANIUM. Consultor de Custos 
em Sistemas de Saúde com foco em Gestão Hospitalar, da empresa 
Essencial TI. Já realizei trabalhos em várias instituições privadas, entre 
elas, Diname Factoring e Lojas Tentação. Na Área de Saúde, destacam-
se trabalhos já realizados no Centro Hospitalar Albert Sabin, Hospital de 
Olhos de Pernambuco, HOPE), Centro Hospitalar São Marcos, Laboratório 
Boris Berenstein. Estou muito feliz em poder ajudar você nesta fase de 
muito estudo e trabalho. Conte comigo!
ICONOGRÁFICOS
Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez 
que:
OBJETIVO:
para o início do 
desenvolvimento de 
uma nova compe-
tência;
DEFINIÇÃO:
houver necessidade 
de se apresentar um 
novo conceito;
NOTA:
quando forem 
necessários obser-
vações ou comple-
mentações para o 
seu conhecimento;
IMPORTANTE:
as observações 
escritas tiveram que 
ser priorizadas para 
você;
EXPLICANDO 
MELHOR: 
algo precisa ser 
melhor explicado ou 
detalhado;
VOCÊ SABIA?
curiosidades e 
indagações lúdicas 
sobre o tema em 
estudo, se forem 
necessárias;
SAIBA MAIS: 
textos, referências 
bibliográficas e links 
para aprofundamen-
to do seu conheci-
mento;
REFLITA:
se houver a neces-
sidade de chamar a 
atenção sobre algo 
a ser refletido ou dis-
cutido sobre;
ACESSE: 
se for preciso aces-
sar um ou mais sites 
para fazer download, 
assistir vídeos, ler 
textos, ouvir podcast;
RESUMINDO:
quando for preciso 
se fazer um resumo 
acumulativo das últi-
mas abordagens;
ATIVIDADES: 
quando alguma 
atividade de au-
toaprendizagem for 
aplicada;
TESTANDO:
quando o desen-
volvimento de uma 
competência for 
concluído e questões 
forem explicadas;
SUMÁRIO
Controle de segurança no meio físico ............................................... 12
Segurança no meio físico .......................................................................................................... 12
Objetivos da segurança no meio físico ........................................................ 12
Formas de segurança no meio físico ............................................................ 13
Controle físico de acessos ....................................................................................................... 13
Exemplos de conversão entre segurança física e lógica ............... 15
Cartões de identificação ...................................................................... 15
Biometria para permitir o acesso .................................................. 16
Fechaduras com senhas ..................................................................... 17
Instaurando a política de controle de acesso ............................................................ 18
Modelo de cebola, ou modelo de níveis .................................................... 18
Testes de segurança ................................................................................. 21
O que são testes de segurança? ......................................................................................... 21
Testes de segurança x Avaliação de vulnerabilidade ..........................................22
Como o teste funciona? .............................................................................................................22
Preparação e delimitação ......................................................................................22
Busca de informações públicas ........................................................................23
Detalhamento de serviços ....................................................................................23
Detalhamento das vulnerabilidades ..............................................................23
Pós-exploração de falhas ......................................................................................24
Relatório ..............................................................................................................................24
Principais testes do mercado .................................................................................................24
NIST SP 800-115 ............................................................................................................24
Owasp testing guide ..................................................................................................25
OSSTMM 3 .........................................................................................................................26
ISSAF .....................................................................................................................................26
Nessus vulnerability Scanner ..............................................................................27
Burp Suite ..........................................................................................................................27
Kali Linux ............................................................................................................................28
Jawfish ..................................................................................................................................28
Testes de invasão Wi-fi ...............................................................................................................29
Documento de política de segurança ............................................... 31
O que são políticas de segurança? .................................................................................... 31
Como montar uma Política de Segurança ................................................33
Planejamento da política .....................................................................33
Delimitação ou elaboração................................................................34
Criação do documento .........................................................................35
Aprovação pelo RH e diretores ..................................................... 36
Implementação da política ............................................................... 36
Política de senhas ....................................................................................................... 36
Senhas que expiram ...............................................................................37
Senhas que não se repetem.............................................................37
Senhas com composição de letras e de números ..........37
Senhas com conjunto de combinações ................................. 38
Proibir senhas de combinação e números conhecidos ......... 38
Proibir senhas de combinação de nomes conhecidos ........... 38
8
Segurança de redes externas ................................................................40
Firewall ................................................................................................................................................... 40
Firewall em software ................................................................................................. 41
Firewall em hardware ................................................................................................42
Como o firewall funciona ...........................................................................................................43Tipos de firewall ...............................................................................................................................43
Firewalls de filtragem de dados ou packet filtering ...........................44
Protocolo TCP/IP .......................................................................................45
Firewall de Proxy ..........................................................................................................45
Proxy transparente ...................................................................................47
Firewall de inspeção de estados ......................................................................47
Instalação dos Firewalls ..............................................................................................................47
Firewalls em rede ....................................................................................................... 48
Firewall local ................................................................................................................... 48
Segurança da Informação
9
UNIDADE
03
Segurança da Informação
10
INTRODUÇÃO
A fim de resguardar os três princípios básicos da Segurança da 
Informação que vimos previamente – integridade, confidencialidade 
e disponibilidade –, a segurança no meio físico visa proteger as 
informações no que concerne a todo o meio em que ele está incluído, 
isto é, funcionários, clima e condições estruturais da empresa, por isso, 
seu estudo é fundamental para a compreender como deve ser essa 
proteção. Neste encontro conheceremos mais sobre os testes que 
podem ser realizados para medir a segurança de um sistema, como 
também suas aplicações, buscando inserir definições concretas e uni-
las à prática de segurança. Além disso, iremos aprender sobre políticas 
de segurança relacionadas à Segurança da Informação, observando 
conceitos e definições básicas e as práticas para a implementação 
dessas políticas de uma maneira geral. Iremos ver como todos 
os pontos estudados previamente, como princípios, técnicas de 
segurança física, técnicas de segurança lógica, testes de segurança, 
entre outros, são inseridos nesta política. Por fim, iremos observar os 
conceitos referentes a firewall, e posteriormente proxy, observando 
suas categorias, tipos e funções. Entendeu? Ao longo desta unidade 
letiva você vai mergulhar neste universo!
Segurança da Informação
11
OBJETIVOS
Olá, seja muito bem-vindo à Unidade 3 – Boas práticas de 
Segurança da Informação. Até o término desta etapa de estudos nosso 
objetivo é auxiliar você no desenvolvimento das seguintes competências:
1. Reconhecer a importância da segurança das informações no 
meio físico, quando tratamos sobre controle de acessos.
2. Identificar as definições de testes de segurança, bem como 
entender como estes funcionam na prática.
3. Interpretar as ideias básicas das políticas de segurança.
4. Definir firewall e proxy e compreender como funcionam.
Então? Preparado para adquirir conhecimento sobre um assunto 
fascinante e inovador como esse? Vamos lá!
Segurança da Informação
12
Controle de segurança no meio físico
OBJETIVO:
Ao término deste capítulo, você será capaz de conhecer 
mais sobre a segurança no meio físico quando tratamos 
sobre controle de acessos. Vamos juntos compreender 
esses conceitos. E então? Motivado para desenvolver esta 
competência? Então, vamos lá. Avante!
Segurança no meio físico
A segurança no meio físico busca proteger as informações 
relacionadas com todo o meio em que ele está envolvido. E isto inclui 
funcionários, clima, e até mesmo as condições estruturais da empresa. 
Objetivos da segurança no meio físico
De maneira geral, quando se trata de instalações para proteger as 
informações, temos objetivos importantes a observar. São eles: 
 • Convencer a pessoa que deseja realizar o ataque malicioso a não 
o realizar, é, basicamente, mostrar ao indivíduo que a segurança é 
bem-feita e que será difícil o ataque ser bem-sucedido.
 • Impedir que o agente consiga realmente chegar a atacar, pode 
ser o objetivo principal, uma vez que na maioria das vezes toda a 
segurança está voltada para o impedimento da ação.
 • Retardar o fato o máximo que possível, caso seja impossível 
impedir, entendemos nessa situação a importância de existir 
diversas barreiras de segurança, cada uma irá atrasar ainda mais 
o ataque.
 • Detectar quando ocorreu um ataque, criando relatórios para avaliar 
a vulnerabilidade dos sistemas e das instalações físicas.
Segurança da Informação
13
Formas de segurança no meio físico
Podemos dizer que a segurança no meio físico pode ser dividida 
em dois grupos principais de objetivos, esses grupos são fundamentais 
para assegurar a proteção do sistema e o seu controle de acesso, são 
eles:
 • Segurança de acesso: São as medidas que visam proteger o 
sistema de acessos indevidos, buscando assegurar, por exemplo, 
a confidencialidade dos dados, já que acessos indevidos podem 
significar vazamento de informações, iremos tratar desse primeiro 
tipo nesta aula.
 • Segurança ambiental: É toda a prevenção que busca salvaguardar 
os sistemas de fatores climáticos e possíveis catástrofes como 
enchentes, incêndios, entre outros.
Controle físico de acessos
Podemos definir como controle físico de acessos todas as barreiras 
que impedem o contato imediato de um funcionário, por exemplo, com 
infraestrutura do sistema. Essas barreiras visam proteger o sistema de 
acessos indevidos, por isso elas são fundamentais para a segurança.
Figura 1 – Segurança da Informação
Fonte: Freepik.
Segurança da Informação
14
Para que o controle físico funcione corretamente e no máximo 
de sua eficiência, ele deve ser conectado com controles lógicos, que 
funcionam, nesse caso, basicamente como a parte de software dos 
hardwares de controle de acesso.
DEFINIÇÃO:
Controle lógico são os mecanismos que não apresentam 
forma física, isto é, é como o sistema é protegido no meio do 
próprio sistema, eles podem tanto auxiliar o controle físico 
de acessos, quanto trabalhar de maneira isolada buscando 
um fim diferente ao controle, eles são empregados 
conforme a necessidade da empresa.
Para que você compreenda melhor, imagine que existe uma porta 
com tranca criptografada, isto é, uma porta que a “chave” é uma senha, 
essa senha libera a criptografia permitindo que a porta abra e o funcionário 
tenha acesso ao sistema, a barreira física é a porta, mas ela tem como 
referência uma barreira lógica que é a criptografia. 
Os objetivos básicos de um sistema de controle de acessos, são:
 • Selecionar e identificar áreas que devem ser protegidas mais 
fortemente, onde o acesso deve ser o mais restrito possível.
 • Evitar que ocorram invasões por acesso de pessoal não autorizado.
 • Permitir que as pessoas liberadas possam acessar o sistema com 
uma maior segurança quanto a suas informações.
 • Caso ocorra alguma tentativa de acesso por pessoa não autorizada 
o sistema deve ser capaz de identificar e alarmar o indivíduo ou 
empresa responsável pela segurança, criando um registro para 
que o fato possa ser investigado da melhor maneira possível.
 • Se habilitado, criar relatórios que possuam dados referentes aos 
acessos que ocorreram, bem como as pessoas que acessaram, 
fazendo com que a empresa crie uma estatística precisa de 
acessos, o que pode ser útil para a segurança.
Segurança da Informação
15
Exemplos de conversão entre segurança física e 
lógica
No caso de conversão, isso é, união de modelos de segurança física 
e lógica, os elementos básicos que norteiam o controle são:
 • Apenas funcionários autorizados podem ter acesso aos sistemas e 
recursos computacionais da empresa.
 • O acesso às partes críticas do sistema, que formam a base e são 
fundamentais para a eficácia da cadeia produtiva da empresa 
devem ser restritos e monitorados de maneira constante.
 • A fim de assegurar que os funcionáriosestão fazendo apenas suas 
funções, é necessário criar relatórios de acesso, já que um usuário 
deverá fazer apenas o que está descrito em sua função, caso 
realize algo diverso deve ser investigado e questionado.
Cartões de identificação
Os cartões, ou crachás, são meios físicos, que apresentam uma 
estrutura lógica, isto é, eles apresentam uma forma, mas o acesso ao 
sistema se dá pela estrutura lógica do cartão, pela informação e tipo de 
permissão que ele possui para o funcionário X. Esses cartões podem 
permitir desde o acesso de um funcionário a uma determinada área da 
empresa até a possibilidade de controlar remotamente os computadores.
Figura 2 – Cartão de identificação
Fonte: Pixabay
Segurança da Informação
16
A distribuição dos crachás deve ser feita de maneira ordenada e 
pensada na redução máxima de funcionários com um “alto grau de 
permissão”. Funcionários que podem mexer diretamente com sistemas 
devem ser reduzidos, bem instruídos e de confiança, já que toda a cadeia 
produtiva da empresa pode depender dele.
Biometria para permitir o acesso
A biometria pode ser definida como o modo de identificação de 
uma pessoa com base em sua estrutura e suas características biológicas. 
Visto que cada pessoa possui um tipo diferente de estrutura biológica, a 
biometria é altamente eficaz em seu modo de identificação.
Figura 3 - Biometria
Fonte: Freepik
Quando se utiliza da biometria para realizar o controle de acesso 
dos sistemas, permite-se que tenha um maior controle de quem está 
acessando, uma vez que, esse sistema além de identificar a pessoa que 
o utilizou, em regra, cria um relatório de acessos, o que permite maior 
controle da empresa, já que ela pode observar quando o funcionário fez 
uso, criando estáticas de acesso.
Segurança da Informação
17
VOCÊ SABIA?
Por mais que seja difundida a biometria pela impressão 
digital, ela pode ser realizada por diversos meios, como 
geometria da voz do funcionário, formato da íris do olho, 
assim como o formato do rosto e de toda a mão.
Fechaduras com senhas
Esses tipos de fechaduras são relativamente comuns e acessíveis, 
e sendo a senha um meio de criptografia, essa fechadura une a lógica 
com a parte física. Ao contrário da fechadura biométrica, por exemplo, 
diversas pessoas podem ter a senha, e por isso deve-se observar quem 
terá acesso ao código, já que este pode permitir a abertura de uma ou de 
várias portas.
Figura 4 – Fechadura com senha
Fonte: Pixabay
A senha pode ser intrasferível, isso é, cada funcionário e cada porta 
possuir um tipo de acesso, ou pode ser geral, onde todos os funcionários 
autorizados possuem as senhas.
Segurança da Informação
18
Instaurando a política de controle de 
acesso
Para que o controle de acesso seja completamente eficaz é preciso 
que seja realizada uma análise no perfil da empresa, identificando quais 
são os riscos, e observando os seguintes pontos:
 • Quantidade de funcionários: Quanto maior for a quantidade de 
funcionários maior deve ser o estudo de quem deve ter acesso ao 
que, isto é, deve ser levado conta para cada nível de acesso o perfil 
de funcionário que deve ter o direito. É recomendado que o número 
de empregados que possuem acesso a partes vitais do sistema, 
bem como a partes que podem comprometer completamente o 
sistema, seja reduzido, quanto menor a quantidade menor o risco 
de acesso indevido ou vazamento de informação.
 • Nível de risco: Quanto maior for o nível de confidencialidade do 
produto da empresa e do sistema, maior será o nível de risco, já 
que o perigo deve ser medido conforme o padrão de negócio da 
empresa. Deve-se observar por exemplo, se a empresa recebe 
ameaças de vazamento, se os clientes desta empresa querem 
um tipo de privacidade maior. Tudo isso deve ser contabilizado 
quando for instaurada a política. 
Quanto maior for o investimento na infraestrutura de controle de 
acesso, maior será a segurança em relação a possíveis vazamentos de 
informação, o que garante um princípio básico, o da confidencialidade.
Modelo de cebola, ou modelo de níveis
Um dos métodos bastante utilizados na segurança física é o modelo 
cebola, também chamado de modelo de níveis, que consiste na criação 
de diversos níveis de segurança, assegurando assim que o sistema seja 
seguro, o modelo basicamente resguarda o sistema no centro, e para 
chegar nele existem diversas etapas e diversos níveis de autorização.
Segurança da Informação
19
O modelo de níveis funciona da seguinte maneira:
Figura 5 – Modelo de níveis
Área dos visitantes, 
é a mais externa e 
não possui contato 
nenhum com o 
núcleo do sistema.
Os funcionários gerais, não possuem, em 
regra, acesso aos níveis mais profundos de 
segurança. Devem possuir noções básicas 
de segurança, mas com acesso limitado.
O nível que tem acesso direto 
ao sistema deve ser o de TI, 
que deve ter treinamento 
especial para a proteção.
Fonte: Adaptada de Lovejoy (1996).
Perceba que cada nível traz um tipo de segurança diferente, e isso 
acontece para aumentar as condições de segurança física dos meios. E 
esse é apenas um exemplo de como ele pode ocorrer, pois, dependendo 
do ambiente em que ele estiver inserido podem ser incluídos mais 
círculos nele. 
Segurança da Informação
20
RESUMINDO:
Nesta aula compreendemos como é importante proteger as 
informações das empresas através da utilização de formas 
de segurança no meio físico. Conhecemos os principais 
objetivos dessa segurança que incluem o convencimento 
de não realização do ataque, o impedimento, o 
retardamento da ação e a detecção do ataque, mas que 
para isso devem ser utilizadas formas para assegurar essa 
segurança no qual fazem parte a segurança de acesso e 
a segurança ambiental. Conhecemos também como pode 
ser realizado o controle físico de acessos através da união 
de modelos de segurança física e lógica por meio de 
cartões de identificação ou biometria para permitir o acesso, 
fechaduras com senhas. Por fim, entendemos como pode 
ser instaurada a política de controle de acessos de acordo 
com o perfil de cada empresa e analisando os possíveis 
riscos a que ela esteja suscetível, conhecendo também o 
modelo de níveis, chamado de “modelo de cebola” que é 
formado por diversos níveis de segurança.
Segurança da Informação
21
Testes de segurança 
OBJETIVO:
Ao término deste capítulo, você será capaz de entender as 
definições de testes de segurança, bem como entender 
como eles funcionam na prática. E então? Motivado para 
desenvolver esta competência? Então, vamos lá. Avante!
O que são testes de segurança?
Fundamentais para a segurança da rede, os testes de segurança 
são os meios pelos quais identificamos se o sistema implantado está 
seguro, bem como observamos a sua eficácia para ataques controlados.
Figura 6 – Testes de segurança
Fonte: Pixabay
Como veremos um pouco a frente, os testes de segurança utilizam 
metodologias e técnicas que possuem um padrão, que pode ser definido 
como internacional. 
Segurança da Informação
22
DEFINIÇÃO:
Os testes de segurança são os meios pelos quais os 
sistemas são avaliados, também conhecidos como Security 
Testing, e buscam avaliar as falhas que podem ser utilizadas 
por atacantes.
Testes de segurança x Avaliação de 
vulnerabilidade
Qual seria a diferença entre os testes de segurança e as avaliações 
de vulnerabilidade? O teste de segurança é mais completo que a 
avaliação de vulnerabilidade, já que eles trabalham com a avaliação, mas 
vão além de realizar apenas as avaliações do sistema, eles trabalham com 
a exploração, isto é, a busca delas para que a avaliação do dano que pode 
ocorrer caso haja um ataque, seja feita de maneira precisa.
Como o teste funciona?
De maneira geral, os testes de segurança possuem um rito tradicional, 
que deve ser seguido para que os resultados sejam aproveitáveis.
Esse rito padronizado auxilia a identificar os problemas de maneira 
mais rápida e fácil, por isso vamos observaras etapas a seguir:
Preparação e delimitação
Nesta fase o escopo do teste é criado, isto é, todo o esquema 
de como o teste vai funcionar é delimitado nesta hora, e ele deve ser 
delimitado antes de tudo para que se possa ocorrer o teste da melhor 
maneira possível, já que, sem uma área delimitada, o teste pode se tornar 
prolixo e pouco útil para o fim em que foi pensado.
Neste momento são observadas as necessidades do cliente, se ele 
precisa que um IP específico seja testado com mais afinco, quais são os 
dias e horários que ele deseja que o teste seja realizado, bem como a área 
que deve ser coberta.
Segurança da Informação
23
Busca de informações públicas
Uma das fases introdutórias ao teste, nessa etapa são coletadas 
informações gerais sobre o que está sendo testado e a empresa que 
solicitou esse teste. Hoje em dia com a grande difusão das redes sociais, 
esse teste é feito também pela busca de informação nessas fontes, 
além das fontes tradicionais que são os grandes buscadores de Internet, 
Google, Yahoo, entre outros. São levadas em consideração apenas 
informações que tem caráter público, ou seja, o que todos sabem, com 
o objetivo de descobrir se, por meio dessas informações, é possível que 
usuários consigam invadir o sistema.
Detalhamento de serviços
Utilizando métodos compatíveis com a necessidade da empresa, 
nesta etapa são feitas varreduras de máquinas no IP da companhia. 
Nesta fase o objetivo é descobrir quais são os computadores que estão 
conectados diretamente com a rede interna, a fim de identificar possíveis 
pontos vulneráveis à invasão e o uso indevido da rede.
Detalhamento das vulnerabilidades
Utilizando escâneres e programas específicos, é nessa etapa que é 
feita toda a análise das vulnerabilidades e falhas do sistema. Essas falhas 
são analisadas por códigos específicos chamados exploits, esses códigos 
são inseridos de maneira coordenada e previamente acertada com os 
representantes da segurança do local.
Figura 7 – Vulnerabilidades 
Fonte: Freepik
Segurança da Informação
24
É nessa fase que os softwares instalados, hardwares e os sistemas 
operacionais são testados de maneira repetitiva, as portas de entrada de 
dados também são pontos fundamentais, vendo por exemplo pen-drives 
utilizados pelos funcionários e qualquer outro fator que possa vir a trazer 
prejuízos para a segurança.
Pós-exploração de falhas
Após avaliar as falhas existentes nos sistemas, nesta etapa são 
reunidas todas as informações relativas ao teste que ocorreu, e assim são 
criados acessos para testes futuros.
Relatório
O relatório é o produto do teste, é nele que contém todos os dados 
e passos que foram utilizados no teste, ele é o produto que é enviado à 
empresa e possui informações de como melhorar o sistema, o que foi 
encontrado de errado, as falhas que foram observadas, os diagnósticos 
de rede e de pessoal. O relatório deve ser claro e preciso a fim de evitar 
possíveis ambiguidades em sua interpretação. Devendo possuir todos os 
dados relevantes para empresa.
Principais testes do mercado
Vamos observar a seguir os principais modelos de testes que estão 
disponíveis no mercado atualmente. Esses testes não são os únicos, 
ainda é possível a adoção de outros ou até mesmo a criação de um teste 
personalizado para as necessidades da empresa, por isso, é importante 
que se tenha um conhecimento mais aprofundado quanto a Segurança 
da Informação a fim de que seja possível tratar da segurança de maneira 
individualizada.
NIST SP 800-115
Utilizado como base para testes de segurança, esse tipo funciona 
como um guia geral, que engloba diversos pontos que devem ser 
observados quando for realizar a ação preventiva de segurança. 
Segurança da Informação
25
Ele foi criado pelo National Institute of Standards and Technology 
dos Estados Unidos, e possui em seu conteúdo um passo a passo com 
recomendações procedimentais e práticas. Ele é bastante utilizado pelo 
fato de conseguir identificar e atenuar possíveis falhas no sistema ou na 
gestão do sistema de segurança.
DEFINIÇÃO:
Quer conhecer mais sobre essa técnica de teste de 
segurança? Aprofunde-se clicando aqui e conheça todo o 
processo.
Owasp testing guide
Podendo ser considerado um dos mais amplos, o OWASP, que é a 
abreviação de The Open Web Application Security Project, funciona como 
um “Wikipédia” dos testes de segurança, ele é um guia que é sustentado 
pelos profissionais que trabalham com Segurança da Informação, 
e funciona como uma plataforma colaborativa, onde todos podem 
acrescentar novas informações.
Figura 8 – Owasp testing guide
Fonte: Freepik
Segurança da Informação
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf
26
Por ser uma plataforma que está sempre sendo atualizada por 
inúmeros profissionais, ela é bastante completa e engloba, basicamente, 
todos os passos para a gestão de um sistema seguro, bem como ensina a 
controlar aplicações na Internet de maneira segura.
DEFINIÇÃO:
Para conhecer mais sobre esse meio de teste, acesse aqui.
OSSTMM 3
Levando em consideração além de testes de segurança, análises 
de vulnerabilidade, hacking ético e testes de invasão, a Open Source 
Security Testing Methodology Manual, é mais que um meio de teste, é a 
metodologia pelo qual ele se faz.
O OSSTMM trabalha por meio de ligações de diversos testes e 
análise dos resultados, por isso é considerado uma metodologia. 
Como vimos previamente, para que um sistema de segurança 
seja considerado eficaz ele precisa atender diversas especificações, e o 
OSSTMM atende, ele se encaixa e é aprovado em padrões como NIST, 
PCI-DSS e ISOs, que tratam sobre segurança.
ISSAF
Considerado como um processo de integração de ferramentas 
utilizadas para administrar sistemas de segurança com os procedimentos 
utilizados para testá-los, o Information Systems Security Assessment 
Framework é um teste ou guia que busca adequar os sistemas e as 
normas, para sistemas ou normas padronizadoras como ISO.
Por ser um sistema relativamente complexo, ele é aplicável a 
grandes empresas e cadeias produtivas, como bancos, indústrias das 
mais diversas e prestadores de serviço, podendo ser utilizados também 
em grandes comércios.
Segurança da Informação
https://www.owasp.org/index.php/Main_Page
27
Esse teste de segurança cobre desde a confidencialidade das 
senhas empregadas até a preservação dos sistemas operacionais 
utilizados pela companhia. Por causa disso ele é considerado um dos 
mais completos quando se trata do processo de teste.
Nessus vulnerability Scanner
Distribuído em 1998 por Renuad Deraison, essa ferramenta foi 
criada com o intuito de democratizar a segurança, isto é, disponibilizar 
uma ferramenta boa, com uma alta performance, gratuita e acessível a 
todos.
Conhecido também por testar a vulnerabilidade dos sistemas, o 
Nessus Vulnerability Scanner trabalha com a investigação do computador, 
em especial de firewalls, buscando possíveis modos de entrada para vírus 
e instalação de softwares de caráter malicioso.
O sistema funciona como um escâner que trabalha com uma base 
de dados que já existe no programa, aqui temos uma limitação, caso o 
programa malicioso ou a porta de entrada não seja reconhecida, ela passa 
despercebida pelo teste.
Quando utilizada para testar o sistema, ela trabalha se comunicando 
com o sistema operacional, observando se todo o sistema está integro.
Burp Suite
Utilizada especialmente para aplicações na Internet, a Burp Suite 
trabalha com testes a fim de explorar as fraquezas do sistema, que são as 
possíveis portas de entrada de vírus e ataques. 
Ela funciona como um navegador de Internet, que ao ser utilizado 
descobre desde falhas básicas até ataques que podem ser customizados 
para a sua máquina ou sistema da empresa.
Lembra do modo de invasão Cross site Scripting? Ela é a ferramenta 
perfeita para investigar e inibir esse ataque, já que trabalha utilizandoproxys, que são intermediários do usuário com a sua rede de Internet. 
Segurança da Informação
28
Kali Linux
Como o nome já denota, essa ferramenta é do sistema operacional 
LINUX, é basicamente uma suíte pré-instalada nos computadores, e 
possui uma ampla possibilidade de agir, já que funciona desde teste de 
penetração até análise forense.
E ao contrário de algumas ferramentas de testes de segurança, essa 
tem o layout simples e pode ser utilizada por pessoas que não possuem 
muito conhecimento quando o assunto é Segurança da Informação.
Por funcionar como um sistema operacional, o Kali Linux possui 
mais de 300 ferramentas que vão desde testes de software até testes de 
força bruta.
ACESSE:
Quer conhecer mais sobre essa ferramenta? Acesse aqui.
Jawfish
Utilizando algoritmos genéticos, que são basicamente meios pelos 
quais buscamos soluções possíveis com base na otimização da busca, 
segundo o desenvolvedor Saez, ele funciona procurando coisas com 
base em um contexto. Ele é utilizado da seguinte maneira:
1. A interface gráfica deve ser aberta para que o teste comece.
2. O endereço de IP do servidor deve ser posto quando pedido.
3. Após colocar o endereço de IP do servidor, deverá ser inserido o 
endereço que esteja desprotegido dentro desse servidor.
4. Ao contrário de outros sistemas, você deve dizer qual é a 
vulnerabilidade que quer testar, essa é a desvantagem dele, se 
não souber qual é, ele não irá dar resultados precisos.
5. Além da vulnerabilidade, o método de busca deve ser dito.
Segurança da Informação
https://fhs.pro.br/flisol-2016/PT_Kali_Linux.pdf
29
Testes de invasão Wi-fi
Buscando avaliar a segurança das redes sem fio, os testes de invasão 
de wi-fi consistem em ataques reais e controlados à rede investigada. 
Durante esse ataque são observadas desde vulnerabilidades até a 
definição do perímetro que deve ser controlado na parte física e lógica. 
Além de testar essas características, ainda é analisado o sistema no nível 
técnico, isto é, as pessoas que estão envolvidas no desenvolvimento e 
manutenção do sistema também são observadas.
As técnicas que são utilizadas, normalmente são:
 • Mapeamento da estrutura: Nesta etapa os pontos de acesso da 
rede sem fio são basicamente observados e enumerados, a fim 
de se criar um “perímetro” de atuação do teste de segurança, essa 
etapa é fundamental para que se tenha uma boa visão sobre o 
sistema. 
 • Teste de acesso ou Força Bruta: Nesta fase, são analisadas, 
basicamente, as questões de acesso físico e lógico, observando 
quem tem as credenciais que dão acesso à rede, bem como a 
validade das senhas e a quantidade delas. Esse passo visa 
proteger, em especial, a questão da confidencialidade. 
 • Teste de perímetro: Testa o perímetro do wi-fi, verificando se 
extrapola o perímetro da empresa, o que pode causar pontos de 
acesso e consequentemente serem brechas para invasão. 
 • Teste de RAP: Testa o Rogue Access Point, observando se é 
possível, através de ataques, capturar informações de usuários 
que utilizam a rede.
Segurança da Informação
30
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu mesmo 
tudinho? Agora, só para termos certeza de que você 
realmente entendeu o tema de estudo deste capítulo, 
vamos resumir tudo o que vimos. Compreendemos o que 
vem a ser os testes de segurança e que eles são essenciais 
para a preservação da rede. Conhecemos a diferença 
existente entre os testes de segurança e a avaliação de 
vulnerabilidade, como também como o teste funciona 
através da apresentação de todas as etapas que incluem 
a preparação e delimitação, a busca de informações 
públicas, o detalhamento de serviços, o detalhamento de 
vulnerabilidades, a pós-exploração de falhas e o relatório. 
Vimos quais são os principais modelos de testes que 
estão disponíveis no mercado atualmente, como o NIST 
SP 800-115, e ainda o que são os testes de invasão de 
wi-fi que consistem em ataques reais e controlados à rede 
investigada.
Segurança da Informação
31
Documento de política de segurança 
OBJETIVO:
Ao término deste capítulo, você será capaz de entender as 
noções e ideias básicas sobre as políticas de segurança. 
E então? Motivado para desenvolver esta competência? 
Então, vamos lá. Avante!
O que são políticas de segurança?
Com o objetivo de uniformizar as técnicas de segurança, bem como 
os padrões que devem ser seguidos por todos os funcionários, as políticas 
de segurança são criadas pelas empresas como uma forma de padronizar 
relações e procedimentos. Essas políticas precisam ser claras, realistas e 
bem definidas
A política de Segurança da Informação pode ser definida como um 
documento criado pela empresa com todas as diretrizes relacionadas à 
Segurança da Informação e dos sistemas. Ela deve conter as metodologias 
de testes, os métodos utilizados para garantir a segurança, e os 
procedimentos que devem ser adotados por funcionários (FERNANDES; 
ABREU, 2008). 
Figura 9 – Proteção
Fonte: Freepik.
Segurança da Informação
32
Para que a política de segurança seja de fato efetiva e consiga 
cumprir bem o seu papel deve-se observar a interação dos funcionários 
com ela, isto é, ver se eles se adaptam, como é que eles põem em 
prática no dia a dia, visto que, caso não ponham a política de segurança 
em prática, ela é inútil. Quando ocorrem mudanças em quadros de 
funcionários, cargos e horários, deve-se ocorrer um treinamento para que 
os colaboradores se adaptem à política.
IMPORTANTE:
Para que uma política de segurança válida seja instalada, 
deverá ser levada em consideração a ISO/IEC 27001, aquela 
que estudamos previamente e trata sobre os requisitos de 
instalação da política. 
Como vimos previamente, a Segurança da Informação é definida 
a proteção da informação de vários tipos de ameaças para garantir a 
continuidade do negócio, minimizar o risco ao negócio, maximizar o 
retorno sobre os investimentos e as oportunidades de negócio (ABNT, 
2012).
E para que essa segurança ocorra de maneira eficaz de acordo com 
as necessidades da empresa, a Política de Segurança deve ser feita de 
maneira individualizada, onde o perfil da corporação deve ser levado em 
consideração em cada ponto abordado. De modo geral, possuímos duas 
formas de garantir as políticas de segurança, que são:
 • Permissiva – tudo o que não é proibido será permitido, sendo 
mais liberal e menos rígida, as políticas que atendem esse padrão 
são para perfis de empresas menos rígidas. Caso uma empresa 
rígida adote esse tipo, ela terá que criar um documento muito bem 
redigido e amarrado, onde não terão brechas para permissão de 
atos que serão danosos ao sistema;
 • Proibitiva – tudo o que não é permitido, será proibido, essa é mais 
rígida, portanto é mais empregada em empresas que prezam pela 
segurança, que possuem um perfil ou uma atividade que precisem 
desse grau de força.
Segurança da Informação
33
Após abordarmos tudo sobre segurança, as medidas de segurança 
física e lógica e como aplicá-las, o próximo passo é criar o documento da 
Política, que irá englobar todos os assuntos vistos previamente.
Como montar uma Política de Segurança
Alguns passos básicos devem ser seguidos para montar uma política 
de segurança, esses passos não são necessariamente fundamentais para 
montar quaisquer políticas, mas são um bom começo para pessoas que 
possuem pouco contato com essa área. Os passos são:
Figura 10 – Etapas da criação de uma política de segurança
POLÍTICA DE 
SEGURANÇA
Planejamento
Elaboração
Criação
Implementação
Aprovação
Fonte: Adaptada de Fernandes e Abreu (2008).
Vejamos as principais características de cada um desses passos.
Planejamento da política
O primeiro passo para criar uma Política de Segurança eficaz é o 
planejamento, que consiste, basicamente, no colhimento de informações 
relevantes. Esses dados devem ser recolhidos com calma, para evitar 
problemas de incongruência de informações que podem vira tornar toda 
a política ineficaz. 
Segurança da Informação
34
Caso esteja recriando uma política já existente, deve-se observar 
quais foram os pontos positivos e negativos, quais foram as falhas que 
ocorreram e o que pode ser acrescentado para ela.
Figura 11 – Planejamento
Fonte: Freepik
O planejamento pode ser realizado por qualquer pessoa autorizada 
que possua conhecimento na área, mas deve, inicialmente, ser autorizado 
pela diretoria da empresa.
Delimitação ou elaboração
É nesta fase do processo em que todos os pontos são criados, isto 
é, é nesse momento que se delimitam as questões de acesso à Internet, 
de logins em sites e permissões de acesso. 
Nesta etapa são observados todos os pontos que irão integrar a 
política, caso ela seja proibitiva, os pontos que concernem as atribuições 
de cada setor ou funcionário devem estar descritas nela, ou seja, caso um 
setor precise ter acesso ao sistema central, e nenhum outro possa, deve 
estar escrito quais são os setores que podem, para que não ocorra um 
impasse e atrase os trabalhos dos funcionários.
Segurança da Informação
35
E-mail, dispositivos móveis, uso de dados de redes wi-fi, tipos de 
acesso físico e lógico, tudo isso deve ser levado em consideração.
Criação do documento
Após a delimitação dos pontos e criação da política, é nesta fase 
que o documento propriamente dito é feito, o documento deve ser 
redigido de maneira clara e coesa, evitando redundâncias e abordando 
todos os pontos que foram levantados no planejamento e na delimitação.
Alguns tópicos são mais recorrentes neste documento. São eles:
1. Em primeiro lugar se define o que é Segurança da Informação, 
para evitar possíveis desentendimentos ou confusões.
2. Uma declaração de quem fez e da diretoria da empresa deve ser 
anexada antes de iniciar o texto de regras, a fim de demonstrar 
que existe um comprometimento com a política.
3. Os objetivos gerais da política devem estar antes das regras 
especificas.
4. Deve existir, logo no início ou no fim, uma parte que trata do 
descumprimento das cláusulas da política.
5. De início, deve-se observar as políticas de segurança física, isto é, 
controle de acesso, e segurança física-lógica, que são as senhas.
6. As permissões devem ser elencadas de maneira clara.
7. Deve-se criar uma classificação quanto às informações, 
delimitando quais são secretas, por exemplo.
8. Por fim, os planos para implementação devem estar bem 
descritos.
ACESSE:
Quer ver um exemplo de política de segurança? Acesse aqui.
Segurança da Informação
https://www.portalgsti.com.br/2011/06/exemplo-de-politica-da-seguranca-da-informacao.html
36
Aprovação pelo RH e diretores
Qualquer alteração em uma política existente, ou criação de uma 
nova deverá ser aprovada pelo departamento de Recursos Humanos da 
empresa. Essa etapa visa garantir que a Política de Segurança esteja em 
conformidade com as leis trabalhistas, a fim de não criar problemas em 
relação a esse tópico. Após a aprovação pelo RH, o documento deverá 
ser levado para os gestores e diretores da empresa, para que eles 
tomem conhecimento de todo o documento, para que, caso haja alguma 
irregularidade ou incompatibilidade com as políticas de gestão, essas 
sejam alteradas antes da publicação.
Implementação da política
Todos os funcionários, incluindo os terceirizados e as prestadoras 
de serviço deverão conhecer a política, mas os funcionários fixos da 
empresa devem receber mais atenção, devendo ser treinados com uma 
certa frequência para que sempre estejam atualizados, e caso uma nova 
política seja instaurada deverá ter um novo treinamento.
SAIBA MAIS:
Lembra das ISO estudadas? Segundo a ISO IEC 27002, 
todos os usuários ou funcionários do sistema deverão 
conhecer as ameaças e vulnerabilidades a fim de evitar que 
elas prejudiquem todo o sistema. Para saber mais sobre a 
ISO IEC 27002 leia o artigo “Segurança da Informação em 
um Instituto de Pesquisa: Uma Análise Utilizando a Norma 
ISO/IEC 27002:2005”, disponível aqui.
Política de senhas
Uma parte importante da política de segurança é a política de 
senhas, nela são tratadas as ações básicas relacionadas às senhas. É 
importante observar alguns cuidados necessários, dentro do processo de 
Segurança da Informação. Nada de usar letras e números que podem ser 
óbvios, para quem te conhece.
Segurança da Informação
https://repositorio.ufba.br/ri/bitstream/ri/21944/1/Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o%20em%20um%20Instituto%20de%20Pesquisa%20-%20uma%20an%C3%A1lise%20utilizando%20a%20norma%20ISO-IEC%2027002-2005.pdf
37
Senhas que expiram
Essas senhas são adotadas quando a empresa ou um usuário 
comum decide empregar um prazo de validade para as suas senhas, 30, 
60, 90 dias, os prazos variam com a necessidade de renovação.
Figura 12 - Senhas
Fonte: Pixabay
Essas senhas tornam o sistema mais seguro, pois dificultam o 
trabalho de quem quiser burlar o sistema de segurança. Com a expiração 
programada os usuários devem sempre atualizar as suas senhas, caso 
não atualizem não conseguirão acessar o sistema.
Senhas que não se repetem
Quando as letras e números não se repetem, e não se confundem 
com senhas anteriores, as senhas se enquadram nessa categoria.
É recomendado que a cada senha, se crie uma combinação, senhas 
iguais facilitam a invasão de diversos sistemas ao mesmo tempo.
Senhas com composição de letras e de números
São as senhas sempre aconselhadas, aquelas que são formadas 
pela junção de números e letras, sendo as letras maiúsculas e minúsculas. 
Segurança da Informação
38
Muitas vezes além das letras e números é aconselhado que se 
coloque caracteres especiais, que são símbolos como: “$%&#@”, eles 
dificultam ainda mais a invasão do sistema.
Senhas com conjunto de combinações
Trata-se daquelas senhas que já são pré-definidas e sugeridas, 
geralmente por um servidor de e-mail, ou servidor de rede social. Neste 
caso é recomendável que se possível, você realize a troca das senhas 
posteriormente, a fim de que, caso o sistema do e-mail ou servidor venha 
a ser atacado, elas não sejam reveladas de imediato.
Proibir senhas de combinação e números conhecidos
Trata-se daquelas senhas que não podem ser usadas se quiser 
preservar o sistema. Essas senhas consistem em datas de nascimento, 
números de telefone, placa de carro, e até número do endereço da 
casa do usuário, ou seja, são informações pessoais que caso o agente 
responsável pelo ataque conheça um pouco da vida pessoal da pessoa, 
descubra de imediato as senhas,
Proibir senhas de combinação de nomes conhecidos
São senhas que também não devem ser utilizadas já que tratam 
também de dados pessoais do usuário. Isso porque elas utilizam nomes 
que são conhecidos, do usuário, de familiares e amigos, de lugares, de 
empresas, etc.
Segurança da Informação
39
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu mesmo 
tudinho? Agora, só para termos certeza de que você 
realmente entendeu o tema de estudo deste capítulo, 
vamos resumir tudo o que vimos. Você deve ter aprendido 
que as políticas de segurança buscam uniformizar as 
técnicas de segurança e se baseiam em um documento 
criado pela empresa que contém as diretrizes relacionadas 
com a Segurança da Informação e dos seus sistemas. 
Compreendeu que, como forma de garantir as políticas de 
segurança, podem ser utilizadas as premissas permissivas 
e proibitivas. Conhecemos como uma política de segurança 
pode ser montada por meio de alguns passos que incluem 
o planejamento da política, a delimitação ou elaboração, a 
criação do documento, a aprovação pelo RH e diretores, 
e por fim a sua implementação. Compreendemos que 
a política de senhas é muito importante, pois nela são 
tratadas ações básicas relacionadas com as chaves de 
acesso e que devem ser observadas como as senhas que 
expiram, as senhas que não se repetem, as senhas com 
composição de letras e números, senhas com conjunto 
de combinações,a proibição de senhas com combinação 
e números conhecidos, e a proibição de senhas com 
combinação de nomes conhecidos.
Segurança da Informação
40
Segurança de redes externas
OBJETIVO:
Ao término deste capítulo, você será capaz de identificar 
o que é Firewall, o que é Proxy, e como os dois funcionam. 
E então? Motivado para desenvolver esta competência? 
Então, vamos lá. Avante!
Firewall
Por conta da atual preocupação com a segurança de sistemas, a 
palavra “firewall” tem estado cada vez mais presente em nosso dia a dia. Por 
mais que o usuário tenha contato com Internet, e com sistemas de redes 
externas diariamente, é preciso que, caso ele queira aprofundar mais o 
conhecimento e tornar o sistema de sua empresa seguro, compreenda 
os conceitos que cercam o firewall, uma ferramenta que é basicamente o 
muro de segurança de seu computador.
Figura 13 – Firewall 
Fonte: Elaborada pelo autor (2021).
Sendo uma solução conjunta de hardware e software, o firewall é um 
mecanismo de segurança que trabalha analisando e filtrando o fluxo de 
informações trocadas pela rede, é um mecanismo que serve como barreira 
para evitar comunicações não autorizadas (CHAVES; FALSARELLA, 1995).
O objetivo básico do firewall é bloquear a troca de informações 
indesejadas. 
Imagine a portaria de um condomínio que possui regras básicas 
para permitir a entrada e saída de visitantes, inicialmente eles devem 
se identificar, depois identificar a pessoa que veio visitar e por último a 
Segurança da Informação
41
pessoa que mora no condomínio deve liberar a entrada, o firewall é 
basicamente esta portaria dos sistemas, ele delimita fatores básicos para 
que os programas possam “entrar e sair” da máquina. 
O firewall pode ser configurado para atender o perfil da empresa 
ou do usuário que o utiliza, podendo até bloquear todo o acesso e troca 
de informações no sistema, observando que, essa condição torna o 
computador completamente isolado de redes externas, o que pode ser 
prejudicial para certos tipos de negócio, por exemplo.
Firewall em software
Como vimos previamente, o firewall é uma união de software e 
hardware para manter o sistema seguro. O firewall em software trabalha 
com regras básicas de segurança que podem ser entregues pelo sistema 
operacional, por exemplo, essas regras de segurança são os parâmetros 
para que as aplicações sejam aprovadas ou não.
Existe um firewall em forma de software em todo o sistema 
operacional, isto quer dizer que, no nível mais básico, todas as máquinas, 
desde que essa função não seja desabilitada pelo funcionário, possuem 
o nível de proteção básico, mas caso o usuário precise de um nível mais 
avançado, é necessário que ele una esse programa vindo de fábrica com 
um hardware mais forte ou até outro software.
Figura 14 – Firewall em software
Fonte: Elaborada pelo autor (2021).
Segurança da Informação
42
No sistema operacional Windows, por exemplo, para ter acesso ao 
firewall que vem com o próprio sistema, você deve:
 • Selecionar, primeiramente, o Painel de Controle.
 • Após abrir o Painel de Controle, procure e selecione a guia Sistema 
de Segurança.
 • Selecione a opção Firewall do Windows.
 • No Windows 10, você deverá ir em Configurações, depois 
Segurança do Windows e selecionar a opção Firewall e proteção 
de rede.
Figura 15 – Firewall e proteção de rede
Fonte: Elaborada pelo autor (2021).
Firewall em hardware
Servindo mais como um complemento do que um sistema 
propriamente dito, o firewall em hardware é o “hospedeiro” de um sistema 
de software. Esses hardwares, hoje em dia já vem embutidos em roteadores 
de Internet sem fio, e são preferíveis já que controlam “de dentro” o fluxo.
Quando lidamos com redes de computadores que estão ligados a 
um mesmo roteador de wi-fi esse sistema é o mais recomendado, uma 
vez que além de disponibilizar a Internet, ele gerencia as conexões e 
executa as funções básicas de firewall.
Segurança da Informação
43
NOTA:
Por mais que o firewall esteja em um só aparelho que 
se conecta com todas as máquinas, é possível que o 
administrador, quando necessário, modifique as condições 
de cada computador, isto é, consiga adaptar o firewall para 
cada tipo de computador e de usuário.
Como o firewall funciona
Com base nos dados disponibilizados pelo usuário que cuida das 
redes, o firewall tanto de software quanto de hardware, trabalha realizando 
permissões ou bloqueios de conteúdos que vem das redes externas.
Imagine que você possui um firewall e você o programou para 
permitir compras na Internet apenas de itens de limpeza pessoal, caso 
qualquer outro produto, como roupa, por exemplo, for acrescentado no 
seu carrinho, o firewall não irá permitir que essa compra se realize. Esse é 
um exemplo simples de como o sistema de proteção funciona.
O firewall também funciona realizando serviços de:
 • Armazenamento do histórico de dados, isto é, ele cria registros, 
que podem ter seus períodos definidos pelo usuário, do tráfego 
dos dados.
 • Armazena os conteúdos ou informações que são muito vistas na 
parte de cachê, esses dados podem ser excluídos posteriormente 
pelo administrador.
 • Caso alguns processos tenham o acesso limitado ao administrador, 
ele cria barreiras de acesso lógico, que podem ser senhas, por 
exemplo.
Tipos de firewall
Os firewalls possuem três tipos básicos de atuação. São eles:
Segurança da Informação
44
Firewalls de filtragem de dados ou packet filtering
Surgiu em 1980, e é um tipo de filtragem simples, baseada na 
filtragem de dados. Embora seja segura e ofereça de forma simples essa 
proteção, esse tipo de programa é limitado quanto ao seu poder de atuação. 
Essa filtragem consiste em uma análise básica de compatibilidade entre 
a demanda do usuário e o recebimento do dado. Ela trabalha com uma 
lista, desenvolvida pelo usuário administrador, ou pelo desenvolvedor do 
programa, onde nessa lista contém as regras básicas para que o firewall 
aceite ou recuse algo. Caso haja incompatibilidade entre as regras e 
os dados recebidos, o usuário é considerado inapto. Existem dois tipos 
básicos desse tipo de firewall:
 • Filtragem estática: não levando em consideração a ligação de 
um dado com o outro, ou de um pacote, essa filtragem se baseia 
unicamente em regras pré-dispostas, que apesar de seguras 
tornam o sistema engessado para qualquer outra demanda que 
necessite dessa comparação.
 • Filtragem dinâmica: veio para implementar um sistema mais 
completo que não possuísse o engessamento da filtragem estática, 
através da dinâmica os dados e regras se adaptam ao cenário, 
utilizando as regras da mesma forma, só que possibilitando uma 
maior inteligência do programa. 
Vamos observar um pequeno esquema que retrata como esse 
programa funciona:
Figura 16 – Packet filtering
PACOTE 
DE DADOS
Autorizado
Não autorizado
Regras descritas 
no firewall
Se for compatível 
Se não for compatível 
Fonte: Adaptada de Chaves e Falsarrella (1995)
Segurança da Informação
45
Nesse caso, a transmissão dos dados de rede é feita mediante o 
protocolo TCP/IP, não sabe o que é esse protocolo? Veja um pouco sobre 
ele a seguir:
Protocolo TCP/IP
O protocolo TCP/IP é considerado o principal quando falamos 
sobre troca de dados na Internet, sua sigla significa Transmission Control/
Protocol Internet Protocol. Esse protocolo se organiza em camadas, e são 
essas camadas que garantem a integridade da informação trocada. As 
camadas são:
Figura 17 – Protocolo TCP/IP
1º - Camada 
de aplicação
2º - Camada 
de transporte
3º - Camada 
de rede
4º - Camada 
de interface
Fonte: Com base em Chaves e Falsarrella (1995).
 • Camada de aplicação: É a camada que é responsável pelo envio e 
recebimento de informações;
 • Camada de transporte: Nessa camada os dados enviados pela 
camada de aplicação são verificados e distribuídos em pacotes 
de dados;
 • Camada de rede: Nesta etapa é que entra o IP, já que os dados sãorecebidos e armazenados nele;
 • Camada de interface: Essa camada é a mais “próxima” do usuário, 
já que ela trata sobre o recebimento e a entrega de maneira a 
incorporar os desejos do usuário.
Firewall de Proxy
É o firewall que atua realizando a intermediação do computador, 
ou de uma rede interna que deseja se comunicar com a rede externa, é 
também conhecido como firewall de aplicação.
Segurança da Informação
46
Como todo o fluxo passa pela porta que esse firewall disponibiliza, 
nenhum dado consegue sair ou entrar sem que ele esteja ciente, e por 
isso ele é tão eficaz na proteção de seu computador ou rede. Ele não 
permite qualquer tipo de comunicação que possa vir a ser danosa para o 
sistema, por isso ele é considerado tão eficiente. Porém, por ter que lidar 
com inúmeros requerimentos, ele precisa ser instalado em um servidor 
potente, o que torna ele mais complicado para o usuário leigo.
Figura 18 – Firewall de proxy
Fonte: Pixabay
Vamos observar a seguir alguns tipos de proxy que não funcionam 
como firewall:
 • WEB PROXY: esse tipo de proxy possibilita que se esconda o 
endereço IP do site que está acessando, muitas vezes é utilizado 
para furar outro firewall, já que, através dele é possível mascarar o 
acesso a sites que foram proibidos.
 • OPEN PROXY: é um tipo de ataque utilizado por crackers, onde, 
através da instalação de uma conexão aberta eles conseguem 
ter acesso irrestrito ao computador afetado, podendo sequestrar 
informações, por exemplo.
 • REDES PROXY: essa rede permite que sejam feitas conversações 
anônimas, elas são baseadas em códigos criptografados que 
escondem essas informações.
Segurança da Informação
47
Proxy transparente
Assim como o sistema dinâmico, o proxy transparente vem para 
consertar um problema dos proxys tradicionais, que muitas vezes, são 
estáticos demais. Normalmente, o proxy tradicional exige que você adeque 
cada máquina para ele, atualizando e instalando ferramentas diferentes 
em cada uma, o proxy transparente vem para quebrar isso, por meio dele 
o computador fica de uma forma invisível, mas não desprotegida. 
EXPLICANDO MELHOR:
Dispensando qualquer configuração que precise ser 
instalada de maneira única na máquina, o proxy transparente 
faz com que ela não seja vista pelo sistema, além de 
interceptar a informação e a tratar como se fosse direta.
Apesar de tornar o uso e a instalação mais fácil, o proxy 
transparente possui desvantagens, uma vez que ele surge 
para burlar algumas regras, ele pode ser uma porta de 
entrada para malwares, por exemplo.
Firewall de inspeção de estados
Realizando uma comparação entre o que acontece com a 
transferência de dados e o que é esperado para acontecer com a 
transferência, esse tipo de firewall é considerado um avanço, já que 
ele é dinâmico, pouco estático e trabalha bem com as demandas que 
são requeridas. Nele existem regras básicas que serão utilizadas como 
a ferramenta primária de comparação, através delas são identificados, 
primeiramente, os padrões aceitáveis, posteriormente a comparação 
é feita e por meio desta comparação o sistema consegue identificar 
possíveis programas maliciosos.
Instalação dos Firewalls 
Além dos tipos, é preciso que seja levado em consideração como o 
firewall vai ser instalado e qual é o método aceitável e recomendável para 
que ele seja instalado de maneira correta. Vamos observar a seguir alguns 
dos tipos de instalação:
Segurança da Informação
48
Firewalls em rede
Quando tratamos de empresas que utilizam rede de computadores, 
o uso de um firewall em cada computador pode ser muito trabalhoso ou 
até custoso demais para empresa.
Os firewalls em rede podem ser usados em casa também, visto que 
existem nos roteadores comuns, tornando a rede do usuário da Internet 
confiável. Eles agem “cercando” o perímetro de proteção da rede, agindo 
como guardas, que delimitam uma área e a protegem como um todo.
Eles agem como um firewall de inspeção de dados, observando 
suas trocas e criando registros para que eles sejam posteriormente vistos, 
se necessário. Normalmente eles são usados pela união do hardware com 
o software, o que gera uma proteção maior, onde todos os dados são 
observados com relação às duas facetas, eles observam diferentes tipos 
de conexão ou tentativa de conexão.
Firewall local
Conhecidos também como local firewalls, esse tipo de proteção 
trabalha com base em configurações previamente instaladas, onde, 
através delas, o acesso à rede local é limitado.
Ele é utilizado, normalmente, em conjunto com o firewall de rede, 
já que este protege toda uma área enquanto o firewall local protege 
individualmente os computadores.
Apesar de o firewall de rede ser bastante seguro, o local deve ser 
implantado sempre que possível, pois ele garante a segurança individual, 
o que não é possível no de rede.
Segurança da Informação
49
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu mesmo 
tudinho? Agora, só para termos certeza de que você 
realmente entendeu o tema de estudo deste capítulo, 
vamos resumir tudo o que vimos. Você deve ter visto que 
o firewall é um mecanismo de segurança que tem como 
objetivo básico o de bloquear a troca de informações 
indesejadas, e que ele é uma união de software com um 
hardware. Entendeu que em todo sistema operacional 
existe um firewall em forma de software, inclusive no 
Windows, e que no hardware ele é o hospedeiro de um 
sistema de software. Você viu como o firewall funciona, 
inclusive na realização de serviços de armazenamento do 
histórico de dados. Viu quais os tipos de firewall existem 
que são os firewalls de filtragem de dados ou Packet 
filtering, o firewall de proxy, e o firewall de inspeção de 
estados, compreendendo as principais características de 
cada um deles. Além disso, aprendeu como acontece a 
sua instalação, observando os tipos de implementação 
dos firewalls em rede e do firewall local.
Segurança da Informação
50
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 17799:2005 
– Tecnologia da Informação – Técnicas de segurança – Código de 
prática para a gestão da Segurança da Informação. Rio de Janeiro: 
ABNT, 2005. 
CHAVES, E. O. C.; FALSARELLA,O. M. Os sistemas de informação 
e sistemas de apoio à decisão. Revista do Instituto de Informática, v. 3, 
n. 1, 1995.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI 
da Estratégia à Gestão dos Processos e Serviços. 2. ed. Rio de Janeiro: 
Brasport, 2008.
LOVEJOY, W. Integrated operations: a proposal for operations 
management teaching and reserarch. Production and Operations 
Management, v. 7, 1996.
Segurança da Informação
	_Hlk89156157
	Controle de segurança no meio físico
	Segurança no meio físico
	Objetivos da segurança no meio físico
	Formas de segurança no meio físico
	Controle físico de acessos
	Exemplos de conversão entre segurança física e lógica
	Cartões de identificação
	Biometria para permitir o acesso
	Fechaduras com senhas
	Instaurando a política de controle de acesso
	Modelo de cebola, ou modelo de níveis
	Testes de segurança 
	O que são testes de segurança?
	Testes de segurança x Avaliação de vulnerabilidade
	Como o teste funciona?
	Preparação e delimitação
	Busca de informações públicas
	Detalhamento de serviços
	Detalhamento das vulnerabilidades
	Pós-exploração de falhas
	Relatório
	Principais testes do mercado
	NIST SP 800-115
	Owasp testing guide
	OSSTMM 3
	ISSAF
	Nessus vulnerability Scanner
	Burp Suite
	Kali Linux
	Jawfish
	Testes de invasão Wi-fi
	Documento de política de segurança 
	O que são políticas de segurança?
	Como montar uma Política de Segurança
	Planejamento da política
	Delimitação ou elaboração
	Criação do documento
	Aprovação pelo RH e diretores
	Implementação da política
	Política de senhas
	Senhas que expiram
	Senhas que não se repetem
	Senhas com composição de letras e de números
	Senhas com conjunto de combinações
	Proibir senhas de combinação e números conhecidos
	Proibirsenhas de combinação de nomes conhecidos
	Segurança de redes externas
	Firewall
	Firewall em software
	Firewall em hardware
	Como o firewall funciona
	Tipos de firewall
	Firewalls de filtragem de dados ou packet filtering
	Protocolo TCP/IP
	Firewall de Proxy
	Proxy transparente
	Firewall de inspeção de estados
	Instalação dos Firewalls 
	Firewalls em rede
	Firewall local