Apostila-Curso-CCNA-Security-m

Prévia do material em texto

�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 1 
DlteC do Brasil® 
www.dltec.com.br 
info@dltec.com.br | 41 3045.7810 
 
Apostila/E-Book do Curso Preparatório para o IINS – 640-554 
DlteC do Brasil® 
Todos os direitos reservados© 
DLTEC DO 
BRASIL 
APOSTILA/E-BOOK DO CURSO PREPARATÓRIO 
PARA O CCNA SECURITY – IINS / 640-554 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 2 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Para maiores informações sobre nossos treinamento visite o site: 
 
>>> http://www.dltec.com.br <<< 
 
 
 
 
 
Sobre o E-book/Apostila 
 
 
O conteúdo desse documento é uma adaptação 
da matéria online de leitura do curso. 
 
O presente material traz conteúdo teórico do 
curso online, porém temos que deixar claro que 
não é um curso e sim uma adaptação do 
nosso material online para e-book/apostila. 
Portanto recursos como exercícios, simulados, 
tutoria (tira dúvidas com professores) e vídeo 
aulas não fazem parte desse e-book, pois são 
exclusivos para alunos devidamente matriculados 
em nosso site oficial. 
 
 
http://www.dltec.com.br/
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 3 
 
 
Direitos Autorais 
 
 
Aviso Importante! 
 
Esse material é de propriedade da DlteC do Brasil Ltda e é protegido pela lei 
de direitos autorais 9610/98. 
 
É expressamente proibida cópia física ou em meio digital, reprodução parcial, 
reprografia, fotocópia ou qualquer forma de extração de informações deste sem 
prévia autorização da DlteC do Brasil conforme legislação vigente. 
 
Seu uso pessoal e intransferível é somente para o cliente que adquiriu o 
referido e-book/apostila. 
 
A cópia e distribuição são expressamente proibidas e seu descumprimento 
implica em processo cível de danos morais e materiais previstos na legislação 
contra quem copia e para quem distribui, sejam cópias físicas e/ou digitais. 
 
Copyright © 2016. 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 4 
 
 
Indice 
 
Capítulo 1 - Introdução ................................................................................................................ 5 
Capítulo 2 - Ameaças a Segurança de Redes ................................................................................ 6 
Capítulo 3 - Segurança em Roteadores Cisco .............................................................................. 42 
Capítulo 4 - Conceitos e Configurações do AAA .......................................................................... 80 
Capítulo 5 - ACL em Roteadores Cisco ...................................................................................... 103 
Capítulo 6 -Implementando Firewall em Roteadores Cisco e ASA ............................................. 139 
Capítulo 7 - Segurança na Camada 2 ....................................................................................... 202 
Capítulo 8 - IPS - Intrusion Prevention System .......................................................................... 235 
Capítulo 9 - Sistemas Criptográficos e PKI ................................................................................ 274 
Capítulo 10 - Virtual Private Network - VPN ............................................................................. 323 
Capítulo 11 - Operação e Gerenciamento de Redes Seguras ..................................................... 374 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 5 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Capítulo 1 – Introdução ao 
CCNA Security e 
Metodologia de Estudo 
 
 
Sumário do Capítulo 
 
1 Visão geral do Curso CCNA Security da 
DlteC _______________________________ 6 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 6 
 
1 Visão geral do Curso CCNA Security da DlteC 
 
O curso de segurança de redes “CCNA Security” da DlteC do Brasil visa qualificar os 
profissionais de segurança para enfrentar os desafios relacionados à segurança de maneira 
eficiente, protegendo as empresas e fornecendo serviços de alta qualidade. Além disso, é 
preparatório para a prova de certificação Cisco 640-554, contendo todo o conteúdo previsto 
para exame Implementing Cisco IOS Network Security (IINSv2), o qual dá para o 
candidato, com o CCENT ou CCNA R&S válido, o título de CCNA Security. 
 
Durante o curso estudaremos tanto a teoria relacionada à segurança de redes como a prática 
em equipamentos Cisco. O foco do treinamento é entender as principais ameaças de segurança 
de redes, reforçar a segurança em roteadores e switches Cisco, configurar ACL’s e Firewall 
Baseado em Zona (ZPF), configurar IPS e IDS, configurar o ASA Firewall, ativar VPNs site-to-
site no Cisco IOS e AnyConnect com ASA, assim como gerenciar uma rede focando na 
segurança. Portanto, o conteúdo cobre as principais áreas de segurança que um profissional de 
redes com nível Associate é exigido conhecer no mercado de trabalho. 
 
Para os alunos que pretendem fazer a prova de certificação Implementing Cisco IOS Network 
Security (IINS) ela tem as seguintes características: 
 
 Duração máxima de 90 minutos com 30 
minutos de tempo extra para não 
nativos na língua Inglesa. 
 Total de 60 a 70 questões. 
 Tipos de questão: Multiple-Choice (uma 
ou mútiplas escolhas), Drag-and-Drop, 
Simulador, Simlet e Testlet. 
 Disponível em inglês, russo, japonês e 
chinês. 
 Valor da prova $ 250.00 (dólares 
Americanos) 
 Nota para passar no exame é variável 
com pontuação máxima igual a 1000
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 6 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Capítulo 2 – Ameaças a 
Segurança de Redes 
 
Objetivos do Capítulo 
 
Ao final desse capítulo você terá estudado e 
deverá compreender: 
 Os Três Princípios Básicos de 
Segurança 
 Classificação dos Dados 
 Controles de Segurança 
 Classificação de Ataques e Hackers 
 Conceito de Defense in Depth 
 O que são Vírus, Worms e Cavalos 
de Tróia 
 Conceito de Buffer Overflow 
 Principais técnicas de Spoofing 
 Principais Ataques à 
Confidencialidade, Integridade e 
Disponibilidade das Informações 
 Listar as melhores Práticas para 
manter uma rede segura 
 
 
Nesse capítulo vamos 
começar a estudar os 
conceitos de segurança, 
terminologia, riscos, 
ameaças e demais itens 
essenciais para que 
possamos compreender o 
porque dos recursos e 
medidas que serão 
configurados nos 
equipamentos a partir do 
próximo capítulo. 
Aproveite o capítulo e bons 
estudos! 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 7 
 
Sumário do Capítulo 
 
1 Posicionamento dos Roteadores na Rede 
e Topologias de Acesso à Internet ________ 8 
1.1 Breve Histórico ___________________ 8 
2 Os Três Princípios Básicos de Segurança 9 
3 Classificação dos Dados ____________ 10 
4 Definições e Conceitos de Segurança _ 12 
4.1 Outras Classificações de Riscos de 
Segurança ___________________________ 12 
5 Controles de Segurança ____________ 13 
5.1 Resposta a um Incidente de Segurança
 14 
6 Classificação de Ataques e Hackers __ 15 
6.1 Tipos de Atacantes (Hackers) _______ 16 
7 Tipos de Ataque às Redes __________ 18 
7.1 Anatomia de um Ataque – Hacker Mind-
set 19 
8 Defense in Depth _________________ 21 
9 Network Foundation Protection (NFP) 22 
10 Entendendo os Vírus, Worms e Cavalos 
de Tróia ____________________________ 23 
10.1 Anti Vírus _____________________ 25 
10.2 Outros Tipos de Malwares _______ 26 
11 Entendendo o Buffer Overflow ____ 28 
12 Entendendo o Spoofing __________ 30 
12.1 Tipos de Spoofing ______________ 31 
12.2 IP Spoofing ___________________ 31 
12.3 Ataque Man-in-the-middle – MITM 33 
13 Entendendo Ataques à 
Confidencialidade das Informações ______ 34 
14 Entendendo Ataques à Integridade das 
Informações ________________________ 36 
15 Entendendo Ataques à Disponibilidade 
das Informações _____________________ 37 
15.1 Ameaças Combinadas ___________ 40 
16 Melhores Práticas ou Best-Practices 
para Manter uma Rede Segura ________ 40 
17 Resumo do Capítulo ____________ 41 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 8 
1 Posicionamento dos Roteadores na Rede e Topologias de Acesso à Internet 
Para qualquer administrador de rede na atualidade o grande desafio é “como fornecer serviços 
de redes de maneira segura, protegendo informações privadas, pessoais e comerciais 
estratégicas”. 
 
Manter uma rede segura significa garantir a segurança dos usuários da rede e proteger os 
interesses comerciais. Para manter uma rede segura é necessário vigilância por parte dos 
profissionais de segurança, os quais devem estar sempre cientes das novas ameaças e ataques 
a redes, e as vulnerabilidades dos dispositivos e aplicações. Esta informação é usada para se 
adaptar, desenvolver e implementar técnicas de mitigação. 
 
No entanto, a segurança da rede é, em última análise, responsabilidade de todos que a 
utilizam. Por esta razão, é trabalho do profissional de segurança de rede garantir que todos os 
usuários recebam treinamento de conscientização de segurança, assim como manter a rede 
segura e protegida, proporcionando um ambiente mais estável e funcional para todos. 
 
Vamos utilizar muito a palavra mitigar durante o curso e na área de segurança. Veja a seguir o 
sentido da palavra no dicionário da língua portuguesa. 
 
Mitigar: vtd 1 Amansar, tornar brando: Mitigar a indignação, a ira, o furor. vtd 2 Adoçar, 
aliviar, suavizar: Mitigar a dor. Com boas palavras procurei mitigar-lhe o desgosto. vtd 3 
Acalmar, atenuar, diminuir: Mitigar a saudade. "...paramos à beira daquele olho-d'água, que 
nos mitigara a sede" (Gastão Cruls). vpr 4 Acalmar-se, tornar-se mais brando. "...nossa dor se 
mitigou para cuidarmos em brincar outra vez" (Joaquim Manuel de Macedo). Antôn: exasperar, 
aumentar. 
 
Nos próximos capítulos você aprenderá sobre os três principais objetivos de segurança: 
confidencialidade, integridade e disponibilidade. 
 
1.1 Breve Histórico 
Para termos uma visão da linha do tempo podemos colocar alguns acontecimentos como os 
principais incidentes de segurança divulgados pela mídia: 
 
1978 - Primeiro Spam na ARPAnet 
1988 – Vírus Morris infectou diversos computadores na Internet 
1999 – Vírus Melissa propagado por e-mail 
2000 – Mafiaboy, Love Bug Worm, L0phtCrack 
2001 – Ataque Code Red invadiu mais de 350,000 hosts no mundo todo 
2004 - Botnet ataca sistemas militares dos Estados Unidos 
2007 - Storm botnet – ataque a instituição de cartão de crédito 
2008 – Fraude na Société Générale Stock 
2011 - Vírus Stuxnet atacou usinas nucleares no Irã. Ataques aos sites do governo Brasileiro 
realizados pelo grupo de hackers denominado LulzSecBrazil. 
 
Atualmente estamos passando pela fase das redes sociais, onde Presidentes e CEO’s das 
empresas utilizam Facebook, ferramentas de mensagem instantânea e outras ferramentas para 
comunicação, networking e negócios. Faz parte da missão do profissional de redes implementar 
uma infra-estrutura física e lógica segura, que comporte as necessidades da empresa e limitem 
ao máximo os riscos de segurança. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 9 
Existem atualmente diversas organizações que regulamentam e trocam informações de 
segurança entre profissionais da área, onde as três principais são: 
 
 SysAdmin, Audit, Network, Security (SANS) Institute 
 Computer Emergency Response Team (CERT) 
 International Information Systems Security Certification Consortium 
 
2 Os Três Princípios Básicos de Segurança 
 
Os três principais objetivos da segurança de rede são: 
 
 Confidencialidade 
 Integridade 
 Disponibilidade 
 
Entende-se por Confidencialidade a proteção da informação compartilhada contra acessos 
não autorizados. Podemos garantir a confidencialidade pelo controle de acesso (senhas) e 
controle das operações individuais de cada usuário (log). Abaixo seguem mais alguns 
exemplos: 
 
 Uso de mecanismos de segurança de rede (por exemplo, firewalls e listas de controle de 
acesso) para impedir o acesso não autorizado aos recursos da rede. 
 Exigir credenciais adequadas (por exemplo, nomes de usuário e senhas) paraacesso a 
recursos específicos da rede. 
 Criptografar o tráfego para que um atacante não consiga decifrar todo o tráfego que ele 
capturar a partir da rede. 
 
A Integridade é a garantia da veracidade da informação, que não pode ser corrompida, seja 
por alterações acidentais ou não autorizadas. Segue abaixo exemplos de violações de 
integridade: 
 
 Modificar a aparência de um site corporativo 
 Interceptar e alterar uma transação de comércio eletrônico 
 Modificar os registros financeiros que são armazenados eletronicamente 
 
A Disponibilidade é a prevenção de interrupções na operação de todo o sistema, seja ele 
hardware e/ou software. Por exemplo, uma quebra do sistema não deve impedir o acesso aos 
dados. Abaixo seguem mais alguns exemplos de como um invasor pode comprometer a 
disponibilidade de uma rede: 
 
 Ele poderia enviar indevidamente dados formatados para um dispositivo de rede, 
resultando em um erro de exceção que o dispositivo não saberia tratar, interrompendo o 
serviço. 
 Ele pode inundar um sistema de rede com uma quantidade excessiva de tráfego ou 
requisições. Esta sobrecarga iria consumir recursos de processamento do sistema e 
impedir que o sistema responda às muitas solicitações legítimas, fazendo com que o 
serviço seja negado aos usuários que realmente necessitam desse serviço. Este tipo de 
ataque é chamado de negação de serviço (DoS – Denial of service). 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 10 
 
 
 
Conheça a si próprio, conheça seu inimigo. 
Mil batalhas, mil vitórias. 
 Sun Tzu 
 
 
 
3 Classificação dos Dados 
O processo de Classificação da Informação consiste em identificar quais são os níveis de 
proteção que as informações demandam e estabelecer classes e formas de identificá-las, além 
de determinar os controles de proteção necessários a cada uma delas. A fim de criar uma 
política de segurança adequada, você precisa primeiro classificar seus dados, o que pode até 
ser exigido por lei. 
 
Os benefícios da classificação de dados incluem o seguinte: 
 
 Mostra o compromisso por parte da empresa para proteger a rede e seus recursos. 
 Identifica os dados que são mais sensíveis da empresa. 
 Facilita a criação de medidas de segurança que devem ser utilizadas para proteger os 
dados. 
 Fornece uma melhor relação custo-benefício, possibilitando que a empresa foque em 
dados que tem a maior importância e, portanto, precisam de mais proteção. 
 Normalmente as informações são classificadas mediante sua necessidade de sigilo, 
porém uma organização também pode elaborar procedimentos para classificá-la perante 
suas necessidades de integridade e disponibilidade. Cada nível de classificação é criado 
visando um tipo de informação e costuma-se utilizar um número reduzido de 
classificações (de 3 a 5). 
 
Podemos ter basicamente um tipo de classificação utilizada por órgãos governamentais ou em 
empresas privadas, conforme exemplo abaixo: 
 
 Governo 
Brasileiro 
 Empresas 
Privadas 
 Ultra-Secreto Interna 
 Secreto Pública 
 Confidencial Restrita 
 Reservado Privada 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 11 
Os governos e instituições militares utilizam normalmente a classificação abaixo: 
 
 Dados não classificados - que tem poucos ou nenhum requisito de privacidade 
 Sensível mas não classificados (SBU) - os dados que poderiam causar 
constrangimento, mas não constituem uma ameaça à segurança se revelado 
 Dados confidenciais - tem uma probabilidade razoável de causar danos se forem 
divulgados para uma pessoa não autorizada 
 Dados secretos - tem uma razoável probabilidade de causar sérios danos se divulgados 
para pessoas não autorizadas 
 Dados ultra-secretos - tem uma probabilidade razoável de causar dano 
excepcionalmente grave se divulgados para pessoas não autorizadas 
 
O governo dos EUA classifica informações confidenciais em três níveis: 
 
 Confidencial 
 Secreto 
 Top-Secret (ultra secreto) 
 
Além de classificar os dados é necessário determinar quais são as características do dado, por 
exemplo: 
 
 Valor: é o critério mais importante e indica como os dados são importantes para a 
organização. 
 Associação Pessoal: dados associados com uma pessoa, como um arquivo de 
empregado em Recursos Humanos (RH). 
 Idade: o período de tempo que o valor dos dados diminui à medida que os eventos 
ocorrem, tais como mudanças nas tecnologias sendo usadas. 
 Vida Útil: por quanto tempo a informação é útil? 
 
Depois de decidir sobre um esquema de classificação, será necessário fazer algumas tarefas 
para finalizar o modelo de classificação de dados. Geralmente você precisa identificar quem 
detém os dados, como classificá-lo e a melhor forma de protegê-lo. Aqui segue uma lista para 
ajudar a determinar como proceder: 
 
1. Identificar o custodiante dos dados (owner ou dono). 
2. Determinar como os dados são classificados e rotulados. 
3. Identificar o proprietário dos dados e classificar adequadamente. 
4. Identificar eventuais exceções. 
5. Identificar os controles específicos para ser usado com cada classificação, se necessário. 
6. Definir as regras para a desclassificação de dados e eliminação dos mesmos, se 
necessário. 
7. Criar um programa de conscientização de segurança que aborda a classificação da 
informação. 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 12 
4 Definições e Conceitos de Segurança 
Em geral, analisando e simplificando o tópico segurança de rede, podemos elencar três fatores 
que fazem parte do assunto. 
 
 Vulnerabilidade (Vulnerability) 
 Ameaças (Threat) 
 Ataques (Attack) 
 
Podemos dizer que Vulnerabilidade são os protocolos e “furos” de segurança em sistemas e 
equipamentos que serão explorados pelos atacantes, por exemplo, vulnerabilidades do sistema 
operacional (windows, linux, etc). Isso inclui roteadores, switches, desktops, servidores e até 
mesmo dispositivos de segurança. Além disso, as vulnerabilidades podem ser geradas pela 
própria tecnologia (furos de segurança nos sistemas e aplicativos), por falhas na configuração 
dos sistemas ou por problemas na política de segurança da corporação. 
 
As Ameaças são os perigos em potencial contra a segurança da informação, por exemplo, 
indivíduos que tem interesse em realizar ataques e sempre estão procurando novas proezas e 
vulnerabilidades para o acesso não autorizado a redes e sistemas, ou então desejam 
informações privilegiadas para realizar delitos. Essas ameaças podem ser tanto internas como 
externas à rede, as quais serão mais bem estudadas posteriormente. 
 
O Ataque é a realização do que foi analisado como vulnerabilidade e colocado em prática por 
um atacante. Normalmente, os dispositivos de rede sob ataque são as extremidades, como 
servidores e desktops. 
 
Outros termos que podemos encontrar em estudossobre o assunto segurança são: 
 Assets: são os ativos, ou seja, quaisquer elementos que tenham valor para a empresa 
ou organização, por isso mesmo eles precisam ser classificados, pois nem todo asset 
tem o mesmo valor para diferentes organizações. Na prática é o que queremos 
proteger. 
 Countermeasure: uma ação ou contramedida para mitigar um risco potencial, são as 
medidas técnicas, administrativas e controles físicos implementados para mitigar riscos. 
 Information security risk: o risco à segurança da informação é a medida do impacto 
de vulnerabilidades e ameaças aos assets que a corporação deseja proteger. 
4.1 Outras Classificações de Riscos de Segurança 
Além disso, podemos classificar os riscos de segurança entre físico, lógico (das redes, por 
exemplo) e humano (engenharia social). 
 
Conforme mencionado anteriormente, quando se fala de segurança vem à mente um Firewall, 
ou seja, um dispositivo de redes, mas e o restante? E se o atacante conseguir acesso ao seu 
Datacenter ou ao CPD da empresa? Com certeza ele está atrás do Firewall e terá uma gama de 
ações possíveis para realizar de dentro da rede, normalmente muito mais vulnerável quando 
atacada internamente. 
 
Portanto, temos que abrir os horizontes e pensar que é importante sim a segurança de redes 
com Firewall, IDS e IPS, porém não podemos nos esquecer da Infraestrutura física e das 
pessoas, pois o fator humano conta muito para uma rede segura. 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 13 
As ameaças à infra-estrutura física podem ser resumidas em: 
 
 Ameaças ao hardware – danos físicos à infra-estrutura e equipamentos que fazem 
parte da rede. 
 Ameaças ao ambiente – temperatura, umidade, sujeira, e outros motivos ambientais. 
 Ameaças elétricas – sobretensão, picos de energia, descargas atmosféricas (raios), 
sistemas de proteção elétrica mal dimensionada, etc. 
 Ameaças à manutenção – problemas de nomenclatura, ocasionando desligamento de 
equipamentos errados, janelas de manutenção mal dimensionadas, falta de manutenção 
preventiva, etc. 
 
Sobre o fator humano temos que falar da Engenharia Social, que são meios de levar membros 
de uma corporação ou até mesmo uma pessoa física a fornecerem informações importantes, 
como o local de arquivos ou senhas, facilitando o processo de invasão. Ela pode incluir 
sensibilizações ao ego de um funcionário ou pode ser uma pessoa disfarçada, ou com 
documento falsificado, que leva uma pessoa a fornecer informações confidenciais. 
 
Atualmente se fala bastante do risco das redes sociais, pois podem ser fonte de pesquisa para a 
Engenharia Social, permitindo que o atacante mal intencionado colete informações das pessoas 
da corporação para iniciar uma abordagem mais elaborada. O risco da engenharia social se 
estende para a vida pessoal, não somente para o corporativo, assim como os ataques buscando 
informações para crimes virtuais, como roubo de senha para acesso indevido à conta bancária 
via Internet, clonagem de cartões de crédito e compras indevidas com os dados pessoais e de 
cartão de crédito de outras pessoas. 
5 Controles de Segurança 
Os controles de segurança são as medidas aplicadas para controlar e reduzir riscos para seus 
dados. Os controles de segurança são geralmente agrupados em três categorias: 
administrativas, técnicas e físico. 
 
Controles administrativos são tipicamente associados com as políticas e procedimentos de 
segurança. Seguem alguns exemplos abaixo: 
 
 Políticas e procedimentos de segurança 
 Conscientização dos usuários 
 Auditorias 
 Alterar os procedimentos de controle 
 Checar antecedentes dos funcionários 
 Práticas de contratação bem estabelecidas 
 Job rotation (rotação de cargos) 
 Separação de funções entre os funcionários bem estabelecidas 
 
Os controles administrativos constituem a camada de gerenciamento da estrutura de controle, 
formando a base para montar uma estrutura de segurança. 
 
Já os controles técnicos são geralmente baseados em ferramentas de hardware e software. 
Abaixo seguem alguns exemplos: 
 
 Firewalls 
 Sistemas de detecção e prevenção de intrusão (IPS e IDS) 
 Listas de controle de Acesso (ACL) 
 Rede virtual privada (VPN) 
 Sistemas de gerenciamento de identidade, como TACACS+ e RADIUS 
 Sistemas de controle de admissão (CAC) 
 Tokens e smartcards 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 14 
 
Tal como acontece com os controles administrativos, todos os controles técnicos do mundo são 
inúteis se eles são a única linha de defesa da empresa, pois as três categorias são 
interdependentes. 
 
Os controles físicos são normalmente de natureza mecânica. Os exemplos seguintes são de 
controles físicos: 
 
 Fechaduras e travas 
 Fontes de alimentação redundantes 
 Geradores a Diesel 
 Equipe de seguranças 
 Sensores de movimento 
 Sistemas de Alarme 
 Cofres 
 Sistemas de supressão de fogo 
 
Os controles são classificados também como preventivos, impeditivos ou visam à detecção de 
um ataque, em inglês preventative, deterrent ou detective respectivamente. 
 
Deve ser lembrado que, embora haja a necessidade de controles físicos, a segurança humana 
deve vir acima de tudo, implantando portas e fechaduras que garantam a saída no caso de uma 
emergência, mas previnam a entrada de pessoas não autorizadas. Mesmo com todos os 
controles implementados a empresa pode ainda sofrer ataques e deve ter uma metodologia 
para responder a esse problema ou incidente, no próximo capítulo veremos melhor esse 
assunto. 
5.1 Resposta a um Incidente de Segurança 
Responder a um incidente de segurança é fundamental e parte da rotina operacional da área de 
segurança nas empresas. E o modo como você responde a um incidente é ainda mais 
importante. 
 
Manter uma linha estabelecida e seguir um conjunto específico de procedimentos levará ao 
sucesso nessa tarefa. Há tipicamente seis fases para resposta a incidentes listadas nas boas 
práticas, as quais você pode memorizar usando a palavra PICERL mnemônico, como ilustrado 
aqui: 
 
 P – Preparação 
 I – Identificação 
 C – Contenção 
 E – Erradicação 
 R – Restauração 
 L - Lições aprendidas 
 
Além disso, a resposta a um incidente de segurança tem seus aspectos legais, pois a quebra de 
sigilo e roubo de informações constituem crimes previstos em lei, porém as penas e 
interpretações podem variar de país para país. 
 
Uma dica importante é que se aconselha a não reinicializar os sistemas até que a investigação 
seja finalizada, pois pistas podem ser apagadas em alguns casos de ataque, por exemplo, se 
você não mantém o envio das mensagens de log (registros) dos roteadores em um servidor 
externo de syslog, ao reinicializá-lo essas mensagens serão apagadas, pois o buffer do roteador 
utiliza a memória RAM para armazenamento por padrão. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I IN S 6 4 0 - 5 5 4 
 
Página 15 
6 Classificação de Ataques e Hackers 
Os ataques às redes, em linhas gerais, podem ser realizados das seguintes maneiras: 
 
 Estruturado: por um indivíduo ou grupo estruturado e preparado técnica e 
tecnologicamente para realizar o ataque. É um ataque profissional e com um objetivo 
claro. 
 Não Estruturado: normalmente iniciantes que utilizam ferramentas disponibilizadas 
para hackers, com a finalidade de testar os conhecimentos do atacante ou até mesmo 
com fins ilícitos. 
 Externos: realizado por pessoas de fora da organização, normalmente via Internet, e 
pode ser realizado de maneira estruturada ou não estruturada. A gravidade do ataque 
depende da motivação e grau de experiência do atacante. 
 Internos: realizado por pessoas que têm acesso à rede, ou seja, por um funcionário ou 
terceiro autorizado da corporação. São ataques normalmente mais difíceis de detectar e 
as redes precisam ter uma estrutura razoável para minimizar esse tipo de ataque. 
 
 
 
Especificamente, de acordo com o Computer Security Institute (CSI), em San Francisco - 
Califórnia, cerca de 60% a 80% dos incidentes de segurança são originados de dentro da rede, 
ou seja, por atacantes internos da empresa. Portanto, embora o isolamento de rede seja 
possível hoje em ambientes de rede, ele não assegura 100% às informações, pois mesmo que 
isolemos uma rede do mundo externo um atacante interno pode representar uma ameaça à 
segurança. O maior exemplo do que foi citado anteriormente são os filmes, onde muitas vezes 
são copiados e distribuídos mesmo antes de seu lançamento oficial nos cinemas. 
 
Os potenciais adversários dos analistas e recursos de segurança de uma empresa podem ser: 
 Nações ou estados 
 Terroristas 
 Criminosos 
 Hackers 
 Competidores de mercado 
 Empregados descontentes com a empresa 
 Agências governamentais 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 16 
À medida que os tipos de ameaças, ataques e meios de explorar vulnerabilidades em redes 
evoluíram, vários termos foram criados para descrever os “atacantes”, os quais nem sempre 
são “do mal”. Hacker geralmente é o termo geral historicamente utilizado para descrever um 
especialista em programação de computador. Mais recentemente, esse termo passou a ser 
utilizado de modo negativo para descrever um indivíduo que tenta obter acesso não autorizado 
a recursos de rede com má intenção, porém existe uma gama de tipos de hackers na 
atualidade. 
 
A seguir vamos estudar alguns termos e classificações para os tipos de atacantes. 
6.1 Tipos de Atacantes (Hackers) 
Veja abaixo os tipos de Hackers e Atacantes com uma nomenclatura tradicional utilizada na 
área de segurança: 
 White hat – um “atacante do bem”, normalmente procura falhas nos sistemas e 
protocolos para informar e corrigir o risco de segurança. Traduzindo para o português 
chama-se hacker “chapéu branco”. 
 
 Gray hat – Tem as habilidades e intenções de um hacker de chapéu branco na maioria 
dos casos, mas por vezes utiliza seu conhecimento para propósitos menos nobres. Um 
hacker de chapéu cinza pode ser descrito como um hacker de chapéu branco que às 
vezes veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza 
tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em 
sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a 
confidencialidade. Alguns argumentam, no entanto, que o ato de penetrar em um 
sistema por si só já é antiético (ética hacker). 
 
 Black hat – esse é o “atacante do mal”, procura invadir sistemas e redes para fins 
pessoais (satisfação do seu ego) ou financeiros. Cracker é um exemplo de black hat. 
Traduzindo para o português chama-se hacker “chapéu preto”. 
 
 Cracker – termo mais preciso para descrever alguém que tenta obter acesso não 
autorizado a recursos de rede com má intenção. 
 
 Phreaker – o precursor do black hat, porém utilizando normalmente telefones públicos 
para realizar chamadas gratuitas. 
 
 Spammer – esse conhecemos bem, pois recebemos uma pilha de e-mails indesejados 
diariamente dos spammers, os quais enviam os famosos “spams”, as propagandas, vírus 
e outros “lixos” eletrônicos por e-mail. 
 
 Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer 
informações confidenciais, como números de cartão de crédito ou senhas. Um phisher se 
mascara como uma parte confiável que teria uma necessidade legítima pelas 
informações confidenciais. 
 
 Script Kiddies – subcategoria de crackers que não têm um alvo certo, vão tentando 
invadir tudo que vêm pela frente. Utilizam ferramentas encontradas na Internet, nem 
programar sabem, mas possuem um conhecimento digital bem acima dos usuários 
comuns. 
 
 Hacktivistas – são hackers não mais preocupados em quebrar sistemas pela diversão, 
mas focados em questões políticas e sociais. São pessoas que dominam bits e bytes, 
assim como Mahatma Gandhi dominava as palavras, porém com um cunho político. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 17 
 Computer Security Hacker – um hacker de que tem conhecimento sobre as técnicas e 
aspectos da informática e sistemas de segurança de rede. Por exemplo, este pessoa 
pode tentar atacar um sistema protegido por um IPS fragmentando o tráfego malicioso 
de uma maneira que não são detectados pelo IPS. 
 
 Hacker Acadêmico (Academic hacker) – é tipicamente um trabalhador ou um 
estudante em uma instituição de ensino superior que utiliza os recursos de computação 
da instituição para escrever programas “inteligentes”. Normalmente esses hackers usam 
seus nomes reais (ao contrário dos pseudônimos frequentemente utilizado dos Computer 
security hacker), e tendem a se concentrar em sistemas operacionais baseados em 
software livre (por exemplo, Linux). 
 
 Hacker por Hobby – tendem a focar em computação doméstica. Eles podem modificar 
hardware ou software existentes para uso dos mesmos sem licença legal. Por exemplo, 
gerar um código que "destrava" o iPhone da Apple pode ser obra de um hacker por 
hobby. 
 
Olhando essa quantidade de tipos de hackers é importante tentarmos responder algumas 
questões: “O que os motiva?”, “Como eles podem chegar a ter sucesso em seus ataques?”. 
Existem diversos tipos de formas de se fazer ataques, mas vamos agora descrevê-los de uma 
maneira mais abrangente e classificá-los conforme a lista abaixo. 
 
 Passivo (passive): Um ataque passivo é difícil de detectar, porque o atacante não está 
ativamente enviando o tráfego (malicioso ou não). Um exemplo de ataque passivo é um 
atacante capturando pacotes da rede e tentando decifrá-los (se o tráfego estava 
criptografado originalmente), normalmente utilizando um sniffer. 
 Ativo (active): Um ataque ativo é mais fácil de detectar, pois o atacante está 
ativamente enviando tráfego que pode ser detectado. Um invasor poderia lançar um 
ataque ativo na tentativa de acesso a informações confidenciais ou para modificar dados 
em um sistema. Esse é um ataque mais tradicional. 
 Close-in ou Proximidade: Um ataque close-in, como o nome sugere, ocorre quando o 
atacante está em estreita proximidade física com o sistema de destino. Porexemplo, um 
invasor pode facilmente evitar a proteção de senha de console em alguns roteadores, 
switches e servidores se ele ganha acesso físico nesses dispositivos. 
 Insider ou Interno: um ataque interno ocorre quando usuários legítimos da rede 
utilizam suas credenciais e conhecimento da rede para realizar o ataque. 
 Distribuição (distribution): são ataques onde "back doors" são introduzidos 
intencionalmente ao hardware ou sistemas de software no momento da fabricação para 
facilitar ataques posteriores. Após esses sistemas terem sido vendidos a vários clientes o 
invasor pode usar seu conhecimento do back door (brecha de segurança traduzida 
literalmente por “porta dos fundos”), por exemplo, tendo acesso a dados protegidos, 
manipulando dados ou tornando o sistema indisponível para os usuários finais. 
 
Por isso, lembre que segurança vai muito além de implementar um Firewall, o dispositivo mais 
conhecido pelo público em geral quando se fala do assunto, pois ela vai desde a parte física 
(aspectos de acessibilidade, energia...), disponibilidade da informação (backups, links 
reservas...), regras de uso ou política de segurança até os equipamentos e aplicativos de 
segurança de informação e redes que tradicionalmente conhecemos. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 18 
7 Tipos de Ataque às Redes 
Podemos dividir esses ataques em três classes: reconhecimento, acesso e negação de serviços. 
 
Ataques de Reconhecimento servem para a detecção não autorizada e o mapeamento de 
sistemas, serviços ou vulnerabilidade. Ele também é conhecido como footprint ou coleta de 
informações e, é a fase inicial de uma invasão, onde o invasor está reconhecendo a rede e suas 
vulnerabilidades. O invasor tenta com esses ataques descobrir uma forma mais fácil de invadir 
a rede, sejam equipamentos ou sistemas. Exemplos de ataques de reconhecimento: 
 
 Consultas de informações de Internet: utilizando ferramentas como whois e 
nslookup para descobrir endereços de IP de entrada para a rede. 
 Varreduras de ping: com os endereços IP’s os atacantes podem enviar pings para 
determinar outros IP’s de outras máquinas como opções de acesso para invasão. 
 Verificações de porta (port scan): o port scan tem o objetivo de verificar quais 
portas TCP e UDP estão abertas na rede, ou seja, que o firewall permite acesso para 
identificação das vulnerabilidades a serem exploradas (exploits). 
 Sniffers de pacote: permitem que o atacante analise a comunicação em busca de troca 
de pacotes TCP e UDP não seguras para capturar usuários, senhas e outras informações 
úteis ao ataque, utilizando um analisador de protocolos. Uma rede privativa ou um 
método de criptografia pode ajudar a evitar 
 
Após o reconhecimento o Ataque de Acesso é a tentativa de entrada ou acesso utilizando 
normalmente um script ou uma ferramenta que explore uma fraqueza conhecida do sistema, 
aplicativo ou dispositivo que está sendo atacado para descobrir um usuário e senha válidos, por 
exemplo. Exemplo de ataque de acesso: 
 
 Ataque de senhas: utilização de scripts e programas para descobrir usuários e senhas 
para acesso a um sistema ou dispositivo. Normalmente são tentativas repetidas de login 
em um recurso compartilhado, como um servidor ou roteador, para identificar uma 
conta de usuário, senha ou ambos, também conhecido como ataque de força bruta. Um 
exemplo é a ferramenta L0phtCrack. 
 Exploração de confiança (Trust Exploitation): o objetivo desse ataque é invadir um 
host confiável, utilizando-o para preparar ataques em outros hosts de uma rede. 
 Redirecionamento de Porta (Port Redirection): Um ataque de redirecionamento de 
porta é outro tipo de ataque baseado na exploração de confiança. O atacante usa um 
host comprometido para o acesso através de um firewall que seriam normalmente 
bloqueados para um micro não confiável. 
 Man-in-the-Middle ou Ataque de Interceptação: O ataque “man in the middle” 
(literalmente “ataque do homem no meio” ou “ataques do interceptor”), às vezes 
chamado MITM, é um cenário de ataque no qual um invasor “ouve” uma comunicação 
(utilizando um sniffer) entre dois interlocutores e falsifica as trocas a fim de fazer se 
passar por uma das partes. 
 Spoofing de IP (Falsificação): A principal característica do Spoofing é convencer 
alguém de que ele é algo que ele não é, conseguindo assim, autenticação para acessar 
alguma parte restrita à qual ele não tem permissão, através da falsificação do seu 
endereço de origem. 
 
A Negação de Serviços ou ataques DoS são os mais temidos, é uma tentativa em tornar os 
recursos de um sistema indisponíveis para seus utilizadores ou clientes. Alvos típicos são 
servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se 
trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Exemplos de 
ataques de DoS: 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 19 
 
 DoS Distrubuído (DDoS): Em um ataque distribuído de negação de serviço (também 
conhecido como DDoS, um acrônimo em inglês para Distributed Denial of Service), um 
computador mestre (denominado "Master") pode ter sob seu comando até milhares de 
computadores ("Zombies" - zumbis), sendo que as tarefas de ataque de negação de 
serviço serão distribuídas a um "exército" de máquinas escravizadas. 
 TCP SYN Flood: o atacante envia uma sequência de requisições SYN para um sistema-
alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de 
aplicação do modelo OSI. 
 Ataque de Smurf: o invasor envia uma rápida sequência de solicitações de Ping (um 
teste para verificar se um servidor da Internet está acessível) para um endereço de 
broadcast. Usando spoofing (fazer passar por outro computador da rede para conseguir 
acesso a um sistema), o invasor faz com que o servidor de broadcast encaminhe as 
respostas não para o seu endereço, mas para o da vítima. Assim, o computador alvo é 
inundado pelo Ping. 
 
Portanto, com um passo a passo bem estruturado e planejado, assim como lançando mão do 
uso de uma ou um conjunto de ferramentas conforme as citadas acima um hacker traça seu 
plano e pode executar ataques tanto a redes domésticas ou corporativas. Vamos aprender 
durante o curso como tratar e proteger a rede contra diversas ameaças. 
7.1 Anatomia de um Ataque – Hacker Mind-set 
Vamos analisar um pouco sobre como um hacker pode planejar e executar um ataque, 
chamado “mind-set” do hacker, que em português poderíamos traduzir para “forma de 
pensar”. Veja um exemplo abaixo baseado nas principais publicações sobre o assunto: 
 
 Passo 1 – Aprender mais sobre o sistema com ataques de reconhecimento 
(reconnaissance). Nesta etapa, também conhecido como "footprinting" (pegadas), o 
hacker descobre tudo o que puder sobre o sistema. Por exemplo, ele pode aprender os 
nomes de domínio da empresa-alvo e a faixa de endereços IP utilizada. Ele pode realizar 
uma varredura de portas (port-scan) para ver quais portas estão abertas. 
 Passo 2 - Identificar as aplicações no sistema, assim como o sistema operacional dos 
servidores, também chamado de processo de enumeração. Os hackers podem utilizar 
várias ferramentas para tentar se conectara um sistema e dependendo do prompt que 
eles recebem (por exemplo, um prompt de login do FTP ou uma página da Web padrão) 
é possível ter uma idéia do sistema operacional utilizado. Além disso, o port-scan, já 
mencionado, pode ajudar a identificar as aplicações/sistemas que estão rodando nos 
servidores. 
 Passo 3 – Obter acesso ao sistema (realizar a invasão). A engenharia social é uma das 
maneiras mais populares para obter usuários/senhas de login a um sistema. Por 
exemplo, os registros públicos de DNS fornecem informações de contato da empresa, 
normalmente do administrado do domínio. Um hacker pode ser capaz de usar essas 
informações para convencer o administrador para revelar informações sobre o sistema, 
por exemplo, fingindo ser um prestador de serviços ou um funcionário público autorizado 
a receber essas informações genéricas sobre o sistema operacional e aplicações 
utilizadas. Esta abordagem é chamada de pretexto ou “pretexting”, ou seja, fingir que é 
outra pessoa para obter informações e tirar vantagem delas. Outra forma de invasão é 
utilizar as falhas do sistema ou exploits, problemas de configuração e outros tipos de 
brechas para penetrar no sistema. 
 Passo 4 - Fazer o login com as credenciais do usuário obtidas e escalar privilégios de 
acesso (entrar como usuário normal de rede e tentar subir o nível para root). Por 
exemplo, um hacker poderia introduzir um cavalo de Tróia (um pedaço de software que 
parece ser uma aplicação legítima, mas tem uma função de ataque invisível na máquina 
de destino) para subir seus privilégios na máquina ou sistema. 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 20 
 Passo 5 - Reunir nomes de usuário e senhas adicionais. Com os privilégios apropriados, 
os hackers podem executar utilitários para criar relatórios de nomes de usuário e/ou 
senhas, o que é muito comum na Internet em sites pagos, onde sofrem invasão e tem 
usuários e senhas divulgados em listas de sites de crackers. 
 Passo 6 - Configurar uma "porta dos fundos” ou “backdoor”. Acessando um sistema 
através de um nome de usuário/senha pode não ser como um hacker quer 
repetidamente ter acesso ao sistema. As senhas podem expirar e logins podem ser 
registrados para auditorias futuras, deixando “rastros”. Portanto, os hackers preferem 
instalar uma backdoor, que é um método de ganhar acesso a um sistema burlando 
medidas de segurança normais. 
 Passo 7 - Utilizar o sistema. Depois que o hacker ganha o controle do sistema ele pode 
reunir informações protegidas a partir desse acesso. Alternativamente, ele pode 
manipular os dados do sistema ou utilizar esse dispositivo/sistema invadido para lançar 
ataques contra outros sistemas, com os quais ele pode ter uma relação de confiança 
estabelecida. 
 
Veja a figura a seguir um modelo do passo a passo da anatomia de um ataque. 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 21 
 
Conforme mencionado, o exemplo acima é hipotético e genérico. Agora vamos analisar os tipos 
de ataques que podem ser realizados para invadir mais especificamente uma rede. 
8 Defense in Depth 
“Defense in Depth” ou “Defesa em Profundidade” é uma filosofia de design que realiza uma 
abordagem de segurança em camadas. De acordo com este princípio, não se deve depender de 
apenas um mecanismo de segurança não importando quão forte ele pareça ser. Ao invés disso, 
recomenda-se que sejam utilizados múltiplos mecanismos de segurança e que estes estejam 
configurados no nível mais alto possível de segurança e redundância. 
 
A estratégia principal é fazer com que o ataque seja significativamente arriscado e caro ao 
atacante 
 
 
 
Um exemplo prático ocorre quando se utiliza dois roteadores, um externo conectado 
diretamente a Internet e um interno conectado diretamente a rede privada e entre eles um 
bastion host. Neste caso, esta estratégia poderia ser empregada utilizando redundância em 
ambos roteadores, aplicando-se ao roteador interno também as regras de filtragem adotadas 
no roteador externo. 
 
Desta forma, caso um pacote que deveria ser barrado no primeiro roteador chegasse ao 
segundo, isso indicaria que o primeiro roteador foi atacado com sucesso e, consequentemente, 
um alarme poderia ser acionado a fim de que medidas sejam tomadas para solucionar o 
problema. Esta estratégia permite que o sistema tolere mais falhas na segurança. 
 
Veja na tabela como pode ser realizada a proteção com duas camadas de segurança para as 
classes de ataques de hackers discutidas anteriormente. 
 
 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 22 
A estratégia de defesa em profundidade recomenda vários princípios, vamos resumir os pontos 
chave abaixo: 
 Defender em vários lugares 
 Defender os limites (fronteiras) 
 Defender o ambiente de computação 
 Construir defesas em camadas 
 Utilizar componentes robustos 
 Utilizar gerenciamento de chaves seguro e robusto 
 Implantar IDS e/ou IPS na rede 
9 Network Foundation Protection (NFP) 
Outra maneira de proteger a rede é utilizando o conceito do NFP, ou seja, dividindo a rede em 
planos (planes) ou camadas: 
 
 Control plane: protocolos de roteamento e controle. 
 Data plane: encaminhamento dos quadros e pacotes. 
 Management plane: utilizado em sessões de gerenciamento. 
 
A Cisco possui uma caixa de ferramentas para NFP (Toolkit) que visa a proteção em cada um 
dos planos da rede conforme abaixo: 
 
 Control Plane: Control Plane Policing (CoPP), Control Plane Protection (CPPr), Routing 
protocol authentication (autenricação para o RIP, EIGRP e OSPF) e AutoSecure. 
 Management Plane: Authentication, Authorization, and Accounting (AAA), Network 
Time protocol (NTP), Syslog, Simple Network Management Protocol (SNMP), Secure 
Shell (SSH), Transport Layer Security (TLS) e CLI views. 
 Data Plane: Access control lists (ACLs), Layer 2 controls (controles de camada-2), 
Zone-Based Firewall e IOS Intrusion Prevention System (IPS) 
 
Muitas dessas proteções serão estudadas durante os próximos capítulos. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 23 
10 Entendendo os Vírus, Worms e Cavalos de Tróia 
Keylogging, Virus, Trojan, Malware e Spyware são várias palavras para denominar uma série de 
“vilões” dos usuários, aqueles programas mal-intencionados cujo uso vai desde roubo de 
senhas e informações até o mais puro caos e destruição. Mesmo assim, muitos não sabem a 
diferença entre uma coisa e outra, chamando tudo de “vírus”, o que pode trazer algumas 
confusões na hora de se defender.Os MALWARES são programas especificamente desenvolvidos para executar ações danosas 
em um computador. Exemplos: worm, bots, virus, trojans... 
 
Um vírus é uma sequência de código inserida em outro código executável, o qual tem as 
seguintes características: 
 
 Replicação: os vírus se replicam para diversos arquivos da máquina a fim de garantir a 
sua sobrevivência dentro daquele sistema. 
 É ativado por uma ação externa: por exemplo, um arquivo anexo de e-mail que está 
localizado na caixa de entrada do programa gerenciador de e-mails. Se este arquivo não 
for executado não há como a máquina ser infectada por esse vírus. 
 
A infecção ocorre no momento que se executa o programa com código malicioso. A partir daí 
esse se espalha, ou seja, ele se multiplica danificando diversos arquivos e sistemas da máquina 
onde ele se encontra. 
 
 
 
Pode-se citar também outro tipo de programa malicioso que é intitulado como trojan. Sua 
principal função é inserir um trecho de código em um programa aparentemente inofensivo, mas 
na verdade a intenção é colocar um hospedeiro na máquina invadida, deixando assim o invasor 
com o controle total da máquina. 
 
Os trojans são um tipo de ferramenta que se popularizaram na Internet a partir de 1997, 
quando foi lançado o famoso Back Orifice (uma brincadeira com o nome Back Office da 
Microsoft). Um cavalo de tróia, ou trojan, é um programa que, quando instalado no sistema de 
alguém, geralmente abre uma porta TCP ou UDP para receber conexões externas, fornecendo 
normalmente o shell (prompt de comandos) daquele sistema para um possível invasor. Isso 
não é regra geral, já que alguns backdoors podem fazer também conexão reversa e outros 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 24 
tipos de técnicas. Um cavalo de tróia nada mais é do que um backdoor disfarçado de um 
programa comum, como um jogo. 
 
O termo “cavalo de tróia” faz analogia ao cavalo de madeira que os gregos deram aos 
troianos, no famoso episódio da guerra de Tróia. 
 
 
 
Um worm, assim como um vírus, cria cópias de si mesmo de um computador para outro, mas 
faz isso automaticamente. Primeiro, ele controla recursos no computador que permitem o 
transporte de arquivos ou informações. Depois que o worm contamina o sistema, ele se desloca 
sozinho. O grande perigo dos worms é a sua capacidade de se replicar em grande volume. 
 
 
 
Por exemplo, um worm pode enviar cópias de si mesmo a todas as pessoas que constam no seu 
catálogo de endereços de email, e os computadores dessas pessoas passam a fazer o mesmo, 
causando um efeito dominó de alto tráfego de rede que pode tornar mais lentas as redes 
corporativas e a Internet como um todo. Quando novos worms são lançados, eles se alastram 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 25 
muito rapidamente. Eles obstruem redes e provavelmente fazem com que você (e todos os 
outros) tenha de esperar um tempo maior para abrir páginas na Internet. 
 
Na prática, todos os vírus e vários worms não podem se espalhar sem que você abra um 
arquivo ou execute um programa infectado. 
 
Muitos dos vírus mais perigosos foram espalhados principalmente via anexos de email, os 
arquivos que são enviados com as mensagens de email. Geralmente você tem como saber que 
um email contém um anexo, pois este é exibido como um ícone de clipe de papel que 
representa o anexo e contém o seu nome. Fotos, cartas escritas no Microsoft Word e até 
mesmo planilhas eletrônicas do Excel são apenas alguns dos tipos de arquivo que você pode 
receber através de email a cada dia. Um vírus é ativado quando você abre um arquivo anexo 
infectado. 
10.1 Anti Vírus 
O anti-vírus é a ferramenta mais recomendada contra vírus, worms e trojans nos hosts, além 
disso os IPSs (sistema de prevenção de intrusos) e os IDSs (sistema de detecção de intrusos), 
em conjunto com os firewalls podem ser de grande ajuda para evitar que esses programas e 
códigos maliciosos entrem na rede, infectando os micros e servidores. 
 
 
 
Nada pode garantir que um computador está 100% protegido. Entretanto, para continuar a 
melhorar a segurança do computador recomenda-se manter os programas atualizados e 
atualizar sempre a assinatura do software antivírus. Outras ferramentas que podem ser 
implementadas são os HIPSs ou Host IPS e anti-spyware ou programa anti-espionagem que 
protegem contra diversos tipos de infecções e cavalos de tróia. Também não devemos abrir 
arquivos suspeitos, e-mails que não sejam de origem confiável, nem utilizar o computador em 
redes suspeitas sem estar com seu micro atualizado e com o anti-vírus atualizado. 
 
Tratando do problema com uma abordagem mais corporativa, ou seja, em como tratar um 
infecção de vários computadores em uma empresa, o administrador deve se preocupar com a 
política de segurança nos hosts, sejam micros ou servidores, garantindo que não saia uma 
máquina para um usuário final sem um anti-vírus instalado. Existem várias opções de anti-vírus 
corporativas que facilitam a administração, como por exemplo, os mostrados ao lado. Outra 
medida é que os anti-vírus e sistemas devem estar sempre atualizados. O NAC (Network 
Admission Control) da Cisco pode ajudar nessa tarefa, ele tem a função de avaliar se a política 
de segurança nos hosts está sendo cumprida e colocar micros fora da política em uma espécie 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 26 
de quarentena até que a situação seja resolvida, como por exemplo, o anti-vírus seja 
atualizado. 
 
Já uma infecção por um worm exigirá mais do administrador de rede por sua característica de 
propagação utilizando a rede. A resposta a uma infecção do worm pode ser dividida em quatro 
fases: contenção, inoculação, quarentena e tratamento. Veja na figura ao lado como mitigar 
ataques de worms. 
 
A contenção visa limitar a infestação que pode se espalhar na rede, o que pode ser realizado 
através de ACLs ou até mesmo desligando certos segmentos de redes infestados, isolando-os. A 
inoculação é onde o problema é resolvido, aplicando patches de segurança ou removedores de 
worms especificamente lançados para determinadas infestações. A quarentena e o tratamento 
serve para isolar os micros infectados e inoculá-los resolvendo o problema. Muitas vezes pode 
chegar ao ponto de ser necessária a reinstalação do sistema operacional para resolver o 
problema. 
 
 
10.2 Outros Tipos de Malwares 
Existem além dos três vilões citados acima outros riscos, tais como: 
 
 Adware: Tradicionalmente, o Adware é uma forma legítima de distribuição de software. 
Alguns desenvolvedores, principalmente aqueles independentes de grandes corporações, 
na hora de lucrar com suas criações, optam por um modelo de negócios alternativo: em 
vez de cobrar pelo programa em questão, cria-se um modelo de publicidade em 
programas. Ou seja, o desenvolvedor ganha uma comissão de anunciantes,que pagam 
para terem seus banners ou links nos programas utilizados pelos usuários. A prática é 
legal, porém existe o lado oposto, com Adwares que corrompem arquivos de usuários ou 
instalam Spyware. Um caso famoso era o software BonziBUDDY, um macaco roxo 
animado que era disponibilizado como um “companheiro” ao usuário, além de prometer 
aprimorar a experiência de navegação. Intrusões em excesso, mudança de 
configurações, exibição de pop-ups sem permissão, entre outras acusações, incluindo de 
instalação de Trojan e uso de Backdoor, levaram o macaco a ser um dos programas 
mais odiados da internet. 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 27 
 
 
 Spyware: É o “software espião”. Geralmente, é um arquivo que é executado de 
maneira oculta, coletando dados de uso do computador e da internet do computador 
infectado. Alguns chegam a roubar dados, agir como keyloggers, alterar configurações e 
arquivos e até instalar programas. 
 Botnet: No caso, não é uma ameaça direta, mas sim uma consequência de outros 
males. Uma Botnet, ou Rede de Robôs (Bots), acontece quando um hacker infecta uma 
série de computadores (por meio de Trojan ou Worm, geralmente), fazendo-os integrar 
uma rede, sem que seus donos saibam. Com esses computadores como seus “soldados”, 
o Hacker pode disponibilizar seus serviços por dinheiro, e utilizá-los para mandar 
mensagens de Spam em massa, assim como derrubar conexões e servidores por 
ataques de Denial of Service. 
 Keyloggers: Software que realiza o Keylogging ou Keystroke Logging, é um programa 
oculto que registra tudo que é digitado em um computador. Geralmente instalado por 
meio de um Trojan, facilita a obtenção de informações e senhas. É por isso que vários 
sistemas de sites, como o exemplo de bancos, pedem o uso de teclados virtuais, que 
não necessitam que o usuário tecle suas senhas. 
 Rootkit: Software de uso ativo, ele permite privilégios de acesso continuados a um 
computador, ao mesmo tempo que disfarça sua presença. Um Hacker geralmente instala 
um rootkit depois de passar das barreiras mais simples de um sistema, possibilitando 
acesso administrativo e, eventualmente, acesso total aos dados do sistema invadido. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 28 
11 Entendendo o Buffer Overflow 
Os Buffers são áreas de memória criadas pelos programas para armazenar dados que estão 
sendo processados. Cada buffer tem um certo tamanho, dependendo do tipo e quantidade de 
dados que ele irá armazenar. O chamado “estouro de buffer”, falha muito comum hoje, ocorre 
quando o programa recebe mais dados do que está preparado para armazenar no buffer. Se o 
programa não foi adequadamente escrito, este excesso de dados pode acabar sendo 
armazenado em áreas de memória próximas, corrompendo dados ou travando o programa, ou 
mesmo ser executado, que é a possibilidade mais perigosa. 
 
Se um programa qualquer tivesse uma vulnerabilidade no sistema de login por exemplo, você 
poderia criar um programa que fornecesse caracteres de texto até completar o buffer e depois 
enviasse um executável, que acabaria rodando graças à vulnerabilidade. 
 
Tanto o stack overflow (overflow da pilha) quanto o heap overflow (overflow da memória heap) 
podem ser encontrados em diversos programas existentes no mercado. O conceito é simples e 
vamos pegar o stack overflow como exemplo. Suponhamos que eu esteja fazendo um 
programa em linguagem C (poderia ser qualquer uma) e nele crio um buffer, um espaço na 
memória destinado a receber entrada de dados. Veja o exemplo a seguir: 
 
 #include <stdio.h> 
 #include <stdlib.h> 
 
 int main(int argc, char **argv){ 
 
 char buffer[10]; 
 
 strcpy(buffer, “testandostackoverflow”)); 
 
 return 0; 
 } 
 
Nesse pequeno programa, definimos o tamanho do buffer como 10 caracteres e copiamos para 
ele (através da função strcpy) um texto (string) contendo 21 caracteres. Como a função strcpy, 
ao contrário de strncpy, não faz a checagem do tamanho do espaço disponível, esse programa 
causará um estouro de buffer, fazendo com que você possa incluir um código personalizado 
para ser executado pelo programa. Veremos as implicações disso depois. 
 
Portanto, a ideia é estourar o buffer e sobrescrever parte da pilha, mudando o valor das 
variáveis locais, valores dos parâmetros e/ou o endereço de retorno. Altera-se o endereço de 
retorno da função para que ele aponte para a área do código que se deseja executar, onde 
encontra-se armazenado o código malicioso. Pode-se assim executar código arbitrário com os 
privilégios do usuário que executa o programa vulnerável. Veja figura a seguir. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 29 
 
 
Um caso famoso foi descoberto no passado (ano 2000) no Outlook Express. Graças à uma 
vulnerabilidade, era possível fazer com que um e-mail executasse arquivos apenas por ser 
aberto! Bastava anexar um arquivo com um certo número de caracteres no nome, que ele seria 
executado ao ser aberta a mensagem. Naturalmente, a Microsoft se apressou em lançar um 
patch e alertar os usuários para o problema. 
 
Para corrigir este tipo de vulnerabilidade de over flow basta tratar as entradas e não permitir 
entradas maiores do que o tamanho do buffer. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 30 
12 Entendendo o Spoofing 
Spoofing é a arte de criar informações de rede falsas e utilizá-las para diversos propósitos: 
 Evitar ser capturado nos logs do sistema fazendo o que não devia 
 Realizar scanneamentos estando totalmente oculto (varreduras) 
 Ganhar acesso a máquinas que são protegidas por configurações de firewall 
 
O IP Spoofing é uma das técnicas mais usadas para personificar quem você não é, ou seja, 
assumir uma identidade falsa, no caso do IP um endereço de rede falso conforme figura a 
seguir. 
 
 
 
 
Os atacantes podem lançar uma variedade de ataques iniciando com um ataque de spoofing IP. 
Um ataque de spoofing de IP faz com que o endereço IP de um atacante pareça ser um 
endereço IP confiável. Por exemplo, se um invasor convence um host que ele é um cliente 
confiável, ele pode ganhar acesso privilegiado a um host ou capturar o tráfego de uma sessão, 
o qual pode incluir credenciais como nomes de usuários e senhas. Outro exemplo é utilizar a 
falsificação para fazer um ataque de negação de serviço (DoS) e negação de serviço distribuída 
(DDoS), onde o atacante pode usar falsificação de IP para ajudar a esconder sua identidade. 
 
Para simplificar, é como você chegar a algumlocal que te peçam um documento e você mostrar 
uma identidade falsa. Essa identidade não tem foto, somente um nome. A pessoa que está 
fazendo a segurança checa o nome, vê que está na sua lista e deixa entrar. Apesar de ser 
tecnicamente um pouco complexo, o conceito de spoofing é bem simples. 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 31 
12.1 Tipos de Spoofing 
Temos vários outros tipos: ARP Spoofing, spoofing de endereços MAC, DNS Spoofing e, claro, IP 
Spoofing. Existem dois tipos de IP spoofing: cego e não-cego. 
 
 IP Spoofing Não-cego (Nonblind spoofing): geralmente, quando o IP spoofing é 
realizado, o pacote a ser enviado deve ser modificado, colocando outro endereço que 
não seja o do atacante. Esse pacote irá até o seu destino e será processado por ele de 
alguma maneira, seja enviando uma resposta ou simplesmente recusando-o. Agora 
como o atacante vai receber essa resposta, já que o endereço que está na informação 
enviada não é o verdadeiro da sua máquina original? A resposta é simples: se ele está 
em uma rede local, pode sniffar (farejar a rede) e analisar o tráfego dos pacotes IP e 
suas características internas. Isso seria o spoofing não-cego, pois o atacante pode ver a 
resposta do alvo, mesmo que ela seja endereçada a um endereço falso e inexistente que 
o atacante forjou. 
 IP Spoofing Cego (Blind spoofing): nesse caso o atacante está fora da sub-rede do 
atacado, de uma rede local e, consequentemente, não pode capturar o tráfego de 
resposta. Esse spoofing só é útil em casos em que o atacante não precisa receber um 
pacote de retorno. Exemplos: enviar e-mails, realizar Denial of Service etc. Também 
podem ser utilizados para tentar acesso aos antigos serviços R baseados em 
autenticação por IP (rlogin, rsh etc.). Sabendo o endereço IP certo e enviando os 
comandos necessários, o atacante poderia realizar alguma configuração de firewall ou 
execução de backdoor e, assim, obter acesso posterior à máquina ou mesmo conexão 
reversa utilizando o Netcat, por exemplo. 
12.2 IP Spoofing 
Para entender melhor como um ataque de falsificação de IP (spoofing) pode ser realizado 
vamos relembrar como uma sessão TCP é iniciada, pois na camada 3 é mais fácil do atacante 
falsificar o pacote IP. Veja a animação a seguir. 
 
 
 
Analisando a figura lembre como o TCP é inicializado através do handshake de três vias: 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 32 
 O host (A) inicia uma conexão enviando um pacote SYN para o host (B) indicando que o 
seu ISN = X: A —> B SYN, seq de A = X. No exemplo o número de sequência enviado é 
100. 
 “B” recebe o pacote, grava que a seq de A = X, responde com um ACK de X + 1, e 
indica que seu ISN = Y (Initial Sequence Number ou número inicial de sequência). O 
ACK de X + 1 significa que o host B já recebeu todos os bytes até ao byte X e que o 
próximo byte esperado é o X + 1: B —> A ACK, seq de A = X, SYN seq de B = Y, ACK = 
X + 1. No exemplo da figura 1, o micro B recebeu o SYN de A 100 e responde com um 
ACK igual a 101, enviando o valor de 200 como sequência para o micro A. 
 “A” recebe o pacote de B, fica sabendo que a sequência de B = Y, e responde com um 
ACK de Y + 1, que finaliza o processo de estabelecimento da conexão: A —> B ACK, seq 
de B = Y, ACK = Y + 1. No exemplo da figura 2 A responde com o valor de 201. 
 
Portanto, para entrar no meio de uma conexão, realizando um sequestro ou hijacking da 
sessão, será necessário que o atacante saiba, descubra ou “chute” os números de sequência 
para poder entrar nessa sessão TCP. Como vimos anteriormente, em um ataque não cego 
(nonblind spoofing) o atacante pode descobrir os números de sequência através de um snnifer, 
por exemplo, pois ele está na mesma sub-rede. No caso de um ataque cego (blind spoofing) já 
não é possível, sendo bem mais difícil prever os números de sequência. 
 
Uma das formas de prever os números de sequência do TCP em um ataque cego é através do 
“IP source routing” do ICMP. Veja a figura a seguir. 
 
 
Com o "IP source routing" é possível previamente estabelecer o caminho que um pacote irá 
seguir (path) para chegar ao seu destino, fazendo também com que o destino desse pacote 
envie suas respostas (replies) utilizando o MESMO caminho. Dessa forma, um cracker sabendo 
do caminho desses pacotes pode interceptá-los fazendo com que o destino acredite ser ele o 
source (origem) correto desses pacotes. Nesse tipo de ataque o hacker pode escolher dois tipos 
de rotas de origem que são permitidas pelo source routing: 
 
 Strict source routing: Mostra o caminho completo, da origem até o destino, a ser 
seguido. O datagrama é obrigado a seguir exatamente a rota especificada. 
 Loose source routing: Apresenta uma lista de roteadores que não devem ser 
esquecidos. Esta opção exige que o datagrama passe por uma lista de roteadores 
especificados. 
 
 
�
�
� � � � � � � � � � � 	 � � 
 � � 	 � � � � � � � � � � � � � � � � � � � 	 � � � 
 � 	 � � � � � � � � � � � � � � � � � � � � � � � � � 	 � � � � � � � �
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
 
 
 
 
tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br 
A p o s t i l a / E - B o o k d o C u r s o I I N S 6 4 0 - 5 5 4 
 
Página 33 
Em roteadores com Cisco IOS você pode evitar esse problema com o comando “no ip source 
route” em modo de configuração global. Em equipamentos de segurança como o Cisco PIX 500 
e Cisco ASA 5500 (Adaptive Security Appliances) esses tipos de pacote são descartados (drop – 
dropados) por padrão. 
12.3 Ataque Man-in-the-middle – MITM 
Outra forma de spoofing de IP é através de um ataque de man-in-the-middle. Este ataque 
normalmente é realizado através da escuta do tráfego entre os dois pontos finais através de 
uma técnica de sniffing. Com a análise desse comunicação o atacante pode “fingir” ser uma 
extremidade da conexão e pode realizar seu ataque. Um exemplo desse tipo de ataque é 
realizado através do envio de uma série de pacotes de ARP gratuito (gratuitous ARP ou GARP). 
Esses pacotes de GARP tem o objetivo de fazer com que a máquina de destino acredite que o 
endereço MAC da camada atacante é o MAC do roteador do próximo salto ou gateway default. 
Dessa maneira o invasor pode capturar o tráfego e encaminhá-lo ao gateway sem o usuário 
final notar qualquer coisa suspeita. 
 
O ataque descrito anteriormente, onde o atacante coloca um HUB ou faz um SPAN de porta em 
um switch para espiar (sniffer) os pacotes de rede também é um tipo de ataque man-in-the-
middle. Veja a figura a seguir. 
 
 
Para proteger a rede contra ataques de falsificação de IP várias técnicas podem ser 
implementadas e serão estudadas em detalhe, porém abaixo seguem algumas recomendações 
gerais: 
 
 Utilizar ACL’s nas interfaces dos roteadores. Recomenda-se filtrar tentativas de acesso 
direta à rede LAN e também a saída de tráfego sainte com IP’s diferentes da rede 
interna. 
 Criptografar o tráfego entre as duas pontas, evitando que o tráfego capturado 
possa ser lido. Um exemplo é a utilização de VPNs IPSec para trafegar dados sensíveis 
pela Internet. 
 Criptografar a autenticação, evitando que um atacante descubra usuários