Segurança da Informação

Prévia do material em texto

Imprimir
INTRODUÇÃO
Nesta aula veremos um pouco sobre monitoramento de rede, quais protocolos são utilizados para esse tipo
de serviço, protocolos como SNMP, ICMP, RMON, entre outros, e como os administradores podem ser mais
e�cientes em resolverem problemas. Veremos também sobre IDS e IPS, o que é e de que forma eles atuam na
rede. Por último, vamos aprender sobre �ltragem de pacotes, como isso nos ajuda na hora de resolver
problemas, e sobre o tipo de �rewalls, qual é o melhor e em que momento colocamos um �rewall na rede.
O mercado de trabalho hoje está com uma demanda muito grande por pro�ssionais que dominam esses
conhecimentos, então não perca tempo e vamos comigo neste conteúdo.
PROTEGENDO OS NEGÓCIOS
Aula 1
MONITORAMENTO E PROTEÇÃO DE BORDA DE REDE
Nesta aula veremos um pouco sobre monitoramento de rede, quais protocolos são utilizados para esse
tipo de serviço, protocolos como SNMP, ICMP, RMON, entre outros, e como os administradores podem
ser mais e�cientes em resolverem problemas.
24 minutos
FERRAMENTAS DE SEGURANÇA DEFENSIVA BLUE TEAM
 Aula 1 - Monitoramento e proteção de borda de rede
 Aula 2 - Ferramentas de monitoramento e proteção de rede
 Aula 3 - Packet Sni�er e análise de protocolos
 Aula 4 - Ferramentas de Packet Sni�er e análise de protocolos
 Referências
93 minutos
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 1/31
Não é novidade para ninguém que os dados são os ativos mais valiosos de uma empresa. Desde os
relacionados ao core business, estudos de mercado, �nanceiros até os que sejam de grande importância para
sua continuidade de negócio, todos precisam de uma camada de proteção para não haver vazamentos ou o
comprometimento da integridade de dados.
Para que tenhamos uma rede segura e os ativos da empresa seguros, precisamos entender três princípios
básicos, que são: Con�dencialidade, Integridade e Disponibilidade, esses são os pilares da Segurança da
Informação.
Com esses pilares nós garantimos que os dados da organização tenham privacidade (Con�dencialidade), que
a preservação da precisão e consistência dos dados estejam garantidos (Integridade) e que todos os dados
estejam sempre acessíveis (Disponibilidade).
As atribuições dos pro�ssionais de segurança da informação envolvem vários fatores, começando pela
instalação e con�guração das soluções de segurança, tais como: antivírus, �rewall, antimalware, IDS e IPS, etc.
Tudo isso com o objetivo de �ltrar os conteúdos que serão executados nas estações de trabalho, protegendo
as informações contra roubo, alterações e destruição. Somado a isso, entra também o constante
monitoramento das redes de dados, a �m de evitar ou minimizar os danos causados por ataques.
Tendo isso em mente, precisamos entender que a defesa da rede computacional de uma organização se faz
com inteligência e acurácia. Para isso, precisamos conhecer a estrutura na qual os ativos da empresa estão
sendo mantidos, monitorando a rede. O monitoramento vai nos entregar uma visibilidade na qual podemos
ver onde tem vulnerabilidade, quais portas estão abertas, em que ponto da rede estamos tendo lentidão, etc.
Nos dias atuais, qualquer empresa, desde a de pequeno porte até a de grande porte, adotam em sua
infraestrutura o �rewall. Mas o que é �rewall? Basicamente é um dispositivo de segurança da rede que
monitora o tráfego de rede realizando uma �ltragem de pacotes de entrada e saída e decide negando ou
permitindo tráfegos especí�cos, veri�cando requisições e identi�cando quando uma delas é maliciosa. Nesse
segundo caso há o bloqueio por parte do �rewall, protegendo assim seus dados.
Figura 1 | Análise �rewall
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 2/31
Fonte: Freepik.
Como abordado no início do nosso módulo, as atribuições de um analista de segurança do time de blue team
são várias, como a de analista de SOC, e começamos justamente pela implementação de tecnologias,
abordamos o monitoramento de rede e de �rewall. Dentro do assunto de monitoramento, temos uma dupla
que nos auxilia também que se chama IDS e IPS. O signi�cado de IDS é Sistema de Detecção de Intrusão e IPS
é Sistema de Prevenção de Intrusão.
Os IDS/IPS monitoram todo o tráfego na rede para identi�car qualquer comportamento malicioso conhecido.
Uma das maneiras pelas quais um invasor pode tentar comprometer uma rede é explorando alguma
vulnerabilidade em um dispositivo ou software. Os IDS/IPS identi�cam essas tentativas de exploração e as
bloqueiam antes que consigam comprometer qualquer computador da rede. Os IDS/IPS são tecnologias de
segurança necessárias, tanto na borda da rede como dentro dos data centers, exatamente porque elas
podem parar os invasores enquanto eles estão coletando informações sobre sua rede. Veremos um pouco
mais aprofundado esse assunto nos blocos seguintes.
ENTENDENDO A PROTEÇÃO
Como visualizamos no tópico anterior, a proteção de rede ou também proteção de perímetro envolve vários
fatores e o principal deles são as ferramentas contra ameaças. Uma ferramenta que iremos conhecer é uma
das mais utilizadas no mercado para monitoramento de rede, que se chama Zabbix.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 3/31
O monitoramento de rede é responsável por analisar em tempo real, 24h por dia, 7 dias na semana, todos os
movimentos realizados pelos computadores, a �m de detectar toda e qualquer anormalidade que possa
afetar seu desempenho. Esse monitoramento é feito por meio de ferramentas, entre elas o Zabbix, que
iremos discorrer mais sobre ele aqui. O monitoramento de rede previne incidentes e auxilia o trabalho da TI.
Lembra que no começo nós falamos sobre os pilares da segurança da informação e o que ela signi�ca para os
ativos da empresa? Então, o Zabbix é um software de monitoramento capaz de realizar todas as tarefas que
citamos anteriormente, pois ele mede a disponibilidade e o desempenho dos componentes da infraestrutura
de rede, das aplicações, e gera indicadores estratégicos. É possível extrair dados da empresa e reuni-los para
utilizá-los nas tomadas de decisões exempli�cadas anteriormente.
Figura 2 | Zabbix
Fonte: Zabbix.
Conforme apresentado na imagem anterior, todo o tráfego dentro da rede pode ser monitorado, desde um
nobreak até um servidor de e-mail, um host ou um �rewall, e todo monitoramento pode ser visualizado
através de lista, mapas, grá�cos, etc.
Você deve estar pensando agora, e como é possível realizar todo esse monitoramento, como são feitas as
coletas de informações? Isso é possível através de um protocolo de rede chamado de SNMP (Protocolos
Simples de Gerência de Redes). Através desse protocolo conseguimos gerenciar redes TCP/IP, é possível usar
não apenas para monitorar a rede, mas também gerenciar e con�gurar elementos de rede de um servidor.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 4/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a1_02.png
Bem, dessa forma temos um sistema de monitoramento com todos os aspectos necessários, porém para
protegermos nossa rede, ainda iremos precisar de um �rewall, o qual é muito importante para uma rede
empresarial. Como já identi�camos para qual �nalidade utilizamos um �rewall, chegou o momento deentender quais são os principais modelos de funcionamento no mercado.
Firewall de Proxy: foi um dos primeiros modelos de �rewalls que surgiu e funciona como a passagem de
rede, como havíamos mencionado antes.
Firewall com inspeção de estado: esse ainda é bem usado e conhecido como �rewall tradicional, um
�rewall com inspeção permite ou bloqueia tráfego de acordo com o estado, a porta e o protocolo.
Firewall de gerenciamento: uni�cado de ameaças (UTM), esse tipo de �rewall combina de maneira
�exível as funções de um �rewall de inspeção de estado e prevenção, contra intrusão e antivírus.
Firewall de próxima geração (NGFW): esse �rewall vem de uma evolução, de uma simples �ltragem de
pacotes e inspeção stateful para algo mais robusto, está sendo adotado por grande parte do mercado,
pelo fato de ele ser um �rewall completo, trazendo consigo uma robustez e tecnologia para lidar com
novas ameaças.
Uma das tecnologias que o NGFW carrega é o IDS e IPS. Como vimos na introdução, um é para detecção e
outro para a proteção, em resumo, o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de
controle de intrusão. Vamos imaginar um ambiente que está sendo monitorado por câmeras de segurança,
toda a ação é monitorada naquele perímetro, o IPS é um complemento, ele previne qualquer coisa que
aconteça naquele ambiente monitorado. Imagina que agora além das câmeras temos uma patrulha de
vigilantes, qualquer comportamento suspeito que as câmeras pegam, a patrulha é avisada e eles tomam uma
ação.
COLOCANDO EM PRÁTICA
Monitoramento de redes – Zabbix
Como vimos nas etapas anteriores, para começarmos a implantar monitoramento e segurança, precisamos
entender o que em nossa rede precisa ser monitorada. Um exemplo seria fazer um levantamento do que
precisamos dar prioridade, começar a monitorar os switches, servidores ou até mesmo os hosts de cada
usuário. Para que isso aconteça, é necessário realizar esse levantamento.
Estudo de caso
A expansão das redes de computadores e a sua expressiva necessidade no desempenho das atividades
diárias vêm se tornando uma grande demanda para as equipes de gestão de infraestrutura.
Para um monitoramento e�ciente, é necessária a obtenção da situação dos hosts na rede de “modo rápido,
sintético, preciso e con�ável”, tornando assim uma fonte de informações para o planejamento, ajustes
necessários na infraestrutura e em futuras expansões. O monitoramento deve ser visto não apenas como
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 5/31
uma forma de visualizar o status dos dispositivos, mas uma forma de detectar erros que possam estar
ocorrendo, controlar o tráfego na existência de gargalos e na disponibilidade e desempenho dos serviços,
como também melhorar o processo de gerenciamento da rede.
Para os administradores de redes, o monitoramento torna-se uma ferramenta de trabalho proativa, ou seja,
os administradores podem ser noti�cados sobre algum problema ter sido detectado e este agir antes mesmo
do usuário �nal perceber. Essa mudança de paradigma das ações de reativa para proativa traz em seu bojo a
diminuição das interrupções dos serviços e o aumento da con�abilidade na infraestrutura.
O Zabbix permite a criação de alertas que realizam a noti�cação dos eventos ocorridos, sendo esses eventos
relacionados a um nível de prioridade atribuída a ele. Podem ser con�gurados alertas por diversos meios de
comunicação, como: e-mail, SMS, Jabber, Ez Texting e Custom Alertscripts. No projeto no qual participamos,
foi criado o alerta baseado em e-mail, para que seja enviado o alerta para a equipe do help desk que
acompanha as demandas dos usuários.
A criação de mapas ajuda no monitoramento da infraestrutura de forma visual. Podem ser criados mapas de
todos os hosts con�gurados no Zabbix e eles podem �car dedicados a um ou mais monitores de vídeo para
acompanhamento das ocorrências. Nesse case foram criados os mapas para acompanhamento da
disponibilidade dos switches, impressoras e Access Point.
Template é um modelo que possui de�nições globais, como nome e grupo que irá pertencer e podem ser
aplicados a todos os ativos compatíveis. A parte mais crítica na criação do template está na de�nição dos
itens, grá�cos e triggers e esse conjunto de dados informados manualmente no template. Os templates são
utilizados para monitorar todos os ativos de redes utilizando qualquer um dos modos de coleta de dados.
Figura 3 | Mapas de rede
Fonte: elaborada pelo autor.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 6/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a1_03.png
O dashboard do Zabbix serve para centralizar em uma única tela um resumo da situação de todos os
dispositivos con�gurados para monitoramento. Ele pode ser personalizado para apresentar diversas
informações da infraestrutura, como: estado do Zabbix, sistema, hosts, últimos eventos disparados ou outras
informações através da personalização do usuário.
Utilizando informações mais detalhadas sobre os ativos de redes, as ações de suporte ao usuário deixaram de
ser apenas reativas, passando a ser proativas. Essa mudança ocorreu devido ao aumento na disponibilidade
de informações, que permitem à equipe de suporte ter conhecimento sobre o problema muitas vezes antes
mesmo dos usuários o perceberem. Essas informações permitiram reduzir os deslocamentos in loco para
veri�cação das ocorrências, bem como ajustar a con�guração dos ativos para adequar às novas necessidades.
VIDEOAULA
Olá, estudante.
Agora que você conhece o conceito de Firewall, IDS, Filtragem de pacotes, é hora de aprofundar seus
conhecimentos assistindo à videoaula deste conteúdo. Você verá como os assuntos que abordamos são
importantes para o trabalho dos analistas de segurança cibernética e revisará alguns dos conceitos que o
ajudam a �xar esse conceito e complementam o conteúdo teórico apresentado até aqui.
 Saiba mais
PFSENSE. Getting Started. PfSense®. Disponível em: https://www.pfsense.org/getting-started/. Acesso
em: 18 jan. 2023.
RODRIGUES, H. Tutorial de instalação do pfsense e uma rede interna no virtualbox. IFCE Campus
Tianguá, [s. d.]. Disponível em: https://docplayer.com.br/12342015-Tutorial-de-instalacao-do-pfsense-e-
uma-rede-interna-no-virtualbox.html. Acesso em: 18 já. 2023.
SALES, H. F. Aprenda A Instalar O Zabbix Server Passo A Passo. Verdana Desk, 2021. Disponível em:
https://verdanadesk.com/aprenda-a-instalar-o-zabbix-server-passo-a-passo/. Acesso em: 18 jan. 2023.
Videoaula
Para visualizar o objeto, acesse seu material digital.
Aula 2
FERRAMENTAS DE MONITORAMENTO E PROTEÇÃO DE
REDE
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 7/31
https://www.pfsense.org/getting-started/
https://docplayer.com.br/12342015-Tutorial-de-instalacao-do-pfsense-e-uma-rede-interna-no-virtualbox.html
https://docplayer.com.br/12342015-Tutorial-de-instalacao-do-pfsense-e-uma-rede-interna-no-virtualbox.html
https://verdanadesk.com/aprenda-a-instalar-o-zabbix-server-passo-a-passo/
INTRODUÇÃO
Nesta aula veremos na prática a con�guração e instalação de ferramenta de monitoramento conforme
abordamos na aula anterior. Vamos aprender como instalar um sistema de monitoramento com o Zabbix,
também vamos aprender a instalar e con�gurar um sistema de IDS e IPS como o Snort.
Na aula anterior, vimos os tipos de �rewall, e o mais utilizado hoje pelas empresas é o NGFW, portanto, vamosaprender como realizar a instalação e con�guração do PFSense, um �rewall NGFW.
O mercado de trabalho hoje está com uma demanda muito alta por pro�ssionais que dominam esses
conhecimentos, então, não perca tempo e vamos comigo nesse conteúdo.
CONFIGURAÇÃO E UTILIZAÇÃO DO ZABBIX, IDS/IPS E FIREWALL
Primeiramente, vamos instalar o Zabbix, de forma simples e prática, como foi visto na aula anterior. Para
termos uma ampla visualização da nossa rede, precisamos capturar todo o tráfego da rede através do
protocolo SNMP, vimos sobre ele também, porém vamos retomar o assunto para executarmos as próximas
etapas.
O SNMP é um protocolo que foi criado para facilitar o monitoramento e o gerenciamento de redes. Esse
protocolo é descrito pela primeira vez na RFC 1067 de 1998 e está atualmente na versão 3. Ele pertence à
camada de aplicação do modelo OSI e que normalmente usa a porta 161 do protocolo de transporte UDP.
O Zabbix trabalha inteiramente com esse protocolo, monitorando, recebendo e enviando informações. Como
podemos ver na imagem, ele atua da seguinte forma:
Figura 1 | Atuação do Zabbix
Nesta aula veremos na prática a con�guração e instalação de ferramenta de monitoramento conforme
abordamos na aula anterior, vamos aprender como instalar um sistema de monitoramento com o Zabbix
e a instalar e con�gurar um sistema de IDS e IPS como o Snort.
21 minutos
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 8/31
Fonte: elaborada pelo autor.
Quais ganhos teremos ao instalar e conhecer o Zabbix? O Zabbix é um software de monitoramento para
medir a disponibilidade e o desempenho de componentes da infraestrutura, é o software de monitoramento
mais utilizado dentro das empresas, devido ao seu fácil gerenciamento e por ser um software livre.
Nós já vimos o conceito de IDS/IPS, agora vamos abordar quais os tipos de IDS/IPS e utilização e aplicabilidade
de cada um. Atualmente possuímos dois tipos de IDS e dois tipos de IPS, visto que aprendemos que o IDS é
responsável pela análise do comportamento e o IPS atua para combater qualquer intruso. O primeiro tipo de
IDS é o HIDS, Sistema de Detecção de Intrusão baseado em Host, esse basicamente é um agente instalado em
cada máquina da rede, analisando os eventos de logs gravados, funciona como uma última linha de defesa.
O segundo tipo de IDS é o NIDS, Sistema de Detecção de Intrusão baseado em Rede, diferente do HIDS, que,
ao invés de monitorar um host, monitora a rede como um todo, assistindo cada máquina.
O primeiro tipo de IPS é o HIPS, esse sistema funciona parecido com o HIDS, porém ele detecta o ataque e
toma decisões a respeito das análises feitas.
O segundo tipo de IPS é o NIPS, esse tipo sistema se baseia em um dispositivo inline, que pode ser um
roteador ou um switch.
Figura 2 | Funcionamento do IDS e IPS
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativi… 9/31
Fonte: Wikimedia Commons.
Vamos nos aprofundar um pouco mais o nosso conhecimento no �rewall NGFW, aprendendo a utilizar o
PFSense. O PFSense é uma distribuição customizada, livre e open-source do projeto FreeBSD. No próprio site
do desenvolvedor diz que o PFSense foi desenvolvido para ser utilizado como um �rewall ou roteador,
inteiramente gerido por uma interface web fácil de usar. O Mais interessante do PFSense é que normalmente
quando você adquire um �rewall, ele já vem junto com o hardware, que é o que chamamos de appliance, que
nada mais é do que uma caixa que recebe o software, porém com o PFSense você pode baixar o software e
utilizar um outro hardware, ou seja, ele não é desenvolvido apenas para um tipo de hardware.
Figura 3 | Vantagens do Firewall PfSense
Fonte: Henriques (2019).
CONFIGURAÇÃO E UTILIZAÇÃO DO ZABBIX, IDS/IPS E FIREWALL
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 10/31
O servidor Zabbix armazena seus dados em um banco relacional alimentado pelo MySQL ou PostgreSQL. Você
pode armazenar esses dados em qualquer banco, até mesmo em bancos não relacionais, como o
ElasticSearch e o TimescaleDB.
Nesse momento vamos abordar o processo de instalação do Zabbix, deixando a solução pronta para o uso e
monitoramento e vamos utilizar o Ubuntu 20 como sistema operacional para instalar o Zabbix.
O primeiro passo é instalar o zabbix server, para isso iremos realizar o download do pacote zabbix direto do
site do Zabbix já no servidor, com o comando abaixo:
Depois iremos atualizar o sistema operacional com o seguinte comando, sudo apt update. Em seguida, vamos
instalar o Zabbix front-end Web com suporte ao banco de dados, com o seguinte comando: sudo apt install
zabbix-server-mysql zabbix-frontend-php , vamos instalar também o agente zabbix, sudo apt install zabbix-
agent, antes de começarmos a utilizar o zabbix, vamos con�gurar o banco.
Iremos logar no MySQL com usuário root da seguinte forma, sudo mysql, depois iremos criar o banco de dados
para o Zabbix, create database zabbix character set utf8 collate utf8_bin; em seguida, criaremos o usuário
que o servidor Zabbix irá usar:
Lembrando que os comandos acima serão executados em sequência. Depois de executado todos os
comandos, basta dar um quit e sair do banco. Após feito os passos acima, iremos rodar o zcat para importar
toda a base do Zabbix, com o seguinte comando: zcat /usr/share/doc/zabbix-server-mysql*/create.sql.gz |
mysql -uzabbix -p zabbix, digite a senha do usuário Zabbix que foi de�nida.
Para que o servidor Zabbix use esse banco, você precisa de�nir a senha no arquivo de con�guração com o
seguinte comando: sudo nano /etc/zabbix/zabbix_server.conf, irá abrir um arquivo, dessa forma iremos editar
a seguinte linha: DBPassword=’senha que voce definiu'.
Agora que terminamos, vamos con�gurar o Nginx. Nginx é um servidor web open-source de alta performance
que entrega o conteúdo estático de um site de forma rápida e fácil de con�gurar. Para instalar o Nginx, basta
digitar o seguinte comando, sudo apt install zabbix-nginx-conf, depois vamos editar o arquivo com o
1 wget
2 https://repo.zabbix.com/zabbix/5.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_5.0-
1+focal_all.deb
3 sudo dpkg -i zabbix-release_5.0-1+focal_all.deb
1 create user zabbix@localhost identified by ‘sua senha’;
2 grant all privileges on zabbix.* to zabbix@localhost;
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ativ… 11/31
seguinte comando: sudo nano /etc/zabbix/nginx.conf, dentro desse arquivo iremos procurar a linha
server_name e colocar o nome de domínio que você quiser, exemplo: meudominio.local, feito isso basta
“restartar” o serviço.
Nesta etapa, iremos con�gurar o arquivo do PHP, para que a performance do Zabbix tenha o melhor
desempenho possível, para isso iremos mudar um parâmetro dentro do seguinte arquivo: sudo nano
/etc/zabbix/php-fpm.conf, ao abrir o arquivo iremos procurar pela linha: ;php_value[date.timezone] =
Europe/Riga e trocar pelo seu fuso horário, exemplo: America/Campo Grande, depois basta salvar e reinicializar o
serviço com o seguinte comando: sudo systemctl restart php7.4-fpm.service e sudo systemctl start zabbix-
server.
Depois de ter feito isso, basta acessar o endereço no navegador e aproveitar essa ferramenta.
CONFIGURAÇÃO E UTILIZAÇÃO DO ZABBIX, IDS/IPS E FIREWALL
Durante sua jornada como analista de segurança defensiva(Blue Team), você provavelmente irá conhecer
muitas ferramentas e diversas técnicas, porém você  sempre tem que estar alinhado com a necessidade da
empresa. Por que eu digo isso? Considerando o aumento no número de ataques e também as tecnologias que
compreendem determinados ataques, o número de informação a ser analisada/monitorada cresce cada dia
mais. Desde monitoramento até automação e integração, pessoas pro�ssionais da área de Blue Team
mantêm o ambiente sempre vigiado e alerta.
Estamos estudando nesta aula a análise e o monitoramento da rede, conhecer a rede, entender o que está
sendo transmitido e os perigos a que elas estão expostas é de suma importância. Nós citamos aqui sobre
monitoramento, IDS/IPS e �rewall, porém o analista de blue team tem a difícil tarefa de continuar evoluindo.
Nessa área, o processo de evolução e aprendizado deve ser constante, pois novas ameaças surgem todos os
dias, dentro das atividades que um analista vai atuar podemos citar algumas como monitorar ambiente com
SIEM, gerar chamados, criar planilhas e relatórios, formalizar projetos, implantação de métodos de segurança.
Algo que é diário é bloqueio de URLs, principalmente de endereços maliciosos, temos também implantação de
hardening, esse serviço é muito necessário e contínuo.
Como funciona o per�l de contratação? Atualmente o mercado atua com níveis, podendo ser nomeados como
Level ou Nível 1, 2 e 3, também podemos ver a classi�cação como: Junior, Pleno e Sênior.
O primeiro nível é geralmente formado por Analistas de Segurança Jr. com per�l generalista em segurança e
tecnologia. Seu foco principal é o monitoramento proativo de alertas originados por um SIEM e outras
ferramentas de segurança gerenciadas pelo SOC. Atua em tarefas de baixa complexidade escalando para o
Segundo e Terceiro Níveis os incidentes ou possíveis incidentes identi�cados na triagem dos alertas.
O segundo nível geralmente é focado em algum nicho da área de segurança cibernética. São responsáveis
principalmente pela análise e resposta do incidente. Esses pro�ssionais também são responsáveis pela
elaboração de Runbooks e Playbooks, que apoiarão o Primeiro Nível na análise inicial e triagem dos alarmes.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 12/31
O terceiro nível são pro�ssionais focados em resposta a incidentes, responsáveis pela condução de War Room
com os clientes afetados em algum ataque cibernético, bem como em toda a documentação necessária no
pós-incidente, incluindo recomendações com base nas melhores práticas de mercado.
O Blue Team identi�ca vulnerabilidades que podem ser exploradas facilmente por qualquer atacante que,
consequentemente, afetarão o negócio. Busca recomendar melhorias para o ambiente dos clientes com base
na análise das vulnerabilidades, de�nindo e mantendo estratégias de defesa para a segurança de redes e
aplicações.
VIDEOAULA
Olá, estudante.
Agora que você conhece o conceito de SNMP, ZABBIX e Monitoramento, é hora de aprofundar seus
conhecimentos assistindo à videoaula deste conteúdo. Você verá como o Monitoramento é importante para o
trabalho dos analistas de segurança cibernética e aprenderá novas maneiras de utilizar algumas ferramentas
para a coleta de informações que o ajudam a �xar esse conceito e complementam o conteúdo teórico
apresentado até aqui.
 Saiba mais
ZABBIX. Forums. Disponível em: https://www.zabbix.com/forum/. Acesso em: 18 jan. 2023.
ZABBIX. Manual do Zabbix. Disponível em: https://www.zabbix.com/documentation/5.2/pt/manual.
Acesso em: 18 jan. 2023.
Videoaula
Para visualizar o objeto, acesse seu material digital.
INTRODUÇÃO
Aula 3
PACKET SNIFFER E ANÁLISE DE PROTOCOLOS
Nesta aula iremos abordar os protocolos de redes, é um assunto bastante extenso, porém iremos
realizar um recorte focando no que é mais importante, veremos sobre TCP Dump, para que ele serve e
seu propósito e como podemos usufruir desse recurso.
23 minutos
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 13/31
https://www.zabbix.com/forum/
https://www.zabbix.com/documentation/5.2/pt/manual
Nesta aula iremos abordar os protocolos de redes, é um assunto bastante extenso, porém iremos realizar um
recorte focando no que é mais importante, veremos sobre TCP Dump, para que ele serve e seu propósito e
como podemos usufruir desse recurso. Nesta aula também será demonstrada a aplicabilidade dos protocolos
HTTP, HTTPS e FTP, bem como o funcionamento do 3-Way Handshake TCP, 4-Way Handshake DHCP e DNS.
Quero dar as boas-vindas para você estudante que está aqui, pois no atual cenário no qual estamos vivendo, é
de extrema necessidade se capacitar, pois o mercado está necessitando de pessoas treinadas e capacitadas a
resolver problemas.
PACKET SNIFFER E ANÁLISE DE PROTOCOLOS
Você está indo bem, nesta aula vamos começar a entender sobre protocolos de rede, mas a�nal de contas o
que são e para que servem? Protocolo de rede é um conjunto de normas que permitem que qualquer
máquina conectada à internet possa se comunicar com outra máquina conectada na rede. Quando você
pesquisa um site no Google, são os protocolos que trabalham para te entregar a sua pesquisa realizada.
Vamos focar nos principais protocolos, porém antes de prosseguirmos, precisamos entender e compreender
sobre a camada OSI, o modelo OSI é um padrão para os protocolos de rede, todo protocolo de rede sempre
vai estar dentro de uma camada do modelo OSI.
Figura 1 | Camada OSI
Fonte: Lima (2018).
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 14/31
Camada 1 – Física, como o nome já diz, essa camada serve para dispositivos como hubs e os meios de
transmissão.
Camada 2 – Enlace ou Ligação, nesta camada os dados são recebidos do meio físico, são veri�cados para ver
se possuem algum erro e, se possuírem, esse erro pode ser corrigido.
Camada 3 – Rede, quando você vai enviar uma carta ou qualquer objeto, os correios vão veri�car o
destinatário e o remetente. Isso é o que a camada 3 faz, ela funciona como se fosse os correios, é nessa
camada que temos o endereçamento IP de origem e destino.
Camada 4 – Transporte, nessa camada, nós temos a garantia de que o envio e o recebimento de pacotes
vindos da camada 3 está sendo entregue. Essa camada lida com a qualidade do serviço, para que os dados
sejam entregues com consistência.
Camada 5 – Sessão, essa camada além de realizar o estabelecimento de sessão, ela também prova algum
suporte para elas, como registro de log e segurança.
Camada 6 – Apresentação, esta camada é responsável pela tradução dos dados para que a próxima camada
os use.
Camada 7 – Aplicação, essa camada é a última do modelo OSI, ela garante que os programas tenham
interação entre máquina e humano, é com essa camada que conseguimos enviar e-mail, baixar arquivos, ouvir
música no Spotfy, etc.
Muito bem, você acabou de entender como funciona a internet, você pode entender que existe sempre um
lado transmitindo e outro lado recebendo e ambos os lados utilizando esse modelo, veja na imagem a seguir:
Figura 2 | Transmissão e recepção
Fonte: Matheus (2022).
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 15/31
E agora que você conseguiu entender sobre o modelo OSI e como funciona o envio e recebimento de dados,
vamos conhecer um processo que é muito importantee que sem ele é quase impossível as coisas
acontecerem, é o 3- Way Handshake, ou mais conhecido como aperto de mão de 3 vias. Basicamente, quando
um transmissor e um receptor vão trocar informações, esse cara acontece, quando você abre o navegador e
digita na barra de endereço, ele primeiro precisa estabelecer a comunicação, e para estabelecer essa
comunicação ele faz o 3-Way Handshake.
Figura 3 | 3-Way Handshake
Fonte: elaborada pelo autor.
Dentre todos os protocolos, temos alguns que são utilizados com mais frequência, um é HTTP, que é a sigla
para Hypertest Transfer Protocol, que signi�ca Protocolo de Transferência de Hipertexto, ele é o mais básico e
usado para navegação em sites da internet.
Temos também o protocolo HTTPS, que signi�ca Hypertest Transfer Secure, Protocolo de Transferência de
Hipertexto Seguro, ele funciona da mesma forma que o HTTP, porém com uma camada de proteção.
PACKET SNIFFER E ANÁLISE DE PROTOCOLOS
Estamos evoluindo, já viu o quanto você já evoluiu? Já aprendeu muitas coisas, já sabe o que é camada OSI, os
protocolos mais utilizados e principalmente o 3-Way Handshake, essa parte é muito importante, pois vamos
nos aprofundar um pouco mais, vamos aprender a utilizar ferramentas de análise, como a Wireshark.
Fazer a análise de tráfego é uma atribuição comum da administração de redes. Não por acaso, já apresentei,
por meio dos artigos do blog, algumas ferramentas importantes em tarefas do tipo, tais como o comando
tcpdump e o Traceroute e, complementando-os, abordarei o Wireshark.
Por que você precisa conhecer o Wireshark? Pois bem, estamos falando da solução de análise de protocolo de
rede mais utilizada no mundo. Esteja você formando a carreira em TI no Brasil, esteja trabalhando no exterior,
é grande a probabilidade de que sua (futura) empresa a utilize.
Figura 4 | Wireshark
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 16/31
Fonte: captura de tela do Wireshark.
Eu quero começar a mostrar para você como poderíamos realizar uma análise de 3-Way Handshake com a
Wireshark. Durante muitas vezes você vai ouvir muito falar sobre o termo �ag, �ags são nada mais do que bits
em um pacote TCP. Por exemplo, é convencionado que 2 bits são, respectivamente, as �ags ACK e SYN. Se
você recebe um pacote e esses bits são 10, então esse pacote tem a �ag ACK ativa, se eles são 11, então o
pacote é SYN/ACK, e assim por diante (o TCP tem mais �ags além dessas duas, como FIN e RST).
Como já vimos, uma conexão TCP é geralmente estabelecida em 3 etapas, na primeira etapa o cliente envia
um pacote com �ag SYN ativa, depois, na segunda etapa o servidor responder um pacote com as �ags
SYN/ACK e na terceira e última etapa, o cliente responde com um pacote com a �ag ACK.
Em outras palavras, a conexão entre cliente e servidor a partir do 3-Way Handshake pode ser explicada da
seguinte maneira:
1. Cliente: Servidor, estou enviando a mensagem com número de sequência 100 (SEQ=100). Dá para
sincronizar (SYN)? Cliente ------SYN----> Servidor.
2. Servidor: Claro (ACK), sincroniza a mensagem 200 (SEQ=200) que estou enviando (SYN). Prossiga com a
mensagem 101 (ACK=101). Cliente 
O cliente e o servidor possuem números de sequência distintos, por esse motivo é necessária a sincronização
(SYN) em ambos os sentidos.
Feita a sincronização, começam a trocar de pacotes com base em números de sequência, que têm o objetivo
de enumerar os pacotes de cada um. Esse conceito é utilizado para toda a internet, então toda vez que for
necessário realizar um troubleshooting (analisar e encontrar o problema), você utilizará esse conceito.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 17/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a3_04.png
PACKET SNIFFER E ANÁLISE DE PROTOCOLOS
Muito interessante essa ferramenta Wireshark, né? Viu o quanto ela é poderosa e o que pode ser feito com
ela? Então, vamos descer um degrau e aprender a snifar a rede com Wireshark. Deixa só eu te explicar o que é
essa palavra snifar, do inglês, signi�ca cheirar ou farejador, dentro da nossa área, tecnologia, refere-se a
cheirar a rede, ver o que está sendo trafegado na rede, qual protocolo está passando em um determinado IP,
rede, etc.
Vamos aprender agora a usar essa ferramenta, primeira coisa é fazer o download dela, que pode ser
encontrada no site o�cial: https://www.wireshark.org/download.html.
Depois de fazer o download, basta instalar, a instalação é simples, basta executar e dar o famoso NNF, next,
next e �nish.
Ao abrir o Wireshark, você vai visualizar esta tela.
Figura 5 | Wireshark
Fonte: captura de tela do Wireshark.
Essa tela vai listar todas as interfaces que estão disponíveis no seu computador, um exemplo, se você estiver
conectado via cabo, você vai selecionar a Ethernet, no meu caso é a Ethernet 4, ou se está conectado via Wi-Fi
e quer snifar essa rede, então você vai selecionar essa interface.
Na imagem a seguir, nós temos a opção File, esse menu nos permite carregar algum arquivo pcap, importar
um hexa dump ou abrir um recente snifer.
Figura 6 | Menu do Wireshark
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 18/31
https://www.wireshark.org/download.html
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a3_04.png
Fonte: captura de tela do Wireshark.
O que é um arquivo PCAP? Esse arquivo contém pacotes de dados capturados em uma rede. O arquivo é salvo
no formato PCAP Next Generation (PCAPNG). Os pacotes de dados armazenados no arquivo PCAPNG são
usados pelos aplicativos do analisador de protocolo de rede, como o Wireshark, para monitorar e administrar
os dados da rede. Os pacotes de dados no arquivo PCAPNG capturam vários tipos de informações em vários
blocos e salvam os pacotes de dados em um formato estruturado. As informações salvas em vários blocos,
como o bloco de cabeçalho de seção, bloco de descrição de interface, bloco de pacote avançado, bloco de
resolução de nome e assim por diante, podem ser usadas para reconstruir os dados capturados.
Temos várias opções no menu suspenso do Wireshark:
Edit: permite a marcação de pacotes, avançar a captura, busca e alterações na con�guração do
Wireshark.
View: apresenta painéis e menus que podem ser visualizados e ocultados, con�guração do tempo
relativo, adição de colunas no painel de pacotes capturados e de�nir as cores por protocolos capturados.
Go: ele te faz andar pelas linhas e andar pelos pacotes.
Capture: lista as interfaces disponíveis para captura, opções de captura, iniciar, parar, reiniciar e �ltros
de captura.
Analyze: apresenta para o usuário os �ltros e protocolos que podem ser utilizados tanto na captura
quanto na visualização das informações.
Statistics: permite que o usuário visualize estatísticas por protocolo, pacotes capturados, médias, �ltro
por tamanho do pacote, grá�cos, contadores de pacotes, grá�cos de �uxo, etc.
Telephony: é um menu dedicado aos protocolos utilizados pela tecnologia VoIP que mostra estatísticas
de chamadas e parâmetros para medir a qualidade das chamadas.
Tools: apresenta ferramentas para criar regras de �ltro de pacotes.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati…19/31
Help: é onde o usuário pode veri�car a ajuda on-line, exemplos de capturas e versão da ferramenta.
No nosso caso aqui, nós iremos selecionar a interface Wi-Fi.
Figura 7 | Wireshark
Fonte: captura de tela do Wireshark.
Selecionada a interface, você vai clicar no ícone em formato de uma barbatana de tubarão e aí vamos
mergulhar na rede e começar a snifar o tráfego, vamos farejar tudo que está passando.
VIDEOAULA
Olá, estudante.
Agora que você conhece o conceito de TCP, conceito basilar de monitoramento de redes, é hora de
aprofundar seus conhecimentos assistindo à videoaula deste conteúdo. Você verá como os assuntos que
abordamos são importantes para o trabalho dos analistas de segurança cibernética e revisará alguns dos
conceitos que o ajudam a �xar este conceito e complementam o conteúdo teórico apresentado até aqui.
 Saiba mais
Neste link podemos realizar o Download da ferramenta e aprender a analisar o tráfego da rede:
https://www.wireshark.org/download.html.
Analisador de pacote de redes on-line: https://hpd.gasmi.net/. 
Neste site, você poderá aprender mais sobre a ferramenta tcpdump e suas atribuições:
DELFINO, P. TCPDUMP: Como analisar o tráfego de rede de forma simples e prática. Pro�ssionais Linux,
[s. d.]. Disponível em: https://e-tinet.com/linux/tcpdump. Acesso em: 18 jan. 2023.
Videoaula
Para visualizar o objeto, acesse seu material digital.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 20/31
https://www.wireshark.org/download.html
https://hpd.gasmi.net/
https://e-tinet.com/linux/tcpdump
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a3_07.png
INTRODUÇÃO
Nesta aula iremos aprofundar mais nosso conhecimento em packet sni�er, vamos aprender a usar Wireshark,
como podemos capturar tráfegos de protocolos como TCP e DHCP, como podemos realizar captura de
protocolos DNS e FTP e identi�car tráfego HTTP e HTTPS.
É de suma importância saber usar e identi�car tráfegos de protocolos, na hora do "troubleshooting” vai te
ajudar bastante, você será capaz de identi�car com precisão onde está acontecendo o bloqueio ou a perda da
conexão.
Quero dar as boas-vindas para você estudante que está aqui, pois no atual cenário no qual estamos vivendo, é
de extrema necessidade se capacitar, pois o mercado está necessitando de pessoas treinadas e capacitadas a
resolver problemas.
PACKET SNIFFER E TCPDUMP NA PRÁTICA
Bom te ver aqui novamente, você está indo bem, já evoluiu bastante, na última aula você pôde entender um
pouco mais da camada OSI, quais aplicações passa por cada camada, como também conhecemos o Wireshark
e algumas funções dele. Nesta aula, vamos aprender a con�gurar e a utilizar as ferramentas de análise de
pacotes, vamos snifar mais fundo com essa ferramenta.
Falando um pouco sobre packet sni�er, quando os sni�er foram criados, eram (e em muitos casos ainda
podem ser) ferramentas úteis que permitiam o trabalho dos engenheiros, analistas de blue team, analistas de
SOC gerenciar suas redes. Como os sni�ers possibilitam os administradores a terem um controle de todo o
tráfego de uma rede, eles podem ser usados para diagnosticar problemas e avaliar desempenho. Na aula
anterior, nós vimos como é feito um início de conversa entre um cliente e o servidor, que é o que chamamos
de 3-Way Handshake, tendo isso em mente, podemos seguir para o conceito do sni�er.
Aula 4
FERRAMENTAS DE PACKET SNIFFER E ANÁLISE DE
PROTOCOLOS
Nesta aula iremos aprofundar mais nosso conhecimento em packet sni�er, vamos aprender a usar
Wireshark, como podemos capturar tráfegos de protocolos como TCP e DHCP, como podemos realizar
captura de protocolos DNS e FTP e identi�car tráfego HTTP e HTTPS.
23 minutos
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 21/31
O trabalho dos sni�ers é bem simples, eles basicamente fazem a captura e inspeção de pacotes dos dados
que trafegam na rede. Vamos imaginar como se fosse uma estrada. Como se fossem vários carros que estão
se movimentando e parando de acordo com diferentes fatores. Na rede, cada carro é um pacote e as pessoas
dentro deles são os dados.
Primeira coisa importante na hora de usar sni�er: você precisa entender como o tráfego de internet funciona
em uma rede (isso já vimos na Aula 7). Na grande parte das vezes, seu computador analisa apenas os pacotes
que foram especi�camente entregues para ele. Voltando ao exemplo da estrada, podemos imaginar que seu
computador é uma casa na beira da estrada. Você não inspeciona todo carro que passa em frente da sua
casa, certo? Entretanto, se algum deles parar ali em frente à sua casa, você abriria sua porta para checar e ver
quem está ali parado. É dessa maneira que seu computador analisa a maioria dos pacotes: ele ignora o que
segue na rede para outros destinos e inspeciona os pacotes que chegam até ele.
Como funciona o sni�er? Já falamos aqui o que os sni�ers podem fazer, precisamos ter em mente que existe
dois tipos de sni�er, o passivo e o ativo. O sni�er passivo atua igual aos hubs, no hub todas as máquinas
recebem todo o tráfego e cada computador é que determina o que é ou não é para seu tráfego. Como todos
os dispositivos recebem todo o tráfego da rede, um sni�er passivo pode facilmente ouvir ou escutar tudo o
que está trafegando. E quanto ao sni�er ativo? Na medida em que dispositivos adicionais são conectados a
um hub, o grande volume de tráfego pode se tornar problemático. Para resolver o problema, os comutadores
são a solução. Eles basicamente organizam o tráfego regulando o envio de dados na rede com o envio de
dados especí�cos aos dispositivos que devem recebê-los.
É aqui que o sni�er ativo entra em cena. Para acessar todo o tráfego que passa pela rede, um sni�er ativo
precisa contornar a forma como os comutadores direcionam os dados, não só o tráfego é monitorado, mas
também pode ser manipulado de alguma forma, como determinado pelo atacante. É isso que torna esse
processo ativo, diferenciando-o do sni�er passivo.
O lado bom de um sni�er ativo é que o usuário (com conhecimento avançado) ou o analista pode detectar o
problema facilmente, uma vez que suas atividades denunciam a presença de pacotes perigosos.
PACKET SNIFFER E TCPDUMP NA PRÁTICA
Vamos ver neste bloco os três pilares importantes para uma boa análise de protocolos. Como uma ferramenta
de monitoramento, existem pilares e conhecimentos importantes para operar um Packet Sni�er, de maneira a
aproveitar ao máximo as técnicas de sni�ng de pacotes, sem comprometer a rede, seguimos então com os
três pilares, que são:
Compreensão basilar para o monitoramento de redes – para evitar a sobrecarga da rede e garantir o
uso e�caz do Packet Sni�er, é necessário conhecer os princípios basilares da rede. Nós vimos os
princípios basilar de uma rede na aula passada, sobre um 3-Way Handshake, sobre camadas do modelo
OSI e sobre cada aplicação que usa essas camadas.
Adotar uma estratégia de amostragem de pacotes – a análise de pacotes pode gerar um alto volume
de dados, preenchendo o espaço no disco rapidamente. Estabelecer uma estratégia de amostragem,
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 22/31
onde os dados são copiados em pacotes com frequências de�nidas, é uma estratégia importante para
um monitoramento mais longo. Esse tipo de estratégia é utilizado quando precisamos de uma análise
mais crítica, porque vai demandar um processamento maior e consequentemente gerarum log maior.
Aplicar estratégias de segurança – aqui está um dos pilares mais estratégicos, as informações
carregadas nos pacotes do tráfego são de alto valor, corresponde a dados reais, portanto é necessário
entender bem como a ferramenta funciona e como utilizar os recursos de segurança durante a
transferência de dados.
Para aplicar tais estratégias, desenvolvendo esses pilares, é preciso conhecer as melhores táticas e caminhos
sobre redes, cibersegurança e monitoramento, de maneira prática e focando nas técnicas fundamentais para
operação de um Packet Sni�er.
Você já viu aqui um pouco do Wireshark, introduzimos sobre ele e, nesta aula, iremos ver sobre tcpdump.
O tcpdump é um utilitário de linha de comando, que roda em sistemas Linux, que permite capturar e analisar
o tráfego de rede que passa pelo seu sistema. É frequentemente usado para ajudar a solucionar problemas de
rede, bem como uma ferramenta de segurança.
Como é uma ferramenta poderosa e versátil que inclui muitas opções e �ltros, o tcpdump pode ser usado em
vários casos. Por se tratar de uma ferramenta de linha de comando, é ideal para rodar em servidores ou
dispositivos remotos para os quais não há interface grá�ca, para coletar dados que podem ser analisados 
posteriormente. Ele também pode ser iniciado em segundo plano ou como um trabalho agendado, usando
ferramentas como o cron (cron jobs).
Como exemplo, a seguir mostramos a saída de um comando “tcpdump –interface any” executado em um
terminal Linux. Esse comando mostra a captura de pacotes de todas as interfaces visíveis por esse servidor.
Figura 1 | Comando tcpdump
Fonte: elaborado pelo autor.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 23/31
Na imagem anterior, vemos que o comando tcpdump é invocado, logo em seguida passamos um parâmetro –
interface, esse paramento a gente diz para o tcpdump que queremos a interface que estamos utilizando no
momento, que pode ser a interface física, via cabo, como pode ser a interface wireless, via Wi-Fi, e para
complementar o comando dizemos any, isso faz com que o tcpdump traga tudo, qualquer coisa que passe
por nossa interface.
PACKET SNIFFER E TCPDUMP NA PRÁTICA
Neste módulo iremos entrar de vez na prática, vamos instalar o tcpdump para Windows e começar a dar
alguns comandos.
Vamos entrar neste link: https://www.microolap.com/products/network/tcpdump/download/, após isso,
vamos clicar em download e baixar o arquivo para sua máquina. Em seguida, você vai descompactar o arquivo
em uma pasta, no meu caso eu descompactei em uma pasta chamada “tcpdump” e salvei dentro do C:\, como
pode ser visto na imagem a seguir.
Figura 2 | Pasta tcpdump
Fonte: captura de tela da pasta do autor.
Em seguida, você vai abrir o cmd como administrador e ir até a pasta onde salvou o arquivo e executá-lo.
Figura 3 | Pasta com o arquivo salvo
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 24/31
https://www.microolap.com/products/network/tcpdump/download/
Fonte: captura de tela da pasta do professor.
Você vai digitar na barra de pesquisa e digitar CMD, em seguida você vai clicar em “Executar como
administrador” para que tenha privilégios elevados, se não, não vamos conseguir capturar nada. Como o CMD
está aberto, vamos navegar até a pasta que salvou o arquivo. Com o comando cd, você consegue entrar nas
pastas, você então vai copiar o caminha de onde você salvou o arquivo e colar no CMD, �cando assim:
Figura 4 | Prompt de comando
Fonte: captura de tela do prompt de comando.
No meu caso �cou assim, no teu computador você precisa passar o caminho certinho onde você salvou o
arquivo. Vamos começar aqui com os seis comandos principais, que são exibir interface, analisar dispositivo,
estipular a quantidade de pacotes a ser analisada, capturar somente pacotes com protocolo tcp, analisar
pacotes de uma determinada porta e gravar dados de pacotes capturados.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 25/31
Primeiramente, se vamos analisar um pacote é necessário dizer ao tcpdump a interface que queremos
explorar. O que acontece se não informarmos a interface? Por padrão, o tcpdump irá usar a interface eth0, a
qual na maioria das vezes corresponde à placa de rede principal.
Para saber quais são as interfaces disponíveis, use o comando junto da opção -D (maiúsculo), como no
exemplo a seguir:
Figura 5 | Prompt de comando
Fonte: captura de tela do prompt de comando.
Quando você tecla enter, é impressa na tela essa lista de dispositivos cujos pacotes podem ser analisados.
Essas são todas as interfaces que tenho em meu notebook, se quiser que todos os pacotes de todas as
interfaces sejam explorados, basta digitar tcpdump any.
Já sabemos quais são os dispositivos existentes, não é mesmo? Então vamos selecionar um deles para
veri�car pacotes, usando a opção -i seguida do nome do dispositivo. Exemplo:
Figura 6 | Prompt de comando
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 26/31
Fonte: captura de tela do prompt de comando.
Con�rme o comando digitando Enter e, então, a ferramenta iniciará a análise dos pacotes (se existirem). Se
nada estiver aparecendo na tela, tente navegar em algum site no dispositivo ou, simplesmente, faça um ping.
Caso tenha funcionado, aparecerá uma série de dados relacionados aos pacotes.
Como a varredura costuma resultar no recebimento de dezenas/centenas de pacotes, convém, dependendo
do caso, estabelecer limites. A opção -c, usada para encerrar a análise, seguida de uma variável (quantidade
de pacotes) mais o comando -i, é um meio de fazermos isso. Exemplo:
Figura 7 | Prompt de comando
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 27/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a4_06.png
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a4_07.png
Fonte: captura de tela do prompt de comando.
Você pode observar que ele retornou com 15 pacotes capturados.
Durante as varreduras é comum encontrarmos pacotes ligados a endereços de outros protocolos, como o
UDP. Para criar um �ltro, acrescente o termo tcp ao comando -i. Exemplo:
Figura 8 | Prompt de comando
Fonte: captura de tela do prompt de comando.
É comum na rotina do administrador de sistemas veri�car as portas de um servidor, por exemplo. Na análise
de pacotes, o procedimento é feito de maneira simples, bastando acrescentar o número da porta. Exemplo:
Figura 9 | Prompt de comando
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 28/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a4_08.png
Fonte: captura de tela do prompt de comando.
Se você quiser registrar os dados obtidos de uma análise de pacotes e salvá-los num arquivo, basta digitar a
linha conforme o exemplo:
Figura 10 | Prompt de comando
Fonte: captura detela do prompt de comando.
Por meio dessas instruções o tcpdump gravará as informações no recém-criado arquivo “registro.cap”.
VIDEOAULA
Olá, estudante.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 29/31
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a4_09.png
https://conteudo.colaboraread.com.br/202301/WHITE_LABEL/SEGURANCA_DEFENSIVA_BLUE_TEAM/LIVRO/U2/assets/img/fig_a4_10.png
Agora que você conhece o conceito de TCP, conceito basilar de monitoramento de redes, é hora de
aprofundar seus conhecimentos assistindo à videoaula deste conteúdo. Você verá como os assuntos que
abordamos são importantes para o trabalho dos analistas de segurança cibernética e revisará alguns dos
conceitos que o ajudam a �xar este conceito e complementam o conteúdo teórico apresentado até aqui.
 Saiba mais
Acesse os sites e saiba mais:
https://www.tcpdump.org/
https://e-tinet.com/linux/tcpdump
MOTA FILHO, J. E. Análise de tráfego em redes TCP/IP. São Paulo: Novatec, 2013. Disponível em:
https://www.amazon.com.br/An%C3%A1lise-Tr%C3%A1fego-Redes-TCP-IP/dp/8575223755. Acesso em: 18
jan. 2023.
Videoaula
Para visualizar o objeto, acesse seu material digital.
Aula 1
PFSENSE. World’s Most Trusted Open Source Firewall. PfSense®, 2023. Disponível em:
https://www.pfsense.org/. Acesso em: 6 nov. 2022.
Aula 2
CASE, J.; FEDOR, M.; DAVIN, J. A Simple Network Management Protocol. Data Tracker, 1989. Disponível em:
https://datatracker.ietf.org/doc/html/rfc1067. Acesso em: 3 dez. 2022.
HENRIQUES, P. Entenda as vantagens do Firewall gratuito PfSense. Indicca, 2019. Disponível em:
https://indicca.com.br/vantagens-�rewall-pfsense/. Acesso em: 3 dez. 2022.
LAMPING, R. S. et al. Wireshark User's Guide: for Wireshark 1.7. [S. l.: s. n.], 2014.
REFERÊNCIAS
2 minutos
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 30/31
https://www.tcpdump.org/
https://e-tinet.com/linux/tcpdump
https://www.amazon.com.br/An%C3%A1lise-Tr%C3%A1fego-Redes-TCP-IP/dp/8575223755
https://www.pfsense.org/
https://datatracker.ietf.org/doc/html/rfc1067
https://indicca.com.br/vantagens-firewall-pfsense/
Imagem de capa: Storyset e ShutterStock.
ZABBIX. Manual do Zabbix. Disponível em: https://www.zabbix.com/documentation/5.2/pt/manual. Acesso
em: 18 jan. 2023.
Aula 3
LIMA, P. Aula 4 - Modelo Geral de Comunicação. Pedrolima.net, 2018. Disponível
em: https://pm�ima.wixsite.com/pedrolima/10rc-mod2. Acesso em: 23 dez. 2022.
MATEUS, Y. O modelo OSI e suas camadas. Alura, 2022. Disponível: 
https://www.alura.com.br/artigos/conhecendo-o-modelo-osi. Acesso em: 23 dez. 2022.
MELO, S. Exploração de Vulnerabilidades em Redes TCP/IP. Rio de Janeiro: Alta Books, 2017. 
MOTA FILHO, J. E. Análise de trafego em redes TCP/IP. São Paulo: Novatec, 2013.
SANDERS, C. Análise de Pacotes na Prática. São Paulo: Novatec, 2017.
Aula 4
MELO, S. Exploração de Vulnerabilidades em Redes TCP/IP. Rio de Janeiro: Alta Books, 2017. 
SANDERS, C. Análise de Pacotes na Prática. São Paulo: Novatec, 2017.
MOTA FILHO, J. E. Análise de tráfego em redes TCP/IP. São Paulo: Novatec, 2013.
21/09/24, 18:04 wlldd_231_u2_seg_def_blu_tea
https://www.colaboraread.com.br/integracaoAlgetec/index?usuarioEmail=luisalberto2843%40hotmail.com&usuarioNome=LUIS+ALBERTO+JERÔNIMO+DA+SILVA&disciplinaDescricao=&atividadeId=4138992&ati… 31/31
https://storyset.com/
https://www.shutterstock.com/pt/
https://www.zabbix.com/documentation/5.2/pt/manual
https://pmflima.wixsite.com/pedrolima/10rc-mod2
https://www.alura.com.br/artigos/conhecendo-o-modelo-osi