Segurança de Redes e Sistemas

Prévia do material em texto

Segurança de Redes e Sistem
as
ISBN 978-85-63630-13-1
9 788563 630131
O aluno aprenderá a implementar uma solução com-
pleta de proteção de redes, utilizando técnicas como 
firewall, IDS, IPS e VPN. O amplo escopo de conceitos 
abordados permitirá a aplicação das técnicas de auten-
ticação e autorização seguras, auditorias de segurança 
e de requisitos de configuração segura de servidores 
Linux e Windows. Após o curso, o aluno será capaz de 
montar um perímetro seguro, aumentar a segurança 
dos servidores da rede, realizar auditorias de segurança 
e implantar sistemas de autenticação seguros.
Este livro inclui os roteiros das atividades práticas e o 
conteúdo dos slides apresentados em sala de aula, 
apoiando profissionais na disseminação deste conheci-
mento em suas organizações ou localidades de origem.
Segurança 
de Redes 
e Sistemas
LI
VR
O 
DE
 A
PO
IO
 A
O 
CU
RS
O
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Lima
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Lima
Segurança 
de Redes 
e Sistemas
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Lima
Rio de Janeiro
Escola Superior de Redes
2013
Segurança 
de Redes 
e Sistemas 
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP 
Rua Lauro Müller, 116 sala 1103 
22290-906 Rio de Janeiro, RJ
Diretor Geral 
Nelson Simões
Diretor de Serviços e Soluções 
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação 
Luiz Coelho
Edição 
Pedro Sangirardi
Revisão Técnica 
Francisco Marcelo Lima
Coordenação Acadêmica de Segurança e Governança de TI 
Edson Kowask
Equipe ESR (em ordem alfabética) 
Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Lourdes Soncin, 
Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Sérgio Souza
Capa, projeto visual e diagramação 
Tecnodesign
Versão 
2.1.0
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de 
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e 
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a 
pessoas ou bens, originados do uso deste material. 
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição 
Escola Superior de Redes 
Rua Lauro Müller, 116 – sala 1103 
22290-906 Rio de Janeiro, RJ 
http://esr.rnp.br 
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
W380p PEIXINHO, Ivo de Carvalho 
 Segurança de Redes e Sistemas/ Ivo de Carvalho Peixinho. – Rio de Janeiro: RNP/ESR, 2013. 
 268 p. : il. ; 27,5 cm. 
 Bibliografia: p. 251. 
 ISBN 978-85-63630-13-1
 1. Planejamento estratégico – Processamento de dados. 2. Sistemas de informação 
 gerencial. 3. Tecnologia da informação – gestão. I. Título.
 CDD 658.4012
iii
Sumário
1. Fundamentos de segurança 
Introdução 1
Exercício de nivelamento 1 – Fundamentos de Segurança 2
Conceitos básicos de segurança 2
Exercício de fixação 1 – Conceitos 6
Processo de Tratamento de Resposta a Incidentes 6
Ciclo de vida de um incidente 7
Grupos de resposta a incidentes 8
Exercício de fixação 2 – Processo de tratamento de incidentes 11
Exercício de fixação 3 – Grupo de resposta a incidentes 11
Normas ISO/ABNT 11
Políticas de segurança 13
Exercício de fixação 4 – Políticas de segurança 15
Planejando uma rede segura 16
Roteiro de Atividades 1 17
Atividade 1 – Exercitando os fundamentos de segurança 17
Atividade 2 – Normas de segurança 17
Atividade 3 – Política de segurança 17
Atividade 4 – Configuração inicial do laboratório prático 18
2. Explorando vulnerabilidades em redes
Introdução 21
Exercício de nivelamento 1 – Explorando vulnerabilidades em redes 21
Penetration Test 21
iv
Exercício de fixação 1 – Penetration Test 24
Exercício de fixação 2 – Packet sniffing 24
Nmap 24
Exercício de fixação 3 – Nmap 27
Hping 27
Exercício de fixação 3 – IP Spoofing 34
Exercício de fixação 4 – DoS 34
Alguns tipos de ataques 34
Exercício de fixação 5 – Alguns tipos de ataque 37
Roteiro de Atividades 2 45
Atividade 1 – Realizando ataques de protocolos 45
Atividade 2 – Levantando os serviços da máquina alvo com Nmap 46
Atividade 3 – Realizando um ataque com Metasploit 47
Atividade 4 – Realizando um ataque de dicionário com o Medusa 49
3. Firewall – Conceitos e Implementação
Introdução 51
Exercício de nivelamento 1 – Firewall 51
Firewall 52
Tecnologias de firewall 52
Exercício de fixação 1 – Filtros de pacotes 55
Exercício de fixação 2 – Servidores proxy 55
Topologias de firewall 55
Exercício de fixação 3 – Topologias de firewall 58
Exercício de fixação 4 – Screened Subnet 58
Implementação de firewalls 58
Netfilter (Iptables) 58
Implementação do Netfilter 59
Modo de operação do Netfilter 61
Exercício de fixação 5 – Netfilter 63
Controle perimetral  63
Tradução de IP (NAT) 65
Packet Filter (PF)  66
Firewall Builder 69
v
Roteiro de Atividades 3 71
Atividade 1 – Filtros de pacotes 71
Atividade 2 – Topologias de firewall 71
Atividade 3 – Topologias de firewall 72
Atividade 4 – Filtro de pacotes 73
Atividade 5 – Controle de NAT 79
Atividade 6 – Gerenciamento gráfico do Firewall Builder  80
Atividade 7 – Identificando as regras do firewall 80
4. Serviços básicos de segurança
Introdução 81
Exercício de nivelamento 1 – Serviços básicos de segurança 81
Gerenciamento de logs 81
Syslog-ng 82
Exercício de fixação 1 – Gerenciamento de logs 85
Exercício de fixação 2 – Syslog 85
Logs do Windows 85
Exercício de fixação 3 – Logs do Windows 88
Exercício de fixação 4 – NTP 88
Monitoramento de serviços 89
Avaliação das ferramentas 92
Vantagens do Cacti 93
Roteiro de Atividades 4 95
Atividade 1 – Configuração do servidor de Syslog  95
Atividade 2 – Configuração do servidor de hora 97
Atividade 3 – Monitoramento de serviços 100
5. Detecção e prevenção de intrusos
Introdução 103
Exercício de nivelamento 1 – Detecção e prevenção de intrusos 103
Sistemas de Detecção de Intrusos (IDS) 103
Exercício de fixação 1 – IDS 105
Sistema de Prevenção de Intrusos (IPS) 105
Exercício de fixação 2 – IPS 106
vi
Sistemas de Detecção de Intrusos em hosts (HIDS) 106
Exercício de fixação 3 – HIDS 107
Snort  107
Instalação do Snort 109
Configuração do Snort 112
Regras do Snort 113
Oinkmaster 114
Guardian: um Snort reativo 115
Snort-inline 115
HIDS 116
Roteiro de Atividades 5 117
Atividade 1 – Configuração básica do Snort 117
Atividade 2 – Atualização de regras 118
Atividade 3 – Bloqueio automático no firewall 119
Atividade 4 – Criando uma regra personalizada do Snort 119
6. Autenticação, Autorização e Certificação Digital
Introdução 121
Exercício de nivelamento 1 – Autenticação e autorização 121
Sistema AAA 121
Exercício de fixação 1 – Sistema AAA 123
Criptografia 123
Criptografia simétrica 124
Criptografia assimétrica 125
Tamanho das chaves 125
Algoritmos Hash 126
Modos de operação de algoritmos criptográficos 127
Exercício de fixação 2 – Criptografia 127
Exercício de fixação 3 – Algoritmos Hash 127
Certificados digitais 128
Obtendo certificado de usuário 128
Revogando o certificado do usuário 129
Exercício de fixação 4 – Certificados digitais 129
Gerenciamento de senhas 129
Sistema de senhas Linux 130
vii
Valor do SALT 131
Exercício de fixação 5 – Sistema de senhas Linux 132
Exercício de fixação 6 – SALT 132
Sistema de senhas Windows132
Administrando as senhas 133
Exercício de fixação 7 – Sistema de senhas no Windows 134
Sistemas de Autenticação Única 134
 OTP 134
S/Key 134
Smart Card 135
Servidores de diretório: LDAP 136
Serviço de diretório 136
Exercício de fixação 8 – LDAP 137
Exercício de fixação 9 – Serviço de diretórios 137
Tipos de informação 137
Protocolo Kerberos  137
Acesso a serviços em uma rede 140
Benefícios do Kerberos 140
Organização do Kerberos 141
Exercício de fixação 10 – Kerberos 141
Certificação digital 142
Trilhas de auditoria  142
Geração dos dados 142
Roteiro de Atividades 6 145
Atividade 1 – Utilização do sistema OTP S/Key 145
Atividade 2 – Configurando o serviço de autenticação Kerberos no Windows 2008 146
Atividade 3 – Uso do Cain & Abel para avaliar a segurança do sistema de autenticação 147
7. Redes Privadas Virtuais
Introdução 151
Exercício de nivelamento 1 – Redes Privadas Virtuais 151
VPN 151
Objetivos de uma VPN 152
VPN PPTP 153
L2TP  153
IPSec 154
Exercício de fixação 1 – VPN 155
viii
Exercício de fixação 2 – IPSec 156
Modos de operação do IPSec 156
Protocolos IPSec 157
Exercício de fixação 3 – IPSec 159
VPN SSL 159
Exercício de fixação 4 – VPN SSL 160
Implementação IPSec no Linux 160
Instalação do Openswan 160
Configuração do Openswan 162
Implementação de VPN SSL no Linux 164
Instalação do OpenVPN 165
Configuração do OpenVPN 166
Roteiro de Atividades 7 169
Atividade 1 – VPN IPSec 169
Atividade 2 – VPN SSL 171
Atividade 3 – Servidor VPN SSL para múltiplos clientes 176
8. Auditoria de Segurança da Informação
Introdução 181
Exercício de nivelamento 1 – Auditoria de Segurança da Informação 181
Análise de vulnerabilidades 182
Exercício de fixação 1 – Análise de vulnerabilidades 183
Instalação do Nessus 183
Auditoria com o Nessus 184
Exemplo de auditoria em firewall 187
Arquitetura do firewall 187
Testando o firewall 187
Testando as regras do firewall 188
Exercício de fixação 2 – Arquitetura do firewall 192
Exercício de fixação 3 – Testando o firewall 192
Alertas e registros 192
Roteiro de Atividades 8 195
Atividade 1 – Auditoria com Nessus 195
Atividade 2 – Auditoria sem filtros de pacotes 196
Atividade 3 – Auditoria do IDS 196
ix
Atividade 4 – Exemplo de auditoria 196
Atividade 5 – Utilizando o Nikto 197
Atividade 6 – Utilizando o Xprobe 197
Atividade 7 – Utilizando o THC-Amap 198
9. Configuração segura de servidores Windows
Introdução 199
Exercício de nivelamento 1 – Configuração segura de servidores Windows 199
Necessidade de configuração de um bastion host 200
Exercício de fixação 1 – Bastion host 200
Check-list 200
Configuração de filtros de pacotes 201
Exercício de fixação 2 – Configuração de filtros de pacotes 204
Criação de uma linha base de segurança (baseline) 204
Desabilitando serviços desnecessários 204
Exercício de fixação 3 – Baseline 207
Ferramentas de análise da segurança do Windows 207
WMIC 208
SYSInternals 208
WSUS 210
MBSA  210
Microsoft Security Compliance Manager 211
Exercício de fixação 4 – Microsoft Security Compliance Manager 214
Sistemas de arquivos e gerenciamento de usuários 214
Group Policy Objects 215
Exercício de fixação 5 – Group Policy Objects (GPO) 217
Políticas de usuários e de computador 217
Heranças de GPO 218
Diretivas de segurança local 219
Diretiva de senhas 219
Diretiva de auditoria 220
Atribuição de direitos de usuários 222
Opções de segurança 222
Roteiro de Atividades 9 225
Atividade 1 – Configuração segura de servidor 225
x
Atividade 2 – Auditoria 226
Atividade 3 – Envio de log para servidor remoto 227
Atividade 4 – Controle de acesso ao sistema operacional 228
10. Configuração segura de servidores Linux
Introdução 229
Exercício de nivelamento 1 – Configuração segura de servidores Linux 230
Instalação do Linux 230
Desabilitando serviços desnecessários 231
Exercício de fixação 1 – Desabilitando serviços desnecessários 234
Pacotes e programas 234
Configuração segura de serviços 236
Exercício de fixação 2 – Configuração segura de serviços 237
Acessos administrativos 237
Exercício de fixação 3 – Acessos administrativos 239
Atualização do sistema operacional 239
Pacotes compilados 240
Sistema de arquivos proc 240
Roteiro de Atividades 10 243
Atividade 1 – Configuração segura de servidor 243
Atividade 2 – Auditoria 250
Atividade 3 – Ferramentas e mecanismos para monitoramento 250
Atividade 4 – Ferramentas de segurança 250
Bibliografia  251
xi
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa 
(RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação 
e Comunicação (TIC). 
A ESR nasce com a proposta de ser a formadora e disseminadora de competências em 
TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e 
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica 
do corpo funcional das organizações usuárias da RNP, para o exercício de competências 
aplicáveis ao uso eficaz e eficiente das TIC. 
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Pro-
jeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração 
Digital e Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração 
e execução de planos de capacitação para formação de multiplicadores para projetos 
educacionais como: formação no uso da conferência web para a Universidade Aberta do 
Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um con-
junto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na 
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza 
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não 
apenas como expositor de conceitos e informações, mas principalmente como orientador do 
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. 
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema 
semelhantes às encontradas na prática profissional, que são superadas por meio de análise, 
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências. 
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as 
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor 
busca incentivar a participação dos alunos continuamente. 
Escola Superior de Redes
xii
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das 
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas 
de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de 
atuação do futuro especialista que se pretende formar. 
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de 
tempo para as atividades práticas, conforme descrição a seguir: 
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). 
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema 
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint.O instrutor 
levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando 
a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que 
o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. 
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). 
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assín-
crona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades 
proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar 
dúvidas e oferecer explicações complementares. 
Terceira etapa: discussão das atividades realizadas (30 minutos). 
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para 
resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são 
convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham 
gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os 
alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso 
existam, a comentá-las.
Sobre o curso 
O aluno aprenderá sobre perímetros de segurança, através da implementação de uma 
solução completa de proteção de redes, utilizando técnicas como firewall, IDS, IPS e VPN. 
O amplo escopo de conceitos abordados permitirá a aplicação das técnicas seguras de 
autenticação e autorização, auditorias de segurança e requisitos de configuração de servi-
dores Linux e Windows. Após o curso, o aluno será capaz de montar um perímetro seguro, 
aumentar a segurança dos servidores da rede, realizar auditorias de segurança e implantar 
sistemas de autenticação seguros.
A quem se destina
Profissionais de TI que desejam adquirir ou atualizar os seus conhecimentos sobre segurança 
de redes e sistemas a fim de garantir melhor aplicabilidade das práticas de segurança da 
informação em suas organizações.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico 
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. 
xiii
Largura constante
 
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da 
saída de comandos.
Conteúdo de slide 
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. 
Símbolo 
Indica referência complementar disponível em site ou página na internet.
Símbolo 
Indica um documento como referência complementar.
Símbolo 
Indica um vídeo como referência complementar. 
Símbolo 
Indica um arquivo de aúdio como referência complementar.
Símbolo 
Indica um aviso ou precaução a ser considerada.
Símbolo 
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao 
entendimento do tema em questão.
Símbolo 
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou 
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP. 
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. 
Exemplo de citação: PEIXINHO, Ivo. Segurança de Redes e Sistemas. Rio de Janeiro: Escola 
Superior de Redes, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação: 
Escola Superior de Redes RNP 
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo 
Rio de Janeiro – RJ – 22290-906 
E-mail: info@esr.rnp.br
xiv
Sobre os autores
Ivo de Carvalho Peixinho é Bacharel em Ciência da Computação pela UFBA e Especialista 
em Gestão de Segurança da Informação pela UnB. Possui mais de 15 anos de experiência 
na área de Segurança da Informação. Foi Diretor Técnico na XSite Consultoria e Tecnologia, 
Analista de Suporte na Universidade Federal da Bahia. Em 2004 atuou como Analista de 
Segurança Sênior no CAIS/RNP por dois anos e atualmente é Perito Criminal Federal do 
Departamento de Polícia Federal desde 2007, lotado atualmente no Serviço de Repressão a 
Crimes Cibernéticos - SRCC/CGPFAZ/DICOR/DPF. É professor de pós-graduação nas discipli-
nas de Análise Forense em Sistemas UNIX e Análise de Malware e é palestrante em diversos 
eventos nacionais e internacionais como GTS, Seginfo, CNASI, ICCyber e FIRST.
Francisco Marmo da Fonseca é bacharel em Engenharia da Computação pelo Instituto de 
Educação Superior de Brasília e pós-graduando em Perícia Digital pela Universidade Cató-
lica de Brasília. Iniciou sua atuação em Redes como bolsista pesquisador do Projeto de Pes-
quisa REMAV-GO (1997-1999), financiado pela RNP e CNPq. Possui 14 anos de experiência 
na área de Redes de Computadores, atua como engenheiro consultor de Redes há 5 anos, 
sendo os últimos 3 anos na Layer2 do Brasil em clientes como Departamento de Polícia 
Federal, IG e Oi. Tem passagens pela Serasa (2006-2008) como consultor no Banco Central 
na Rede do Sistema Financeiro Nacional, e na Brasil Telecom (2002-2007) como analista de 
Operações de Redes IP.
Francisco Marcelo Lima é certificado Project Management Professional (PMP) e Modulo 
Certified Security Officer (MCSO), Mestre em Engenharia Elétrica pela Universidade de Bra-
sília (2009), Mestre em Liderança pela Universidade de Santo Amaro (2007) e pós-graduado 
em Segurança de Redes de Computadores pela Universidade Católica de Brasília (2003). 
Atualmente exerce as funções de Coordenador dos Cursos de Redes de Computadores e 
Segurança da Informação do IESB e Analista em TI do MPOG cedido para a Controladoria-
-Geral da União/PR. Atua, também, como instrutor/revisor dos cursos de segurança e 
redes na RNP e instrutor/revisor dos cursos de planejamento estratégico (PDTI) e gestão de 
contratos de TI (GCTI) na ENAP. Possui mais de 15 anos de experiência na área de Ciência 
da Computação com ênfase em Segurança da Informação, Redes e Construção de Software 
tendo exercido funções como: Coordenador Geral de TI do INCRA (DAS 4); Coordenador 
do Curso de Segurança da Informação da Faculdade Rogacionista; Coordenador do Curso 
de Processamento de Dados e Segurança da Informação da Faculdade AD1, Analista em 
Segurança da empresa Módulo Security Solutions.
Edson Kowask Bezerra é profissional da área de segurança da informação e governança 
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e 
gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-
ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de 
grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com 
vasta experiência nos temas de segurança e governança, tem atuado também como pales-
trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em 
segurança e governança. É professor e coordenador de cursos de pós-graduação na área de 
segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como 
Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.
1
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
ob
je
tiv
os
conceitos
1
Fundamentos de segurança 
Apresentar ao aluno fundamentos de segurança como estratégias, estágios do ciclo de 
vida de incidentes, grupos de resposta a incidentes e normas de políticas de segurança. 
Confidencialidade, integridade, disponibilidade, autenticidade, legalidade, não repúdio 
e privacidade, entre outros.
Introdução
A Segurança da Informação (SI) é uma área em constante evolução, que se desenvolveu muito 
nos últimos anos, com a criação de normas e certificações internacionais e aumento expres-
sivo no número de profissionais dedicados. O profissionalque pretende atuar nessa área deve 
estar ciente de que ela é bastante dinâmica e envolve diversos setores da computação, como 
programação e desenvolvimento de sistemas, redes de computadores, sistemas operacionais 
e bancos de dados, entre outras. Quanto mais conhecimento o profissional de SI possuir, mais 
capacidade terá de desempenhar seu papel. Apesar de todos esses avanços, a SI ainda é uma 
área nova, e a cada dia novas subáreas e conceitos são descobertos e incorporados.
Para este curso, considera-se que o aluno completou o curso de Introdução à Segurança de Redes 
e já possui uma noção sobre segurança de redes, incluindo a família de protocolos TCP/IP, além 
de noções de administração de servidores Linux e Windows. Este curso terá enfoque mais 
prático, com foco na área de redes e sistemas operacionais. Ao final do curso, o aluno deve ser 
capaz de compreender e utilizar os conceitos e ferramentas de segurança de redes, de modo 
a projetar e configurar uma rede com um nível de segurança aceitável, além de ser capaz de 
aumentar o nível de segurança dos sistemas operacionais mais utilizados no mercado, através 
de configurações mais seguras dos sistemas e serviços destes sistemas operacionais. 
Por fim, é importante que o aluno tenha consciência de que este é um curso prático e 
progressivo, com atividades práticas fundamentais e interdependentes, de modo que uma 
atividade de um capítulo é pré-requisito para as atividades dos capítulos seguintes. O aluno 
deve investir nas atividades práticas para finalizá-las completamente, caso contrário poderá 
não obter o aproveitamento desejado.
2
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
Exercício de nivelamento 1 e 
Fundamentos de Segurança
O que você entende por segurança da informação?
Como sua organização trata a área de segurança da informação?
Conceitos básicos de segurança
O profissional de segurança deve ter sempre em mente alguns conceitos básicos, que 
nortearão o seu trabalho no dia a dia. Ele deve pensar de forma diferente do tradicional, 
pois para ele não é suficiente apenas o recurso ou serviço estar funcionando: é preciso estar 
funcionando de forma segura. Podemos citar como exemplo o desenvolvimento de uma 
aplicação web. Neste exemplo dispomos de diversos componentes que devem funcionar de 
forma integrada. Podemos citar então:
q 1 Servidores físicos (hardware).
 1 Sistemas operacionais dos servidores.
 1 Servidor de aplicação.
 1 Servidor HTTP.
 1 Aplicação web.
 1 Servidor de banco de dados.
 1 Segurança do hardware dos servidores.
 1 Segurança do sistema operacional.
 1 Segurança da aplicação através de testes de penetração.
 1 Segurança da rede de comunicação.
Aqui estamos tratando de um exemplo didático, pois uma aplicação comercial em produção 
poderá ter outros componentes, como redundância, sistemas de gerenciamento, sistemas 
de avaliação de desempenho das aplicações e ambientes de virtualização, entre outros. 
Para o desenvolvedor, a preocupação maior é com o bom funcionamento da aplicação. Hoje 
existem alguns padrões de desenvolvimento seguro, boas práticas e informações sobre os 
problemas de segurança mais comuns desse tipo de aplicação. Porém, o desenvolvedor nor-
malmente possui prazos a cumprir e nem sempre possui experiência suficiente no desen-
volvimento de código seguro. A equipe de suporte possui a preocupação de alocar recursos 
suficientes para a operação da aplicação, de acordo com a carga esperada. A equipe de 
homologação e testes muitas vezes está apenas preocupada com o bom funcionamento da 
aplicação em condições normais de operação. O profissional de segurança, por outro lado, 
está preocupado com a segurança da aplicação, o que envolve a segurança de cada um dos 
componentes envolvidos:
 1 Segurança do hardware dos servidores, com garantia de fornecimento de energia através 
de fontes redundantes, nobreaks, geradores e até servidores redundantes.
3
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
 1 Segurança do sistema operacional, do servidor de aplicação e do servidor web, através 
da configuração segura, retirada de serviços desnecessários, aplicação das últimas corre-
ções de segurança do fabricante, filtragem de portas desnecessárias, entre outros.
 1 Segurança da aplicação através de testes de penetração, avaliação das possíveis vulnera-
bilidades, análise do código, entre outros.
 1 Segurança da rede de comunicação, com avaliação da possibilidade de ataques de 
negação de serviço pela rede, ataques a protocolos, entre outros.
qO profissional de segurança deve ter uma formação diversificada:
 1 Segurança de redes wireless.
 1 Testes de invasão (pentest).
 1 Análise forense computacional.
 1 Tratamento de incidentes de segurança.
 1 Desenvolvimento de aplicações seguras.
 1 Segurança de aplicações.
O profissional de segurança deve ter profundo conhecimento em questões de segurança 
física de computadores, segurança de sistemas operacionais, serviços e aplicações web, 
atuando com responsabilidade e sempre buscando níveis mais profundos de conhecimento. 
Atualmente, com o aumento da complexidade dos sistemas de informação, está cada vez 
mais difícil um único profissional abranger todo esse conhecimento, de forma que começam 
a surgir profissionais especializados em determinadas áreas da segurança. Áreas como 
segurança de redes wireless, testes de invasão (pentest), análise forense computacional, tra-
tamento de incidentes de segurança e desenvolvimento de aplicações seguras são apenas 
alguns exemplos de especializações encontradas no mercado nos dias de hoje.
Entre os conhecimentos que um profissional de segurança deve possuir, talvez o conceito 
mais básico corresponda à sigla CID (Confidencialidade, Integridade e Disponibilidade), que é 
derivada do inglês CIA (Confidentiality, Integrity and Availability). Ela é o pilar de toda a área 
de SI, de modo que um incidente de segurança é caracterizado quando uma dessas áreas é 
afetada. A seguir, veremos em detalhes cada um desses itens.
qFundamentos de segurança:
 1 Confidencialidade.
 1 Integridade. 
 1 Disponibilidade.
A Confidencialidade é um termo diretamente ligado à privacidade de um recurso. Um 
recurso deve estar acessível apenas para a pessoa ou grupo que foi definido como usuário 
autorizado para dispor daquele acesso, e nenhum outro. Por exemplo, as notas de um aluno 
devem ser acessadas somente pelo aluno, pelos professores das disciplinas cursadas por ele 
e pela equipe de registro acadêmico. 
O termo Integridade possui duas definições: a primeira relacionada com o fato da infor-
mação ter valor correto; por exemplo, no resultado da correção de uma prova, a nota obtida 
foi avaliada por um professor com conhecimento da disciplina, e portanto apto para julgar 
o conteúdo. A segunda definição está ligada à inviolabilidade da informação, ou seja, a nota 
não pode ser alterada sem justificativa e por meio controlado. A nota não pode “sumir” ou 
ser simplesmente alterada.
Incidente de segurança 
Pode ser definido 
como qualquer evento 
adverso, confirmado ou 
sob suspeita, relacio-
nado à segurança de 
sistemas de compu-
tação ou de redes de 
computadores.
4
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
O termo Disponibilidade está relacionado ao acesso à informação, que pode ser contro-
lada ou não, e disponível quando necessária. Um ataque de negação de serviço pode, por 
exemplo, evitar o acesso à informação, afetando a disponibilidade.
É importante notar que a disponibilidade e a integridade podem ser medidas de 
forma simples, visto que elas são perceptíveis pelos usuários da informação. A confi-
dencialidade,por outro lado, pode ser quebrada sem que se tenha conhecimento do 
fato, pois a simples visualização de uma informação por um usuário não autorizado 
não necessariamente altera essa informação. Daí a importância da auditoria, onde 
são analisados os registros de acesso de determinada informação, com o objetivo de 
verificar se houve acesso indevido. A auditoria será tratada no capítulo 8.
Observe, ainda, que existem três dimensões completamente distintas: duas delas, a 
confidencialidade e a integridade, são valores boolianos: ou a informação se manteve 
confidencial ou não; ou a informação se manteve íntegra ou não. A terceira é um número 
real entre 0 e 1, podendo ser calculada pela própria definição. Duas podem ser monito-
radas e medidas: a integridade e a disponibilidade. Não temos como saber se um dado 
perdeu confidencialidade.
qConceitos auxiliares:
 1 Autenticidade.
 1 Legalidade.
 1 Não repúdio.
 1 Privacidade.
A literatura moderna inclui ainda mais alguns conceitos, que muitas vezes são considerados 
auxiliares aos três já listados. São eles:
 1 Autenticidade: garantia de que uma informação, produto ou documento foi elaborado 
ou distribuído pelo autor a quem se atribui. 
 1 Legalidade: garantia de que ações sejam realizadas em conformidade com os preceitos 
legais vigentes e que seus produtos tenham validade jurídica.
 1 Não repúdio: conceito muito utilizado quando tratamos de certificação digital, onde o 
emissor de uma mensagem não pode negar que a enviou. As tecnologias de certificação 
digital e assinatura digital são exemplos que propiciam essa condição.
 1 Privacidade: conceito amplo, que expressa a habilidade de um indivíduo em controlar a 
exposição e a disponibilidade de informações acerca de si. Com o crescimento dos meca-
nismos de busca, bancos de dados e informações publicadas na internet e redes sociais, 
esse conceito tem sido muito discutido em fóruns específicos. Um exercício interessante 
que o aluno pode realizar é buscar o seu próprio nome no site de buscas do Google. 
É comum nos referirmos a esse conjunto de conceitos básicos como CID ou CIDAL, 
que corresponde às iniciais de alguns dos conceitos apresentados. A sigla DICA ainda 
é usada em referência aos quatro primeiros conceitos.
Além dos conceitos apresentados acima, o livro Building Internet Firewalls, de Elizabeth D. 
Zwicky, Simon Cooper e D. Brent Chapman (editora O’Reilly), define ainda outros conceitos, 
denominados de estratégias de segurança. 
5
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
q 1 Least Privilege (Menor Privilégio).
 1 Defense in Depth (Defesa em Profundidade).
 1 Choke Point (Ponto Único).
 1 Default Deny & default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão).
 1 Universal Participation (Participação Universal).
 1 Diversity of Defense (Diversidade de Defesa).
 1 Inherent Weakness (Fraquezas Inerentes).
 1 Common configuration(Configuração Comum).
 1 Common Heritage (Herança Comum).
 1 Weakest Link (Elo mais Fraco).
 1 Fail Safe (Falha Segura).
 1 Simplicity (Simplicidade).
Esses conceitos são muito importantes, e o profissional de segurança deve sempre tê-los em 
mente no seu dia a dia:
 1 Least Privilege (Menor Privilégio): cada objeto deve ter apenas os privilégios mínimos 
para executar suas tarefas, e nenhum outro. Apesar de muito importante, é difícil aplicar 
esse conceito, pois muitas vezes ele envolve uma série de ajustes e um mínimo erro 
pode fazer com que o recurso pare de funcionar. Como exemplo, podemos citar um 
servidor web. Executar o processo do servidor como o usuário administrador provavel-
mente fornecerá uma série de privilégios desnecessários a ele. Nesse caso, convém criar 
um usuário específico (ex: httpd) e definir as permissões mínimas para que o serviço 
funcione. Por exemplo: permissão de leitura na pasta onde ficam as páginas HTML e per-
missão de leitura e gravação na pasta onde ficam os registros de acesso. 
 1 Defense In Depth (Defesa em Profundidade): não depender de um único mecanismo 
de segurança, independente do quão forte ele possa parecer. Não existe nenhum meca-
nismo 100% seguro, então qualquer mecanismo pode ser subvertido. Colocar defesas 
redundantes pode ser uma boa estratégia, pois um atacante, ao passar por suas defesas 
mais externas, ainda terá outras camadas de defesa para ultrapassar antes de compro-
meter o sistema como um todo. 
 1 Choke Point (Ponto Único): canal estreito por onde os atacantes são forçados a passar, 
que pode ser monitorado e controlado. Exemplos: praça de pedágio em uma estrada, 
caixa de supermercado. Esse é o princípio utilizado pelos firewalls. 
 1 Default Deny e Default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão): 
atitude geral em relação à segurança. Na primeira (mais segura), tudo é proibido e o que é 
permitido deve ser expressamente definido. Na segunda, tudo é permitido e o que é proibido 
deve ser definido. Em sistemas seguros, deve-se buscar sempre a primeira atitude (Default 
Deny), apesar de nem sempre ser possível. Para o caso do acesso à internet por um nave-
gador, seria viável bloquear toda a internet e liberar apenas o que é permitido?
 1 Universal Participation (Participação Universal): todos devem participar do processo 
de segurança. Uma única pessoa que não participa do processo pode comprometer todo 
o sistema. É importante lembrar que a segurança envolve pessoas, e que elas devem 
estar envolvidas, motivadas e participando do processo. 
 1 Diversity of Defense (Diversidade de Defesa): utilizar diferentes sistemas e formas de 
defesa, de modo que uma vulnerabilidade em um sistema pode não estar presente em outros. 
Um certo cuidado deve ser tomado para não recair em um dos problemas listados a seguir.
6
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
 1 Inherent Weaknesses (Fraquezas Inerentes): sistemas de um mesmo tipo podem 
sofrer da mesma fraqueza inerente a esse tipo de sistema. Exemplos: falha de conceito 
ou falha de um protocolo com implementação comum.
 1 Common Configuration (Configuração Comum): sistemas diferentes configurados por 
uma mesma pessoa ou grupo podem sofrer de problemas semelhantes de configuração. 
 1 Common Heritage (Herança Comum): sistemas de fabricantes diferentes podem usar 
componentes comuns e consequentemente terem as mesmas falhas.
 1 Weakest Link (Elo Mais Fraco): corresponde ao ponto mais fraco das suas defesas. As 
suas defesas são tão fortes quanto o ponto mais fraco. Este deve ser eliminado quando 
possível, ou ser forte o suficiente para desencorajar ataques. Muitos atacantes vão pro-
curar o ponto mais fraco da sua rede, tentando atacar a rede a partir dele. Pontos fracos 
da rede devem ser constantemente monitorados quando não puderem ser eliminados.
 1 Fail Safe (Falha Segura): os sistemas, em caso de falha, devem sempre fazê-lo de modo 
a inibir qualquer tipo de acesso. O prejuízo da falta de acesso é preferível ao acesso libe-
rado de forma irrestrita em caso de falha. 
 1 Simplicity (Simplicidade): manter o ambiente simples. A complexidade esconde poten-
ciais problemas de segurança. Interfaces gráficas, gerenciadores centralizados e sistemas 
com configurações simples são alguns exemplos desse princípio. Porém, deve-se tomar 
cuidado com o excesso de simplicidade. Um simples botão na ferramenta com os dizeres 
“torne meu sistema seguro” pode não ser adequado. Os sistemas devem ter um mínimo 
de parametrização, pois cada ambiente possui suas peculiaridades.
Exercício de fixação 1 e 
Conceitos
Explique com suas palavras o que é Defesa em Profundidade e como ela pode ser aplicada 
em sua organização.
O que é o Elo mais Fraco? Dê um exemplo nasua organização.
Processo de Tratamento de Resposta a Incidentes
De acordo com o Cert.br, um incidente de segurança pode ser definido como qualquer 
evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de com-
putação ou de redes de computadores. Em geral, toda situação na qual uma entidade de 
informação corre riscos pode ser considerada um incidente de segurança. No entanto, cada 
organização deve definir o que, em relação aos seus sistemas, para ela pode vir a ser um 
incidente de segurança. Em alguns casos, organizações podem classificar como incidentes 
de segurança qualquer ato que possa não estar em conformidade com a política de segu-
rança adotada pela instituição.
7
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
Todo incidente ocorrido na organização deve ser tratado de acordo com uma metodologia 
definida previamente. Assim, para atender ao processo de resposta a incidentes de segu-
rança a organização deve elaborar uma metodologia visando gerenciar consequências de uma 
quebra de segurança. Seu principal objetivo é minimizar o impacto causado por um incidente 
e possibilitar o restabelecimento dos serviços no mais curto espaço de tempo possível.
O fenômeno de ataques na internet não é um fato novo: no fim da década de 80 o incidente 
conhecido como “Internet Worm” resultou em um incidente que paralisou centenas de 
sistemas na internet. Após esse problema, alguns grupos se reuniram para discutir os rumos 
da segurança na internet. Essa reunião resultou, mais tarde, na criação do CERT Coordination 
Center (Center of Emergency Response Team). Um Centro de Resposta a Incidentes, o CERT foi 
uma das primeiras organizações do tipo CSIRT (Computer Security Incident Response Team).
Com o crescimento da internet, em meados de 1996, esses ataques provocam prejuízos que 
vão desde a perda de milhares de dólares até o que ocorreu há alguns anos na Europa, onde de 
acordo com a agência de notícias Reuters, a internet em um país parou de funcionar após ataques.
Conforme informado pela IFCC (Internet Fraud Complaint Center ), uma parceria entre o FBI 
e o Centro Nacional de Crimes do Colarinho Branco dos Estados Unidos, entre maio de 2000 
e maio de 2001, em seu primeiro ano de funcionamento, foram registrados 30.503 casos de 
fraudes na internet, registros colhidos apenas no site da IFCC.
Segundo o Cert.br, um CSIRT, ou Grupo de Resposta a Incidentes de Segurança, é uma orga-
nização responsável por receber, analisar e responder a notificações e atividades relacio-
nadas a incidentes de segurança em computadores. Normalmente, um grupo de resposta 
a incidentes pode ser um grupo dentro da própria instituição trabalhando exclusivamente 
para a resposta a incidentes dos serviços prestados pela empresa ou pode trabalhar na 
forma de comunidade, auxiliando várias instituições e produzindo estatísticas e relatórios 
que beneficiam todo um grupo ou mesmo um país (Cert.br 2007).
Um CSIRT pode agir de várias maneiras dentro da empresa, de acordo com a importância de 
seus serviços. Um grupo pode estar ligado diretamente à alta administração da empresa, 
de maneira que possa intervir e alterar os processos da instituição, mas também pode agir 
apenas como orientador de processos, não estando diretamente envolvido com a tomada 
de decisões de segurança (CSIRT Handbook 2003).
Ataques a sistemas computacionais visam comprometer os requisitos de segurança de 
uma organização. Esses ataques têm dois tipos de perfil: ativo, onde o atacante faz alguma 
ação para obter o resultado esperado, e passivo, onde o atacante utiliza-se de ferramentas 
para obter os dados referentes ao alvo. De acordo com o Cert.br, um CSIRT pode exercer 
tanto funções reativas quanto funções proativas para auxiliar na proteção e segurança dos 
recursos críticos de uma organização. Não existe um conjunto padronizado de funções ou 
serviços providos por um CSIRT. Cada time escolhe seus serviços com base nas necessi-
dades da sua organização e da comunidade a quem ele atende.
Ciclo de vida de um incidente
q 1 Estágio 1 – Preparação dos Processos.
 1 Estágio 2 – Gerenciamento de riscos.
 1 Estágio 3 – Triagem.
 1 Estágio 4 – Resposta a incidentes.
8
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
A segurança de uma organização sempre estará sujeita a incidentes, como todas as outras 
áreas. Os fatores são os mais diversos, desde ameaças não intencionais causadas por usuá-
rios comuns até ameaças técnicas organizadas. Para uma organização é de vital importância 
que os incidentes sejam tratados corretamente, e para isso se faz necessário entender como 
funciona o ciclo de vida de um incidente.
De acordo com o Instituto de Engenharia de Software da Carnegie Mellon University, 
responsável pelo Cert.org, podemos classificar o ciclo de vida de um incidente em quatro 
estágios (CSIRT Handbook 2003), conforme veremos a seguir.
Estágio 1 – Preparação dos processos
O início do ciclo de vida de um incidente começa antes do próprio incidente. É necessária a 
elaboração de processos e procedimentos para a correta ação empregada contra ameaças e 
vulnerabilidades possíveis à organização. É importante que todos os processos empregados 
sejam testados e aperfeiçoados. Esses processos têm por finalidade o correto emprego dos 
recursos para a resposta a incidentes.
Estágio 2 – Gerenciamento de riscos
Por meio de ações corretivas e preventivas de ameaças existentes, pois estas são um fator 
intrínseco dentro de uma organização. O gerenciamento de riscos é muito importante e 
deve ser um processo contínuo dentro de uma organização, desenvolvendo medidas de 
segurança e calculando seu impacto para cada uma das etapas de um ciclo de incidentes.
Estágio 3 – Triagem
O método de recepção de todo e qualquer indício de incidente é de suma importância, pois 
é com uma correta triagem da informação que se inicia todo o processo de catalogação e 
resposta ao incidente. Os grupos de resposta a incidentes comumente informam apenas um 
meio de contato ou “hotline”, seja para um grupo de resposta de âmbito nacional, privado 
ou mesmo dentro da organização. Essa triagem é importante para a aplicação correta do 
controle de segurança da informação impactado pelo incidente. Normalmente, esse con-
trole também é atribuído a um gerente de incidente, profissional especializado no problema 
que estará à frente do incidente até a sua resolução.
Estágio 4 – Resposta a incidentes
Quando um incidente já passou pela triagem, ele é submetido ao plano de resposta a 
incidentes da organização. Nesse ponto, atividades anômalas são facilmente detectadas e a 
adoção de medidas apropriadas pode rapidamente identificar sistemas afetados, dimensio-
nando o montante do prejuízo.
Grupos de resposta a incidentes
qPrevenção:
 1 Auditoria de segurança.
 1 Treinamento e orientação a usuários.
 1 Disseminação de informação relacionada à segurança.
 1 Monitoração de novas tecnologias.
9
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
qResposta:
 1 Tratamento de incidentes.
 1 Tratamento de vulnerabilidades.
 1 Qualidade de serviços de segurança.
 1 Consultoria em segurança.
 1 Análise de riscos.
 1 Planejamento e recuperação de desastres.
O maior desafio para os profissionais de segurança dos dias atuais é a gestão de uma 
complexa infraestrutura de comunicação de dados da internet, seu gerenciamento e 
manutenção. Na maioria das organizações, as equipes de profissionais em rede não contam 
com pessoal em quantidade suficiente para atender à demanda crescente de otimização de 
sistemas, atualização incessante de programas para minimizarriscos e defender-se contra 
ataques dos mais variados tipos. Esse cenário se torna pior à medida que surgem novas 
ferramentas de ataques, malwares, toolkits e a crescente organização de grupos que visam 
à paralisação e o roubo de dados na rede mundial de computadores.Nesse contexto, e para 
atender à necessidade de resposta a incidentes, surgem os grupos de resposta a incidentes, 
cujo objetivo é responder de maneira rápida e efetiva a essas ameaças. Esse grupo tem 
como objetivo desenvolver meios para identificar, analisar e responder a incidentes que 
venham a ocorrer, minimizando prejuízos e reduzindo seus custos de recuperação.
Os grupos de resposta a incidentes geralmente trabalham em duas frentes, prevenção e resposta.
Prevenção
Caracterizam-se como serviços proativos os serviços onde o grupo procura se antecipar aos 
problemas de maneira a preveni-los, gerando uma base de conhecimento para futura pes-
quisa. Dentre as principais atividades de prevenção destacam-se a auditoria de segurança e 
o treinamento e orientação a usuários.
Auditoria de segurança
A auditoria de segurança dentro de uma empresa visa submeter seus ativos a uma análise 
de segurança com base nos requisitos definidos pela organização ou por normas internacio-
nais. Também pode implicar na revisão das práticas organizacionais da empresa bem como 
testes em toda a sua infraestrutura. Nos dois últimos módulos deste treinamento, será 
abordado o processo de hardening para servidores Linux e Windows. Uma vez aprovado um 
processo de hardening, este pode ser utilizado para auditar a segurança de um ambiente, já 
que nesse documento encontra-se a configuração mínima recomendada para um ativo.
Treinamento e orientação a usuários
Uma das funções de um CSIRT também é a promoção de palestras e workshops sobre segu-
rança dentro de uma organização. Essas palestras têm o intuito de informar aos usuários as 
políticas de seguranças vigentes e como se proteger de vários ataques, principalmente de 
engenharia reversa.
Disseminação de informação relacionada à segurança
A disseminação de informação é primordial para o sucesso de um grupo de resposta a 
incidentes. Essa disseminação pode ocorrer tanto dentro da organização, através de docu-
mentos e boletins internos, como com a confecção de artigos para distribuição para outros 
órgãos externos à empresa.
10
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
Monitoração de novas tecnologias
Um Grupo de Resposta a Incidentes monitora novos desenvolvimentos técnicos de ataques 
para ajudar a identificar novas tendências de futuras ameaças. Esse serviço envolve a leitura 
de fóruns e listas de discussão, sites e revistas especializadas. 
Resposta
Os serviços reativos englobam atividades que são realizadas após algum evento ou requi-
sição dentro da organização. Baseiam-se em análises de logs e produção de relatórios em 
função de alguma detecção de atividade maliciosa. Dentre as principais atividades de res-
posta a incidentes, podemos destacar as seguintes.
Tratamento de incidentes
Segundo Chuvakin e Peikari, autores do livro Security Warrior, uma reposta a incidente é um 
processo de identificação, contenção, erradicação e recuperação de um incidente de compu-
tador, realizado pelo time de segurança responsável.
O tratamento de incidentes é a principal atividade de um time de resposta a incidentes. São os 
incidentes que vão gerar todo o processo de identificação, classificação e tomada de decisão sobre 
quais procedimentos tomar para sanar o problema, quantas vezes o problema foi constatado 
dentro de um período, qual o impacto causado pelo incidente e se este obteve ou não sucesso.
Tratamento de vulnerabilidades
O tratamento de vulnerabilidades visa submeter os sistemas a uma auditoria a fim de saber 
quais suas fraquezas e como preveni-las através de mitigação de alguns serviços.
Essa metodologia está diretamente ligada à criação do plano de continuidade de negócios 
dentro de uma organização, pois, através das avaliações feitas, é possível fazer uma análise 
de risco e impacto para as vulnerabilidades encontradas.
Qualidade de serviços de segurança
A qualidade dos serviços de segurança proporciona aumento na experiência adquirida na 
prestação de serviços proativos e reativos descritos acima. Esses serviços são concebidos 
para incorporar os feedbacks e as lições aprendidas com base no conhecimento adquirido 
por responder a incidentes, vulnerabilidades e ataques.
Parte de um processo de gestão da qualidade da segurança pode melhorar a segurança a 
longo prazo, gerando base dados de incidentes e suas propostas para solução.
Consultoria em segurança
Um CSIRT pode ser utilizado para fornecer aconselhamento sobre as melhores práticas de 
segurança, principalmente dentro de um ambiente militar. Esse serviço pode ser utilizado na 
preparação de recomendações ou identificando requisitos para a aquisição, instalação ou 
obtenção de novos sistemas, dispositivos de rede, aplicações de software ou criação de pro-
cessos. Esse serviço inclui proporcionar orientação e ajuda no desenvolvimento organiza-
cional ou no círculo de políticas de segurança. Ele pode também envolver o aconselhamento 
às normas legais legislativas ou de outros órgãos governamentais.
11
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
Análise de riscos
Um Grupo de Resposta a Incidentes pode ser capaz de acrescentar valor à análise de risco 
e avaliações. Isso pode melhorar a capacidade da organização para avaliar ameaças reais, 
fornecer avaliações qualitativas e quantitativas dos riscos para os ativos da organização e 
avaliar estratégias para melhor defesa.
Planejamento e recuperação de desastres
Com base em ocorrências anteriores e futuras previsões de tendências emergentes de inci-
dentes de segurança, pode-se afirmar que quanto mais os sistemas de informação evoluem, 
mais aumenta a chance de acontecer um incidente. Por isso, o planejamento deve consi-
derar os esforços e experiências passadas de um CSIRT.
Recomendações para determinar a melhor forma de responder a esses incidentes para 
garantir a continuidade das operações comerciais devem ser uma prioridade para a orga-
nização. Grupos realizando esse serviço estão envolvidos em continuidade de negócios e 
recuperação de desastres, planejamento de eventos relacionados com a segurança informá-
tica e ameaças ataques.
Fonte: CAIS RNP
Exercício de fixação 2 e 
Processo de tratamento de incidentes
Explique os estágios do ciclo de vida de um incidente.
Exercício de fixação 3 e 
Grupo de resposta a incidentes
O que é prevenção e como ela é feita na sua organização?
Normas ISO/ABNT
qHistórico: BSI e ISO
 1 ABNT NBR ISO/IEC 27001:2006 (SGSI) – passível de certificação.
 1 ABNT NBR ISO/IEC 27002:2005 (código de prática).
 1 ABNT NBR ISO/IEC 27005:2008 (gestão de riscos).
 1 ABNT NBR ISO/IEC 27011:2009 (telecomunicações).
Um dos primeiros documentos criados para fins de normatização em meios computacionais 
foi o Security Control for Computers Systems, publicado em 11 de fevereiro de 1970 pela 
RAND Corporation, uma empresa norte-americana sem fins lucrativos especializada em asses-
soria de investigação e análise, fundada em 1948, marcou o início da criação de um conjunto 
12
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
de regras para a segurança de computadores. Mais tarde, o DoD (Departamento de Defesa 
dos Estados Unidos) publicou o Orange Book, conhecido também como Trusted Computer 
Evalution Criteria. Publicado inicialmente em 1978, em forma de um rascunho, foi finalizado 
em 1985. O Orange Book, mesmo sendo um documento já ultrapassado,marcou o início da 
busca por um conjunto de regras para a avaliação de um ambiente computacional seguro.
Em 1987, o DTI (Departamento de Comércio e Indústria do Reino Unido) criou um centro 
de segurança de informações, que, entre suas atribuições, estava a de criar uma norma de 
segurança das informações do Reino Unido. Até 1988, vários documentos foram publicados. 
Em 1995, esse centro, denominado Commercial Computer Security Centre (CCSC), juntamente 
com o grupo britânico BSI, lança o BS7799:1995, Gestão de Segurança da Informação. Código 
de prática para sistemas de informação de gestão de segurança, essa norma é divida em duas 
partes: uma homologada em 2000 e, a outra, em 2002. É a base para a gestão de segurança 
da informação usada por entidades de metodologia de gestão da segurança da informação 
focada nos princípios básicos da segurança: Confidencialidade, Integridade e Disponibilidade.
Em dezembro de 2000, a ISO (International Organization of Standadization ) internaciona-
lizou a norma BS17799, criando a ISO/IEC 17799:2000, uma norma abrangente e interna-
cional voltada para a gestão de segurança da informação.
O objetivo dessa norma era criar um conjunto de regras para assegurar a continuidade do 
negócio e minimizar prejuízos empresariais, reduzindo o impacto causado por incidentes de 
segurança. As normas da ISO baseadas em segurança da informação foram atualizadas e 
agrupadas na família de numeração 27000.
A ABNT (Associação Brasileira de Normas Técnicas ) publicou uma série de normas baseadas 
na ISO, traduzidas para o português.
 1 ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de segurança – 
Sistema de gestão da segurança da informação – Requisitos. Versão atual da BS7799 
parte 2. Essa norma especifica os requisitos para estabelecer, implementar, operar, 
monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança 
da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da 
organização. Essa norma especifica requisitos para implementar os controles de segu-
rança personalizados para as necessidades individuais de organizações ou suas partes.
 1 ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança –
Código de prática para a gestão de segurança da informação. Versão atual da ISO/IEC 
17799. Essa norma estabelece diretrizes e princípios gerais para iniciar, implementar, 
manter e melhorar a gestão de segurança da informação em uma organização. Os obje-
tivos definidos nessa norma proveem diretrizes gerais sobre as metas geralmente aceitas 
para a gestão de segurança da informação.
 1 ABNT NBR ISO/IEC 27003:2010 – Tecnologia da Informação – Técnicas de segurança – 
Diretrizes para implantação de um sistema de gestão da segurança da informação. Essa 
norma foca os aspectos críticos necessários para a implantação e o projeto bem-sucedido 
de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma 
ABNT NBR ISO/IEC 27001:2006. A norma descreve o processo de especificação e projeto 
do SGSI desde a sua concepção até a elaboração dos planos de implantação. Ela descreve 
o processo de obtenção de aprovação da direção para implementar um SGSI e fornece 
diretrizes sobre como planejar o projeto do SGSI.
13
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
 1 ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão 
de riscos de segurança da informação. Essa norma fornece diretrizes para o processo de 
gestão de riscos e segurança da informação. Norma criada para apoiar o entendimento das 
especificações e conceitos estabelecidos pela norma ABNT NBR ISO/IEC 27001:2006.
Para aqueles que desejarem mais informação sobre esse assunto, logo abaixo são listadas 
as principais normas sobre segurança da informação:
 1 ISO/IEC 27000: Information security management systems – Overview and vocabulary. 
 1 ISO/IEC 27003: Information security management system implementation guidance. 
 1 ISO/IEC 27004: Information security management measurements. 
 1 ISO/IEC 27006: Requirements for bodies providing audit and certification of information 
security management systems. 
 1 ISO/IEC 9797-1: Message Authentication Codes (MACs) – Part 1: Mechanisms using 
a block cipher. 
 1 ISO/IEC 9798-1: Entity authentication – Part 1: General. 
 1 ISO/IEC 9979: Procedures for the registration of cryptographic algorithms. 
 1 ISO/IEC 10118-1: Hashfunctions – Part 1: General. 
 1 ISO/IEC 11770-1: Key management – Part 1: Framework. 
 1 ISO/IEC 15846-1: Cryptographic techniques based on elliptic curves – Part 1: General. 
 1 ISO/IEC 18033-3: Encryption algorithms – Part 3: Block ciphers. 
 1 ISO/IEC 15408-1: Evaluation criteria for IT security – Part 1: Introduction and general model. 
 1 ISO/IEC 15408-2: Evaluation criteria for IT security – Part 2: Security functional. 
 1 ISO/IEC 15408-3: Evaluation criteria for IT security – Part 3: Security assurance. 
 1 ISO/IEC 15443-1: A framework for IT Security assurance – Part 1: Overview and framework. 
 1 ISO/IEC 15443-2: A framework for IT Security assurance – Part 2: Assurance Methods. 
 1 ISO/IEC 15443-3: A framework for IT Security assurance – Part 2: Analysis of Assurance Methods. 
 1 ISO/IEC 18045: A framework for IT Security assurance – Methodology for IT Security Evaluation. 
 1 ISO/IEC 18043: Selection, deployment and operations of intrusion detection systems. 
 1 ISO/IEC 18044: Information security incident management. 
 1 ISO/IEC 24762: Guidelines for information and communications technology disaster 
recovery services. 
 1 ISO/IEC 27033-1: Network Security – Part 1: Guidelines for network security. 
 1 ISO/IEC 27034-1: Guidelines for Application Security – Part 1: Overview and Concepts. 
 1 ISO/IEC 24760: A framework for identity management.
 1 ISO/IEC 29100: A privacy framework. 
 1 ISO/IEC 29101: A privacy reference architecture. 
 1 ISO/IEC 29115: Entity authentication assurance.
Políticas de segurança
A Política de Segurança da Informação e Comunicações (POSIC) é o documento mais impor-
tante de uma organização quando se trata de Segurança da Informação. Nela estão todas as 
diretrizes, recomendações e deveres de todos. O profissional de segurança deve conhecer 
bem a política de segurança da sua instituição e deve balizar todo o trabalho em cima dela. 
14
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
qOutras políticas associadas à POSIC tratam de assuntos mais específicos, como por exemplo:
 1 Política de Uso Aceitável (PUA).
 1 Política de Controle de Acesso (PCA).
 1 Plano de Continuidade de Negócio (PCN).
 1 Política de senhas.Política de Salvaguarda (backup).
Esse assunto não faz parte diretamente do escopo deste curso, porém é importante 
conhecer todas as políticas e legislações do órgão em que se está implantando uma solução 
de segurança, pois elas podem impactar diretamente no que pode ou não ser feito, nas 
punições para o descumprimento da política e nos responsáveis pelas informações e 
recursos computacionais. A norma ABNT NBR ISO/IEC 27001 possui um capítulo inteira-
mente dedicado às políticas de segurança. 
No âmbito do Governo Federal, o Gabinete de Segurança Institucional (GSI) da Presidência 
da República, através do Departamento de Segurança da Informação e Comunicações, 
publicou uma série de instruções normativas com o objetivo de orientar a administração 
pública em diversas questões da Segurança da Informação. 
qNormas DSIC/GSIPR:
 1 Norma Complementar nº 01/IN01/DSIC/GSIPR: Atividade de Normatização.
 1 Norma Complementar nº 02/IN01/DSIC/GSIPR: Metodologia de Gestão de Segurança 
da Informação e Comunicações.1 Norma Complementar nº 03/IN01/DSIC/GSIPR: Diretrizes para a Elaboração de Política 
de Segurança da Informação e Comunicações nos Órgãos e Entidades da Adminis-
tração Pública Federal.
 1 Norma Complementar nº 04/IN01/DSIC/GSIPR e seu anexo, Diretrizes para o Processo 
de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos 
e entidades da Administração Pública Federal.
 1 Norma Complementar nº 05/IN01/DSIC/GSIPR e seu anexo, Disciplina e Criação de 
Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos 
órgãos e entidades da Administração Pública Federal.
 1 Norma Complementar nº 06/IN01/DSIC/GSIPR: Diretrizes para a Gestão de Continui-
dade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunica-
ções, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF).
Em especial foi publicada a Instrução Normativa IN01-GSI/PR, que define orientações para 
a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, e 
algumas Normas Complementares:
 1 Norma Complementar nº 01/IN01/DSIC/GSIPR: atividade de normatização, que tem 
como objetivo estabelecer critérios e procedimentos para a elaboração, atualização, alte-
ração, aprovação e publicação de normas complementares sobre gestão de segurança da 
informação e comunicações, no âmbito da Administração Pública Federal.
 1 Norma Complementar nº 02/IN01/DSIC/GSIPR: metodologia de Gestão de Segurança 
da Informação e Comunicações utilizada pelos órgãos e entidades da Administração 
Pública Federal.
Para aqueles que 
desejarem continuar 
seus estudos em 
políticas de segurança, 
visto que não é o 
objetivo principal deste 
curso, o instituto SANS 
(sans.org) oferece um 
modelo padrão de 
política de segurança 
que poderá ser 
adaptado e utilizado 
em qualquer ambiente 
computacional. 
w
15
 
C
ap
ítu
lo
 1
 - 
Fu
nd
am
en
to
s 
de
 s
eg
ur
an
ça
 1 Norma Complementar nº 03/IN01/DSIC/GSIPR: estabelece diretrizes, critérios e proce-
dimentos para a elaboração, institucionalização, divulgação e atualização da Política de 
Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Adminis-
tração Pública Federal.
 1 Norma Complementar nº 04/IN01/DSIC/GSIPR: estabelece diretrizes para o processo 
de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) considerando 
prioritariamente os objetivos estratégicos, os processos e requisitos legais e a estrutura 
dos órgãos ou entidades da Administração Pública Federal.
 1 Norma Complementar nº 06/IN01/DSIC/GSIPR: estabelece diretrizes para Gestão da 
Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e 
Comunicações, nos órgãos e entidades da Administração Pública Federal.
 1 Norma Complementar nº 07/IN01/DSIC/GSIPR: estabelece diretrizes para implemen-
tação de controles de acesso relativos à Segurança da Informação e Comunicações, 
abrangendo a criação de contas de usuários, rede corporativa de computadores e ativos 
de informação. Essa norma contempla inclusive um anexo com um modelo de termo de 
responsabilidade a ser utilizado pelos utilizadores dos meios computacionais da entidade.
 1 Norma Complementar nº 08/IN01/DSIC/GSIPR: disciplina o gerenciamento de Inci-
dentes de Segurança em Redes de Computadores realizado pelas equipes de Tratamento 
e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) nos órgãos e 
entidades da APF (Administração Pública Federal).
 1 Norma Complementar nº 09/IN01/DSIC/GSIPR: estabelece orientações para o uso 
de recursos criptográficos como ferramenta de controle de acesso em Segurança da 
Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, 
informando principalmente as responsabilidades tanto dos gestores de Segurança da 
Informação quanto do agente público que utilize esse recurso.
Mesmo para empresas privadas ou outras entidades, as normas podem servir como um bom 
embasamento para a criação da política de segurança, do grupo de resposta a incidentes de 
segurança ou do processo de gestão de riscos. Para a comodidade do aluno, o item 6 consta a 
NC 03, que trata de diretrizes para a elaboração de uma política de segurança (POSIC).
É possível encontrar na web diversas políticas de segurança completas publicadas por 
órgãos públicos brasileiros. Um exemplo seria a Portaria/Incra/P/N° 70, de 29/03/2006 (DOU 
nº 62, de 30 de março de 2006).
Exercício de fixação 4 e 
Políticas de segurança
O que é política de segurança? Ela existe na sua organização?
As normas do DSIC/
GSIPR são públicas e 
podem ser obtidas no 
site do DSIC: 
http://dsic.planalto.gov.br/ 
w
16
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
Planejando uma rede segura
q 1 Visão geral.
 1 Execução em etapas.
 1 Documento de planejamento:
 2 Prazos.
 2 Validação e aprovação.
 1 Execução.
A etapa de planejamento é talvez a mais importante na construção de um ambiente de rede 
seguro ou na adição de segurança a um ambiente existente. Nessa etapa o profissional vai 
obter uma visão geral do que está sendo pretendido, além de dividir a execução em etapas 
bem definidas. Recomenda-se que seja elaborado um documento com a descrição de tudo 
o que será executado, incluindo prazos, de modo que esse documento seja validado e apro-
vado antes de se iniciar a etapa de execução. 
No planejamento, deve ser definida uma série de questões, como por exemplo:
 1 Topologia da rede em questão.
 1 Servidores e serviços públicos na internet.
 1 Servidores e serviços na intranet.
 1 Interligação com outras instituições e redes, como extranet.
 1 Acesso remoto.
 1 Tecnologias de segurança.
 1 Mecanismos de proteção da rede.
 1 Salvaguarda de informações.
O ISECOM (Institute for Security and Open Methodologies), Instituto para Segurança e 
Metodologias Abertas, é uma comunidade colaborativa sem fins lucrativos que desde 2001 
dedica-se a fornecer práticas de conscientização, pesquisa e certificação open source na 
área de segurança de redes. É responsável pela publicação do OSSTMM (Open Source 
Security Testing Methodology Manual), Manual de Código Aberto Sobre Metodologias de 
Testes de Segurança. Nesse manual são abordados todos os aspectos a serem levados em 
consideração para a execução de um teste de segurança em um sistema computacional. 
São abordados temas importantes, como métricas de segurança, metodologias para 
melhorar a segurança física de redes, conexões sem fio e comunicações eletrônicas. 
Nos capítulos seguintes, serão vistas as tecnologias e técnicas de segurança existentes, para 
que o profissional as conheça e seja capaz de realizar e implementar o planejamento de uma 
solução de segurança para redes de computadores. 
Todas as ferramentas de segurança apresentadas são baseadas em software livre, 
porém os conceitos são genéricos e se aplicam a outras ferramentas, comerciais ou não, 
existentes no mercado. 
Software livre
Qualquer programa de 
computador que pode 
ser usado, copiado, 
estudado e redistri-
buído sem restrições.
17
 
C
ap
ítu
lo
 1
 - 
Ro
te
ir
o 
de
 A
ti
vi
da
de
s
Roteiro de Atividades 1
Atividade 1 – Exercitando os fundamentos de segurança
Como vimos, o conceito de segurança mais básico apresentado consiste no CID (Confiden-
cialidade, Integridade e Disponibilidade). Apresente três exemplos de quebra de segurança 
em cada um desses componentes, como por exemplo:
 1 Planilha Excel corrompida.
 1 Acesso não autorizado aos e-mails de uma conta de correio eletrônico.
 1 Queda de um servidor web por conta de uma falha de energia elétrica.
Associe cadaum dos eventos abaixo a uma estratégia de segurança definida na parte teórica.
 1 Utilizar um servidor Web Linux e outro Windows 2000 Server para servir um mesmo con-
teúdo, utilizando alguma técnica para redirecionar o tráfego para os dois servidores.
 1 Utilizar uma interface gráfica simplificada para configurar uma solução de segurança.
 1 Configurar todos os acessos externos de modo que passem por um ponto único.
 1 Um sistema de segurança em que caso falte energia elétrica, todos os acessos que 
passam por ele são bloqueados.
 1 Configurar um sistema para só ser acessível através de redes confiáveis, para solicitar uma 
senha de acesso e em seguida verificar se o sistema de origem possui antivírus instalado.
 1 Configurar as permissões de um servidor www para apenas ler arquivos da pasta onde 
estão as páginas HTML, sem nenhuma permissão de execução ou gravação em qualquer 
arquivo do sistema.
Atividade 2 – Normas de segurança
Acesse o site do DSIC: http://dsic.planalto.gov.br/ e leia a Instrução Normativa GSI/PR nº 1, 
de 13 de junho de 2008 e as normas complementares indicadas. Elas são um bom ponto 
de partida para a criação de uma Política de Segurança, de uma Equipe de Tratamento de 
Incidentes de Segurança, de um Plano de Continuidade de Negócios e para a implementação 
da Gestão de Riscos de Segurança da Informação.
Atividade 3 – Política de segurança
O Incra (Instituto Nacional de Colonização e Reforma Agrária ) publicou, em 2006, sua política 
de segurança da informação no Diário Oficial da União (Portaria INCRA/P/No 70 de 29/03/2006). 
Leia o texto procurando identificar as principais dificuldades encontradas pela equipe técnica do 
18
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
Incra para implementar essa política no ambiente de produção. Realize uma crítica construtiva 
de forma a identificar tópicos importantes que não foram abordados nesse documento.
Atividade 4 – Configuração inicial do laboratório prático
A partir do capítulo 3, você utilizará as máquinas virtuais instaladas na sua estação para 
realizar as práticas do curso. Aproveite esse tempo para se familiarizar com o VirtualBox, 
ferramenta gratuita de virtualização que está instalada na sua estação. Lembre-se de que 
as atividades são progressivas e interdependentes. No próximo capítulo, serão detalhadas 
algumas funcionalidades do VirtualBox. Nesta atividade você vai preparar o servidor 
Windows 2008 para as próximas atividades. Siga os passos a seguir e tire as eventuais 
dúvidas com o instrutor.
Configuração inicial do Windows 2008 Server:
Passo 1 No console do VirtualBox, inicie as máquinas WinServer-G e FWGW1-G, 
onde G é a letra do seu grupo (A ou B) e deverá ser trocado pelo número 1 
(para grupo A) e 2 (para grupo B).
 
Essa regra deverá ser seguida durante todo o treinamento.
Passo 2 No host WinServer-G, altere a senha do usuário administrador para “rnpesr”. 
Quando solicitar a ativação do Windows, selecione a opção “Activate Later”.
Passo 3 Instale os complementos do VirtualBox, disponíveis no menu “Dispositivos”, 
item “Instalar Adicionais para Convidado”. Após executar esse comando, vai 
aparecer uma janela de auxílio de configuração no Windows 2008; aceite 
todas as configurações padrão e finalize a instalação (não se esqueça de 
autorizar todas as solicitações de instalação de drivers não assinados). 
Ao final da instalação, será solicitado o reinício do host; não permita ainda, 
pois executaremos outros passos antes de reiniciar o Windows.
Passo 4 Altere o endereço IP da máquina para 172.16.G.20, máscara de rede 
255.255.255.0, gateway padrão 172.16.G.1, servidor DNS 8.8.8.8 e 8.8.4.4 
(servidores do Google). Em “Set Network Location“, selecione “Work”.
Passo 5 Altere o “Computer Name” para WinServer-G e, em “Workgroup”, altere para 
Grupo. Em Remote selecione “Allow Connections from computers running 
any version of Remote Desktop (less secure)”.
Passo 6 Desabilite o firewall do Windows.
Passo 7 Reinicie o servidor Windows 2008.
Passo 8 Instale a Role IIS e a Feature FTP Server.
Passo 9 Instale o Adobe Reader versão 9.3.4 no servidor Windows 2008. 
Configuração inicial da estação de trabalho hospedeiro (física) do aluno:
Passo 1 Na estação de trabalho física, clique em Iniciar > Painel de Controle > Cone-
xões de Rede > VirtualBox Host-Only Network > Propriedades > Protocolo 
TCP/IP e altere o endereço IP dessa interface de rede para 10.1.G.10, máscara 
de rede 255.255.255.0
Passo 2 Adicione a rota com o comando abaixo:
C:\route add –p 172.16.G.0 mask 255.255.255.0 10.1.G.1
Passo 3 Instale o Wireshark e o Firewall builder.
Passo 4 Reinicie a estação de trabalho.
19
 
C
ap
ítu
lo
 1
 - 
Ro
te
ir
o 
de
 A
ti
vi
da
de
s
Ao final dessa atividade, teremos a seguinte topologia, que será utilizada durante todo o curso:
FWGW1
Topologia A
DMZ
172.16.1.0/24
.10
.10
.20
.1
.1
DHCP
Servidor Windows 2008 Servidor Linux
Rede local
10.1.1.0/24
Host Windows XP
Internet
20
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
21
 
C
ap
ítu
lo
 2
 - 
Ex
pl
or
an
do
 v
ul
ne
ra
bi
lid
ad
es
 e
m
 r
ed
es
ob
je
tiv
os
conceitos
2
Explorando vulnerabilidades 
em redes
Compreender o funcionamento dos ataques Denial of Service (DoS), SYN flood, 
smurf, varredura, ARP poison, connection hijacking, sequence prediction attack, 
buffer overflow e fraggle.
Packet Sniffing, ARP Spoofing, IP Spoofing e fragmentação de pacotes IP.
 
 
Introdução
Com a popularização da internet, as redes de computadores passaram a usar o protocolo 
TCP/IP em quase sua totalidade. Esse protocolo, apesar de ser um padrão “de fato”, é um 
protocolo antigo, desenvolvido na década de 60. Nessa época, havia pouca preocupação 
com segurança, visto que as redes eram restritas e controladas. Hoje em dia, existem 
diversas vulnerabilidades conhecidas nesses protocolos de rede. Abaixo, discutiremos 
algumas dessas vulnerabilidades. Porém, para compreendê-las, será necessário um conhe-
cimento sobre a família de protocolos TCP/IP. Caso tenha dúvidas ou necessite revisar seu 
conhecimento, recomenda-se consultar o material do curso Introdução à Segurança de Redes, 
oferecido pela Escola Superior de Redes.
Exercício de nivelamento 1 e 
Explorando vulnerabilidades em redes
O que é o protocolo TCP/IP?
Como funciona o protocolo TCP/IP?
Penetration Test
Um teste de penetração consiste em apurar o quanto difícil é invadir uma rede de com-
putadores. Objetivamente falando, um teste de invasão ou Penetration Test é uma busca 
22
 
Se
gu
ra
nç
a 
de
 R
ed
es
 e
 S
is
te
m
as
e identificação de vulnerabilidades em uma rede ou sistema computacional. A forma de 
elaboração de um teste pode variar, desde determinar um breve panorama de segurança 
da infraestrutura de uma empresa, até o que pode-se chamar de inspeção profunda, com o 
objetivo de obter informações específicas sobre um ativo de uma organização.
qUm teste de penetração pode revelar:
 1 Que tipo de informação pode ser obtida fora da organização, ou seja, sem necessaria-
mente se conectar à rede da empresa ou acessá-la fisicamente.
 1 Como os sistemas reagem a um ataque.
 1 Se é possível acessar o sistema com informações disponíveis ou já existentes. 
 1 Informações que possam se tornar acessíveis em caso de pane no sistema.
Naturalmente, o objetivo de um pentest é investigar o sistema do ponto de vista do ata-
cante, identificando exposições de risco antes de se procurar uma solução.
Testes de penetração
qExistem três tipos de abordagens para teste de penetração:
Teste de penetração zero