Gestão da Segurança em Redes e Dispositivos Computacionais_APOSTILA

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 1 
 
 
Segurança da Informação 
em Redes de 
Computadores 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 2 
Introdução à Segurança da Informação em Redes de Computadores 
 
Segurança da Informação 
 
National Security Telecommunications and Information Systems Security Committee 
(NSTISSC): 
“A segurança da rede é a proteção da informação, dos sistemas, hardware utilizados, 
armazenamento e a transmissão dessa informação.” 
 
National Security Telecommunications and Information Systems Security Committee 
(NSTISSC): 
“A segurança da rede abrange as medidas que são tomadas para garantir a 
confidencialidade, integridade e disponibilidade de dados ou recursos.” 
 
Objetivos Primários da Segurança de Redes: 
 Confidencialidade – garantir acesso à informação somente por pessoas 
autorizadas. 
 Integridade – garantir a completude e a exatidão da informação e os métodos 
de processamento seguros. 
 Disponibilidade – garantir o acesso à informação ou a ativos de redes, quando 
necessário. 
 
Expansão desses Objetivos Primários: 
 Autenticidade – garantir a identidade dos membros de uma comunicação, bem 
como quem gerou a informação. 
 Legalidade – garantir a conformidade da informação com a legislação em todas 
as esferas. 
 Não repúdio – garantir que o gerador da informação não possa negar sua 
autoria ou alteração. 
 Auditoria – garantir o rastreamento dos fatos de um evento e identificar os 
envolvidos. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 3 
Qualquer Dispositivo de Rede pode ser Invadido ou Infectado por meio de: 
 Falhas de configuração. 
 Ação de códigos maliciosos. 
 Exploração de vulnerabilidades. 
 Ataques de força bruta. 
 
Equipamentos ‒ Segurança da Informação 
 
Equipamentos de rede-alvo e ataques potenciais: 
 
Routers 
 Ataque de acesso – obter acesso ao router ou à rede. 
 Ataque de negação de serviço: 
 DoS ou distributed DoS – derrubar o roteador. 
 Alterar o roteamento ‒ redireciona o tráfego, negando o serviço à rede. 
 
Firewalls 
 Ataques semelhantes ao dos roteadores. 
 Dependendo do tipo e do tamanho do firewall, as técnicas são diferentes. 
 
Switches 
 Qualquer ataque afeta o fluxo do tráfego da LAN no segmento; o tráfego fica 
concentrado no switch (concentrador). 
 No caso de switch L3 a situação fica mais crítica. 
 
Servers 
 Podem ser um grande alvo para os atacantes, porque são usados para 
armazenamento de dados e podem fornecer acesso à rede. 
 Se o servidor foi explorado, muitos outros equipamentos da rede devem estar 
vulneráveis, além de as informações contidas no server poderem ser usadas 
para ataques aos outros equipamentos. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 4 
 
Pilha TCP/IP – Segurança da Informação 
 
 
Aplicação 
 Plugins para Browsers (ActiveX, Applets Java) 
 Senhas enviadas sem criptografia (Telnet, POP) 
 Vírus, Worms, Trojans 
 Vírus são programas maliciosos que se replicam 
 Trojan horse é um programa malicioso disfarçado de benigno 
 Worms são vírus autorreplicáveis 
 Bugs de software vulnerabilidade 
 Serviços “startados” como root (administrador do sistema) 
 Vulnerabilidades em SNMP, SSH, FTP etc. 
 Falha na configuração de serviços (FTP, HTTP) 
 
Transporte 
 Aplicações TCP, UDP (varredura de portas) 
 Port scan permite “mapeamento da rede” 
 Porta aberta = serviço rodando 
 Negação de Serviço (Dos) 
 SYN flood 
 TCP session hijacking 
 
Internet 
 Vulnerabilidades em roteadores 
 Senha de administração fraca ou default ou em “branco” (sem senha) 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 5 
 Bugs no OS permitem “buffer overflow” (IOs) 
 IP – Internet Protocol 
 IPv4 não oferece confidencialidade 
 Pacotes atravessam redes públicas ou do ISP 
 IP spoofed (IP de origem falso) 
 DoS (ping da morte) 
 Firewalls malconfigurados(filtro de pacotes, ACL) 
 Vulnerabilidades nos protocolos de roteamento (RIP, BGP, OSPF etc.) 
 
Rede de Acesso (camadas física e enlace de dados) 
 Vandalismo 
 Acesso cabos lógicos e de força, disjuntores 
 Acesso a equipamentos e racks distribuídos no prédio 
 Manutenção na rede elétrica interfere na rede 
 Picos de energia afetam equipamentos de rede 
 ARP cache poisoning (gera respostas ARP falsas, Man-In_The_Middle) 
 Redes sem fio: 
 Frequência do IEEE 802.11 é 2.4GHz (ISM) 
 Interferência (p. ex., fornos de micro-ondas, Bluetooth) pode acarretar DoS 
 Sniffing captura de quadros (modo promíscuo) 
 Criptografia de nível físico deve estar habilitada 
 
Segurança da Informação 
 
Garantir a sobrevivência de negócios em que suas atividades são totalmente 
dependentes dos processos informatizados requer uma atenção MAIOR à segurança 
da informação. 
 
Não deixe de assistir à reportagem do fantástico no link: 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 6 
http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-
celulares-e-sequestram-dados.html 
 
Ransomware – Sequestro de Dados 
 
A reportagem retrata três casos: 
 
1º Farmácia – cidade de Vera Cruz 430 km de São Paulo. 
 
2º Fábrica de móveis sob medida – Goiás – cadastro, folha de pagamento de 
empregados e os programas que controlam a linha de montagem, resultado 15 dias 
parada. 
 
3º Prefeitura Municipal de Japorã – a 500 km de Campo Grande (MS), sem acesso a 
informações de licitação, recursos humanos, tributários e sistema financeiro. 
 
Ransomware – Sequestro de Dados 
 Recomendações da McAfee para reduzir os impactos: 
 Faça backup dos dados 
 Backup do backup 
 Armazenamento fora da empresa em local seguro 
 Sistema de backup fica desconectado da rede 
 Constantemente testado 
 Bloqueie o tráfego e programas indesejados ou desnecessários 
 Bloquear TOR, aplicativo e tráfego 
 TOR bloqueado impede acesso à chave pública RSA 
 Sistemas de patch 
 Vulnerabilidades mais exploradas em 2014: possuíam mais de sete anos 
 Aplicar os patches do SO, Java, Adobe Reader, Flash e aplicativos 
 Verificar a aplicação dos patches 
 Proteja os endpoints 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 7 
 Implementar alguns recursos avançados, como, por exemplo, “impedir 
executáveis de ser executado a partir da pasta Temp” 
 Ative o antispam 
 Ataques de phishing podem conter o ransomware em arquivos .scr ou qualuqer 
outra extensão 
 Arquivos .zip não são bloqueados, porém faça a varredura em no mínimo dois 
níveis 
 Conscientização dos usuários 
 Considerando-se que a maioria dos ataques de ransomware é disseminada por 
e-mails de phishing, é imprescindível conscientizar os funcionários 
 Conscientização frequente e ininterrupta quanto aos assuntos de segurança 
 
Perdas Relatadas – IC3 
 
Os crimes cibernéticos são ameaças muito sérias e geram um grande prejuízo 
financeiro entre outros. 
 
O Intenet Crime Complaint Center publicou em seu relatório anual de 2014 os TOP 50 
dos países com a maior quantidade de perdas reportadas. 
 
 
 
 
 
 
 
Fonte: 
http://www.ic3.gov/media/annualreport/2014_IC3Report.pdf 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 8 
Galeria do Crime – FBI 
 
O FBI mantém publicada lista dos suspeitos de cyber crimes mais procurados. 
 
 
Fonte: https://www.fbi.gov/wanted/cyber 
 
Ferramentas de Log e Auditoria 
 
Nos sistemas UNIX e LINUX os arquivos de log são, por padrão, armazenados no 
diretório “/var/log” 
 
Podemos enumerar diversas ferramentas: 
 
UTMP E UTMPX 
 Registra os usuários locais que estão conectados atualmente no sistema 
 Formato armazenamento: binário 
 Comandos exibição das informações: who, whodo, write, finger e ps 
 
WTMP E WTMPX 
 Registra detalhes da sessão aberta pelo usuário 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 9 
 Formato armazenamento:binário 
 Comandos exibição das informações: last, acctcom 
 
LASTLOG 
 Registra o horário da última tentativa do usuário acessar o sistema 
 Formato armazenamento: binário 
 Comandos exibição das informações: 
 lastlog – u aluno (último logon desse usuário) 
 lastlog – t 3 (últimos 3 dias) 
 
MESSAGES 
 Registrar todas as operações do sistema (kernel) ou algum mecanismo de log 
(programas), exemplo mensagens enviadas ao console 
 Formato armazenamento: texto 
 Comandos exibição das informações: cat, tail etc. 
 
SULOG 
 Registra tentativas de execução do comando su, tenham sido estas bem ou 
malsucedidas. 
 Formato armazenamento: texto 
 Comandos exibição das informações: cat, tail etc. 
 
XFERLOG 
 Registrar todas as operações logon/logoff realizadas pelo daemon de ftp. 
 Formato armazenamento: texto 
 Comandos exibição das informações: cat, tail etc. 
 
SECURE (tcp-wrappers) 
 Registrar todas as operações realizadas por tcp-wrappers (alteração de senhas, 
criação de usuários e grupos) 
 Formato armazenamento: texto 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 10 
 Comandos exibição das informações: cat, tail etc. 
 
MAILLOG (e-mails) 
 Registrar os envios e recebimentos de e-mails no sistema 
 Formato armazenamento: texto 
 Comandos exibição das informações: cat, tail etc. 
 
BASH_HISTORY 
 Localização: /home/user ou /root 
 Armazena os últimos 1.000 comandos digitados pelo usuário. 
 Formato armazenamento: texto 
 Comandos exibição das informações: cat, tail etc. 
 
ANÁLISE DE LOGS 
 O problema não está nas ferramentas para acessar os LOGs 
 O PROBLEMA está no grande volume de dados gerado diariamente por eventos 
relacionados com o sistema. Como identificar as informações RELEVANTES? 
 
Auditoria/Análise de Dados 
 
DADOS – é a observação de outras informações dentro de um sistema 
computadorizado ou não; 
 
Os DADOS necessitam estar íntegros, confiáveis e em conformidade com as regras de 
negócio; 
 
Podemos encontrar alguns PROBLEMAS com os DADOS 
 
PROBLEMAS com os DADOS: 
 Erro de formato. 
 Incompletos. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 11 
 Inválidos ou incorretos. 
 Dimensão. 
 Extração dos dados. 
 Interpretação dos resultados. 
 
CAATs 
Técnicas de Auditoria Assistidas por Meios Computacionais 
Computer Assited Audit Techiniques 
 
São ferramentas para utilização de computadores para automatizar e simplificar o 
trabalho de AUDITORIA de DADOS 
 
As CAAT praticamente incorporam os DADOS analíticos no processo de AUDITORIA. 
Permitem manipular os dados simulando as regras de negócio, checando sua 
integridade e conformidade, prevenindo fraudes. 
 
Tipos de CAAT 
 
Software de Auditoria Generalizado (GAS) – como seu nome define, é de uso geral, 
podendo ser utilizado para testes de controle. 
 
Software de Auditoria Customizado(personalizado) (CAS) – desenhados pelos 
auditores para tarefas específicas de auditoria, não realizadas pelo GAS. 
 
Dados de teste – o teste é realizado com dados simulados, válidos ou não, com o 
objetivo de testar a precisão do sistema, verificar a validação dos dados, a detecção 
de erros etc. 
Simulação paralela – objetiva imitar o programa de produção do cliente. 
 
Facilidade de Teste Integrado – a execução da aplicação com dados de teste e dados 
reais. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 12 
 
Análise do código do programa – comparar documentação do sistema com o código 
do programa (sistema). 
 
Tipos de Software de Auditoria 
 
1. Planificação de auditoria 
 1.1. Planning Advisor 
2. Execução – SUPERVISÃO 
 2.1. COBIT Adivisor 
 2.2. Pro Audit Advisor 
3. Análise de risco 
 3.1. RISK2K – Pilar – Chinchón 
 3.2. Enterprise Risk Assessor (ERA Lite) 
 3.3. Risk Assement Program – RAP 
 3.4. Audicontrol 
4. Análise e avaliação de base de dados 
 4.1. ACL: (Audit Command/Control Language) 
 4.2. IDEA: (Interactive Data Extraction and Analysis) 
5. Ferramentas Integradas 
 5.1. Gestor F1 Audisis 
 5.2. Auditor 2000 
 5.3. TeamMate 
6. Programas para propósitos específicos 
 6.1. Sistema de Auditoria e Segurança – SAS 
 6.2. Statistical Techiniques of Analytical Review 
 6.3. DATAS – Digital Analysis Tests And Statistics 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 13 
Auditoria Tradicional VS CAATS 
 
O que fica melhor em um relatório de auditoria? 
 
“A auditoria analisou 50 TRANSAÇÕES, tendo detectado uma transação processada de 
forma incorreta”. 
OU 
“A auditoria analisou TODAS AS TRANSAÇÕES, de um determinado período de uma 
unidade de negócios e após testes identifica as possíveis anomalias”. 
 
Vantagens e Desvantagens do uso das Caat 
 Processamento de rotinas. 
 Manipulação extensiva de fórmulas. 
 Importação e exportação de dados. 
 Importação de grandes volumes de dados. 
 Codificação avançada de dados. 
 Operações de bases de dados apoiadas em SQL. 
 Geração de dados estatísticos. 
 Análise funcional. 
 Critérios avançados de busca. 
 Gestão de arquivos. 
 Ligação a bases de dados. 
 Perca de informação no processo da extração. 
 Alocação de tempo adicional na organização dos dados. 
 Limitação da informática. 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 14 
Controle de Acesso e Gerência de Identidade 
 
Desafio 
 Controlar o acesso de usuários/colaboradores 
 Autenticação, 
 Autorização e 
 Auditoria. 
 
Controle de Acesso 
Usuários/Colaboradores: 
 Funcionários 
 Estagiários 
 Terceiros 
 
Gerenciamento de Usuários/Colaboradores e Permissões 
 Privacidade 
 Segurança 
 Eficiência 
 
Controle de Acesso (CA) – 1ª GERAÇÃO 
Login de usuário e senha 
 
Características 
 Requer senha forte (mínimo 8 caracteres) 
 Suscetibilidade à engenharia social 
 Política de senhas (periodicidade e repetitividade) 
 Par login/senha para cada sistema 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 15 
Controle de Acesso (CA) – 2ª GERAÇÃO 
 Dispositivos físicos para autenticação 
 Smartcards – cartão plástico com chip 
 Cartão por contato – similar cartão de crédito, necessita de leitor 
 Cartão sem contato – crachá RFID 
 Cartão híbrido – com ou sem contato com chip único ou um para cada função 
 Token – utilizado por alguns bancos, gera uma nova senha a cada acesso 
 
Dispositivos Físicos para Autenticação 
Smartcards e Token 
 
Características 
 Custo do dispositivo 
 Reposição por perda 
 Expiração do dispositivo, acarretando a troca 
 Permissões emergenciais 
 
Controle de Acesso (CA) – 3ª GERAÇÃO 
 
Autenticação por Biometria (características físicas): 
 
Impressão digital: 
 Verifica as terminações e bifurcações dos sulcos. 
 Sistemas mais modernos verificam os arcos e voltas que aparecem nos dedos. 
 O leitor deve minimizar a rotação da imagem e compensar pequenas variações 
em relação à imagem armazenada. 
 Utilizado para controle de acesso e caixas eletrônicos. 
 Problemas na identificação quando ocorrem pequenos cortes no dedo, pele 
ressecada ou ambiente de trabalho com excesso de sujeira. 
 Método rápido e confiável. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 16 
 Custo acessível, por ser muito difundido e utilizado, aumento de oferta desses 
leitores. 
 Menos intrusiva. 
 
Reconhecimento Facial: 
 Verifica os vários pontos identificadores e delimitadores da face. 
 Define distâncias, tamanhos e formas de cada componente da face (nariz, 
olhos, orelha etc.). 
 Problemas na identificação acarretados pelas transformações faciais 
(adolescência, fase adulta, terceira idade etc.). 
 Problemas de identificação acarretados pelo uso de óculos de sol, bigode, barba 
e expressões faciais. 
 
Retina 
Íris: 
 Verifica imagem da íris (extremamente complexa). 
 Método bastante seguro. 
 A íris é única e diferentede seu par. 
 Pequena margem de erros. 
 Praticamente imutável durante a vida. 
 Lente de contato não compromete o reconhecimento da íris. 
 De fácil implementação, unidade óptica (câmera monocromática de alta 
precisão). 
 As cores não são significativas para a identificação. 
 Problema é a resistência de algumas pessoas em realizar a fotografia da íris. 
 
Geometria da Mão: 
 Não tão confiável quanto à impressão digital. 
 Problema relacionado ao posicionamento correto da mão na superfície do leitor. 
 Outro problema é a utilização de acessórios, anéis, alianças etc. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 17 
Gerência de Acesso 
 
Gestão Tradicional de Usuários 
 
Duração de aproximadamente 5 dias para conceder acesso a todos os ativos 
computacionais, para o colaborador desempenhar suas funções. 
 
Além do acesso inicial, o colaborador pode ser transferido ou promovido, com a 
mudança de função, há a necessidade de rever suas permissões, evitando atrasos no 
desempenho da nova função e impedindo acessos indevidos à função anterior. 
 
Solução – Role Based Access Control (RBAC) 
Controle de Acesso Baseado em Função (papéis) 
 
Projeto detalhado das permissões de acesso de cada cargo ou função. 
Criar perfil do cargo ou função. 
Atribuir permissão (acesso) ao cargo (perfil) e não ao usuário 
 
Alteração de função do usuário: 
 Revogar o perfil antigo; 
 Conceder acesso ao novo perfil. 
 
Sistema de Gerenciamento de Identidade (SGI) 
 Filosofia de usuário único, liberar todo acesso a todas as aplicações destinadas 
ao cargo ou função. 
 Segurança de dados da organização sem comprometer o desempenho funcional 
do colaborador. 
 Agilidade e segurança na liberação ou revogação de acesso. 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 18 
SGI – Principais Operações 
 
Identificação ‒ a entidade fornece uma identidade ao sistema. 
 
Autenticação ‒ o sistema verifica se a identidade é legítima. 
 
Autorização – o sistema concede privilégios a uma entidade, após sua autenticação. 
 
Auditoria – por logs, o sistema registra as ações da entidade, que é responsável por 
suas ações. 
 
SGI – Modelos 
 Tradicional 
 Centralizado 
 Federado 
 Centrado no usuário 
 
SGI – Modelo Tradicional 
 Fácil implementação 
É Provedor de Serviços – SP e 
 Provedor de Identidade – IdP – SP + IdP 
 O usuário possui uma identidade digital para cada SP 
 Os SP trabalham isoladamente, NÃO compartilhando as identidades 
 
 
Fonte: http://www.gta.ufrj.br 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 19 
SGI – Modelo Centralizado 
 
Um IdP para vários provedores de serviços 
 Autenticação única – Single Sign-On (SSO) 
 É a identidade única de mais simples implementação 
 Confiança plena no provedor de identidades 
 Vantagem 
 
 Ao se autenticar recebe credenciais para todos os SP 
 
Desvantagem 
 Ponto de falha único 
 
 O IdP possui controle total das informações, fato que acarretou o insucesso do 
Microsoft Passport Network 
 
 
Fonte: http://www.gta.ufrj.br 
 
SGI – Modelo Federado 
 Um IdP para cada domínio 
 Administrativo diferente 
 Acordo entre os IdP, para que uma identidade emitida por um IdP seja 
reconhecida por Outros SP de outros domínios 
 Garante o conceito de Single Sign-On (SSO) 
 Vantagem 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 20 
Amplia a vantagem do CENTRALIZADO, ao se autenticar recebe credenciais para todos 
os SP de todos os domínios administrativos da FEDERAÇÃO (acordo entre os IdP). 
 
Desvantagem 
 A mesma do CENTRALIZADO 
 
Utilizados pelos sistemas: 
• Liberty Alliance, 
• OpenSSO e o 
• Shibboleth. 
 
 
Fonte: http://www.gta.ufrj.br 
 
SGI – Modelo Centrado no Usuário 
 
• O usuário tem total controle de suas informações. 
• Com base em algum dos outros modelos. 
• Armazena identidades e se autentica em dispositivos: 
físico (smartcard ou celular) ou lógico. 
 
Utilizados pelos sistemas: 
• Higgins, 
• Microsoft CardSpace e 
• OpenID. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 21 
 
Fonte: http://www.gta.ufrj.br 
 
SGI – Principais Focos e Motivações 
 
 Área acadêmica no Brasil – Fundação CAFe da RNP: 
 A Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) 
disponibiliza por meio da federação, acesso remoto ao seu Portal de Periódicos. 
 Setor Privado 
 
SGI – Apresentações de Ferramentas 
 
Vídeos: 
 
 
Fonte: https://www.youtube.com/watch?v=EXeOxjccfHc 
 
 
Fonte: https://www.youtube.com/watch?v=CqvJcTvhCBw 
 
 
http://www.gta.ufrj.br/
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 22 
Stateful Firewall e Next Generation Firewall 
 
Segurança Lógica Firewall 
 Packet filtering 
 Stateless packet filter 
 Stateful packet filter 
 Application Proxy 
 Deep packet inspection 
 
Firewall 
É uma solução de segurança baseada em hardware ou software, também conhecido 
como “parede corta-fogo”, separando por critérios, materializado por regras, a rede 
interna da externa (INTERNET). 
 
Boa Prática – Firewall 
Uma boa prática é a rede interna ficar atrás do firewall, para obrigar todo o tráfego 
entrando ou saindo da rede ser submetido a analise, com a finalidade de bloquear o 
tráfego indesejado e liberar o tráfego desejado e autorizado. 
 
Linux – Firewall 
O firewall mais popular do LINUX é o netfilter, popularizado por sua interface iptables. 
 
Configuração Manual – Firewall 
1º Passo – Definir a Política de Segurança (security policy): 
 RESTRITIVA – todo tráfego é bloqueado, exceto o que está 
explicitamente autorizado. 
 PERMISSIVA – todo tráfego é permitido, exceto o que está 
explicitamente bloqueado (negado) 
 
2º Passo – Pensar as regras levando em conta o sentido do fluxo. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 23 
3º Passo – Ordenar as regras da mais específica para a mais genérica. 
 
Packet Filtering (Filtro de Pacotes) 
 Surgiu na década de 1980, também conhecido como filtragem estática. 
 Analisa as informações do cabeçalho dos datagramas IP (pacotes), como 
endereço IP de origem, destino, tamanho, tipo de serviço etc. 
 Dificuldade em filtrar protocolos que utilizam portas dinâmicas. 
 PERMITE explorar vulnerabilidades de protocolos e serviços da camada de 
aplicação. 
 
Stateless Packet Filter 
 Evolução do filtro de pacotes. 
 Desempenha todas as funções do filtro de pacotes. 
 Analisa mais detalhes que o filtro de pacotes (flags TCP); 
 Metodologia intermediária entre o filtro de pacotes e o stateful firewall. 
 IPCHAINS é sua implementação no Linux. 
 Conhecido como filtro dinâmico. 
 Utiliza um conjunto de regras de filtragem e informações de estado das 
conexões. 
 A primeira filtragem ocorre com o primeiro pacote (SYN), depois o filtro SPF 
cria uma entrada para essa conexão (sessão) na tabela de estados. 
 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 24 
Cabeçalho IPv4 
 
 
 
Cabeçalho TCP 
 
 
 
 
Packet Filter 
 
Trata todo o cabeçalho IP (20 bytes) e as portas de origem e destino (4 bytes). 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 25 
Stateless 
 
Trata todo o cabeçalho IP (20 bytes), as portas de origem e destino (4 bytes) e, em 
geral, analisa os FLAG de conexão do TCP. 
 
NÃO trata o estado da conexão. 
 
 
 
Stateful 
 
Trata todo o cabeçalho IP (20 bytes), todo o cabeçalho TCP (20 bytes) ou UDP (8 
bytes) ou ICMP. 
 
TRATA o estado da conexão. 
 
 
 
O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou STATELESS 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 26 
Comparação dos Tipos Firewall 
 
 
 
Packet Filter – trata 20 a 24 bytes 
 
 
 
Stateless – trata pouco mais de 24 bytes (FLAGs) 
 
 
 
Stateful – trata no mínimo 40 bytes (H IP eH Transporte) 
 
Ferramentas de Firewall 
 
Exemplos de firewalls: 
 Linux Kernel 2.0.x 
 IPF – Packet FilterB 
 IPFWADM – Packet Filter 
 Linux Kernel 2.2.x 
 Ipchains – Stateless 
 Sinus – Packet Filte 
 Linux Kernel 2.4.x/2.6.x 
 Netfilter (iptables) – Stateful 
 Outras soluções Open Source: 
 IPFW – FreeBSD 
 PF – OpenBSD e FreeBSD 5.x 
 IPFilter – Solaris 10 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 27 
 
Arquitetura de Firewall 
 Dual-homed host 
 Screened Host 
 Screened Subnet 
 
Dual-homed host 
 
 
 
Screened Host 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 28 
Screened Subnet 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 29 
Segurança Lógica Firewall 
 
Application Proxy – Métodos de Utilização 
 Conexão direta – configurando o navegador. 
 Proxy de Autenticação – usuário se identifica e autentica. 
 Proxy Transparente – NÃO configura o navegador, o usuário não tem o 
conhecimento da existência do proxy ou que o utiliza. 
 
Application Proxy 
 Conhecido como firewall de aplicação, proxy de serviços ou simplesmente 
proxy. 
 Permite análise e filtragem até a camada de aplicação. 
 Necessita de 2 conexões: 
 Cliente – Proxy 
 Proxy – Servidor 
 
Application Proxy – Vantagens 
Impor restrições com base em: 
 Horários, 
 Login, 
 Endereço IP etc. 
 Cache de páginas e arquivos. 
 Registra todos os acessos (LOGs). 
 
Application Proxy – Desvantagens 
 Pode utilizar servidores diferentes para cada aplicação (serviço). 
 Aumenta o atraso ao acessar um serviço. 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 30 
Deep Packet Inspection (DPI) 
 Considerado a evolução do FIREWALL e pode ser visto como a integração de: 
 Intrusion Detection (IDS), 
 Intrusion Prevention (IPS) e 
 Stateful firewall. 
 Anteriormente acompanhamos a linha do tempo: 
 Filtro de pacotes – todo o tráfego (ambos os sentidos) tem uma regra para 
permitir ou negar. 
 Stateless firewall – passou a analisar as portas. 
 Stateful firewall – criava regras dinamicamente utilizando como base a reação 
prevista dos protocolos (inspeção inteligente). 
 Anteriormente acompanhamos a linha do tempo: 
 Application proxy – não foram capazes de controlar as novas ameaças. A 
multiplicidade de aplicações a serem controladas, agregada à latência 
adicionada pelo proxy, diminuiu a demanda por esse serviço. 
 
Novas Demandas 
 Aplicações emergentes necessitam verificação em wire-speed, utilização de XML 
e Simple Object Access Protocol (SOAP). 
 Aplicativos que modificam suas portas de comunicação. 
 Utilização de tunelamento em protocolos normalmente autorizados (TCP porta 
80 – HTTP). 
 
Visão do DPI 
 Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no 
conteúdo desses dados. 
 
Técnicas do DPI (herdadas dos IDS) 
 Análise baseada em assinaturas. 
 Estatísticas. 
 Anomalias. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 31 
 WIRE-SPEED – DPI 
 ASIC – Application Specific Integrated Circuits ou 
 NPU – Network Processing Units 
 EXEMPLO NECESSIDADE DPI 
 O cliente 200.0.0.1 acessa 
 O servidor de e-mail 200.10.10.1, 
 Acesso permitido. 
 
Exemplo Necessidade DPI 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 32 
Levantamento de Contas E-Mail Válidas 
 
VRFY – confirma nomes de usuários válidos 
EXPN – revela os endereços de entrega reais de apelidos e listas de distribuição 
 
 
 
 Negar esta conexão. 
 Negar o cliente totalmente. 
 
Outro Exemplo: 
 
Explorar Remote Buffer Overflow in Sendmail 
CERT Advisory CA-2003-12 
http://memoria.rnp.br/cais/alertas/2003/ca200312.html 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 33 
Análise de Vulnerabilidades em Redes de Computadores 
 
O Que é Vulnerabilidade? 
 
Segundo a NORTON by Symantec, “são falhas no software de computador que criam 
deficiências na segurança geral do computador ou da rede. As vulnerabilidades 
também podem ser criadas por configurações incorretas do computador ou de 
segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis 
danos para o computador ou dados pessoais”. 
 
Segundo a CERT.ORG, “é definida como uma condição que, quando explorada por um 
atacante, pode resultar em uma violação de segurança”. 
 
É uma condição quando explorada por um atacante, pode resultar em uma violação 
de segurança. 
 
Vulnerabilidades – Exemplos 
 Falhas no projeto, na implementação ou 
 Falhas na configuração de programas, serviços ou 
 Equipamentos de rede 
 
Vulnerabilidades – Fragilidades 
 Da tecnologia 
 De configuração 
 Da política de segurança 
 Do equipamento de rede 
 
Vulnerabilidades – Fragilidades 
 
 Da tecnologia 
 TCP/IP 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 34 
 Sistema Operacional 
 Equipamentos de rede 
 
De Configuração 
 Produtos com configurações default inseguras. 
 Erro na configuração de equipamentos de rede. 
 Contas de sistema com senhas fracas, previsíveis ou utilizadas em outros 
serviços menos seguros. 
 
Da Política de Segurança 
 Falta de uma política escrita e implementada. 
 Não implementação ou falha em monitoramento e auditoria. 
 Falta de conhecimento ou acompanhamento sobre ataques. 
 Falta de contingência. 
 Alteração e instalação de software e hardware sem uma política ou não 
seguindo a política definida. 
 Falha no desenvolvimento e na implementação da política de segurança. 
 
Do Equipamento de Rede 
 Proteção das senhas. 
 Falhas de autenticação. 
 Protocolos de roteamento. 
 Brechas no firewall. 
 
Vulnerabilidades 
 
Ataque – é a exploração de uma VULNERABILIDADE, com a finalidade de executar 
ações maliciosas, como invadir um sistema, acessar informações confidenciais, 
disparar ataques contra outros computadores ou tornar um serviço inacessível. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 35 
Pentest – identifica e explora vulnerabilidades, utilizando os mais diversos métodos. 
Seu principal objetivo é de rapidamente identificar as vulnerabilidades e calcular seus 
riscos. 
 
Não procure solução milagrosa. 
 
A Hewlett Packard (HP) realizou um levantamento de incidentes e apresenta um 
resultado surpreendente mas totalmente plausível. 
 
Vulnerabilidades conhecidas ainda são as mais exploradas por hackers, afirma a HP: 
 
 44% das brechas conhecidas são de vulnerabilidades descobertas há 2-4 anos. 
 Configurações incorretas de servidor representam a principal vulnerabilidade. 
 Novos caminhos de ataque surgiram com o aumento dos dispositivos móveis 
conectados. 
 As principais vulnerabilidades de software exploradas são defeitos, bugs e 
falhas lógicas. 
 
A HP constatou o problema e propôs uma possível solução. 
 
Principais Recomendações do Artigo da HP 
 Uma estratégia de patches abrangente e oportuna. 
 Testes regulares de penetração e verificação das configurações. 
 Reduza o risco introduzido a uma rede antes de adotar novas tecnologias. 
 A colaboração e o compartilhamento de inteligência de ameaças. 
 Estratégias de proteção complementares devem ser adotadas (presunção de 
brecha). 
 
Leitura do Artigo da HP Completo: 
http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&codCat
egoria=57&codNoticia=888 
http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&codCategoria=57&codNoticia=888
http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&codCategoria=57&codNoticia=888
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 36 
Vulnerabilidades – Entidades de Segurança 
 
CVE – Common Vulnerabilities and Exposures. 
CERT – Computer Emergency Response Team. 
SANS – System Administration, Networking, and SecurityInstitute. 
CIS – Center for Internet Security. 
SCORE –Security Consensus Operational Readiness Evaluation. 
ISC – Internet Storm Center. 
NVD -National Vulnerability Database (antiga ICAT Metabase). 
Security Focus (Symantec). 
 
CVE – Common Vulnerabilities and Exposures: 
• http://www.cve.mitre.org. 
• Mantida e moderada pela Mitre Corporation. 
• CVE é um grande dicionário de exposições e vulnerabilidades de segurança da 
informação, publicamente conhecido e livre para uso público. 
• Identificadores CVE permitem a troca de dados entre os produtos de segurança 
e fornece um ponto de referência para avaliar o índice de cobertura de ferramentas e 
serviços. 
 
Exemplo de CVE-ID = CVE-2015-7110 
• Lista de nomes padronizados para vulnerabilidades e outras informações de 
exposição de segurança. 
• Variedade de artigos, grupos de e-mail, fóruns, discussão, alertas e melhores 
práticas de segurança. 
 
CERT – Computer Emergency Response Team 
• http://www.cert.org. 
• Centro de excelência em segurança na internet. 
 
CERT/CC – CERT/Coordination Center: 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 37 
• É um componente da divisão CERT. 
• Está situado no Software Engineering Institute (SEI). 
• Estuda vulnerabilidades de segurança de internet. 
• Fornece serviços para sites que foram atacados. 
• Publica alertas de segurança. 
• Atividades de pesquisa nas áreas de computação na WAN e desenvolvimento 
de melhoria da segurança na internet; 
• Oferece treinamento para profissionais de resposta a incidentes. 
• Computer Security Incident Response Teams (CSIRT). 
 
SANS – System Administration, Networking, and Security Institute: 
• http://www.sans.org. 
• Líder em pesquisa de segurança da informação. 
• Compartilhamento de conhecimentos entre mais de 156.000 profissionais de 
segurança em TI. 
• Permite também a elaboração de novas soluções para problemas encontrados. 
 
CIS – Center for Internet Security; 
• http://www.cisecurity.org. 
• Sua missão é ajudar organizações ao redor do mundo a gerenciar efetivamente 
os riscos relacionados com a segurança da informação. 
• Para defesa cibernética atualmente é recomendado utilizar Critical Security 
Controls (CSC) 
 
Esses controles são eficazes porque são derivados dos padrões de ataque mais comuns 
destacados nos principais relatórios de ameaças e controlados por uma ampla 
comunidade de praticantes do governo e da indústria. 
 
Top 20 CSC: 
CSC 1: Inventário de dispositivos autorizados e não autorizados 
CSC 2: Inventário de software autorizados e não autorizados 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 38 
CSC 3: configurações de segurança para hardware e software em dispositivos móveis, 
laptops, estações de trabalho e servidores 
CSC 4: Avaliação de vulnerabilidade contínua e remediação 
CSC 5: Uso controlado de privilégios administrativos 
CSC 6: Manutenção, monitoramento e análise dos registros de auditoria 
CSC 7: Proteção de e-mail e web browser 
CSC 8: Defesas de malware 
CSC 9: limitação e controle de portas, protocolos e serviços de rede 
CSC 10: Capacidade de recuperação de dados 
CSC 11: configurações de segurança para dispositivos de rede, tais como firewalls, 
roteadores e switches 
CSC 12: Defesa de fronteira 
CSC 13: Proteção de dados 
CSC 14: Acesso controlado com base no Need to Know 
CSC 15: Controle de acesso sem fio 
CSC 16: Monitoramento e controle de conta 
CSC 17: Avaliação de habilidades de segurança e de treinamento adequados para 
preencher lacunas 
CSC 18: Aplicação de Software Segurança 
CSC 19: Resposta e Gestão de incidentes 
CSC 20: Testes de Penetração e Exercícios Red Team 
 
Um estudo realizado pelo governo australiano indica que 85% das vulnerabilidades 
conhecidas podem ser paradas por meio da implantação dos CSC Top 5 da CIS. Isso 
inclui a confecção de um inventário de ativos de TI, implementação de configurações 
de segurança, correção de vulnerabilidades, e restringir usuários não autorizados. 
 
SCORE –Security Consensus Operational Readiness Evaluation: 
• http://www.sans.org/score/. 
• Esforço cooperativo entre SANS/GIAC e o Center for Internet Security(CIS). 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 39 
• Tem o objetivo de promover, desenvolver e publicar verificações (checklists) de 
segurança. 
• Desenvolver um consenso sobre normas mínimas e informações sobre melhores 
práticas, essencialmente agindo como o motor de pesquisa para o CIS. 
 
ISC – Internet Storm Center: 
• http://isc.sans.edu. 
• É apoiado pelo Instituto SANS. 
• Reúne milhões de entradas de log de detecção de intrusão diariamente, a partir 
de sensores que cobrem mais de 500.000 endereços IP em mais de 50 países. 
• Está se expandindo para realizar uma busca mais rápida por tempestades, 
identificando os locais que são utilizados para ataques e oficializar os alvos e os tipos 
de ataques; 
• É um serviço gratuito para a comunidade da internet. 
 
NVD ‒ National Vulnerability Database (antiga ICAT Metabase): 
• https://nvd.nist.gov/. 
• Define-se como índice pesquisável de informações das vulnerabilidades dos 
computadores. 
• Vincula vulnerabilidade ao usuário e disponibiliza informações de atualização. 
• O NVD oferece aos usuários um mecanismo de busca full-featured com opções 
para selecionar vulnerabilidades e exposições de acordo com qualquer um ou todos os 
critérios, a seguir veremos a lista desses critérios. 
 
Lista de Critérios: 
 
 Data de entrada 
 Vendor 
 Produto 
 Versão 
 Por palavra-chave 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 40 
 Gravidade 
 Fontes comuns 
 Explorar relacionado 
 Consequência vulnerabilidade 
 Tipo de vulnerabilidade 
 Tipo de SO 
 Tipo de entrada 
 Tipo de componente 
 Data inicial 
 
Security Focus (Symantec) 
No Brasil 
CAIS – Centro de Atendimento a Incidentes de Segurança 
https://www.rnp.br/servicos/seguranca 
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no 
Brasil 
http://www.cert.br/ 
 
Ferramentas & Diferentes Tipos de Ataque 
 
Fases de um Ataque 
 Descoberta 
 Enumeração 
 Mapeamento de vulnerabilidades 
 Exploração 
 
Descoberta 
Coletar informações, servidor web, e-mail, registros DNS etc. 
 
 
 
https://www.rnp.br/servicos/seguranca
http://www.cert.br/
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 41 
Enumeração 
 
Tentativa de obter nome de usuários, os recursos compartilhados pela rede, 
informações dos aplicativos, plataforma, infraestrutura e principalmente as versões 
dos serviços. 
 
Mapeamento de vulnerabilidades 
 
Traçado o perfil pelas fases anteriores, busca as vulnerabilidades publicamente 
conhecidas. 
 
Exploração 
 
Tentar obter acesso privilegiado ou escalar privilégios, dos alvos, utilizando 
ferramentas para explorar as vulnerabilidades esperadas (exploits). 
 
Conceitos Básicos para um Ataque 
 Packet Sniffing 
 ARP Spoofing 
 IP Spoofing 
 Fragmentação de pacotes IP 
 
Packet Sniffing 
 
É um ataque passivo, também chamado de passive eavesdropping. 
 
Executa a captura de pacotes, de todos os hosts (promiscuous mode), que estejam no 
mesmo segmento de rede. 
 
Switches podem dividir a rede em mais segmentos, dificultando a captura de pacotes. 
Para realizar a captura em redes segmentadas, podem ser utilizadas configurações de 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 42 
“mirror port” ou “SPAN Switch Port Analizer”, que é a porta para a qual o switch enviará 
cópia de todo o tráfego. 
 
Outra possibilidade para captura em redes segmentadas por switch seria gerar tráfego 
com MAC de origem falso para comprometer a MAC address table, quando o switch 
não sabe a interface do destino envia o frame para todas as interfaces. 
Softwares: tcpdump (Linux) e wireshark 
 
ARP Spoofing 
 
Enviar um frame com uma solicitação ou respostaARP falso, desviando o tráfego para 
o host invasor (apropriação de identidade). 
Outra utilização do ARP Spoofing é a negação de serviço, evitando que o trafego válido 
chegue ao seu destino. 
 
 
IP Spoofing 
 
Consiste na técnica de falsificar o endereço IP de origem de um pacote. 
 
Fragmentação de Pacotes IP 
 
A figura ilustra como entender a fragmentação de pacotes IP. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 43 
 
 
 
É uma técnica utilizada cujo objetivo é dificultar a detecção de um ataque ou realizar 
uma negação de serviço (DoS). 
 
A seguir entenda as possibilidades de ataque com a fragmentação. 
 
Possibilidades de Ataque com a Fragmentação 
 
Normalmente os hosts não tentam processar o pacote até receber todos os 
fragmentos, possibilitando um overflow na pilha TCP/IP, se o buffer reservado for 
menor que o tamanho do pacote a ser reagrupado. Em geral trava o sistema, 
caracterizando um ataque de DoS. 
 
Possibilidades de Ataque com a Fragmentação 
 
Outra possibilidade é offset negativo, podendo acarretar resultados inesperados do 
host. 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 44 
Exemplos: 
 
Ping da Morte – pacotes com 65535 bytes, sobrecarga do buffer, trava o sistema. 
Protocolo ICMP. 
 
Teardrop – mesma técnica do Ping da Morte, só que para os protocolos UDP ou TCP. 
A maioria dos sistemas atuais já corrigiram esses problemas. 
 
Atualmente, a fragmentação é utilizada para tentar dificultar a ação dos firewalls ou 
sistemas de detecção de intrusão (IDS), já que alguns desses equipamentos não 
suportam fragmentação. A ferramenta NMAP é um exemplo; pode utilizar a técnica de 
fragmentação para fazer varreduras. 
 
Ataque 
 Abordados na fragmentação IP: 
 Ping da morte (fragmentação – ICMP) 
 Teardrop (fragmentação – TCP UDP) 
 
Abordaremos a seguir: 
 
 SYN flood (TCP) 
 Smurf (ICMP) 
 Fraggle(UDP) 
 Varredura 
 ARP poison 
 Buffer overflow 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 45 
Syn Flood – Ataque 
 
Ataque baseado no three way handshake do TCP, utiliza as características de abertura 
de conexão onde quem inicia a conexão utiliza a flag SYN ligada. Realiza envio de uma 
GRANDE quantidade de segmentos TCP com o flag SYN ligado em conjunto com 
falsificação de IP de origem (IP Spoofing). 
Resultado ao atingir a quantidade máxima de conexões: incapacita a vítima de atender 
às conexões legítimas. 
 
Smurf – Ataque 
 
Ataque baseado no protocolo ICMP mensagem do tipo ECHO REQUEST. Realiza uma 
grande quantidade de pings destinados ao endereço de broadcast da rede e a origem 
é o endereço IP do host vítima (IP Spoofing). 
 
Fraggle – Ataque 
 
Ataque Fraggle é uma variação do ataque smurf. O smurf utiliza ICMP – echo request 
e o fraggle UDP echo. 
 
Varredura – Ataque 
 
A varredura (scanning) é uma técnica utilizada na fase enumeração, para obter 
diversas informações como IP, porta, estado e serviço, podendo obter também versão 
do SO e dos Serviços. 
 
Arp Poison – Ataque 
 
Esse ataque se aplica somente a redes ethernet, sendo a forma mais eficiente de 
executar um ataque de Man-In-The-Middle, em que o atacante se interpõe 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 46 
(logicamente) entre uma conversação de duas ou mais estações, utilizando o ARP 
Spoofing. 
 
Buffer Overflow (Estouro de Buffer)- Ataque 
 
Para entender esse tipo de ataque inicialmente é necessário relembrar a definição de 
buffer: 
 
Buffer – são áreas de memória criadas pelos programas para armazenamento de 
dados, que se encontram em processamento. Esse buffer tem tamanho definido 
baseado na quantidade e tipo dos dados a serem armazenados. 
 
O BUFFER OVERFLOW (estouro do buffer) pode ocorrer ao programa receber mais 
dados que o buffer suporta armazenar. Se o referido programa não tratar essa 
possibilidade, pode ocorrer o armazenamento em áreas de memória próximas, 
corrompendo os dados ou travando o sistema e na pior das hipóteses, executar um 
código explorando alguma vulnerabilidade. 
 
Ferramentas 
 
Abordaremos as seguintes ferramentas: 
 NMAP 
 HPING 
 METASPLOIT 
 MEDUSA 
 THC-Hydra 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 47 
NMAP – Ferramenta 
 
Realizar uma varredura com objetivo de identificar as portas de serviços que estão 
abertas em um host ou uma rede. Com a utilização de parâmetros, pode retornar a 
versão do sistema operacional e a versão dos serviços em execução. 
 
Exemplo: 
 
Nmap 200.0.0.0/24 – realiza a varredura na rede, retornando porta, estado e serviço. 
 
Com alguns parâmetros podemos: 
- O – tentar detectar o SO. 
- P0 – realizar a varredura do host mesmo que não responda ao ping. 
Possui uma interface gráfica a ZENMAP para diversas plataformas de SO (Windows, 
Linux, MacOS, BSD etc.). 
 
HPING – Ferramenta 
 É uma ferramenta que gera e analisa pacotes. 
 Dá suporte aos protocolos ICMP, UDP e TCP. 
 Permite alteração do cabeçalho e do payload do pacote. 
 
Funcionalidades: 
 Teste de firewall. 
 Port scanning avançado. 
 Teste de diferentes protocolos e fragmentação na rede. 
 MTU Discovery manual. 
 Traceroute avançado. 
 OS Fingerprinting 
 Auditoria da pilha TCP/IP 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 48 
METASPLOIT – Ferramenta 
A partir de 2009 diversas variantes comerciais foram desenvolvidas. A versão livre e 
open source, possui algumas limitações em relação comercial. 
 
É um framework, open source, que foi criado por H.D.Moore, com o objetivo de 
acelerar o desenvolvimento, testes e utilização de exploits, além de permitir a criação 
de seus próprios módulos de exploits. 
Possui um número considerável de exploits, payloads e ferramentas para teste de 
vulnerabilidades em diversas plataformas, sistemas operacionais e servidores. 
 
Medusa – Ferramenta 
 
É uma ferramenta usada para ataques de força bruta para descobrir login/senha 
remotamente. É uma ferramenta que obtém enorme sucesso, quando os usuários 
utilizam senhas fáceis (fracas). Resumindo não há uma política de senhas 
implementada, permitindo senhas fracas, como sequencias numéricas, datas, palavras 
do dicionário etc. 
 
Além da política de senhas, o administrador deve bloquear usuários com falhas de 
logon sucessivas, implementar um Sistema de Detecção de Intrusos (IDS) e realizar 
auditoria nos logs. 
 
THC HYDRA – Ferramenta 
 
Ferramenta muito semelhante a MEDUSA. Ataca login/senha nos diversos protocolos, 
incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, 
ICQ, Socks5, PCNFS e outros. 
 
 
3º Fórum Brasileiro de CSIRTS 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 49 
Ataques mais Frequentes 
 Força Bruta – SSH, POP3 
 Força Bruta – FTP, WordPress 
 Ataques a Servidores Web com CMS 
 Defacement, hospedagem de malware/phishing, DDoS 
 Exploração de senhas por força bruta 
 CMS desatualizados (pacotes/plug-ins prontos) 
 DDoS – plug-ins WordPress e Brobot no Joomla 
 
 Ataques Partindo de Provedores de “Cloud” 
 Clientes comprometidos hospedando phishing/malware 
 VM compradas por atacantes gerando ataques diversos: 
 Enviando spam via proxies abertos 
 Ataques de força bruta 
 Realizando ligações abusando servidores SIP/VoIP 
 Hospedando servidores DNS maliciosos 
 
Ataques Envolvendo DNS 
 
Em “modems” e roteadores banda larga(CPE), comprometidos 
Infraestrutura de DNS de provedores de banda larga comprometida 
Servidores DNS recursivos respondendo incorretamente 
 
Fraudes 
 Boletos alterados 
 2ª via de boleto falso, DNS malicioso 
 Phishing Clássico 
 Centenas de variações para a mesma URL 
 
Ataques com amplificação 
 Distributed Reflected Denial-of-Service (DrDoS) 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 50 
 Protocolosmais usados: DNS, SNMP, NTP, Chargen. 
 
Sistemas de Detecção e Prevenção de Intrusão 
 
Características Comuns dos IDS e IPS 
 Ambas as tecnologias são implantadas por sensores. 
 Ambas as tecnologias usam assinaturas para detectar padrões de uso indevido 
de tráfego de rede. 
 Ambos podem detectar padrões atômicos (single-packet) ou padrões 
compostos (multi-packet) 
 Ambos devem ter uma Política de Segurança bem planejada 
 
Singularidades dos IDS e IPS 
 
IDS – Promiscuous Mode 
VANTAGEM 
 Não gera impacto de latência ou jitter na rede. 
 Se houver FALHA no sensor NÃO afetará a rede. 
 Se houver SOBRECARGA no sensor NÃO afetará a rede. 
 
DESVANTAGEM 
 Ação de resposta não pode parar o pacote que a desencadearam. 
 Ação de resposta necessita de um ajuste fino e preciso. 
 
 
Singularidades dos IDS e IPS 
 
IPS – Inline Mode 
 
VANTAGEM 
 Pode parar os pacotes que a desencadearam 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 51 
 Pode usar técnicas de normalização de fluxo contínuo 
 
DESVANTAGEM 
 Questões do sensor podem afetar o tráfego de rede 
 Se houver SOBRECARGA no sensor, isso AFETARÁ a rede 
 Gera algum impacto de latência e jitter na rede 
 
 
Ids Promiscuous Mode 
 
 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 52 
Ips Inline Mode 
 
 
 
 
Comparando HIPS X NIPS 
 
Hips 
 
VANTAGEM 
 É específico do host. 
 Protege host após descriptografia. 
 Fornece proteção de criptografia em nível de aplicativo. 
 
DESVANTAGEM 
 Dependente do Sistema Operacional. 
 Eventos inferiores ao nível de rede NÃO serão vistos. 
 O Host é visível para atacantes. 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 53 
Nips 
 
VANTAGEM 
 É custo-efetivo. 
 Não é visível na rede. 
 Independe do Sistema Operacional. 
 Eventos inferiores ao nível de rede serão vistos. 
 
DESVANTAGEM 
 Não pode examinar o tráfego criptografado. 
 Não sabe se um ataque foi bem-sucedido. 
 
Características da Assinatura: 
 Um sensor IDS ou IPS realiza a correspondência entre uma assinatura e um 
fluxo de dados. 
 O sensor toma ações. 
Assinaturas têm três atributos característicos: 
 Tipo de assinatura, 
 Trigger da assinatura (disparo), 
 Ação da assinatura. 
 
Ids Baseados em Host – HIDS 
 
OSSEC 
 Código aberto. 
 Capaz de analisar registros, verificar integridade, detectar rootkits. 
 Executa alertas em tempo real e resposta ativa. 
 Sua funcionalidade se deve às ferramentas de correlação e ao motor de análise. 
 OSIRIS 
 Pode monitorar uma ou mais máquinas periodicamente, mantendo log; 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 54 
 Pode enviar mensagens de monitoramento e de possíveis ataques ao 
administrador da segurança da rede; 
 Opensource; 
 
HP-UX HIDS 
 Pode realizar monitoramento, gerar alerta da possível invasão; 
 Detecção baseada em áreas de vulnerabilidades: 
 Os dados de auditoria são correlacionados para determinar em qual delas houve 
exploração 
 Quase real-time. 
 
Ids Baseados em Rede – NIDS 
 
SNORT 
 
Baseado em regras que são processadas na análise dos pacotes 
 
Modos de operação: 
 Sniffer, 
 Registrador de pacotes, 
 Detecção de intrusos e 
 Snort Inline, que é um IPS 
 
Untangle 
 Pode ser instalado em um computador servidor; 
 Não requer um sistema operacional para funcionar, por ser um programa 
servidor. 
 
BRO Intrusion Detection System 
 Pode realizar monitoramento passivo do tráfego de rede. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 55 
 Pode analisar a ocorrência de atividades suspeitas por meio de eventos em 
semântica de aplicações, verificando o que é considerado um ataque. 
 
Prelude Hybrid IDS 
 Opensource similar ao Snort. 
 Pode gerenciar as informações de segurança. 
 Integrável a outras ferramentas de redes e a outros sistemas detectores de 
intrusões. 
 
Cisco Secure IPS 
 Versão atualizada do NetRanger. 
 Possui as funcionalidades de segurança de redes combinada a um sistema de 
prevenção contra intrusos. 
 
Tipos de Assinaturas: 
 Atômico 
 Composto ou Stateful 
 
 
Atômico 
 Forma mais simples 
 Consiste em um único pacote, atividade, ou evento 
 Não necessita de sistema de intrusão para manter informações de estado 
 Fácil de identificar 
 
Composto ou Stateful 
 Identifica uma sequência de operações distribuídas em vários hosts 
 Assinatura deve manter um estado conhecido 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 56 
Triggers de Assinaturas (Disparos): 
 Detecção baseada em padrões. 
 Detecção baseada em anomalia. 
 Detecção baseada em política. 
 Detecção baseada em Honeypot. 
 
Detecção baseada em padrões 
 
VANTAGENS 
 Fácil de configurar 
 Poucos falsos positivos 
 Bom design de assinatura 
 
DESVANTAGENS 
 NÃO detecta assinaturas desconhecidas 
 Inicialmente grande quantidade de falsos positivos 
 Assinaturas devem ser criadas, atualizadas e sofrer um ajuste fino 
 
Detecção baseada em anomalia 
 
VANTAGENS 
 Simples e confiável 
 Políticas personalizadas 
 Pode detectar ataques desconhecidos 
 
DESVANTAGENS 
 Saída genérica 
 Deve ser criada uma política 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 57 
Triggers de Assinaturas: padrões 
 
Detecção baseada em política 
 
VANTAGENS 
 Fácil de configurar 
 Pode detectar ataques desconhecidos 
 
DESVANTAGENS 
 Perfil de tráfego deve ser constante 
 
Triggers de Assinaturas: padrões anomalia 
 
Detecção baseada em Honeypot 
 
VANTAGENS 
 Janela para visualizar ataques 
 Distrair e confundir os atacantes 
 Diminuir a velocidade e evitar ataques 
 Coletar informações sobre o ataque 
 
DESVANTAGENS 
 Servidor de honeypot dedicado 
 Servidor de honeypot não deve ser confiável 
 
Boas Práticas 
 
Grandes redes devem atualizar os pacotes preferencialmente de forma automática. 
Quando a atualização dos pacotes de assinatura for necessária, deve ser baixada para 
um servidor seguro na rede de gerência, com um HIDS/HIPS instalado. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 58 
Criar uma nova assinatura para detectar e mitigar um ataque específico, se a 
atualização não existir. 
 
O pacote de assinaturas deve ser disponibilizado em um servidor FTP dedicado e 
seguro. Com acesso somente para leitura, garantido às contas que os sensores 
utilizarão par ao download interno. 
Agendar a hora do dia em que os sensores deverão verificar as atualizações, de 
maneira automática no servidor FTP interno, priorizando o horário de menor atividade 
momentânea. 
 
Sensores e consoles de gerenciamento devem dar suporte aos mesmos níveis de 
assinatura. 
 
Técnicas de Criptografia e Autenticação 
 
Criptologia 
 Criptografia 
 Criptoanálise 
 Esteganografia 
 
Criptografia 
 Kryptós (cripto): “escondido” 
 Gráphein (grafia): “escrita” 
 Ocultar informação de pessoas não autorizadas 
 Encriptação – torna a mensagem incompreensível 
 
Criptoanálise 
Decodificar mensagens sem conhecer a chave secreta 
 
Esteganografia 
Ocultar mensagens dentro de outras 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 59 
 
Organograma Básico da Escrita Secreta 
 
 
 
 
 
Criptografia – Serviços de Segurança 
 
Confidencialidade/privacidade/segredo 
• Garantir que a mensagem somente possa ser lida pelo receptor desejado 
 
Autenticação de origem 
• Garantir quem originou a mensagem 
 
Integridade da mensagem 
• Garantir que a mensagem não tenha sido alterada 
 
Criptografia – Tradicional ou Clássica 
 
Categorias: 
 
Cifras de Transposição (rearranja as letras) 
Cifras de Transposição reordenam os símbolos, mas não os disfarçam 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 60 
Cifras de Substituição (substitui as letras)As cifras de substituição preservam a ordem dos símbolos no texto claro, mas 
disfarçam esses símbolos 
 
Cifras Transposição – Cerca de Estrada de Ferro 
 Criada na Guerra Civil 
 As letras alternadas do texto puro são alternadas para formar o texto 
criptografado 
 
Cerca de Estrada de Ferro – Funcionamento 
 
 
 
 
Cifrar o texto Universidade Estácio de Sá 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 61 
Cifras de Substituição – Cifra de César 
 Monoalfabético; 
 Cifra de César: Cifrar – E(x)=(x+3) mod 26 
Decifrar – D(x)=(x-3) mod 26 
 http://crypto.interactive-maths.com/caesar-shift-cipher.html#act 
 
Cifra de César – Funcionamento 
 
Alfabeto inglês com 26 caracteres 
 
 
Deslocamento de 3 – primeiro deslocamento 
 
 
Deslocamento de 3 – segundo deslocamento 
 
 
Deslocamento de 3 – terceiro deslocamento 
 
 
 
 
 
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c d e f g h i j k l m n o p q r s t u v w x y z
a b c d e f g h i j k l m n o p q r s t u v w x y z
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c d e f g h i j k l m n o p q r s t u v w x y z
a b c d e f g h i j k l m n o p q r s t u v w x y z
1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c d e f g h i j k l m n o p q r s t u v w x y z
a b c d e f g h i j k l m n o p q r s t u v w x y z
1 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c d e f g h i j k l m n o p q r s t u v w x y z
a b c d e f g h i j k l m n o p q r s t u v w x y z
1 2 3
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 62 
O alfabeto é circular 
 
 
Cifrar o texto unesa 
 
 
 
 
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
a b c d e f g h i j k l m n o p q r s t u v w x y z
d e f g h i j k l m n o p q r s t u v w x y z a b c
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 63 
 
 
 
 
Cifras de Substituição – Cifra de Vigenere 
 Polialfabético 
 Imune à análise de frequência 
 As chaves podem variar por arquivo 
 Não devem ser pequenas evitando repetição de padrões 
 http://crypto.interactive-maths.com/vigenegravere-cipher.html#act 
 
Cifra Vigenère ‒ Funcionamento 
 Palavra-chave sapo 
 Cifrar o texto unesa 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 64 
 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 65 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 66 
 
 
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 67 
 
 
 
Organograma Básico da Criptografia 
 
 
 
Criptografia de Chave Simétrica (ou de Chave Única) 
 Utiliza um algoritmo e uma chave para cifrar e decifrar 
 A chave tem que ser mantida em segredo 
 Algoritmo + parte do texto cifrado deve ser INSUFICIENTE para obter a chave 
 As duas principais características: 
 Cifradores de blocos 
 Cifradores de fluxo 
 
Cifradores de blocos: 
 Divide a mensagem em blocos de tamanho fixo no momento da cifragem dos dados 
‒ por exemplo: DES e AES 
 
Cifradores de fluxo: 
 Cifra cada dígito do texto plano por vez 
 Menos utilizados que os de bloco 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 68 
 Exemplo – RC4 
 Garantir a confidencialidade dos dados. 
 Não comprometer a confidencialidade da chave 
 Métodos criptográficos que usam chave simétrica são: DES, 3DES, AES, IDEA, 
BLOWFISCH, RC2, RC4, RC5, CAST, TWOFISH e SERPENT 
 Utiliza um algoritmo e um par de chaves, se cifrado com uma chave somente 
decifra com a outra 
 Uma chave é pública e a outra deve ser mantida em segredo (privada ou 
secreta) 
 Pode ser armazenada em: Arquivo, smartcard ou token 
 Como requisito de segurança: algoritmo + parte do texto cifrado + uma das 
chaves NÃO deve ser suficiente para obter a outra chave 
 Métodos criptográficos que usam chaves assimétricas são: RSA, DAS, ECC e 
DIFFIE- HELLMAN. 
 
Problemas da Criptografia Simétrica 
 Distribuição e armazenamento das chaves secretas? 
 Quantas chaves secretas são necessárias para uma comunicação entre “n” 
indivíduos? 
 Garantir que a chave pública é realmente de quem diz ser? 
 Necessita de infraestrutura para armazenamento das chaves públicas? 
 
DES – Data Encryption Standard – Simétrico 
 Desenvolvido pela IBM em 1977 
 Chave de 56 bits 
 Quebrado por força bruta em 1997 
 Encripta em blocos de 64 bits 
 Utiliza a técnica de substituição 
 A partir de 1993 o NIST recomenda o 3DES 
 Primeiro disponibilizado abertamente ao mercado 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 69 
3DES – Triplo Data Encryption Standard – Simétrico 
 Desenvolvido pela IBM em 1979 
 Chave de 112 ou 168 bits 
 Variação do DES 
 112 bits – utiliza 2 chaves e 3 fases EDE: 
 1ª fase mensagem Encriptada com a chave K1 
 2ª fase Decifragem utilizando a chave K2 
 3ª fase nova Encriptação utilizando a chave K1 
 168 bits – utiliza três chaves e três fases EEE: 
 1ª fase mensagem Encriptada com a chave K1 
 2ª fase Encriptada utilizando a chave K2 
 3ª fase Encriptação utilizando a chave K3 
 
AES – Advanced Encryption Standard – Simétrico 
 Originado: concurso do NIST (National Institute of Standards and Technology) 
em 2003 
 Requisitos do concurso: 
 Divulgado publicamente e NÃO possuir patentes 
 Cifrar em blocos de 128 bits 
 Chaves de 128, 192, 256 bits 
 Implementado em hardware ou software 
 Ser mais rápido que o 3DES 
 Com a chave de 128 bits, possibilita 2128 chaves 
 Uma máquina com 1 bilhão de processadores paralelos, avaliando uma chave 
a cada pico-segundo, levaria aproximadamente 1010 anos para pesquisar esse 
espaço de chaves. 
 Baseado na teoria matemática de Campo de Galóis, possibilitando a 
demonstração de suas propriedades de segurança. 
 
IDEA – Inter. Data Encryption Algorithm – Simétrico 
 Criado por Massey & Xuejia, 1990 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 70 
 Chave de 128 bits 
 Patenteado na Suiça, ASCOM Systec 
 Implementado em software ou hardware 
 Sua implementação por software é mais rápida que do DES 
 Utilizado no mercado financeiro e no PGP (criptografia amplamente utilizada em 
e-mail) 
 
Blowfish- Simétrico 
 Criado por Bruce Schneier 
 Chave de 32 a 448 bits, chaves de tamanho variável 
 Encripta blocos de 64 bits 
 Utilizador opta por maior segurança ou maior desempenho 
 Não patenteado 
 Aperfeiçoamento do Twofish 
 
RC2 – Rivest Cipher 2 – Simétrico 
 Desenvolvido por Ronald Rivest, RSA Data Security, Inc. 
 Utilizado no protocolo S/MIME, criptografia de e-mail corporativo 
 Chave de 8 a 1.024 bits (variável) 
 Encripta em blocos de 64 bits 
 Três vezes mais rápido que o DES (software) 
 Para exportação 40 bits (acordo com o governo dos EUA) 
 
RC4 – Rivest Cipher 4 – Simétrico 
 Desenvolvido por Ronald Rivest, RSA Data Security, Inc. 
 Utilizado no protocolo SSL (Netscape) 
 Chave de até 2.048 bits (variável) 
 Encripta em blocos de tamanho variável 
 4 vezes mais rápido que o DES (software) 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 71 
RC5 – Rivest Cipher 5 – Simétrico 
 Desenvolvido por Ronald Rivest, RSA Data Security, Inc. 
 RC5-w/r/b, onde: 
 w = tamanho dos blocos 
 r = quantidade de vezes que o algortimo será aplicado 
 b = número de BYTES que constitui a chave 
 RC5-32/16/7 é equivalente ao DES 
 
RSA (Rivest, Shamir E Adelman) – Assimétrico 
 Desenvolvido pela RSA Data Security, Inc. em MIT 1977 
 Utiliza duas chaves distintas: uma Pública e outra Privada 
 Codificado por uma das chaves somente seu par pode decifrar 
 Algoritmo lento, deve encriptar textos pequenos 
 Opção para TROCA de chaves únicas ou secretas 
 Pode ser utilizado para assinatura digital, garantindo o não repúdio 
 Utiliza números primosgrandes 
 Consiste na facilidade em multiplicar números primos para obter um terceiro 
número e a dificuldade de recuperar aqueles dois primos a partir do terceiro 
número (fatoração) 
 RSA com chave de 512 quebrado em 1999 pelo Instituto Nacional de Pesquisa 
da Holanda (ajuda de cientistas de seis países) 
 Utilizado pela ICP-Brasil a partir de 2012 aumentou a chave de 2048 para 4096 
bits; 
 
Diffie Hellman – Assimétrico 
 Baseado no problema de calcular algoritmos discretos 
 Sistema de chave pública mais antigo em uso 
 NÃO permite ciframento nem assinatura digital 
 Permite aos dois lados da comunicação derivarem uma chave sem necessidade 
de troca de informação secreta 
 Troca de chaves por canais NÃO seguros: 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 72 
 Garante confidencialidade 
 NÃO garante autenticidade 
 
Função de Resumo (HASH) 
 É um método criptográfico aplicado a uma informação, independente do 
tamanho, gera um hash de tamanho único e fixo; 
 Utilizado para: 
 Verificar a integridade de um arquivo; 
 Gerar assinaturas digitais. 
 Exemplos SHA-1, SHA-256 E MD5; 
 não deve ser possível obter a informação original a partir de um valor de hash 
 ONE WAY – NÃO deve ser possível obter a informação original a partir de um 
valor de hash; 
 HASH limitado a 128, 256, 512 bits etc. 
 Colisões hashes iguais para entradas diferentes; 
 
SHA-1 – Secure Hash Algorithm 1 – HASH 
 Desenvolvido pela NSA 
 Função de espalhamento unidirecional invertida 
 Hash de 160 bits 
 Baseado no MD4 
 Encontrada falha de segurança em 2005 
 
SHA-2 – Secure Hash Algorithm 2 – HASH 
 Desenvolvido pela NSA 
 Função de espalhamento unidirecional invertida 
 Hash de 160 bits 
 Baseado no MD4 
 Falha de segurança encontrada em 2005 
 SHA-256 – 256 bits e SHA-512 – 512 bits 
 Utilizado a partir de 2012 como padrão IPC-Brasil 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 73 
MD5 – Message Digest 5 – HASH 
 Desenvolvido por Ronald Rivest do MIT, RSA Data Security 
 Função de espalhamento unidirecional invertida 
 Hash de 128 bits 
 Um hash de somente 128 bits causa preocupações 
 Existem fraquezas em parte do algoritmo, porém não afetou o mesmo de forma 
global 
 
 
 
Assinatura Digital 
 
 
 
Escolher um Algoritmo de Criptografia Segundo a Microsoft: 
 
Nenhum algoritmo é ideal para todas as situações. 
 
Princípios Gerais: 
 A criptografia segura geralmente consome mais recursos da CPU que 
criptografia menos segura. 
 As chaves extensas geralmente produzem uma criptografia mais segura que as 
chaves mais curtas. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 74 
 A criptografia assimétrica é mais fraca que a criptografia simétrica, que usa o 
mesmo comprimento de chave, mas é relativamente lenta. 
 Codificações em bloco com chaves extensas são mais seguras que codificações 
em fluxo. 
 Senhas longas e complexas são mais seguras que senhas curtas. 
 Se você estiver criptografando muitos dados, deve criptografá-los usando uma 
chave simétrica e criptografar a chave simétrica com uma chave assimétrica. 
 Dados criptografados não podem ser compactados, mas dados compactados 
podem ser criptografados. Se você usar compactação, deverá compactar os 
dados antes de criptografá-los. 
 
 
Vulnerabilidades Web e Conceito Geral de Pentest 
 
Pentest – Visão Geral 
 
Também conhecido como: 
Teste de invasão ou teste de intrusão ou teste de penetração 
 
Objetivo 
 
Verificar a segurança de um ambiente, plataforma ou sistema, por meio de simulação 
de ataques e exploração de vulnerabilidades. 
 
O PENTEST verifica o grau de dificuldade para invadir uma rede ou sistema 
computacional, procurando e identificando suas vulnerabilidades. Inicialmente com 
ação idêntica a do atacante, identifica as exposições e seus riscos para depois procurar 
uma solução. 
 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 75 
Metodologia Baseada em Padrões Internacionais 
 
ISSAF – Information Systems Security Assessment Framework 
OSSTMM – The Open Source Security Testing Methodology Manual 
NIST-SP 800-42 – Guideline on network Security Testing 
OWASP – Open Web Application Security Testing Guide 
 
 
Pentest – Abordagem & Metodologia – ISSAF 
 
 
 
Pentest – Classificação 
 
Quanto à quantidade de informações fornecidas ao auditor: 
 Teste caixa-preta ou teste de penetração zero 
 Teste caixa-cinza ou teste de penetração parcial 
 Teste caixa-branca ou teste de conhecimento 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 76 
 
Agora vamos detalhar cada uma delas: 
 
Teste caixa-preta: Acesso a informações públicas do alvo, o auditor encontra todas as 
dificuldades de um ataque real. Também conhecido como teste externo. 
 
Teste caixa-cinza: Acesso a informações facilmente obtidas nos processos de 
reconhecimento e mapeamento realizadas por um atacante, acelerando o processo de 
auditoria. 
 
Teste caixa-branca: Acesso a praticamente todas as informações do alvo como: 
Topologia; plataforma; linguagens; códigos fonte; endereçamento IP etc. 
Simula ataque de funcionários e ex-funcionários. Também conhecido como teste 
interno. 
 
Quanto ao conhecimento da equipe de TI da auditoria de segurança: 
 Teste duplo-cego 
 Teste duplo-cinza 
 Teste reverso 
 
Agora vamos detalhar cada uma delas: 
 
Teste duplo-cego: similar ao teste caixa-preta, auditor sem informações e a equipe de 
segurança de TI não é informada da execução da auditoria de segurança. 
 
Teste duplo-cinza: similar ao teste caixa-cinza, sendo que a equipe de segurança de 
TI tem conhecimento do período e o escopo dos testes, desconhecendo o momento 
exato e como será executado. 
 
Teste reverso: o auditor recebe todas as informações disponíveis sobre o alvo e a 
equipe de TI não tem ciência do teste. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 77 
Pentest – classificação visão gráfica 
Gráfico 
 
 
 
 
 
 
 
 
Levantamento de Informações em Fontes Públicas 
 Redes sociais 
 Grupos de discussão 
 Anúncios de emprego 
 WHOIS 
 DNS 
 
Informações facilitadoras para o teste de invasão podem ser obtidas em: 
 
 Redes sociais: nomes de funcionários, suas preferências 
Respostas para perguntas secretas de recuperação de senha 
 
 Grupos de discussão: dúvidas postadas nesses grupos em geral possuem 
riquezas de detalhes do problema: a dificuldade, os arquivos de configuração, 
versão do software etc. 
Total Equipe de TI
Duplo-cego
Duplo-cinza
Reverso
C o n h e c i m e n t o
0 TotalAuditor
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 78 
 
 Anúncios de emprego: Indicam área da empresa carente de profissional 
qualificado. Exemplo solicitação de especialista em CISCO, provavelmente 
possui deficiência na configuração de infra. 
 
 WHOIS: utilizado para obter informações sobre o nome de domínio, endereço 
IP, proprietários, contatos dos responsáveis, servidores de nome etc. 
 
 DNS: Registros do servidor DNS, e-mail do hostmaster, nome dos ativos de 
redes e na pior das hipóteses a transferência de zona estar aberta para qualquer 
IP. 
 
Testando Aplicações Web 
 
 
 
 
 
Scanner de Aplicação Web 
 
Alguns exemplos de scanner de aplicação web: 
 W3AF 
 Samurai WTF 
 Nikto 
 Paros 
 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 79 
Agora vamos detalhar as ferramentas: 
 
W3AF: é o projeto Web Application Attack and Audit Framework, com o objetivo de 
seu framework buscar e explorar vulnerabilidades de aplicações web. 
http://w3af.sourceforge.net 
 
Samurai WTF : o ambiente do framework Samurai Web Testing Framework é live 
Linux configurado para funcionar como um ambiente de web pen-testing. 
http://samurai.inguardians.com 
 
Nikto: é uma ferramenta scanner de servidor, com o objetivo de realizar testescontra múltiplos itens em servidores web. 
http://cirt.net/nikto2 
 
Paros: – é um proxy HTTP e HTTPS, para interceptação e ou alteração de dados entre 
o cliente e o servidor. Esses dados incluem cookies, campos de formulários etc. 
http://www.parosproxy.org/ 
 
Avaliando Aplicações Web 
 BurpSuite 
 Websecurify 
 CAT 
 
Agora vamos detalhar as ferramentas: 
 
BurpSuite: – plataforma integrada com o objetivo de atacar e testar aplicações web. 
http://portswigger.net 
 
Websecurify: – ferramenta com o objetivo de identificar automaticamente aplicações 
web vulneráveis, utilizando tecnologia fuzzing e advanced discovery. 
http://www.websecurify.com 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 80 
CAT: The Manual Web Application Audit – aplicação com o objetivo de facilitar testes 
manuais de invasão em aplicações web. 
http://cat.contextis.co.uk 
 
Auditoria de Banco de Dados 
 DB Audit Free Edition 
 SQL Map 
 
Agora vamos detalhar as ferramentas: 
 
DB Audit Free Edition: – ferramenta de auditoria e análise de segurança para bancos 
de dados Oracle, Sybase, DB2, MySQL e Microsoft SQL Server. 
http://www.softtreetech.com 
SQL Map: – ferramenta automática em linha de comando para testes de sql-
injection. http://sqlmap.sourceforge.net 
 
OWASP Top 10 Riscos De Segurança em Aplicações 
 
A1 – Injeção 
A2 – Quebra de Autenticação e Gerenciamento de Sessão 
A3 – Cross-Site Scripting (XSS) 
A4 – Referência Insegura e Direta a Objetos 
A5 – Configuração Incorreta de Segurança 
A6 – Exposição de Dados Sensíveis 
A7 – Falta de Função para Controle do Nível de Acesso 
A8 – Cross-Site Request Forgery (CSRF) 
A9 – Utilização de Componentes Vulneráveis Conhecidos 
A10 – Redirecionamentos e Encaminhamentos Inválidos 
 
Link esclarecedor das TOP 10 
https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 81 
Segurança no Comércio Eletrônico 
 
Objetivo 
 
Identificar as principais características do comércio eletrônico e reconhecer as técnicas 
utilizadas para prover segurança a esse tipo de comércio. 
 
Conceito 
 
Comércio eletrônico (e-commerce) pode ser entendido como uma combinação de 
tecnologias, aplicações e procedimentos negociais que permitem a transação on-line 
de bens e serviços entre governos, sociedades e empresas. 
Um conceito básico para comércio eletrônico seria defini-lo como qualquer transação 
comercial por meio eletrônico. 
 
Fundamento Do Comércio Eletrônico 
 Segurança 
 Criptografia 
 Moedas e pagamentos eletrônicos 
 
Histórico 
 
A internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de 
interconexão dos computadores de instituições de pesquisa, de ensino e 
governamentais. Essa rede fornecia os serviços básicos de correio eletrônico, 
transferência de arquivos e compartilhamento de impressoras, e foi projetada para uso 
de uma comunidade restrita de usuários que confiavam mutuamente entre si (SMITH 
& GIBBS, 1994). Não foi concebida para um ambiente comercial e, assim, é vulnerável 
a vários tipos de ataques. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 82 
Originalmente, comércio eletrônico significava a facilitação de transações comerciais 
eletrônicas, usando tecnologias como: 
 
Eletronic Data Interchange (EDI): troca de documentos via sistemas de teleinformática 
entre duas ou mais organizações de forma padronizada. 
 
Eletronic Funds Transfer (EFT): transferência eletrônica de dinheiro de uma conta para 
outra. 
 
Riscos de Comércio Eletrônico 
 
Atualmente é um tipo de transação comercial feita especialmente por um equipamento 
eletrônico, aplicada aos negócios, criando, alterando ou redefinindo valores. 
 
 Receio do consumidor de comprar on-line. 
 Questões de segurança da informação. 
 Transações fraudulentas. 
 Questões de privacidade. 
 Compras baseadas apenas em fotos sem manusear o produto. 
 Possível dificuldade com devoluções. 
 
Desafios 
 
A segurança é um dos fatores que distingue as lojas de comércio eletrônico perante 
os consumidores. 
 
Consumidores passam a exigir mais garantias, a preocupação torna-se maior e isso 
cria um novo e promissor cenário: o de oferecer aos consumidores algo além da 
qualidade, da garantia de entrega e dos melhores preços. A garantia de seu direito à 
privacidade. 
 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 83 
Principais Ameaças 
 Acesso não autorizado 
 Alteração de dados 
 Monitoramento 
 Spoofing 
 Negação de serviço 
 Repúdio 
 Privacidade 
 Autenticação 
 Autorização 
 Integridade 
 Não repúdio 
 
Conceitos do Sistema de Pagamentos Brasileiro (SPB) 
 
O SPB é o conjunto de procedimentos, regras, instrumentos e operações integrados 
que, por meio eletrônico, que dão suporte à movimentação financeira entre os diversos 
agentes econômicos do mercado brasileiro, tanto em moeda local quanto estrangeira, 
visando à maior proteção contra rombos ou quebra em cadeia de instituições 
financeiras. 
 
Sua função básica é permitir a transferência de recursos financeiros, o processamento 
e a liquidação de pagamentos para pessoas físicas, jurídicas e entes governamentais. 
 
Rede do Sistema Financeiro Nacional (RSFN) 
 
 A RSFN é a estrutura de comunicação de dados, implementada por meio de tecnologia 
de rede, criada com a finalidade de suportar o tráfego de mensagens entre as 
instituições financeiras titulares de conta de reservas bancárias, entre as câmaras e os 
prestadores de serviços de compensação e de liquidação, a Secretaria do Tesouro 
Nacional e o Banco Central, no âmbito do Sistema de Pagamentos Brasileiro. 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 84 
 
Conceitos de Segurança em Transações Eletrônicas 
 
As preocupações com pagamentos eletrônicos e segurança incluem: 
 
 A natureza eletrônica quase anônima das transações que ocorrem entre os 
sistemas de computadores em rede de compradores e vendedores. 
 O processo de pagamento no comércio eletrônico é complexo devido à ampla 
variedade de alternativas de débito e crédito e instituições financeiras e 
intermediários que podem participar do processo. 
 Existe um grande número de diferentes sistemas eletrônicos de pagamento. 
 Nas compras on-line na internet as informações de cartão de crédito do cliente 
estão sujeitas à interceptação por sniffers de rede, softwares que reconhecem 
facilmente os formatos dos números dos cartões de crédito. 
 
Mecanismos de Segurança 
 
Basicamente, referem-se a técnicas que asseguram que dados armazenados ou em 
transferência não sejam acessados ou alterados. A maioria das medidas de segurança 
envolve encriptação de dados e de senhas. A encriptação, ou cifragem, é a 
transformação de dados para uma forma ilegível que impede ou dificulta o seu 
entendimento. A senha ou frase secreta possibilita a um usuário o acesso a um 
determinado programa ou sistema. Além dessas medidas, convém citar protocolos de 
segurança, baseados em algoritmos de encriptação, e as barreiras digitais. 
 
Como mecanismos de segurança no comércio eletrônico podem ser citados os 
seguintes: 
 Barreiras digitais (firewall) 
 Criptografia de chave simétrica 
 Criptografia de chaves assimétricas 
 Protocolos de autenticação 
 
 
SEGURANÇA DA INFORMAÇÃO EM REDES DE COMPUTADORES 85 
 Certificados digitais 
 Assinaturas digitais 
 Selos digitais. 
 
Firewall 
 
Solução de segurança baseada em hardware ou software, que a partir de um conjunto 
de regras ou instruções, analisa o tráfego de rede para determinar que tratamento 
será dado aos pacotes de transmissão ou recepção de dados. O objetivo de um firewall 
é bloquear tráfego de dados indesejado e liberar acessos autorizados. 
 
Criptografia 
 
Encriptação consiste em converter mensagens e dados para um formato ilegível com 
objetivo de proteger