Aula 13 - Redes de Armazenamento SAN, NAS, DAS Tecnologias, estratégias e Ferramentas de Backup; Tipos de Armazenamento; Deduplicação; ILM

Prévia do material em texto

���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 3 de 136 
 
 
 
.��
�����
Ataques em redes e aplicações corporativas: 
DDoS, DoS, IP spoofing, port scan, session 
hijacking, buffer overflow, SQL Injection, cross-site 
scripting, spear phishing; Malwares; 
����
�
��
�����
Sistemas de Criptografia: Criptografia simétrica e 
assimétrica. Certificação Digital e assinatura digital; 
Funções HASH; 
�	��
�
��
����� Cluster, GRID e Balanceamento de Carga; Cloud 
Computing: IaaS, PaaS, SaaS, outros; ����
�
��
�����
Redes de Armazenamento: SAN, NAS, DAS. 
Tecnologias, estratégias e Ferramentas de Backup; 
Tipos de Armazenamento; Deduplicação; ILM 
����
�
 
 
1. Firewall / Iptables 
 
Falaremos agora de um componente de rede extremamente importante 
sob a ótica da segurança das redes de comunicação, que é o firewall. 
Esse assunto geralmente é abordado na disciplina de segurança, porém, 
trataremos dele aqui em nosso curso. 
 
A tradução pura do termo Firewall é parede de fogo. Em um cenário 
natural, temos que ele é o responsável por não deixar o incêndio ser 
propagado para dentro da rede a qual ele serve como elemento de 
proteção. 
 
Por esse motivo, dizemos que o firewall é o elemento de borda da rede 
que concentra a entrada e saída dos pacotes da nossa rede. Este é 
um princípio de segurança conhecido como “choke point” ou ponto 
único de entrada . 
 
A partir desse ponto é possível realizar a monitoração do tráfego, 
controle, autenticação além da capacidade de se gerar registros (logs), 
alertas e trilhas de auditoria. 
 
A figura abaixo nos traz uma representação de um possível arranjo de 
topologia de rede: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 4 de 136 
 
 
 
 
 
Aproveitando a imagem, gostaria de definir outro conceito extremamente 
importante em uma topologia de rede segura. É a tão conhecida DMZ 
(Demilitarized Zone) . 
 
A ideia é criar uma área de serviços comuns que podem ser acessados 
tanto por usuário externos (Internet – rede não confiáveis) como por 
usuários internos (Intranet – rede confiável). A grande vulnerabilidade se 
encontra nos serviços e servidores que possibilitam acessos externos. 
Desse modo, tira-se esses servidores da rede interna para, caso esses 
sejam comprometidos, não necessariamente implica em 
comprometimento dos usuários e serviços internos. 
 
Uma evolução desse modelo é através da utilização de 2 (dois) firewalls 
conforme arranjo na imagem a seguir: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 5 de 136 
 
 
 
 
 
Reparem que para um atacante conseguir penetrar na rede através dos 
servidores da DMZ deverá passar por uma segunda camada de 
segurança. Esse é um conceito de defesa em profundidade muito 
utilizado. 
 
Em relação à forma de arranjo dos firewalls surgem alguns conceitos que 
aparecem bastante em prova. São elas: dual-homed host, Screened 
host, Screened Subnet host. 
 
• Dual-homed host: É formado por um elemento que atua como 
firewall e possui duas interfaces, sendo uma para a rede externa e 
uma para a rede interna. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 6 de 136 
 
 
 
 
 
• Screened host: Formado por um firewall e um Bastion host, tipo 
de servidor que veremos mais à frente. Especificamente 
customizado para acessos externos a serviços de forma segura. 
 
 
 
• Screened-subnet host: Tem-se o modelo específico de criação 
de uma subrede de segurança (DMZ) ou rede de perímetro, a 
partir da utilização de dois firewalls. Essa implementação pode ser 
dar também de forma virtual, onde, a partir de um único firewall 
físico, cria-se dois virtuais com interfaces físicas distintas que 
isolam complemente as redes. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 7 de 136 
 
 
 
 
 
Retomando então a nossa discussão a respeito do firewall, temos que 
este deverá ser capaz então de interpretar o tráfego que passa por ele e 
avaliar se a informação é legítima ou maliciosa. Desse modo, os 
administradores configuram diversas regras que retratam a política de 
segurança e acesso da rede corporativa. 
 
Existem diversos tipos de firewalls no mercado com as mais diversas 
características e capacidades. Existe ainda a implementação de firewall 
em servidores Unix ou Linux. No caso do Linux, temos que o firewall é 
conhecido como NetFilter e a sua configuração se dá pela ferramenta 
Iptables. Entretanto, no jargão técnico, diz-se que o firewall do Linux é o 
próprio Iptables. Veremos algumas características a respeito dele a 
seguir. 
 
 ����������	�
�����
�����������	�
�����
�����������	�
�����
�����������	�
�����
�				
 
Veremos a seguir diversos conceitos que relacionam os ambientes de 
segurança e as capacidades dos firewalls. Vamos comentá-las a seguir: 
 
• Filtros 
 
Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo 
equipamento. Para tanto, deve-se obter informações dos pacotes a partir 
das informações dos cabeçalhos dos diversos protocolos utilizados. 
Pode-se inclusive considerar o estado da conexão conforme será visto 
posteriormente. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 8 de 136 
 
 
 
 
É muito importante deixar claro que em nenhuma aplicação de firewall, 
nativamente, teremos a característica nativa de antivírus, pois esse não é 
o papel do firewall. Em soluções modernas, temos a implementação de 
antivírus de forma conjugada em um mesmo equipamento ou appliance, 
porém, não é o seu papel nativo. 
 
• Proxies 
 
São elementos que atuam como intermediários em uma comunicação. O 
proxy pode ser utilizado para uma política de acesso de clientes internos 
aos serviços externos, bem como para acesso de clientes externos aos 
serviços internos. Desse modo, não haverá comunicação direta entre os 
clientes e servidores nas duas perspectivas. 
 
• Bastion hosts 
 
É um servidor especializado para fornecer serviços ao público externo. 
Desse modo, é muito bem customizado, com regras de segurança mais 
rígidas que mitiguem os possíveis riscos de comprometimento desses 
servidores. Como regra, é válido lembrar que deve ser instalado 
exclusivamente os serviços e recursos necessários para o provimento 
das funcionalidades esperadas, reduzindo assim as possibilidades de 
surgimento de vulnerabilidades. 
 
• HoneyPot 
 
É um servidor criado especificamente para obter informações a respeito 
de possíveis atacantes. A ideia é replicar todos os serviços e principais 
elementos de implementação de serviços neste servidor, porém, sem 
dados sigilosos que possam gerar dano ou lesão à instituição. 
 
Busca-se ainda deixar algumas vulnerabilidades específicas como 
atrativos para os atacantes. Além disso, implementa-se uma série de 
elementos com vistas a monitorar, rastrear e obter o máximo de 
informações do atacante. Como o próprio nome diz, é um verdadeiro 
pote de mel para atrair os atacantes! 
 
• DMZ 
 
Conforme já vimos. Também é conhecido como rede de perímetro. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
������
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 9 de 136 
 
 
 
• NAT 
 
Apesar de o NAT ter sido criado para resolver o problema de 
esgotamento de endereços IPv4, o NAT possibilitou a criação de uma 
camada de segurança através do conceito de segurança por 
obscuridade. Dessa forma, usuários externos não conseguem identificar 
em um primeiro momento os endereços internos de uma rede corporativa 
pois só terá acesso ao endereço público utilizado por essa rede. 
 
• VPN 
 
A rede privada virtual pode ser criada com uma terminação no firewall. 
Desse modo, podemos exemplificar com dois cenários. No primeiro, 
pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial 
permitindo assim a extensão da rede interna da matriz até a rede da filial 
através da VPN. Outra aplicação seria o estabelecimento de um túnel 
seguro a partir de um empregado da empresa que esteja externo à rede. 
 
Assim, este pode criar um túnel diretamente no firewall da empresa para 
ter acesso aos recursos internos. 
 
É importante mencionarmos ainda alguns tipos de defesa que não são 
realizados pelo firewall. Dessa forma, um firewall não é um antivírus ou 
AntiSpam. Caso haja alguma assinatura específica no conteúdo e o 
firewall possua o recurso DEEP INSPECTION, que veremos mais à 
frente, pode ser que seja identificado alguns aspectos. Porém, a regra é 
distinguirmos muito bem esses papéis. 
 
• Autenticação/certificação 
 
Diversos são os requisitos que podem ser considerados para uma 
autenticação de usuários ou dispositivos. Como exemplo, podemos citar 
as senhas, certificados digitais, tokens, smartcards ou biometria. Para o 
caso de certificados digitais pode-se inclusive utiliza a infraestrutura de 
chaves pública (PKI). 
 
É importante mencionar também a importância de se ter uma camada de 
segurança (firewall) de alta disponibilidade, pois caso esse equipamento 
dê problema, todo o acesso externo da rede corporativa poderá ser 
comprometido. Assim, deve-se implementar técnicas de 
balanceamento de carga e redundância . 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 10 de 136 
 
 
 
 
�����������
	�
�	���������
�����������
	�
�	���������
�����������
	�
�	���������
�����������
	�
�	���������				
 
Como eu disse antes, os firewalls são definidos por suas diversas 
capacidades. Estas são representadas a partir de qual camada o 
firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, 
este será capaz de interpretar as informações do cabeçalho dos 
protocolos dessa camada. Se atuar na camada de aplicação, será capaz 
de interpretar as informações dos cabeçalhos dos protocolos da camada 
de aplicação e das camadas inferiores. 
 
Ou seja, os firewalls de camada superiores possuem as capacidades das 
camadas inferiores. Quando se agrupa várias características de firewalls 
distintos, tem-se o conceito de “Hybrid host”. 
 
Portanto, vamos conhecê-los: 
 
• Firewall Bridge 
 
Esse tipo de firewall atua na camada de enlace do mod elo OSI. 
Justamente por atuar na camada de enlace, temos que ele não possui 
um endereço IP. Logo, sua configuração e acesso se dá diretamente no 
dispositivo, através de uma interface de conexão física ou através do seu 
endereço MAC estando no mesmo domínio de Broadcast. Algo 
semelhante acontece quando se deseja acessar um switch L2 para 
configuração. 
 
Desse modo, este tipo de firewall é considerado estratégico por não 
possuir visibilidade externa frente a sua falta de endereçamento IP, 
incorrendo em mais uma cada de segurança. Entretanto, perceba que 
este firewall possui certas limitações a respeito do tipo de informação que 
ele é capaz de filtrar. 
 
• Firewall – Filtro de Pacotes 
 
Este é o tipo mais primitivo de implementação de firewalls. Também 
conhecido como Firewall estático. Ele atua na camada de rede e é capaz 
de obter algumas informações a respeito da camada de transporte. A 
sua capacidade básica seria permitir a filtragem a partir dos 
endereços de origem e destino, bem como as portas de origem e 
destino . Desse modo, podemos definir os serviços que serão permitidos 
a partir das portas de operação. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 11 de 136 
 
 
 
 
Vale mencionar que para o filtro de pacotes, o sentido da informação 
importa. Logo, deve-se considerar o fluxo de entrada e saída da rede. 
 
Entretanto, os filtros de pacotes atuais são capazes de identificar outros 
parâmetros dos cabeçalhos conforme as figuras a seguir. Os campos 
escurecidos são aqueles que o firewall do tipo filtro de pacotes considera 
na sua filtragem. 
 
Para o protocolo IP tem-se: 
 
Para o protocolo TCP: 
 
 
Para o protocolo UDP: 
 
 
Para o protocolo ICMP: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 12 de 136 
 
 
 
 
Essas características permitem que seja um modelo simples de ser 
implementado em que os elementos de borda atuais, todos eles já 
implementam esses recursos do firewall. Veremos que os modelos mais 
atuais implementam o tipo de firewall statefull. 
 
• Filtros de Pacotes Baseados em Estados 
 
Também conhecidos como filtro de pacotes dinâmicos ou Statefull. 
Esse tipo de firewall não se restringe à análise dos cabeçalhos conforme 
vimos anteriormente. 
 
Entretanto, é criada e utilizada uma tabela auxiliar conhecida como 
tabela de estados. Essa tabela armazena os estados de todas as 
conexões que foram estabelecidas e passam pelo firewall. 
 
Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e 
permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o 
suficiente para identificar as mensagens posteriores que pertencem ao 
mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as 
portas que forem necessárias conforme evolução da comunicação. 
 
Importante lembrar que quando falamos de conexão estabelecida, 
estamos falando do protocolo TCP. Entretanto, o firewall statefull utiliza 
um conceito baseado em contextos que permite a criação de uma 
conexão virtual para o protocolo UDP, identificando assim fluxos de 
pacotes UDP que fazem parte de um mesmo serviço. 
 
• Proxies 
 
Os proxies também fazem parte da classificação de firewalls. Estes 
possuem a capacidade de atuar a nível da camada de aplicação 
averiguando as informações dos cabeçalhos que fazem parte dessa 
camada. 
 
Um ponto importante é que os firewalls do tipo filtro de pacotes permitem 
a comunicação direta entre cliente e servidor. Fato que não acontece 
com o proxy que faz com que sejam estabelecidas duas conexões. Do 
cliente com o proxy e do proxy com o servidor. 
 
Entretanto é importante mencionarmos que o proxy não verifica o 
conteúdo dos pacotes. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 13 de 136 
 
 
 
 
Tal regra não se aplica às soluções de proxies e firewalls mais 
modernas. Estes implementam o conceito do DEEP INSPECTION, ou 
inspeção profunda. Esse recurso permite que seja verificado o conteúdo 
dos pacotes impedindo, portanto, ataques que se utilizem do 
conteúdo dos pacotes trafegados . 
 
O proxy mais utilizado e criado em Linux é o SQUID. Pos sui os 
principais recursos de funcionamento, como regras de filtragem 
baseados nos endereços URL’s e listas de acesso. 
 
 ��������������������������������Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end 
que implementa o firewall NetFilter de ambientes Linux a partir das 
soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes 
dinâmico. 
 
O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas 
as regras do firewall. São elas: 
 
• INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o 
tráfego que termina no firewall. Por exemplo, um acesso remoto no 
firewall para sua configuração. 
 
• OUTPUT – Corresponde ao tráfego que possui como origem o 
próprio firewall. Por exemplo, um acesso externo para atualização 
do repositório de pacotes do firewall. 
 
• FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele 
não é nem a origem e nem o destino. Desse modo, sempre que 
um cliente interno faz a requisição de serviços na Internet ou um 
cliente externo solicita serviços internos, a cadeia que será 
analisada é a FORWARD. 
 
Assim, cada regra criada deverá ser inserida em alguma das três cadeias 
apresentadas. 
 
Além disso, o IPTABLES trabalha também com três tabelas básicas para 
armazenamento das informações e operações a serem realizadas pelo 
firewall, quais sejam: 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 14 de 136 
 
 
 
 
• Tabela Filter – Essa é a tabela padrão. Aqui são armazenadas 
todas as regras de filtragem. 
• Tabela Nat – Aqui são armazenadas as regras de aplicações de 
NAT, ou seja, alterações de endereços de entrar e saída. 
• Tabela Mangle – Armazena informações a respeito da 
manipulação de pacotes, isto é, caso se deseja alterar alguma flag 
ou parâmetros dos cabeçalhos. 
 
Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o 
parâmetro “-t”. Caso não seja inserido, utiliza-se a tabela padrão Filter. 
 
Algumas questões têm cobrado de forma mais detalhada a utilização e 
configuração do NAT. Para tanto, é importante entendermos os pontos 
abaixo. 
 
Na maioria dos casos de implementação, tem-se um NAT de diversos 
IP’s internos utilizando um único IP de saída, podendo este ser dinâmico 
ou não. Algo semelhante ao que temos em nossas residências com o 
compartilhamento de diversos dispositivos para acesso à Internet. 
 
Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”. 
 
Assim, tem-se o exemplo abaixo: 
 
iptables -t nat -A POSTROUTING -o ppp0 -j 
MASQUERADE 
 
Esse comando nos diz que deverá ser inserida a regra acima na tabela 
NAT ( -t nat). Deve-se utilizar o conceito POSTROUTING, ou seja, aplica-
se o NAT após o processamento das regras de filtragem e verificação de 
regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da 
interface de saída ppp0 (-o ppp0 –j masquerade). 
 
Desse modo, vamos esclarecer o conceito de POSTROUTING e 
PREROUTING. Como o Iptables possui a capacidade de modificar a 
conexão, ou seja, mudar as portas através do NAT, deve-se informar ao 
KERNEL o momento em que tais mudanças devem ser efetuadas. 
 
Existem três Chains: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 15 de 136 
 
 
 
• PREROUTING - utilizada para manipular endereço e porta de 
destino para os pacotes de entrada na rede. 
 
• POSTROUTING – Utilizada para manipular o endereço e porta de 
origem para os pacotes que saem da rede. 
 
• OUTPUT – Utilizado para manipular o endereço e porta de destino 
para os pacotes gerado localmente pelo próprio firewall. Percebam 
que essa CHAIN tem o mesmo nome do tipo de tráfego verificado 
anteriormente, entretanto, aqui, estamos falando de regras de 
NAT. 
 
Desse modo, pode-se utilizar a “manha” para decorar a regra acima de 
que SNAT (source NAT) começa com a letra “S”, logo, deve-se utilizar o 
POSTROUTING, pois este possui a letra “S”. Meio forçado, certo? 
 
Logo vamos tentar entender para facilitar as coisas. Quando um pacote 
chega no firewall, ele deve passar pelas fases constantes no diagrama 
abaixo: 
 
 
 
Desse modo, segundo as regras de NAT, se vamos acessar serviços 
externos a partir de endereços internos, devemos manipular os 
endereços e portas de origem. Assim, para sabermos se um host interno 
pode ou não acessar determinado recurso, devemos verificar as 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 16 de 136 
 
 
 
informações originais, antes de aplicar o NAT. Por esse motivo, para 
essa manipulação, deve-se realizar o NAT apenas no POSTROUTING 
para tratar esses endereços, ou seja, após verificação de regras de 
filtragem e roteamento. 
 
Agora o cenário inverso. Assumindo que algum host externo pretenda 
acessar algum serviço interno escondido atrás de um NAT. Nesse caso, 
ele vai apontar para um IP e porta de destino que não correspondem a 
informações diretas e reais dos servidores, pois estão atrás do NAT. 
Nesse sentido, deve-se converter esses endereços e portas para 
posterior análise das regras de filtragem e roteamento, ou seja, deve-se 
utilizar o PREROUTING para manipular as informações de destino. 
 
Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse 
trecho com mais cautela. 
 
Vamos então verificar alguns exemplos de utilização dessas CHAINS. 
Muita atenção nas interfaces utilizadas em cada uma das CHAINS. 
Primeiro, vamos verificar a utilização do POSTROUTING para 
manipulação do SNAT: 
 
## Mudando o endereço de origem para 1.2.3.4 em 
todos os pacotes que saiam pela interface de saída 
eth0 
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --
to 1.2.3.4 
 
## Mudando o endereço de origem para 1.2.3.4, 
1.2.3.5 ou 1.2.3.6. Nesse caso, tem-se disponível 
vários endereços na interface de saída. 
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --
to 1.2.3.4-1.2.3.6 
 
## Mudando o endereço de origem para 1.2.3.4, portas 
1-1023 
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j 
SNAT --to 1.2.3.4:1-1023 
 
Agora, vamos verificar a utilização do PREROUTING para manipulação 
do DNAT: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 17 de 136 
 
 
 
## Mudando destino para 5.6.7.8. Utiliza-se a 
interface de entrada. 
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 
5.6.7.8 
 
## Mudando destino para 5.6.7.8, 5.6.7.9 ou 
5.6.7.10. Caso de utilização de um cluster interno 
que responda por diversos endereços. 
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 
5.6.7.8-5.6.7.10 
 
## Mudando destino do tráfego web para 5.6.7.8, 
porta 8080. 
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i 
eth0 -j DNAT --to 5.6.7.8:8080 
 
## Redirecionar pacotes locais com destino a 1.2.3.4 
para loopback. 
# iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 
127.0.0.1 
Há um caso especializado de Destination NAT chamado 
redirecionamento. É uma simples conveniência, a qual equivale a fazer 
DNAT para o endereço da própria interface de entrada. 
## Mandando tráfego web da porta-80 para um proxy 
interno transparente na porta 3128 
# iptables -t nat -A PREROUTING -i eth1 -p tcp --
dport 80 -j REDIRECT --to-port 3128 
 
 
 
Veremos algumas questões que dizem respeito ao código de execução 
dos comandos para criação, alteração ou exclusão das regras de firewall. 
Complementarei o aprendizado na resolução das questões que abordem 
esse assunto. 
 
Para os alunos que têm disponibilidade para aprofundar o conhecimento, 
sugiro a leitura do artigo publicado no link a seguir: 
http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do-Iptables 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 18 de 136 
 
 
 
 ��
�
�
�
	�
����
�
�
�
	�
����
�
�
�
	�
����
�
�
�
	�
��				
 
O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado 
no HTTP. Desse modo, possui as características de ser simples e leve 
como o HTTP. 
 
Ele foi criado originalmente para efetuar chamadas remotas em 
mensagens HTTP. É baseado em uma estrutura de servidores que 
permitem a alteração dinâmica do tráfego em cada um desses 
servidores. Estes são mantidos por diversas empresas, fabricantes e 
provedores com vistas a criar uma estrutura de troca de informações e 
adaptação de tráfego para sistemas mais seguros. 
 
Este protocolo permite que clientes ICAP enviem requisições para os 
servidores ICAP objetivando a “adaptação do conteúdo”, ou seja, pode-
se verificar a existência de um vírus em um dado arquivo a partir de uma 
consulta a um servidor ICAP. 
 
Geralmente é implementado em servidores que pertencem à DMZ. 
Permite a criação de uma infraestrutura na Internet única de 
comunicação, integrando diferentes fabricantes e possibilitando a 
gerência do conteúdo do tráfego entre diferentes serviços. 
 
 
 
 
 
 
 
 
 
 
 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 20 de 136 
 
 
 
2. Metodologias de Detecção 
 
Conversando um pouco mais sobre segurança, abordaremos um tópico 
que recorrentemente tem sido cobrado em provas, que são as 
metodologias de detecção/prevenção, bem como suas principais 
ferramentas. 
 
Quando falamos de metodologia, logo nos remetemos ao seu significado 
de definir método, princípios ou regras que serão a base para 
determinados procedimentos. 
 
Trazendo esse conceito para a área de segurança, nada mais é do que 
se definir regras que permitirão a detecção de possíveis ataques e 
invasões não autorizadas. 
 
Nesse sentido, vamos definir de imediato duas bases de conhecimento 
que são utilizados como parâmetro para nossa conversa ao longo desse 
capítulo: 
• Base de Conhecimento – A partir de uma lista específica de 
regras ou assinaturas, pode-se comparar determinados acessos 
ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é, caso 
as informações estejam nessa lista, o equipamento poderá tomar 
alguma atitude. 
• Base de Comportamento – Nesse perfil, temos a análise das 
características e comportamento dos pacotes ou acessos. A partir 
de um histórico, pode-se determinar um comportamento 
considerado normal ou padrão. Caso haja algum acesso ou tráfego 
de pacote que fuja desse comportamento, considera-se um acesso 
indevido ou anômalo, cabendo ao equipamento tomar alguma 
atitude. 
 
Para exemplificarmos os conceitos acima, imaginemos que estamos indo 
a uma festa da elite da sociedade. Assim, trazendo a analogia da “Base 
de Conhecimento”, teríamos uma lista de nomes e placas de carros que 
estariam proibidos de entrar na festa. Já com “Base no Comportamento”, 
a partir do histórico analisado, percebeu-se que todos os convidados 
chegam com carros importados e com motoristas particulares. Caso 
cheguemos dirigindo nosso carro popular por conta própria, há uma 
grande probabilidade de sermos barrados! 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 21 de 136 
 
 
 
 
Já trazendo a associação de equipamentos para os conceitos 
apresentados, temos que o IDS (Intrusion Detection System) atuará na 
maioria das vezes com “Base de Conhecimento”, enquanto o IPS 
(Intrusion Prevent System) atuará na maioria das vezes com “Base de 
Comportamento”. Veremos algumas outras diferenças desses dois 
posteriormente. 
 
Lembremos sempre que o modelo “Base de Conhecimento” se 
assemelha ao funcionamento de um antivírus. Percebamos que a 
eficiência desse modelo depende de uma atualização constante da base 
de assinaturas. 
 
Ainda no nosso campo de conceitos, temos alguns termos muito 
utilizados referenciando a atuação dos equipamentos após análise das 
informações. São eles: 
 
• Tráfego Suspeito Detectado – Funcionamento normal do 
equipamento, onde o tráfego suspeito de fato foi detectado. 
• Tráfego Suspeito não Detectado – Conhecido como “Falso 
Negativo ”. Ou seja, era para ser acusado como um tráfego 
suspeito, porém, não foi acusado. Em termos de analogia, 
imaginem que um penetra tenha entrado na festa sem ser 
percebido. 
• Tráfego Legítimo que o Equipamento acusa como suspeito – 
Também conhecido como “Falso Positivo”. Percebam que agora, 
na nossa analogia, um convidado legítimo foi considerado penetra. 
Em condições normais e corretas, ele deveria ser capaz de passar 
sem problemas. 
• Tráfego Legítimo que o Equipamento considera legítimo – E para 
finalizar, temos o comportamento normal de um tráfego legítimo, 
passando sem nenhum problema pela linha de defesa do sistema. 
 
Vamos discutir agora sobre algumas vantagens e desvantagens de cada 
modelo. Para o modelo “Base de Conhecimento”. Como pontos positivos, 
podemos citar a baixa taxa de falsos positivos e o tempo de resposta na 
análise. Como pontos negativos, podemos citar a dependência da base 
atualizada, dificultando a detecção de novos tipos de ataques; apesar de 
ter um bom desempenho, pode ser degradado à medida que se aumenta 
o número de regras para análise. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 22 de 136 
 
 
 
Já o modelo de “Base de Comportamento” que busca desvios de 
comportamento dos usuários, sistemas e tráfego, foca na análise 
estatística e heurística. Como ponto positivo podemos citar a capacidade 
de se detectar novos tipos de ataques, independência de plataforma de 
Sistema Operacional e/ou arquitetura. Como lado negativo, podemos 
citar a possibilidade de se gerar muitos falsos positivos com regras mais 
rígidas de desvios, além de falsos negativos, quando ataques não geram 
grandes mudanças ou alterações no comportamento. 
 
 ������������				
 
Conforme seu próprio nome diz, é um sistema de detecção de intrusão. 
Logo, em termos de analogia, devemos sempre lembrar de um alarme. 
Quando algo acontece, ele acusa a ocorrência, porém, em regra, não 
atua diretamente. Um dos principais IDS’s utilizados é o SNORT, que 
acaba funcionando também como um IPS. 
 
O IDS pode ser categorizado ainda em três tipos: 
 
• NIDS (Network-Based Intrusion Detecction System) – Esses 
sistemas buscam atuar a nível da rede, analisando o tráfego de 
entrada e saída. É o tipo mais utilizado. Como vantagens, 
podemos citar: 
o Se bem planejado, pode-se utilizar NIDS em pontos 
estratégicos da rede, reduzindo custos e aumentando o grau 
de defesa; 
o Atuando em modo passivo, não impactam no desempenho 
da rede; 
o Difíceis de serem detectados por atacantes; 
 
Como desvantagens, podemos citar: 
o Diante de tráfego intenso, pode não ser muito eficiente; 
o Os switches e roteadores mais modernos já possuem 
recursos de NIDS embutidos; 
o Incapacidade de analisar informações criptografadas; 
o Incapacidade de bloquear o ataque, restando apenas a 
detecção; 
 
 
• HIDS (Host-Based Intrusion Detecction System) – Atuar a nível 
de um host específico (servidor ou máquina de usuário) buscando 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 23 de 136analisar características de acesso indevido da máquina, como 
tentativas de mudanças de perfil, variações dos componentes 
físicos, entre outros. Como vantagens, citamos: 
o Por monitorarem eventos localmente, os HIDS são capazes 
de detectar ataques mais específicos quando comparados 
com os NIDS. 
o Capacidade de tratar dados criptografados. Na origem antes 
de ocorrer a criptografia e no destino, após a decriptação. 
o Não são afetados por elementos de rede como switches ou 
roteadores. 
 
Como desvantagens, podemos citar: 
o Difícil configuração pois se deve considerar as 
características de cada estação; 
o Podem ser derrubados por DoS; 
o Degradação de desempenho na estação; 
 
• IDS baseado em pilhas – É um modelo novo de implementação 
com grande dependência dos fabricantes, variando, portanto, de 
características. Entretanto, em regras gerais, tem-se a sua 
integração à pilha TCP/IP, permitindo a análise dos pacotes à 
medida que estes são desencapsulados nas diversas camadas. 
Assim, pode-se detectar ataques antes da informação passar para 
a camada superior, buscando evitar que chega até a aplicação ou 
Sistema Operacional. 
 
Uma observação a acrescentar é a capacidade de um IDS atuar 
tanto como HIDS e NIDS. Esses são chamados de Hybrid IDS ou IDS 
híbrido. 
 
Além disso das classificações acima, podemos classificar o IDS em 
categorias conforme seu posicionamento na rede e modo de ação. Em 
regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o 
tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego, 
conforme verificamos na imagem abaixo: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 24 de 136 
 
 
 
 
 
Ainda assim, podemos classifica-lo em modo passivo ou reativo. O 
primeiro, simplesmente identificará o ataque, gerará logs e alertas 
acusando o acontecido. Caberá então ao administrador de rede atuar 
para bloquear o ataque. 
 
Já em modo reativo, também será capaz de identificar, gerar log e alerta, 
entretanto, será capaz de enviar comandos para o firewall ou outros 
sistemas para alterar suas regras de funcionamento de forma automática 
para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já 
ocorreu. Bloqueou-se ataques futuros com a mesma característica, 
porém, algo danoso já poderá ter ocorrido. Por esse motivo, chamamos 
de modo reativo. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 26 de 136 
 
 
 
 
 
Percebam que na própria imagem, muitos já consideram o IDS/IPS como 
sendo uma única caixa. Ficou claro a diferença do modo ativo do IDS 
(IPS) com o modo reativo do IDS, pessoal? No primeiro, busca-se evitar 
que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, 
já houve um ataque, cabe agora bloquear posteriormente. 
 
Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é 
um sistema híbrido que suportam todos os recursos apresentados acima, 
cabendo ao administrado configurá-lo conforme sua necessidade. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 29 de 136 
 
 
 
 
 
 ������������				
 
Falando agora especificamente das características do SSL, é importante 
destacarmos que ele permite o envio de informações de forma segura 
até um destino específico, agregando ainda recursos de autenticidade, 
integridade e confidencialidade. 
 
O intuito de sua criação, era criar uma cada de segurança para que as 
aplicações como HTTP, POP3 e SMTP pudessem ter tais recursos. 
Assim, criou-se o SSL de tal modo que fosse independentemente do tipo 
de protocolo utilizado na camada da aplicação e que pudesse rodar 
sobre as camadas mais inferiores. Por esse motivo, temos que o SSL se 
posiciona em uma camada intermediária entre as camadas de aplicações 
e transporte da arquitetura TCP/IP conforme imagem abaixo: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 30 de 136 
 
 
 
 
 
O desenvolvimento original foi realizado pela Netscape, chegando a 
desenvolver três versões do protocolo. 
 
Assim, um exemplo de utilização de protocolo é através das 
comunicações WEB via HTTP de modo seguro, utilizando o SSL. Essas 
comunicações passam a funcionar em uma porta diferente e são 
chamadas de HTTPS. Uma característica do SSL é ser transparente ao 
usuário. 
 
Ao trazermos os principais objetivos a serem alcançados pelo SSL, 
podemos listar: 
 
• Autenticação entre clientes e servidores; 
• Garantia da Integridade dos dados (caso estes sejam alterados, 
pode-se detectar facilmente); 
• Garantia da Confidencialidade: As informações transmitidas não 
podem ser interceptadas e interpretadas devido ao uso da 
criptografia, devendo ser lida apenas pelo destinatário que possui 
a chave de sessão. 
 
Desse modo, diz-se que o SSL não é um protocolo simples e único, mas 
sim um conjunto de protocolos auxiliares que atuam em conjunto em prol 
dos objetivos acima. Esse conjunto de protocolos pode ser dividido em 
duas camadas: 
 
• Camada de segurança e integridade dos dados: SSL Record; 
• Camada de conexão SSL: SSL Handshake protocol, SSL 
ChangeCipher SpecProtocol e SSL Alert Protocol. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 31 de 136 
 
 
 
Assim, para termos um aspecto visual da estrutura do protocolo, 
podemos analisar a imagem a seguir: 
 
 
 
Falando um pouco sobre cada um dos protocolos: 
 
• Handshake Protocol – Responsável pelo estabelecimento da 
comunicação segura e autenticação das partes, com a escolha dos 
algoritmos de criptografia. Falaremos mais detalhadamente a 
seguir. 
 
• Alert Protocol – É o protocolo responsável pelo controle do 
protocolo através da troca de mensagens vinculadas ao 
funcionamento e transmissão de dados na conexão. Faz algo 
semelhante ao protocolo ICMP em relação ao IP. Possui duas 
identificações clássicas: “Warning” e “Fatal”. Ao ser enviado uma 
mensagem do tipo FATAL, a transmissão é interrompida 
imediatamente. Possui uma estrutura de dois bytes em que o 
primeiro é o tipo da falha e o segundo diz respeito ao alerta ou erro 
ocorrido. 
 
 
• Change Cipher Spec – É constituído por um tipo de mensagem 
que caracteriza um marco onde, a partir dessa mensagem, toda 
comunicação será criptografada conforme negociações feitas no 
estabelecimento da comunicação. É uma mensagem de duas vias, 
onde ambas as partes precisam emitir essa mensagem. Assim, 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 32 de 136 
 
 
 
diz-se que a sessão SSL de fato está aberta e será utilizado o 
RECORD PROTOCOL. 
 
• Record Protocol – Protocolo responsável pelo encapsulamento 
dos dados. Esse protocolo recebe os dados abertos da camada 
superior, encapsula, encripta e/ou adiciona o Message 
Authentication Codes (MACs) para garantir a segurança. É nessa 
fase que percebemos a total independência dos protocolos. 
 
Importante mencionar que o algoritmo aqui utilizado é simétrico, 
conforme princípios de criptografia, além da capacidade de se 
comprimir as mensagens. 
 
O estabelecimento de uma conexão SSL sedá em etapas. Toda 
comunicação começa com o HANDSHAKE PROTOCOL. Detalhando um 
pouco mais essa fase, temos que essas etapas permitem a definição de 
algoritmos para geração de chaves de sessão. As etapas são: 
 
1. Negociação dos Algoritmos – Busca-se definir qual algoritmo é 
suportado por ambos e será utilizado. A tendência é escolher 
sempre o algoritmo mais robusto. O cliente faz a requisição da 
comunicação segura e o servidor responde com uma lista de 
algoritmos suportados. 
 
2. Troca de Chaves e Autenticação – Após a ciência e definição 
pelo servidor do algoritmo, ambos trocam chaves para e realizam a 
autenticação entre si. Nesse primeiro momento, utiliza-se 
algoritmos de criptografia assimétrica como RSA, Diffie-Hellman, 
entre outros. 
 
Aplica-se aqui o conceito de certificado digital por parte do servidor 
com todas as informações inerentes a essa tecnologia. 
 
3. Encriptação simétrica e autenticação das mensagens – A partir 
de então as mensagens utilizam funções HASH para autenticação, 
garantindo assim a integridade, segurança e autenticação. 
 
 ������������				
 
Conforme vimos anteriormente, o SSL foi desenvolvido pela Netscape. 
Trazendo o desenvolvimento dessa solução de modo independente de 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 33 de 136 
 
 
 
plataforma, o IETF assumir tal responsabilidade, renomeando, assim, 
para TLS. Este foi baseado na versão 3.0 do protocolo SSL. 
 
Atualmente não se faz tanto essa distinção, sempre nos referenciando ao 
conjunto de ambos: SSL/TLS. Isso se deve por não haver uma distinção 
substancial destes protocolos. 
 
Agora um fato muito importante para prova. Estes dois protocolos não 
são compatíveis, isto é, eles não interoperam entre si. 
 
Abordando então as diferenças entre esses protocolos, podemos citar: 
 
• O TLS tem a capacidade de trabalhar em portas diferentes e usa 
algoritmos de criptografia mais robustos como o HMAC, enquanto 
o SSL suporta apenas o MAC. 
• O TLS, quando utilizado em infraestrutura de chaves públicas, 
pode ser utilizado por uma autoridade intermediária, não 
necessitando recorrer à raiz de um Autoridade de Certificação 
como o SSL. 
 
 ����������������������������				
 
O OpenSSL é a implementação em código aberto dos padrões 
estudados anteriormente. Muita atenção, pois, apesar do nome, o 
OpenSSL também suporta o TLS. 
 
A sua codificação é escrita em linguagem C. Por ser um código aberto, 
visando sempre integrar os mais diversos protocolos e linguagens, pode-
se utilizar o Wrapper que permite a integração com várias outras 
linguagens. Atualmente se encontra na versão 1.0.2. 
 
Possui suporte a uma game de algoritmos de criptografia, conforme 
listagem abaixo: 
 
- Algoritmos simétricos: AES (128,192 e 256), Blowfish, Camellia, SEED, 
CAST128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 
 
- Algoritmos assimétricos: RSA, DSA, Diffie–Hellman key 
exchange, Elliptic curve, GOST R 34.10-2001 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 34 de 136 
 
 
 
- Funções HASH: MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-
2, GOST R 34.11-94 
 
Suporta ainda outros protocolos agregados como o S/MIME, bastante 
utilizado para assinatura e cifragem de mensagens de e-mail. 
4. IPSeC 
 
Dando continuidade à nossa discussão a respeito de implementações de 
segurança com o propósito de tornar a comunicação na rede cada vez 
mais segura, falaremos do IPSec.- IP Security Protocol. 
 
Já tivemos alguma introdução a respeito desse assunto nos capítulos 
anteriores pois ele é uma implementação utilizada por diversos 
protocolos e serviços. 
 
Vale lembrar que o IPSec é implementado de forma nativa no protocolo 
IPv6, enquanto no IPv4 é opcional. O IPSec nada mais é do que uma 
extensão do próprio protocolo IP (vale para as duas versões). É 
importante mencionar também que este independe das versões, ou seja, 
é o mesmo para ambos. 
 
O IPSec visa garantir os princípios de segurança da autenticidade, 
integridade e confidencialidade, a depender da sua forma de utilização. 
Veremos que é uma implementação extremamente versátil e por esse 
motivo é utilizado para muitas finalidades. 
 
A RFC 6071 define o IPSec como um conjunto de protocolos que provê 
essa camada de segurança a nível da cada de rede do modelo OSI. E 
aqui temos uma primeira diferença do SSL/TLS, pois este último, 
conforme vimos, atua em uma cada intermediária entre a camada de 
transporte e aplicação da arquitetura TCP/IP. A figura nos traz essa 
representação: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 35 de 136 
 
 
 
 
 
Ou seja pessoal, o IPSec pode ser utilizado para prover segurança para 
a camada de transporte (incluindo os protocolo TCP e UDP) e, também, 
poderá ser utilizado para prover segurança ao próprio protocolo IP. 
Veremos em mais detalhes a frente. 
 
O IPSec utiliza diversos recursos no que concerne a aspectos de 
criptografia. Utiliza chaves assimétricas e/ou certificados digitais para 
garantir a autenticidade e integridade das partes envolvidas, utiliza 
também chaves simétricas para a confidencialidade dos dados, além de 
funções HASH para integridade dos dados. 
 
Todos esses parâmetros podem ser definidos a partir de políticas com 
vistas a determinar o nível de segurança a ser aplicado pelo IPSec, 
considerando aspectos de desempenho da comunicação. 
 
A implementação do IPSec não requer nenhuma alteração nos 
aplicativos ou sistemas operacionais existentes, basta a configuração 
das diretivas de segurança, para que o computador passe a usar o 
IPSec. 
 
Automaticamente, todos os programas instalados no computador, 
passarão a utilizar o IPSec para troca de informações com outros 
computadores também habilitados ao IPSec. Isso é bem mais fácil de 
implementar e de administrar do que ter que configurar a criptografia e 
segurança em cada aplicativo ou serviço. 
 
 �������
�	�
	������������
�	�
	������������
�	�
	������������
�	�
	�����				
 
O IPSec possui elementos básicos que são utilizados em seu 
funcionamento, quais sejam; 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 36 de 136 
 
 
 
• Cabeçalho de Autenticação – AH (Authentication Header) 
 
O AH é aplicado para finalidade de autenticidade e integridade, mas 
não de confidencialidade! Assim, ele fornece a integridade dos 
pacotes e a garantia de sua origem. 
 
A autenticidade do AH abrange tanto o cabeçalho IP quanto os dados. 
 
Outro ponto a ser mencionado é em relação ao acréscimo de 
elementos na estrutura do pacote original. Para o AH, é suficiente o 
acréscimo de um cabeçalho posicionado no meio do pacote IP. 
 
Uma vantagem de se utilizar o AH de forma obrigatória é a 
capacidade de se exigir parâmetros do AH específicos que 
impossibilitam ataques do tipo DoS ou DDoS, uma vez que esses 
pacotes gerados para o ataque não atenderão aos requisitos 
estabelecidos e serão descartados. 
 
• Cabeçalho de Encapsulamento do payload – ESP 
(Encapsulation Securty Payload) 
 
O ESP é aplicado para suprir as três necessidades: confidencialidade, 
integridade e autenticidade. 
 
Em relação à autenticidade, temos uma diferença em relação ao AH, 
pois no ESP, ela só se aplica aos dados, não contemplando, portanto, 
o cabeçalho IP. 
 
Outro ponto de diferença é que, enquanto o AH apenas acrescenta 
um cabeçalho no pacote original, o ESPse utiliza de três partes: 
cabeçalho ESP, ESP Trailer e ESP Authentication. Os dois últimos 
são acrescentados após o payload do pacote IP. Veremos essa 
organização de forma visual logo mais. 
 
Em regra, os dois elementos (AH e ESP) são usados isoladamente, 
entretanto, há pleno suporte em sua utilização conjunta. 
 
Um ponto comum em ambos é a existência do campo NÚMERO DE 
SEQUÊNCIA, que é um número crescente utilizado para evitar ataques 
repetitivos, ou conhecido como REPLAY PEVENTION. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 38 de 136 
 
 
 
básica de 4 formas de utilização do IPSec considerando apenas os 
elementos e seus modos. Vamos conhecê-los: 
 
• Modo Transporte 
 
Esse é o modo nativo de implementação do IPSec. Nesse caso, tem-se 
uma transmissão direta dos dados protegidos entre os hosts. Toda a 
manipulação dos dados acontece sobre os dados, ou seja, sobre o 
payload do pacote IP, não contemplando, assim, o cabeçalho. 
 
Outra característica é que o modo transporte é incorporado diretamente 
na pilha de protocolos TCP/IP pelos hosts envolvidos, conforme imagem 
a seguir: 
 
 
 
 
• Modo Túnel 
 
O modo túnel é implementado por elementos intermediários na 
comunicação, não sendo, portanto, host a host diretamente. A ideia aqui 
é possibilitar que redes ou hosts utilizem a comunicação segura sem que 
necessitem ter o devido suporte ou configuração. 
 
A figura abaixo nos traz essa representação: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 39 de 136 
 
 
 
 
 
Como o próprio nome sugere, a ideia é que todo o tráfego que passe por 
esse túnel criado usufrua dos recursos do IPSec. Desse modo, os 
elementos intermediários que implementam o IPSec realizam o 
encapsulamento de todo o pacote IP original. Além disso, acrescenta-se 
um novo cabeçalho IP no pacote para trafegar pelo túnel. Esse novo 
pacote deve ser retirado pelo outro elemento intermediário que 
implementa a outra ponta do túnel do IPSec, fazendo-o retornar a sua 
estrutura original. 
 
Avaliando ainda algumas capacidades de segurança embutidas nesse 
processo, temos que o fato de se gerar um novo cabeçalho, gera-se um 
novo número de sequência, possibilitando então aos elementos controlar 
até certo ponto ataques do tipo DoS e DDoS. 
 
A figura abaixo nos apresenta as principais características de cada uma 
das formas de utilização do AH e ESP nos modos Túnel e Transporte. 
Avaliem com cautela a figura para verificar os principais pontos que 
conversamos neste capítulo. Prestem atenção nas parcelas do 
cabeçalho que são criptografadas e autenticadas em cada uma das 
combinações: 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 40 de 136 
 
 
 
 
 
Reparem que o AH sempre contempla os cabeçalhos IP, enquanto o 
ESP não. Reparem também que no modo túnel, em ambos os casos, são 
gerados novos cabeçalhos IP. Percebam ainda a inserção dos trechos 
ESP Trailler e ESP Auth ao final do pacote. 
 
5. VPN - Virtual Private Network 
 
As redes privadas virtuais foram criadas para atender as necessidades 
de acesso a ambientes privados e internos (intranets) passando por 
ambientes inseguros ou públicos (Internet). Tal característica é 
fundamental para acesso a serviços internos à rede por parte de usuários 
externos à rede. 
 
Dessa forma, caso o usuário queira consultar uma base de dados do 
setor de RH armazenado em um servidor de arquivos do setor de RH, 
este usuário poderá utilizar a técnica apresentada. 
Vale ressaltar, que, antes da criação das VPN’s, caso uma empresa 
quisesse fornecer acesso a uma filial por exemplo, era necessário a 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 41 de 136 
 
 
 
contratação de enlaces lógicos dedicados das operadoras, o que gerava 
alto custo de operação e manutenção do serviço. 
 
A rede virtual privada (VPN) cria um túnel seguro com 
implementações de algoritmos de criptografia para que o referido 
tráfego não seja visualizado na rede pública. Para tanto, na criação do 
túnel, o usuário deve se autenticar para validar que é um usuário externo 
com vínculo à instituição. 
 
Desse modo, tem-se os principais requisitos de segurança garantidos 
como a confidencialidade, autenticidade e integridade. 
 
O conceito acima pode ser aplicado de três formas: 
 
• Interligação entre pontos da instituição em regiões 
geográficas distintas - Dessa forma, pode-se ter o setor 
financeiro em um estado e o setor de administração em outro 
estado compartilhando recursos entre si através da Intranet VPN , 
ou ainda, um funcionário da empresa fazendo uso dessa conexão 
dedicada de forma remota. Ou seja, só envolve o acesso remoto 
de funcionários da empresa. 
 
Esse modelo depende de configuração ou responsabilidade por 
parte do usuário, uma vez que o túnel é estabelecido diretamente 
entre os equipamentos de borda ou gateways. Também é 
chamado de VPN SITE-TO-SITE. Vale lembrar que o tráfego 
interno não depende de implementação de VPN, por teoricamente 
estar em um meio isolado e seguro. 
 
• Acesso Remoto VPN – Um funcionário da empresa, através de 
um equipamento fora da rede da empresa, deseja acessar seus 
arquivos corporativos para trabalhar externamente à empresa. 
Nesse sentido, ele cria o túnel e possui acesso aos seus arquivos. 
 
• Permissão de acesso para usuário externo à empresa a 
recursos internos da empresa - Um exemplo seria uma empresa 
de transporte que precisa acessar algumas informações pessoas 
dos funcionários da empresa, dessa forma, pode-se liberar um 
acesso via VPN para a empresa de transporte ter acesso apenas a 
essas informações. Chama-se tal recurso de Extranet VPN , dado 
que só permite acesso aos usuários externos à empresa. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 42 de 136 
 
 
 
A imagem abaixo ilustra os três cenários: 
 
 
Para que uma conexão VPN funcione quando existe um equipamento 
fazendo NAT (Hide ou muitos-para-um) entre os pontos que estão 
estabelecendo a VPN é necessário que haja um mecanismo para 
garantir que os pacotes serão traduzidos adequadamente, desde a 
origem até o destino final. Este mecanismo é chamado de NAT 
Transversal. Tal nomenclatura também pode ser referenciada como UDP 
Encapsulation. 
 
 ������
�	��	��! �����������
�	��	��! �����������
�	��	��! �����������
�	��	��! �����				
 
A criptografia exerce papel fundamental no processo de criação da 
VPN, assim como o princípio do tunelamento. O primeiro visa garantir 
a autenticidade, o sigilo e a integridade dos dados. Já o tunelamento, 
permite a criação de túneis que sejam seguros (podendo ser utilizados 
em ambientes inseguros) e independente de protocolos (é capaz de 
trafegar qualquer tipo de protocolo, até mesmo diferentes ao IP), sendo 
considerado, portanto independente de rede e aplicação. 
 
Diversas são as técnicas, recursos e aplicações utilizadas para a criação 
de um túnel seguro em um ambiente inseguro. Podem atuar inclusive em 
diferentes camadas do modelo OSI, como é o caso do PPTP (camada 2) 
e o IPSec (camada 3). 
 
Para o acesso de um cliente remoto, geralmente se utiliza de um 
software no lado do cliente que permite a criação do túnel para posterior 
tráfegodos dados. Esse software é baseado no protocolo IPSec (Padrão 
de fato para criação de VPN’s). Pode-se utilizar apenas chaves para 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 43 de 136 
 
 
 
autenticação e criptografia, bem como certificados digitais autenticação e 
troca de chaves. 
 
A seguir, veremos os principais protocolos de tunelamento. 
 
• PPTP - Baseado no protocolo PPP. Opera na camada de enlace. É 
um protocolo puramente desenvolvido para VPN. Possui recursos 
de autenticação de usuário dependendo, portanto, da 
inicialização por parte deste . É suportado pelas mais diversas 
plataformas. É considerado leve, rápido e de fácil implementação. 
 
Porém, por se basear em chaves de 128 bits, não é considerado 
seguro. 
 
Critérios mais robustos de autenticidade, bem como qualquer 
implementação de integridade e confidencialidade dependem do 
IPSec, ou seja, protocolos de camada superiores. 
 
• L2TP - É um protocolo puramente desenvolvido na camada de 
enlace para criação de túneis VPN baseado no protocolo L2F 
(Layer 2 Forwarding) e PPTP, porém sem técnicas de segurança 
para garantir a confidencialidade. Por esse motivo, utiliza o 
IPSEC na camada superior . 
 
Utiliza a porta UDP 500, o que pode gerar problemas de liberação 
de portas em firewalls. É considerado rápido, leve e 
multiplataforma bem como o PPTP. Possui a capacidade de 
realizar a autenticação entre os dispositivos através da utilização 
de PAP ou CHAP. Por esse motivo, é muito utilizado para o 
encapsulamento de pacotes PPP. 
 
Diferentemente do PPTP, pode ser transparente ao usuári o, 
sendo o túnel criado diretamente nos equipamentos de borda 
ou gateways . 
 
• OpenVPN - É um cliente que utiliza protocolo de código aberto que 
utiliza a biblioteca OpenSSL e os protocolos SSLv3/TLSv1 (Cria-
se uma camada segura entre a camada de aplicação e 
transporte . Possui grande versatilidade de configuração e 
implementação. Por padrão, roda sobre UDP, porém pode rodar 
em qualquer porta do TCP, como a 443. Possui suporte a diversos 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 44 de 136 
 
 
 
algoritmos criptográficos devido o OpenSSL. Geralmente é mais 
rápido que o IPSEC. 
 
Percebam que essa é uma implementação aberta de VPN com 
SSL. Porém, existem outras implementações utilizando o mesmo 
modelo. 
 
• SSTP - Protocolo proprietário da MICROSOFT. Utiliza SSLv3, 
dessa forma pode atuar na porta TCP 443, a mesma do HTTPS, 
evitando problemas de abertura de portas em firewalls. Possui 
integração completa com WINDOWS, sendo de fácil instalação e 
utilização. 
 
• IPSec – Implementação a nível da camada de rede que utiliza os 
conceitos de operação em modo transporte ou tunelamento com a 
capacidade de acrescentar cabeçalhos AH e ESP. Para efeitos de 
filtragem em firewall, deve-se liberar a porta UDP/500 para troca 
de chaves. Além disso, deve-se liberar a identificação do protocolo 
IP 50 e 51. O primeiro é utilizado para o encaminhamento do ESP 
e o segundo para tráfego AH. 
 
• MPLS - É possível criar túneis VPN em uma rede MPLS com o 
mapeamento de determinado cliente ou rede para um rótulo 
específico. Dessa forma, somente o tráfego de determinada fonte 
com determinado destino possuirá a referida identificação, criando-
se assim um túnel na rede. Tal característica permite apenas o 
isolamento de tráfego, não havendo implementação de 
técnicas de criptografia. 
 
Importante mencionar que este modelo é diferenciado uma vez 
que não há orientação à conexão, mas tão somente a marcação 
dos pacotes, tal qual ocorre com o IPSec. 
 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 46 de 136 
 
 
 
 
LISTA DE EXERCÍCIOS COMENTADOS 
 
1. CESPE – CGE-PI/Auditor Governamental/2015 
�����������	
��
���������������������������������������������������
��������������������������������������������������	�������������������������
�������������������������������������������������������� 
!	
∀�
�
�������	
����
�������� 	�
� ���
������ �� ��������� ��� ���������� ��
���
�� ��
���� � �
�
����!���������∀�����
������
��� ��#∃%���� ������������������� ��&��� ∋�
��(���
������ 
��
��
�
��� ∋�
� ��� ∋���∋���)���∋��� ��� ����� ������� ��� ��∋������
���∋�	�
��������
�
∋�������������∗��������+���
���,��

���	
������
 
2. CESPE – ANTT/Analista Administrativo – Infraestrutura de 
TI/2013 
#�����������∃������%��&��������������������������������������∋��������
������������������%���������(�����������(���������������������������∃���
��)����������������������������	
��������������������∗����∀�
�
�������	
����
−����� 
���� �
�� �������� ��� ������ ��� ���� ��(���
.��� ��� �� /���!����
���	��0������∋���∋�
�
���
��∋�
�����������∋�.����
���01���������� ������
���������(�
������
����.���������������������������
�
��������∋�
�����2�
��3����
������4����

���	
������
�
�
 
3. CESPE – FUB/Técnico de TI/2014 
�����������������������(�������������������∋����������+�������������
����������������,∗����������������������������������(�����������������
�����(�������������,∗���������)���∀�
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 47 de 136 
 
 
 
�
�������	
����
Lembrando sempre que o Firewall não possui a função de substituir 
softwares antivírus. Além do mais, o firewall não protege contra ataques 
internos. Nesse sentido, o antivírus é imprescindível. 

���	
������
 
4. CESPE – ICMBIO/Nível Médio/2014 
#����������������������+��(�����������������∗����������������������������
�������∀�
�
�������	
����
Forma bem simplista de se definir a capacidade de um firewall. 

���	
������
�
5. CESPE – TCU/Técnico Federal de Controle Externo/2015 
�����������������−���������(����������������������������∃����
�������.����∃������������∃�������,∗���∀�
�
�������	
����
E aqui temos uma questão que gerou polêmica. Vimos que o Firewall de 
fato não é um antivírus. Entretanto, a palavra “capaz” aqui deu margem 
para muitos entendimentos. 
 
Além disso, não delimitou fronteiras, se é interno ou externo, enfim, 
questão totalmente aberta. 
 
Trazendo uma possibilidade para validar a questão, temos a 
possibilidade de se utilizar um firewall do tipo Deep Inspection que seja 
capaz de averiguar o conteúdo das aplicações e detectar conteúdos 
maliciosos como vírus. 
 
Entretanto, em minha opinião, essa questão deveria ser anulada. Mas 
como não foi, vamos ficar com mais um entendimento da banca CESPE. 
 

���	
�������
���	
�������	������	������������
 
 
6. CESPE – Polícia Federal/Agende de Polícia Federal/2014 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 48 de 136 
 
 
 
��%�������������������)����∃�����������������������������−��������
�����������������������������������������∋�������(����������������
����������∃������������∀�
 
�������	
����
��
���
����
����∋�
����/���!���� ��
�������
�
������	���������������
(����
�
���� 
�� ���
������ �
���� ������ �����
����� ��� ���
��� �
� �������
�
���
������������������1��(��
�
�∋0�(��������������������!�����
 

���	
������
 
7. CESPE – UNIPAMPA/Analista de Tecnologia da 
Informação/2013 
�����,������������������������������−������������������������������������
�������,����������������������������������������������������������������∀�
 
�������	
����
��
��∋���������.�� ��∋��������
������������∋)��∋��������5���∋����
�
���
�
������� ������ ��∋������� �� 
� ��� ∋�
������� �� �∋����� �� ����� ����� �� ���
������(�
�������������
 

���	
������
 
8. CESPE – ANTT/Analista Administrativo/2013 
 ��������� ∃���� ��� ��� ���,����� ���� ���,���� ������������&�%�������� �� ���
������������������������������������������&��,����������∃����������������
��+��(�� ������(���/0� ��� ���������� � 
�� ���� ∃��� ������� �� ��������
������(�� 1� ��� &���� �� ∃��� ���� ���������� �����(��/0∀� 0����� ������∋��� ��
����∗,��� ∃��� ��(���� ����������������)��� ������������ ��� �������� ���
�%���������������∋�∀�
 
�������	
����
�������� 
����� 	�
� ���	������ ����� ������� ���� �������� �∗�(��
����
	���
��� ���� ����� �� ����	���∋�
�
��� ��� �
�� ∋�
�∗���� �����1� ����
��������25!�650�
��0�7���
�
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 49 de 136 
 
 
 
#��∋�������������������∋�	�
�������01���∋������8#����
���������������
��&�������
�������
����������������.������1������
��������9���������������
����
������(��������)�����������8#����1�0�	���������#�������
�����0�������
�����
�� ����� �����
���� ∋�
� �
� ��∋���� ��� ����� �8#:��;�� #����� ∋�����
����5�����������
�
���∋�
��(�����������!���������	����������∋������8#����
�
��������∋����
��������∋����������∋�������
������
���
���������������
�	����������∋�
�∗������������0�����
 

���	
������
 
9. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia 
da Informação 
 
 
 
�������������������������������������∃���������+��������������������������
��������∃������������������∗�����������������∀�
 
�������	
����
��
����������
��������������∀�.���������
����
�����!������(
�
��
���2�
��(
�
���� ��� ����� <�
���
���� =−>� �� �
���
��?�� �� �������� ��� =−>� �� ���
�
���
��� � &����
�
�������� ��� ����	���∋��� ��
�������� ∋�
���
.��� �����.���
�����������=−>����1��∋��������∗���
�
�
�����
���
������
���
���
����
 

���	
������
 
10. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013 
��������∃������,∗����������������������������������	���������(�������
��+��(��������������������23345�����∋��������∗,���∃�������������������
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 50 de 136 
 
 
 
����%���������������������������������������������)������−����
(�������(����������+��(�∀�
 
�������	
����
−�����∋�������∋�
����
��������.�������∋�	�
������
�
�
0�
�
�
�
���
�� �������� ����
�� ���� �� ����!���� �����1� ∋�
�� �
� �
���)����� 
��� ����
��
�
��� ���� ����� ���1� ∋���∀� ��� (����� ��(� ��� ��1��(��� ����� ������ 	�����
�
����������������������∗��
���������
�����������
����∀�����������������
��1��(�� �∋�
0�∋�����
 

���	
������
 
11. CESPE – SERPRO/Analista – Redes/2013 
��1�������������������,���∋��6∀4��������������������������,���������
��������������������������������� 
!	
������������������������	0#7∀�
 
�������	
����
Conforme vimos, o SELinux não deve ser confundido com o filtro de 
pacotes IPTables do Linux.�
�

���	
������
 
12. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
8���������∃��������−�����������������������������������∋��,�����������������
9����������������������������∋��(��������������������������������∃���
�������������∃�����)�������������������−��∀�
 
�������	
����
Os firewalls do tipo filtro de pacotes atuam basicamente na inspeção das 
informações de camada 3 e algumas informações de camada 4. 
Entretanto, tais informações não são suficientes para se monitorar o 
estado das conexões. Esta capacidade surge a partir do firewall do tipo 
statefull com a capacidade de inspecionar todo o cabeçalho dos 
segmento (camada 4).�
Desse modo, como a inspeção é limitada, possíveis ataques que 
extrapolem a capacidade de inspeção não serão identificados e assim, 
não serão totalmente eficazes.�
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 51 de 136 
 
 
 

���	
������
 
 
13. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
����������:�������;���&�����������<������������������=�����������������>�
��������(�����∃���������(�������∋�����������������(������������������������
�∋��(������?�
�������,������∃���������(�������∋��������,������������(�����
��������������������∋��(������?���≅���%��������∃���������(�����������(��
���∋�������������������,����∀�
 
�������	
����
Conforme vimos na teoria, certo pessoal? 
�

���	
������
 
14. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) 
 �������������������������������������������������∃�������������%�������
������(���%����������������������������������������������%����&������
�����������������������������∃���������������,������������������∀�
�
�������	
����
∃
�� (�
�����∀�.��� �
������� �� ��������� ��� ����!����� 4� ������� ��� ��∋�����

����
���� ���������
�������������!�������
�����
������
�����������
�

���	
������
�
15. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) 
������������������������������(����������������������������(���������������
��������∃����&�(���Α�������� 
�ΒΧ�:∆��
<�������%����������������−��∋�����
�����������∗,�������������∋�∀�
 
�������	
����
4� ������������∋������ ∋�
���
��������
�� ���
��
�������� ���
���� ��
�������

������������∋���∋���������������∋����
���
�.≅������∋�
�����������∋�.���
�

���	
������
 
16. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 52 de 136 
 
 
 
0�� ����� 
�������,��� �� �������� �����+� &�%��������� ���� ������� (����
������������(���������������������∀�
 
�������	
����
��
���
�� ��
���� �� 
���� ���
�������� ��� ������ ∋�
��
���� ��� �.≅���
�����
����
�������������
�

���	
������
 
17. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
��������������������������������(��∃����∋����������∋����������������(��
�������������������������������(����������������−���������������∀�
 
�������	
����
4�
����������� ������
�������
��������	��.���=����#���
���
�����
����
�
���∋�
(� � ������� 
��� ������	��.≅��� Α�=� Β���� ����� ������ �
� ���	��
��
����� �� �
�
∋������ �
�����
���� �� ��(�
��� ���∋���� �
������� ��� ���������
���
�������
���
����∀�������
�����
���∋�
(�
���������������
����
�
����

���	
������
 
18. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
�����������������������������������������+∃������������,�������%�
����&���������,�����≅0����������,�����8�
��������������������������∀���
��������������������������+∃�������������������������	
��
�����∃��������
����∋�����(������∀���	
�������,��������∃����∋������������,�������
ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0��
��8�
�����,��������������∀�
�
 ���%����������������∋��&�����������)��(����������������(���∀�
�
��������������%����Φ	�8�ΓΗ�Γ≅�Φ��ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ�Φ������ΙΙ������52�Φ)�
≅�0/����+�∃�������+��(����)��������������(�����≅0����)����(����
 
�������	
����
Analisando os parâmetros, temos: 
 
-I : Insere nova regra dentro das existentes no firewall. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 53 de 136 
 
 
 
FORWARD : Utiliza a chain Forward (regra para encaminhamento) 
-s : Define um host como origem de tráfego 
-p : Define um protocolo da camada de rede ou transporte 
--sport : Define a porta de origem. 
-j: Procedimento a ser executado no caso de ocorrência da regra. 
 
=�����
�������
�����������(����
���������	��∋��
�(���<=�#8?�����1��(��
���� ������ ����� ����!���� </4ΑΧ�Α=?� �� ������� ��� �
� 0���� ��� ���(�
�
<∆Ε�∆Ε�∆Ε�∆Ε?�� ∋�
������� ��� ���(�
� <Φ2?� �� �����∋���� <∃=�?��#����� ∋�����
��
��������������.�����������∀���������∋����∃=��
��������Φ2� ���=#���
�

���	
������
 
19. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
��� ���� ����� ������ ���� ����������� ��� ���� �+∃������ ��� ���,����� ��%�
����&���������,�����≅0����������,�����8�
��������������������������∀���
��������������������������+∃�������������������������	
��
�����∃��������
����∋��� ��(�� ����∀� �� 	
� ��� ���,����� ��� ∃����∋�� ���� ��� ���,����� ��
ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0��
��8�
�����,��������������∀��
�
 ��� %���� ������ ������∋�� &����������� )��(��� ��� ������ �� ��(���∀�
�
�� ������������%���� Φ	� 8�ΓΗ�Γ≅� Φ�� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ� Φ�� ���� ΙΙ������ 66� Φ)�
� �
�����+�∃�������+��(����)���������������������8�
���)��������∀�
 
�������	
����
Analisando os parâmetros, temos: 
 
-I : Insere nova regra dentro das existentes no firewall. 
FORWARD : Utiliza a chain Forward (regra para encaminhamento) 
-d : Define um host como destino do tráfego 
-p : Define um protocolo da camada de rede ou transporte 
--dport : Define a porta de destino. 
-j : Procedimento a ser executado no caso de ocorrência da regra. 
 
=�����
����� ��
��� ���� �� ��(��� �
� �������� 	��∋�� ���
����� <������?� ��
��1��(�� ���� ������ ����� ����!���� </4ΑΧ�Α=?� �� ����� �
� 0���� ��� �����
��
<∆Ε�∆Ε�∆Ε�∆Ε?�� ∋�
������� ��� �����
�� <ΓΓ?� �� �����∋���� <���?�� #����� ∋�����
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 54 de 136 
 
 
 
��
��������������.�����������∀���������∋��������
��������ΓΓ� �����Β���
���
��/����
�

���	
������
 
20. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
��� ���� ����� ������ ���� ����������� ��� ���� �+∃������ ��� ���,����� ��%�
����&���������,�����≅0����������,�����8�
��������������������������∀���
��������������������������+∃�������������������������	
��
�����∃��������
����∋��� ��(�� ����∀� �� 	
� ��� ���,����� ��� ∃����∋�� ���� ��� ���,����� ��
ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0��
��8�
�����,��������������∀��
�
 ��� %���� ������ ������∋�� &����������� )��(��� ��� ������ �� ��(���∀�
�
�� ������������%���� Φ	� 8�ΓΗ�Γ≅� Φ�� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ� Φ�� ���� ΙΙ������ ΒΧ� Φ)�
� �
�����+�∃�������+��(����)��������������(�����∆��
���)�����������∀�
 
�������	
����
Mesmos parâmetros da questão anterior. 
 
=�����
����� ��
��� ���� �� ��(��� �
� �������� 	��∋�� ���
����� <������?� ��
��1��(�� ���� ������ ����� ����!���� </4ΑΧ�Α=?� ����� �
� 0���� ��� �����
��
<∆Ε�∆Ε�∆Ε�∆Ε?�� ∋�
������� ��� �����
�� <ΗΕ?� �� �����∋���� <���?�� #����� ∋�����
��
��������� ��1��(��∋�&����������������
�� ������ ��&�����
��������
���
������������(�
��
�

���	
������
 
21. CESPE – STF/Analista Judiciário – Suporte em TI/2015 
��������������%������������
���Γ�#�	0ϑ�Ι�����Χ�Ι)�Κ��Λ#�Γ�≅����,��
���������−�����������∃�����������������������	
����+��������
����������������Ι��Ι�����∀�
 
�������	
����
Analisando os parâmetros, temos: 
 
-t: Define o tipo de tabela que será utilizada. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 55 de 136 
 
 
 
-A : Insere a regra no final da tabela. 
POSTROUTING : Tipo de Nat 
-o : interface de saída 
-j : Operação a ser executada na ocorrência da regra. 
 
=����� 
����� ��
��� ���� �� ��(��� �
� �������� 	��∋�� ���
����� �����∀��� ��
��∋���
�
���<−���∃�Α�=�?���������������
����.�����∋0�(�����������
�
����.���Ι	��∋�������)�������
�����∋�����Ε�<#���=�#ϑ−��4�
���
�����∋��
���
�5��5���
�?���
�
�������������������
���������������
���
�	�	���
��� 5� ∋�
�����������
��������∋��������∋���
�����
�����∋��������
∋0�(���
�
������� 5�∋�
�����������
��������∋�����(���������∋��
�
������∋���
�����
�����∋������
�����������
����������
����	���
��� 5� ∋�
�������� ���
��� ��� ��∋����� ���∋���
� ���� 
�����∋�����
��9�������
�
�����������
�
���
�

���	
������
 
22. CESPE – STF/Analista Judiciário – Suporte em TI/2015 
�� ������������%���� �� ���� �� 
���Γ�#�	0ϑ� Ι�� ��&Χ� Ι)� �0��� ΙΙ���
6ΧΧ∀ΕΧ∀ΕΧ∀Ε����+����������������������������−���������∋�������������������
���(���∃���������������&Χ��������	
�6ΧΧ∀ΕΧ∀ΕΧ∀Ε∀�
 
�������	
����
Analisando os parâmetros, temos: 
 
-t: Define o tipo de tabela que será utilizada. 
-A : Insere a regra no final da tabela. 
POSTROUTING : Tipo de NAT 
-o : interface de saída 
-j : Operação a ser executada na ocorrência da regra. 
SNAT : Define um IP fixo de saída (Nat estático) 
 
=�����
�������
�����������(����
���������	��∋�������∀�����#������1��∋��

���
�����∋����0Ε��=�����
������
����
��
���������������(�
�����∋0�(���
�������!�����������������
�����∋����0Ε������������
�������1�����������������
���ΓΕΕ�∆Ε�∆Ε�∆���
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 56 de 136 
 
 
 
�

���	
������
�
23. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
0��	
��
�������%������∋��������������������������������−���������&�������
�����(���∀������%�����������∗,�������	
��
�����∋�������������������(����∃���
���������������������������������∋��Ι����%���∀�
�
�������	
����
De fato o IPTABLES trabalha com três tipos de tabelas: filter, nat e 
mangle. A tabela filter tem como fim armazenar as regras de filtragem do 
firewall e é a referência padrão do IPTABLES, não necessitando ser 
explicitada através do parâmetro "-t" no comando.�
A tabela NAT armazena informações de mapeamento e tradução de 
endereços IP. E a tabela MANGLE armazena informações a respeito da 
manipulação dos pacotes, isto é, caso se deseje alterar alguma flag ou 
parâmetro destes. 
 

���	
������
 
24. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
��������∋������Μ��(���������������(�������,����+���%��∃����������+��(��
�����∗������	 Κ
�����������&�Ι��∃����∀�
�
����%�������#�
#��Ι�������ΙΙ����Ι�;�����&�Ι��∃�����Ι)�≅Γ�
�
 
�������	
����
4����	��
����������1�
���Β��#�4∃��∃���4�����!��������	�������	��0��∋�
�
������#������(����
� INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que 
termina no firewall. Por exemplo, um acesso remoto no firewall para sua 
configuração. 
11576980693
���������	
�	
��
���	��� – �����
��
������	����� 
�����
��
�����	
�
���������� 
���
�
André Castro 
�
���	
� 
 
 
 
 
Prof. André Castro www.estrategiaconcursos.com.br 
Pág. 57 de 136 
 
 
 
� OUTPUT – Corresponde ao tráfego que possui como origem o próprio 
firewall. Por exemplo, um acesso externo para atualização do repositório de 
pacotes do firewall. 
� FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem 
a origem e nem o destino. Desse modo, sempre que um cliente interno faz a 
requisição de serviços na Internet ou um cliente externo solicita serviços 
internos, a cadeia que será analisada é a FORWARD. 
=�����
����� �� ∋�
�
��� �� ��(���� ���1� 	������
��� ���
��� �� ��1��(�� ���
��)��� (������ ����� ��9����� ����!���� �� 
��� �������� �����
��
���� ��� �����
�
���
��������
�
��������
����������!������������
����������������������
���Β��#�/4ΑΧ�Α=��
�
��
���������
�����������
�
∋���������&���
∋�
����������
����	��∋������
�����	��������������)����
����∀�����
����������∋���∋���� ����������)������
��(�����(�	����������������������������
 

���	
�������
���	
�������	������	�����
 
25. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
�� �������� ��������� ��