SEGURANCA_DA_INFORMACAO

Prévia do material em texto

Segurança da Informação
• Introdução em Segurança;
• Tecnologias de Segurança;
• Ser Humano;
• Processo – Normas;
• Segurança Física.
• Conhecer como �oi �eito e a evolução dos ataques aos sistemas de in�ormação, o elo mais 
�raco da segurança e onde são encontradas e geradas as principais vulnerabilidades;
• Estudar a base para manter a rede de computadores e o sistema de in�ormação mais 
seguros e algumas técnicas e recursos empregados para aumentar os bloqueios de 
aceso indevido à rede de computadores;
• Entender os riscos que uma in�raestrutura de tecnologia da in�ormação o�erece e 
como podem ser tratados para evitar vulnerabilidades e, consequentemente, acesso 
a in�ormações sigilosas.
OBJETIVOS DE APRENDIZADO
Fundamentos da Segurança
UNIDADE Fundamentos da Segurança
Introdução em Segurança 
Nos primórdios da humanidade a necessidade de se comunicar sempre esteve 
presente e a informação era, de algum modo, estabelecida sob diversas formas. O ser 
humano buscava registrar os seus costumes, a sua contabilidade e os hábitos recor-
rendo a diversas técnicas que pudessem ser utilizadas pelo indivíduo e coletividade.
A informação é considerada o bem mais valioso que uma empresa possui, de 
modo que a manter em segurança para que outros não tenham acesso tornou-se 
um desafio tão grande quanto à sua própria importância. Com o avanço da tecno-
logia observamos um novo cenário em que os bens mais valiosos de uma empresa 
foram convertidos em bits e bytes armazenados.
Antes mesmo da digitalização das informações, as empresas já se preocupavam 
com as quais, mas as técnicas empregadas para mantê-las seguras eram diferentes 
das atualmente utilizadas.
Na época em que a digitalização das informações e a rede de computadores 
não eram ainda usadas pelas organizações, as preocupações ficavam a cargo das 
práticas de espionagem industrial. Assim, todo o cuidado era necessário para que 
tais informações não “caíssem em mãos erradas”, pois os espiões poderiam se 
beneficiar e até prejudicar a empresa na competitividade que acontecia em cada 
área de negócio.
Muitos são os casos de organizações que se beneficiaram das informações antie-
ticamente obtidas, sendo o episódio mais popular na área de tecnologia aquele que 
envolveu a Microsoft e a Apple, cuja negligência de Steve Jobs acabou por ceder in-
formações para Bill Gates acerca da interface gráfica dos sistemas operacionais que 
ambas as empresas desenvolviam. Por ter acesso a essas informações, a Microsoft 
saiu na frente e atualmente domina as vendas de sistemas operacionais.
Há muitos outros exemplos no mundo, pois onde há competição figuram inte-
resses em saber o que os concorrentes fazem; desta forma, a empresa poderá se 
manter no mercado ou até mesmo ganhar grande parte desse – tal como ocorreu 
com a Microsoft.
Os computadores, ao longo do tempo, foram ficando mais acessíveis, as empresas 
foram investindo na área de Tecnologia da Informação (TI), as informações foram di-
gitalizadas e as redes de computadores foram se tornando cada vez mais importantes. 
Com tais facilidades, as informações foram se multiplicando e um novo formato foi 
dado ao armazenamento e à recuperação das quais, portanto, o que anteriormente 
era registrado em papel, agora é, em sua grande maioria, digitalizado e mantido em 
arquivos no computador, ou armazenado em mídia eletrônica. Consequentemente, 
devido à forma como as informações são agora armazenadas, são proporcionadas 
grandes facilidades para que pessoas impróprias possam obtê-las.
8
9
Os fatos citados até aqui e outros motivos fazem da segurança da informação 
um desafio para todos que usam TI, pois esse fenômeno afeta diretamente os 
negócios empresariais.
A princípio, quando as redes de computadores ainda não eram tão usadas, sur-
giram os primeiros vírus digitais, cuja finalidade era principalmente danificação e, 
consequentemente, destruição das informações armazenadas. A disseminação de 
vírus entre os computadores nessa época era mais lenta, pois eram transmitidos 
pelos disquetes infectados e inseridos nas máquinas.
Os focos desses primeiros vírus eram os arquivos com extensões .exe, .bat e .com, 
usados nos sistemas operacionais DOS e Windows. Command.com foi o arquivo 
preferido de contaminação pelos crackers, afinal, uma vez infectado, qualquer outro 
arquivo aberto era automaticamente comprometido, de modo que se fossem levados 
e abertos em outros computadores considerados “limpos”, a proliferação da contami-
nação era certa.
Com o avanço da tecnologia, os computadores foram se conectando uns aos 
outros pelas redes, de modo que os vírus se aproveitaram das conexões físicas 
entre as máquinas para efeito de disseminação; desta forma, um computador in-
fectado poderia contaminar outras máquinas a esse conectadas – bastava ter um 
computador com arquivo infectado na rede e este ser aberto em outro computa-
dor para que a epidemia acontecesse.
A internet possibilitou a contaminação por meio de vírus em escala mundial, 
tornando-se mais fácil disseminar vírus entre as máquinas, pois a rede ficou global, 
portanto, não mais restrita às Local Area Network (LAN) das empresas.
O vírus Melissa foi um dos primeiros que se tem notícias de disseminação em 
nível global, manifestando-se por e-mail, comumente enviado como anexo, em 
um arquivo .doc que, ao ser aberto, além de contaminar as máquinas, enviava 
para cerca de cinquenta outros e-mails da lista de contatos o mesmo arquivo. Essa 
característica fez com que tal vírus rapidamente se disseminasse pelo mundo, cau-
sando sérios problemas aos servidores de e-mail pela quantidade de mensagens 
disparadas em curtíssimo espaço de tempo, ou seja, os servidores não conseguiam 
dar conta de enviar todas as mensagens solicitadas. Assim, o objetivo desse vírus 
foi contaminar o arquivo .dot das versões 97 e 2000 do Windows, pois uma vez 
contaminado, qualquer outro arquivo com o aplicativo Office Word criado seria 
igualmente comprometido, afinal, o arquivo .dot é usado como padrão de forma-
tação dos novos criados.
Os vírus foram tomando outras formas no decorrer do tempo, a tecnologia foi se 
aperfeiçoando e novas funcionalidades, aplicativos e serviços foram implementados 
nos sistemas operacionais; em consequência disto, os ataques foram se desenvol-
vendo no mesmo ritmo, aproveitando as vulnerabilidades encontradas nesses siste-
mas operacionais, nos serviços e aplicativos.
9
UNIDADE Fundamentos da Segurança
Novas denominações foram criadas aos arquivos com intenção de destruir os 
computadores e seus dados, ou até mesmo buscando obter informações sigilosas, 
portanto, além dos vírus temos o termo malware, que é dividido em duas caracte-
rísticas: vermes – worm – e cavalo de Troia.
Malware é a denominação de arquivos criados para obter informações das má-
quinas onde estão armazenados. Há duas formas diferentes de agir, sendo que uma 
diz respeito à ação de contaminar computadores interconectados à rede e restringir 
os recursos de hardware e de sistemas operacionais, deixando as redes com baixo 
desempenho e agindo em servidores de forma a fazer com que neguem os serviços 
solicitados – a este tipo de malware denominamos vermes.
O outro tipo é chamado de cavalo de Troia e o seu objetivo é causar danos às 
máquinas e até aos softwares instalados. Alguns enviam ao monitor mensagens 
em tempos aleatórios, provocando alterações na configuração do computador. 
Embora possam parecer inofensivos às máquinas, alguns podem trazer consequ-
ências desastrosas aos usuários, pois informações sigilosas podem ser obtidas por 
pessoa má intencionada por meio de portas abertas por esses malwares a fim de 
facilitar a execução remota de comandos.
Em decorrência da evolução da tecnologia, aplicativos e serviços com novas 
vulnerabilidades foram surgindo e com isto apareceram os spywares, adwares e 
stealwares, todos estes se beneficiando da internet como meio para dissemina-
ção e realização de ataques.
Spy significa espião, tendo comoprincipal objetivo obter informações de usuários 
ou organizacionais sem prévia autorização. Os computadores podem ser contamina-
dos pelos spywares de diversas formas, seja por meio de cavalo de Troia, verme ou 
vírus, todos adquiridos, principalmente, pela internet.
Já ad é a abreviação de advertisement, traduzido como anúncio, tendo surgido 
com a finalidade de apresentar propagandas embutidas, geralmente em softwares 
freewares ou sharewares, no entanto, foram adaptados para propósitos ilegais, 
tais como obter informações dos usuários por meio de aplicativos da web que pos-
suem vulnerabilidades.
Por sua vez, steal significa roubo, agindo sobre os links patrocinados apresen-
tados em sites da internet. Seu propósito é fazer com que os valores monetários 
que deveriam ser dados ao site que divulga determinado produto ou serviço sejam 
desviados para outra conta. Um exemplo corresponde aos links patrocinados pelo 
Google, de modo que um administrador de website que tenha um site e deseja 
disponibilizar um espaço para propaganda, poderá fazê-lo por meio de um simples 
cadastro no mencionado Google. Assim, pelas informações que os robôs colhem 
do referido site, são automaticamente disponibilizadas propagandas de acordo com 
o ramo de atuação do mesmo. O valor monetário é, então, depositado em uma 
conta bancária informada pelo dono do site após atingir determinado patamar, de 
modo que os stealwares agem justamente nesse trâmite financeiro, ou seja, des-
viando tais valores para outra conta bancária.
10
11
Para que uma rede seja considerada segura, deve oferecer mecanismos que ga-
rantam integridade, confidencialidade, autenticidade, disponibilidade e não repúdio, 
cujos significados de cada termo são os seguintes:
• Integridade: as mensagens trocadas entre emissor e receptor devem estar 
providas de mecanismos que garantam que não serão alteradas durante o seu 
trajeto, ou seja, a mesma mensagem que foi transmitida será entregue ao re-
ceptor sem alteração por pessoas mal-intencionadas. As assinaturas digitais e 
funções hash são mecanismos que fornecem integridade aos dados;
• Confidencialidade: a rede deve manter mecanismos que garantam que a in-
formação será conhecida apenas pela pessoa à qual foi transmitida, de modo 
que nenhum outro indivíduo terá conhecimento dessa informação; ou seja, é 
confidencial, cabendo somente ao destinatário ter conhecimento sobre a qual 
– um método usado para manusear informações confidenciais é a criptografia;
• Autenticidade: trata-se de verificar se a mensagem foi enviada pela pes-
soa que realmente ficou de fazê-lo, ou seja, certificar-se de que não foi 
emitida por outra pessoa. Isto pode ser aplicado por um indivíduo mal-
-intencionado que venha a forjar um endereço de e-mail, obtendo sucesso 
na comunicação entre as partes, passando-se por outra pessoa e obtendo 
as informações desejadas;
• Disponibilidade: a rede deve ser capaz de manter e, de certa forma, tornar 
fácil o acesso às informações, mesmo em situação de perda, garantindo plena, 
rápida e confiável recuperação por meio de backups ou até mesmo usando o 
esquema de contenção. Comumente os ataques Denial of Service (DoS) são 
usados para prejudicar os serviços disponibilizados por servidores, nos quais 
diversas solicitações são simultaneamente formuladas, causando sobrecarga 
no processamento e, consequentemente, sua paralisação;
• Não repúdio: está relacionado a uma das partes negar a participação em de-
terminado evento ou comunicação, sendo que houve, de fato, a participação. 
Para melhor exemplificar, imagine a seguinte situação: você comprou deter-
minado produto pela internet, pagando pelo qual, mas a empresa não lhe 
entrega tal produto, alegando que não houve o pagamento, ou seja, nega uma 
participação que, neste caso, seria o pagamento do produto.
Esses cinco itens quando aplicados juntos são considerados essenciais para uma 
rede mais segura e podem ser obtidos pelos softwares e hardwares disponíveis no 
mercado, de modo que alguns procedimentos podem ser executados para melhorar 
a segurança em redes de computadores, por exemplo: 
• Forte uso de criptografia;
• Educação dos funcionários em relação ao acesso à internet, intranet e aos 
recursos de informática da empresa;
• Usar tecnologias que possibilitem certo grau de segurança, ou seja, que este-
jam de acordo com a importância que a organização dá às suas informações;
• Ter um planejamento estratégico em relação a treinamentos e administração 
da segurança;
• Usar mecanismos que permitam identificar e alertar ataques e ameaças.
11
UNIDADE Fundamentos da Segurança
Há certa distinção entre ataque e ameaça, embora pareçam ter o mesmo sentido, 
dado que na prática se diferem nos seguintes aspectos: em uma ameaça não há invasão, 
mas sim a ação para parar determinado serviço, operação, disponibilidade, integridade 
da rede ou do sistema; já no ataque a rede ou o computador é invadido por vulnerabili-
dades encontradas.
As ameaças acontecem por meio de falhas de segurança, das vulnerabilidades 
quer seja em aplicativos ou hardwares, devendo ser identificadas e corrigidas ao 
máximo para evitar que as informações “caiam em mãos alheias”.
Mesmo implantando todos esses mecanismos não se garantirá segurança total. 
Na verdade, a execução das técnicas descritas dificultará ao máximo uma invasão, 
mas poderá trazer sérios problemas, visto que a motivação para uma invasão está, 
na maioria das vezes, vinculada à dificuldade para se infiltrar em determinada rede, 
computador ou servidor.
Assim, a empresa deve, como primeira ação para garantir maior segurança, 
desenvolver um planejamento em que os riscos sejam levantados e analisados 
para estarem isentos de vulnerabilidades. 
De qualquer forma, não é fácil dimensionar como e quais equipamentos deverão 
ser usados para criar os obstáculos a um ataque ou uma invasão, de modo que cada 
organização deverá decidir em conjunto com um especialista o que deve ser feito.
Seja qual for a decisão em relação ao grau de segurança a se aplicar, pelo menos 
três passos devem ser seguidos: primeiro, deve-se avaliar as ações a serem execu-
tadas para prevenir uma invasão ou roubo de informações; segundo, necessita-se 
obter mecanismos para detectar uma invasão ou roubo de informações; e terceiro, 
deve-se ter planejado o que será realizado caso a rede seja invadida ou os dados 
roubados, ou seja, necessita-se ter uma política de recuperação das informações 
caso esta seja destruída, além de metodologias para identificar onde está a vulnera-
bilidade com o objetivo de corrigi-la.
No geral, sendo a empresa de pequeno, médio ou grande porte, deve-se iden-
tificar os focos relacionados à segurança da informação e aplicar uma análise de 
riscos em todos os ativos includentes à segurança, considerando tecnologias, seres 
humanos, processos e estruturas físicas.
Tecnologias de Segurança
As tecnologias para segurança de redes atualmente disponíveis são capazes de 
evitar a grande maioria de ataques realizados, de modo que algumas organizações 
têm áreas específicas para pesquisar as formas de ataques e ameaças a fim de 
desenvolverem equipamentos e softwares para ajudar a combater estas novas téc-
nicas de invasão.
12
13
Quanto mais segurança uma empresa exigir, mais afetará a usabilidade da rede 
e maior será o custo com equipamentos e softwares; de modo que o ideal é reali-
zar um planejamento para alcançar um equilíbrio entre tecnologias de segurança, 
usabilidade e custo. Talvez seja necessário sacrificar um pouco da usabilidade ou do 
custo para ter um equipamento que evite o roubo das informações, chegando-se 
à conclusão de que isto é necessário em detrimento da segurança da informação, 
então deverá ser aplicado e os usuários precisarão se adequar às novas condições.
Todas as empresas, sejam pequenas, médias ou grandes, deverão adotar um 
planejamento de segurança, pois as informações estão, em sua grande maioria, 
no formato mídia e devem ser tomadas todas as precauçõespara que não caiam 
em mãos erradas. É certo que quanto maior a organização, maior deverá ser o 
investimento em segurança, pois pela sua importância perante os concorrentes, 
trará preocupações que exigirão tal precaução; no entanto, as pequenas e médias 
empresas deverão ter equivalente cuidado, afinal, quase sempre terão concorren-
tes diretos que estarão interessados em suas informações.
Para que seja possível começar a definir as tecnologias de segurança que uma em-
presa precisará, esta deverá identificar alguns itens por meio das seguintes perguntas:
• A rede possui um único ponto de firewall ou apenas usa o firewall do sis-
tema operacional?
• O firewall consiste em um equipamento ou software instalado no servidor, ou 
em uma ou mais máquinas?
• Há algum método de detecção de invasão virtual ou biométrico?
• Qual tipo de antivírus é usado? Cobre os requisitos necessários de um 
bom antivírus?
• É usada rede wireless? Se sim, estão configurados os principais pontos de 
segurança para torná-la protegida?
• A rede conta com detector de anomalias, ou seja, há alguma técnica usada 
para detectar mudança de padrões na rede?
• Há necessidade de gerenciador de identidade, ou seja, de técnicas que garantam 
a manutenção de acesso a recursos e sistemas?
• Em qual local se encontram os equipamentos estratégicos da empresa e, em 
linhas gerais, quem está autorizado a acessá-los?
• A empresa permite que funcionários, parceiros e clientes acessem a rede 
corporativa remotamente? Se sim, como são validados e controlados estes 
acessos remotos?
• Há configurada uma Rede Desmilitarizada (DMZ) na empresa? Se sim, está, 
realmente, separada da rede interna?
• Qual técnica é empregada para separar a rede interna da DMZ?
13
UNIDADE Fundamentos da Segurança
Um ponto importante a ser considerado em um planejamento de segurança 
de rede corresponde aos riscos e sobre os níveis que serão dados aos quais; em 
consequência, pode-se definir as ações a serem tomadas caso ocorram. Esse pro-
cedimento evita que ações sejam tomadas aleatoriamente caso tenha alguma ocor-
rência, de modo que para facilitar na decisão na tomada de ação, uma metodologia 
sobre os procedimentos deve estar definida e documentada. Assim, todos os pon-
tos levantados, principalmente aqueles que envolvem falhas humanas, necessitam 
estar bem estabelecidos entre o administrador ou responsável pela rede e os res-
ponsáveis pela empresa.
Como a tecnologia evolui muito rápido, deve-se estruturar a rede atual para 
comportar os novos recursos, ou seja, necessita-se considerar equipamentos que 
pelas atualizações, de preferência de software, forneçam possibilidades de me-
lhoria da rede. Portanto, mesmo que a organização não tenha intenções de im-
plantar determinado recurso, deve considerar a troca total do equipamento, pois 
se planejada, tal ação pode trazer economia à empresa em um futuro próximo. 
Ademais, por se tratar de tecnologia, muitas vezes não é possível estabelecer um 
planejamento futuro acima de três anos, mas pode-se considerar equipamentos 
modulares e atualizações por software.
De acordo com os itens aqui listados, algumas soluções devem ser tomadas, de 
modo que veremos determinadas ações e até equipamentos que podem ser usados 
para proteger a rede e, consequentemente, as informações:
• Use firewalls que separam de forma eficiente a rede da empresa da rede 
internet. Prefira aqueles que monitoram e controlam o tráfego desejado com 
base em um conjunto de regras sobre o tráfego permitido, as aplicações do 
dia a dia, tais como correio eletrônico, navegadores da web e mensagens 
instantâneas, consideradas neste conjunto de regras. O firewall deve ser a 
primeira linha de defesa em qualquer organização, sendo esta e as demais 
compatíveis com a política de segurança estabelecida na empresa;
• Use técnicas e equipamentos que permitam comunicações protegidas. As Virtual 
Private Network (VPN) empregam técnicas de encriptação das informações antes 
de serem enviadas; por meio de chaves pública e privada, autentica os usuários, 
protegendo as informações. A encriptação das informações deve ser usada por 
usuários, parceiros e fornecedores ao acessarem a rede remotamente;
• Os sistemas de prevenção de intrusões previnem e impedem invasões e ata-
ques, de modo que a sua função é pesquisar a rede à procura de comporta-
mentos fora do padrão de tráfego. Alguns recursos efetuam ações corretivas a 
ataques e na ocorrência dos quais ainda informam os administradores de rede;
• O gerenciamento de acesso dos usuários também deve ser considerado, pois 
evita que pessoas não cadastradas possam acessar a rede; 
• Quando há redes wireless, deve-se dar preferência a sistemas e equipamentos 
que trabalhem de forma integrada, fornecendo escalabilidade, segurança e mo-
bilidade. Os protocolos de segurança devem ser configurados para fornecer al-
goritmos criptográficos confiáveis, tal como o Advanced Encryption Standard 
(AES) usado no protocolo WPA2;
14
15
• Para evitar a contaminação da rede por vírus, spyware, spam, stealware e 
cavalo de Troia, deve-se usar antivírus conceituados no mercado.
Muitos administradores de redes acabam se identificando com determinado 
produto e seguem usando mesmo que no mercado existam melhores opções. 
Portanto, sempre pesquise e estude as características de outros antivírus e, caso 
seja necessário, mude para aquele mais adequado.
As empresas desenvolvedoras de equipamentos de rede projetam opções 
cada vez mais sofisticadas, isto é uma resposta à evolução dos ataques e amea-
ças. Assim, alguns equipamentos já utilizam bancos de dados centralizados para 
capturar formas de ataques, enquanto que outros equipamentos espalhados pelo 
mundo podem acessar esses bancos de dados e automaticamente considerar tal 
ataque ou ameaça para defender a rede. Tratam-se de equipamentos considera-
dos adaptativos, ou seja, não precisam de configuração prévia para responder a 
um ataque específico. Muitas pesquisas e estudos são realizados em universida-
des e organizações a fim de contribuir na evolução de equipamentos e softwares 
inteligentes, chegando a empregar métodos de inteligência artificial para identi-
ficar, controlar, filtrar e eliminar arquivos maliciosos. 
É certo que essas soluções levarão um tempo para atingir pequenas e médias 
empresas devido ao custo inicial, mas com o decorrer do tempo será possível ter 
tais recursos a um custo satisfatório.
Ser Humano
O maior problema entre os recursos necessários para implantar a segurança está 
no ser humano, pois somos passíveis de falhas e instáveis no decorrer do tempo. 
Não importa o grau de educação, religião, credo ou cor, em algum momento poderá 
ocorrer situações geradoras de insatisfação e, por este ou outros motivos, acabando 
por permitir que informações importantes “caiam em mão alheias”. 
Não devemos levar isto como regra geral, mas nunca sabemos o que se passa 
pela cabeça de um ser humano. Já houve casos em que um engenheiro insatisfeito 
com a demissão formatou o Hard Disk (HD) onde estavam gravados desenhos em 
AutoCAD que ainda não tinham sido enviados à documentação, trazendo signifi-
cativos prejuízos para a empresa.
Em determinados locais informações sigilosas são vendidas livremente, as quais, 
certamente, com envolvimento humano, ou seja, em que algum funcionário da or-
ganização teve acesso ao banco de dados e copiou tais informações, repassando-as 
à venda ilícita.
Não se tratam dos únicos fatores que credenciam o ser humano como o elo 
mais fraco dos recursos de segurança de uma rede de computadores, de modo que 
outros aspectos, tais como passar informações sigilosas em uma conversa infor-
mal, acessar sites impróprios e que tenham scripts, abrir arquivos em e-mails com 
conteúdo suspeito, atender a solicitações tentando ser gentil podem ser também 
consideradas atitudes perigosas e praticadas pelo ser humano – mesmo que não 
sejam intencionais.
15
UNIDADE Fundamentos da Segurança
A engenharia social é uma técnicade manipulação de pessoas empregada para 
obter informações sigilosas com o objetivo de cometer fraudes; restringe-se a uma 
boa conversa com o indivíduo-alvo. Geralmente, as pessoas que aplicam esse tipo de 
artifício estudam e colhem o máximo de informações para poder convencer ou até 
obter o que desejam; investigam não apenas a rotina da pessoa-alvo, mas também 
tudo que a cerca; assim, obtêm meios de planejar e colocar em prática o “ataque”.
Nota-se que a engenharia social tem como foco o recurso mais fraco dentro 
daqueles usados em segurança de rede, o ser humano. Por este motivo, cada in-
divíduo deve ser considerado como parte do planejamento de segurança da rede 
de uma empresa, carecendo de frequente treinamento, além da adoção de uma 
clara política de uso dos recursos de informática, certificando-se de sua ciência e 
concordância ao exposto, assim como auditorias devem ser realizadas para tentar 
identificar pontos vulneráveis e, com isto, evitar potenciais problemas.
Processo – Normas
As informações seguem um fluxo dentro da empresa, de modo que há processos 
implementados que auxiliam no funcionamento da organização pelas informações 
que trafegam pela qual. Analisando esses processos há como identificar os elos 
mais fracos, assim como aqueles que oferecem maior vulnerabilidade em relação 
às informações corporativas.
A avaliação dos processos inclui também as pessoas e os níveis de acessibilidade 
às informações que possuem, o que garantirá que pessoas e equipamentos estejam 
configurados conforme o que foi definido pela instituição.
Logo, o modelo de segurança de rede de uma empresa não pode estar volta-
do apenas aos equipamentos que serão usados, mas em um conjunto que inclua 
processos e metodologias que garantam disponibilidade, confiabilidade e integridade 
das informações. Deve-se atentar também aos métodos e às técnicas empregadas à 
transmissão e recepção dos dados, ao armazenamento, processamento e a qualquer 
outra situação passível de acidentes.
Devido ao crescimento da área de TI houve a necessidade de organizar comitês 
para padronização e metodologias, onde o mais importante é o de governança de 
TI, tendo como função o alinhamento de objetivos de negócios da empresa com a 
tecnologia da informação; ou seja, deve-se ter conhecimento das metas dos negócios 
empresariais e fazer com que sejam definidas as melhores estratégias para que a TI 
atenda às suas necessidades e ajude a atingir os seus objetivos. 
Dependendo do tamanho da empresa, novas áreas podem surgir para melhor ges-
tão dos recursos, dos riscos e da avaliação de performance. Dessa forma, a possibilida-
de de atingir os objetivos aumenta, afinal, as políticas determinadas pela alta gerência, 
diretoria e presidente se tornam alcançáveis de maneira íntegra e eficiente.
16
17
Com o aumento da importância e necessidade de implantar controles de se-
gurança relativos à informação, foram originadas várias associações cujo objetivo 
passou a ser mais amplo que apenas disciplinar profissionais, alertando-os sobre 
todos os conceitos associados à governança de TI e segurança da informação. Com 
isto, o conhecimento das melhores práticas geradas por essas associações deve ser 
revertido em processos na empresa, auxiliando-a a receber certificações mundial-
mente reconhecidas.
Entre alguns órgãos criados para tratar itens como segurança da informação, des-
tacam-se o Instituto de Governança da Tecnologia da Informação e a Associação 
de Auditoria e Controle de Sistemas de Informações, esta que criou os Objetivos de 
Controle para Informação e Tecnologias relacionadas (CobiT), o qual fornece uma 
fonte de conhecimento ao desenvolvimento de políticas claras e melhores práticas 
aos controles de TI das organizações. Ademais, divide os conceitos de segurança da 
informação em quatro domínios, onde cada um é triado em vários processos, estes 
que ainda são desmembrados em subprocessos onde é apresentada toda a base de co-
nhecimento para implantação de controles no ambiente da tecnologia da informação.
Para que você tenha ideia sobre como as regras descritas no CobiT podem aju-
dar na definição de estratégias à segurança da informação, veja os exemplos des-
critos a seguir e como os pontos relacionados ao CobiT podem ser referenciados.
Os aparelhos móveis usando sistemas operacionais Windows, Móbile Symbian, 
Android e outros têm crescido significativamente dentro das empresas e passa-
ram a ser ameaças corporativas devido aos vários recursos disponíveis, tais como 
acessar e-mail corporativo. Pelo fato de ser uma tecnologia relativamente nova, 
há ainda vulnerabilidades que são exploradas por crackers, de modo que já foram 
identificados vírus e malwares que afetaram dispositivos portáteis. Ademais, como 
tais aparelhos ficam expostos a diversas ameaças, a rede corporativa também es-
tará em risco no momento em que o gadget do funcionário for sincronizado ao 
servidor exchange.
É certo que a utilização de dispositivos móveis é uma tendência e não pode ser 
completamente evitada ou minimizada, porém, a importância da análise de riscos 
se torna evidente nesse ponto; de modo que uma vez realizada, é possível ter um 
banco de dados de riscos relacionados exclusivamente ao uso de gadgets pessoais 
e/ou corporativos. Com tal banco pode-se gerenciar os riscos e, em conjunto, pro-
mover treinamentos para prover melhores instruções sobre o uso de equipamentos 
portáteis na rede corporativa. A função da organização é bem definida e cabe aos 
funcionários seguir os procedimentos e utilizar os recursos de maneira segura. Para 
este caso os itens que se aplicam ao CobiT são os seguintes:
• Manage IT human resources – PO07: práticas de treinamento dos funcioná-
rios em relação ao uso de dispositivos portáteis dentro do ambiente corporativo;
• Assess and manage IT risk – PO09: analisar e gerenciar riscos relaciona-
dos ao uso de portáteis e utilizá-los como base ao desenvolvimento de treina-
mento que endereça e esclareça os problemas;
• Educate and train users – DS07: aplicação dos treinamentos, de forma 
que os usuários tenham o devido conhecimento provido pelo material desen-
volvido no tópico Manage IT human resources.
17
UNIDADE Fundamentos da Segurança
Como você pode perceber, as normas estabelecidas não descrevem como fazer, 
mas o que fazer; dessa forma, uma empresa poderá criar critérios específicos para 
eliminar os problemas.
Vejamos outro caso:
Uma situação típica e preocupante de roubo de in�ormações �oi descrita no link: 
 https://goo.gl/PwxzB1. 
A matéria relata o roubo de um laptop cujo conteúdo não estava criptogra�ado – embora 
todos os dados eram protegidos por senhas. Aqui constatamos que criptogra�a de dados é 
essencial em qualquer ambiente empresarial, visto que �requentemente lida-se com in�or-
mações sensíveis – como as citadas nesse exemplo –, ou mesmo secretas, tais como novos 
projetos ou planos de lançamento. Assim, a perda de in�ormações dessa natureza refete em 
signi�cativo impacto para qualquer corporação.
Ex
pl
or
Nesse sentido e de acordo com o descrito, os seguintes tópicos podem ser 
referenciados:
• Ensure systems security – DS05: assegura que as informações são protegidas 
de acordo com a sua necessidade, por meio dos devidos controles;
• Manage data – DS11: para a apropriada identificação dos dados e, com 
base nas definições do DS05 – Ensure systems security –, implementação 
dos devidos controles.
Nesse caso é evidente a necessidade de criptografia de dados, que é uma das 
possibilidades de controle, podendo ser estabelecida sobre a operação de armaze-
namento de informações.
Deve-se clarificar que a criptografia, por si, não evita determinados acontecimen-
tos e não bloqueia definitivamente o acesso a informações criptografadas, porém, 
dificulta consideravelmente essa condição.
Igualmente é possível adotar outros tópicos do CobiT que em conjunto provêm 
concreta base de conhecimento para gerenciar e proteger informações corporati-
vas de maneira eficaze segura.
Na verdade, não há modelo único que funcione para todas as empresas, logo, 
podendo variar em relação ao tamanho da organização e como esta considera 
as suas informações; o que se pode fazer é apresentar algumas possibilidades. 
Seguir uma norma é essencial para que a empresa trate a sua individualidade ao 
seu modo, conforme a sua identidade. Por exemplo, não importa como tratará 
a questão de criptografia, mas necessitará apresentar soluções que sejam viáveis 
para que as mensagens sejam criptografadas – mesmo que desenvolva uma técnica 
própria para isto. 
As auditorias realizadas para certificação da organização verificarão, então, as ações 
tomadas e se estão de acordo com as normas implantadas, de modo que se a solução 
resolver os problemas, então essa empresa corresponderá à segurança desejada.
18
19
Segurança Física
No aspecto físico, deve-se avaliar as vulnerabilidades de acesso a equipamentos 
físicos e possíveis falhas que possam disponibilizar os dados para pessoas não auto-
rizadas. Geralmente, para evitar acesso a áreas restritas, a biometria pode ser usada, 
esta que objetiva o estudo das características físicas ou comportamentais; portanto, 
toda característica comportamental ou fisiológica relacionada ao ser humano é con-
siderada uma biometria.
Em segurança da informação, a biometria é empregada para restringir acesso 
físico a determinados locais pela identificação ou autenticação. Portanto, as salas, 
os laboratórios, cofres e determinados locais da empresa que exijam controle de 
acesso físico podem usar a biometria para permitir somente percurso às pessoas 
que têm esse direito.
Ademais, há várias outras formas de garantir acesso a áreas específicas, tais 
como por aquilo que o indivíduo: 
• Possui, por exemplo, crachá, cartão magnético ou matrícula;
• Sabe, por exemplo, senha ou frase secreta;
• É ou faz, por exemplo, características biométricas como impressão digital ou 
dinâmica da assinatura.
Ademais, algumas técnicas de biometria, tais como impressão digital, geometria 
da mão e leitura da íris, são bem antigas, de modo que foram aperfeiçoadas con-
forme a evolução tecnológica.
19
• Introdução aos Ataques e às Ameaças;
• Tipos de Ataques.
• Estabelecer os conceitos de ataque e ameaça e apresentar quais são os ataques mais 
utilizados em redes locais e de acesso remoto;
• Entender como são �eitos os principais ataques e quais são as vulnerabilidades que alguns 
protocolos o�erecem na rede de computadores;
• Compreender porque a engenharia social é o ataque que mais o�erece resultados positi-
vos e quais são os métodos mais utilizados atualmente.
OBJETIVOS DE APRENDIZADO
Principais Tipos de Ataques e Ameaças
UNIDADE Principais Tipos de Ataques e Ameaças
Introdução aos Ataques e às Ameaças
Ao descrever sobre segurança da informação, alguns termos surgirão frequente-
mente e deverão ser bem-conceituados para a devida compreensão do assunto; de 
modo que entre os conceitos utilizados em segurança da informação temos:
• Exploit: código capaz de explorar as vulnerabilidades;
• Vulnerabilidade: algo que está frágil, podendo fornecer uma porta de entrada 
a um ataque;
• Ameaça: ação que se aproveita de uma vulnerabilidade;
• Ataque: incidência da ameaça sobre a vulnerabilidade;
• Risco: possibilidade de a ameaça ocorrer.
Em segurança da informação, os responsáveis devem estar sempre atentos às 
ameaças que a organização pode sofrer, afinal, pode colocar em risco os pilares da 
segurança – confidencialidade, integridade, disponibilidade. As vulnerabilidades de-
vem ser identificadas sob o risco de comprometer toda a segurança da organização.
As ameaças podem ocorrer de forma lógica, em que são usados códigos – exploit –, 
ou física – podendo também comprometer a segurança dos dados pelo acesso ou expo-
sição a áreas ou equipamentos indevidos. Entre as ameaças físicas podemos citar:
• Alagamento;
• Raios;
• Desabamentos;
• Acessos indevidos.
E dentro do que conhecemos como ameaças lógicas temos:
• Infecções por vírus;
• Acessos remotos à rede;
• Violações de senhas.
Os ataques também se dividem em dois grupos, podendo ocorrer de maneira 
interna ou externa:
Dentro da composição dos ataques internos estão os funcionários insatisfeitos ou 
aqueles que querem, por algum motivo, vingança; há ainda aqueles que compõem 
organizações de espionagem. Em um aspecto mais atenuante – porém, não menos 
prejudicial à segurança – estão os funcionários despreparados e que pelas configu-
rações ou instalações malfeitas, podem comprometer a segurança da informação.
Os ataques externos geralmente são realizados por crackers que são motivados 
a encontrar vulnerabilidades em equipamentos e aplicativos para roubar dados con-
fidenciais, ou como desafio aos obstáculos que são colocados.
8
9
Tipos de Ataques 
Há alguns ataques já bem conhecidos, objetivando o roubo de informações, ou 
então a indisponibilidade do serviço; de modo que serão descritas as características 
dos principais casos. 
Denial o� Service (DoS)
Tem como principal característica negar um serviço ao usuário. A indisponi-
bilidade do serviço pode ser realizada de diversas formas, desde a utilização de 
ferramentas que inundem de requisições os servidores, até a geração de radiofrequ-
ências que interfiram em dispositivos WiFi.
Inundar os servidores com solicitações pode fazer com que fiquem sobrecarre-
gados e sejam impedidos de executar as suas tarefas e, consequentemente, acabam 
por parar o(s) serviço(s). Esse tipo de procedimento era muito usado há muitos 
anos, utilizando-se do comando ping direcionado ao servidor a ser atacado.
Um dos ataques mais utilizados usa a vulnerabilidade do protocolo TCP. Ao fazer 
uma requisição de página web a um servidor, há uma comunicação previamente 
estabelecida para depois começar a trocar os dados da própria página. Tal comuni-
cação prévia denomina-se handshake triplo, correspondendo aos sinais dos passos 
1, 2, 3 e 4 da Figura 1:
Cliente (Máquina A)
Servidor (Máquina B)
SYN Flag = 1, Seq # = 3001
2
3
4
5
6
7
8
9
10
11
12
Conexão TCP é �nalizada
Conexão TCP desfeita em B
Conexão TCP desfeita em A
Transferência de dados é iniciada
Conexão TCP é estabelecida
Seq # = 305, Ack # = 805
Seq # = 804, Ack # = 305, ACK Flag = 1, FIN Flag = 1
[Data] Seq # = 803, Ack # = 305, ACK Flag = 1
Seq # = 304, Ack # = 803, ACK Flag = 1
[Data] Seq # = 802, Ack # = 304, ACK Flag = 1
Seq # = 303, Ack # = 802, ACK Flag = 1, FIN Flag = 1
[Data] Seq # = 302, Ack # = 802, ACK Flag = 1
[Data] Seq # = 801, Ack # = 302, ACK Flag = 1
[Data] Seq # = 301, Ack # = 801, ACK Flag = 1
Ack # = 801, ACK Flag = 1
Seq # = 800, Ack = 301, SYN Flag = 1, ACK Flag = 1
Figura 1 – Handshake triplo TCP
A partir do passo 4 (Figura 1), os dados são trocados entre o cliente e servidor. 
O ataque feito denomina-se SYN flooding, onde um computador cliente tenta 
9
UNIDADE Principais Tipos de Ataques e Ameaças
estabelecer a comunicação utilizando-se de várias requisições do sinal SYN do 
passo 1. No passo 2, o servidor envia uma resposta ao cliente e utilizando-se de 
uma ferramenta ou comando adequado, o cliente não responde com o passo 3, ou 
seja, o cliente evita apenas o passo 1 de forma ininterrupta. O servidor manterá 
abertas as conexões que não foram respondidas pelo cliente, sobrecarregando-se 
de tal forma a parar o serviço. 
O DoS pode ser aplicado também em redes WiFi, geralmente de forma não 
intencional ao instalar o roteador WiFi próximo a aparelhos que trabalham na mes-
ma frequência de transmissão – tais como fornos de micro-ondas, telefones sem fio 
e babás eletrônicas –, interferindo na frequência e, consequentemente, bloqueando 
o sinal WiFi. Um gerador de frequência com potência suficiente para anular o sinal 
WiFi pode também ser empregado propositalmente a fim de parar esse serviço. 
Distributed Denial o� Service (DDoS)
Tem a mesma finalidade do DoS, porém, a sua forma de ataque é aplicada de 
modo diferente, pois sãoempregadas várias máquinas para acometer um único 
servidor. Tais ataques podem ser realizados utilizando-se um vírus instalado na 
máquina de uma pessoa que, sem saber da infecção, participará desse processo. 
Dito de outra forma, um programa simples – vírus – pode ativar o ataque sem que 
o usuário perceba, reiterando requisições de um servidor por tempo indeterminado.
Esse vírus, quando instalado em milhares de máquinas, pode ativar o ataque em 
um momento pré-determinado, de modo que milhares de requisições serão realiza-
das ao mesmo tempo, fazendo com que o servidor não consiga responder a todas, 
de modo a parar o serviço em razão da alta demanda de requisições.
Para que esse tipo de ataque tenha sucesso, grande quantidade de máquinas 
deve participar de forma simultânea. Além disso, para dar vazão aos pacotes requi-
sitantes, uma boa largura de banda se faz necessária. Essas características, aliadas 
a ferramentas hackers, facilitam os ataques.
Port Scanning Attack
Este tipo de ataque consiste em utilizar ferramentas para encontrar vulnerabi-
lidades. Utilizado para varrer servidores em busca de portas abertas e possíveis 
informações que possam ser utilizadas para invasão.
Há várias ferramentas disponíveis para fazer esse tipo de ataque. Primeiramente 
utiliza-se o protocolo ICMP pelo comando ping, a fim de verificar se uma máquina 
está ativa na rede, ou traceroute para mapear roteadores até um destino.
Após a confirmação das máquinas ativas, utiliza-se ferramentas para varrer as 
portas que estiverem abertas. Conforme visto na Figura 1, a comunicação TCP é 
estabelecida após a troca de informações entre as máquinas, de modo que a norma 
específica estabelece o seguinte: sempre que houver uma porta aberta, responderá 
10
11
com um SYN + ACK; e a toda porta fechada, responderá com um RST. Portanto, 
ao utilizar uma ferramenta para varrer portas, esta saberá como informar o status 
de cada qual.
Ataque de Força Bruta
É a forma mais conhecida para quebrar senhas. Consiste em fazer um ataque 
utilizando várias tentativas e conexões a partir das credenciais de um provável usu-
ário da máquina a ser invadida. Diversas combinações de senhas são inseridas ou 
criadas em uma lista que é usada para tal.
A lista pode conter o nome de usuário e/ou a senha, então chamada de wordlist, 
a qual apresenta uma combinação, comumente, de senhas utilizadas no ataque. 
Wordlist pode ser encontrada para download na internet, ou pode ser gerada com 
ferramentas disponíveis para tal finalidade.
Ataque MAC Flooding
Os ataques descritos até o momento são realizados por pessoas que estão fora 
da rede da empresa; de modo que internamente, na própria rede LAN, há outras 
abordagens que se aproveitam das vulnerabilidades que essa rede possa oferecer.
Assim, o ataque MAC flooding consiste em assaltar o switch da rede, este que 
armazena, em sua tabela MAC, as correspondências de endereço MAC e porta do 
switch; de modo que quando um quadro chega ao switch, possibilita abri-lo para ler 
o endereço MAC de destino e verificar por qual porta tal quadro sairá. O problema 
está na limitada quantidade de memória para armazenar esses endereços MAC.
Aproveitando-se dessa característica, o atacante gera vários endereços MAC fal-
sos que preencherão toda a tabela MAC, sem deixar espaço para endereços MAC 
verdadeiros. Nessa situação, o switch comporta-se de um dos dois modos possíveis: 
simplesmente deixa de funcionar; ou passa a encaminhar os pacotes de forma bur-
ra, ou seja, encaminha para todas as portas, comportando-se como fosse um hub; 
neste caso, encaminhar os quadros para todas as portas fará com que trafeguem 
na rede, sendo facilmente capturados pelo atacante – enquanto que a análise dos 
pacotes capturados pode ser realizada por ferramentas apropriadas.
ARP Spoof ng
O protocolo ARP tem a função de buscar o endereço MAC de uma máquina 
pelo endereço IP desta. Toda a comunicação em nível de camada dois é operada 
por quadros que contêm os campos de endereço MAC de origem e destino para es-
tabelecer comunicação em uma rede LAN. Portanto, quando a máquina não sabe 
o endereço MAC, o protocolo ARP entra em ação por broadcast para encontrá-lo.
11
UNIDADE Principais Tipos de Ataques e Ameaças
O ataque ocorre a partir do momento em que uma máquina mal-intencionada 
recebe tal solicitação, por broadcast, e responde com o seu endereço MAC. Assim, 
passa a receber quadros da rede local e poderá capturá-los para análise.
Ransomware
Entre os ataques mais temerosos às empresas figura o ransomware, que con-
siste em sequestrar os dados da organização, impossibilitando o acesso aos quais. 
Frequentemente os ataques são realizados pelo acesso remoto ao computador-alvo, 
criptografando os dados e informando, via mensagem, que serão devolvidos me-
diante um pagamento, comumente realizado por meio de criptomoedas.
Esse tipo de ataque não é operado apenas pelo acesso remoto, pois há casos 
em que ocorre ao se selecionar links maliciosos ou mesmo por algumas vulnerabi-
lidades na máquina. Embora existam determinadas formas de infectar a máquina, o 
objetivo final é sempre o mesmo, ou seja, deixar o usuário refém, pois não há muito 
o que se fazer ao ser infectado.
Empresas tiveram prejuízos enormes, de modo que quando são veiculados ata-
ques desse tipo, muitas das quais preferem desligar as máquinas a ter os seus dados 
criptografados. A paralisação da rede, pelo desligamento das máquinas, leva tam-
bém a prejuízos significativos. 
Os ataques que foram vistos até então envolvem alguma técnica ou ferramentas 
para obter sucesso. Há, contudo, outra linha de ataques que contempla a manipu-
lação dos sentimentos das pessoas, utilizando-se de determinadas ferramentas, ou 
de uma “boa conversa”, apenas; ataques assim são chamados de engenharia social, 
sobre os quais discorreremos a seguir.
Engenharia Social
A engenharia social corresponde a um conjunto de técnicas utilizadas pela maio-
ria dos estelionatários ou mesmo por pessoas que realizam phishing na internet ou 
em qualquer outro tipo de invasão com o objetivo de enganar, obter informações 
das pessoas, manipulando os seus sentimentos e as aspirações contidas nos seres 
humanos. Não se trata de uma técnica empregada apenas por pessoas mal-inten-
cionadas, mas também muito utilizada por policiais para desvendar algum tipo de 
comportamento ilícito usado em sites na internet. 
O Facebook e qualquer outro site de relacionamento são pesquisados frequen-
temente por policiais em busca de algum comportamento considerado estranho 
para, então, a tomada de providências usando, quando necessário, algum recurso 
de engenharia social. Uma das técnicas que veremos no decorrer desta Unidade se 
refere à confiança, de modo que as autoridades, passando-se por outras pessoas – 
a fim de criar certa afinidade –, tentam se aproximar de uma determinada pessoa 
para obter informações. Existem vários meios usados pelos estelionatários com o 
12
13
objetivo de manipular os sentimentos, métodos praticados tanto na internet como 
fora desta.
Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia 
de segurança que tínhamos para manter os computadores longe de ataques não eram 
as mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoa-
mento e desenvolvimento. Por exemplo, se formos comparar o Windows XP com o 
Windows 7, perceberemos que novos recursos de segurança foram implementados.
Se os investimentos em segurança são realizados pelas empresas, se temos softwares 
cada vez mais seguros e, consequentemente, redes de computadores protegidas, por que 
os ataques aumentam?
Ex
pl
or
Percebe-se uma contradição em relação ao exposto, de modo que a resposta é 
a seguinte:
Os invasores perceberam que não adianta atacar a tecnologia, ou seja, o elo mais 
fraco de toda a segurança ainda é o ser humano, afinal, o usuário continua por trás 
dessas tecnologias. Assim, o fator humano é um problema gravíssimo, pois por 
mais queexistam sistemas seguros, suportados em tecnologias de ponta, a grande 
maioria dos usuários não sabe lidar com o sistema de forma correta ou não recebe 
a instrução ou treinamento adequado, subestimando a possibilidade de sofrer um 
ataque; daí que o ser humano é facilmente enganado por um engenheiro social.
O tema engenharia social não é considerado novo, pois convivemos com isto o 
tempo todo, o que comumente pode ser visto no comportamento das pessoas; afi-
nal, sempre que alguém se utilizar de algum tipo de sentimento para obter algo em 
benefício próprio, isto será considerado engenharia social. É lógico que esse tipo de 
comportamento é totalmente diferente daqueles que você estudaria nesta Unidade: 
existem engenheiros sociais ditos “normais”, ou seja, que agem intuitivamente; e 
existem engenheiros sociais que objetivam cometer crimes.
Portanto, a engenharia social se baseia em atacar o elo mais fraco do sistema, 
o ser humano; razão pela qual é conhecida como a arte de enganar, manipulando 
pessoas e obtendo informações sigilosas das quais.
Várias técnicas de engenharia social �oram demonstradas no f lme Hacker 2: operação takedown; 
trata-se da história f ccional do hacker Kevin Mitnik, cassado pelo FBI depois de aplicar vários ata-
ques e conseguir in�ormações sigilosas. Por este motivo, f cou preso durante cinco anos e proibido 
de usar computadores.
Ex
pl
or
Considerando as pessoas físicas, a engenharia social pode ser aplicada de vá-
rias formas, pode-se, por exemplo, conseguir os dados da conta corrente – incluin-
do a senha. É comum você ver pessoas desatentas em caixas de banco solicitando 
13
UNIDADE Principais Tipos de Ataques e Ameaças
informações a pessoas desconhecidas ou indivíduos se aproximando de outros 
para oferecer ajuda, tendo como objetivo obter a senha e outras informações.
Temos também os casos de sequestro e ataques de vigaristas. O site de relacio-
namento Facebook é uma rica fonte de informações, podendo ser utilizado com o 
objetivo de sequestrar alguém, pois muitas pessoas deixam os dados considerados 
confidenciais abertos para que qualquer outro possa acessar. Com isto, fica fácil 
levantar características e informações para fazer um ataque de engenharia social, 
pois não é difícil arquitetar uma invasão usando informações como nome do namo-
rado, ano de nascimento, álbum de fotos, recados, comunidades e outras informa-
ções que geralmente ficam expostas.
Por incrível que pareça, há ainda muitos usuários desatentos ou com pouco 
conhecimento, acabando por propiciar aos engenheiros sociais informações pre-
ciosas, com as quais alguém pode iniciar contatos, seja por telefone, e-mail ou até 
fisicamente e ganhar a confiança para posteriormente aplicar algum tipo de golpe.
No meio jurídico, as empresas devem se preocupar também com a engenharia 
social, inclusive colocando-a como um dos itens de risco à segurança de rede, isto, 
infelizmente, nem sempre acontece nas organizações – embora, muitas vezes não 
percebam, sofrem algum tipo de ataque usando a engenharia social.
O vazamento de informações é outro problema encontrado pelas organizações, 
pois em uma conversa informal, um funcionário pode passar dados importantes e 
confidenciais que poderão ser utilizados por empresas concorrentes.
É costume os funcionários se encontrarem após o expediente para um happy 
hour e trocar informações sobre o trabalho do dia a dia, de modo que um indivíduo 
pode se aproveitar dessas circunstâncias e até tentar uma aproximação para obter 
mais informações. Neste caso, percebe-se que o funcionário não tem a maldade de 
prejudicar a própria empresa, no entanto, acaba por fazê-lo.
Para que isso não aconteça, deve ser instruído dos riscos que determinadas in-
formações podem causar à organização e a si caso venham a ser divulgadas para 
terceiros. Certamente, a perda financeira será a consequência desse vazamento de 
informações, portanto, conhecer as técnicas e os ataques usados em engenharia 
social é de suma importância para todos aqueles que trabalham com informação.
Como você poderá ver ao longo desta Unidade, alguns casos são bem conhe-
cidos e outros surgirão; o importante a ser notado é que ainda que as formas de 
ataque sejam diferentes entre si, o objetivo permanece o mesmo, a manipulação 
do ser humano.
Ademais, seja através da internet ou de telefone, a engenharia social pode ser 
realizada por meio de ataques com as seguintes abordagens:
• Phishing consiste em um ataque onde são enviados e-mails para vários usuários. 
Tais mensagens apresentam conteúdo que chamará a atenção, fazendo com que 
o destinatário abra a mensagem e execute o que veio como anexo ou clique no 
14
15
link que está no corpo do próprio e-mail; com isto, um programa será executado 
e, provavelmente, o seu computador terá as informações roubadas pelo qual. 
Esse tipo de ataque é um dos mais utilizados pelos hackers atualmente.
• Pharming é outro tipo de invasão, o qual consiste em gerenciar vários phishing 
sob a sua custódia – pharm significa fazenda, no sentido de criar, manter os 
computadores infectados com phishing.
O roubo de identidade é uma terceira forma de ataque, comumente aplicada 
com o envio de e-mail de pessoas conhecidas para prover confiança. Tal mensa-
gem pode conter arquivos para execução ou solicitar que o destinatário abra uma 
apresentação ou veja uma imagem. O único problema é que embora o e-mail tenha 
o endereço da pessoa conhecida, não foi enviado pela qual, ao passo que o conte-
údo que fornece é malicioso.
Por acreditar que é um e-mail de uma pessoa conhecida, cria uma das principais 
características da engenharia social, a confiança. Dificilmente o destinatário deixará 
de ver o conteúdo enviado e contaminará a própria máquina com programas que 
lhe monitorarão e até roubarão as suas informações.
A engenharia social não usa apenas a tecnologia para atingir os seus objetivos, 
dado que pode também se manifestar pessoalmente, ou seja, presencialmente e 
por meio das seguintes técnicas:
• No shoulder surfing uma pessoa fica observando a outra para obter dados 
como o login e a senha. Em bancos ou laboratórios de informática, posicio-
nam-se atrás das vítimas, observando o que digitam. Muitos não dão tanta im-
portância para esse tipo de postura, no entanto, já houve casos em que bancos 
foram roubados com a utilização desse método.
• Rush authentication utiliza da boa vontade de outra pessoa para ter acesso 
ao local ou às informações dessa; por exemplo, determinada área pode ser 
acessada apenas por quem tem cadastro biométrico; assim, para conseguir 
adentrar, o engenheiro social pode simular que carrega uma caixa pesada, 
esperando que uma pessoa abra a porta para si e, daí, pedindo que a segure a 
fim de que possa aproveitar a passagem – dado que as suas mãos estão ocupa-
das carregando a tal caixa –, comumente há pessoas que procuram ajudar as 
demais em situações difíceis; contudo, neste caso, ainda que sem a utilização 
da biometria, o engenheiro social consegue entrar no local que originalmente 
lhe era inacessível.
A confiança é muito explorada em engenharia social, de modo que – em outro 
exemplo – o golpe da música do telefone procura adquirir confiança de uma deter-
minada pessoa à qual se deseja atacar: esse tipo de abordagem consiste em gravar 
a música em espera que determinada empresa costuma usar para, ao fazer uma 
chamada telefônica a determinado funcionário dessa organização, então se passan-
do por outro profissional dessa mesma instituição, o engenheiro social comentar 
receber outra chamada e pedir ao primeiro interlocutor que o aguarde por alguns 
instantes, momento em que coloca o telefone em espera com a referida música 
15
UNIDADE Principais Tipos de Ataques e Ameaças
para que, ao ouvir e reconhecer tal canção, a vítima acreditar que tudo ocorre den-
tro da normalidade empresarial, ficando, a partir daí, mais acessível e proativa em 
ajudar no que lhe for solicitado.
Boatos também podem trazer benefíciosao atacante. Por exemplo, considere 
que as bolsas de valores ao longo do Planeta frequentemente sofrem com rumores 
de determinadas notícias que se mostram falsas, fazendo com que oscilem para 
cima ou para baixo. Nesse sentido, há algum tempo, bem antes de morrer, um 
boato sobre a saúde de Steve Jobs, então da Apple, foi divulgado; em consequência 
disso, as ações da empresa caíram significativamente. Caso essa notícia tenha sido 
veiculada com tal propósito, então o atacante pôde aproveitar o momento de baixo 
valor das ações a fim de comprar a quantidade que seus recursos lhe permitiam; 
quando o boato foi, então, esclarecido, as ações da empresa voltaram ao patamar 
financeiro original – ou passaram a valer um pouco mais –, de modo que o boatei-
ro fez valorizar a sua aquisição, pois comprou na baixa, tendo-as valorizadas para, 
adiante, vender por um preço que lhe fosse mais interessante. 
Conforme comentado, phishing é um ataque enviado por e-mail para chamar a 
atenção do usuário através de conteúdo que o deixe curioso, comumente composto 
por mensagens relacionadas à promoção ou o convidando a visitar determinada 
página de relacionamento, ou ainda felicitando o destinatário pelo “prêmio ganho”.
Embora existam várias mensagens com conteúdos diferentes, o objetivo é um 
só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário 
clique em um botão ou link para executar ou instalar e executar um programa na 
máquina. Quem pratica o phishing é chamado de phishing scammer.
Um exemplo típico de phishing está representado na seguinte Figura:
Figura 2 – Phishing O Boticário
16
17
Trata-se de um phishing muito bem feito, salvo que nenhuma empresa deve 
solicitar que o usuário faça download de qualquer tipo de página, programa ou 
imagem, isto é inadmissível; no entanto, as pessoas menos atentas, com menos 
conhecimento sobre esse tipo de ataque – que, na verdade, é a grande maioria – 
acabam caindo em golpes dessa natureza.
Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na seguin-
te Figura, incentivando o destinatário a baixar um formulário para ser preenchido. 
Considerando que não se baixa formulário para preencher, pois licitamente são 
oferecidos em páginas da internet da própria empresa, uma vez salvo esse arquivo 
e executado, o referido computador será contaminado.
Na maioria das vezes esse tipo de ataque solicita que o usuário faça o download 
ou então clique em algum link para ser aceito na promoção; infelizmente, a maio-
ria das pessoas não tem o hábito de colocar o mouse sobre o link ou o botão de 
download para verificar o endereço completo – se fizessem isso, constatariam estar 
prestes a executar um programa. Os engenheiros sociais se aproveitam dessa falha 
de atenção para instalar softwares com códigos maliciosos, pois a grande maioria 
dos usuários não sabe diferenciar um programa e uma página de internet.
Figura 3 – Phishing Chevrolet
Ademais, o phishing é usado para atingir determinado perfil de usuários e, por 
este motivo, é transmitido ao maior número de pessoas, afinal, algumas o apaga-
rão, pois não é de seu interesse, mas outras acessarão e possivelmente clicarão e 
instalarão o programa. Portanto, vários tipos de propagandas e anúncios surgem 
17
UNIDADE Principais Tipos de Ataques e Ameaças
a todo o momento com o objetivo de contaminar grupos de pessoas que tenham 
interesse em determinadas promoções. 
Outro golpe advindo por e-mail é o Nigerian scan – ou fraude da Nigéria –, que 
consiste em enviar uma mensagem descrevendo histórias variadas, uma das quais 
sobre um parente distante que morreu e deixou uma fortuna em dinheiro, de modo 
que o destinatário precisará pagar determinado valor relacionado aos custos docu-
mentais para que tal fortuna seja depositada em sua conta corrente. Muitas outras 
variações dessas histórias são inventadas, mas sempre com o mesmo propósito: 
depositar dinheiro mediante a promessa de que receberá o valor indicado. Esse tipo 
de golpe já era praticado por meio de cartas, de modo que atualmente o e-mail é 
empregado, entre outros motivos, porque atinge maior quantidade de pessoas.
Há casos mais avançados de engenharia social, tais como os exemplos vistos, 
os quais utilizando phishing para atingir um grupo específico de usuários a fim de 
aguçar a curiosidade de seus integrantes.
O objetivo do engenheiro social é conquistar e manipular o sentimento das pes-
soas e para chegar a essa meta pode usar o telefone, a internet, ou até mesmo o 
meio físico. Os pontos principais manipulados são a curiosidade, confiança, simpa-
tia, culpa, intimidação e o orgulho, cada um a partir de técnicas totalmente diferen-
tes e que podem ser utilizadas com certa variação; vejamos mais alguns exemplos:
A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois não 
é característica de um grupo específico, sendo inerente a todo ser humano, afinal, 
somos movidos por essa qualidade. Portanto, se você fizer engenharia social por 
meio de um phishing que tenha a característica de utilizar o princípio da curiosidade, 
certamente fará com que alguns destinatários executem o programa que lhes foi en-
viado, mesmo em um meio físico, veja: se visitar uma empresa e deixar um CD com 
a descrição “salário dos funcionários”, ou “fotos da família do diretor X” em um local 
de significativo trânsito de pessoas, criará curiosidade naqueles que tiverem acesso 
a essa mídia, a qual, uma vez executada, poderá infectar o computador do curioso.
A confiança é outro atributo que o engenheiro social pode utilizar, pois nessa 
condição agirá com mais facilidade; é o caso já citado sobre o e-mail enviado por 
um terceiro que, colocando-se como fosse uma pessoa conhecida, comumente fará 
a vítima clicar no link e até executar algum arquivo enviado, pois considerará que 
a mensagem advém de uma pessoa conhecida. Como a confiança é reconhecida-
mente primordial aos engenheiros sociais, para que seja possível, deve-se ter boa 
aproximação às pessoas para estabelecer um contato mais “espontâneo”.
Por sua vez, a simpatia acaba atraindo muitas vítimas, afinal, adoramos pessoas 
simpáticas. Por exemplo, quando entramos em uma loja e um vendedor nos fica 
pressionando ou, pelo contrário, não nos dá muita atenção, ou ainda nos trata com 
certo mau humor, grandes são as possibilidades de não comprarmos em tal esta-
belecimento; por outro lado, se o vendedor for simpático, prestativo, dificilmente 
deixaremos de adquirir o produto necessário. Naturalmente que não se refere aqui 
à questão de valor e/ou qualidade do produto ofertado, mas – para efeito didático – 
18
19
consideremos que as lojas têm os mesmos critérios de preço e qualidade, de modo 
que às pessoas simpáticas nos será mais difícil dizer não quando nos oferecem uma 
venda, ou nos pedem algo.
A simpatia está diretamente ligada ao orgulho, de modo que pessoas orgulhosas 
gostam que outras falem bem de algo sobre si ou que tenha realizado. Dito de outra 
forma, os elogios feitos às pessoas orgulhosas servem como portas à aproximação. 
Sem surpresa, a simpatia é muito utilizada em ataques a pessoas orgulhosas.
A culpa também é explorada por engenheiros sociais, dado ser excelente meio 
a ser empregado para obter informações, principalmente de pessoas com baixa 
estima, as quais comumente se sentem responsáveis por qualquer motivo e, conse-
quentemente, podem ser facilmente manipuladas.
Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar 
e, intuitivamente, a culpa pode se estabelecer por um simples serviço prestado. Por 
exemplo, caso alguém faça um favor a você, algumas vezes poderá usar da seguin-
te frase: “Você me deve uma”; significa que a culpa é manipulada, pois em algum 
momento lhe cobrará pelo favor prestado.
A intimidação é diferente de tudo o que foi descrito até agora, pois se refere a 
fingir ser o chefe ou estar no controle de uma determinada situação para atingir 
o seu objetivo – em síntese, intimidaralguém. Geralmente o tom de voz usado na 
intimidação é diferente em relação a outros tipos de ataque.
Mas por quais motivos uma pessoa acaba caindo nesses truques?
Ex
pl
or
Uma das razões é que as pessoas não desconfiam de muitas coisas que aconte-
cem em seu dia a dia, como no caso dos e-mails enviados como propagandas – os 
mencionados phishing.
Deve-se, portanto, desconfiar de tudo o que é enviado pela internet; não execu-
tar nada que não seja de pessoa confiável. De modo que se não estiver esperando 
um e-mail e mesmo assim o receber, é sempre interessante checar a sua veraci-
dade. Caso acesse o conteúdo do e-mail, averigue com atenção o endereço que 
está por trás do link ou botão – para isto, basta posicionar, sem clicar, o cursor do 
mouse sobre o link ou botão para examinar, no canto inferior esquerdo da tela, o 
endereço completo.
Todos os documentos da empresa que estiverem em papel devem ser destruídos 
de tal forma que nenhuma informação fique visível. Caso isto não ocorra e o enge-
nheiro social adquira esses papéis, poderá, com certa facilidade, saber o nome de 
determinadas pessoas e se aproveitar disso.
Revelar dados sem consulta é outro caso usado pelos engenheiros sociais como, 
por exemplo, determinada pessoa que venha a telefonar e solicitar os dados do 
gerente com o argumento de precisar enviar informações ao qual; de modo que 
19
UNIDADE Principais Tipos de Ataques e Ameaças
especial cuidado deve ser tomado em casos assim – se a pessoa que solicita a infor-
mação não é conhecida, então não deve ser informada.
Ademais, acessar sistemas duvidosos, tais como sites da internet, pode trazer 
programas maliciosos que serão executados na máquina em questão.
A curiosidade em se ter acesso a determinadas informações, como no caso do 
CD colocado propositadamente em um local para que alguém o pegue e insira no 
computador, deve ser evitada, pois o próprio auto run poderá instalar arquivos 
maliciosos na máquina em questão.
Conversar sobre o dia a dia e dados confidenciais da empresa estando fora desta 
também deve ser evitado, pois caso isto ocorra, tais informações poderão ser ad-
quiridas por pessoas alheias que a usarão em benefício próprio.
A melhor forma de se defender dos ataques de engenharia social é o treinamen-
to, a participação em workshops e a divulgação dos tipos de ataque. A política é 
um dos recursos igualmente utilizáveis para evitar essa prática criminosa.
20
• Introdução aos sistemas de defesa;
• Firewall.
• Compreender a necessidade de manter uma rede segura pelo uso de �erramentas 
que dif cultam ou bloqueiam ataques a in�ormações;
• Implementar uma �erramenta de detecção de intrusos para monitorar pacotes 
 suspeitos na rede de computadores;
• Conhecer os principais mecanismos de de�esa para garantir uma rede mais segura.
OBJETIVOS DE APRENDIZADO
Principais Mecanismos de Defesa
UNIDADE Principais Mecanismos de Defesa 
Introdução aos sistemas de defesa
As informações geradas pelas empresas passaram a ter importância e valor 
muito maior do que o próprio patrimônio físico que elas possuem. Manter essas 
informações seguras, utilizando-se de mecanismos de defesa, diminuirá as chances 
de serem obtidas por pessoas alheias.
Há muitas formas de manter essas informações seguras, utilizando-se de tec-
nologias de segurança e configurações de dispositivos de redes. A quantidade de 
bloqueios e níveis de segurança são influenciados pelo investimento financeiro e a 
burocratização para o uso da rede de computadores pelos usuários.
Para que se possa começar a definir quais as tecnologias de segurança que uma 
empresa precisará, ela deverá começar a identificar alguns itens como:
• A rede possui um único ponto de firewall ou apenas usa o firewall do siste-
ma operacional?
• O firewall consiste em um equipamento ou em um software instalado no ser-
vidor ou em uma ou mais máquinas?
• Há algum método de detecção de invasão virtual ou biométrico?
• Que tipo de antivírus está sendo usado, ele cobre os requisitos necessários de 
um bom antivírus?
• Está sendo usada rede wireless, estão configurados os principais pontos de 
segurança para torná-la protegida?
• Minha rede tem um detector de anomalias, ou seja, há alguma técnica usada 
para detectar mudança de padrões na rede?
• Há a necessidade de um gerenciador de identidade, ou seja, técnicas que ga-
rantam a manutenção de acesso a recursos e sistemas?
• Em que local se encontram os equipamentos estratégicos da empresa e, em 
linhas gerais, quem está autorizado a acessá-los?
• A empresa permite que funcionários, parceiros e clientes acessem a rede da 
empresa remotamente?
• Como são validados e controlados esses acessos remotos?
• Tem configurado uma rede desmilitarizada (DMZ) na empresa? Ela está, real-
mente, separada da rede interna?
• Qual técnica está sendo usada para separar a rede interna da rede desmilitari-
zada (DMZ)?
• Qual o nível de acesso a arquivos e à própria rede definido para cada usuário?
Avaliaremos alguns desses mecanismos de defesa que são usados pelas empresas.
8
9
Firewall
Com a evolução dos computadores, seus aplicativos, sistemas operacionais e, 
consequentemente, das redes de computadores, as máquinas suportam muitas 
características atendendo a diversas áreas da educação, do comércio, governa-
mentais e industriais. Essa complexidade pode deixar, em um primeiro momento, 
falhas que por sua vez podem ser a porta de entrada de ataques externos. Para 
que as falhas sejam minimizadas, foi criada uma ferramenta a qual chamamos de 
firewall. Ela foi desenvolvida exatamente para isolar as máquinas do ambiente 
externo da internet, bloqueando acessos que tenham como objetivo explorar essas 
vulnerabilidades.
O firewall é a principal ferramenta de combate à invasão nos sistemas de com-
putadores. A sua associação com a segurança sempre é feita entre várias técnicas 
utilizadas para combater invasões em redes de computadores. É comum que se 
encontre denominações relacionando-o como sendo o mais importante item no 
que diz respeito à segurança de redes e, por sua característica, isso o faz ser sempre 
colocado como linha de frente no combate a intrusões.
O firewall é um recurso de rede cuja função é administrar, filtrar o tráfego dos 
pacotes entre redes distintas e impedir a transmissão de dados nocivos ou não de 
uma rede a outra. Ele é utilizado para filtrar os pacotes não autorizados de um 
domínio de rede a outro, portanto, ele age como um guardião evitando que deter-
minados pacotes mal-intencionados sejam recebidos pela rede. Portanto, todos os 
equipamentos e softwares que atende a requisitos de filtragem de pacotes podem 
ser denominados firewall.
Com a evolução da tecnologia, os firewalls foram ganhando novos recursos 
para melhorar a filtragem de pacotes, portanto, além da filtragem de número de 
portas, ele considera também na filtragem os endereços IPs de origem e destino, 
protocolos da camada de transporte e os aplicativos.
Seu uso está relacionado ao grau de complexidade das regras estabelecidas 
pelas empresas que restringem o fluxo de entrada, com o tamanho da rede e o 
nível de segurança desejados. O firewall pode se apresentar na forma de sof-
tware ou então na forma de hardware. Inclusive, pode-se utilizar ambos os tipos 
para se aumentar o nível de segurança entre as redes que estão sendo monito-
radas por eles.
A configuração de um mecanismo para controle de tráfego e acesso à rede 
baseados em um aplicativo firewall deve ser desenvolvido por meio de um procedi-
mento cuidadoso. Deve-se ter como referência a política de segurança estabelecida 
pela empresa como diretriz para a configuração dos filtros.
9
UNIDADE Principais Mecanismos de Defesa 
Importante!
Um frewall é representado por uma parede. Quando encontrar o símbolo semelhante a 
este , signifca que há um frewall para fltrar pacotes.
Você Sabia?
Funcionamento de um firewall
Conforme já descrito acima, o firewall deve ser configurado seguindo os pa-
râmetros estabelecidospela empresa. Esses parâmetros são definidos conforme 
sua necessidade e a política estabelecida, configurados em um firewall e, a partir 
desse momento, tornando-se regras. Um firewall analisa os campos contidos nos 
cabeçalhos da grande maioria dos pacotes na camada do modelo TCP/IP. Pode-
mos criar muitos tipos de regras a serem avaliadas pelo firewall na filtragem desses 
pacotes. As ações a serem executadas em um pacote são: aceitar; descartar; rejei-
tar o pacote. Para executar quaisquer dessas ações pré-estabelecidas pelas regras, 
primeiramente, ele tomará como referência informações contidas no cabeçalho de 
qualquer pacote que passa por ele.
A diferença entre as ações Descartar (DROP) e Rejeitar (Reject) está na ação 
após o pacote ser desconsiderado. Na ação Drop, não há envio de mensagem des-
crevendo por qual motivo o pacote foi descartado. Na ação Reject, é enviada uma 
mensagem para a origem descrevendo o motivo da rejeição.
Vejamos então alguns dos tipos de informações que o firewall pode se basear 
para realizar a filtragem dos pacotes:
• Endereço de origem e endereço destino;
• Mascara de sub-rede de origem e de destino;
• Porta de origem e porta de destino;
• Tipo de protocolo;
• Interface de entrada e interface de saída;
• Status da conexão;
• Identificação do pacote;
• Entre outras.
Nominalmente, há cinco tipos de firewalls definidos em conexões internet, des-
critos a seguir.
• Firewall de filtragem de quadros
Esse tipo de firewall tem como função analisar os quadros referentes à camada 
de enlace
10
11
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 1 – Camadas do modelo de re�erência OSI (camada de enlace)
Nessa camada, o filtro é feito a nível de bits sobre as tecnologias usadas, por exem-
plo, Ethernet 802.3, Token Ring, FDDI e outros. Filtrar os quadros e descartar os sus-
peitos, evita que eles sejam examinados por filtros definidos em camadas superiores.
• Firewall de filtragem de pacotes
Por ter surgido com essa finalidade, esse tipo de firewall é um dos mais conhe-
cidos e usados, grande parte dos roteadores oferece esse tipo de configuração, a 
qual chamamos de lista de acesso.
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 2 – Camadas do modelo de re�erência OSI (Camada de Rede)
Caso a empresa tenha que implantar várias regras de filtragem, então, o ideal é 
usar um dispositivo que não seja o roteador como firewall, dessa forma, otimiza-se 
os recursos e torna-se a rede mais eficiente. Os sistemas operacionais, geralmente, 
apresentam também recursos para filtragem de pacotes – o Linux disponibiliza o 
IPTables como ferramenta para configuração.
• Firewall gateway de circuito
Geralmente, identifica as ações executadas por determinado usuário, registra de 
onde vieram e para onde vão através das autenticações feitas. Os mecanismos que 
envolvem um proxy é um bom exemplo de firewall de gateway de circuito, ou seja, 
o usuário deve ter permissão para acessar determinadas páginas.
11
UNIDADE Principais Mecanismos de Defesa 
Usuário
Internet
Proxy
Figura 3 – Proxy
• Firewall de estado total
Os ataques evoluíram aproveitando falhas nas transações entre aplicações. Ata-
ques como forjar endereço IP, aquisição de sessão tomando carona na aplicação, 
sequestro de sessão e outros foram identificados ao longo do tempo.
Para evitar esses ataques, os firewalls tiveram que se aperfeiçoar, no sentido de 
identificar o comportamento e identificar qualquer problema em transações feitas 
por esses aplicativos. Embora a solução prevista nesse tipo de firewall seja eficien-
te, por si só não garante outros tipos de filtros.
• Firewall proxy
Também conhecido como gateway de aplicação, tem como função principal 
examinar detalhes das aplicações que estão sendo usadas.
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 4 – Camadas do modelo de re�erência OSI (Camada de aplicação)
No firewall proxy, você poderá criar regras para examinar melhor a aplica-
ção – por exemplo, se o administrador de rede quiser estabelecer que somente será 
possível baixar arquivos da internet usando uma aplicação FTP, mas quiser também 
impedir que alguém de fora da empresa insira arquivos em computadores da sua 
rede usando a aplicação FTP, poderá fazer isso com esse tipo de firewall.
É importante notar que, com a evolução de equipamentos e softwares de fi-
rewall, esses cinco tipos de apresentados foram convergindo de forma que um 
único equipamento ou software apresente possibilidades de configurá-los sem que 
se tenha, de forma clara, a divisão entre eles.
Além do firewall configurado nos equipamentos de borda da empresa, é interes-
sante deixar habilitado o firewall do sistema operacional. No sistema operacional 
12
13
Windows, o firewall é habilitado automaticamente após sua instalação; no entanto, 
o usuário poderá fazer algumas alterações caso sejam necessárias. Para alterar as 
configurações básicas no Windows 8, basta que se entre no painel de console e 
selecione a opção Firewall do Windows, a seguinte janela será aberta (Figura 5).
Figura 5 – Janela de conf guração do Firewall do Windows
É importante notar que o firewall está ativado e assim deverá permanecer. Na 
parte superior esquerda da janela apresentada na Figura 6, pode-se acessar as re-
gras de entrada, de saída, além das regras de segurança e monitoramento.
Selecionadas as regras de entrada, pode-se ver no centro as aplicações que es-
tão habilitadas ou não. Ao selecionar uma aplicação, é possível observar no lado di-
reito da janela as ações e propriedades dessa aplicação. Selecionando a aplicação, 
é apresentada uma janela que possibilita configurar a permissão ou o bloqueio.
Figura 6 – Janela de conf guração do Firewall
13
UNIDADE Principais Mecanismos de Defesa 
Há várias abas na janela Propriedades de nome da aplicação, elas oferecem 
a possibilidade de configurar mais detalhadamente às regras do firewall.
As configurações de firewall disponibilizadas pelo sistema operacional cliente 
do Windows são básicas e devem fazer parte das ferramentas usadas para aumen-
tar a segurança. Caso queira instalar o firewall como complemento ao nativo do 
Windows, há softwares que podem ser baixados da internet que permitem confi-
gurações mais detalhadas.
IDS (Sistema de Detecção de Intrusos)
Os sistemas de detecção de intrusos (IDS) são uma ferramenta usada por ad-
ministradores de redes com o objetivo de avaliar se algo estranho está ocorrendo 
na rede. Tendo a informação como o bem mais precioso de uma empresa, verificar 
se há algo ocorrendo na rede de computadores é fundamental para manter o maior 
nível possível de segurança.
Há alguns IDS disponíveis para as diversas plataformas existentes. A seguir, 
você aprenderá como instalar o snort no sistema operacional Linux. O snort é um 
IDS open-source e, embora sejam trabalhosas sua instalação e configuração, ele é 
muito eficaz ao que se propõe.
Antes de instalar o snort, é importante que se faça uma atualização dos pacotes 
instalados no sistema operacional Linux. Para isso, execute o comando apresen-
tado na Figura 7.
Figura 7 – Comando para atualização dos pacotes
O snort precisa de algumas dependências; portanto, vamos instalar essas depen-
dências. A Figura 8 apresenta o comando para baixar e instalar essas dependências.
Figura 8 – Comando para baixar algumas dependências
Após baixar e instalar umas dependências, criaremos um diretório para des-
carregar outras dependências do snort. Dentro do diretório criado, baixaremos o 
DAQ-2.0.6. A Figura 9 apresenta o comando necessário para criar o diretório, 
mover para dentro dele e baixar o daq-2.0.6.
Figura 9 – Comando para criar diretório e baixar o arquivo daq
O arquivo daq está compactado. Para descompactá-lo, basta executar o comando 
tar conforme a Figura 10.
Figura 10 – Comando para descompactar o arquivo daq
14
15
Com a descompactaçãodo arquivo daq, é disponibilizado um diretório daq-2.0.6 
que contém o script para instalação e configuração do arquivo. A Figura 11 apre-
senta os comandos necessários para execução do script.
Figura 11 – Comandos para execução do script
Assim que terminar a execução do script, execute o comando cd.. para voltar um 
nível do diretório ~/snort_src e baixe o snort utilizando o comando apresentado na 
Figura 12.
Figura 12 – Comandos para baixar o snort
O arquivo baixado está compactado. Para descompactá-lo, basta executar o 
comando apresentado na Figura 13.
Figura 13 – Comando para descompactação
Ao descompactar o arquivo, moveremos ele para o diretório snort-2.9.12 usan-
do o comando cd snort-2.0.12 e executaremos um script para fazer a instalação 
do snort. A Figura 14 apresenta o comando para execução do script.
Figura 14 – Comando para execução do script
Agora, execute o comando cd para voltar à raiz do seu diretório e execute o 
comando da Figura 15 para instalar as bibliotecas compartilhadas.
Figura 15 – Comando para instalar bibliotecas compartilhadas e criação de links
Uma vez o snort instalado, é possível, pelo comando snort -V, verificar a versão 
e se essa está em funcionamento. A Figura 16 apresenta as informações apresen-
tadas após a execução do comando snort -V.
Figura 16 – In�ormação sobre o snort
Executaremos alguns comandos para configurar o snort. A primeira etapa a fazer 
será criar um usuário e grupo snort. Para isso, execute os comandos da Figura 17.
15
UNIDADE Principais Mecanismos de Defesa 
Figura 17 – Criação de grupo e usuário
O snort organiza suas informações como arquivos de configurações e regras em 
diretórios específicos. Sendo assim, criaremos esses diretórios da seguinte forma: 
os arquivos de configuração ficarão em /etc/snort/rules; as regras de compilação 
ficarão em /usr/local/lib/snort/dynamicrules; e os registros estarão em /var/
log/snort/. A Figura 18 apresenta a criação desses diretórios.
Figura 18 – Criação dos diretórios
Dentro de alguns diretórios criados, criaremos arquivos que armazenarão regras 
e listas de IP. A Figura 19 apresenta os comandos para criação desses arquivos.
Figura 19 – Criação dos arquivos
Os registros de log referentes aos eventos relacionados ao snort ficarão nos 
diretórios criados conforme Figura 20.
Figura 20 – Criação de diretório e arquivo
Falta agora ajustar as permissões de diretórios criados. Execute os comandos 
apresentados na Figura 21.
Figura 21 – Alteração de permissão de diretórios
É necessário que alguns arquivos de configuração sejam copiados do diretório 
snort para o diretório snort_src/snort-2.9.12/etc. Para isso, execute os coman-
dos apresentados na Figura 22.
Figura 22 – Copiando arquivos
16
17
Ao copiar os arquivos para os diretórios, vá para o diretório raiz do seu usuário. 
Para isso, execute o comando cd e, a partir desse diretório, nos moveremos para 
o diretório snort_dynamicpreprocessor para copiar alguns arquivos. A Figura 23 
apresenta a execução dos comandos.
Figura 23 – Copiando arquivos
Como já foram preparados os diretórios e arquivos que serão usados pelo snort, 
agora editaremos o arquivo de configuração para implementar algumas alterações. 
A primeira delas refere-se a comentar algumas linhas; portanto, o comando apre-
sentado na Figura 24 deverá ser executado.
Figura 24 – Comando para alteração do arquivo
Abriremos o arquivo de configuração para edição usando o comando apresen-
tado na Figura 25.
Figura 25 – Comando para edição do arquivo
Definiremos qual rede será monitorada, para isso, identifique, conforme Figu-
ra 26, a linha selecionada (proximidades da linha 45) e defina o endereço da rede 
que será monitorado.
Figura 26 – Alteração do arquivo snort.conf
Nesse mesmo arquivo, próximo à linha número 104, insira os comandos para 
o caminho no qual serão usados os arquivos de regras já criados anteriormente. 
A Figura 27 apresenta esses comandos.
17
UNIDADE Principais Mecanismos de Defesa 
Figura 27 – Alteração do arquivo snort
A Figura 28 indica em que posição deverão ser inseridos os comandos apresen-
tados na Figura 27.
Figura 28 – Alteração do arquivo snort
Já que fizemos a configuração desejada, comentaremos duas linhas que por 
padrão já estão definidas no arquivo snort.conf. A Figura 29 apresenta as duas 
linhas que deverão ser comentadas com o símbolo # no início das linhas.
Figura 29 – Alteração do arquivo snort
Nesse mesmo arquivo, tire o símbolo de comentário # da linha selecionada, 
conforme apresentado na Figura 30.
18
19
. 
Figura 30 – Alteração do arquivo snort.conf
Com essas alterações efetuadas, grave o arquivo e feche-o, pois as alterações 
que deveriam ser feitas no arquivo snort.conf foram feitas.
Execute o comando apresentado na Figura 32 para verificar se as alterações 
foram validadas. Nesse caso, a interface utilizada foi a enp03, você deverá verificar 
sua interface utilizando o comando ifconfig. A Figura 31 apresenta a informação 
da interface.
Figura 31 – In�ormações sobre a inter�ace de rede
Figura 32 – Validação das alterações
Até esta etapa do processo o snort já está funcionando e operando normalmente. 
Basta agora definir algumas regras e, para isso, editaremos o arquivo local.rules. 
A Figura 33 apresenta o comando para editar o arquivo local.rules.
Figura 33 – Edição do arquivo local.rules
Com o arquivo aberto, insira a regra apresentado na Figura 34.
19
UNIDADE Principais Mecanismos de Defesa 
Figura 34 – Edição do arquivo local.rules
Grave o arquivo e execute o comando da Figura 35 para começar a escutar em 
modo IDS. 
Figura 35 – Edição do arquivo local.rules
Pronto, o IDS snort está configurado para uso, agora é só aguardar por alertas 
que possivelmente possam acontecer na rede.
20
• Introdução à Criptogra�ia;
• Criptogra�ia com Algoritmo de Chave Simétrica;
• Criptogra�ia de Chaves Públicas;
• Certi�icação Digital;
• Montando um Diretório Criptogra�ado no Servidor Linux.
• Estudar e compreender como são estabelecidos os critérios e os processos para a 
criptograf a de Dados;
• Conhecer os detalhes da criptograf a de chave simétrica e chave assimétrica, bem 
como as vantagens e as desvantagens de usá-las;
• Implementar uma �erramenta para a criptograf a de dados em servidores Linux.
OBJETIVOS DE APRENDIZADO
Criptograf a
UNIDADE Criptografa 
Introdução à Criptogra�ia
Criptogra�ia não é uma técnica nova e embora tenha sido mais recentemente 
utilizada com a evolução da Tecnologia, ela já �oi usada há muito tempo atrás.
Há suspeitas de que o Imperador Júlio Cesar usou o conceito de criptogra�ia em 
44 a.C. Ele tinha grande preocupação com que suas mensagens não caíssem em 
mãos inimigas e, portanto, usava uma �orma de alterar a mensagem que escrevia. 
A técnica usada por ele era bastante simples, mas para a época �uncionava 
muito bem. A ideia consiste em trocar as letras por outras do mesmo al�abeto.
Para isso, ele de�inia um número qualquer (K) indicando qual letra sucessiva do 
al�abeto iria substituir a letra original. Por exemplo, se o número escolhido �osse 
o cinco e a palavra a ser criptogra�ada �osse “Maria”, então o texto criptogra�ado 
�icaria da seguinte �orma; “R�xn�”. Se alguém não autorizado tivesse acesso a essa 
palavra e não soubesse o número usado na criptogra�ia, não saberia o signi�icado 
da palavra. Somente aquele que conhecia a técnica e tivesse o número poderia usá-
-lo para voltar à palavra original.
A esse tipo de técnica simples, mas e�iciente para a época, �oi dado o nome de Ci�ra 
de César, e o número usado para criptogra�ar a mensagem é conhecido como chave.
A Ci�ra de César �oi aper�eiçoada. A técnica usada consiste em alterar letras 
do al�abeto por outras letras do mesmo al�abeto; porém, não usa um número 
para estabelecer letras sucessivas, ou seja, qualquer letra pode ser trocada por 
outra letra usando um padrão pré-estabelecido. A essa técnica deu-se o nome 
de monoal�abética.
Vejamos um exemplo, a seguir.
Tabela 1 – Exemplode Criptogra�ia
Al�abeto a b c d e � g h i j k l m n o p q r s t u v w x y z
trocar h g � e d c b i a o n m l k z w x w t s r q p y v u
Nesse tipo de criptogra�ia, os dois lados, remetente e destinatário, têm de usar a 
mesma Tabela para então deci�rar a mensagem.
Uma mensagem do tipo:
Hoje não vou dormir
Ficaria da seguinte �orma
Izod kHz qzr ezwlaw
Embora a técnica de Ci�ra de César tenha sido usada há milhares de anos atrás, 
ela só começou a evoluir no meio tecnológico nas últimas três décadas, e isso pas-
sou a se tornar importante a partir do momento em que as mensagens começaram 
a tra�egar nas Redes de Computadores.
8
9
É importante e imprescindível que pessoas não autorizadas não tenham acesso 
ao conteúdo das in�ormações. Para isso, elas devem passar por alguma técnica de 
criptogra�ia antes de serem enviadas.
Dessa �orma, qualquer indivíduo que tiver acesso à in�ormação não terá como 
deci�rá-la, caso não tenha a chave. O destinatário da in�ormação, habilitado a usar 
a técnica de criptogra�ia, não teria di�iculdade em voltar à mensagem original.
Importante!
Com toda essa evolução tecnológica, você provavelmente pensou: é �ácil para um hacker 
ou um cracker obter a técnica usada para criptogra�ar e conseguir voltar à mensagem 
ao estado original, mesmo porque essas técnicas são conhecidas e registradas em RFCs.
Trocando ideias...
O segredo para que outros não consigam deci�rar as mensagens criptogra�adas 
está na chave: cada usuário tem uma chave que o di�erencia de outros e somente 
por meio dela é que as in�ormações serão deci�radas. A chave tem o mesmo proce-
dimento do número usado na Ci�ra de César para identi�icar quantas letras sucessi-
vas deveriam ser usadas para deci�rar a mensagem.
É lógico que a chave e a técnica usada para criptogra�ia, atualmente, evoluíram e 
não devem ser as mesmas utilizadas antigamente na Ci�ra de César e nem na ci�ra 
monoal�abética. A Tecnologia evoluiu e com ela evoluíram também as técnicas para 
deci�rar a chave e, consequentemente, as mensagens. 
Geralmente, a chave é descoberta usando a técnica chamada de �orça bruta, 
ou seja, são testadas milhares de sequências por segundo até que se obtenha a 
chave correta.
Isso só é possível usando o poder computacional dos computadores: quanto mais 
veloz �or o computador, menor será o tempo para conseguir encontrar a chave.
Para que você tenha uma ideia, Kurose e Roos descrevem no livro Redes de 
Computadores e a Internet: uma nova abordagem, de 2003, que o DES (Data 
Encryption Standard), algoritmo com chave de 56 bits usado para criptogra�ia, 
�oi deci�rado em 1997, por um grupo do estado de Colorado – USA. Eles usaram 
�orça bruta para quebrar o código e conseguiram deci�rar o código em menos de 
quatro meses.
O grupo ganhou o DES Challenge I, que se caracterizou como um desa�io 
lançado pela Empresa RSA para demonstrar ao Governo norte-americano que os 
algoritmos tinham de evoluir ou então suas in�ormações �icariam vulneráveis.
O aper�eiçoamento da Tecnologia �oi tornando o poder computacional cada vez 
mais e�iciente. Com isso, o tempo para quebrar o código do Algoritmo DES �oi di-
minuído e, em 1998, a Distributed. NET venceu o desa�io DES Challenge II depois 
de 41 dias de pesquisa; em julho do mesmo ano, a Eletronic Frontier Foundation 
venceu o DES CHALLENGE II-2 ao deci�rar a mensagem em 56 horas. 
9
UNIDADE Criptografa 
Para �inalizar, em 1999, a Distributed. NET, usando a técnica de grade 
computacional, que consiste em usar computadores pelo mundo, conectados à 
 Internet, com objetivo comum, precisou de 22 horas e 15 minutos para desco-
brir a chave.
A técnica usada na Ci�ra de César e na Ci�ra Monoal�abética é conhecida como 
Criptogra�ia de Chave Simétrica, ou seja, ambos, remetente e destinatário, têm de 
usar a mesma chave para conseguir deci�rar a mensagem.
Por serem consideradas simples em relação ao poder computacional usado 
atual mente, essas técnicas não são mais usadas, pois há um determinado padrão 
estabelecido nelas e uma pessoa insistente poderia identi�icá-los e chegar à técnica 
usada para criptogra�ar a mensagem.
Criptogra�ia com Algoritmo 
de Chave Simétrica
O DES (Data Encryption Standard), como já citado, é um algoritmo criado para 
uso comercial do Governo norte-americano, que consiste em duas etapas: uma per-
muta, que ocorre por duas vezes durante o processo de criptogra�ia, e outra, que 
ocorre dezesseis vezes e consiste em embaralhar os dados com a chave. 
A Figura 1 apresenta de �orma grá�ica de como é �eito o processo para cripto-
gra�ar dados usando o algoritmo DES.
O primeiro e o último estágio são �eitos com permutação. Nesse modelo, os 64 
bits são permutados entre, si dividindo a in�ormação em 32 bits cada, os trinta e 
dois bits da esquerda e parte dos bits da direita são usados junto com a chave para, 
em conjunto, resultar nos trinta e dois bits da direita.
Perceba na Figura que os bits da direita são passados para compor os bits da 
esquerda, enquanto os bits da esquerda são trans�ormados junto à chave e parte 
dos bits da direita em outros trinta e dois bits.
Esse procedimento é repetido dezesseis vezes e, por �im, ainda, é �eita a permu-
tação dos trinta e dois bits da esquerda com os trinta e dois bits da direita.
No �inal, temos uma mensagem totalmente incompreensível para um ser 
humano . Os 48 bits da chave é considerado no processo de embaralhamento e 
mesmo que toda a metodologia usada seja a mesma, as chaves são di�erentes para 
cada usuário. Sendo assim, certa di�iculdade é criada para aqueles que tentarem 
deci�rá-las. Con�orme já descrito, o DES com chave de 56 bits se tornou inseguro, 
embora a quantidade de combinações possíveis seja 256 (72.057.594.037.927.936), 
uma quantidade consideradamente alta, o poder computacional dos supercomputa-
dores levariam poucas horas para conseguir deci�rá-la.
10
11
Pelo motivo exposto anteriormente, �oram �eitos alguns aper�eiçoamentos, como 
aumentar a quantidade de bits da chave de 56 para 1024. Dessa �orma, a quebra 
da chave �ica bastante di�ícil.
Por outro lado, um tamanho de chave com essa quantidade de bits tornaria o 
método ine�iciente, pois in�luenciaria no desempenho de troca de mensagens, pois 
há um custo usado no processamento da criptogra�ia delas.
Outro entrave relacionado a algoritmos baseado em Chave Simétrica está na 
quantidade de chaves que devem ser distribuídas, ou seja, se eu quiser me comu-
nicar com você usarei uma chave que somente você poderá deci�rar; caso queira 
enviar uma mensagem para outra pessoa, então, não poderei usar a mesma chave 
que usei para enviar uma mensagem para você.
Figura 1 – Operação básica do DES
Fonte: Kurose, 2003
Essa característica torna impraticável a troca de mensagens, atualmente, pois 
a quantidade de chaves que deverei ter para me comunicar com os meus contatos 
deverá ser di�erente e, portanto, terei de ter uma chave para cada pessoa para a 
qual terei de enviar uma mensagem.
Para solucionar esse tipo de problema, um novo método �oi desenvolvido, ao 
qual damos o nome de Criptogra�ia de Chaves Públicas.
11
UNIDADE Criptografa 
Criptogra�ia de Chaves Públicas
A Criptogra�ia de Chaves Públicas é usada na maioria dos algoritmos de 
criptogra�ia disponíveis atualmente. Além de resolver o problema da quantidade 
de chaves, resolve o problema da necessidade de ter de passar a chave para outra 
pessoa em especí�ico e ela ser descoberta.
Na criptogra�ia simétrica, há necessidade de que a comunicação seja sempre segura, 
para evitar que a chave seja descoberta. Na época da ci�ra de Cesar, os indivíduos que 
iam enviar e receber uma mensagem deveriam se encontrar antes, para que as regras 
�ossem estabelecidas; hoje, tecnologicamente, isso é impossível de ser praticado.
A ideia da Chave Pública é interessante: ela consiste em ter duas chaves, uma 
chamada chave privada e outra chamada chave pública.
A chave pública será de conhecimento de todos; no entanto a chave privada so-
mente seu dono a terá,ou seja, numa comunicação, somente eu terei a minha chave 
privada, a outra chave, chamada chave pública, eu irei distribuir para todos; portanto, 
será de conhecimento geral, inclusive daqueles que estão mal intencionados.
A vantagem deste tipo de abordagem é que, se uma pessoa �or se corresponder 
comigo, ela usará a chave pública re�erente à minha chave privada para criptogra�ar 
a mensagem.
Dessa �orma, somente eu que tenho a chave privada re�erente à chave pública 
usada para criptogra�ar irei deci�rar a mensagem.
A Figura 2 apresenta o método básico da Criptogra�ia com Chave Pública.
Figura 2 – Uso de chave pública e chave privada
Fonte: Rocha, 2016
Na Figura 2, quando a máquina representada por Manuel �or enviar uma mensa-
gem para a máquina que está representada por João, a máquina do Manuel deverá 
usar a chave pública de João para criptogra�ar a mensagem e enviá-la.
Somente a chave privada de João poderá deci�rar a mensagem criptogra�ada 
com sua chave pública e, sendo assim, quando a mensagem chegar para a máquina 
de João, ela conseguirá deci�rá-la sem problemas.
12
13
Outras pessoas poderão interceptar essa mensagem, mas não conseguirão deci-
�rá-la, pois não terão a chave privada de João.
Mas ainda há algumas questões que devem ser avaliadas. Por exemplo, já que todos 
conhecem a chave pública de uma determinada pessoa e também conhece o algoritmo 
de criptogra�ia usado, então alguém poderia se �azer passar por outra pessoa ao enviar 
uma mensagem. 
Ex
pl
or
Com o uso da chave pública e da chave privada, é possível garantir a identidade 
do remetente, pois a criptogra�ia de uma mensagem pode ser �eita tanto pela chave 
pública quanto pela chave privada.
Ainda nesta Unidade, iremos ver como �azer isto.
Outra questão é que a chave privada não poderá cair em mãos alheias, caso isso ocorra, 
então, o intruso poderá deci�rar qualquer mensagem enviada.Ex
pl
or
O algoritmo conhecido por RSA, iniciais de Ron, Shamir e Adleman, desenvolve-
dores do algoritmo, é um dos mais usados em Criptogra�ia com Chave Assimétrica.
Ele di�ere do algoritmo usado no DES, pois usa operações matemáticas ao invés 
de usar permuta e embaralhamento.
O RSA usa cálculos que envolvem números primos e �atoração como procedi-
mento para criptogra�ar um caractere.
Veja a seguir os passos e um exemplo que está descrito em Kurose, 2003.
Para criptogra�ar uma mensagem os seguintes passos devem ser seguidos.
1. Escolhem-se dois números primos grandes, p e q. Para criar uma comple-
xidade maior para a ci�ragem de pessoas não autorizadas, deve-se escolher 
os números primos mais altos possível. O algoritmo deve escolher o nú-
mero com certa coerência, pois quanto maior o número primo, mais di�ícil 
f cará a ci�ragem por pessoas não autorizadas, como também f cará mais 
lenta a criptograf a da mensagem. O RSA Laboratories recomenda que o 
produto de p e q seja da ordem de 768 bits para uso pessoal e 1024 bits 
para uso empresarial;
2. Calcular n = p . q e z=(p – 1) . (q – 1);
3. Escolher um número “e” menor do que “n” que não tenha �atores 
comuns com “z” (não deve ser considerado o número 1). Nesse caso, 
dizemos que “e” e “z” são números primos entre si. A letra “e” (�oi usa-
da porque o resultado correspondente a ela será usado na criptograf a 
da mensagem);
13
UNIDADE Criptografa 
4. Achar um número “d” tal que “ed-1” seja exatamente divisível (isto é, não 
haja resto na divisão) por “z”. A letra “d” é usada porque seu valor será 
usado na decriptografa da mensagem, ou seja, dado “e”, escolhemos “d” 
tal que o resto da divisão de “ed” por “z” seja o úmero inteiro 1. Usaremos 
o cálculo “x mod n” para indicar o número inteiro, que será o resto da 
divisão de “x” por um inteiro “n”.
Após concluir todos estes passos, chegamos ao par de chave pública que estará 
indicada em “n” e “e”. Esse par de chave será conhecido por todos. O par de chave 
privado estará indicado nas letras “n” e “d”. Para �icar mais claro como são encon-
tradas os pares de chaves pública e privada, vamos seguir um exemplo simples.
O primeiro passo da regra descreve que devemos escolher “p” e “q”. Para esse 
exemplo, usaremos números primos pequenos p = 5 e q = 7 embora, como regra 
pede-se para usar números primos grandes.
Considerando esses valores, temos de realizar o seguinte cálculo, re�erente ao 
passo 2:
n = p . q → n = 5 . 7 → n = 35
z = (p – 1) . (q – 1) → z = (5 – 1) . (7 – 1) → z = 24
No passo 3, escolhe-se um número menor que n que não tenha �ator comum 
com o z. Nesse caso, temos de escolher um número primo que seja menor que 24. 
Para �ins didáticos, vamos escolher o número 5, porque, além de ser menor que 
24, ele é um número primo e não tem �ator comum com 24, lembrando-se de que 
qualquer outro número primo menor que 24 poderia ser escolhido, desde que a 
regra �osse respeitada; portanto, o valor de “e” escolhido tem o valor 5.
O próximo passo descreve que temos de escolher um número que multiplicado 
por 5 menos 1 seja divisível por 24.
Essa regra re�ere-se ao passo 4. Esse número pode ser encontrado aplicando 
uma variação do teorema de Euclides, chamado de teorema de Euclides estendido 
para cálculo do máximo divisor comum.
Teoria dos Números e Sistemas Criptográfcos, acesse: https://goo.gl/WrTGwk.
Ex
pl
or
Como o objetivo não é explicar o cálculo, vamos considerar que o valor �oi 
obtido por �orça bruta, ou seja, troca-se o valor de “d” sucessivamente na �órmula 
((ed –  1)  /  24) até que o resto dê zero. Portanto, o valor de “d” será 29, pois 
(5 * 29 – 1) /24 = 6 com resto zero, então 29 será o “d”.
Desenvolvidos os passos, as chaves públicas e privadas já estão de�inidas. Para a 
chave pública, aquela que será divulgada, serão os números n = 35 e e = 5; a chave 
privada, que não poderá ser divulgada, tem o valor d = 29.
14
15
Cabe ressaltar, novamente, que esse é um exemplo simples, somente usado para 
�ins didáticos. Como já �oi mencionado, os valores escolhidos são altos o bastante 
para di�icultar que pessoas não autorizadas tenham acesso à mensagem e também 
para que o destinatário possa deci�rá-la com desempenho aceitável.
O passo seguinte consiste na criptogra�ia e na deci�ragem da mensagem.
Para criptogra�ar a mensagem, podemos usar a seguinte �órmula:
C= (código numérico do caractere a ser criptogra�ado)e  mod n
Observe que na �órmula estão indicado as letras “e” e “n” re�erentes à chave pú-
blica; portanto, para criptogra�ar uma mensagem, os valores de “e” e “n” deverão 
ser usados.
Para deci�rar a mensagem, somente a chave privada, re�erente ao par de chave 
pública, poderá �azer, usando a �órmula:
M= (texto ci�rado)d  mod n
Vamos criptogra�ar uma mensagem aproveitando o cálculo que e�etuamos 
acima e depois vamos deci�rá-la, ou seja, vamos simular a criptogra�ia RSA e 
depois deci�rá-la.
Para �ins didáticos, vamos considerar os valores das letras começando de 1 até 
o 26; portanto, a primeira letra do al�abeto “a” valerá 1 e a última letra do al�abeto 
“z” valerá 26. 
Vamos criptogra�ar a palavra “mesa”. A Tabela 2 apresenta os resultados 
para criptogra�ar.
Tabela 2 – Resultado da criptograf a
Palavra Representação numérica Caractere elevado a e = 5 Coluna anterior mod n
m 13 371293 13
e 5 3125 10
s 19 2476099 24
a 1 1 1
Para deci�rar a mensagem, deve-se usar a chave privada re�erente à chave 
pública . Nesse caso, a chave privada �oi calculada como d = 29. 
A mensagem, chegando para o destinatário, poderá ser deci�rada usando a �ór-
mula (texto ci�rado)d  mod n.
O mecanismo da chave pública e chave privada nos dá a possibilidade de conse-
guimos três métodos distintos de enviar mensagens codi�icadas. 
O primeiro método já �oi descrito na explanação dada até aqui para uso de cha-
ves públicas e privadas.
15
UNIDADE Criptografa 
A Tabela 3 apresenta a decriptogra�ia �eita da palavra “mesa”:
Tabela 3 – Exemplo do processo de decriptografa
Texto criptogra�ado Texto ci�rado elevado a d=29
Valor da coluna 
anterior mod n
Coluna anterior 
mod n13 2,0153812643461115079850395637177e+32 13 13
10 100000000000000000000000000000 5 10
24 1,0620036506406716776157242913621e+40 19 24
1 1 1 1
Esse método é descrito no livro Comunicações entre computadores e tec-
nologia de redes (GALLO, 2003) da seguinte �orma: “Se desejarmos enviar uma 
mensagem codi�icada, codi�icamos nossa mensagem usando sua chave pública. 
Dessa maneira, você pode decodi�icar a mensagem usando sua chave privada.”
O problema dessa abordagem está em não saber quem �oi que enviou a mensa-
gem, pois, como �oi descrito, minha chave pública é de conhecimento de todos e 
terá de ser usada para enviar uma mensagem codi�icada para mim.
Para resolver esse problema, há um segundo método descrito por Gallo (2003):
Se desejarmos enviar a você uma mensagem codi�icada e quisermos que 
você tenha absoluta certeza de que é nossa, então codi�icaremos nossa 
mensagem usando nossa chave privada. Você então decodi�ica a men-
sagem usando nossa chave pública. Uma vez que é nossa chave pública 
que realmente decodi�ica nossa mensagem, você terá certeza que a men-
sagem veio de nós.
Como podemos criptogra�ar e deci�rar com qualquer uma das chaves, então, 
essa abordagem dá garantias da autenticidade da mensagem, ou seja, já que somen-
te eu tenho minha chave privada, então, eu a uso para criptogra�ar a mensagem e 
enviá-la. Aquele que receber a mensagem somente poderá deci�rá-la usando minha 
chave pública.
Esse tipo de criptogra�ia, que garante a identidade, é muito importante em tran-
sações �inanceiras �eitas pela Internet.
A Figura 3 demonstra o processo desse tipo de criptogra�ia.
Há um terceiro método que garante que a mensagem está sendo enviada crip-
togra�ada por nós e que apenas você possa deci�rá-la e ainda tenha certeza da 
identidade dela.
Esse método está descrito em Gallo (2003) da seguinte �orma:
Primeiramente, codi�icamos nossa mensagem usando a chave públi-
ca. (Isto �az a mensagem ser secreta). Codi�icamos então esse código 
 novamente usando nossa chave privada (isto garante que a mensagem 
é nossa). No recebimento da mensagem, você precisa decodi�icá-la duas 
16
17
vezes, primeiramente usando nossa chave pública e então usando sua 
chave privada. Agora, apenas você pode ter a mensagem e ela só pode ter 
sido enviada por nós.”
Figura 3 – Criptograf a para garantir a identidade
Fonte: Rocha, 2016
Perceba que, antes de enviar a mensagem, duas criptogra�ias são �eitas, uma 
usando a chave pública e outra usando a chave privada.
A primeira criptogra�ia, usando a chave pública, codi�ica a mensagem para ser 
decodi�icada apenas pelo destinatário; a segunda criptogra�ia, usando a chave pri-
vada, garante a identidade do remetente.
Embora seja mais seguro enviar mensagens criptogra�adas, isto não garante que 
a mensagem esteja totalmente segura. Sempre haverá interesse em quebrar a chave.
Certi�icação Digital
O Certi�icado Digital é um documento usado para comprovar a identidade pes-
soal de uma Empresa ou site no meio eletrônico.
Nós, seres humanos, conseguimos nos identi�icar no território nacional pelo 
Registro Geral (RG), ou então, numa viagem internacional, usamos o passaporte. 
No meio virtual, é usada uma chave expedida por um órgão o�icial que irá iden-
ti�icá-lo no meio eletrônico. Isso é necessário para a troca eletrônica de mensagens, 
dados e transações �inanceiras de �orma mais segura.
No Internet Explorer, o browser da Microsoft, usado para acesso à Internet, há 
como veri�icar os Certi�icados Digitais instalados. Essa instalação é �eita de �orma 
automática, sendo assim não precisamos nos preocupar em instalar um Certi�icado 
Digital, por esse motivo, um usuário comum, di�icilmente, saberá que está usando 
um Certi�icado Digital.
O acesso a esses Certi�icados Digitais podem �eitos abrindo o Internet Explores. 
No menu “ferramentas”, há como selecionar o item “opções”. Ao seguir esses 
passos, você verá uma janela semelhante à apresentada na Figura 4, desde que 
selecione a aba “conteúdo”:
17
UNIDADE Criptografa 
Figura 4 – Certifcados Digitais – Internet Explorer
Perceba que há um item chamado Certi�icados, no qual são apresentados alguns 
botões, inclusive um escrito “certificado”; selecione-o.
A janela apresentada na Figura 5 será apresentada.
Figura 5 – Janela de Certifcados
Como você poderá perceber, há várias chaves instaladas; para veri�icar quais são 
e a �inalidade do Certi�icado, altere as abas disponíveis.
Os Certi�icados Digitais usam o conceito de chaves públicas e privadas. Desse 
�orma, é possível combiná-las, con�orme já discutido, para obter sigilo, autenti-
18
19
cidade e integridade das in�ormações trocadas com Instituições Financeiras, sites 
do Governo e comércio eletrônico, mantendo a privacidade dos cidadãos.
Os Certi�icados Digitais são emitidos por órgãos certi�icadores, que seguem nor-
mas rígidas de segurança para dar garantia de autoria, ou seja, geram chave pública 
para Empresas, sites e cidadãos.
Para obter um Certi�icado Digital, a Empresa ou cidadão deverá comunicar a 
uma Autoridade Certi�icadora o seu interesse.
Dessa �orma, a Autoridade Certi�icadora irá gerar a chave pública e lhe �ornecer 
para que você possa usá-la; portanto, se você ou sua Empresa desejar o�erecer maior 
grau de segurança para seus clientes, você deverá solicitar um Certi�icado Digital. 
A seguir, são apresentadas algumas Certi�icadoras autorizadas:
• Serpro;
• Caixa Econômica Federal;
• Serasa Experian;
• Receita Federal;
• Certisign;
• Imprensa o�icial;
• AC-JUS (Autoridade Certi�icadora da Justiça);
• ACPR (Autoridade Certi�icadora da Presidência da República).
Cada uma usa critérios di�erentes para gerar o Certi�icado Digital; portanto, os 
preços para obter um Certi�icado Digital podem ser di�erentes entre as Autoridades 
Certi�icadoras.
A Receita Federal estabeleceu que as Empresas deverão ter Certi�icado Digital 
para transmitir documentos e demonstrativos para o Órgão.
Como as in�ormações estão cada vez mais sendo digitalizadas, no �uturo, vai ser 
comum um indivíduo ter um Certi�icado Digital e, consequentemente, uma assina-
tura digital.
Montando um Diretório 
Criptogra�ado no Servidor Linux
Os Sistemas Operacionais usados em servidores o�erecem a possibilidade para 
criptogra�ar os arquivos neles armazenados. 
Tomando como base o Sistema Operacional Linux, vamos montar um diretório 
para que os arquivos neles inseridos sejam criptogra�ados. Para isso, vamos baixar 
uma �erramenta para criptogra�ia.
19
UNIDADE Criptografa 
O primeiro passo será atualizar os pacotes utilizando o comando apresentado 
na Figura 6:
Figura 6 – Comando para atualização dos pacotes
Agora, com os pacotes já atualizados, vamos baixar a �erramenta para criptogra�ar.
A Figura 7 apresenta o comando utilizado:
Figura 7 – Comando para baixar a �erramenta de criptografa
Vamos criar um diretório que será usado para criptogra�ar os arquivos inseridos 
e nele criados:
Figura 8 – Comando criar um diretório
Pronto: basta executar o comando da Figura 9 para que uma série de opções 
sejam apresentadas.
Figura 9 – Comando criptogra�ar
As opções da Figura 10 serão apresentadas.
Para esse teste, �oram escolhidas as opções padrões, ou seja, aquela sugerida 
pela �erramenta; portanto, basta apertar a teclas “enter” em cada opções sugerida.
Figura 10 – Opções sugeridas pela �erramenta
Nesse momento, o diretório já está pronto para ser usado. Vamos criar um ar-
quivo dentro desse diretório para criptogra�a-lo e vamos entrar no diretório criado.
Para esse caso, aplicamos o seguinte comando “cd criptogra” e, dentro do di-
retório, vamos executar o comando “nano teste”, ou seja, estamos criando um 
arquivo chamado teste.
20
21
Escreva algumas palavra no arquivo; para gravar utilize as teclas “crtl o” e para 
sair do editor nano utilize as teclas “ctrl x”.
Para permitir que os arquivos sejam criptogra�ados, devemos desmontar o dire-
tório criado.
Utilize o comando apresentado na Figura 11 para desmontar:
Figura 11 –Comando para desmontar o diretório
Para veri�icar o resultado da criptogra�ia, tente ler o arquivo utilizando o coman-
do apresentado na Figura 12.
Figura 12 – Comando ler o arquivo
Você irá veri�icar que algo como o apresentado na Figura 13 será apresentado, 
ou seja, não é possível entender o que está escrito nesse arquivo:
Figura 13 – In�ormações do arquivo criptogra�ado
Para poder ler novamente o conteúdo do arquivo, basta montá-lo novamente, 
con�orme �oi �eito na Figura 9.
21
• Virtual Private Network – VPN;
• Protocolo de Canalização Ponto a Ponto;
• Protocolo de Envio de Camada 2;
• Protocolo de Canalização de Camada 2;
• IPSec;
• Implementando uma VPN;
• Con�igurar Conexão.
• Estudar para que serve e como é utilizada uma Rede VPN, bem como os principais Proto-
colos usados para Tunelamento utilizados na Rede Virtual Privada (VPN);
• Implementar uma Rede Virtual Privada utilizando um servidor Linux e a aplicação PPTP 
utilizando cliente Windows 7;
• Conhecer o Protocolo IPSec e suas variações e soluções para ser utilizado no Protocolo IP 
versão 4 e na Rede Virtual Privada (VPN).
OBJETIVOS DE APRENDIZADO
VPN
UNIDADE VPN
Virtual Private Network – VPN
Frequentemente, ouvimos falar sobre VPN e que deve ser usada para possibilitar 
acesso remoto à Rede da Empresa; mas, os mecanismos que a tornam seguras, nem 
todos conhecem. Assim, vamos conhecer alguns conceitos importantes sobre VPN.
A VPN, na maioria das vezes, utiliza a Rede pública de comunicação de Dados 
(Internet) para trafegar informações de forma segura. 
Ela pode ser descrita como o mecanismo capaz de interligar LANs geografi-
camente distantes, mas há situações em que a Concessionária telefônica de uma 
determinada região oferece esse serviço utilizando como meio uma linha privativa. 
Esse tipo de interligação tem custo bem maior; porém, oferece mais segurança.
A VPN utiliza o esquema cliente/servidor; portanto, para ter acesso à Rede, o 
cliente que está remotamente deve solicitar o serviço, ser autenticado para ter acesso 
a ela e começar a transmissão dos Dados utilizando um algoritmo de criptografia. 
Há duas formas de usar a VPN utilizando a Internet como meio: a primeira de-
las, refere-se à interligação de duas LANs geograficamente distantes, usando como 
meio a Internet, através de um Tunelamento .
Um dos lados, o que faz a requisição para entrar na Rede, usa um computador 
definido como cliente, e o outro lado tem um servidor rodando o serviço de VPN. 
O servidor VPN é responsável por manter o túnel entre os dois pontos.
A outra forma de usar VPN refere-se a usar um computador remoto com um 
software instalado para implementá-la. Nesse caso, o computador que implemen-
tou a VPN deve manter os mecanismos para criar um Tunelamento entre os dois 
pontos de comunicações. 
A Figura 1, a seguir, mostra uma conexão VPN.
Figura 1 – Exemplo de conexão VPN
Fonte: Acervo do Conteudista
O Tunelamento formado entre as duas máquinas é realizado por meio de meca-
nismos de criptografia para evitar que outras pessoas consigam acessar o conteúdo 
que está sendo trocado entre os dois lados, e esse mecanismo deve ser fornecido 
pela máquina que está rodando o serviço VPN, ou seja, o servidor.
Segundo Catramby (2009?), a motivação que levou ao desenvolvimento da VPN 
foi o custo, pois, ao invés de utilizar um grande número de linhas dedicadas para a 
8
9
interconexão entre diversos pontos, o que onera muito o custo da Rede com aluguel 
de linhas dedicadas, manutenção de diversos links para cada conexão, manutenção de 
equipamentos para diferentes conexões, uso de vários roteadores, monitoramento de 
tráfego nas portas de acesso remoto e grande número de portas, entre outros, uma 
VPN aproveita os serviços de Redes IP espalhadas mundialmente, inclusive a Internet.
A VPN usa também os provedores de serviços baseados em IPs backbones priva-
dos, os quais, apesar de limitados em alcance, podem oferecer melhor performance 
de serviço que a Internet, em detrimento do aumento de custos. 
Fazendo-se uma mistura de serviços prestados pela Internet e serviços presta-
dos por IPs backbones privados, uma Corporação poderá tirar vantagens sobre a 
performance do serviço e a redução dos custos. 
Embora muitas Empresas implementam VPN para dar acesso a funcionários 
para trabalhar em casa acessando a Rede da Empresa, ele pode acessá-la de qual-
quer lugar, basta que tenha acesso à Internet e esteja rodando um software que 
possibilite a conexão remota.
Essa característica passa a ser uma vantagem extremamente importante, pois 
oferece mobilidade e flexibilidade para os funcionários que trabalham com vendas 
ou outras atividades nas quais os funcionários não tenham de fixar pontos. O custo, 
sem dúvida alguma, é outro fator que deve ser explorado quando é necessário fazer 
acesso remoto à Rede da Empresa.
Antes do desenvolvimento da VPN, os acessos remotos só poderiam ser feitos 
utilizando linhas privativas com custos mensais fixos. Após o desenvolvimento da 
VPN, as Empresas começaram a ter alternativa mais flexível e com menor custo. 
Além disso, a Empresa não precisa contratar mais links para interconectar filiais; 
para que isso seja possível, basta instalar um aplicativo na máquina cliente para ter 
acesso à Rede da Empresa.
Figura 2 – Exemplo de várias conexões VPN 
Fonte: Acervo do Conteudista
9
UNIDADE VPN
A VPN utiliza o TCP/IP para trafegar informações entre duas máquinas. Se não 
fossem os mecanismos usados para permitir segurança, esse seria um meio ruim 
para transmitir informações seguras, pois o TCP/IP foi desenvolvido numa época 
em que questões como segurança da informação não estavam bem estabelecida 
ainda, mesmo porque, eram poucos usuários que acessavam a grande Rede. 
Com o tempo, a Internet se desenvolveu e vem se desenvolvendo em um ritmo 
interessante, mais e mais pessoas a cada ano a acessam e as preocupações com 
segurança se tornaram primordiais. O problema é que o TCP/IP foi o Protocolo 
escolhido para trafegar informações pela Rede e algumas técnicas deveriam ser 
desenvolvidas para implantar segurança sobre o TCP/IP. 
Rede Privada Virtual – VPN, disponível em: https://bit.ly/2UUjryC
Ex
pl
or
Conforme Catramby (2009?) as Tecnologias que possibilitam a criação de um 
meio seguro de comunicação na Internet devem assegurar que uma VPN seja ca-
paz de:
• Proteger a comunicação de escutas clandestinas: a privacidade ou a prote-
ção dos Dados é conseguida pela criptografia que, por meio de transformações 
matemáticas complexas, “codifica” os pacotes originais, para depois decodifi-
cá-los no final do túnel. Essa codificação é o aspecto mais difícil e crítico em 
Sistemas que implementam a criptografia;
• Proteger os Dados de alteração: esta proteção é alcançada por meio de 
transformações matemáticas chamadas de “hashing functions”, as quais criam 
“impressões digitais” utilizadas para reconhecer os pacotes alterados;
• Proteger a Rede contra intrusos: a autenticação dos usuários previne a en-
trada de elementos não autorizados. Vários Sistemas baseados em “password” 
ou “challenge response” como o Protocolo CHAP (Challenge Handshake 
Authentication Protocol) e o RADIUS (Remote Dial-in Service Protocol), assim 
como tokens baseados em hardware e Certificados Digitais podem ser usados 
para a autenticação de usuários e para controlar o acesso dentro da Rede.
Os itens citados acima podem ser adquiridos pela técnica de Tunelamento, sen-
do que Tunelamento significa criar mecanismos de comunicação segura entre dois 
pontos. Ele é criado por algoritmos de criptografia implementado em alguns Proto-
colos, dentre os quais, temos:
• GRE – (Generic Routing Protocol): Protocolo geralmente configurado nos 
roteadores de origem e nos roteadores de destino. Os pacotes que serão trans-
mitidos são encapsulados num Protocolo, por exemplo, IP, encapsulados no 
GRE e transmitidos. Ao chegar ao destino, os pacotes são desencapsulados, 
retirando-os do GRE e os entregando no seu formato originalpara continuar 
o seu caminho.
10
11
 Figura 3 – Conexão usando conf guração GRE
Fonte: Acervo do Conteudista
Segundo Catramby (2009?) essa forma de transmissão tem algumas vanta-
gens, como:
• Os túneis GRE são, geralmente, configurados manualmente, o que requer um 
esforço grande no gerenciamento e na manutenção de acordo com a quanti-
dade de túneis: toda vez que o final de um túnel mudar, ele deverá ser manu-
almente configurado;
• Embora a quantidade de processamento requerida para encapsular um pacote 
GRE pareça pequena, existe uma relação direta entre o número de túneis a 
serem configurados e o processamento requerido para o encapsulamento;
• Uma grande quantidade de túneis poderá afetar a eficiência da Rede.
Os outros Protocolos não são definidos em roteadores ou outros gateways. 
Na verdade, eles utilizam a linha discada para estabelecer conexões com os servi-
dores; portanto, os Protocolos apresentados a seguir são mais acessíveis e utilizados 
por Empresas e usuários.
Protocolo de Canalização Ponto a Ponto 
O Protocolo PPTP (Point-to-Point Tunneling Protocol) foi desenvolvido por al-
gumas organizações. Entre elas, a IETF (Internet Engineering Task Force), a U.S 
Robotcs e a Microsoft. 
Ele foi integrado no Windows NT para conectar dois equipamentos ponto a 
ponto, usando criptografia e autenticação para discagem remota, a fim de estabe-
lecer conexões entre Redes locais. 
O serviço PPTP pode ser fornecido de duas formas: a primeira refere-se à co-
nexão diretamente com um cliente PPTP, e a segunda forma refere-se à conexão 
indireta por um servidor com PPTP por meio de um provedor de Internet; ambas 
as formas usando linha discada. Ele foi desenvolvido implementando algumas ca-
racterísticas do Protocolo PPP e GRE.
Conf gurando PPTP no Windows. Disponível em: https://bit.ly/2D6vkre
Ex
pl
or
11
UNIDADE VPN
Segundo Catramby (2009?) um usuário disca para o provedor de acesso à Rede, 
mas a conexão PPP é encerrada no próprio servidor de acesso. 
Uma conexão PPTP é, então, estabelecida entre o Sistema do usuário e qualquer 
outro servidor PPTP que o usuário deseja conectar, desde que ele seja alcançável por 
uma rota tradicional e que o usuário tenha privilégios apropriados no servidor PPTP.
Protocolo de Envio de Camada 2
O L2F (Layer 2 Forward Protocol) prove canalização entre o cliente e o servidor 
VPN discado; portanto, é um Protocolo de Tunelamento que provê segurança entre 
as duas pontas. 
Segundo Gallo, (2003, p. 552) nessa aplicação, um usuário estabelece comuni-
cação discada do Protocolo PPP ao servidor do provedor de Internet.
Esse servidor embrulha os quadros PPP dentro de um quadro L2F que, então, 
é enviado a um dispositivo da camada 3 para transmissão pela Rede. O próprio 
roteador é responsável pela autenticação de usuários e endereçamento de Rede. 
Ele ainda suporta servidores de autenticação TACACS+ e RADIUS. Além disso, 
oferece compatibilidade com outros Protocolos, como Frame Relay e ATM, diferen-
temente do PPTP, que trabalha apenas com o IP.
Protocolo de Canalização de Camada 2
O Protocolo L2TP (Layer 2 Tunneling Protocol) é um mix entre o Protocolo 
PPTP e L2TP; ele foi desenvolvido para trafegar por diversos meios como o X25, 
o Frame-Relay e o ATM. 
Segundo Catramby (2009?), esse Protocolo é um modelo de Tunelamento “com-
pulsório”, ou seja, criado pelo provedor de acesso, não permitindo ao usuário qual-
quer participação na formação do túnel (o Tunelamento é iniciado pelo provedor 
de acesso). 
Nesse modelo, o usuário disca para o provedor de acesso à Rede e, de acordo 
com o perfil configurado para o usuário e, ainda, em caso de autenticação positiva, 
um túnel L2TP é estabelecido dinamicamente para um ponto pré-determinado, em 
que a conexão PPP é encerrada.
O Protocolo PPTP e L2TP é muito parecido, mas uma diferença significante 
para o usuário é que enquanto o L2TP tem todo o controle feito por um prove-
dor e, então, pode ser cobrado o que o torna inviável para alguns usuários e até 
Empresas, o PPTP pode ser usado pelo usuário sem que tenha o controle feito 
pelo provedor.
12
13
Figura 4 – L2TP x PPTP 
Fonte Catramby (2009?)
Conf guração VPN no Sistema Operacional Linux. Acesse: https://bit.ly/2KtaNDq
Ex
pl
or
IPSec
O Protocolo IPSec (IP Security) é uma suíte de Protocolo proposto pela IETF 
que inclui cabeçalho de autenticação – AH (Authentication Header), carga de en-
capsulamento definida como ESP (Encapsulating Security Payload) e troca de cha-
ves na Internet IKE (Internet Key Exchange). 
Rede Privativa (VPN) com IPSec. Acesse: https://bit.ly/2KsjPAq
Ex
pl
or
Segundo Catramby (2009?), o IPSec é baseado em várias tecnologias de 
criptografias padronizadas para proverem confiabilidade, integridade de Dados 
e confiabilidade. 
Ele utiliza:
• Diffie-Hellman-Key-exchanges para entregar chaves criptográficas entre as 
partes na Rede pública;
• Public-Key-criptography para sinalizar trocas do tipo Diffie-Hellman e garantir 
a identificação das duas partes, evitando, assim, ataques de intrusos no meio 
do caminho;
• DES e outros algoritmos para criptografar Dados;
13
UNIDADE VPN
• Algoritmos para autenticação de pacotes que utilizam “hashing functions”;
• Certificados digitais para validar chaves públicas.
Figura 5 – Cabeçalho de autenticação
Fonte: Gallo, 2003
O cabeçalho de autenticação, que é parte da suíte de Protocolo IPSec, provê ser-
viço de autenticação para o IP. O AH protege os Dados de serem alterados durante 
a transmissão. 
Figura 6 – Pacote IP com ESP
Fonte: Gallo, 2003
O cabeçalho de carga de segurança de encapsulamento, que é parte da suíte de 
Protocolos IPSec, provê serviço de encriptação para o IP. O cabeçalho ESP segue 
imediatamente o cabeçalho IP ao pacote IPv4 padrão
14
15
Implementando uma VPN
A VPN é uma das alternativas mais usadas, atualmente, para acesso à Rede 
de uma Empresa. Isso se deve por oferecer segurança e também baixo custo na 
sua implementação. 
Basta ter um servidor com configuração adequada para que o acesso seja possível.
A partir desse momento, vamos implementar uma VPN num servidor Linux e 
acessá-la por um cliente Windows.
O primeiro passo para instalação será baixar os pacotes de um servidor VPN, 
utilizando o comando apresentado na Figura 7.
Figura 7 – Comando para baixar pacotes da VPN
Após baixar os pacotes, devemos configurar alguns arquivos para viabilizar a 
conexão de um cliente VPN ao servidor que estamos instalando. 
O primeiro arquivo que iremos configurar chama-se “pptpd.conf”. Ele se encon-
tra no diretório “etc”. 
Para editar o arquivo use o comando apresentado na Figura 8.
Figura 8 – Comando para edição do arquivo “pptpd.con�”
O conteúdo do arquivo será apresentado após aplicação do comando apresen-
tado na Figura 8. 
A Figura 9 apresenta a parte do arquivo que devemos configurar; portanto, lo-
calize no final do arquivo as linhas que estão selecionadas na Figura 8.
Figura 9 – Conf guração do arquivo “pptpd.con�”
15
UNIDADE VPN
As duas linhas selecionadas na Figura 9, por padrão, já estão no arquivo «pptpd.
conf”. Elas estão comentadas, ou seja, estão com o símbolo “#” no início da linha. 
Esse símbolo deve ser retirado e a configuração do endereço local definido com 
o comando “localip” e deve ser configurado. Insira o endereço do servidor do VPN, 
nesse caso, o endereço IP “192.168.1.19” foi configurado, pois o servidor VPN está 
sendo instalado nesse endereço.
A outra informação que deve ser configurada está relacionada aos endereços IP 
que irão se conectar a esse servidor VPN. 
A segunda linha selecionada, apresentada na Figura 9, apresenta o comanto “re-
moteip”. Para esse caso, a faixa de endereço IP “192.168.1.17” até “192.168.1.238” 
foi configurada. Após definir essas duas linhas, grave as alterações “ctrl + o” e saia 
do arquivo “crtl + x”.
Vamos editar o arquivo “pptpd.conf” para definir mais alguns parâmetros, arqui-
vo esse que se encontra no caminho apresentado na Figura 10.
Figura 10 – Confguraçãodo arquivo “pptpd.con�”
A primeira definição que será feita nesse arquivo será o nome do sistema local para 
propósitos de autenticação. A linha selecionada na Figura 11 deve ser configurada. 
Para esse caso, foi definido o nome “pedras”.
Figura 11 – Confguração do arquivo “pptpd.con�”
Nesse mesmo arquivo, mais a seguir, encontre as duas linhas selecionadas, con-
forme apresentado na Figura 12, e as configure-as.
Nessas duas linhas, definimos o endereço IP dos dois DNS do Google.
16
17
Figura 12 – Conf guração do arquivo “pptpd.con�”
Ao finalizar as configurações no arquivo “pptpf.conf”, salve-o “ctrl + o” e saia 
do arquivo “ctrl + x”. Vamos configurar o usuário que poderá acessar o servidor 
VPN. Para isso, vamos editar o arquivo “chap-secrets”, que se encontra no diretório 
apresentado na Figura 13.
Figura 13 – Edição do arquivo “chap-secrets”
Ao executar o comando da Figura 13, o conteúdo do arquivo será apresentado. 
Nesse arquivo, devemos inserir o nome do cliente, o nome do servidor, a senha e o 
endereço IP dos usuários que poderão se conectar ao servidor. 
Após finalizar a configuração, grave o arquivo “ctrl + o” e saia “ctrl + x”.
Figura 14 – Edição do arquivo “chap-secrets”
Vamos reiniciar o servidor VPN para que ele considere as configurações estabe-
lecidas em seus arquivos.
Execute o comando apresentado na Figura 15 para reiniciar o serviço VPN.
Figura 15 – Comando para iniciar o serviço VPN
Para certificar que tudo está correto, vamos verificar o status do servidor execu-
tando o comando apresentado na Figura 16.
17
UNIDADE VPN
Figura 16 – Comando para verifcar o status do serviço VPN
As seguintes informações, conforme Figura 17, deverão ser apresentadas após a 
execução do comando da Figura 16:
Figura 17 – In�ormações sobre o status do serviço VPN
Como ser pode observar na Figura 17, o status do servidor está ativo, sendo 
executado.
Agora, vamos editar mais um arquivo para permitir pacotes IPv4. Para isso, 
edite o arquivo “sysctl.conf” apresentado na Figura 18.
Figura 18 – Edição do arquivo “sysctl.con�”
Após a execução do comando, o conteúdo do arquivo será apresentado confor-
me Figura 19.
Figura 19 – Edição do arquivo “sysctl.con�”
Tire o símbolo de comentário “#” da linha selecionada, conforme Figura 19; 
grave o arquivo “ctrl + o” e depois saia “ctrl + x”.
Pronto!
18
19
A configuração do servidor VPN já está finalizada; portanto, vamos configurar um 
cliente para acessar esse servidor VPN usando O Sistema Operacional Windows 7.
A configuração do cliente é feita pela criação de uma nova conexão ou Rede. 
Essa opção está disponível no painel de controle do Windows.
A Figura 20 apresenta a janela para configuração da conexão.
Figura 20 – Painel de Controle – Central de Rede e Compartilhamento
Deve-se escolher a opção “Configurar uma nova conexão ou Rede” e a janela 
da Figura 21 será apresentada:
Figura 21 – Painel de Controle
19
UNIDADE VPN
Confgurar Conexão
Escolha a opção “Conectar a um local de trabalho” e selecione o botão “Avan-
çar” . A janela apresentada na Figura 22 será disponibilizada:
Figura 22 – Criando nova conexão
Selecione a opção “Não, criar uma nova conexão” e selecione o botão “Avan-
çar”, e a janela da Figura 23 será disponibilizada.
Figura 23 – Estabelecendo uma conexão
20
21
Selecione a opção “Usar minha conexão com a Internet (VPN)” e abrirá uma nova 
janela, conforme Figura 24, para que você configure as informações do servidor. 
Figura 24 – Conf gurando a conexão VNP
Deixe marcada, conforme a Figura 24, a opção “Permitir que outras pessoas 
usem esta conexão” e selecione o botão “Avançar”. 
A janela apresentada na Figura 25 será disponibilizada:
Figura 25 – Conf gurando a conexão VNP
21
UNIDADE VPN
Insira o nome do usuário e a senha que foram definidas no servidor VPN e se-
lecione o botão “Conectar”. Estando as configurações corretas, a conexão com o 
servidor será estabelecida com sucesso e a janela da Figura 26 será apresentada:
Figura 26 – Conexão estabelecida com sucesso
Como se pode observar, a configuração de uma VPN para acesso à Rede da 
Empresa é uma solução que oferece segurança e pode ser feita utilizando-se o aces-
so à Internet sem custo adicional. 
Isso se torna atrativo para as Empresas, pois permite que funcionários possam 
trabalhar remotamente com segurança suficiente na conexão entre ambos.
22
• Introdução;
• Política de Uso dos Recursos de TI;
• Segurança no Terminal;
• Privilégios;
• Monitorando Senhas Fracas.
• Conhecer tópicos relacionados à norma sobre segurança da in�ormação para criar 
processos, procedimentos e políticas, diminuindo, assim, as vulnerabilidades que 
possam aparecer na rede de computadores;
• Aplicar conf gurações em servidores com sistema operacional Linux em con�ormi-
dade com alguns itens da norma.
OBJETIVOS DE APRENDIZADO
Política de Segurança
UNIDADE Política de Segurança
Introdução
É certo que as informações geradas por uma empresa têm valores incalculáveis, 
pois é a partir dessas informações que muitas empresas acabam mantendo os seus ne-
gócios, sendo assim, as informações devem ser protegidas. Para evitar-se perdas e rou-
bos das informações, precisamos aplicar as melhores práticas de política de segurança.
Cada empresa deverá, conforme necessidade e definição do quão importante 
são suas informações, aplicar um modelo de segurança. Mesmo que as empresas 
usem políticas de segurança diferentes, todas elas devem definir formalmente e di-
vulgar a seus funcionários como deverão proceder para preservar a integridade dos 
dados e como farão para garantir, também, a disponibilidade delas, oferecendo, 
assim, confidencialidade.
Pelas diversidades de características das empresas referente às necessidades 
de segurança, é impossível estabelecer um modelo padrão que sirva para todas 
elas. Isto se deve pela identidade que as empresas constroem, pelos processos 
adequados às suas necessidade, pela sua estrutura, organograma e outras carac-
terísticas particulares.
Pelos motivos citados anteriormente, as normas desenvolvidas para auxiliar no 
desenvolvimento de uma política de segurança não estabelecem como deve ser fei-
to ou controlado determinado item. Estas normas definem somente o que deve ser 
feito e cada empresa, para estar de acordo com as normas, definem como utilizá-las.
O certo é que alguns itens não podem ser deixados de lado nas empresas, são eles:
• Responsáveis: definir os responsáveis pela elaboração, divulgação, monitora-
ção e manutenção é importantíssimo no processo de estabelecimento de uma 
política de segurança. Geralmente, define-se um grupo de trabalho envolvendo 
alguns setores da empresa e não só o setor de TI. Isso faz com que haja um 
engajamento maior dos funcionários da empresa e, consequentemente, ficará 
mais fácil implementá-la.
• Informações: o grupo formado para estabelecer a política de segurança deve 
definir a sensibilidade dos dados, ou seja, deve separar quais dados são públicos 
e privados, quem pode acessá-los ou não. Separar os funcionários por níveis 
também é uma boa prática para permitir acesso a determinadas informações, 
classificando-as por níveis.
• Padrões de Qualidades: é importante também para a empresa definir sobre 
como os dados serão armazenados e como serão feitas a contenção deles, 
além de definir alguns critérios de tempo de recuperação e acesso, caso ocorra 
algum incidente.
8
9
• Clarificar sobre o Não Cumprimento da Política: deve-se também deixar cla-
ro para todos aqueles que utilizam os recursos da tecnologia da informação quais 
serão as consequências caso as normas não sejam respeitadas. As ações defini-
das devem contemplar o que será feito devido ao descumprimento das normas.
A política de segurança da informação define as diretrizes, os limites, o direcio-
namento que a organização deve seguir para a aplicação dos devidos controles e os 
métodos que serão implantados. A política é um conjunto de regras e definições que 
precisa ser feito paragarantir a segurança da informação.
Toda a documentação da política deve ser aprovada pela direção, publicada e comu-
nicada para todos os colaboradores, sejam internos ou externos. Neste documento, tam-
bém, deve estar expresso o comprometimento da direção, assim como as responsabilida-
des gerais e específicas na gestão da segurança da informação.
Pelas dificuldades descritas anteriormente, pode-se avaliar que a implementação 
de uma política não é tão simples e necessita de uma diretriz para que seja implan-
tada. Há algumas normas que auxiliam na implantação da política de segurança, 
dentre elas está a ABNT NBR ISP/IEC 27001:2006 que pode ser usada para faci-
litar a implementação.
A norma ABNT NBR ISP/IEC 27001:2006 foi preparada para prover um mo-
delo de estabelecer, implementar, operar, monitorar, analisar criticamente, manter 
e melhorar um Sistema de Gestão de Segurança da Informação.
Ela é uma norma que cobre todos os tipos de organizações, ou seja, foi desenvol-
vida para aplicação das melhores práticas para cobrir a segurança da informação, por 
esse motivo é uma boa referência tanto para empreendimentos comerciais, agências 
governamentais e também organizações sem fins lucrativos. Ela especifica os requisi-
tos necessários para implementar documentos de controles que consideram as neces-
sidades individuais das organizações.
Os principais pontos citados na norma são: estabelecer a política na empresa, 
qual a estratégia que ela usará para proteger a informação, como serão protegidos 
os desktops, notebooks, celulares; como serão tratados os backups, a contenção. 
É importante que cada empresa tenha já uma estratégia do que será protegido 
e documentar como isso será feito. Como se trata de proteger informações que 
estão geralmente em mídias eletrônicas, deve-se adotar melhorias contínuas, pois a 
estratégia do ciclo PDCA é a melhor a ser utilizada. Conforme a figura 1, a norma 
27001 sugere que este ciclo seja estabelecido.
9
UNIDADE Política de Segurança
Plan
Check
Monitoramento e 
análise crítica do SGSI
Estabelecimento
SGSI
Partes Interessadas Partes Interessadas
Segurança da 
informação 
gerenciada
Expectativas e
requisitos de
segurança da
informação
Manutenção e 
melhoria do SGSI
Implementação e
operação do SGSIDo Act
Figura 1 – Modelo PDCA
Fonte: Adaptado de abnt.org.br
O ciclo PDCA (Plain, Do, Check, Act - Planejar, Fazer, Verificar, Agir) funciona 
da seguinte forma:
• Planejar: definir e estabelecer a política, os objetivos, os processos e procedi-
mentos relacionados à segurança da informação. Deve-se avaliar os riscos e o 
que deve ser feito para melhorar a segurança da informação, tomando como 
referência o objetivo global da organização
• Fazer: implementar efetivamente o que foi planejado, colocar em prática os 
controles, os processos e procedimentos.
• Verificar: monitorar e medir o desempenho dos processos e procedimentos e 
apresentar os resultados para os stakeholders.
• Agir: Corrigir possíveis problemas encontrados nos procedimentos e pro-
cessos com base na análise crítica e/ou até auditorias realizadas em segu-
rança da informação.
Quando se trata de segurança da informação, este ciclo não terminará jamais. 
Os ataques, as tecnologias e vulnerabilidades são renovados a todo o momento e 
deve-se criar mecanismos para estar sempre atentos a esses fatores.
Política de Uso dos Recursos de TI
A política de uso de recursos de TI faz parte da documentação de política de 
segurança da empresa. Neste documento deve ter descrito o que pode e o que não 
pode ser feito com os recursos de TI da empresa
Em linhas gerais, os recursos de TI devem ser utilizados para fins da empresa 
e não para fins pessoais. Isso parece obvio, porém há muitos colaboradores que 
aproveitam a rede da empresa para, por exemplo, baixar filmes, músicas ou outros 
recursos de uso pessoal. Ocorrendo isso, corre-se o risco de colocar a rede da em-
presa em situações de riscos.
10
11
Outros itens devem ser abordados nessa política de uso de recursos de TI, por 
exemplo, deve ser descrito sobre os locais que poderão ser acessados os e-mails da 
empresa, como serão usados recursos de comunicação interna, em que locais os 
notebooks poderão ser usados, o que poderá ser instalado, quem poderá acessar 
as salas de equipamentos de TI etc.
Atualmente, há equipamentos e técnicas disponíveis para serem aplicados e poder 
chegar próximo dos cem por cento em segurança de uma rede de computadores e 
segurança da informação, no entanto, o ser humano é um fator preocupante dentro 
do processo de segurança. Por ser vulnerável, o ser humano oferece o maior risco 
em segurança da informação e por ele, sendo intencional ou não, é que as informa-
ções podem chegar em mãos alheias.
Enquanto a política de segurança de informação é um documento que irá tratar e 
descrever de forma mais técnica os processos e procedimentos a serem estabeleci-
dos na empresa, a política de uso de recursos de TI é uma norma desenvolvida para 
deixar claro aos colaboradores o que pode e não pode ser feito com os recursos de 
TI e quais serão as consequências da não aplicação dessas regras.
A política de uso de recursos de TI deverá ser apresentada aos colaboradores 
assim que eles ingressarem na empresa. Geralmente isso é feito já na integração, 
no entanto, não deve ficar restrita somente nesse período, pois o ser humano tende 
a esquecer depois de um determinado tempo. Considerando esse contexto, treina-
mentos devem ser feitos periodicamente para não cair em esquecimento e para, 
também, apresentar novos pontos definidos durante o aperfeiçoamento da norma 
devido a evolução das tecnologias e, consequentemente, de ataques e ameaças.
Usando de forma consciente os recursos de TI, os colaboradores estarão não só 
colaborando com a segurança da empresa como também estarão diminuindo custos 
relacionados ao mau uso destes recursos, contribuindo para que o projeto original de 
infraestrutura possa funcionar adequadamente.
Alguns itens definidos pelo grupo KYLY, uma empresa de confecções de roupas 
infantil, para o uso de recursos de TI são:
1. No expediente normal de trabalho é estritamente proibido:
a. Acessar endereço de e-mail pessoal e redes sociais;
b. Utilizar comunicadores coorporativo para fins pessoais, não há restri-
ções para monitoramento de ferramentas utilizados pela empresa;
c. Utilização de serviços de stream de vídeo ou áudio sem que esteja alinha-
do com a atividade da empresa;
d. Qualquer mensagem de uso discriminatório.
11
UNIDADE Política de Segurança
2. Proibido a utilização de aparelhos móveis durante o expediente normal de 
trabalho. Poderão utilizar apenas aqueles que se tenha permissão.
3. Proibido a impressão de trabalhos e documentos pessoais de uso particular.
4. Os colaboradores, que têm acesso a conteúdo restrito pela sua senha e re-
gistros de logs, poderão levantar quaisquer irregularidades que possam vir a 
ocorrer com estas informações.
5. O colaborador tem que proteger todas as informações geradas.
Política do uso de recursos de TI do grupo KYLY disponível em: https://goo.gl/u7uewg
Ex
pl
or
Os itens apresentados anteriormente são alguns que podem ser explorados por 
empresas para aumentar sua segurança. Outros itens relacionados à segurança podem 
ser analisados e torná-los regras a serem configurados nos equipamentos de redes.
É importante, para a elaboração do documento de recursos da tecnologia da 
informação, tomar como base alguma norma de segurança já disponível no mercado. 
Procedendo dessa forma, pode-se descrever e criar documentos e procedimentos 
para muitos itens da norma que não podem ser aplicados em forma de configuração 
de equipamentos.
Os itens desta norma que podem ser aplicados na configuração de equipamentos 
devem ser feitos, assim podemos automatizar essas regras de segurança diminuin-
do vulnerabilidades que são oriundas do comportamento humano. Vamos avaliar 
alguns itens da norma ABNT NBR ISP/IEC 27001:2006 e sugerir algumasconfi-
gurações em servidores.
É lógico que os itens que veremos aqui não satisfaz a totalidade de itens que 
podem ser configurados para estar em conformidade com a norma, porém dará para 
construir algumas ideias referente a norma versus configuração de equipamentos.
Norma ABNT NBR ISP/IEC 27001:2006
Conforme já descrito anteriormente, a norma 27001 orienta sobre o que deve 
ser avaliado e deve ser comprovada com documentos que servirão de aspectos com-
probatórios relacionado a segurança da informação. Vamos avaliar alguns desses 
itens e apresentar procedimentos que podem ser feitos em servidores para garantir 
tais condições.
A norma ABNT NBR ISP/IEC 27001:2006 descreve, no item 11.5.4, que o 
uso de utilitários que podem ser capazes de sobrepor os controles dos sistemas e 
aplicações deve ser restrito e estritamente controlado.
12
13
Diante do exposto na norma, é importante mantermos um controle de todos os 
aplicativos que estão sendo executados no servidor, além disso, deve-se avaliar quais 
pacotes são importantes e necessários. Aqueles que não forem, deverão ser retirados.
Em servidores Linux, é possível manter um arquivo com todos os pacotes que 
estão instalados. Para que se tenha o registro de todos os pacotes, utilize o comando 
apresentado na figura 2.
 
Figura 2 – Comando para registrar os aplicativos instalados
É certo que quanto mais aplicações tivermos instalados nos servidores, maiores 
serão as probabilidades de vulnerabilidades; portanto, deve-se avaliar de forma crí-
tica essas aplicações e retirar as consideradas desnecessárias.
O comando apresentado na figura 2 insere em um arquivo chamado “auditoria.txt”, 
que será criado dentro do diretório “/root/documentos”, todos os aplicativos ins-
talados. Avaliando este arquivo, o administrador de redes deve decidir quais devem 
continuar instalados e quais deverão ser retirados.
A figura 3 apresenta parte de uma listagem de uma máquina.
Figura 3 – Conteúdo do arquivo “auditoria.txt”
Não é possível determinar de forma padrão quais aplicações devem ser retiradas, 
pois dependendo da empresa e do tipo de servidor utilizado, admite-se certas apli-
cações ou não. Por esse motivo, uma avaliação bem criteriosa deve ser feita pelo 
administrador e definir o que será mantido e retirado.
13
UNIDADE Política de Segurança
Segurança no Terminal
Os sistemas operacionais Linux, na versão servidor, não oferecem interfaces 
gráficas. Isso, implicitamente, já oferece segurança, pois é mais fácil alguém manipular 
um sistema operacional com interface gráfica que manipular um sistema operacional 
que oferece apenas a digitação de comandos.
Mesmo utilizando-se somente de linha de comandos em servidores Linux, é 
necessário controlar o tempo que este terminal ficará ativo nos casos em que não 
estejam sendo usados.
No sistema Linux existe uma variável “TMOUT” que não vem configurada por 
padrão. A configuração desta variável pode ser feita tanto em linha de comando, 
conforme apresentado na figura 4, como também configurado em um arquivo uti-
lizado na configuração do terminal. Vamos ver!
Figura 4 – Confgurando a variável TMOUT
Veja que após 10 segundos de inatividade no terminal, a sessão foi encerrada. 
Para considerar esta alteração no sistema, ou seja, em qualquer terminal e mesmo 
se o sistema operacional Linux for desligado, basta inserir esta alteração no arquivo 
“profile” que se encontra no caminho “/etc”. Edite o arquivo “profile” usando o 
comando “nano /etc/profile” e o arquivo mostrado na figura 5 será apresentado.
 Figura 5 – Confgurando a variável TMOUT no arquivo profle
Acrescente, no final do arquivo, conforme figura 5, as três linhas selecionadas. 
Grave o arquivo “ctrl + o” e saia “crtl + x”. Pronto, agora basta reiniciar o Linux para 
que ele considere essas configurações no terminal.
Configurar o terminal dessa forma faz com que estejamos em conformidade 
com a norma 27001, no item 11.5.5, que descreve que seja conveniente encerrar 
as sessões inativas após um período de tempo.
14
15
Privilégios 
Por recomendação da norma 27001, especificamente no item 11.2.2, a con-
cessão e o uso de privilégios devem ser restritos e controlados. Essa restrição é feita 
para evitar que pessoas mal intencionadas ou então crackers possam ter privilégios 
de root e com isso ter acesso total ao sistema.
Isso pode ser evitado ao estabelecer configurações que faça o root não ter acesso 
direto ao sistema. Ele será obrigado entrar como um usuário comum e depois utilizar 
o comando “su” para virar root.
Para bloquear o login como root nos terminais locais, basta editar o arquivo 
“securitty” conforme comando apresentado na figura 6.
Figura 6 – Comando para edição do arquivo “securetty”
Após executar o comando apresentado na figura 6, será aberto o arquivo para 
edição. Localize as linhas apresentado na figura 7 e comente (insira o símbolo #) 
nos tty1 a tt6.
Figura 7 – Arquivo “securetty”
O Linux permite que o usuário se logue nos seis primeiros terminais tty1 a 
tty6. Esses terminais vêm habilitados por padrão e colocá-los como comentário irá 
bloquear o login.
Veja algumas recomendações para segurança em sistemas operacionais Linux.
Disponível em: https://goo.gl/wTlqr7Ex
pl
or
15
UNIDADE Política de Segurança
Expiração de Senha de Usuários
As senhas dos usuários devem expirar após um período ativa, isso é necessário 
para manter a segurança nos servidores, pois, se o colaborador ainda fizer parte do 
quadro de funcionários da empresa, ele receberá uma mensagem que é necessário 
alterar sua senha. Caso não esteja mais na empresa, a senha não será renovada e o 
usuário referente ao colaborador será desativada no tempo especificado.
Vamos verificar algumas informações da conta de um usuário, a figura 8 apre-
senta o comando e informações da conta.
Figura 8 – Comando e in�ormações sobre o usuário
Vamos fazer algumas alterações para o usuário, para isso execute o comando 
apresentado na figura 9. 
Figura 9 – Comando para alterar conta do usuário
Os parâmetros:
• - M: Configura o tempo máximo de validade da conta;
• - W: Dias de avisos antes da expiração da senha;
• - I: Tempo que será dado entre a expiração e desativação.
 Ao aplicar, novamente, o comando para mostrar as informações da conta do 
usuário, as informações, conforme figura 10 serão apresentadas.
Figura 10 – Comando e in�ormações sobre o usuário
16
17
Perceba que as informações referente a conta do usuário foram alteradas. Ela 
contém informações em relação a data de sua criação.
Em casos em que o colaborador irá prestar um serviço por tempo determinado, 
há como definir uma conta que fique ativa nesse período. A figura 11 apresenta o 
comando para definir a data de expiração.
Figura 11 – Comando para def nir data de expiração
Portanto, é possível manter um controle sobre os usuários cadastrados no servi-
dor e estar em conformidade com os itens da norma 27001 citado anteriormente.
Monitorando Senhas Fracas
Sabe-se que a senha do usuário é pessoal e intransferível e ele deve ser orien-
tado sobre as consequências se algo de errado for feito com o uso de sua senha. 
O documento de uso de recursos da tecnologia da informação deve orientar quais 
são as sanções.
Para não correr riscos de ter a senha descoberta, o usuário deve cadastrar se-
nhas fortes e evitar aquelas compostas por data de aniversário, telefone, nome de 
parentes etc. Sobre esse procedimento, o usuário também deve ser orientado no 
documento de uso de recursos de tecnologia da informação.
O administrador de redes pode também dar sua contribuição na busca por senhas 
fracas. A norma 27001 descreve, no item 11.2.3, que a concessão de senhas deve 
ser controlada por meio de um processo de gerenciamento formal e ainda comple-
menta, no item 11.3.1, descrevendo que os usuários sejam orientados a seguir boas 
práticas de segurança da informação na seleção e uso das senhas.
Vamos verificar se há usuários no servidor que cadastraram senhas fracas, para 
isso usaremosum recurso de técnicas de invasão para descobrir senhas.
A primeira etapa do processo será criar um usuário utilizando o comando apresen-
tado na figura 12. Observe que após o comando, uma série de perguntas são feitas. 
Ao solicitar a senha insira 123456, esta senha é considerada fraca e ao fazer o pro-
cedimento de busca por senhas fracas ela deverá ser apresentada.
Na criação da conta, nas questões que solicitam nome completo, número da sala, 
fone de trabalho e fone residencial, não precisam ser preenchidas, limite-se apenas a 
teclar “enter” para essas perguntas.
17
UNIDADE Política de Segurança
Figura 12 – Comando para criação de usuário
Agora que o usuário já foi cadastrado, vamos instalar o aplicativo john the Ripper, 
esse aplicativo é um cracker de senha, atualmente disponível para Unix, Linux, 
Windows, DOS e OpenVMS. Tem como objetivo principal encontrar senhas fracas.
Para instalar o John the Ripper, basta executar o comando apresentado na figura 13.
Figura 13 – Comando para baixar os pacotes john
Assim que for baixado e instalado, vamos até o diretório que está o arquivo execu-
tável “john”. Para alterar de diretório, execute o comando apresentado na figura 14.
Figura 14 – Comando para mudar de diretório
Ao solicitar que seja apresentado todos os arquivos e diretórios usando o comando 
“ls -l”, você poderá ver um arquivo executável de nome “john”. A figura 15 apresenta 
uma parte dessa listagem.
Figura 15 – Comando para lista arquivos e diretórios
18
19
Vamos executar o comando para verificar se há senhas fracas, para isso execute o co-
mando apresentado na figura 16 e aguarde para que os resultados sejam apresentados.
Figura 16 – Comando para encontrar senha �racas
Como pode ser obsevado na figura 16, a senha e nome do usuário foram apresen-
tados. Isso é ruim, pois se for aplicado um procedimento usando um cracker como 
foi feito, facilmente a senha desse usuário será descoberta. Descobrindo essas senhas 
fracas, o administrador deverá comunicar os usuários para que a senha seja alterada.
O John usa a técnica de força bruta para tentar encontrar senhas, ele toma como 
referência uma wordlist (lista de palavras) contendo as senhas mais comumente 
utilizadas. Ele usa cada senha dessa wordlist para obter uma resposta positiva e ao 
encontrar, ela é apresentada conforme pôde-se verificar na figura 16.
Essa worlist é baixada e inserida no diretório “/usr/share/john/” para listar as 
senhas usadas para tentar descobrir as dos usuários, execute o comando apresentado 
na figura 17.
Figura 17 – Comando listar as senhas usadas pelo john
Ao executar o comando, você poderá verificar as senhas usadas pelo aplicativo john. 
Para passar de página em página use as teclas “page down” ou então use a tecla para 
baixo �. Para sair da listagem use a tecla q.
Figura 18 – Listagem do arquivo wordlist
Uma vez apresentada as senhas fracas, você não conseguirá vê-las novamente 
pele aplicação do comando apresentado na figura 16. Se desejar ver novamente a lis-
ta de usuários com senhas descobertas, utilize o comando apresentado na figura 19.
19
UNIDADE Política de Segurança
Observe na figura 19 que a listagem aparece de forma diferente, primeiro é 
apresentado o nome do usuário e logo após a senha descoberta; portanto, a partir 
do momento que o aplicativo john encontrou uma senha, ele o insere em uma lista 
que somente poderá ser vista novamente pela execução do comando apresentado 
na figura 19.
Ao executar o comando para descoberta de senha, figura 16, ele irá apresentar 
apenas as novas descobertas. Aquelas que já foram, não serão apresentadas.
Figura 19 – Comando para mostrar as senhas já descobertas
Embora o john utilize uma wordlist padrão, podemos usar outras wordlist que 
podem ser encontradas na internet. Há várias delas que podem ser baixadas e 
usadas. Para usar uma outra wordlist, use o comando apresentado na figura 20.
Figura 20 – Comando para usar outra wordlist
Como pode ser observado no estudo desta unidade, a política de segurança deve ter 
como principal foco, pela ordem, a conscientização dos colaboradores pelo documen-
to de uso de recursos da tecnologia da informação e a utilização de itens das normas 
de segurança para implantar as configurações nos equipamentos de redes e servidores.
É função do administrador de redes de computadores traduzir as necessidades da 
empresa e configurar os equipamentos, servidores e máquinas de acordo com o que 
for possível. Assim poderá colaborar para aumentar o bloqueio e diminuir as vulne-
rabilidades que possam aparecer. 
Conforme já foi descrito anteriormente, este processo de verificação de segu-
rança de redes deve ser feito periodicamente, pois novas tecnologias e novas ver-
sões de aplicativos podem trazer novas vulnerabilidades e isso deve ser combatido.
20