Aula 01 (4)

Prévia do material em texto

Livro Eletrônico
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital 
André Castro 
 Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 1 
90 
Firewall / Iptables .............................................................................................................. 2 
Principais conceitos ........................................................................................................................... 6 
Classificação dos Firewalls ................................................................................................................ 8 
Iptables ............................................................................................................................................ 15 
Protocolo ICAP ................................................................................................................................. 19 
Metodologias de Detecção .............................................................................................. 22 
IDS .................................................................................................................................................... 24 
IPS .................................................................................................................................................... 26 
AntiSpam ......................................................................................................................... 29 
AntiVirus ......................................................................................................................... 32 
EXERCÍCIOS COMENTADOS .............................................................................................. 34 
Firewall ............................................................................................................................................ 34 
Iptables ............................................................................................................................................ 40 
PROXY .............................................................................................................................................. 46 
IDS/IPS ............................................................................................................................................. 47 
EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 53 
FIREWALL/IPTABLES ........................................................................................................................ 53 
LISTA DE EXERCÍCIOS ....................................................................................................... 70 
Firewall/Iptables .............................................................................................................................. 70 
Iptables ............................................................................................................................................ 72 
PROXY .............................................................................................................................................. 74 
IDS/IPS ............................................................................................................................................. 75 
LISTA DE EXERCÍCIOS COMPLEMENTARES ........................................................................ 78 
FIREWALL/IPTABLES ........................................................................................................................ 78 
GABARITO ....................................................................................................................... 87 
Gabarito – Questões CESPE ............................................................................................................. 87 
Gabarito – Questões FCC ................................................................................................................. 89 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 2 
90 
 
Olá pessoal, como estão? 
 
Se vocês estão lendo esse material, é porque adquiriram o pacote com o curso completo, 
o que me deixa muito feliz e mais animado para elaborar um material completo e com 
muitos exercícios para praticarmos. Gostaria de agradecer o voto de confiança dado por 
vocês e espero retribuí-lo da melhor forma. 
 
Portanto, vamos avançar!!! 
 
 FIREWALL / IPTABLES 
Falaremos agora de um componente de rede extremamente importante sob a ótica da segurança 
das redes de comunicação, que é o firewall. 
 
A tradução pura do termo Firewall é parede de fogo. Em um cenário natural, temos que ele é o 
responsável por não deixar o incêndio ser propagado para dentro da rede a qual ele serve como 
elemento de proteção. 
 
Por esse motivo, dizemos que o firewall é o elemento de borda da rede que concentra a entrada 
e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como 
“choke point” ou ponto único de entrada. 
 
A partir desse ponto é possível realizar a monitoração do tráfego, controle, autenticação, além da 
capacidade de se gerar registros (logs), alertas e trilhas de auditoria. 
 
A figura abaixo nos traz uma representação de um possível arranjo de topologia de rede: 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 3 
90 
 
 
Aproveitando a imagem, gostaria de definir outro conceito extremamente importante em uma 
topologia de rede segura. É a tão conhecida DMZ (Demilitarized Zone). 
 
A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos 
(Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande 
vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse 
modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não 
necessariamente implica em comprometimento dos usuários e serviços internos. 
 
Uma evolução desse modelo é através da utilização de 2 (dois) firewalls conforme arranjo na imagem 
a seguir: 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 4 
90 
 
 
Reparem que para um atacante conseguir penetrar na rede através dos servidores da DMZ deverá 
passar por uma segunda camada de segurança. Esse é um conceito de defesa em profundidade 
muito utilizado. 
 
Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em 
prova. São elas: dual-homed host, Screened host, Screened Subnet host. 
 
• Dual-homed host: É formado por um elemento que atua como firewall e possui duas 
interfaces, sendo uma para a rede externa e uma para a rede interna. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 5 
90 
 
 
• Screened host: Formado por um firewall e um Bastion host, tipo de servidor que veremos 
mais à frente. Especificamente customizado para acessos externos a serviços de forma 
segura. 
 
 
 
• Screened-subnet host: Tem-se o modelo específico de criação de uma subrede de segurança 
(DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementaçãopode 
ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais 
com interfaces físicas distintas que isolam complemente as redes. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 6 
90 
 
 
Retomando então a nossa discussão a respeito do firewall, temos que este deverá ser capaz então 
de interpretar o tráfego que passa por ele e avaliar se a informação é legítima ou maliciosa. Desse 
modo, os administradores configuram diversas regras que retratam a política de segurança e acesso 
da rede corporativa. 
 
Existem diversos tipos de firewalls no mercado com as mais diversas características e capacidades. 
Existe ainda a implementação de firewall em servidores Unix ou Linux. No caso do Linux, temos que 
o firewall é conhecido como NetFilter e a sua configuração se dá pela ferramenta Iptables. 
Entretanto, no jargão técnico, diz-se que o firewall do Linux é o próprio Iptables. Veremos algumas 
características a respeito dele a seguir. 
 
PRINCIPAIS CONCEITOS 
 
Veremos a seguir diversos conceitos que relacionam os ambientes de segurança e as capacidades 
dos firewalls. Vamos comentá-las a seguir: 
 
• Filtros 
Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, 
deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos 
protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto 
posteriormente. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 7 
90 
É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a 
característica de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a 
implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, 
não é o seu papel nativo. 
 
• Proxies 
São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado 
para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de 
clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os 
clientes e servidores nas duas perspectivas. 
 
• Bastion hosts 
É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem 
customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de 
comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado 
exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, 
reduzindo assim as possibilidades de surgimento de vulnerabilidades. 
 
• HoneyPot 
É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A 
ideia é replicar todos os serviços e principais elementos de implementação de serviços neste 
servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição. 
 
Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além 
disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de 
informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os 
atacantes! 
 
• DMZ 
Conforme já vimos. Também é conhecido como rede de perímetro. 
 
• NAT 
Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT 
possibilitou a criação de uma camada de segurança através do conceito de segurança por 
obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento 
os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado 
por essa rede. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 8 
90 
 
• VPN 
A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos 
exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da 
matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial 
através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um 
empregado da empresa que esteja externo à rede. 
 
Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos 
internos. 
 
É importante mencionarmos ainda alguns tipos de defesa que não são realizados pelo firewall. Dessa 
forma, um firewall não é um antivírus ou AntiSpam. Caso haja alguma assinatura específica no 
conteúdo e o firewall possua o recurso DEEP INSPECTION, que veremos mais à frente, pode ser que 
seja identificado alguns aspectos. Porém, a regra é distinguirmos muito bem esses papéis. 
 
• Autenticação/certificação 
Diversos são os requisitos que podem ser considerados para uma autenticação de usuários ou 
dispositivos. Como exemplo, podemos citar as senhas, certificados digitais, tokens, smartcards ou 
biometria. Para o caso de certificados digitais pode-se inclusive utiliza a infraestrutura de chaves 
pública (PKI). 
 
É importante mencionar também a importância de se ter uma camada de segurança (firewall) de 
alta disponibilidade, pois caso esse equipamento dê problema, todo o acesso externo da rede 
corporativa poderá ser comprometido. Assim, deve-se implementar técnicas de 
balanceamento de carga e redundância. 
 
CLASSIFICAÇÃO DOS FIREWALLS 
Como eu disse antes, os firewalls são definidos por suas diversas capacidades. Estas são 
representadas a partir de qual camada o firewall atuará. Ou seja, se um firewall atua no nível 
da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa 
camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos 
dos protocolos da camada de aplicação e das camadas inferiores. 
 
Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando 
se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 9 
90 
 
Portanto, vamos conhecê-los: 
 
• Firewall Bridge 
Esse tipo de firewall atua na camada de enlace do modelo OSI. Justamente por atuar na 
camada de enlace, temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá 
diretamente no dispositivo, através de uma interface de conexão física ou através do seu endereço 
MAC estando no mesmo domínio de Broadcast. Algo semelhante acontece quando se deseja acessar 
um switch L2 para configuração. 
 
Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa 
frente a sua falta de endereçamento IP, incorrendo em mais uma cada de segurança. Entretanto, 
perceba que este firewall possui certas limitações a respeito do tipo de informação que ele é capaz 
de filtrar. 
 
• Firewall – Filtro de Pacotes 
Este é o tipo mais primitivo de implementação de firewalls. Também conhecido como Firewall 
estático. Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada 
de transporte. A sua capacidade básica seria permitir a filtragem a partir dos endereços de 
origem e destino,bem como as portas de origem e destino. Desse modo, podemos definir os 
serviços que serão permitidos a partir das portas de operação. 
 
Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se 
considerar o fluxo de entrada e saída da rede. 
 
Entretanto, os filtros de pacotes atuais são capazes de identificar outros parâmetros dos cabeçalhos 
conforme as figuras a seguir. Os campos escurecidos são aqueles que o firewall do tipo filtro de 
pacotes considera na sua filtragem. 
 
Para o protocolo IP tem-se: 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 10 
90 
 
Para o protocolo TCP: 
 
 
Para o protocolo UDP: 
 
 
Para o protocolo ICMP: 
 
 
Essas características permitem que seja um modelo simples de ser implementado nos elementos de 
borda. Veremos que os modelos mais atuais implementam o tipo de firewall statefull. 
 
• Filtros de Pacotes Baseados em Estados 
Também conhecidos como filtro de pacotes dinâmicos ou Statefull. Esse tipo de firewall não se 
restringe à análise dos cabeçalhos conforme vimos anteriormente. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 11 
90 
Entretanto, é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela 
armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall. 
 
Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo 
de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores 
que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que 
forem necessárias conforme evolução da comunicação. 
 
Importante lembrar que quando falamos de conexão estabelecida, estamos falando do protocolo 
TCP. Entretanto, o firewall statefull utiliza um conceito baseado em contextos que permite a criação 
de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP que fazem 
parte de um mesmo serviço. 
 
• Proxy 
Os proxies também fazem parte da classificação de firewalls. Estes possuem a capacidade de 
atuar a nível da camada de aplicação averiguando as informações dos cabeçalhos que fazem 
parte dessa camada. 
 
Um ponto importante é que os firewalls do tipo filtro de pacotes permitem a comunicação direta 
entre cliente e servidor. Fato que não acontece com o proxy que faz com que sejam estabelecidas 
duas conexões. Do cliente com o proxy e do proxy com o servidor. 
 
Entretanto é importante mencionarmos que o proxy não verifica o conteúdo dos pacotes. 
 
Tal regra não se aplica às soluções de proxies e firewalls mais modernas. Estes implementam o 
conceito do DEEP INSPECTION, ou inspeção profunda. Esse recurso permite que seja verificado 
o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos 
pacotes trafegados. 
 
O proxy mais utilizado e criado em Linux é o SQUID. Possui os principais recursos de 
funcionamento, como regras de filtragem baseados nos endereços URL’s e listas de acesso. 
 
• Proxy reverso – 
Esse conceito gera alguns benefícios na implementação de serviços HTTP no lado do servidor. Entre 
eles temos os recursos de proteção, balanceamento e distribuição de requisições e armazenamento 
em cache das informações estáticas. Dessa forma, quando há uma requisição a um objeto estático, 
o proxy reverso é capaz de responder diretamente à requisição. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 12 
90 
 
Já quando há uma requisição a objetos dinâmicos, este repassa a requisição aos servidores internos 
conforme a porta utilizada do serviço específico. A figura abaixo nos apresenta o modelo comentado: 
 
 
 
• Web Application Firewall - WAF 
 
Esse tipo de firewall foi criado especificamente para proteger aplicações WEB (na perspectiva do 
servidor que oferece o serviço) de ataques sofisticados na camada de aplicação. Logo, também atua 
na camada 7 do modelo OSI. 
 
Muitas arquiteturas trabalham com esse tipo de firewall em conjunto com outros firewalls mais 
robustos que possuem grande poder de processamento na camada de rede e transporte. 
 
Possuem como característica o controle dos tráfegos de entrada e saída, bem como os acessos aos 
serviços da aplicação. Desse modo, pensando em uma arquitetura, é razoável assumirmos que os 
WAF’s devem ficar posicionados em frente ao servidor de aplicação. Percebam essa diferença. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 13 
90 
 
 
Ele não protegerá toda a rede. Ele não protegerá os usuários internos. Ele protegerá o 
servidor de aplicação. Funcionará como uma espécie de Proxy Reverso, mas 
conceitualmente, são diferentes. 
 
Uma característica importante também do WAF é a sua capacidade de analisar fluxo de dados após 
a sua decriptação. 
 
O WAF pode ser implementado tanto em hardware próprio, no modelo conhecido como appliance, 
como em software, podendo ser incorporado em outros servidores ou soluções de segurança. Ou 
seja, pode ser tanto físico quanto virtual. 
 
A figura a seguir nos mostra o arranjo completo e combinação com os diversos elementos de 
segurança em uma rede. Veremos ainda nessa aula os demais. 
 
 
 
Tecendo alguns comentários, começamos, da esquerda para a direita: 
1. Proteção DDoS – Busca ser o elemento de FRONT com alta capacidade de processamento 
para suportar grandes volumes de requisições que se enquadram nos ataques de negação de 
serviços distribuídos. Falamos sobre esse assunto em aula específica sobre ataques, caso 
esteja previsto em seu concurso. 
2. Firewall de Rede – Conforme já falamos, são os firewalls que atuam na camada de rede e 
transporte, com características próprias para segurança nessa camada. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 14 
90 
3. IDS/IPS – Geralmente são soluções acopladas (em paralelo ou em série) e que atuam em 
conjunto com o Firewall para análises mais elaboradas com foco em assinaturas e 
comportamentos. Falaremos um pouco mais sobre esse assunto nesta aula. 
4. Balanceador de Carga - Tem a função de distribuir as requisições entre os servidores de 
aplicação, com vistas a distribuir de maneira proporcional à capacidade de processamento de 
cada um deles. 
5. Web Application Firewall - Conforme já falamos, ele é último elemento de segurança na 
linha de defesa das aplicações, ficando mais próximos dos servidores de aplicação. Algumas 
soluções e empresas de segurança avaliam o posicionamento do WAF, às vezes colocando ele 
de maneira intercalada entre dois balanceadores de cargr, ou ainda antes do próprio 
balanceador de carga, uma vez que o balanceador não é um elemento de segurança 
propriamente dito. 
 
Estudos de empresas de tecnologia apontam que 70% do orçamento de segurança das 
empresas são investidos em soluções para controlar tráfego de rede. Entretanto, estudos 
também mostram que 70% dos ataques não acontecem nessa camada, mas sim, na 
camada de aplicação. Por esse motivo esse tipo de soluçãotem sido cada vez mais comum 
e necessária nos ambientes corporativos. 
 
• Unified Threat Management (UTM) 
 
É conhecido como uma solução capaz de incorporar as diversas tecnologias e soluções em um único 
equipamento ou appliance. 
 
Quando falamos de um UTM, estamos falando dos elementos de segurança que já vimos, acrescidos 
ainda de recursos de antivírus, antimalwares, segurança para redes sem fio, segurança para acesso 
remoto (VPN), com capacidade de apuração de altíssimo grau de precisão e diagnósticos/relatórios 
com uma robustez muito grande de informações. 
A figura abaixo nos dá essa percepção: 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 15 
90 
 
IPTABLES 
Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end que implementa o firewall 
NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de 
pacotes dinâmico. 
 
O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall. São 
elas: 
• INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no 
firewall. Por exemplo, um acesso remoto no firewall para sua configuração. 
 
• OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, 
um acesso externo para atualização do repositório de pacotes do firewall. 
 
• FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem 
o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet 
ou um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD. 
 
Assim, cada regra criada deverá ser inserida em alguma das três cadeias apresentadas. 
 
Além disso, o IPTABLES trabalha também com três tabelas básicas para armazenamento das 
informações e operações a serem realizadas pelo firewall, quais sejam: 
 
• Tabela Filter – Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem. 
• Tabela Nat – Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de 
endereços de entrar e saída. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 16 
90 
• Tabela Mangle – Armazena informações a respeito da manipulação de pacotes, isto é, caso 
se deseja alterar alguma flag ou parâmetros dos cabeçalhos. 
 
Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o parâmetro “-t”. Caso não 
seja inserido, utiliza-se a tabela padrão Filter. 
 
Algumas questões têm cobrado de forma mais detalhada a utilização e configuração do NAT. Para 
tanto, é importante entendermos os pontos abaixo. 
 
Na maioria dos casos de implementação, tem-se um NAT de diversos IP’s internos utilizando um 
único IP de saída, podendo este ser dinâmico ou não. Algo semelhante ao que temos em nossas 
residências com o compartilhamento de diversos dispositivos para acesso à Internet. 
 
Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”. 
 
Assim, tem-se o exemplo abaixo: 
 
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 
 
Esse comando nos diz que deverá ser inserida a regra acima na tabela NAT ( -t nat). Deve-se utilizar 
o conceito POSTROUTING, ou seja, aplica-se o NAT após o processamento das regras de filtragem e 
verificação de regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da interface de 
saída ppp0 (-o ppp0 –j masquerade). 
 
Desse modo, vamos esclarecer o conceito de POSTROUTING e PREROUTING. Como o Iptables possui 
a capacidade de modificar a conexão, ou seja, mudar as portas através do NAT, deve-se informar ao 
KERNEL o momento em que tais mudanças devem ser efetuadas. 
 
Existem três Chains: 
 
• PREROUTING - utilizada para manipular endereço e porta de destino para os pacotes de 
entrada na rede. 
 
• POSTROUTING – Utilizada para manipular o endereço e porta de origem para os pacotes que 
saem da rede. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 17 
90 
• OUTPUT – Utilizado para manipular o endereço e porta de destino para os pacotes gerado 
localmente pelo próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de 
tráfego verificado anteriormente, entretanto, aqui, estamos falando de regras de NAT. 
 
Desse modo, pode-se utilizar a “manha” para decorar a regra acima de que SNAT (source NAT) 
começa com a letra “S”, logo, deve-se utilizar o POSTROUTING, pois este possui a letra “S”. Meio 
forçado, certo? 
 
Logo vamos tentar entender para facilitar as coisas. Quando um pacote chega no firewall, ele deve 
passar pelas fases constantes no diagrama abaixo: 
 
 
 
Desse modo, segundo as regras de NAT, se vamos acessar serviços externos a partir de endereços 
internos, devemos manipular os endereços e portas de origem. Assim, para sabermos se um host 
interno pode ou não acessar determinado recurso, devemos verificar as informações originais, antes 
de aplicar o NAT. Por esse motivo, para essa manipulação, deve-se realizar o NAT apenas no 
POSTROUTING para tratar esses endereços, ou seja, após verificação de regras de filtragem e 
roteamento. 
 
Agora o cenário inverso. Assumindo que algum host externo pretenda acessar algum serviço interno 
escondido atrás de um NAT. Nesse caso, ele vai apontar para um IP e porta de destino que não 
correspondem a informações diretas e reais dos servidores, pois estão atrás do NAT. Nesse sentido, 
deve-se converter esses endereços e portas para posterior análise das regras de filtragem e 
roteamento, ou seja, deve-se utilizar o PREROUTING para manipular as informações de destino. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 18 
90 
 
Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse trecho com mais cautela. 
 
Vamos então verificar alguns exemplos de utilização dessas CHAINS. Muita atenção nas interfaces 
utilizadas em cada uma das CHAINS. Primeiro, vamos verificar a utilização do POSTROUTING para 
manipulação do SNAT: 
 
## Mudando o endereço de origem para 1.2.3.4 em todos os pacotes 
que saiam pela interface de saída eth0 
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 
 
## Mudando o endereço de origem para 1.2.3.4, 1.2.3.5 ou 
1.2.3.6. Nesse caso, tem-se disponível vários endereços na 
interface de saída. 
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-
1.2.3.6 
 
## Mudando o endereço de origem para 1.2.3.4, portas 1-1023 
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 
1.2.3.4:1-1023 
 
Agora, vamos verificar a utilização do PREROUTING para manipulação do DNAT: 
 
## Mudando destino para 5.6.7.8. Utiliza-se a interface de 
entrada. 
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8 
 
## Mudando destino para 5.6.7.8, 5.6.7.9 ou 5.6.7.10. Caso de 
utilização de um cluster interno que responda por diversos 
endereços. 
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-
5.6.7.10 
 
## Mudando destino do tráfego web para 5.6.7.8, porta 8080. 
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j 
DNAT --to 5.6.7.8:8080 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. AndréCastro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 19 
90 
 
## Redirecionar pacotes locais com destino a 1.2.3.4 para 
loopback. 
# iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1 
Há um caso especializado de Destination NAT chamado redirecionamento. É uma simples 
conveniência, a qual equivale a fazer DNAT para o endereço da própria interface de entrada. 
## Mandando tráfego web da porta-80 para um proxy interno 
transparente na porta 3128 
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j 
REDIRECT --to-port 3128 
 
 
Veremos algumas questões que dizem respeito ao código de execução dos comandos para criação, 
alteração ou exclusão das regras de firewall. Complementarei o aprendizado na resolução das 
questões que abordem esse assunto. 
 
Para os alunos que têm disponibilidade para aprofundar o conhecimento, sugiro a leitura do artigo 
publicado no link a seguir: http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do-
Iptables 
 
PROTOCOLO ICAP 
O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado no HTTP. Desse modo, possui 
as características de ser simples e leve como o HTTP. 
 
Ele foi criado originalmente para efetuar chamadas remotas em mensagens HTTP. É baseado em 
uma estrutura de servidores que permitem a alteração dinâmica do tráfego em cada um desses 
servidores. Estes são mantidos por diversas empresas, fabricantes e provedores com vistas a criar 
uma estrutura de troca de informações e adaptação de tráfego para sistemas mais seguros. 
 
Este protocolo permite que clientes ICAP enviem requisições para os servidores ICAP objetivando a 
“adaptação do conteúdo”, ou seja, pode-se verificar a existência de um vírus em um dado arquivo a 
partir de uma consulta a um servidor ICAP. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 20 
90 
Geralmente é implementado em servidores que pertencem à DMZ. Permite a criação de uma 
infraestrutura na Internet única de comunicação, integrando diferentes fabricantes e possibilitando 
a gerência do conteúdo do tráfego entre diferentes serviços. 
 
 
 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 21 
90 
 
 
Um assunto que tem aparecido em provas é o SELinux. Já adianto que ele nada tem a ver com 
a implementação de firewall no Linux, como o Iptables. 
 
Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros 
para inserir uma camada de segurança a nível de kernel. 
 
O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema 
Operacional e seus recursos. 
 
O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de 
leitura e escrita de arquivos e diretórios, as mudanças nas permissões do SELinux são mais 
rígidas e burocráticas, exigindo controle de root. Diversas regras já são preestabelecidas 
conforme política de segurança do Sistema Operacional. 
 
O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao 
hardware, entre outros. Percebam que a profundidade de controle é muito maior do que um 
simples controle de sistema de arquivos. 
 
O SELinux opera em três modos básicos: 
Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é 
analisado, e regras vindas do servidor de segurança são aplicadas. Para colocá-lo 
nesse modo, usa-se o comando “setenforce 1”. Esse é o modo padrão para REDHAT. 
 
Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que 
deviriam ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. 
Este é o modo padrão para debian. 
 
Disabled: este, como o nome sugere, desabilita o SELinux. 
Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas. 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 22 
90 
 METODOLOGIAS DE DETECÇÃO 
Conversando um pouco mais sobre segurança, abordaremos um tópico que recorrentemente tem 
sido cobrado em provas, que são as metodologias de detecção/prevenção, bem como suas principais 
ferramentas. 
 
Quando falamos de metodologia, logo nos remetemos ao seu significado de definir método, 
princípios ou regras que serão a base para determinados procedimentos. 
 
Trazendo esse conceito para a área de segurança, nada mais é do que se definir regras que 
permitirão a detecção de possíveis ataques e invasões não autorizadas. 
 
Nesse sentido, vamos definir de imediato duas bases de conhecimento que são utilizados como 
parâmetro para nossa conversa ao longo desse capítulo: 
Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-
se comparar determinados acessos ou pacotes que ali trafegam. Assim, se houver um 
“hit”, isto é, caso as informações estejam nessa lista, o equipamento poderá tomar 
alguma atitude. 
 
Base de Comportamento – Nesse perfil, temos a análise das características e 
comportamento dos pacotes ou acessos. A partir de um histórico, pode-se determinar 
um comportamento considerado normal ou padrão. Caso haja algum acesso ou tráfego 
de pacote que fuja desse comportamento, considera-se um acesso indevido ou anômalo, 
cabendo ao equipamento tomar alguma atitude. 
 
Para exemplificarmos os conceitos acima, imaginemos que estamos indo a uma festa da elite da 
sociedade. Assim, trazendo a analogia da “Base de Conhecimento”, teríamos uma lista de nomes e 
placas de carros que estariam proibidos de entrar na festa. Já com “Base no Comportamento”, a 
partir do histórico analisado, percebeu-se que todos os convidados chegam com carros importados 
e com motoristas particulares. Caso cheguemos dirigindo nosso carro popular por conta própria, há 
uma grande probabilidade de sermos barrados! 
 
Já trazendo a associação de equipamentos para os conceitos apresentados, temos que o IDS 
(Intrusion Detection System) atuará na maioria das vezes com “Base de Conhecimento”, enquanto 
o IPS (Intrusion Prevent System) atuará na maioria das vezes com “Base de Comportamento”. 
Veremos algumas outras diferenças desses dois posteriormente. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 23 
90 
Lembremos sempre que o modelo “Base de Conhecimento” se assemelha ao funcionamento de um 
antivírus. Percebamos que a eficiência desse modelo depende de uma atualização constante da base 
de assinaturas. 
 
Ainda no nosso campo de conceitos, temos alguns termos muito utilizados referenciando a atuação 
dos equipamentos após análise das informações. São eles: 
 
Tráfego Suspeito Detectado – Funcionamento normal do equipamento, onde o tráfego 
suspeito de fato foi detectado. 
 
Tráfego Suspeito não Detectado – Conhecido como “Falso Negativo”. Ou seja, era para 
ser acusado como um tráfego suspeito, porém, não foi acusado. Em termos de analogia, 
imaginem que um penetra tenha entrado na festa sem ser percebido. 
 
Tráfego Legítimo que o Equipamento acusa como suspeito – Também conhecido como 
“Falso Positivo”. Percebam que agora, na nossa analogia, um convidado legítimo foi 
considerado penetra. Em condições normais e corretas, ele deveria ser capaz de passar 
sem problemas. 
 
Tráfego Legítimoque o Equipamento considera legítimo – E para finalizar, temos o 
comportamento normal de um tráfego legítimo, passando sem nenhum problema pela 
linha de defesa do sistema. 
 
Vamos discutir agora sobre algumas vantagens e desvantagens de cada modelo. Para o modelo 
“Base de Conhecimento”. Como pontos positivos, podemos citar a baixa taxa de falsos positivos e o 
tempo de resposta na análise. Como pontos negativos, podemos citar a dependência da base 
atualizada, dificultando a detecção de novos tipos de ataques; apesar de ter um bom desempenho, 
pode ser degradado à medida que se aumenta o número de regras para análise. 
 
Já o modelo de “Base de Comportamento” que busca desvios de comportamento dos usuários, 
sistemas e tráfego, foca na análise estatística e heurística. Como ponto positivo podemos citar a 
capacidade de se detectar novos tipos de ataques, independência de plataforma de Sistema 
Operacional e/ou arquitetura. Como lado negativo, podemos citar a possibilidade de se gerar muitos 
falsos positivos com regras mais rígidas de desvios, além de falsos negativos, quando ataques não 
geram grandes mudanças ou alterações no comportamento. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 24 
90 
IDS 
Conforme seu próprio nome diz, é um sistema de detecção de intrusão. Logo, em termos de 
analogia, devemos sempre lembrar de um alarme. Quando algo acontece, ele acusa a ocorrência, 
porém, em regra, não atua diretamente. Um dos principais IDS’s utilizados é o SNORT, que acaba 
funcionando também como um IPS. 
 
O IDS pode ser categorizado ainda em três tipos: 
 
• NIDS (Network-Based Intrusion Detecction System) – Esses sistemas buscam atuar a nível da 
rede, analisando o tráfego de entrada e saída. É o tipo mais utilizado. Como vantagens, 
podemos citar: 
o Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo 
custos e aumentando o grau de defesa; 
o Atuando em modo passivo, não impactam no desempenho da rede; 
o Difíceis de serem detectados por atacantes; 
 
Como desvantagens, podemos citar: 
o Diante de tráfego intenso, pode não ser muito eficiente; 
o Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; 
o Incapacidade de analisar informações criptografadas; 
o Incapacidade de bloquear o ataque, restando apenas a detecção; 
 
 
• HIDS (Host-Based Intrusion Detecction System) – Atuar a nível de um host específico 
(servidor ou máquina de usuário) buscando analisar características de acesso indevido da 
máquina, como tentativas de mudanças de perfil, variações dos componentes físicos, entre 
outros. Como vantagens, citamos: 
o Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais 
específicos quando comparados com os NIDS. 
o Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia 
e no destino, após a decriptação. 
o Não são afetados por elementos de rede como switches ou roteadores. 
 
Como desvantagens, podemos citar: 
o Difícil configuração pois se deve considerar as características de cada estação; 
o Podem ser derrubados por DoS; 
o Degradação de desempenho na estação; 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 25 
90 
 
• IDS baseado em pilhas – É um modelo novo de implementação com grande dependência dos 
fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua 
integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são 
desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da 
informação passar para a camada superior, buscando evitar que chega até a aplicação ou 
Sistema Operacional. 
 
Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS. Esses são 
chamados de Hybrid IDS ou IDS híbrido. 
 
Além disso das classificações acima, podemos classificar o IDS em categorias conforme seu 
posicionamento na rede e modo de ação. Em regra, posiciona-se o IDS em paralelo na rede, isto é, 
ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego, conforme 
verificamos na imagem abaixo: 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 26 
90 
 
Ainda assim, podemos classifica-lo em modo passivo ou reativo. O primeiro, simplesmente 
identificará o ataque, gerará logs e alertas acusando o acontecido. Caberá então ao administrador 
de rede atuar para bloquear o ataque. 
 
Já em modo reativo, também será capaz de identificar, gerar log e alerta, entretanto, será capaz de 
enviar comandos para o firewall ou outros sistemas para alterar suas regras de funcionamento de 
forma automática para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já ocorreu. 
Bloqueou-se ataques futuros com a mesma característica, porém, algo danoso já poderá ter 
ocorrido. Por esse motivo, chamamos de modo reativo. 
 
 
 
IPS 
Avançando um pouco mais na nossa discussão, chegamos finalmente ao IPS. Muitos consideram 
como sendo um IDS de posicionamento in-line, capaz de bloquear ataques de forma ativa e 
preventiva. 
 
Vejamos a figura abaixo: 
 
 
E aqui gostaria de trazer para vocês uma dificuldade de entendimento da 
banca CESPE. O CESPE não considera o procedimento reativo como um 
tipo de bloqueio de tráfego padrão. Para esta banca, isto é característica 
do IPS, conforme veremos a seguir. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 27 
90 
 
 
Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. 
Ficou claro a diferença do modo ativo do IDS (IPS) com o modo reativo do IDS, pessoal? No primeiro, 
busca-se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve 
um ataque, cabe agora bloquear posteriormente. 
 
Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que 
suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme 
sua necessidade. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 28 
90 
 
 
 
Para efeito de implementação dos IDS’s, podemos considerar três técnicas 
básicas que podem ser utilizadas, quais sejam: 
 
1. Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior 
que as demais portas e redireciona-se todo os tráfegos das demais portas a 
essa porta de maior banda, a qual estará conectada um IDS para coletar os 
dados e analisá-los. 
2. Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um 
simples hub entre o host que se deseja monitorar o tráfego e o switch com 
vistas a realizar uma cópia de modo não intrusiva dos dados e remeter a um 
IDS. 
3. Port Mirror: Faz-se o espelhamento de uma porta específica de um switch 
para uma outra porta a qual estará conectada o IDS. 
Percebam que as três técnicas mantêm o princípio de um IDS de não interferir 
diretamente no tráfego, ou seja, é um posicionamento paralelo na rede, evitando 
inclusive que o IDS seja capaz de barrar tráfego indesejadopor si só, como faria 
um IPS posicionado de forma serial. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 29 
90 
 
 
 ANTISPAM 
Atualmente, esse tem sido um tópico muito cobrado nas provas. Portanto, vamos verificar as 
diversas técnicas que têm sido implementadas: 
 
- Lista de Bloqueio – Método mais simples e básico de implementação. O bloqueio pode ser 
efetivado tanto em MUA’s quanto MTA’s baseado em endereços IP de servidores ou usuários 
suspeitos. Não possui recursos de verificação de conteúdo. 
 
Essas listas podem ser compartilhadas entre diversos nós. Na prática, tem-se nós centralizados e de 
confiança que estão constantemente atualizando e distribuindo essas listas. Essa técnica está sujeita 
a geração de falsos positivos, ou seja, endereços legítimos podem ser bloqueados de forma indevida. 
 
Existem os seguintes tipos básicos de listas: 
1. Blacklists (Listas Negras): Os endereços pertencentes a essas listas serão bloqueados. 
Todas as demais mensagens estarão liberadas para trafegar. Geralmente, os MTA’s e 
PROXIES abertos figuram nessas listas. 
 
 
Um novo conceito que tem aparecido em provas é o WIPS (Wireless Intrusion 
Prevent System). 
 
Esse dispositivo é capaz de monitorar o espectro de ondas de rádio de tal 
forma que se pode identificar pontos de acesso que estejam tentando utilizar 
canais não autorizados. 
 
Uma vez que seja detectado, passa-se a atuar normalmente como um IPS, 
bloqueando o tráfego diretamente ou passando tal função ao firewall da rede. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 30 
90 
Como vimos, diversos servidores corporativos são conhecidos e disponibilizam essas listas 
para livre utilização. Alguns podem cobrar como um serviço de conhecimento 
especializado. 
 
2. Whitelists (Listas Brancas): Lista permissiva, ou seja, é o inverso da BLACKLIST. Os 
endereços pertencentes a essas listas são considerados legítimos não sendo necessário a 
verificação e validação destes. 
 
3. Greylists – É uma técnica que conjuga características das duas técnicas anteriores. São 
implementadas nos MTA’s exclusivamente. Para que uma mensagem seja devidamente 
enviada, depende de um reenvio por parte de um servidor legítimo. 
 
- Filtros de Conteúdo – Uma das técnicas mais conhecidas e eficientes. Possui a capacidade 
de atuar de forma dinâmica, incluindo na sua verificação o conteúdo e anexo das mensagens 
trafegadas. Seu princípio de funcionamento reside na busca de padrões de e-mails categorizados 
como SPAM. 
 
Possui certa similaridade de funcionamento quando comparado ao IPS para tráfego de rede. 
Pode-se também gerar falsos positivos. Além disso, tem-se um alto custo de processamento, uma 
vez que todas as mensagens devem ser verificadas. 
 
O principal filtro utilizado é o filtro bayesiano. Este filtro utiliza probabilidades e estatísticas 
com o objetivo de aprender de forma dinâmica e prever o futuro, ou seja, detectar possíveis 
mensagens falsas. 
 
- Técnica SPF (Sender Policy Framework) 
 
Conforme vimos, um tipo de ataque é o spoofing de e-mail, ou seja, a falsificação do remetente. É 
nesse cenário que foi criado a técnica SPF. O seu princípio básico é buscar garantir a 
legitimidade do remetente. É capaz de combater a falsificação de endereços de retorno dos e-mails 
(return-path), através da validação de endereços IP’s. 
 
Utiliza o conceito de criação de políticas SPF. Essas políticas visam delimitar os endereços 
autorizados a enviar e-mails dentro de regras muito bem estabelecidas de aceitação desses 
e-mails. Essas duas características são independentes, podendo ser usadas em conjunto ou não. 
 
O SPF implementa ainda a técnica SRS (Sender Rewriting Scheme). Permite ao MTA intermediário 
(relay) reescrever o endereço do remetente no envelope e encapsule o endereço original. Esse fato 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 31 
90 
evita que mensagens redirecionadas sejam bloqueadas por outros MTA’s intermediários, uma vez 
que o endereço do relay é confiável. 
 
 - Técnica DKIM (Domain Keys Identified Email) 
 
Possui uma estrutura mais robusta baseada na autenticação com a utilização de chaves 
públicas. Dessa forma, cada MTA pode utilizar sua chave privada para assinar as mensagens 
garantindo a autenticidade das mensagens, e chave pública permite a verificação da 
assinatura. 
 
Diferentemente do SPF, essa técnica averigua as informações de cabeçalho e de conteúdo, 
enquanto o SPF verifica apenas o endereço IP. 
 
- Gerência da Porta 25 – Essa é a técnica da vez, ou seja, é a metodologia que tem sido 
fortemente divulgada e incentivada pelos principais órgãos responsáveis pela segurança na Internet. 
 
A seguir temos uma representação do modelo: 
 
 
 
É uma ação que depende da participação e interação dos provedores de acesso à Internet e as 
operadoras de Telecomunicações. Os provedores de acesso WEB implementam a nova regra e 
política instruindo aos seus clientes a forma de atuação. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 32 
90 
A principal característica desse modelo é caracterizar o envio de e-mail em duas fases: Do usuário 
para o provedor de acesso (Submissão) e comunicação direta entre os servidores de e-mail 
(Transporte). 
 
 - Mail Submission Agent (MSA) – Camada de segurança que atua entre o MUA e o MTA. 
Como vimos, o SMTP usa como padrão a porta 25, porém, nesse novo modelo, instrui-se a 
utilização da porta 587. A porta 25 passa a ser reservada para comunicação entre os MTA’s de 
forma autenticada obrigatoriamente. 
 
 - Mail Delivery Agent (MDA) – Essa camada é implementada no momento de entrega dos e-
mails às caixas postais. 
 
A seguir temos a representação do posicionamento desses agentes em uma comunicação: 
 
 
 ANTIVIRUS 
Pessoal, apenas para concluirmos os itens que aparecem em provas em termos de nomenclatura, 
temos os ANTIVIRUS. 
 
Conforme já vimos, os antivírus, inicialmente, trabalhavam com as características de assinaturas. Ou 
seja, busca-se nas aplicações e programas códigos pré-determinados que coincidiam com as bases 
de vírus existentes. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 33 
90 
 
Assim, ao verificar o fluxo dos programas, um antivírus seria capaz de detectar o código malicioso. 
 
Atualmente, os antivírus já implementam os modelos comportamentais, conforme já mencionamos 
no contexto do IDS e IPS. 
 
 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 34 
90 
 
EXERCÍCIOS COMENTADOS 
FIREWALL 
 
1. CESPE – CGE-PI/Auditor Governamental/2015 
O firewall IPTABLES permite o uso de filtro de pacotes, de forma a controlar o fluxo de 
dados entre a rede local e a Internet, interferindo em situações normais até a camada de 
transporte do modelo TCP/IP. 
 
Comentários: 
Questão bemtranquila a respeito do IPTABLES. Conforme vimos, é um firewall utilizado 
em sistemas LINUX do tipo Statefull, ou seja, consegue atuar normalmente com as 
características do tipo filtro de pacotes. Percebam que o enunciado usou a expressão 
“permite”. 
Gabarito: C 
 
2. CESPE – ANTT/Analista Administrativo – Infraestrutura de TI/2013 
Um firewall que trabalha especificamente na camada de aplicação tem a capacidade de 
estabelecer regras para registrar e descartar pacotes que sejam destinados a um endereço 
IP e a uma porta específica. 
 
Comentários: 
Muito mais uma questão de redes do que segurança. Se o Firewall trabalha 
especificamente na camada de aplicação, não há o que se falar de filtragem por endereços 
IP ou porta, que são elementos das camadas 3 e 4 do modelo OSI. 
Gabarito: E 
 
 
 
3. CESPE – FUB/Técnico de TI/2014 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 35 
90 
Em uma rede local protegida por firewall, não é necessário instalar um software antivírus, 
pelo fato de o firewall proteger a rede contra mensagens de spam, vírus e trojans. 
 
Comentários: 
Lembrando sempre que o Firewall não possui a função de substituir softwares antivírus. Além do 
mais, o firewall não protege contra ataques internos. Nesse sentido, o antivírus é imprescindível. 
Gabarito: E 
 
4. CESPE – ICMBIO/Nível Médio/2014 
Um firewall filtra o tráfego de entrada e saída entre a rede interna e a externa. 
 
Comentários: 
Forma bem simplista de se definir a capacidade de um firewall. 
Gabarito: C 
 
5. CESPE – TCU/Técnico Federal de Controle Externo/2015 
O firewall é capaz de proteger o computador tanto de ataques de crackers quanto de 
ataques de vírus. 
 
Comentários: 
E aqui temos uma questão que gerou polêmica. Vimos que o Firewall de fato não é um antivírus. 
Entretanto, a palavra “capaz” aqui deu margem para muitos entendimentos. 
 
Além disso, não delimitou fronteiras, se é interno ou externo, enfim, questão totalmente aberta. 
 
Trazendo uma possibilidade para validar a questão, temos a possibilidade de se utilizar um firewall 
do tipo Deep Inspection que seja capaz de averiguar o conteúdo das aplicações e detectar conteúdos 
maliciosos como vírus. 
 
Entretanto, na minha opinião, essa questão deveria ser anulada. Mas como não foi, vamos ficar com 
mais um entendimento da banca CESPE. 
 
Gabarito: C (Gabarito do Professor: Anulação) 
 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 36 
90 
6. CESPE – Polícia Federal/Agende de Polícia Federal/2014 
Embora os firewalls sejam equipamentos ou softwares utilizados no controle das conexões 
de uma rede, eles não protegem computadores contra ataques internos. 
 
Comentários: 
Conforme vimos, como o Firewall é um equipamento de borda que atua, geralmente, na 
fronteira entre redes distintas, ao termos um ataque interno, esse tipo de tráfego nem 
chega a passar pelo firewall. 
 
Gabarito: C 
 
7. CESPE – UNIPAMPA/Analista de Tecnologia da Informação/2013 
O serviço de firewall pode ser utilizado para monitorar os acessos ou as tentativas de 
acesso a determinados recursos de uma rede de computadores. 
 
Comentários: 
Como cada serviço é acessado em portas específicas, pode-se claramente monitorar esses 
recursos, além de controlar o acesso a eles através da filtragem por portas. 
 
Gabarito: C 
 
8. CESPE – ANTT/Analista Administrativo/2013 
Considere que, em um servidor com serviço de firewall habilitado e em funcionamento, o 
administrador de rede tenha verificado que existe muito tráfego de flags SYN do protocolo 
TCP, sem que ocorra o retorno da flag ACK do host a que foi destinada a flag SYN. Nessa 
situação, é possível que regras de firewall estejam descartando os pedidos de abertura de 
conexão. 
 
Comentários: 
Questão muito bem elaborada pelo CESPE. Tal questão exige relembrarmos que para o 
estabelecimento de uma conexão, deverá ser feito o 3-way-handshake. 
 
No caso da questão, percebemos que há pacotes SYN saindo da rede, ou seja, podemos 
assumir que a requisição está partindo do próprio servidor. Assim, a regra de saída para 
o SYN está habilitada. No retorno, o host de destino deve responder com um pacote do 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 37 
90 
tipo SYN+ACK. Nesse caso, pode-se perfeitamente configurar o firewall para bloquear 
pacotes SYN de entrada, ocorrendo o descarte de pacotes e não permitindo o pedido de 
abertura de conexão do outro host. 
 
Gabarito: C 
 
9. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia da Informação 
 
 
 
O firewall representado é um sistema que isola áreas distintas da rede de dados e que 
delimita os domínios de confiança. 
 
Comentários: 
Temos aqui o modelo de utilização de apenas um firewall segmentando 3 segmentos de 
rede (Internet, DMZ e intranet). A divisão da DMZ e da Intranet é justamente para se 
estabelecer limites de confiança, situação que a rede DMZ será acessada externamente, 
enquanto a intranet não. 
 
Gabarito: C 
 
10. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013 
Supondo que um vírus atue entre uma rede local e a Internet, gerando tráfego de dados na 
porta 34465, então é possível que um firewall com iptables executado no sistema 
operacional Linux seja capaz de gerar logs desse tráfego. 
 
Comentários: 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 38 
90 
Muito cuidado com a interpretação. Percebam que em nenhum momento a questão 
afirma que o firewall atuará como um antivírus, mas tão somente que este será capaz de 
gerar log do tráfego. Para isso, basta monitorar e filtrar o fluxo na porta em questão, uma 
vez que o perfil de tráfego é conhecido. 
 
Gabarito: C 
 
11. CESPE – SERPRO/Analista – Redes/2013 
O Kernel do Linux, na versão 2.6 ou superior, suporta nativamente a capacidade de filtro 
de pacotes TCP/IP por meio do sistema SELINUX. 
 
Comentários: 
Conforme vimos, o SELinux não deve ser confundido com o filtro de pacotes IPTables do Linux. 
 
Gabarito: E 
 
12. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
Firewalls que utilizam filtros de pacotes sem estados não verificam a parte útil de dados 
dos pacotes e não guardam o estado das conexões, o que pode impedir que sejam 
totalmente eficazes. 
 
Comentários: 
Os firewalls do tipo filtro de pacotes atuam basicamente na inspeção das informações de camada 3 
e algumas informações de camada 4. Entretanto, tais informações não são suficientes para se 
monitorar o estado das conexões. Esta capacidade surge a partir do firewall do tipo statefull com a 
capacidade de inspecionar todo o cabeçalho dos segmento (camada 4). 
Desse modo, como a inspeção é limitada, possíveis ataques que extrapolem a capacidade de 
inspeção não serão identificados e assim, não serão totalmente eficazes. 
Gabarito: C 
 
 
13. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
O SELinux (security enhanced linux) pode operar em três modos distintos: Enforcing, no 
qual as regras estão aplicadas, e logs de todas as operações são gerados; Permissive, no 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram:@ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 39 
90 
qual as regras estão desativadas, mas logs de todas as operações são gerados; e Disabled, 
no qual as regras e os logs estão totalmente desativados. 
 
Comentários: 
Conforme vimos na teoria, certo pessoal? 
 
Gabarito: C 
 
14. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) 
Como filtro de pacotes, um firewall é um roteador que usa uma tabela de filtragem 
baseada somente nas informações contidas nos cabeçalhos da camada de rede, para 
decidir quais pacotes devem ser descartados. 
 
Comentários: 
Uma generalização indevida a respeito do firewall. O filtro de pacotes nada mais é do que 
um tipo de firewall, sendo o mais simples deles 
 
Gabarito: E 
 
15. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) 
O uso de um firewall de filtragem de pacotes permite distinguir diferentes pacotes que 
chegam à porta TCP 80 (HTTP), possibilitando a realização de testes no nível de 
aplicação. 
 
Comentários: 
O filtro de pacotes, conforme visto no item anterior, é o mais simples e não possui a 
capacidade de verificar informações da camada de aplicação 
 
Gabarito: E 
 
16. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
No modo Permissive, o SELinux estará habilitado, mas apenas gera alarmes e log das ações 
no sistema. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 40 
90 
Comentários: 
Conforme vimos, o modo Permissive, de fato, contempla as ações presentes na assertiva. 
 
Gabarito: C 
 
17. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
O modo de funcionamento Enforcing, que não é o padrão do SELinux, nega acesso a 
recursos e impede o log das ações realizadas no sistema. 
 
Comentários: 
O modo padrão é o Permissive na distribuição DEBIAN, enquanto o modo Enforcing é 
padrão nas distribuições RED HAT. Isso seria um problema para o enunciado. Entretanto, 
a segunda parcela invalida de qualquer forma o item, uma vez que o modo Enforcing não 
possui tal impedimento. 
Gabarito: E 
 
 
 
IPTABLES 
 
18. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor 
DNS e um servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na 
rede é Linux com IPTABLES, que, por padrão, nega tudo. O IP do servidor em questão com 
os serviços é 10.10.10.10. Foi solicitada a liberação de acesso para os serviços web, DNS e 
FTP através do firewall. 
 
Com base nessa situação hipotética, julgue os itens a seguir. 
 
O comando iptables –I FORWARD –s 10.10.10.10 –p udp --sport 53 –j DENY fará que o 
tráfego cuja porta de origem é DNS seja negado 
 
Comentários: 
Analisando os parâmetros, temos: 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 41 
90 
 
-I : Insere nova regra dentro das existentes no firewall. 
FORWARD : Utiliza a chain Forward (regra para encaminhamento) 
-s : Define um host como origem de tráfego 
-p : Define um protocolo da camada de rede ou transporte 
--sport : Define a porta de origem. 
-j : Procedimento a ser executado no caso de ocorrência da regra. 
 
Desse modo, temos que a regra em questão busca negar (DENY) o tráfego que passe pelo 
firewall (FORWARD) a partir de um host de origem (10.10.10.10), com porta de origem 
(53) e protocolo (UDP). Nesse caso, temos que o serviço que utiliza o protocolo UDP na 
porta 53 é o DNS. 
 
Gabarito: C 
 
19. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor 
DNS e um servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na 
rede é Linux com IPTABLES, que, por padrão, nega tudo. O IP do servidor em questão com 
os serviços é 10.10.10.10. Foi solicitada a liberação de acesso para os serviços web, DNS e 
FTP através do firewall. 
 
Com base nessa situação hipotética, julgue os itens a seguir. 
 
O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 22 –j ACCEPT fará que o 
tráfego cuja porta de destino é FTP seja aceito. 
 
Comentários: 
Analisando os parâmetros, temos: 
 
-I : Insere nova regra dentro das existentes no firewall. 
FORWARD : Utiliza a chain Forward (regra para encaminhamento) 
-d : Define um host como destino do tráfego 
-p : Define um protocolo da camada de rede ou transporte 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 42 
90 
--dport : Define a porta de destino. 
-j : Procedimento a ser executado no caso de ocorrência da regra. 
 
Desse modo, temos que a regra em questão busca permitir (ACCEPT) o tráfego que passe 
pelo firewall (FORWARD) a para um host de destino (10.10.10.10), com porta de destino 
(22) e protocolo (TCP). Nesse caso, temos que o serviço que utiliza o protocolo TCP na 
porta 22 é o SSH e não o FTP. 
 
Gabarito: E 
 
20. CESPE – TJ-SE/Analista Judiciário – Redes/2014 
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor 
DNS e um servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na 
rede é Linux com IPTABLES, que, por padrão, nega tudo. O IP do servidor em questão com 
os serviços é 10.10.10.10. Foi solicitada a liberação de acesso para os serviços web, DNS e 
FTP através do firewall. 
 
Com base nessa situação hipotética, julgue os itens a seguir. 
 
O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 80 –j ACCEPT fará que o 
tráfego cuja porta de origem é HTTP seja permitido. 
 
Comentários: 
Mesmos parâmetros da questão anterior. 
 
Desse modo, temos que a regra em questão busca permitir (ACCEPT) o tráfego que passe 
pelo firewall (FORWARD) para um host de destino (10.10.10.10), com porta de destino 
(80) e protocolo (TCP). Nesse caso, temos que o tráfego cuja porta de destino é HTTP, 
seja permitido e não porta de origem. 
 
Gabarito: E 
 
21. CESPE – STF/Analista Judiciário – Suporte em TI/2015 
O comando iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE deve ser utilizado 
apenas quando existir endereço IP estático em interfaces point-to-point. 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 43 
90 
Comentários: 
Analisando os parâmetros, temos: 
 
-t: Define o tipo de tabela que será utilizada. 
-A : Insere a regra no final da tabela. 
POSTROUTING : Tipo de Nat 
-o : interface de saída 
-j : Operação a ser executada na ocorrência da regra. 
 
Desse modo, temos que a regra em questão busca permitir realizar o mascaramento 
(MASQUERADE) de quaisquer endereço de chegada para o endereço público de saída da 
interface ppp0 (NAT DINÂMICO na interface point-to-point). 
 
Aproveito para definir os tipos de nat: 
prerouting - consultado quando os pacotes precisam ser modificados ao chegarem 
output - consultado quando os pacotes gerados localmente precisam ser modificados 
antes de serem roteados 
postrouting - consultado quando os pacotes precisam ser modificados após tratamento 
do roteamento 
 
Gabarito: E 
 
22. CESPE – STF/Analista Judiciário – Suporte em TI/2015 
O comando iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 200.10.10.1 está 
sintaticamente correto e faz a tradução dos endereços de origem que saem pelaeth0 para 
o IP 200.10.10.1. 
 
Comentários: 
Analisando os parâmetros, temos: 
 
-t: Define o tipo de tabela que será utilizada. 
-A : Insere a regra no final da tabela. 
POSTROUTING : Tipo de NAT 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
==10ef0==
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 44 
90 
-o : interface de saída 
-j : Operação a ser executada na ocorrência da regra. 
SNAT : Define um IP fixo de saída (Nat estático) 
 
Desse modo, temos que a regra em questão busca realizar o NAT estático na interface 
eth0. Desse modo, independente do IP de origem que chegue ao firewall e saia pela 
interface eth0, esse IP sempre será alterado para o IP 200.10.10.1. 
 
Gabarito: C 
 
23. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 
No IPTABLES, tabelas são as estruturas usadas para armazenar os chains e as regras. As 
tabelas disponíveis no IPTABLES são filter, nat e mangle, que podem ser referenciadas com 
a opção -t tabela. 
 
Comentários: 
De fato o IPTABLES trabalha com três tipos de tabelas: filter, nat e mangle. A tabela filter tem como 
fim armazenar as regras de filtragem do firewall e é a referência padrão do IPTABLES, não 
necessitando ser explicitada através do parâmetro "-t" no comando. 
A tabela NAT armazena informações de mapeamento e tradução de endereços IP. E a 
tabela MANGLE armazena informações a respeito da manipulação dos pacotes, isto é, caso 
se deseje alterar alguma flag ou parâmetro destes. 
 
Gabarito: C 
 
24. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
A execução do código mostrado a seguir provocará o bloqueio do tráfego de saída do ICMP 
do tipo echo-request. 
 
iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP 
 
Comentários: 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 45 
90 
O problema aqui está na CHAIN OUTPUT. O firewall iptables trabalha com as CHAINS a 
seguir: 
▪ INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. 
Por exemplo, um acesso remoto no firewall para sua configuração. 
▪ OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um 
acesso externo para atualização do repositório de pacotes do firewall. 
▪ FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o 
destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou 
um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD. 
Desse modo, o comando a seguir está bloqueando apenas o tráfego de saída gerado pelo 
própria firewall e não aqueles provenientes da rede interna que somente "passam" pelo 
firewall. Para tanto, deveria ser usado a CHAIN FORWARD. 
Entendo, portanto, que o enunciado esteja incompleto por não abarcar as possibilidades 
de saída uma vez que não se especifica o tipo de saída e, logo, o gabarito deveria ser 
alterado. 
 
Gabarito: C (Gabarito do Professor: E) 
 
25. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 
O comando mostrado a seguir redireciona uma conexão TCP da porta 5000 para a porta 
22. 
 
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-ports 5000 
 
Comentários: 
É ao contrário, ok pessoal? Temos aí a utilização da CHAIN PREROUTING para 
manipulação de endereços e portas de destino. Essa CHAIN é utilizada para disponibilizar 
serviços internos para acessos externos. 
Um outro detalhe é que não existem o parâmetro "--to-ports" e sim "--to-port". 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 46 
90 
Gabarito: E 
 
 
 
PROXY 
 
26. CESPE – CGE-PI/Auditor Governamental/2015 
 Após uma auditoria de segurança na rede de comunicação de determinado órgão do 
governo, constatou-se que a parte de navegação na Internet desse órgão não possuía 
nenhum tipo de filtro de pacotes. Por isso, o auditor solicitou a instalação de um firewall 
Linux IPTABLES e um proxy SQUID entre as estações da rede e a Internet. 
 
Considerando essa situação hipotética, julgue o item que se segue, relativo a firewall e 
proxy. 
 
O proxy SQUID permite a filtragem de URLs que façam uso do protocolo HTTP e também 
permite a criação de listas de acesso conforme a necessidade de filtragem. 
 
Comentários: 
Temos aqui a descrição de características padrões de quaisquer tipos de proxies. 
 
Gabarito: C 
 
27. CESPE – FUB/Técnico de TI/2015 
O firewall pode ser utilizado como uma barreira para filtrar o tráfego entre a rede 
interna de uma empresa e a Internet. O proxy é um modelo de firewall que tem a 
finalidade de filtrar os pacotes que se baseiam nos routers disponíveis na rede. 
 
Comentários: 
Não há essa relação entre o proxy e o aspecto de filtrar pacotes que se baseiam em 
routers. Vimos que sua principal característica é atuar na camada de aplicação com filtros 
mais robustos, sendo um intermediário na comunicação. 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 47 
90 
 
Gabarito: E 
 
28. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013 
O serviço de proxy no sistema operacional Linux, provido pelo software Squid, utiliza o 
protocolo HTTP, sendo capaz de fazer cache de páginas web estáticas e otimizar o acesso, 
diminuindo o consumo do link de Internet. Além disso, é capaz de filtrar acessos a 
sítios webdefinidos previamente em sua configuração. 
 
Comentários: 
Temos uma boa descrição de alguns recursos do SQUID. 
 
Gabarito: C 
 
 
IDS/IPS 
 
29. CESPE – SE-DF/Analista de Redes/2017 
Em uma varredura de arquivos armazenados, se um arquivo legítimo do usuário for 
classificado como vírus por um software antivírus, então tal ocorrência caracterizará um 
falso negativo. 
 
Comentários: 
Questão bem básica a respeito do tratamento da informação. Quando um dado legítimo 
é tratado como algo malicioso, temos aí um Falso positivo e não um Falso negativo, como 
afirma a questão. Para lembrar, basta entender o conceito da palavra mesmo. Ou seja, o 
software atesta tal arquivo como malicioso (ou seja, deu positivo)... Entretanto, ele não é 
malicioso, logo, é um falso positivo. Lembrando que este é o principal aspecto a ser 
considerado nas configurações dos IDS/IPS baseado em comportamento. Se deixar a 
regra muito rígida, tende-se a ter um alto índice de falsos positivos. Ok? Vamos adiante. 
 
Gabarito: E 
 
André Castro
Aula 01
Segurança da Informação p/ BRB (Analista TI) - Pós-Edital
www.estrategiaconcursos.com.br
69360
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 01 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 48 
90 
30. CESPE – SE-DF/Analista de Redes/2017 
Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a 
reconhecer padrões de intrusões usando métodos como redes neurais. 
 
Comentários: 
Comentei na questão logo acima a respeito dos sistemas IDS baseados em 
comportamentos. Entretanto, para se criar os algoritmos que serão responsáveis por 
avaliar o comportamento dos softwares, utilizam-se diversas referências, entre elas, as 
redes neurais. 
 
Estas têm por objetivo utilizar suas características de reconhecimento de padrões e 
generalização para realizar a classificação dos eventos ocorridos em redes de 
computadores,