Aulas do Módulo 02

Prévia do material em texto

PROF. MAXIMILIANO DE CARVALHO JACOMO
CAPÍTULO 1. INTRODUÇÃO E CONCEITO A DEFESA EM PROFUNDIDADE
Segurança em 
Infraestrutura de TI
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 1.1. INTRODUÇÃO A DEFESA EM PROFUNDIDADE
Nesta aula
Introdução a defesa em profundidade.
1
Em um ambiente corporativo, centenas de dados são 
gerados à cada dia!
Momento atual
Tais dados vêm se tornando um ativo de “ALTO VALOR” 
para as empresas. Isso porque ajudam as empresas a 
oferecer novos produtos/serviços, conquistar clientes, 
traçar novas estratégias e sobreviver!
Garantir a segurança da informação dentro de um 
ambiente corporativo, significa proteger os ativos de TI 
quanto a perda de qualquer um dos princípios básicos 
relacionados à segurança da informação, que são: 
confidencialidade, integridade, disponibilidade e 
autenticidade.
Porém, a segurança da informação não é uma única 
tecnologia fechada, mas sim um conjunto de 
ferramentas, estratégias, planos e políticas de 
segurança que visam proteger a empresa de vários 
problemas!
Momento atual
Momento atual
As equipes de segurança da 
informação e cibersegurança precisam 
se adaptar rapidamente aos novos 
requisitos necessários para os 
negócios e, ao mesmo tempo, estar 
preparadas para lidar com um 
ambiente que se torna cada vez mais 
hostil.
Momento atual
Mas, como garantir a segurança e a proteção de todos os 
ativos de TI, dentro de uma empresa, incluindo a 
infraestrutura de TI?
Definindo uma:
Momento atual
Estratégia é o caminho, maneira ou ação formulada e 
adequada para alcançar, preferencialmente, de maneira 
diferenciada, os objetivos e desafios estabelecidos, no 
melhor posicionamento da empresa perante seu ambiente.
Oliveira (2004, p.424)
Momento atual
Mas, como garantir a segurança e a proteção de todos os 
ativos de TI, dentro de uma empresa, incluindo a 
infraestrutura de TI?
Definindo então uma ESTRATÉGIA, que no caso será a 
DEFESA EM PROFUNDIDADE ou DEFENSE IN DEPTH
(DiD).
Voltando a pergunta...
Conclusão
Introdução a defesa em profundidade.
Próxima aula
Conceito de defesa em profundidade.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 1.2. CONCEITO DE DEFESA EM PROFUNDIDADE
Nesta aula
Conceito de defesa em profundidade.
1
A defesa em profundidade vêm da Agência de Segurança Nacional 
(NSA) e foi concebida como uma abordagem abrangente 
para segurança da informação e segurança cibernética. O termo foi 
inspirado por uma estratégia militar com o mesmo nome.
Conceituar a Defesa em 
Profundidade
Porém, na prática, à estratégia militar e a estratégia de 
segurança da informação se diferem.
Na estratégia militar, a DID gira entorno de ter uma defesa 
de perímetro mais fraca e ceder intencionalmente espaço 
para ganhar tempo para construir um contra-ataque.
Já na segurança da informação e segurança cibernética, a 
estratégia de defesa em profundidade envolve sistemas 
paralelos de contramedidas físicas, técnicas e 
administrativas que trabalham juntas, mas não cedem 
intencionalmente o controle a um invasor.
Conceituar a Defesa em 
Profundidade
A estratégia de Defesa em Profundidade (DiD) é uma estratégia 
de segurança da informação e da segurança cibernética, que se 
baseia na aplicação de uma série de medidas defensivas 
redundantes em camadas, com o objetivo de implementar 
planos, políticas, controles, mecanismos e ferramentas 
tecnológicas de segurança da informação e segurança 
cibernética, redundantes e dispostas em camadas, que visam à 
segurança e proteção dos ativos de TI.
Sendo assim, podemos 
dizer que...
Analogia do Castelo e a DiD
Um invasor se depara com diversos mecanismos de 
defesa dispostos em camadas. Em cada camada haverá 
um conjunto de mecanismos de defesa, prontos para atuar 
na proteção, INIBINDO ou IMPEDINDO a invasão!
Segurança em Camadas
1ª CAMADA
2ª CAMADA
3ª CAMADA
4ª CAMADA
SUPERAR AS DEFESAS
Quanto mais profunda for a camada de 
proteção, maior será o nível de proteção. 
Ou seja, maior será o fator dificultador
para o invasor.
Segurança em Camadas
1ª CAMADA
2ª CAMADA
3ª CAMADA
4ª CAMADA
Conclusão
Conceito de defesa em profundidade.
Próxima aula
Elementos de controle.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 1.3. ELEMENTOS DE CONTROLE
Nesta aula
Elementos de controle.
1
Controles físicos: medidas de segurança que 
impedem o acesso físico aos sistemas de TI.
Controles técnicos: medidas de segurança 
que protegem a segurança da rede e outros 
recursos de TI usando hardware e software.
Controles administrativos: medidas de 
segurança que consistem em políticas e 
procedimentos direcionados aos funcionários 
de uma organização e seus fornecedores e 
parceiros comerciais.
Elementos de controle da DiD
1ª CAMADA
2ª CAMADA
3ª CAMADA
4ª CAMADA
Controles físicos
Controles administrativos 
• Política de Segurança Cibernética.
• Política da Proteção a Privacidade Dados Pessoais.
• Código de Ética e Conduta.
• 27001 – Requisitos/Gestão.
• 27002 – Práticas/Controles.
• Proteção da rede.
• Proteção do hardware.
• Proteção do software.
Controles técnicos
Controles técnicos
As equipes de segurança usam 
ferramentas de segurança que monitoram 
continuamente toda a infraestrutura de TI 
quanto a possíveis falhas em suas defesas 
de segurança.
Todos os controles tem como 
missão...
Conclusão
Atualmente os DADOS são o novo petróleo da humanidade.
Precisamos pensar em uma ESTRATÉGIA para a segurança.
A DEFESA EM PROFUNDIDADE prove uma proteção em camadas.
Cada camada de segurança tem como missão INIBIR ou IMPEDIR uma ameaça.
É preciso implementar controles FÍSICOS, ADMINISTRATIVOS e TÉCNICOS.
Controles servem para: IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER e 
RECUPERAR.
PROF. MAXIMILIANO DE CARVALHO JACOMO
Segurança de 
Infraestrutura 
CAPÍTULO 2. SEGURANÇA EM CAMADAS
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.1. ARQUITETURA DA SEGURANÇA EM CAMADAS E CAMADA 1
Nesta aula
Arquitetura da segurança em camadas.1
2 Camada 1 – Política e treinamento.
A estratégia de defesa em profundidade 
possui uma arquitetura desenhada em 
camadas.
Cada camada será uma barreira de proteção 
redundante, que visa INIBIR ou IMPEDIR
uma ou mais ameaças de alcançar o seu 
objetivo.
Arquitetura em camadas
No geral a arquitetura da estratégia em 
defesa de profundidade possui sete 
camadas. 
Em cada camada haverá um conjunto de 
elementos projetados para garantir a 
proteção dos aspectos administrativos, 
físicos e técnicos da infraestrutura de TI da 
empresa.
Arquitetura em camadas
A CAMADA 1 – POLÍTICAS, PROCEDIMENTOS E CONSICENTIZAÇÃO é 
a base fundamental de toda a segurança dos ativos de TI. Isso porque essa 
camada é responsável por implementar os planos, normas, regras, políticas e 
procedimentos em relação à segurança da informação, segurança cibernética 
e proteção a privacidade de dados e informações pessoais.
Outro papel importante dessa camadas é o de informar, treinar (capacitar) e 
conscientizar todos os clientes, colaboradores, fornecedores e parceiros 
quanto aos planos, normas, regras, políticas e procedimentos em relação a 
segurança da informação, segurança cibernética e privacidade de dados, e 
informações pessoais adotados pela empresa. 
Sem a camada 1, as coisas seriam assim...
Com a camada 1...
Porém, não é fácil...
G
E
S
T
Ã
O
 D
E
 R
IS
C
O
S
R
E
G
U
L
A
M
E
N
T
A
Ç
Õ
E
S
 E
 R
E
G
R
A
S
 D
O
 
N
E
G
Ó
C
IO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
ACESSO À 
INFORMAÇÃO
CLASSIFICAÇÃO DA 
INFORMAÇÃO
PROTEÇÃO TÉCNICA 
RECURSOS DE 
INFORMAÇÃO
FLEXIBILIDADE 
OPERACIONAL
DESENVOLVIMENTO 
DE APLICATIVOS E 
SISTEMAS 
CONSCIENTIZAÇÃO E 
TREINAMENTO DOS 
COLABORADORES
CONTINUIDADE DO 
NEGÓCIO
AMBIENTE FÍSICO EINFRAESTRUTURA 
PROCESSOS E 
PROCEDIMENTOS 
OPERACIONAIS E 
TÉCNICOS 
MONITORAMENTO E TRATAMENTO DE INCIDENTES 
ISO/IEC 27002
Porém, não é fácil...
ISO/IEC 27001
01.
Dicas para uma boa PSI
Tenha a adesão das 
partes interessadas e 
conheça o modelo de 
negócio.
02.
Escute as áreas de 
negócio e entenda as 
suas necessidades.
03.
Realize o inventariado e 
a classificação de todos 
os ativos de TI.
04.
Realize um planejamento adequado 
das medidas administrativas e técnicas 
de proteção, de acordo com a realidade 
da empresa.
05.
Monte uma equipe 
preparada para lidar com 
problemas e pontos de 
estresse. 06.
Execute o que foi 
planejado, realize testes, 
monitore e aplique a 
melhoria contínua.
Conclusão
Arquitetura da segurança em camadas.
Camada 1 – Política e treinamento.
Próxima aula
Camada 2 – Segurança Física.
Camada 3 – Segurança de Perímetro.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.2. SEGURANÇA FÍSICA E DE PERÍMETRO
Nesta aula
Camada 2 – Segurança Física.1
2 Camada 3 – Segurança de Perímetro.
1º TÓPICO
Segurança Física
(Camada 2)
A CAMADA 2 – SEGURANÇA FÍSICA, deve garantir a proteção física dos 
ativos de TI, para que esses por sua vez não possam ser acessados 
fisicamente por qualquer tipo de ameaça. 
Sua missão é impedir que os ativos de TI se tornem INDISPONÍVEIS.
Mas como fazer isso?
SEGURANÇA
• CFTV e controle de acesso.
• Vigilantes e portaria.
• Portas, portões e muros.
• Sala cofre etc.
RESFRIAMENTO
• Temperatura.
• Ar condicionado.
MONITORAMENTO
• Presença.
• Unidade.
• Fumaça e fogo.
• Queda energia.
• Inundação.
INTEGRAÇÃO
• Grupo gerador.
• No-break.
• Iluminação.
• Equipes técnicas/manutenção.
CAMADA FÍSICA, impedir que os 
ativos de TI contra acessos não 
autorizados e contra a 
indisponibilidade. 
2º TÓPICO
Segurança de Perímetro
(Camada 3)
O objetivo é implementar a proteção necessária entre o mundo
exterior e a infraestrutura de TI interna do ambiente corporativo. Ou
seja, basicamente proteger a fronteira existente entre a rede
pública de comunicação (WAN) – no geral a Internet e a rede
privada de comunicação (LAN) – e a rede interna de computadores
da empresa.
LAN
As empresas, por meio de suas equipes de segurança devem 
implementar um ponto de estrangulamento, ou seja, um funil ou 
ponto único por onde todos os dados que entrem e saiam de suas 
redes possam ser protegidos e monitorados.
PROTEÇÃO DE BORDA
dados
dados
dados
LAN
Todo o fluxo de dados transmitidos e recebidos 
entre redes distintas deve ser checado e obedecer 
as políticas de controle.
FWRouter IPS
Web
Server
FTP
Público
Anti
Spam
BD
Server
App
Server
VPN
Proxy
DMZ
Servidores
Rede Interna
E-mail
Honey
Pot
I
N
T
E
R
N
E
T
Anti
Virus
Patch
Server
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
Desktop Desktop
DNS
Segurança de 
Perímetro
Agora vamos exercitar a nossa mente com os conhecimentos 
aprendidos...
Imagine uma infraestrutura de TI (a da empresa em que trabalha ou a 
da sua casa) e tente enumerar os elementos de segurança de 
perímetro que essa infraestrutura possui. Será que a segurança dessa 
infraestrutura pode melhorar?
Conclusão
Camada 2 – Segurança Física.
Camada 3 – Segurança de Perímetro.
Próxima aula
Roteadores e ACLs.
Firewall.
Arquitetura Firewall.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.3. ROTEADORES E ACLS
Nesta aula
Roteadores e ACLs.1
O ROTEADOR (ROUTER) tem como principal missão realizar o “ROTEAMENTO” de 
pacotes de dados entre redes distintas (WAN e LAN). Ou seja, encaminhar os pacotes 
de dados entre duas redes distintas, por meio da escolha da melhor “ROTA”, pela qual 
esses pacotes de dados serão enviados.
Essa escolha pode ser feita de duas formas, sendo a primeira 
pela escolha da distância administrativa (menor custo da rota 
até a rede de destino) ou melhor métrica (menor número de 
saltos até a rede de destino).
Mas, além de realizar o roteamento entre redes distintas, um roteador pode realizar o 
controle do tráfego desses pacotes de dados, permitindo ou não o seu 
encaminhamento entre as redes, por meios das ACLs ou listas de controle de acesso.
ACLs são filtros de tráfego de rede que podem controlar o tráfego 
de entrada ou saída dentro de um roteador. As ACLs trabalham 
em um conjunto de regras que definem como encaminhar ou 
bloquear um pacote na interface do roteador.
Quando você define uma ACL em um dispositivo de roteamento para uma interface específica, 
todo o tráfego que passa será comparado com a instrução ACL que a bloqueará ou permitirá.
Os critérios para definir as regras da ACL podem ser a origem, o destino, ou um protocolo 
específico. 
A ideia principal do uso de uma ACL é fornecer segurança à sua rede. Sem ele, qualquer tráfego 
pode entrar ou sair, tornando-o mais vulnerável a tráfego indesejado e perigoso.
VAMOS ENTENDER UM POUCO MAIS....
REDE A REDE B
ACL
Demonstração
https://www.netacad.com/pt-br/courses/packet-tracer
https://www.netacad.com/pt-br/courses/packet-tracer
DIEGO!!!
INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO
LABS – ACL PARTE 1 E PARTE 2
Favor verificar os vídeos.
Conclusão
Roteadores e ACLs.
Próxima aula
Firewall.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.4.1. FIREWALL
Nesta aula
1 Firewall.
O FIREWALL é um elemento de proteção que existe desde o início das 
primeiras redes de computadores, no final da década de 70 e início da 
década de 80. Ganhou popularidade com o surgimento da Internet.
Os primeiro firewall trabalham com regras ACLs similares as utilizadas em
roteadores, permitindo ou negando o tráfego de pacotes de dados entre redes
distintas, e isso os tornavam bem limitados.
Demonstração utilizando o Cisco Packet Tracer do funcionamento básico de 
um FIREWALL. Nessa demonstração iremos:
1. Criar um cenário no qual haverá um servidor Firewall e três estações de trabalho.
2. Configurar a rede com a faixa de endereço IP: 192.168.0.0/24 sendo: o servidor 
com o IP: 192.168.0.254 e os demais PCs com 192.168.0.1/24, 192.168.0.2/24 e 
192.168.0.3/24.
3. Habilitar o serviço de DNS no servidor.
4. Criar regras de permissão e negação para as Estações de Trabalho. 
Demonstração
DIEGO!!!
INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO
LABS – EXEMPLO FIREWALL PARTE 1
Favor verificar os vídeos.
Conclusão
Firewall (Parte 1).
Próxima aula
Firewall (Parte 2)
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.4.2. FIREWALL (PARTE 2)
Nesta aula
1 Firewall.
Com a utilização cada vez mais das redes de computadores, houve-
se então a necessidade de garantir uma maior proteção quanto ao 
envio e recebimento de pacotes de dados entre as diversas redes 
corporativas, dando início aos firewall de 2ª geração denominados de 
FIREWALL DE FILTRO DE PACOTES (Packet Filter) e de 
APLICATIVOS (Proxy).
Esse tipos de firewall eram mais eficientes se comparados com os modelos 
iniciais e possuíam interfaces de configuração e monitoramento mais 
amigáveis, e eram fáceis de configurar.
Esses modelos de firewall eram conhecidos como BASTION 
HOST e eram colocados na “borda” da rede propositalmente, para 
controlar todo o tráfego de entrada e saída de pacotes da rede a 
qual pertencia.
Vamos entender seu funcionamento!
O firewall verificava o cabeçalho de cada pacote 
que entra na rede interna e tomava a decisão de 
permitir ou bloquear o pacote baseado no IP 
usado e no número da porta especificado no 
cabeçalho, na parte de TCP ou UDP.
Por mais que essa funcionalidade seja uma 
das funções principais de um firewall, a 
filtragem de pacotes usada dessa forma não 
é o suficiente para garantir a segurança na 
rede.Filtro de pacotes são regras que avaliam as informações no 
cabeçalho de um pacote de dados. Toda vez que um pacote de 
dados chega ao firewall, o mesmo irá tomar a decisão de permitir ou 
não a sua passagem. 
Caso seja permitido a passagem do pacote de dados, ele toma o seu caminho 
normalmente. Porém, nenhum pacote passa por um roteador ou firewall sem 
sofrer algumas modificações. Antes do pacote tomar o seu caminho o roteador ou 
firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o 
TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o 
pacote é descartado. Descartando o pacote evitamos um lopping infinito de um 
pacote no meio.
Podem ser criadas regras de filtragem que checam os seguintes campos de um pacote:
 IP de origem: é o endereço de IP que o pacote lista como seu emissor. Esse campo não é 
necessariamente o IP original do emissor. Esse IP pode ser modificado legalmente por NAT ou 
algum hacker que, nesse caso, é chamado de IP spoofing.
 IP de destino: é o endereço de IP para onde o pacote está sendo mandado. É preciso ter 
certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS (Domain Name 
System).
 ID de protocolo IP: um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. 
Cada um desses protocolos têm seu próprio ID de protocolo IP. Os exemplos mais conhecidos 
são TCP (ID 6) e UDP (ID 17).
Numero de portas TCP ou UDP: o numero da porta indica que tipo de serviço o 
pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém 
outros são muito perigosos e não pode ser permitido a sua passagem pelo firewall.
Flag de fragmentação: pacotes podem ser quebrados em pacotes ainda menores 
para serem acomodados em redes que suportam somente pacotes pequenos.
Ajuste de opções do IP: funções opcionais no TCP/IP que podem ser 
especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, 
de forma que o firewall possa descartar pacotes com opções de IP determinadas.
Checando os campos mencionados anteriormente, os filtros podem diferenciar 
pacotes que vão da rede interna para a rede externa. 
A interface da rede em que o pacote chega já é um critério muito 
importante. Isso porque um hacker pode facilmente forjar um IP falso 
para o pacote que está sendo enviado, e isso o firewall não pode 
identificar. Porém, se o pacote chega a rede externa usando um IP do 
emissor de uma rede interna, o firewall pode reconhecer rapidamente a 
falha no IP, simplesmente notando que o pacote está na rede externa.
Da mesma maneira que você pode falsificar o remetente em uma carta ou falsificar o "De:" 
de um e-mail, um hacker pode usar uma fonte de endereço IP falsa nos pacotes que ele 
enviar ao seu firewall. Isso é conhecido como "IP Spoofing"
O firewall não pode confiar somente no endereço de IP do emissor para 
decidir se o pacote tem permissão de passar. Pelo mesmo motivo, não 
é útil usar filtro de pacotes para bloquear pacotes baseando-se no IP do 
emissor. Logo, o firewall tem que ser capaz de distinguir de que 
interface de rede o pacote chegou. Pacotes chegados de uma interface 
de rede externa, mas mostrando que veio de um endereço de IP 
interno, devem ser bloqueados imediatamente.
A inspeção de pacotes precisa ser mais esperta em quais pacotes devem ser 
esperados em resposta de um legítimo pedido de um usuário da rede interna 
e que pacotes não foram solicitados e devem ser bloqueados. 
Quando um firewall vê um pacote saindo, ele sabe que uma resposta chegará 
em breve e que deve somente permitir a chegada dos pacotes esperados de 
resposta. Essa informação “lembrada” é chamada de estado (state). Essa 
forma mais inteligente de filtragem de pacotes é chamada de FILTRAGEM 
DE PACOTES DE ESTADO ou STATEFUL PACKET FILTERING.
Conclusão
Firewall (Parte 2).
Próxima aula
Arquitetura Firewall.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.5. ARQUITETURA FIREWALL
Nesta aula
1 Arquitetura firewall.
Podemos montar uma arquitetura de firewall de diversas maneiras. Cada 
modelo de arquitetura irá atender a uma necessidade específica de proteção. 
As mais comuns: 
 DUAL HOMED HOST FIREWALL.
 SCREENED HOST FIREWALL.
 SCREENED SUBNET FIREWALL.
 MULTIPLE GATES.
Na arquitetura DUAL HOMED FIREWALL o firewall deverá conter no mínimo duas 
interfaces de rede, no qual cada uma irá se comunicar a uma rede específica.
VANTAGEM: provê um alto grau de controle, pois além 
de filtrar os pacotes indesejados, possibilita negar 
conexões que pedem algum tipo de serviço especial 
mas que não têm permissão. Facilita o monitoramento 
das atividades dos usuários e é relativamente fácil de 
configurar e manter, além de ser relativamente barato.
DESVANTAGEM: a segurança de toda rede fica 
dependente de um único ponto, ou seja, se este ponto 
for comprometido, toda a infraestrutura abaixo dele fica 
vulnerável.
Na arquitetura SCREENED HOST FIREWALL não há uma subrede de segurança entre a rede
externa e a rede interna. Existe apenas um screening router e um bastion host, situado junto à
rede interna.
O screening router é responsável por bloquear os pacotes de
serviços que não deseja que passem pelo firewall, pacotes que
tenham rotas IP definidas ou que tenham como destino a sua
rede interna.
O bastion host executa servidores proxy, possibilitando aos 
usuários da sua rede interna usar serviços na rede externa.
VANTAGEM: é mais segura em comparação com a DUAL 
HOMED FIREWALL, porque existem dois níveis de proteção na 
camada de rede através do screening router e na camada de 
aplicação através do bastion host. No caso de ocorrer uma 
falha, existe a proteção do outro. A configuração e a manutenção 
deste tipo de firewall é relativamente fácil.
Na arquitetura SCREENED SUBNET FIREWALL, trata-se da combinação das arquiteturas 
screened host + screening router + bastion host, formando assim um DMZ (ZONA 
DESMILITARIZADA). A zona desmilitarizada (DMZ) não permite a conexão direta entre 
a rede interna e a externa. Para que haja essa conexão a mesma 
deverá passar pelo Bastion Host. O roteador externo realiza a 
verificação dos pacotes de dados e nega serviços não 
permitidos. Os encaminha diretamente para o Bastion Host. O 
roteador interno cria um, permitido a 2ª camada de proteção em 
relação ao Bastion Host e permitindo a comunicação de pacotes 
do mesmo para a rede interna.
VANTAGEM: é mais segura em relação as arquitetura 
apresentadas anteriormente. Porém, trata-se de uma arquitetura 
mais complexa e com um custo mais elevado. Pode haver um 
delay maior entre a comunicação das redes interna e externa.
Uma DMZ (zona desmilitarizada) é um mecanismos de proteção, 
inserido na camada de segurança de perímetro que tem como 
objetivo proteger a comunicação entre redes distintas. Trata-se 
de uma subrede que é inserida entre a rede interna e a rede 
externa, provendo o isolamento físico entre ambas as redes 
através de diversas regras de conectividade inseridas no firewall, 
no que diz respeito a serviços e servidores que necessitam ser 
acessados por usuários externos e que não precisam estar 
dentro do perímetro da rede interna da empresa. 
A arquitetura MULTIPLE GATE é bem similar a arquitetura Screened Subnet Firewall. Porém,
com o uso de vários Bastion Hosts realizando o papel de gates (portões), cada um para um
determinado protocolo.
A ideia aqui é você ter vários “portões” sendo cada um deles 
específicos a um protocolo. Permitindo as equipes de segurança 
segmentar serviços, baseando-se em seus protocolos e 
aumentando a segurança da infraestrutura como um todo. Ou 
seja, permite que as equipes de segurança isolem serviços e 
protocolos que estiverem em um único bastion host e que caso 
fossem comprometidos afetaria toda a segurança da rede.
VANTAGEM: é mais segura em relação as arquitetura 
apresentadas anteriormentee mais fácil de administrar. Porém, 
como haverá um número maior de bastion hosts, as equipes de 
segurança terão um trabalho maior nas questões de 
gerenciamento e monitoramento.
Em nossa disciplina iremos trabalhar com a arquitetura DUAL HOMED FIREWALL, no qual 
iremos instalar o firewall UTM SOPHOS HOME EDITION em uma máquina virtual (VM) em 
nosso virtual box e configurá-lo como o mecanismo de proteção de perímetro entre nossos end
points e servidores, a rede externa (Internet), com exemplo de algumas regras de permissão ou 
negação de protocolos e aplicações.
Nosso primeiro passo para executar com sucesso as práticas é realizar o download da imagem 
ISO de nosso firewall e instalar a nossa máquina virtual. Sendo assim, acesse o endereço 
abaixo, realize seu cadastro para pegar a chave que irá habilitar as funções e funcionalidades 
do firewall (totalmente grátis após o cadastro) e realize o download da imagem ISO.
https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
Demonstração
https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
DIEGO!!!
INSERIR NESTA PARTE O VÍDEO GRAVADO DENOMINADO
LABS – INSTALL FIREWALL SOPHOS PARTE 1
LABS – INSTALL FIREWALL SOPHOS PARTE 2
LABS – INSTALL FIREWALL SOPHOS PARTE 3
LABS – INSTALL FIREWALL SOPHOS PARTE 4
Favor verificar os vídeos.
Conclusão 
Estudamos que o ROTEADOR e o FIREWALL possuem papel importante na 
camada de segurança de perímetro da estratégia de defesa em profundidade.
Podemos aplicar ACLs nos roteadores para permitir ou negar o tráfego entre redes 
distintas. Já o FIREWALL vai mais além, pois possui muito mais funções e 
funcionalidades que permitem uma maior proteção e controle de todo o tráfego 
entre essas redes.
Por fim, existem diversas ARQUITETURAS de firewall, cada qual desenha para um 
modelo de proteção junto a camada de segurança de perímetro.
Próxima aula
IPS (Sistema de Prevenção de Intrusão).
IDS (Sistema de Detecção de Intrusão).
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.5. IPS E IDS
Nesta aula
IPS (Sistema de Prevenção de Intrusão).
IDS (Sistema de Detecção de Intrusão).
1
2
1º TÓPICO
IDS e IPS
(Segurança de Perímetro)
Bem, a primeira coisa que temos que entender é a diferença entre IDS e IPS.
Os sistemas de detecção de intrusões (IDS) analisam o tráfego da rede em busca 
de assinaturas que correspondem aos ataques cibernéticos conhecidos. Já os 
sistemas de prevenção de intrusões (IPS) também analisam pacotes, mas também 
podem impedir que o pacote seja entregue com base no tipo de ataque que ele 
detecta – ajudando a interromper o ataque.
A principal diferença entre eles é que o IDS 
é um sistema de monitoramento, 
enquanto o IPS é um sistema de controle.
O IDS não altera os pacotes de rede de nenhuma maneira, enquanto o IPS impede a
entrega do pacote com base no conteúdo do pacote, como um firewall impede o
tráfego pelo endereço IP.
Muitos fornecedores de IDS / IPS integraram sistemas IPS mais recentes 
com firewalls para criar uma tecnologia UTM (Unified Threat Management), 
que combina a funcionalidade desses dois sistemas semelhantes em uma 
única unidade. Alguns sistemas fornecem a funcionalidade IDS e IPS em uma 
unidade.
Sistemas de Detecção de Intrusões (IDS): analise e monitore o tráfego da rede em 
busca de sinais que indiquem que os invasores estão usando uma ameaça cibernética 
conhecida, para se infiltrar ou roubar dados da sua rede. Os sistemas IDS comparam a 
atividade atual da rede a um banco de dados de ameaças conhecido para detectar 
vários tipos de comportamentos, como violações de políticas de segurança, malware e 
scanners de portas.
Sistemas de prevenção de intrusões (IPS): residem na mesma área da rede 
que um firewall, entre o mundo externo e a rede interna. O 
IPS nega proativamente o tráfego de rede, com base em um perfil de segurança, 
se esse pacote representar uma ameaça à segurança conhecida.
Demonstração
Neste Labs, vamos aprender a instalar o IPS FAIL2BAN em 
nosso servidor Linux Ubuntu e fazer uma demonstração da ação 
de um IPS.
Demonstração
DIEGO, INSERIR VÍDEOS - LABS FAIL2BAN (TODOS)
IDS / IPS são tão eficazes quanto seus bancos de dados de 
ataque cibernético. Mantenha-os atualizados e esteja preparado 
para fazer ajustes manuais quando um novo ataque ocorrer e/ou 
a assinatura do ataque não estiver no banco de dados.
O IDS exige que um ser humano ou outro sistema analise os resultados e 
determine quais ações executar em seguida, o que pode ser um trabalho em 
período integral, dependendo da quantidade de tráfego de rede gerado todos os 
dias. Já o objetivo do IPS, por outro lado, é capturar pacotes perigosos e 
descartá-los antes que eles atinjam seu objetivo. É mais passivo que um IDS, 
exigindo simplesmente que o banco de dados seja atualizado regularmente com 
novos dados de ameaças.
Demonstração
Neste Labs, vamos aprender a instalar o IDS SURICATA em 
nosso servidor Linux Ubuntu.
Demonstração
DIEGO, INSERIR VÍDEOS - LABS SURICATA (TODOS)
Conclusão 
Estudamos que ambos sistemas IDS e IPS exercem um papel importante 
na proteção de nossa camada de segurança do perímetro. Sendo que:
O IDS trata-se de um mecanismos de proteção “passivo”, no qual é 
necessário a ação humana. Já o IPS é um mecanismo “ativo” no qual, 
após a ativação de regras contidas em um banco de dados, o mesmo 
realiza ações para impedir que as ameaças acessem o ambiente interno 
da empresa.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.6. CAMADA 4 – SEGURANÇA DE REDE INTERNA
Nesta aula
Camada 4 - Segurança de rede interna.
1
1º TÓPICO
CONCEITO
(Segurança de Rede Interna)
A camada de segurança de rede interna da estratégia de defensa em profundidade, 
deve possuir mecanismos e ferramentas de proteção capazes de lidar com a 
identidade e autenticação dos usuários da rede, autorizando ou não o acesso destes 
usuários aos recursos computacionais e de redes disponíveis na infraestrutura de TI.
Assim como realizar a proteção dos dados e informações que fluem pela 
rede, por meio de mecanismos de monitoramento e filtragem, que realizem de 
forma automática a análise consistente de todos os pacotes de dados que 
circulam na rede e, respectivamente, os protocolos e portas utilizadas durante 
o processo de transmissão e recepção de dados.
Outros dispositivos de proteção utilizados que podem estar dispostos em outras
camadas, TAMBÉM PODEM fazer parte do conjunto de mecanismos e ferramentas de
proteção da camada de segurança de rede interna.
Como exemplo de tais dispositivos, citamos: Firewall (internos), IPS e IDS, Proxie
(NAT - Network Address Translation), DLP (Data Loss Prevention), protocolos do tipo
IEEE 802.1x, IPSec e NAC, VLans, dentre outras soluções e ferramentas.
Conclusão 
Estudamos que a camada 4 - SEGURANÇA DE REDE INTERNA, é 
responsável por prover as proteções necessárias a rede LAN (rede 
interna) da empresa.
Essa proteção será feita por meio de mecanismos, sistemas e protocolos, 
que além de permitir o monitoramento e gerenciamento de toda a rede 
LAN, também são responsáveis em responder as ameaças e riscos à 
segurança e a conformidade da camada 1.
Próxima aula
Monitoramento e Gerenciamento com NTOP.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.7. MONITORAMENTO E GERENCIAMENTO COM NTOP
Nesta aula
Monitoramento e gerenciamento com NTOP.
1
1º TÓPICO
MONITORAMENTO E GERENCIAMENTO
(Segurança de Rede Interna)
Em regras gerais, o MONITORAMENTO de redes significa o controle de qualquer 
objeto passível de ser monitorado numa estrutura de recursos físicos e lógicos de uma 
rede, e que podem ser distribuídos em diversos ambientes próximos ou não.
O monitoramento implica em uma abordagem metódica para identificar ocorrências
que afetam seus componentes, tais comointerrupções de conexão com o provedor de 
internet, falhas de roteador/switch ou outros problemas de hardware. Além disso, 
outros problemas derivados de mal uso da rede corporativa por parte dos 
colaboradores também são críticos.
No que tange “mal uso”, podemos citar o download de arquivos como: filmes, games 
e músicas via torrent, acessos a sites de streaming, como Netflix ou Youtube, e até a 
sites maliciosos que podem comprometer toda a segurança da informação.
Assim podemos dizer que o monitoramento deve ir além da mera busca por falhas, 
incluindo também o seu desempenho, sendo que esse nível de análise técnica é 
necessária para manter a rede LAN online, disponível e bem protegida.
Na prática, o monitoramento de redes significa a gestão e o emprego de sistemas e 
metodologias que permitam que suas redes entreguem uma boa qualidade de serviço, 
garantindo boa performance para o uso de toda a empresa.
Já o GERENCIAMENTO de redes de computadores está associado ao controle das 
atividades e ao monitoramento do uso dos recursos no ambiente da rede. 
As tarefas básicas de uma equipe de gerenciamento de redes (NOC), resumidamente, 
são: obter as informações da rede, tratá-las para diagnosticar e tratar os possíveis 
problemas e incidentes.
Para cumprir esses objetivos, funções de gerência devem ser embutidas nos diversos 
componentes da rede, possibilitando detectar, prever e reagir aos problemas e 
incidentes que, por ventura, possam ocorrer.
Daí, um sistema de gerenciamento deverá ser composto de uma coleção de 
ferramentas integradas para monitorar e controlar a rede.
Mas como é essa integração?
Essa integração dever ser...
• Uma única interface de operador, com um poderoso e amigável conjunto de 
elementos e comandos que possam ser interligados aos hosts presentes na rede, 
que coletem informações e possibilitem a execução de tarefas de gerenciamento da 
rede.
• Para tal, temos diversos sistemas, como:
O gerenciamento de redes pode ser do tipo centralizada, utilizando um NOC, por 
exemplo: quando um centro de gerência controla toda a sua administração e 
monitoração. Também pode ser descentralizada, quando o trabalho é dividido entre os 
responsáveis em cada setor e a equipe de infraestrutura de TI.
Mas, por que o monitoramento da rede deve ser prioridade da TI?
Lembre-se que as redes corporativas garantem toda troca de informações dentro do 
ambiente organizacional e proporcionam uma série de execução de atividades e 
processos necessários ao modelo de negócio e a toda a empresa! 
Identificar falhas rapidamente;
Agilizar correções e tratar incidentes;
Identificar tendências;
Planejar manutenções e reparos;
Facilitar a compreensão da informação.
E, principalmente para a CONTINUIDADE DOS NEGÓCIOS e DISASTER 
RECOVERY:
#ficadica: atualmente (sem exceção), todo departamento de TI necessita de um plano 
de recuperação de desastres (Disaster Recovery) que inclua uma análise de impacto, 
estratégias para voltar a ficar online, bem como a realização de testes e 
treinamentos.
O monitoramento de redes pode ser um grande aliado no 
desenvolvimento de um plano eficaz para recuperação de 
desastres, identificando as lacunas existentes entre a 
configuração atual e a que é necessária.
Demonstração
Neste Labs vamos aprender a instalar o NTOP em nosso 
servidor Linux Ubuntu e fazer uma demonstração de um sistema 
de gerenciamento de redes muito bacana e totalmente 
opensource.
Demonstração
DIEGO, INSERIR VÍDEOS - LABS NTOP (TODOS)
Conclusão 
Estudamos a diferença entre monitoramento e gerenciamento, e 
aprendemos que o monitoramento e gerenciamento de uma rede LAN é 
importante não só para a proteção e segurança dos ativos de TI, mas 
também para a continuidade dos negócios de uma empresa.
Nesse sentido, o monitoramento e gerenciamento de redes é o primeiro 
passo dado para a proteção da Camada 4 - Segurança de Rede Interna.
Próxima aula
VLANs – Rede Local Virtual.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.8. VLANS – REDE LOCAL VIRTUAL
Nesta aula
VLANs – Redes Locais Virtual.
1
1º TÓPICO
VLANs – REDE LOCAL VIRTUAL
(Segurança de Rede Interna)
“Estruturas capazes de segmentar, logicamente, uma rede local em diferentes 
domínios de broadcast".
Varadarajan
“Uma rede virtual é um grupo de estações e servidores que se comunica 
independentemente de sua localização física ou topologia, como se fosse um único 
domínio broadcast, ou uma rede lógica.“
Molinari
Assim sendo, podemos concluir que VLANs possibilitam a partição de uma 
rede local em diferentes segmentos lógicos.
 Como vantagens da criação de VLANs, podemos citar: 
 Flexibilidade: pois permite definir uma nova infraestrutura de rede acima da rede 
física.
 Redução broadcast: pois permite otimizar e controlar o tráfego dos pacotes, 
evitando que pacotes sejam replicados na rede de forma desnecessárias.
 Segurança: pois permite isolar as redes, impossibilitando a propagação de 
ameaças entre as redes e seus hosts conectados.
As VLANs podem ser configuradas de três maneiras:
• Enlace tronco (Trunk Link) – todos os dispositivos conectados a um enlace desse 
tipo, incluindo estações de trabalho, devem, obrigatoriamente, ter suporte à VLANs. 
Todos os pacotes de dados transmitidos em quadros em um trunk link possuem um 
rótulo VLAN.
Enlace de Acesso (Access Link): um enlace de acesso conecta um dispositivo sem 
suporte para VLAN, à uma porta de um switch. Todos os pacotes de dados 
transmitidos em quadros nesse tipo de enlace, obrigatoriamente não devem possuir 
rótulo.
Enlace Híbrido (Hybrid Link): é uma combinação dos dois enlaces anteriores. Em 
um enlace híbrido são conectados tanto dispositivos com suporte a VLANs, quanto 
os sem. Em um enlace desta natureza, pode haver quadros com (tagged frames) e 
sem rótulo (untagged frame), mas todos os quadros para uma VLAN específica têm 
de ser com rótulo VLAN ou sem rótulo.
Demonstração
DIEGO, INSERIR VÍDEOS - LABS VLAN PARTE 1, 2, 3
Conclusão 
Estudamos que as VLANs são redes virtuais que possibilitam segmentar a 
nossa rede local em pequenas subredes, permitindo assim um controle 
maior de todo o fluxo de dados, isolando tais redes para que essas só 
realizem a troca de dados quando devidamente autorizado.
Daí, temos como vantagens a FLEXIBILIDADE, REDUÇÃO DE
BROADCAST e SEGURANÇA.
Próxima aula
Controlador de Domínio.
1
Group Polices.2
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.9. CAMADA 5 – SEGURANÇA DE HOSTS (ENDPOINTS)
Nesta aula
Controlador de Domínio.
1
Group Polices.2
1º TÓPICO
CONTROLADOR DOMÍNIO
(Segurança de Rede Interna)
Um CONTROLADOR de DOMÍNIO é um servidor que responde às solicitações de 
autenticação de usuários e computadores, verificando se tais usuários ou recursos 
têm a devida permissão de acessar a rede e seus recursos.
Os DOMÍNIOS são uma maneira hierárquica de organizar usuários e computadores 
que trabalham em uma mesma rede.
A principal função de um CONTROLADOR de DOMÍNIO é 
AUTENTICAR e VALIDAR o acesso do usuário na rede.
Os controladores de domínio contêm os dados que determinam e validam o acesso à 
sua rede, incluindo quaisquer diretivas de grupo e todos os nomes de computadores.
Tudo o que um invasor pode precisar para causar grandes danos aos seus dados e 
rede está no controlador de domínio, o que faz dele um alvo primário durante um 
ataque cibernético.
Dentre os benefícios do uso de um controlador de domínio em uma rede LAN, citamos:
• Gerenciamento centralizado de usuários.
• Permite o compartilhamento de recursos para arquivos e impressoras.
• Pode ser distribuído e replicado em grandes redes.
• Criptografia de dados do usuário.
Demonstração
Instalando e configurando o CONTROLADOR DE DOMÍNIO 
MICROSOFT ACTIVE 
DIRECTORY/DOMAIN CONTROLLER
Demonstração
Diego inserir LABS – Windows Server(todos)
Conclusão 
Estudamos que um CONTROLADOR DE DOMÍNIO é um elemento de 
proteção importante para a nossa camada de segurança de redes. Isso 
porque ele permite realizar o controle de acessos dos usuários aos 
recursos na rede, por meio da autenticação e liberação de permissões.
Por ter uma posição estratégica, um controlador de domínio deve ser 
“blindado” contra ameaças!
2º TÓPICO
GROPO POLICES
(Segurança de Rede Interna)
A DIRETIVA DE GRUPO (group policy) é um recurso do Microsoft Windows Active 
Directory, que adiciona controles adicionais às contas de usuário e computador.
As POLÍTICAS DE GRUPO fornecem configurações centralizadas de sistemas 
operacionais e de gerenciamento dos ambientes de computação do usuário, e são 
utilizadas para proteger os computadores dos usuários contra infiltrações e violações 
de dados.
Demonstração
Configurando GPOs no MICROSOFT ACTIVE 
DIRECTORY/DOMAIN CONTROLLER
Demonstração
Diego inserir LABS GPO (todos)
Conclusão 
Estudamos que por meio das DIRETIVAS DE GRUPO, podemos 
conseguir uma série de vantagens relacionadas à proteção dos nossos 
ativos de TI e de nossa rede, tais como: facilidade de gerenciamento; 
imposição de políticas de senha e controle de acessos a recursos.
VPN – Virtual Private Network.
Próxima Aula
1
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.10. VPN – VIRTUAL PRIVATE NETWORK
Nesta aula
VPN – Virtual Private Network.
1
1º TÓPICO
VPN – VIRTUAL PRIVATE NETWORK
(Segurança de Rede Interna)
Uma VPN é uma rede privada, que usa uma rede pública (geralmente a Internet) para 
conectar sites ou usuários remotos. A VPN usa conexões “virtuais”, roteadas pela 
Internet da rede privada da empresa ou de um serviço VPN de terceiros, para o site 
ou pessoa remota. 
O objetivo de uma VPN é fornecer uma conexão privada segura e confiável entre 
redes de computadores distintas (WAN e LAN).
VPN SITE TO CLIENT: permite que usuários individuais estabeleçam conexões 
seguras com uma rede de computadores remotos. Esses usuários podem acessar os 
recursos seguros nessa rede, como se estivessem diretamente conectados aos 
servidores da rede. Um exemplo de empresa que precisa de uma VPN de acesso 
remoto é uma grande empresa com centenas de vendedores em campo.
VPN SITE TO SITE: permite que escritórios em vários locais fixos 
estabeleçam conexões seguras entre si, através de uma rede 
pública como a Internet. A VPN site a site estende a rede da 
empresa, disponibilizando recursos de computador de um local 
para funcionários de outros locais. Um exemplo de empresa que 
precisa de uma VPN site a site é uma empresa em crescimento, 
com dezenas de filiais em todo o mundo.
Demonstração
Configurando uma VNP SITE TO CLIENT no Sophos UTM
Demonstração
Diego inserir LABS – VPN – Site2cliente 
Conclusão 
As VPNs são mecanismos de proteção que permitem que colaboradores 
realizem suas atividades de forma REMOTA e SEGURA, e estão 
presentes na camada de rede.
Camada 5 – Segurança de Hosts.
Próxima Aula
1
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.11. CAMADA 5 – SEGURANÇA DE HOSTS (ENDPOINTS)
Nesta aula
Camada 5 – Segurança de Hosts (endpoints).
1
Vírus, spywares e malwares.
Firewall pessoal, bugs e atualizações.
2
3
1º TÓPICO
CAMADA 5
(Segurança de Hosts)
A camada 5 – Segurança de Hosts, é responsável por implementar mecanismos e 
ferramentas de proteção capazes de lidar com ameaças diretas ao host. Porém, 
implementar mecanismos de proteção nesta camada é uma tarefa especialmente 
desafiadora para as equipes de segurança da informação e segurança cibernética. 
Mas, por quê?
Porque iremos encontrar diversos fabricantes de 
hardware e software, e cada um segue um modelo e 
um padrão!
O foco da proteção deve estar nos...
Conclusão 
Estudamos que a camada 5 da estratégia de defesa em profundidade 
deve concentrar-se em proteger os nossos dispositivos “endpoints”, em 
especial o “sistema operacional”.
Essa proteção é realizada por meio da implementação de sistemas de 
antivírus, antispywares, atualizações e correções (patch), firewall pessoal, 
sistemas de manutenção de endpoints etc.
2º TÓPICO
VÍRUS, SPYWARES e MALWARES
(Segurança de Hosts)
Um VÍRUS é um programa malicioso, que tem como missão de se infiltrar em um 
determinado dispositivo computacional ou sistema, sem o seu conhecimento, com o 
objetivo de roubar, danificar ou comprometer de alguma forma dados, informações e 
o próprio sistema.
Um VÍRUS é uma categoria de MALWARE, que inclui todos os tipos de códigos, 
criados com o intuito de serem prejudicais. No geral, qualquer tipo de vírus possui 
quatro fases, sendo:
1ª fase conhecida como: FASE DORMENTE.
2ª fase conhecida como: FASE DE PROPAGAÇÃO.
1ª fase conhecida como: FASE DE ATIVAÇÃO.
1ª fase conhecida como: FASE DE EXECUÇÃO.
BACKDOOR é uma possível fonte de vazamento de informações sensível. São os 
canais secretos de comunicação, ou seja, canais dos quais os usuários ignoram a 
existência. Estes canais são chamados de porta de manutenção ou Backdoor, e são 
comumente utilizados por Trojans para comunicar-se com seu controlador, ou até 
mesmo fornecer acesso à máquina infectada. 
Um TROJAN do tipo BACKDOOR pode expor a sua infraestrutura a uma série de 
ameaças. Por isso é importante ter uma solução ENDPOINT de segurança 
INSTALADA e ATUALIZADA!
Para facilitar a escolha da melhor solução, é aconselhável que as equipes de segurança
realizem uma pesquisa avançada sobre as soluções existentes no mercado e executem
testes avaliativos, a fim de ajudar na tomada de decisão.
https://www.av-comparatives.org/
https://www.av-comparatives.org/
Conclusão 
Estudamos que vírus, spywares e malwares devem ser tratados pelas 
equipes de segurança com extrema atenção. Pois podem causar grandes 
estragos a toda a infraestrutura de TI, roubando, danificando ou 
comprometendo dados, informações e sistemas.
A escolha de um bom mecanismo de proteção de endpoint para cuidar 
desses tipos de ameaças faz toda a diferença!
3º TÓPICO
FIREWALL PESSOAL, BUGS e 
ATUALIZAÇÕES
(Segurança de Hosts)
São firewalls dedicados única e exclusivamente a proteger desktops corporativos ou 
pessoais. Podendo ser encontrado em servidores.
No geral, costumam vir por default, implementados em praticamente todos os sistemas 
operacionais (Windows, Linux, Mac OSx etc.). Desenvolvedores de soluções de 
segurança para desktops também fornecem em suas suítes, soluções de firewall 
pessoal embarcadas.
Apesar de parecerem simples, os firewalls pessoais são mecanismos de proteção 
eficientes – principalmente para a segurança das estações de trabalho dos usuários 
corporativos. Atualmente, as soluções existentes de firewall pessoal possuem 
mecanismos avançados de proteção, como por exemplo:
 Detecção de Intrusão (IDS).
 Detecção e bloqueio de aplicações maliciosas.
 Whitelist e Blacklist.
 Entre outras.
BUGS são tão antigos como a própria computação e receberam esse nome porque os 
primeiros defeitos nos computadores foram causados por pequenos insetos, que 
causavam curtos nas placas de circuitos deles.
Um bug é um erro no funcionamento comum de um software ou hardware, também 
chamado de falha na lógica de um programa, que pode causar comportamentos 
inesperados, como resultado incorreto ou comportamento indesejado. São, geralmente, 
causados por erros no próprio código-fonte, mas também podem ser causados por 
algum framework, interpretador, sistema operacional ou compilador.
Para mantermos nossos ativos de redes protegidos contra BUGS, é necessário que se 
tenha um política de atualização!
Conclusão 
Estudamos que nossos EndPoint também precisam de proteção! Neste 
contexto, é necessários que as equipes de segurança implementem 
mecanismos de proteção que possibilitem lidar com diversos tipos de 
ameaça, garantindoassim a segurança de todo o sistema.
Possuir uma política de atualização de endpoints, garante que os mesmos 
estejam protegidos contra os BUGS e falhas do sistema!
Próxima aula
1
2
Camada 6 – Segurança de Aplicações.
WAF – Firewall de Aplicações Web.
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.12. CAMADA 6 – SEGURANÇA DE APLICAÇÕES
Nesta aula
Camada 6 – Segurança de Aplicações.
1
WAF – Firewall de Aplicações Web.2
1º TÓPICO
SEGURANÇA DE APLICAÇÕES
(Camada 6)
Não muito diferente da camada anterior em termos de diversidade, a camada de 
segurança de aplicação da estratégia de defesa em profundidade, tem como objetivo 
manter os aplicativos, os sistemas de informação e demais outros softwares (dos 
mais variados tipos e aplicabilidades) mais seguros e protegidos contra falhas 
sistêmicas, operacionais e ameaças virtuais.
O objetivo dessa camada é cuidar da proteção de “todos” os tipos de 
softwares e aplicativos, incluindo os sistemas de informação como: 
CRM, ERP, BI etc., que manipulam e processam todos os dados e 
informações em um ambiente corporativo.
Nesta camada encontramos diversos mecanismos e ferramentas de proteção, tais 
como: gateway de aplicação (Proxy), sistemas de gerenciamento de identidade e 
acessos (IAM) aos aplicativos e demais softwares e recursos computacionais; 
sistemas de filtragem de conteúdo, ACLs (regras) de liberação de acesso, além de 
sistemas de monitoramento de serviços, de updates de patchs de correção de bugs e 
falhas, entre outros. 
Conclusão 
Estudamos que a camada 6 da estratégia de defesa em profundidade, 
deve concentrar-se em proteger as nossas aplicações. Ou seja, os 
diversos sistemas e aplicativos corporativos.
2º TÓPICO
WAF – FIREWALL DE APLICAÇÕES WEB
(Segurança de Aplicações)
Geralmente abreviado como WAF, um firewall de aplicativo da web é usado para 
filtrar, bloquear ou monitorar o tráfego HTTP do aplicativo da web de entrada e 
saída. Comparados aos sistemas de detecção de intrusões (IDS / IPS), os WAFs têm 
um forte foco no tráfego de aplicativos e a capacidade de fornecer uma análise 
profunda do fluxo de dados.
Relembrando...
O IDS / IPS serve como guardião de todo o tráfego de rede.
Já o WAF procura apenas ataques provenientes de aplicativos, monitorando 
principalmente o protocolo HTTP / HTTPS. Os WAFs inspecionam o tráfego conforme 
ele vai e vem, impedindo ataques que surgem de vulnerabilidades no código do 
aplicativo, como script entre sites (XSS), injeção de SQL etc.
Para entender melhor o WAF, uma coisa que você precisa saber é a natureza dos 
ataques de rede modernos.
A maioria dos bem-sucedidos foram realizados quando os invasores conseguiram 
encontrar uma vulnerabilidade no código e usá-lo para fazer com que o malware 
parecesse parte do tráfego do aplicativo. À medida que os aplicativos da Web 
crescem em complexidade, aumenta a necessidade de sistemas que possam 
decodificar e analisar o tráfego HTTP / HTTPS, usando especificamente o amplo 
espectro de parâmetros e padrões de comportamento.
O WAF tem como objetivo reconhecer o tráfego de aplicativos “saudáveis”, prestar 
atenção aos pontos mais fracos e até ajudar a executar testes de segurança de 
aplicativos da web , encontrar vulnerabilidades no código e corrigi-las no nível do 
firewall.
Como o WAF monitora com precisão o tráfego do aplicativo, ele também serve como 
uma ferramenta para balanceamento de carga e otimização de manutenção.
Outro grande benefício do uso do WAF é a proteção contra explorações de dia zero: 
malware recém-nascido que não é detectado por nenhuma análise de 
comportamento conhecida.
É o tipo de ameaça mais perigosa e popular que as medidas de segurança 
tradicionais não estão equipadas para mitigar ou impedir.
Os WAFs são projetados para serem colocados na camada de aplicativos, atuando 
como um gatekeeper bidirecional, e analisar o tráfego HTTP / HTTPS que entra e sai 
do aplicativo. O WAF tomará uma ação sempre que detectar tráfego malicioso.
Um benefício dos WAFs é que eles funcionam independentemente do aplicativo, mas 
podem se ajustar constantemente às mudanças no comportamento do 
aplicativo. Dessa forma, a introdução de um novo recurso no aplicativo não resultará 
em milhares de detecções de falsos positivos que seriam causados por um novo 
aplicativo de fluxos de dados.
Conclusão 
Estudamos que para proteger nossas aplicações, existe a camada 6 da 
estratégia de defesa em profundidade. 
O elemento de proteção mais importante dessa camada é o WAF (Firewall 
de Aplicações WEB). As equipes de segurança utilizam como uma 
proteção inteligente as suas aplicações locais e principalmente as suas 
aplicações web.
Próxima aula 
Camada 7 – Segurança de Dados.1
Segurança em 
Infraestrutura de TI
PROF. MAXIMILIANO DE CARVALHO JACOMO
AULA 2.13. CAMADA 7 – SEGURANÇA DE DADOS
Nesta aula
Camada 7 – Segurança de Dados.
1
Criptografia de discos e dados.
DLP.
2
3
1º TÓPICO
CAMADA 7
(Segurança de Dados)
Trata-se da camada de segurança mais profunda da estratégia de defesa em 
profundidade e a mais valiosa em termos de ativos de TI. Seu principal objetivo é 
proteger os “dados” que estão armazenados nos sistemas de gerenciamento de 
banco de dados, bem como o seu processamento, transmissão e descarte.
As estratégias de proteção nessa camada devem se concentrar nos dados 
armazenados, incluindo os dispositivos de armazenamento, nos dados em trânsito e 
no descarte desses dados quando não forem mais necessários.
Ou seja, é preciso garantir uma total proteção durante todo o CICLO DE VIDA dos 
dados dentro do ambiente corporativo.
COLETA
ARMAZENAMENTO
TRANSFORMAÇÃODISTRIBUIÇÃO
DESCARTE
CICLO DE VIDA DOS
DADOS
No geral, os elementos adotados para a proteção da CAMADA 7 são:
• Criptografia (disco e arquivos).
• DLP – Prevenção a Perda de Dados.
• Políticas de acesso aos dados.
• Gerenciamento de riscos e, principalmente ...
GOVERNANÇA DE DADOS
GOVERNANÇA 
DADOS
PROCESSO
TECNOLOGIASPESSOAS
• Qualidade dos dados.
• Políticas de manipulação dos dados.
• Gestão de risco e compliance.
• Gestão dos metadados.
• Integração dos dados.
• Controle de dados mestres e de referência.
• Comunicação dos dados.
• Eliminação e descarte de dados.
Conclusão 
Estudamos que a camada 7 da estratégia de defesa em profundidade, 
deve concentrar-se em proteger os nossos DADOS. Essa proteção deve 
levar em consideração todo o CICLO DE VIDA dos dados dentro do 
ambiente organizacional.
Deve envolver PROCESSOS, TECNOLOGIA e PESSOAS e, como 
melhores práticas, a empresa deve adotar a GOVERNANÇA DE DADOS.
2º TÓPICO
CRIPTOGRAFIA DE DADOS
(Segurança de Dados)
A primeira coisa a saber é “O QUE É CRIPTOGRAFIA DE DADOS?”
É a conversão dos dados em outro formato ou código, para que somente pessoas 
com acesso a uma chave secreta (formalmente chamada de chave de 
descriptografia) ou senha possam lê-los.
No geral, os DADOS CRIPTOGRAFADOS são comumente referidos como texto 
cifrado, enquanto dados não criptografados são chamados de texto sem formatação.
Atualmente, a criptografia é um dos métodos mais populares e eficazes de segurança 
de dados usados ​​pelas organizações.
Existem dois tipos principais de criptografia de dados: criptografia assimétrica, 
também conhecida como criptografia de chave pública, e criptografia simétrica.
A CRIPTOGRAFIA não é algo novo! É usada desde os primórdios da humanidade 
para passar informações de forma secreta e segura!
O processo de criptografia de dados consiste em que os dados, ou texto sem 
formatação, são criptografados com um algoritmo de criptografia e uma chave de 
criptografia. O processo resulta em texto cifrado, que só pode ser visualizado em 
sua forma original se for descriptografado com a chave correta. 
A seguir, vamos ver alguns dos algoritmos mais utilizados para criptografar dados.
Data EncryptionStandard (DES) é uma das primeiras criptografias utilizadas e é 
considerada uma proteção básica de poucos bits. O seu algoritmo é o mais difundido 
mundialmente e realiza 16 ciclos de codificação para proteger uma informação.
O DES pode ser decifrado com a técnica de força bruta. Por essa razão, os 
desenvolvedores e as equipes de segurança da informação precisam buscar 
alternativas de proteção mais complexas além do DES.
Advanced Encryption Standard (AES) — ou Padrão de Criptografia Avançada, é o 
algoritmo padrão do governo dos Estados Unidos e de várias outras organizações. 
Ele é confiável e excepcionalmente eficiente na sua forma em 128 bits, mas também 
é possível usar chaves e 192 e 256 bits para informações que precisam de proteção 
maior.
O AES é amplamente considerado imune a todos os ataques, exceto aos ataques de 
força bruta, que tentam decifrar o código em todas as combinações possíveis em 
128, 192 e 256 bits, o que é imensamente difícil na atualidade.
Rivest-Shamir-Adleman (RSA) foi um dos pioneiros em relação à criptografia de 
chave pública. É considerado um dos algoritmos mais seguros do mercado, por essa 
razão também foi o primeiro a possibilitar a criptografia na assinatura digital.
O RSA funciona da seguinte forma: ele cria duas chaves diferentes, uma pública e 
outra privada. Todas as mensagens podem ser cifradas pela pública, mas somente 
decifradas pela privada.
Atualmente, essa tecnologia é utilizada em operações rotineiras, como envio 
de e-mails, compras online, assinatura digital, entre outras atividades.
Conclusão 
Estudamos que os dados precisam ser protegidos, e uma das formas de 
proteção é a aplicação da criptografia de dados.
A criptografia de dados converte dados comuns em dados cifrados e 
somente o detentos da chave criptográfica pode decifrá-los.
Existem vários algoritmos de criptografia, sendo os mais comuns DES, 
AES e RSA. 
3º TÓPICO
DLP – PREVENÇÃO A PERDA DE DADOS
(Segurança de Dados)
A prevenção contra perda de dados, ou DLP, é um conjunto de tecnologias, produtos e 
técnicas projetadas para impedir que informações confidenciais deixem a organização.
DLP usam regras para procurar informações confidenciais que podem ser incluídas nas 
comunicações eletrônicas ou para detectar transferências de dados anormais.
O objetivo é impedir que informações, como propriedade intelectual, dados financeiros e 
detalhes de funcionários ou clientes, sejam enviadas, acidental ou intencionalmente, 
para fora da rede corporativa.
Existem diferentes tipos de DLP, sendo os mais comuns:
• DLP para dados em uso.
Nesta tecnologia de DLP, são protegido os dados em uso, ou seja, os dados que estão 
sendo processados ​​ativamente por um aplicativo ou sistema.
Os mecanismos de proteção adotados no geral, envolvem a autenticação de usuários e 
o controle de seu acesso aos recursos.
Existem diferentes tipos de DLP, sendo os mais comuns:
• DLP para dados em movimento.
Quando dados confidenciais estão em trânsito pela rede, são necessárias tecnologias 
DLP para garantir que não sejam roteadas para fora da organização ou para áreas de 
armazenamento inseguras. A criptografia desempenha um papel importante nessa 
etapa. A segurança do e-mail também é crítica, pois boa parte da comunicação 
comercial passa por esse canal.
Existem diferentes tipos de DLP, sendo os mais comuns:
• DLP para dados em repouso,
Mesmo os dados que não estão em movimento ou em uso precisam de proteção. As 
tecnologias DLP protegem os dados que residem em uma variedade de mídias de 
armazenamento, incluindo a nuvem. O DLP pode colocar controles para garantir que 
apenas usuários autorizados estejam acessando os dados e para rastrear seu acesso, 
caso haja vazamento ou roubo.
Conclusão 
Estudamos que DLP são conjuntos de tecnologias que tem como objetivo 
proteger nossos dados em diferentes estágios — USO, MOVIMENTO e 
REPOUSO.
A principal missão das tecnologias DLP é a de prevenir os dados críticos 
do modelo de negócio contra diversos tipos de ameaças e, 
principalmente, contra o VAZAMENTO, ACESSO NÃO AUTORIZADO ou 
ROUBO.