Segurança em Redes A Importância da Segurança em Redes A segurança em redes é o conjunto de políticas, práticas, tecnologias e controles destinados a proteger a integridade, a confidencialidade e a disponibilidade dos dados e recursos em uma infraestrutura de rede. Com o crescimento exponencial de dispositivos conectados (computadores, smartphones, servidores, sensores IoT), as redes tornaram-se alvos frequentes de ataques cibernéticos, como interceptação de dados, negação de serviço, invasões e roubo de informações. Compreender os fundamentos da segurança em redes é essencial para qualquer profissional de TI e para candidatos a concursos e vestibulares. Os três pilares da segurança da informação – confidencialidade, integridade e disponibilidade (tríade CIA) – aplicam-se diretamente às redes: Confidencialidade: Garantir que apenas destinatários autorizados possam ler os dados transmitidos. Integridade: Assegurar que os dados não sejam alterados durante o trânsito (por erro ou ação maliciosa). Disponibilidade: Garantir que os serviços de rede estejam acessíveis quando necessários, sem interrupções causadas por ataques (ex.: DDoS) ou falhas. Ameaças Comuns em Redes Antes de estudar as defesas, é necessário conhecer as principais ameaças: 2.1. Interceptação (Sniffing) O atacante utiliza um programa sniffer (ex.: Wireshark, tcpdump) para capturar pacotes que trafegam na rede. Em redes com hub (ou em pontos de acesso Wi-Fi não criptografados), o sniffer pode ver todo o tráfego. Em redes com switch, o atacante pode usar técnicas como ARP spoofing para redirecionar o tráfego e capturá-lo (ataque man-in-the-middle). A interceptação viola a confidencialidade. 2.2. Manipulação (Modificação) O atacante altera pacotes em trânsito, modificando dados (ex.: valores de transferência bancária) ou injetando comandos maliciosos. Isso viola a integridade. Pode ser feito em conjunto com interceptação (man-in-the-middle ativo). 2.3. Interrupção (DoS/DDoS) Ataques de negação de serviço (Denial of Service – DoS) sobrecarregam um servidor, roteador ou link de rede com tráfego falso, tornando o serviço indisponível para usuários legítimos. No ataque distribuído (DDoS – Distributed DoS), o atacante utiliza uma rede de dispositivos comprometidos (botnet) para gerar o tráfego de ataque de múltiplas origens, dificultando a mitigação. Isso viola a disponibilidade. 2.4. Ataques de Repetição (Replay) O atacante captura uma transmissão legítima (ex.: autenticação) e a retransmite posteriormente para enganar o sistema. Medidas como timestamps, números de sequência e nonces (números usados uma única vez) previnem esse tipo de ataque. 2.5. Engenharia Social e Phishing Embora não sejam ataques puramente de rede, o phishing (envio de e-mails fraudulentos com links maliciosos) frequentemente leva o usuário a acessar sites falsos, onde credenciais são roubadas. O atacante então usa essas credenciais para acessar a rede legitimamente, contornando controles técnicos. Firewalls O firewall (literalmente “parede de fogo”) é um dispositivo (hardware ou software) que monitora e controla o tráfego de rede com base em regras predefinidas. Atua como uma barreira entre redes de confiança diferente (ex.: entre a rede interna confiável e a internet não confiável). 3.1. Tipos de Firewall Firewall de Filtragem de Pacotes (Packet Filtering): Opera na camada 3 (rede) e 4 (transporte). Analisa cabeçalhos IP (endereços origem/destino, protocolo) e TCP/UDP (portas origem/destino). Decide permitir ou bloquear cada pacote individualmente, sem manter estado da conexão. Exemplo no Linux: iptables com regras stateless. Vantagem: rápido. Desvantagem: vulnerável a ataques que fragmentam pacotes ou usam portas dinâmicas. Firewall de Estado (Stateful Inspection): Mantém uma tabela de conexões ativas (estado). Acompanha o handshake TCP e garante que os pacotes pertençam a conexões legítimas. Bloqueia pacotes que não correspondem a uma conexão conhecida (ex.: SYN flood parcial). É o tipo mais comum em roteadores domésticos e firewalls empresariais (ex.: iptables com módulo conntrack, pfSense). Firewall de Aplicação (Application Gateway / Proxy): Opera na camada 7 (aplicação). Atua como intermediário entre cliente e servidor, inspecionando o conteúdo da aplicação (ex.: URLs HTTP, comandos FTP, SQL). Pode bloquear ataques como injeção de SQL ou travessia de diretórios. Exemplo: proxy reverso (nginx, HAProxy) com regras de filtragem, ou WAF (Web Application Firewall) específico para aplicações web. Firewall de Próxima Geração (NGFW – Next-Generation Firewall): Combina filtragem stateful, inspeção profunda de pacotes (DPI), prevenção de intrusão (IPS), filtragem baseada em identidade de usuário e reconhecimento de aplicativos (ex.: bloquear Facebook, permitir Teams). Exemplos: Palo Alto, Fortinet, Check Point. 3.2. Regras de Firewall (Exemplo) Uma regra típica de firewall (em iptables ou equivalente) possui: Ação: ACCEPT (permitir), DROP (descartar silenciosamente), REJECT (descartar e enviar mensagem de erro). Protocolo: TCP, UDP, ICMP, etc. Endereço origem (IP ou rede). Porta origem (ou intervalo). Endereço destino. Porta destino. Interface de entrada/saída. Exemplo de regra: Permitir tráfego SSH (porta 22 TCP) da rede interna 192.168.1.0/24 para qualquer destino, mas bloquear SSH da internet para a rede interna (exceto para um servidor bastião). 3.3. DMZ (Zona Desmilitarizada) A DMZ é uma sub-rede separada que contém servidores públicos (web, e-mail, DNS). O firewall permite acesso da internet para esses servidores (nas portas específicas), mas bloqueia o acesso da DMZ para a rede interna (ou apenas permite conexões iniciadas internamente). Se um servidor da DMZ for comprometido, o atacante não tem acesso direto à rede interna. Criptografia em Redes A criptografia protege a confidencialidade e integridade dos dados em trânsito. Pode ser aplicada em diferentes camadas do modelo OSI/TCP/IP. 4.1. Criptografia na Camada de Aplicação (HTTPS, SSH) HTTPS (HTTP over TLS): Utiliza TLS (Transport Layer Security) para criptografar a comunicação entre navegador e servidor web. Impede sniffing de senhas, cookies e dados de formulários. O navegador exibe um cadeado na barra de endereços. O certificado digital do servidor (assinado por uma Autoridade Certificadora) garante autenticidade. SSH (Secure Shell): Substitui o Telnet (texto plano). Criptografa sessões de terminal remoto, transferência de arquivos (SFTP) e pode criar túneis criptografados (port forwarding). S/MIME e PGP: Para e-mails criptografados e assinados digitalmente. 4.2. Criptografia na Camada de Rede (IPsec) IPsec (Internet Protocol Security) opera na camada 3 (IP), criptografando todo o tráfego entre dois pontos (modo transporte – apenas o payload; ou modo túnel – pacote IP inteiro encapsulado). É usado em VPNs site-to-site e em algumas VPNs de acesso remoto. IPsec oferece: AH (Authentication Header): Garante integridade e autenticação, mas não criptografia. ESP (Encapsulating Security Payload): Fornece confidencialidade (criptografia), integridade e autenticação. IKE (Internet Key Exchange): Protocolo para estabelecer chaves e negociar parâmetros de segurança. 4.3. Criptografia na Camada de Enlace (WPA2/WPA3) Em redes Wi-Fi, o padrão IEEE 802.11i define o uso de criptografia para proteger o tráfego sem fio: WPA2 (Wi-Fi Protected Access 2): Utiliza AES-CCMP (Advanced Encryption Standard – Counter Mode CBC-MAC Protocol). É obrigatório em redes Wi-Fi modernas. O modo pessoal (PSK – Pre-Shared Key) usa uma senha comum; o modo empresarial (802.1X/EAP) usa autenticação por servidor RADIUS. WPA3: Lançado em 2018, traz melhorias: criptografia individualizada (OWE – Opportunistic Wireless Encryption) para redes abertas, proteção contra ataques de dicionário offline (SAE – Simultaneous Authentication of Equals), e criptografia de 192 bits para redes de alta segurança. 4.4. TLS vs. SSL SSL (Secure Sockets Layer) foi o predecessor do TLS, mas é considerado inseguro (versões 1.0, 2.0, 3.0 possuem vulnerabilidades). Atualmente, utiliza-se TLS 1.2 ou TLS 1.3. Muitos ainda usam o termo “SSL” incorretamente para se referir a TLS. VPNs (Virtual Private Networks) Uma VPN estende uma rede privada sobre uma rede pública (como a internet), criando um túnel criptografado entre o dispositivo do usuário e um servidor VPN. Todo o tráfego do usuário passa pelo túnel, protegendo contra interceptação na rede local (ex.: Wi-Fi de café) e ocultando o endereço IP real. 5.1. Tipos de VPN VPN de Acesso Remoto (Client-to-Site): Um usuário individual (cliente) conecta-se à rede corporativa via internet. Usa protocolos como OpenVPN, IPsec/IKEv2, WireGuard, ou SSL/TLS (VPN baseada em portal web). Exemplo: funcionário trabalhando de casa se conecta ao escritório. VPN Site-to-Site: Conecta redes inteiras (ex.: filial matriz). Roteadores ou firewalls nas duas extremidades estabelecem um túnel IPsec. Os usuários não percebem a VPN – o tráfego entre as redes é roteado automaticamente pelo túnel. VPN de Navegação (Commercial VPN): Serviços como NordVPN, ExpressVPN redirecionam todo o tráfego do dispositivo para um servidor VPN, ocultando o IP do usuário e criptografando os dados. Útil para privacidade e para contornar restrições geográficas (ex.: acessar catálogo de streaming de outro país). 5.2. Protocolos de VPN | Protocolo | Porta | Características | |-----------|-------|-----------------| | OpenVPN | UDP/1194 (padrão) ou TCP | Código aberto, flexível (pode usar TCP ou UDP), forte criptografia (OpenSSL). Largamente utilizado. | | IPsec/IKEv2 | UDP/500, UDP/4500 | Nativo em muitos sistemas (Windows, macOS, iOS, Android). Bom para dispositivos móveis (reconexão rápida). | | WireGuard | UDP/51820 | Moderno, código reduzido, desempenho superior, integrado no kernel Linux. Ganhando popularidade rapidamente. | | SSTP (Microsoft) | TCP/443 (HTTPS) | Proprietário, pode atravessar firewalls (usa porta 443). Disponível apenas no Windows. | | L2TP/IPsec | UDP/1701, UDP/500, UDP/4500 | Combina L2TP (camada 2) com IPsec para criptografia. Considerado obsoleto (lento, bloqueado por alguns firewalls). | 5.3. VPN e Privacidade Uma VPN protege o tráfego do usuário contra o ISP (provedor de internet) e contra outros na mesma rede local, mas transfere a confiança para o provedor VPN. É essencial escolher um provedor que não registre logs (política de no-logs) e que tenha práticas transparentes. VPN não é anonimato completo – técnicas como impressão digital do navegador (fingerprinting) ainda podem identificar o usuário. Sistemas de Detecção e Prevenção de Intrusão (IDS/IPS) IDS (Intrusion Detection System): Monitora o tráfego de rede ou logs de sistema em busca de padrões suspeitos (assinaturas de ataques conhecidos ou anomalias). Quando detecta uma intrusão, gera um alerta (log, e-mail, SNMP). Não bloqueia o tráfego. IPS (Intrusion Prevention System): Semelhante ao IDS, mas atua ativamente: pode descartar pacotes maliciosos, resetar conexões ou bloquear o IP de origem automaticamente. O IPS é colocado em linha (inline), de modo que o tráfego passa através dele. 6.1. Métodos de Detecção Baseado em assinaturas (signature-based): Compara o tráfego com um banco de dados de padrões de ataques conhecidos (ex.: assinatura de um worm específico). Eficaz contra ameaças conhecidas, mas ineficaz contra ataques zero-day (desconhecidos). Baseado em anomalias (anomaly-based): Estabelece uma linha de base do comportamento normal da rede (ex.: largura de banda típica, padrões de protocolo) e alerta quando o comportamento se desvia significativamente. Pode detectar ataques novos, mas também gera falsos positivos. Baseado em análise de estado (stateful): Mantém o estado das conexões e verifica se os pacotes seguem a lógica esperada do protocolo (ex.: handshake TCP válido). 6.2. Exemplos de IDS/IPS Snort: IDS/IPS de código aberto amplamente utilizado. Baseado em regras (assinaturas). Pode operar como sniffer, logger ou IPS inline. Suricata: Similar ao Snort, mas com suporte a multithreading e análise de protocolos mais avançada (HTTP, TLS, etc.). Zeek (antigo Bro): Focado em análise de eventos e geração de logs ricos, mais que em prevenção em tempo real. Soluções comerciais: Cisco Secure IPS (antigo Firepower), Check Point, Palo Alto (integrados aos NGFW). Autenticação e Controle de Acesso em Redes 7.1. 802.1X (Port-Based Authentication) O padrão IEEE 802.1X controla o acesso à rede na camada de enlace, antes mesmo de o dispositivo receber um endereço IP. Funciona em redes com fio (Ethernet) e sem fio (Wi-Fi). Componentes: Suplicante (Supplicant): Dispositivo do usuário (cliente). Autenticador (Authenticator): Switch ou ponto de acesso (AP). Servidor de Autenticação: Geralmente RADIUS (Remote Authentication Dial-In User Service). O fluxo: o suplicante se conecta ao autenticador, que bloqueia todo o tráfego exceto EAP (Extensible Authentication Protocol). O autenticador encaminha as credenciais do suplicante (ex.: nome de usuário/senha, certificado) ao servidor RADIUS. Se a autenticação for bem-sucedida, o autenticador libera a porta para o tráfego normal. 7.2. NAC (Network Access Control) O NAC vai além da autenticação, verificando a postura de segurança do dispositivo (ex.: antivírus atualizado, patches instalados, firewall ativo) antes de permitir o acesso à rede. Se o dispositivo não estiver em conformidade, pode ser colocado em uma VLAN isolada (quarentena) para correção. Segurança em Redes Sem Fio (Wi-Fi) Além da criptografia WPA2/WPA3, outras práticas são essenciais: Desabilitar SSID broadcast? Não é uma medida eficaz de segurança (o SSID oculto ainda pode ser descoberto com ferramentas de varredura). Causa inconveniência para usuários legítimos. Filtrar endereços MAC: O ponto de acesso pode permitir apenas dispositivos com MACs autorizados. É uma segurança fraca, pois MACs podem ser falsificados (spoofing). Útil como camada adicional, mas não como única defesa. Usar WPA3-Enterprise (com 802.1X) em vez de WPA3-Personal (senha compartilhada) para ambientes corporativos. Isolar clientes (client isolation): Impede que dispositivos conectados ao mesmo AP Wi-Fi se comuniquem entre si (útil em redes públicas). Monitorar redes Wi-Fi com ferramentas como Kismet para detectar pontos de acesso rogue (não autorizados). Boas Práticas de Segurança em Redes Segmentação de rede: Dividir a rede em VLANs (Virtual LANs) separadas por função (ex.: VLAN para servidores, VLAN para funcionários, VLAN para convidados, VLAN para IoT). Controlar o tráfego entre VLANs com firewall (ACLs – Access Control Lists). Princípio do menor privilégio: Conceder apenas os acessos de rede necessários para cada usuário ou sistema. Ex.: um servidor de banco de dados só deve aceitar conexões na porta 3306 (MySQL) vindo de servidores de aplicação específicos, não de toda a rede. Atualização e patch management: Manter switches, roteadores, firewalls e pontos de acesso com firmware atualizado para corrigir vulnerabilidades conhecidas. Desabilitar serviços e portas não utilizadas em roteadores e switches (ex.: Telnet, HTTP de gerenciamento). Usar protocolos de gerenciamento seguros: SSH em vez de Telnet, SNMPv3 com criptografia (em vez de v1/v2 com string comunitária em texto claro). Registro e monitoramento (logging): Coletar logs de firewall, IDS/IPS, switches (via syslog) e analisar periodicamente em busca de eventos suspeitos. Backup de configurações de dispositivos de rede para recuperação rápida em caso de falha ou comprometimento. Plano de resposta a incidentes: Definir procedimentos para quando um ataque é detectado (isolar segmento, coletar evidências, notificar responsáveis). Quadro Comparativo: IDS vs. IPS | Característica | IDS | IPS | |----------------|-----|-----| | Posição na rede | Fora de banda (cópia do tráfego via span port ou TAP) | Em linha (inline) | | Ação | Alerta (log, e-mail) | Bloqueia, descarta pacotes, reseta conexões | | Impacto no tráfego | Nenhum (apenas monitoramento) | Pode introduzir latência, risco de bloquear tráfego legítimo (falso positivo) | | Exemplos | Snort (modo IDS), Zeek | Snort (modo IPS), Suricata (inline) | Quadro Comparativo: VPN Protocolos | Protocolo | Criptografia | Velocidade | Atravessa firewalls | Mobile | Código aberto | |-----------|--------------|------------|---------------------|--------|---------------| | OpenVPN | AES-256 (via OpenSSL) | Média | Bom (pode usar TCP/443) | Sim (com app) | Sim | | WireGuard | ChaCha20, Curve25519 | Alta | Médio (UDP fixo) | Sim (nativo) | Sim | | IPsec/IKEv2 | AES, 3DES | Alta | Médio (pode ser bloqueado) | Excelente (nativo) | Parcial (módulo kernel) | | SSTP | AES, RC4 | Média | Excelente (porta 443) | Não (Windows) | Não | Considerações Finais A segurança em redes é uma disciplina abrangente que combina políticas, tecnologias e práticas operacionais. Para concursos e vestibulares, o candidato deve dominar os conceitos de firewall (tipos e funcionamento), criptografia aplicada a redes (HTTPS, TLS, IPsec, WPA2/WPA3), VPNs (tipos e protocolos), IDS/IPS e boas práticas de segmentação e controle de acesso. Compreender as ameaças (sniffing, DDoS, replay) e as respectivas defesas é igualmente importante. Recomenda-se o estudo prático (configurar regras de firewall, estabelecer uma VPN, analisar logs de IDS) para consolidar o aprendizado teórico. Exercícios: Sobre os pilares fundamentais da segurança em redes, qual das alternativas apresenta corretamente os três princípios que devem ser preservados para garantir um ambiente protegido? Uma empresa está preocupada com a possibilidade de transmissão de dados sigilosos por sua equipe, mesmo em redes públicas. Qual das ferramentas a seguir é especialmente indicada para garantir uma conexão segura entre os colaboradores e a rede interna da organização, conforme o conteúdo da aula? Durante a transferência de informações em uma rede, um atacante consegue capturar dados confidenciais utilizando técnicas de interceptação. Qual tipo de ameaça está sendo exemplificado, de acordo com o conteúdo apresentado? Complete a frase: O firewall do tipo _____, também conhecido como de próxima geração, diferencia-se por realizar a inspeção profunda de pacotes (DPI) e identificar aplicações específicas no tráfego. Complete a frase: Para mitigar ataques de negação de serviço distribuída (DDoS) que visam exaurir a largura de banda, as organizações utilizam serviços de _____ que filtram o tráfego em nuvem antes de ele atingir a rede interna. Complete a frase: O protocolo _____, utilizado em redes privadas virtuais, é amplamente elogiado por sua arquitetura moderna e simplificada, oferecendo desempenho superior ao utilizar criptografia baseada em curvas elípticas. Complete a frase: Diferente do IDS, que apenas monitora e alerta sobre atividades suspeitas, o sistema _____ atua de forma ativa, podendo descartar pacotes maliciosos ou bloquear endereços IP em tempo real. Complete a frase: A arquitetura de rede que isola servidores públicos em uma sub-rede intermediária, impedindo que um comprometimento desses serviços dê acesso direto à rede privada interna, é a _____. Complete a frase: O padrão de segurança _____, lançado em 2018, introduziu a autenticação simultânea de iguais (SAE) para proteger redes Wi-Fi domésticas contra ataques de força bruta offline. Complete a frase: No modelo de segurança de rede 802.1X, o componente que atua como o intermediário, encaminhando as credenciais do usuário para o servidor de autenticação antes de liberar a porta física, é o _____. Complete a frase: Um ataque de _____ ocorre quando um invasor captura um pacote de autenticação legítimo e o retransmite posteriormente para ganhar acesso não autorizado, sem precisar descobrir a senha real. Complete a frase: O conjunto de protocolos _____ opera na camada de rede (camada 3) do modelo OSI, provendo serviços de criptografia e autenticação para o tráfego IP através dos cabeçalhos AH e ESP. Complete a frase: A segmentação de uma rede física em múltiplas redes lógicas independentes, conhecidas como _____, é uma prática fundamental para isolar o tráfego de departamentos e reduzir o domínio de broadcast.