Segurança de Computadores - Firewall IDS IPS VPN

Segurança da Informação
Segurança de Redes (Firewall, IDS, IPS e VPN),

Monitoramento e Análise de Tráfego
CONTEÚDO
Firewall ............................................................................................................................. 4
Filtro de Pacotes (Firewall Stateless, estático) ...................................................................... 7
Filtro de Pacotes Baseado em Estados (Firewall Stateful, dinâmico) ................................. 10
Gateways de Aplicação (Proxy)............................................................................................ 12
NAT - Network Address Translation .................................................................................... 14
Zona Desmilitarizada (DMZ – Demilitarized Zone) .............................................................. 15
Arquiteturas...................................................................................................................... 16
Detecção e Prevenção de Intrusos ................................................................................... 19
Sistema de Detecção de Intrusos (IDS) ................................................................................ 19
Baseado em Anomalia ...................................................................................................... 20
Baseado em Assinaturas .................................................................................................. 21
Arquitetura baseada na Localização ................................................................................ 21
Arquitetura baseada no Alvo ........................................................................................... 22
Comportamento Pós-Detecção ........................................................................................ 23
Sistema de Prevenção de Intrusos (IPS) .............................................................................. 24
Rede Privada Virtual (VPN - Virtual Private Network) ...................................................... 26
Protocolos da Camada de Enlace ........................................................................................ 29
PPTP (Point-to-Point Tunelling Protocol) e L2TP (Layer 2 Tunelling Protocol) ................. 29
Protocolos da Camada de Rede ........................................................................................... 29
IPSec (IP Security Protocol) ............................................................................................... 29
Protocolos da Camada de Transporte ................................................................................. 34
SSL (Secure Sockets Layer) e TLS (Transport Layer Security) ............................................ 34
Protocolos da Camada de Aplicação ................................................................................... 36
SSH (Secure Shell) ............................................................................................................. 36
Monitoramento e Análise de Tráfego .............................................................................. 37
Uso de Sniffers (Analisadores de Pacotes) .......................................................................... 37
Traffic Shapping ................................................................................................................... 37
2
www.resumosdeti.com.br
vedada, por quaisquer meios e a qualquer título, a sua reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à
responsabilização civil e criminal.
Netflow ................................................................................................................................ 38
Programas usados na Internet ............................................................................................ 39
3
Firewall
- É um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de
componentes, por onde passa todo o tráfego, permitindo que o controle, a autenticação
e os registros de todo o tráfego sejam realizados.
- É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto
locais como externas.
- É um dispositivo que possui um conjunto de regras especificando que tráfego ele
permitirá ou negará.
- É um dispositivo que permite a comunicação entre redes, de acordo com a política de
segurança definida e que são utilizados quando há uma necessidade de que redes com
níveis de confiança variados se comuniquem entre si.
- Existem coisas que o firewall NÃO PODE proteger:

• Do uso malicioso dos serviços que ele é autorizado a liberar;
• Dos usuários que não passam por ele, ou seja, não verifica o fluxo intra-redes;
• Dos ataques de engenharia social;
• Das falhas de seu próprio hardware e sistema operacional.
FCC
Dependendo do tipo de conexão usada no computador, é possível usar dois tipos de
firewall, um por hardware e outro por software. Os firewalls por hardware muito
utilizados são os que já vêm incorporados aos roteadores e modems de banda larga.
4
Em redes com vários computadores, o firewall do roteador pode ser configurado com
políticas de bloqueio ou liberação de portas, fazendo posteriormente um ajuste individual
no software do firewall de cada uma das máquinas da rede, de acordo com o perfil do
usuário que as utilizará.
O firewall não dispensa a instalação de um antivírus. Ele funciona como um filtro que
restringe a passagem dos dados recebidos e enviados pelo computador. O antivírus é
necessário porque mesmo as comunicações consideradas seguras pelo firewall podem
trazer ameaças à máquina, geralmente devido à operação incorreta do computador pelo
usuário.
Tanto o firewall por hardware como o por software operam de maneira similar.
Conforme a configuração definida, o firewall compara os dados recebidos com as
diretivas de segurança e libera ou bloqueia os pacotes.
O dispositivo identificado pela letra A tem por função bloquear os acessos indevidos
provenientes da Internet para a rede local (LAN), por meio da verificação do endereço
(IP), é conhecido como firewall.
5
- Classificação:
• Filtro de pacotes (Firewall Stateless);
• Filtro de pacotes baseado em estados ou filtro de estado das conexões (Firewall
Stateful);
• Proxy de serviços ou Gateway de aplicação.
- Funcionalidades:
• Filtros;
• Proxies;
• Bastion hosts;
• Zonas Desmilitarizadas (DMZ);
• NAT;
• Rede privada virtual (VPN);
• Autenticação/Certificação;
• Balanceamento de carga e Alta Disponibilidade;
• Alta disponibilidade.
- Política Padrão:
• Existem dois tipos de modelo de acesso, ou política padrão, que podem ser
aplicados ao firewall:
▪ Tudo é permitido, exceto o que for expressamente proibido;
▪ Tudo é proibido, exceto o que for expressamente permitido.
FCC
Em segurança de redes, firewall é uma barreira de proteção. Sobre este tema está
correto dizer que controlam somente o tráfego que passa por eles. Em ataques
provenientes de usuários internos à rede, cujo tráfego não passa pelo firewall, ele não
garante proteção.
6
Filtro de Pacotes (Firewall Stateless, estático)

- É um dos métodos mais antigos e amplamente disponíveis de controlar o acesso a redes.
- Pode ser encontrado em sistemas operacionais, em firewalls de software ou de
hardware, e também como um recurso da maioria dos roteadores.
- Os filtros de pacotes protegem todo o tráfego entre redes verificando apenas
parâmetros da camada de rede e de transporte TCP/IP.
- Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de
roteamento, verifica as seguintes informações dos pacotes:
• Endereços IP de origem e de destino;
• Tipo de protocolo – TCP, UDP e ICMP;
• Portas de origem e de destino;
• Flags IP e TCP;
• Tipos de mensagens ICMP;
• Tamanho do pacote.
- A principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de
filtragem estará restrita a verificar somente informações básicas do cabeçalho do
pacote.
- Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso.
- A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das
conexões, sendo necessário criar várias linhas de filtragem para se implementar uma
única regra.
- Por exemplo, em uma regra simples que permita o acesso de clientes a um servidor
HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem
como as das respostas do servidor para o cliente.
- Sintaxe:
• Política [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem
[SP] | [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ].
7
- Vantagens:
• Baixo overhead;
• Barato, simples e flexível;
• Alto desempenho da rede;
• Transparente para o usuário.
- Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos,
• Difícil de gerenciar em ambientes complexos;
• É vulnerável a ataques como o IP spoofing, a menos que seja configurado para
que isso seja evitado (apenas falsificação de endereços internos).
• Não oferece autenticação de usuários.
FCC
Os firewalls de filtro de pacotes trabalham com uma lista de controle de acesso que é
verificada antes de um pacote ser encaminhado para a rede interna. A lista relaciona o
tráfego que é permitido e o que deve ser bloqueado.
8
Firewall de filtragem de pacotes pode encaminhar ou bloquear pacotes com base nas
informações disponíveis nos cabeçalhos da camada de rede ou de transporte.
Firewall de filtragem de pacotes usa uma tabela de filtragem para decidir quais pacotes
devem ser descartados.
Firewall pode filtrar todos os pacotes que chegam destinados a determinado host ou
serviço como HTTP.
Um firewall de filtragem de pacotes examina todos os dados enviados de fora da LAN e
rejeita pacotes de dados com base em regras predefinidas, como rejeitar pacote de certas
redes ou portas.
Firewall de Filtro de Pacotes atua na camada de rede, analisando e filtrando datagramas
IP de acordo com informações específicas contidas em seus cabeçalhos, tais como,
endereços IP de origem e destino e porta TCP ou UDP.
Utilizando um firewall default deny será bloqueado tudo o que não for explicitamente
permitido.
A implantação do esquema de segurança em uma rede local de computadores pode
utilizar o Firewall que atua de diferentes maneiras. Considerando o modelo OSI, o
Firewall de filtragem de pacotes faz a verificação dos pacotes das camadas de: Rede e
Transporte.
Em um firewall de filtragem de pacotes os filtros de pacote primeiramente analisam os
cabeçalhos de datagramas e então aplicam regras de filtragem especificadas por um
conjunto definido pelo administrador.
Um firewall de filtragem de pacotes examina cada datagrama individualmente,
determinando se ele deve passar ou ficar retido baseado nas regras específicas do
administrador.
As decisões de filtragem podem ser baseadas em:
• Endereço IP de origem e de destino.
• Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF etc.
• Porta TCP ou UDP de origem e de destino.
• IV. Flag bits do TCP: SYN, ACK etc.
9
Filtro de Pacotes Baseado em Estados (Firewall Stateful,

dinâmico)
- O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto
filtra os pacotes.
- Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com
a inteligência adicional do protocolo.
- Este tipo de firewall examina predominantemente as informações das camadas IP e de
transporte de um pacote que inicia uma conexão.
- Se o pacote inspecionado combinar com a regra de firewall existente que o permita,
uma entrada é acrescentada em uma tabela de estados.
- Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de
estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção.
- Em tese, este método aumenta o desempenho geral do firewall, pois somente os
pacotes iniciais precisam ser totalmente desmembrados até a camada de transporte.
- Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de
manipular os estados da conexão, poderá haver queda de desempenho do
equipamento.
- Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de
cada conexão que passa por ele.
- Isto é possível com a implementação de uma tabela de estados em que o firewall
mantém o relacionamento entre endereços IP de origem e de destino, portas de origem
e de destino, flags do segmento TCP e tipos de pacotes ICMP.
- Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão.
- Estado é a condição de pertencer a uma determinada sessão de comunicação.

• A definição desta condição vai depender da aplicação com a qual as partes estão
se comunicando e dos protocolos que as partes estão utilizando.
• Os protocolos de transporte podem ter o estado de sua conexão rastreado de
várias formas.
- Muitos dos atributos que compõem uma sessão de comunicação, inclusive os pares de
endereço IP, portas de origem e de destino, números de sequência e flags, podem ser
utilizados como identificação de uma conexão individual.
- A combinação dessas partes de informação normalmente é mantida como um hash
(resumo) em uma tabela de estado, para facilitar a comparação.
10
- Vantagens:
• Alto desempenho da rede;
• Aceita quase todos os tipos serviços;
• Transparente para o usuário.
- Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos,
• Não oferece autenticação de usuários, a não ser via gateway de aplicação.
FCC
A função dos stateful inspection firewalls é analisar o tráfego ao nível do IP e TCP/UDP,
construindo tabelas de estado das ligações à Internet para prevenir os ataques do tipo
spoofing, replaying, entre outros.
11
Gateways de Aplicação (Proxy)

- Em geral, um proxy (procurador) é algo ou alguém que faz algo em nome de outra
pessoa.
- Os serviços proxy são programas aplicativos ou servidores especializados que recebem
as solicitações dos usuários e as encaminha para os respectivos servidores reais.
- O proxy pode trabalhar tanto na camada de sessão ou de transporte quanto na camada
de aplicação, o que lhe dá mais controle sobre a interação entre o cliente e o servidor
externo.
- Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o

cliente é o proxy.
- Seu princípio básico de funcionamento está no fato de que este tipo de firewall não
permite a conexão direta entre as entidades finais da comunicação.
- Na figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o
Proxy do Serviço HTTP.
- Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.
- O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.
- Neste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede,
entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos
datagramas IP.
- Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois
as duas redes conectadas ao proxy não são visíveis entre si.
12
- Vantagens:
• Não permite conexões diretas entre hosts internos e hosts externos;
• Aceita autenticação do usuário;
• Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do
filtro de pacotes.
- Desvantagens:
• Mais lento do que os filtros de pacotes (somente os gateways de aplicação);
• Requer um proxy específico pra cada aplicação;
• Não trata pacotes ICMP.
FCC
Firewall proxy, faz a filtragem na camada de aplicação.
Quando o processo de cliente-usuário envia uma mensagem, o firewall proxy executa um
processo de servidor para receber a solicitação. O servidor abre o pacote no nível de
aplicação e determina se a solicitação é legítima. Se for, o servidor atua como um
processo de cliente e envia a mensagem para o verdadeiro servidor na empresa.
Um dos tipos existentes de firewall é o filtro de camada da aplicação. Neste modo, o
bloqueio é realizado ao se analisar detalhes específicos de cada aplicação, como por
exemplo, cabeçalhos de mensagens de e-mail.
Poder avaliar hipertextos criptografados, que, normalmente, não são analisados por
firewalls tradicionais de rede, constitui uma vantagem do firewall de aplicação.
A empresa onde Paulo trabalha deseja implementar a seguinte política referente a suas
páginas web: somente aqueles usuários de Internet que tiverem estabelecido relações
comerciais anteriores com a empresa poderão ter acesso; o acesso para outros tipos de
usuários deve ser bloqueado. Nesse caso, uma solução é instalar um computador proxy
(algumas vezes denominado gateway de aplicação), entre o computadorcliente (usuário)
e o computador da empresa.
13
NAT - Network Address Translation

- O NAT não foi criado com a intenção de ser usado como um componente e segurança,
mas sim para tratar de problemas em redes de grande porte, nas quais a escassez de
endereços IP representa um problema.
- Dessa maneira, a rede interna pode utilizar endereços IP reservados, sendo o NAT o
responsável pela conversão desses endereços inválidos e reservados para endereços
válidos e roteáveis, quando a rede externa é acessada.
- Sob o ponto de vista da segurança, o NAT pode, assim, esconder os endereços dos
equipamentos da rede interna e, consequentemente, sua topologia de rede,
dificultando os eventuais ataques externos.
- O NAT pode ser classificado de maneiras distintas:

• Quanto à associação entre os endereços internos e externos:
▪ NAT estático (one-to-one)
o Caso endereço IP interno é mapeado para um outro endereço IP
externo de forma fixa;
o Necessários quando a máquina da rede interna deve permanecer
acessível pela rede externa.
▪ NAT dinâmico
o Os endereços IP interno são mapeados para endereços externos de
acordo com uma faixa de valores predeterminada.
o Uma máquina interna pode estar associado a um endereço IP
diferente para cada conexão.
▪ NAT simétrico (overloading ou PAT)

o Todo endereço IP interno é mapeado para um único endereço IP
externo, identificando-se os hosts de acordo com as portas.
• Quanto ao estado das conexões:

▪ NAT stateless
o Não há armazenamento da informação de estado das conexões.
▪ NAT statefull (SNAT)
o As informações do estado das conexões é mantido.
14
- Na implementação mais comum, que é o NAT simétrico, temos algumas vantagens:

• A organização que utiliza o NAT, só vai precisar fazer o registro de um endereço IP
externo para gerenciar a sua rede;
• O endereço IP dos hosts da rede não são divulgados, diminuindo o risco de um
ataque direto a um host;
• A rede IP interna pode sofrer modificações sem interferir no endereçamento
externo da rede;
• Pode funcionar em conjunto com os sistemas de firewall na mesma estação.
- Ao NAT, pode ser agregado o serviço Network Address Port Translation (NAPT ou PAT)
que faz a conversão de portas de rede.
• O seu uso é interessante para o fornecimento de proteção adicional, pois é
possível fazer o remapeamento das portas de alguns protocolos ou aplicações
conhecidas para outras portas, dificultando ainda mais a sua descoberta.
FCC
Como o endereço IP de um computador integrante de uma rede privada não é roteado na
Internet, o NAT gera um número de 16 bits, que é escrito no campo da porta de origem,
para permitir que o roteador faça a respectiva associação em suas tabelas e identifique o
destinatário correto.
Zona Desmilitarizada (DMZ – Demilitarized Zone)

- É uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa.
- Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada
(um bastion host) seja comprometida, a rede interna continue intacta e segura.
- Objetivos:
• Evitar que a Internet acesse diretamente serviços dentro de uma rede interna;
• Separar o tráfego de rede interno do externo;
• Ligação de uma rede interna com a Internet ou com uma rede de outra
organização.
FCC
O desenho e implementação de uma DMZ estão intimamente ligados à utilização de
sistemas de firewall.
Caso um invasor consiga ter acesso à DMZ por conta de uma vulnerabilidade de algum
serviço, ele normalmente permanece sem acesso à rede interna, uma vez que um firewall
pode estar configurado para proteger a rede interna.
15
A implementação padrão de DMZ utiliza normalmente dois firewalls, um separando a

rede WAN da DMZ e outro separando a DMZ da rede interna.
Uma DMZ separa os serviços e os usuários da rede interna de um possível ataque vindo
de uma rede insegura, como a Internet.
No ambiente de rede da empresa, DMZ é uma região que pode ser acessada tanto por
uma rede interna quanto pela pública (internet) e que servidores nela presentes não
podem acessar os computadores internos da empresa por questões de segurança.
DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, ou seja,
mantém a rede local separada de todos os serviços que possuem acesso externo.
Arquiteturas
- Dual-homed host architecture
• Formada por um equipamento que tem duas interfaces de rede e funciona como
um separador entre as duas redes.
• Os sistemas internos têm de ser conectados ao firewall para que possam se
comunicar com os servidores externos e vice-versa, mas nunca diretamente.
• Assim, as comunicações são realizadas por meio de proxies ou conexões em duas
etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para
depois se conectar ao servidor externo.
16
- Screened host architecture

• Formada por um filtro de pacotes e um bastion host.
• O filtro deve ter regras que permitam o tráfego para a rede interna somente por
meio do bastion host, de modo que os usuários externos que queiram acessar um
sistema da rede interna devem, primeiramente, se conectar ao bastion host.
• O bastion host pode funcionar também como um proxy, exigindo, assim, que os
usuários internos acessem a internet por meio dele.
- Screened subnet architecture

• Essa arquitetura aumenta o nível de segurança com relação à arquitetura
screened host ao adicionar a rede DMZ.
• Se, antes, um ataque ao bastion host significava que o invasor já estaria com a
rede interna disponível para ele, isso não ocorre na arquitetura screened subnet.
• O bastion host fica na DMZ, que funciona como uma área de confinamento entre
a rede interna e a rede externa, posicionada entre dois filtros.
17
18
Detecção e Prevenção de Intrusos
Sistema de Detecção de Intrusos (IDS)

- Sistemas de Detecção de Intrusos (Intrusion Detection System – IDS) atuam como
mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas
em redes, à procura de eventos que possam comprometer os ativos de um sistema de
informação ou que possam transpor os mecanismos de proteção.
- O princípio de funcionamento de um IDS é baseado na identificação, delimitação e
tratamento dos eventos relevantes para o processo de detecção.
- Estes eventos relevantes são selecionados dentro de um conjunto de eventos possíveis
de serem observados em um determinado sistema ou em uma rede.
- Um dos grandes desafios dos sistemas de detecção de intrusos é:

• Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.
• Falso Positivo: IDS gera um alarme de ataque na ocorrência de um evento ou

tráfego normal.
▪ O falso positivo é um evento observável e relevante que é classificado pelo
IDS como um evento intrusivo.
▪ Seu maior problema é a geração de um grande número de alertas, o que
dificulta a administração e a análise das informações do IDS.
• Falso Negativo: IDS não gera alarme na ocorrência de um evento ou tráfego mal
intencionado.
▪ Já no caso dos falsos negativos, estes podem ocorrer tanto em eventos não
observáveis como em eventos observáveis e, dentro deste último grupo,
também pode estar presente dentro dos eventos relevantes.
▪ Seu maior problema é justamente o inverso do falso positivo, ou seja, não
há registros da ocorrência de falsos negativos no IDS.
- Classificação:
• Quanto ao Método de Detecção, os sistemas de detecção de intrusos são
classificados como:
▪ Sistemas de intrusão baseados em anomalias;
▪ Sistemas de detecção baseados em assinatura.
19
• Quanto à Arquitetura, os sistemas de detecção de intrusos são classificados

segundo os critérios localização e alvo.
▪ Com base na localização, são classificados em: centralizado, hierárquico ou
distribuído.
▪ Com base no alvo, são classificados em:
o Sistemas baseados em host (HIDS);
o Sistemas baseados em rede (NIDS).
Baseado em Anomalia
- O Sistema de Intrusão Baseado em Anomalia é um método também conhecido como
Método Reacionário ou Sistema de Detecção por Comportamento.
- Independente do nome, ele se baseia na análise do comportamento do sistema e na
identificação de possíveis desvios, comparando o estado observado a um padrão de
comportamento considerado normal.
- As informações a seguir podem ser tomadas como base para identificar o
comportamento padrão do sistema/rede e subsidiar na identificação de tráfegos
anormais:
• Quantidade de tráfego na rede em determinados horários;
• Tipos de protocolos que passam na rede e seus prováveis horários;
• Carga de processamento da CPU;
• Aplicações utilizadas na rede;
• Serviços ativos no sistema;
• Endereços IP que trafegam pela rede, etc.
- Vantagens:
• Possibilita detectar ataques desconhecidos, sendo desnecessária a manutenção
de uma base de dados que armazene todos os tipos possíveis de ataques e
vulnerabilidades;
• Pode ser usado para gerar informações que darão origem a uma assinatura.
- Desvantagens:
• Para usar esse método de detecção, é imprescindível que o administrador
conheça o comportamento da rede/sistema, o que é muito difícil devido à
heterogeneidade e à complexidade desses ambientes.
• Devido à dificuldade apresentada no item anterior, esse método leva a um maior
número de falsos positivos;
• Os relatórios são mais difíceis de serem analisados, não informando dados
conclusivos da vulnerabilidade explorada.
20
Baseado em Assinaturas
- O Sistema de Intrusão Baseado em Assinatura é um método também conhecido como
Sistema Preemptivo ou Sistema de Detecção por Abuso.
- Essa técnica busca sequências de ações nitidamente caracterizadas como inválidas,
registradas em uma base de dados (assinaturas) que contém o conhecimento
acumulado sobre ataques específicos e vulnerabilidades.
- Vantagens:
• Por comparar o tráfego capturado a uma assinatura, o número de falsos positivos
é menor, comparado ao método anterior;
• Devido ao fato de o número de falsos positivos ser menor, e também porque o
alarme gerado pelo IDS irá mostrar a que tipo de ataque o tráfego corresponde
(devido à assinatura a qual foi comparado), faz-se possível a adoção de
contramedida;
• Redução na quantidade de informação tratada, isto é, o alarme é mais preciso e
evidente;
• Permite diagnosticar, de maneira rápida e confiável, a utilização de determinadas
ferramentas ou técnicas específicas de ataque, auxiliando os gerentes a
verificarem as correções necessárias.
- Desvantagens:
• Como o método é baseado em assinaturas, a detecção só ocorre para ataques
conhecidos, por isso mesmo não permite detectar variações de um mesmo
ataque, pois as assinaturas são utilizadas com muita rigidez;
• Faz-se necessária a manutenção freqüente na base de dados que contém as
assinaturas.
Arquitetura baseada na Localização

- Centralizado
• Todos os componentes do IDS estão localizados no mesmo equipamento.
- Hierárquico
• Os componentes encontram-se parcialmente distribuídos, isto é, em
equipamentos separados, cada um com sua função específica, porém com fortes
relações de hierarquia entre eles.
• Tarefas como a tomada de decisões fica normalmente concentrada em um único
ponto.
21
- Distribuído
• Possui todos os seus componentes espalhados pelo sistema, com relações
mínimas de hierarquia entre eles, não existe centralização de decisões, os
componentes trabalham em regime de cooperação para alcançar o objetivo
comum de detectar um intruso.
• Geralmente utilizados na segmentação de links com grande largura de banda, de
tal forma que nenhum pacote seja descartado pelos sensores.
Arquitetura baseada no Alvo

- Host – HIDS (Host Intrusion Detection System)
• Nele, o software IDS é instalado na mesma máquina em que se deseja realizar a
detecção.
• Seu princípio de funcionamento está baseado em verificar os:
▪ Parâmetros de utilização de recursos do sistema;
▪ Registros de log do sistema operacional e dos aplicativos;
▪ Registros de auditoria do sistema;
▪ Níveis de utilização de CPU e memória;
▪ Arquivos de sistema;
▪ Chaves de Registros;
▪ Portas ativas, entre outros.
- Network – NIDS (Network Intrusion Detection System)

• Têm como fonte de eventos pacotes de dados trafegando pela rede, seja de
cabeamento físico ou wireless.
• Seu princípio de funcionamento está baseado em:
▪ Verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no
segmento de rede por ele analisado;
▪ Aplicar mecanismos de proteção específicos para o IDS como, por exemplo,
não configurar endereço IP na interface de rede utilizada pelo sensor;
▪ Colocar a placa de rede do sensor em modo promíscuo para capturar todo
o tráfego na qual ela esteja conectada.
22
Comportamento Pós-Detecção
- Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.
• Passivo:
▪ Apenas detecta, mas não barra o ataque;
▪ Após detecção, um evento é gerado e encaminhado ao gerente, deixando
com que o administrador do sistema possa tomar a decisão;
▪ Falsos Positivos são interpretados pelo administrador, diminuindo seus
efeitos na rede.
• Ativo:
▪ Também chamados de IPS – Intrusion Prevention System
▪ Ao detectar um ataque, ele próprio, segundo configurações realizadas pelo
administrador do sistema, realizará contramedidas automaticamente;
▪ Processos automatizados sem a intervenção do administrador;
▪ Falsos Positivos podem gerar grandes problemas na rede como um todo,
tornando-se muito perigoso.
FCC
NIDS é um sistema instalado na rede que analisa todos os pacotes e tenta detectar os
ataques como DoS.
Análise de comportamento de redes, ou NBA, da sigla, em inglês, Network Behavior
Analysis, é uma técnica que examina o tráfego da rede em busca de ameaças que geram
fluxos não usuais, como DdoS e violações de políticas da empresa ou um sistema cliente
provendo serviços de rede para outros sistemas.
O NIDS necessita ler todos os quadros que estão circulando na rede para funcionar
corretamente. Por isso, sua conexão diretamente ao switch sem qualquer configuração
adicional fará com que este não funcione corretamente. Para solucionar tal problema, a
porta do switch ao qual o NIDS é conectado deve ser configurada como SPAN (Switched
Port Analyzer).
NIDS: Sistema instalado na rede e que analisa todos os pacotes, bem como tenta detectar
ataques do tipo DoS, varredura de portas e tentativa de ataques.
PIDS: Sistema que conhece a fundo um determinado protocolo e analisa o tráfego desse
protocolo.
HIDS: Sistema que analisa o comportamento interno de uma máquina a fim de detectar
qualquer anomalia.
Os equipamentos do IPS normalmente estão conectados nos segmentos críticos da rede,
em linha, ou seja, todo o tráfego a ser inspecionado precisa passar por eles.
23
Ao contrário do IDS, que apenas detecta e registra atividades suspeitas, o IPS reage
mediante uma situação adversa, pois, além de detectar o tráfego suspeito, é capaz de
tratá-lo.
Sistema de Prevenção de Intrusos (IPS)

- O IPS (Intrusion Prevention System) se diferencia do IDS pelo fato de ser ativo, ou seja,
interfere diretamente nos eventos que passam por ele.
• Diferente do IDS que é passivo → apenas monitora os eventos, sem neles
interferir.
- Os IPSs mais comuns são os de rede, que atuam em cima do tráfego de rede.
- Na figura abaixo, podemos diferenciar um IDS de um IPS, por meio da sua localização na
rede.
- Podemos perceber que o tráfego passa diretamente pelo IPS, de modo que o sistema
pode optar por não transmitir um tráfego adiante, caso suspeite que seja malicioso.
• Esse comportamento é diferente do comportamento do IDS, que apenas
monitora o tráfego.
• Mesmo que o IDS tome uma ação, essa será reativa, pois não vai interferir no
tráfego da rede.
- Uma vantagem clara dos IPSs é a possibilidade de bloquear um ataque a partir do seu
primeiro pacote, o que pode ser fundamental para mitiga-lo, visto que em alguns
ataques, basta um pacote para que o atacante seja bem-sucedido (lembre-se do ping da
morte).
- Uma desvantagem do IPS é a sua necessidade de capacidade de processamento

suficiente para analisar todos os pacotes que passam por ele, o que pode causar atrasos
em casos de redes muito sobrecarregadas.
24
• Isso não ocorre no IDS, que é passivo.

• Um IDS sobrecarregado, porém, não consegue analisar todos os pacotes que
passam por ele, de modo a se tornar um IDS estatístico, pois analisa apenas uma
porcentagem do tráfego.
- Em muitos IPSs comerciais, o fabricante indica a taxa de transferência máxima
(troughput) que um determinado IPS é capaz de suportar.
- Outra característica importante a ser considerada em um IPS é a ação em casa de falha.

• Um IPS onde ocorreu uma falha pode bloquear ou liberar todas as conexões que
passam por ele.
• Essa decisão é capciosa e complexa, pois liberar todas as conexões pode permitir
que um atacante acesse a rede protegida, e bloqueá-las pode causar um
problema de disponibilidade.
25
Rede Privada Virtual (VPN - Virtual Private Network)

- O conceito de rede privada virtual (Virtual Private Network – VPN) surgiu a partir da
necessidade de se utilizar redes de comunicação não confiáveis.
• Exemplo: trafegar informações de forma segura na Internet.
- Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes
distintas e que façam parte de uma mesma comunidade.
- Solução para alto custo de enlaces de comunicação dedicados e privados.
- Os conceitos que fundamentam a VPN são a criptografia e o tunelamento.

- A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das
conexões, e é a base da segurança dos túneis VPN.
- Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é independente da rede e
da aplicação, podendo ser aplicada em qualquer forma de comunicação possível de ser
roteada, como voz, vídeo e dados.
- O túnel VPN é formado pelo tunelamento que permite a utilização de uma rede pública
para o tráfego das informações, até mesmo de protocolos diferentes do IP, por meio da
criação de um túnel virtual formado entre as duas partes da conexão.
26
- Tunelamento
• O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de
possibilitar a comunicação entre organizações que utilizam um determinado
protocolo, empregando um meio que tem como base um outro protocolo
diferente. Ex: IPX trafegando em rede IP.
• Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e
desvantagens.
• Túnel é a denominação do caminho lógico percorrido pelos pacotes
encapsulados.
• Simula a conexão ponto-a-ponto requerida para a transmissão de pacotes através
de uma rede pública.
• Os túneis podem ser criados de duas diferentes formas - voluntárias e

compulsórias.
▪ No túnel voluntário, o computador do usuário funciona como uma das
extremidades do túnel e, também, como cliente do túnel.
o Ele emite uma solicitação VPN para configurar e criar um túnel entre
duas máquinas, uma em cada rede privada, e que são conectadas
via Internet.
▪ No túnel compulsório, o computador do usuário não funciona como

extremidade do túnel.
o Um servidor de acesso remoto, localizado entre o computador do
usuário e o servidor do túnel, funciona como uma das extremidades
e atua como o cliente do túnel.
o Utilizando um túnel voluntário, no caso da Internet, o cliente faz
uma conexão para um túnel habilitado pelo servidor de acesso no
provedor (ISP).
o No tunelamento compulsório com múltiplos clientes, o túnel só é
finalizado no momento em que o último usuário do túnel se
desconecta.
FCC
A tecnologia VPN proporciona, em termos de níveis de segurança: autenticação do
usuário, criptografia e autenticação dos dados.
VPNs seguras encapsulam o quadro normal com o cabeçalho IP da rede local, mais o
cabeçalho IP da Internet atribuída ao roteador e adicionam os cabeçalhos de
autenticação e criptografia.
27
VPNs utilizam a infraestrutura existente da Internet e são muito mais econômicas do que
as redes de longa distância (WANs).
VPNs podem ser baseadas em conexões gateway-gateway e usuário-gateway e quanto
aos tipos básicos elas podem ser:
• Virtual Leased Line − VLL.
• Virtual Private Routed Network − VPRN.
• Virtual Private Dial Network − VPDN.
• Virtual Private Lan Segment − VPLS.
• Virtual Leased Dial Network − VLDN.
Referem-se à VPN:
• Uma rede compartilhada onde a informação é separada de outras no mesmo
meio, de modo que apenas o destinatário pretendido tenha acesso.
• Um conceito arquitetural no qual uma ou mais camadas de protocolo são
repetidas, criando uma topologia virtual no topo da topologia física.
• Faz uso da infraestrutura pública de comunicações, como a internet, para
proporcionar acesso remoto e seguro a uma determinada rede localizada
geograficamente distante do local de acesso.
28
Protocolos da Camada de Enlace
PPTP (Point-to-Point Tunelling Protocol) e L2TP (Layer 2 Tunelling

Protocol)
• Os protocolos PPTP e L2TP são utilizados em VPNs discadas, ou seja,
proporcionam o acesso de usuários remotos acessando a rede corporativa
através de modens de um provedor de acesso.
• Um ponto a ser considerado nos dois protocolos é que o sigilo, a integridade e a
autenticidade dos pontos que se comunicam devem ser fornecidos por um outro
protocolo, o que é feito normalmente pelo IPSec.
• Uma diferença entre o L2TP e o PPTP é que o L2TP pode ser transparente para o
usuário, no sentido de que esse tipo de tunelamento pode ser iniciado no
gateway de VPN de um provedor de VPN.
• Quando o PPTP é utilizado, a abordagem é diferente. O tunelamento é sempre
iniciado no próprio equipamento do usuário.
• Com isso, o PPTP é mais indicado para a utilização em laptops, por exemplo,
quando o usuário poderá se conectar à rede da organização via VPN, por meio
desse protocolo.
• O L2TP é utilizado, principalmente, para o tráfego de protocolos diferentes de IP
sobre uma rede pública com base em IP.
Protocolos da Camada de Rede
IPSec (IP Security Protocol)

- O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece
transferência segura de informações fim a fim através de rede IP pública ou privada.
- Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados
como criptografia, autenticação e integridade, e então encapsula esses pacotes
protegidos em outros pacotes IP para serem transmitidos.
- As funções de gerenciamento de chaves também fazem parte das funções do IPSec.
- O IPSec combina diversas tecnologias diferentes de segurança em um sistema completo

que provê confidencialidade, integridade e autenticidade, empregando:
• Mecanismo de troca de chaves de Diffie-Hellman;
• Criptografia de chave pública para assinar as trocas de chave de Diffie-Hellman,
garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-
the-middle;
29
• Algoritmos de encriptação para grandes volumes de dados, como o DES (Data

Encryption Standard);
• Algoritmos de hash com utilização de chaves, com o HMAC combinado com os
algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes;
• Certificados digitais assinados por uma autoridade certificadora.
- Os requisitos de segurança podem ser divididos em 2 grupos, que são independentes

entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a
necessidade de cada usuário:
• Autenticação e Integridade;
• Confidencialidade.
- Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

• AH - Autentication Header;
• ESP - Encapsulation Security Payload;
• IKE - Internet Key Exchange.
- Authentication Header (AH)

• Este cabeçalho, ao ser adicionado a um datagrama IP, garante a integridade e
autenticidade dos dados, incluindo os campos do cabeçalho original que não são
alterados entre a origem e o destino; no entanto, não fornece confidencialidade.
- Encapsulating Security Payload (ESP)

• Este cabeçalho protege a confidencialidade, integridade e autenticidade da
informação.
- AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das
aplicações apenas um deles é suficiente.
- Há dois modos de operação: modo de transporte (nativo) e modo túnel.
- Modo Transporte
• No modo de transporte, somente a informação (payload) é encriptada, enquanto
o cabeçalho IP original não é alterado.
• Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote,
deixando que dispositivos da rede pública vejam a origem e o destino do pacote,
o que permite processamentos especiais (como de QoS) baseados no cabeçalho
do pacote IP.
30
• No entanto, o cabeçalho da camada 4 (transporte) estará encriptado, limitando a

análise do pacote.
• Passando o cabeçalho sem segurança, o modo de transporte permite que um
atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o
conteúdo das mensagens.
- Modo Túnel
• No modo de tunelamento, todo o datagrama IP original é encriptado e passa a ser
o payload de um novo pacote IP.
• Este modo permite que um dispositivo de rede, como um roteador, aja como um
Proxy IPSec (o dispositivo realiza a encriptação em nome dos terminais).
• O roteador de origem encripta os pacotes e os envia ao longo do túnel IPSec; o
roteador de destino decripta o datagrama IP original e o envia ao sistema de
destino.
• A grande vantagem do modo de tunelamento é que os sistemas finais não
precisam ser modificados para aproveitarem os benefícios da segurança IP; além
disto, esse modo também protege contra a análise de tráfego, já que o atacante
31
só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o

destino reais.
- Associações de Segurança - SA
• O IPSec fornece diversas opções para executar a encriptação e autenticação na
camada de rede.
• Quando dois nós desejam se comunicar com segurança, eles devem determinar
quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).
• Após escolher os algoritmos, as chaves de sessão devem ser trocadas.
• Associação de Segurança é o método utilizado pelo IPSec para lidar com todos
estes detalhes de uma determinada sessão de comunicação.
• Uma SA representa o relacionamento entre duas ou mais entidades que descreve
como estas utilizarão os serviços de segurança para se comunicarem.
• As SAs são unidirecionais, o que significa que para cada par de sistemas que se
comunicam, devemos ter pelo menos duas conexões seguras, uma de A para B e
outra de B para A.
• As SAs são identificadas de forma única pela associação entre um número
aleatório chamado SPI (Security Parameter Index), o protocolo de segurança (AH
ou ESP) e o endereço IP de destino.
• Quando um sistema envia um pacote que requer proteção IPSec, ele olha as SAs
armazenadas em seus banco de dados, processa as informações, e adiciona o SPI
da SA no cabeçalho IPSec.
32
• Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de

dados de acordo com o endereço de destino e SPI, e então processa o pacote da
forma necessária.
- Gerenciamento de Chaves – IKE

• O IPSec assume que as SAs já existem para ser utilizado, mas não especifica como
elas serão criadas.
• IETF decidiu dividir o processo em duas partes: o IPSec fornece o processamento
dos pacotes, enquanto o IKMP negocia as associações de segurança.
• Após analisar as alternativas disponíveis, o IETF escolheu o IKE como o método
padrão para configuração das SAs para o IPSec.
FCC
O IPSec fornece uma função combinada de autenticação e criptografia denominada
Encapsulating Security Payload.
O protocolo de segurança IP, mais conhecido por IPSec, fornece dois modos de operação,
a saber: Transporte e Tunelamento.
No modo de transporte, o IPSec cuida da proteção ou autenticação somente da área de
dados do pacote IP.
No modo túnel do IPSec, o pacote IP inteiro é criptografado e encapsulado.
Encapsulating Security Payload (ESP) criptografa os dados em transmissão num
datagrama IP a fim de evitar que hackers tenham acesso aos dados, caso façam uma
captura desse datagrama. No IPv6 é adicionado como um cabeçalho extra.
O IPsec (processo de criptografia descrito na RFC 2406) determina que as
implementações precisam pelo menos oferecer suporte ao algoritmo: Data Encryption
Standard − DES.
O IPsec fornece a capacidade de proteger comunicações. Seu uso tem como exemplos:
• O estabelecimento de conectividade de extranet e intranet com parceiros.
• A melhoria da segurança no comércio eletrônico.
33
• O acesso remoto seguro por meio da Internet.

O algoritmo AH (Authentication Header) é responsável por garantir que o conteúdo do
datagrama não foi alterado no meio do caminho.
A especificação do IPSec exige o compartilhamento de chaves secretas que são utilizadas
para autenticação, integridade e criptografia dos dados, a qual define um conjunto
separado de mecanismos para o gerenciamento destas chaves. Nesse contexto, o
protocolo padrão para o gerenciamento de chaves pelo IPSec é o IKE.
Protocolos da Camada de Transporte
SSL (Secure Sockets Layer) e TLS (Transport Layer Security)

- O Transport Layer Security (TLS), assim como o seu antecessor Secure Sockets Layer
(SSL), são protocolos criptográficos que proveem comunicação segura na Internet para
serviços da camada de aplicação do TCP/IP (camada 4).
• Há algumas pequenas diferenças entre o SSL 3.0 e o TLS 1.0, mas o
funcionamento desses protocolos é substancialmente o mesmo.
- O protocol SSL provê a privacidade e a integridade de dados entre duas aplicações que
estejam se comunicando pela Internet.
• Isto ocorre através da autenticação das partes envolvidas e da criptografia dos
dados transmitidos entre as partes.
- A autenticação no SSL, normalmente, é unilateral e opcional, de forma que apenas o

servidor seja autenticada, permanecendo o cliente não identificado.
• Entretanto, o protocolo permite a autenticação bilateral entre os hosts.
- Como característica da camada de transporte, as comunicações entre os hosts no SSL

são fim-a-fim, e a cada conexão está relacionada ao estabelecimento de uma sessão de
segurança que envolve três fases:
• Negociação pelos algoritmos a serem usados;
• Troca de chaves de comunicação e autenticação dos pares;
• Criptografia e autenticação as mensagens.
- As sessões do SSL são statefull, ou seja, elas guardam informação sobre o estado atual
da conexão de forma a impedir que algum atacante as capture.
- Cada sessão possui os seguintes parâmetros:
• Session identifier: identificador único da sessão;
• Peer certificate: certificado da outra parte da comunicação;
34
• Compression method: método de compressão utilizado na sessão;

• Cipher spec: informações sobre algoritmos de criptografia e de compressão;
• Máster secret: segredo base para gerar as chaves da sessão;
• Is resumable: flag para informar se a sessão pode ser recuperada no futuro.
- Além das sessões, o SSL guarda parâmetros sobre a conexão.

- O cliente e o servidor possuem, cada um, como parâmetros:
• MAC secret: segredo para autenticação da mensagem;
• Write key: chave para cifração das mensagens enviadas;
• Initialization vectors: vetores de inicialização usado na cifração;
• Sequence numbers: número sequencial para a transmissão dos dados, usado
como no protocolo TCP.
- O SSL (TLS) utiliza um protocolo de handshake, que funciona da seguinte maneira:

• 1) o cliente se conecta com o servidor SSL solicitando uma conexão segura e
apresenta a lista de algoritmos de cifração e hash suportados;
• 2) o servidor verifica os algoritmos que ele suporta da lista, escolhe os algoritmos
mais fortes e notifica a cliente;
• 3) o servidor se identifica para o cliente, enviando seu certificado digital.
- O SSL (TLS) pode utilizar os seguintes algoritmos:

• Para troca de chaves: RSA, Diffie-Hellman, Curvas Elípticas, Chaves pré-
compartilhadas (PSK);
• Para autenticação dos usuários: RSA, DSA (normal ou de curvas elípticas –
ECDSA);
• Para criptografia simétrica das mensagens: RC4, 3-DES, AES, IDEA, DES;
• Como função de hash: MD5 ou SHA.
FCC
O SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do
TCP/IP.
O protocolo TLS usa o algoritmo HMAC (keyed-Hashing for Message Authentication
Code), que produz hashes mais seguros que o MAC, utilizado pelo SSL.
35
Protocolos da Camada de Aplicação
SSH (Secure Shell)

- SSH é um protocolo de rede da camada de aplicação (camada 4 do TCP/IP), que permite
a conexão com outro computador na rede, de forma a executar comandos de uma
unidade remotamente.
- Possui as mesmas funcionalidades do TELNET, com a vantagem da conexão entre o
cliente e o servidor ser criptograda.
- O SSH cria um terminal remoto virtual utilizando TELNET combinado com protocolos
seguros, como SSL/TLS.
• Em seguida, é criada uma sessão do protocolo PPP (point-to-point protocol) para
fazer a comunicação dos pacotes IP originais.
- Uma de suas mais utilizadas aplicações é o chamado Tunneling, que oferece a

capacidade de redirecionar pacotes de dados relativos a uma porta para outra.
• O processo se caracteriza por duas máquinas ligadas ao mesmo servidor SSH, que
faz o redirecionamento das requisições do computador que está sob firewall.
- Como vantagem, o SSH é simples de ser implementado e oferece flexibilidade quanto à

transmissão das informações devido ao tunelamento.
• Entretanto, o desempenho da conexão é menor devido à sobrecarga (overhead)
de informações nos pacotes transmitidos.
36
Uso de Sniffers (Analisadores de Pacotes)

- Sniffing, é o procedimento realizado por uma ferramenta conhecida como Sniffer
(também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo,
Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes
wireless).
- Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e
registrar o tráfego de dados em uma rede de computadores.
- Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e

eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido
em um RFC ou uma outra especificação.
- O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam
capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados,
obter cópias de arquivos importantes durante sua transmissão, e obter senhas que
permitam estender o seu raio de penetração em um ambiente invadido ou ver as
conversações em tempo real.
FCC
Sniffing é uma técnica que consiste em inspecionar os dados trafegados em redes de
computadores, por meio do uso de programas específicos. Pode ser utilizada por
administradores de redes, de forma legítima, para detectar problemas, analisar
desempenho e monitorar atividades maliciosas ou por atacantes, de forma maliciosa,
para capturar informações como senhas, números de cartão de crédito e conteúdo de
arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja,
sem criptografia.
Traffic Shapping
- Traffic shaping é um termo da língua inglesa (modelagem do tráfego), utilizado para
definir a prática de priorização do tráfego de dados, através do condicionamento do
débito de redes, a fim de otimizar o uso da largura de banda disponível.
- O termo passou a ser mais conhecido e utilizado após a popularização do uso de

tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet.
37
• O uso desta tecnologia permite que a comunicação entre localidades distintas

tenham seus custos drasticamente reduzidos, substituindo o uso das conexões
comuns.
- No Brasil, suspeita-se que a prática passou a ser adotada pelas empresas de telefonia
que adotaram, em algum trecho de sua rede, tecnologias de voz sobre o protocolo IP,
apesar de condenada por algumas instituições protetoras dos direitos do consumidor.
• Estas empresas utilizam programas de gestão de dados que acompanham e
analisam a utilização e priorizam o tráfego digital (pacotes), bloqueando,
retardando ou diminuindo o tráfego de dados VoIP que contenham determinados
atributos não desejados pelo gestor da rede, assim prejudicando a qualidade do
uso deste tipo de serviço.
• A prática também é comumente adotada para outros tipos de serviços,
conhecidos por demandar grande utilização da largura de banda, como os de
transferência de arquivos P2P e FTP por exemplo, ou de "streaming" de portais
de internet que transmitem video etc.
- Os programas de traffic shaping poderão ainda fazer logs dos tipos de utilizadores, pegar
informações sobre IPs acedidos, ativar gravações automáticas a partir de determinadas
condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando
redes peer-to-peer (P2P) ou FTP.
FCC
Traffic shapping é uma prática que pode ser utilizada por provedores de acesso à
internet com o objetivo de limitar o tamanho da banda para os protocolos e programas
que usam mais a rede, notadamente os de transferência de arquivos grandes, como P2P.
Alguns provedores limitam, inclusive, a transmissão de arquivos via FTP. Esta prática é
realizada para garantir que os usuários, que não utilizam esses protocolos de
transferência ou não fazem downloads de grandes arquivos, possam ter acesso a outros
tipos de serviço sem enfrentar lentidão na rede, embora seja condenada por algumas
instituições protetoras dos direitos do consumidor.
Netflow
- Netflow é um recurso que foi introduzido em roteadores Cisco cuja função é coletar
características e informações sobre o tráfego de redes IP, tanto na saída quanto na
entrada de uma interface.
38
- Ao analisar os dados fornecidos pelo Netflow, um administrador de rede pode

determinar tarefas como a origem e o destino do tráfego, classe de serviço, e as causas
de congestionamento.
- Netflow é composto por três componentes:

• O cache de fluxo
• Coletor de fluxo e
• Analisador de dados.
Programas usados na Internet

- Wireshark
• Analisa o tráfego de rede (sniffer) apresentando informação sobre a árvore de
protocolos do pacote e o seu conteúdo.
- Looking Glass
• Diagnostica problemas na rede através da obtenção de informações sobre um
roteador sem o acesso direto ao mesmo.
- NTOP (Network Traffic Probe)

• Detalha a utilização da rede por host e protocolo, obtendo estatísticas sobre o
tráfego, análise do tráfego IP e detecção de violações de segurança na rede.
- ARGUS
• Monitora redes e sistemas, acompanhando e avaliando dados referentes à
conectividade na rede, portas TCP/UDP e de aplicações como HTTP, SMTP e
RADIUS.
- Pchar
• Avalia desempenho da rede, analisando largura de banda, latência e perda de
conexões.
39

Segurança de Computadores - Firewall IDS IPS VPN

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança de Computadores - Firewall IDS IPS VPN

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança de Computadores - Firewall IDS IPS VPN

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança da Informação

Segurança de Redes (Firewall, IDS, IPS e VPN),

- Existem coisas que o firewall NÃO PODE proteger:

Filtro de Pacotes (Firewall Stateless, estático)

Filtro de Pacotes Baseado em Estados (Firewall Stateful,

- Estado é a condição de pertencer a uma determinada sessão de comunicação.

Gateways de Aplicação (Proxy)

- Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o

NAT - Network Address Translation

- O NAT pode ser classificado de maneiras distintas:

▪ NAT simétrico (overloading ou PAT)

• Quanto ao estado das conexões:

- Na implementação mais comum, que é o NAT simétrico, temos algumas vantagens:

Zona Desmilitarizada (DMZ – Demilitarized Zone)

A implementação padrão de DMZ utiliza normalmente dois firewalls, um separando a

- Screened host architecture

- Screened subnet architecture

Detecção e Prevenção de Intrusos

Sistema de Detecção de Intrusos (IDS)

- Um dos grandes desafios dos sistemas de detecção de intrusos é:

• Falso Positivo: IDS gera um alarme de ataque na ocorrência de um evento ou

• Quanto à Arquitetura, os sistemas de detecção de intrusos são classificados

Arquitetura baseada na Localização

Arquitetura baseada no Alvo

- Network – NIDS (Network Intrusion Detection System)

Sistema de Prevenção de Intrusos (IPS)

- Uma desvantagem do IPS é a sua necessidade de capacidade de processamento

• Isso não ocorre no IDS, que é passivo.

- Outra característica importante a ser considerada em um IPS é a ação em casa de falha.

Rede Privada Virtual (VPN - Virtual Private Network)

- Os conceitos que fundamentam a VPN são a criptografia e o tunelamento.

• Os túneis podem ser criados de duas diferentes formas - voluntárias e

▪ No túnel compulsório, o computador do usuário não funciona como

Protocolos da Camada de Enlace

PPTP (Point-to-Point Tunelling Protocol) e L2TP (Layer 2 Tunelling

Protocolos da Camada de Rede

IPSec (IP Security Protocol)

- O IPSec combina diversas tecnologias diferentes de segurança em um sistema completo

• Algoritmos de encriptação para grandes volumes de dados, como o DES (Data

- Os requisitos de segurança podem ser divididos em 2 grupos, que são independentes

- Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

- Authentication Header (AH)

- Encapsulating Security Payload (ESP)

- Há dois modos de operação: modo de transporte (nativo) e modo túnel.

• No entanto, o cabeçalho da camada 4 (transporte) estará encriptado, limitando a

só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o

• Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de

- Gerenciamento de Chaves – IKE

• O acesso remoto seguro por meio da Internet.

Protocolos da Camada de Transporte

SSL (Secure Sockets Layer) e TLS (Transport Layer Security)

- A autenticação no SSL, normalmente, é unilateral e opcional, de forma que apenas o

- Como característica da camada de transporte, as comunicações entre os hosts no SSL

• Compression method: método de compressão utilizado na sessão;

- Além das sessões, o SSL guarda parâmetros sobre a conexão.

- O SSL (TLS) utiliza um protocolo de handshake, que funciona da seguinte maneira:

- O SSL (TLS) pode utilizar os seguintes algoritmos:

Protocolos da Camada de Aplicação