🏛️ Domínio 2

Arquitetura e Design de Segurança

📚 85 Flashcards
❓ 40 Questões
✅ 0% Dominado
Card 1 de 85
0 dominados
FRENTE
👆 Clique para virar

📖 Resumo - Domínio 2: Arquitetura e Design

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
  • Defesa em Profundidade: Múltiplas camadas de segurança
  • Screened Subnet (DMZ): 2 firewalls, se externo falha = só DMZ comprometida
  • VPN = MELHOR para acesso remoto seguro a recursos privados
  • NAC = Authentication E Authorization (zero-trust)
  • Hypervisor Type 1: Bare metal (ESXi, Hyper-V) | Type 2: Hosted (VirtualBox)

1️⃣ Arquitetura de Rede e Defesa em Profundidade

Modelo OSI Essencial

Camada 7
Aplicação: HTTP, FTP, SMTP, DNS. Interação com usuário.
Camada 4
Transporte: TCP (confiável), UDP (não confiável), portas.
Camada 3
Rede: Roteadores, IP addresses, roteamento.
Camada 2
Enlace: Switches, APs, endereços MAC.
Camada 1
Física: Cabos, sinais elétricos/ópticos, wireless.

Three-Tier Architecture

  • Core Layer: Backbone alta velocidade, roteamento entre segmentos
  • Distribution Layer: Políticas, ACLs, filtragem, agregação
  • Access Layer: Conecta usuários finais, switches de acesso

Tipos de Controles em Profundidade

ControleDescrição
PreventivoFirewall na borda (bloqueia antes de entrar)
DetectivoIDS dentro do perímetro (alerta sobre ameaças)
CorretivoLoad balancer (mitiga DDoS), endpoint protection
Fail-OpenMantém acesso → prioriza AVAILABILITY
Fail-ClosedBloqueia acesso → prioriza CONFIDENTIALITY

2️⃣ Screened Subnet (DMZ) ⭐ CRÍTICO

⚠️ REGRA DE OURO:
  • Se firewall EXTERNO falha → Apenas DMZ comprometida (LAN protegida!)
  • Web server público → DMZ
  • Database → LAN privada (firewall interno permite só tráfego do web)
  • VPN server → pode ficar na DMZ

Conceitos Chave

  • Dual-Homed Gateway: 3 interfaces (internet, DMZ, LAN)
  • Screening Router: Router + firewall (ACLs), mais externo
  • Bastion Host: Servidor fortificado exposto à internet
  • Screened-Host Gateway: Na DMZ, requer autenticação

3️⃣ Firewalls e VPN

Tipos de Firewall

  • Stateless (Packet Filter): Analisa cada packet independente, IP/porta/protocolo
  • Stateful: Rastreia estado de conexões TCP, state table
  • NGFW: Firewall + IPS + DPI + TLS inspection + threat intel
  • WAF: Web Application Firewall - SQL Injection, XSS, CSRF
  • UTM: All-in-one (firewall + antimalware + IPS + spam + VPN)

VPN

Site-to-Site

Conecta redes (matriz-filial), sempre ativa

Remote Access

Usuários individuais → VPN concentrator

Split Tunnel

Corporativo via VPN, resto via internet (RISCO)

Full Tunnel

Todo tráfego via VPN (mais seguro)

Protocolos VPN

  • IPSec: Transport mode (host-to-host) vs Tunnel mode (site-to-site)
  • AH: Authentication Header, ICV hash, sem criptografia
  • ESP: Encapsulating Security Payload, criptografa
  • L2TP/IPSec: L2TP tunneling + IPSec encryption
  • TLS VPN: Certificados digitais, mutual auth, porta 443

4️⃣ Switch e Router Security

Ataques em Switches

AtaqueDescriçãoProteção
MAC FloodingInunda CAM table → switch vira hubPort Security
ARP SpoofingAssocia MAC atacante ao IP vítima (MitM)DAI
VLAN HoppingSalta entre VLANs (double tagging)Desabilitar DTP
DHCP SpoofingDHCP falso fornece gateway maliciosoDHCP Snooping

ACLs em Roteadores

  • Standard (1-99): Filtra apenas IP origem, perto do DESTINO
  • Extended (100-199): IP origem/dest + portas + protocolo, perto da ORIGEM
  • Wildcard Mask: Inverso subnet mask (0=match, 255=ignore)
  • Nova ACL: Por padrão BLOQUEIA TUDO (implicit deny)

5️⃣ Virtualização e Cloud

Hypervisors

TipoDescriçãoExemplos
Type 1 (Bare Metal)Executa diretamente no hardwareVMware ESXi, Hyper-V, Xen
Type 2 (Hosted)Executa sobre sistema operacionalVirtualBox, Workstation

Ameaças em Virtualização

  • VM Sprawl: Proliferação descontrolada de VMs
  • VM Escape: Ataque onde VM compromete hypervisor
  • Container Escape: Similar, mas em containers

Modelos de Serviço Cloud

SaaS

Software como Serviço
Gmail, Office 365

PaaS

Plataforma como Serviço
Heroku, Google App Engine

IaaS

Infraestrutura como Serviço
AWS EC2, Azure VMs

Modelos de Implantação

  • Public Cloud: Recursos compartilhados (multi-tenant). AWS, Azure.
  • Private Cloud: Nuvem exclusiva da organização. Mais controle.
  • Hybrid Cloud: Combinação de pública e privada.
  • Community Cloud: Compartilhada por organizações com interesses comuns.

6️⃣ SDN e Virtual Networking

SDN (Software-Defined Networking)

  • Control Plane: Tomada de decisão (roteamento). Centralizado.
  • Data Plane: Encaminhamento de pacotes. Segue regras do control plane.
  • Northbound API: Comunicação control plane → aplicações (REST).
  • Southbound API: Comunicação control plane → data plane (OpenFlow).

Virtual Networking

  • vSwitch (Virtual Switch): Switch virtual que conecta VMs entre si e com rede física.
  • NIC Teaming (Bonding): Agregação de múltiplas NICs para balanceamento e failover.
  • VLAN: Segmentação lógica de rede.

7️⃣ NAC e Zero Trust

NAC (Network Access Control)

  • Autentica usuários/devices E verifica compliance (antivirus, patches, OS) antes de permitir acesso.
  • Agent-based: Software no device, info detalhada, auto-remediation.
  • Agentless: Port-based/scan, funciona com guests/IoT.
  • Dynamic VLAN: NAC atribui VLAN por compliance, quarantine se necessário.

Zero-Trust Security

  • "Never trust, always verify"
  • Microsegmentation: Firewall entre workloads
  • Least privilege: Acesso mínimo necessário
  • MFA everywhere

8️⃣ Wireless Security

Padrões Wi-Fi

PadrãoSegurança
WPA3SAE (Simultaneous Authentication of Equals). Mais seguro.
WPA2AES-CCMP. Vulnerável a KRACK, mas ainda usado.
WPATKIP (inseguro).
WEPTotalmente inseguro, quebrado em minutos.

Ataques Wi-Fi

  • Evil Twin: AP falso com mesmo SSID. MITM.
  • Rogue AP: AP não autorizado na rede.
  • Deauth Attack: Força desconexão de clientes.
  • WPS Attack: PIN de 8 dígitos vulnerável a brute force.

Proteções Wi-Fi

  • WIPS: Wireless IPS detecta rogue APs e evil twins.
  • 802.1X (Enterprise): RADIUS + EAP para autenticação corporativa.
  • Disable WPS: WPS é vulnerável.

9️⃣ Hardening de SO

  • Remover software desnecessário - reduz superfície de ataque
  • Desabilitar serviços não usados - menos portas abertas
  • Patches e updates automáticos - correção de vulnerabilidades
  • Firewall habilitado - controle de tráfego
  • Princípio do menor privilégio - mínimas permissões necessárias

NTFS Permissions (Windows)

  • Read, Write, Execute, Modify, Full Control
  • Deny sempre prevalece sobre Allow
  • Explicit > Inherited (permissões explícitas têm prioridade sobre herdadas)

Linux Security

  • iptables: firewall do Linux. Chains: INPUT, OUTPUT, FORWARD
  • SELinux: MAC (Mandatory Access Control) no Linux
🎯 DICAS FINAIS PARA PROVA:
  • Screened subnet = 2 firewalls SEMPRE na prova
  • VPN = melhor para acesso remoto seguro
  • Nova ACL = bloqueia tudo por padrão (implicit deny)
  • NAC = Authentication E Authorization (ambos)
  • MAC flooding → Port Security | ARP spoofing → DAI
  • Hypervisor Type 1: ESXi, Hyper-V | Type 2: VirtualBox
  • SaaS: cliente não gerencia nada | IaaS: gerencia OS+app+dados
  • WPA3 > WPA2 > WPA > WEP

Quiz — Sessão de 15 Questões

Pool completo • Nova sessão sorteia 15 aleatórias • Passing Score: 80%

🎉

Resultado

0%