🔒 Security+ Capítulo 5

Segurança de Rede — Firewalls, VPN, NAC, Switches e mais

📚 0 Flashcards
❓ 75 Questões no Pool
✅ 0% Dominado
Card 1 de 15
0 dominados
🎲 Sessão com 15 cards aleatórios — pool total carregando...
FRENTE
Carregando...
👆 Clique para virar

📖 Resumo — Capítulo 5: Segurança de Rede

🎯 CONCEITOS CRÍTICOS PARA A PROVA:
  • Screened Subnet (DMZ) = 2 firewalls — se externo falha, só DMZ comprometida
  • VPN = MELHOR solução para acesso remoto seguro a recursos privados
  • Web server → DMZ | Database → LAN privada
  • NAC = Authentication E Authorization (zero-trust: ambos obrigatórios)
  • MAC Flooding → Port Security | ARP Spoofing → DAI | DHCP Spoofing → DHCP Snooping
  • SSH não Telnet | SCP não FTP/TFTP | HTTPS não HTTP
  • Fail-Open = disponibilidade | Fail-Closed = confidencialidade/integridade

1️⃣ Appliances de Segurança

  • Proxy Server: Store-and-forward. Forward: protege clientes. Reverse: protege servidores. Cache, filtragem, anonimato
  • Jump Server: Gateway fortemente protegido para acesso a sistemas isolados administrativos
  • Load Balancer: L4 (IP/porta) ou L7 (dados de aplicação). Tolerância a falhas. Pode incluir WAF
  • Sensor/Packet Sniffer: Passivo, atrás do firewall. Indetectável. Envia dados ao IDS (Snort, Suricata, Zeek)
  • UTM: All-in-one — firewall + IDS/IPS + antimalware + spam + VPN. PMEs. Ponto único de falha

2️⃣ Filtragem de Conteúdo

  • Agente (endpoint): Funciona fora da rede, controle granular (HTTPS/apps)
  • Centralizada (proxy): Categorização, reputação, URL scan. Desafio: HTTPS
  • DNS Filtering: Bloqueia resolução de nomes. Proativo. Simples e econômico. Protege IoT
  • Overblocking: Muito restritivo, bloqueia legítimos. Underblocking: Insuficiente, passa prejudiciais

3️⃣ Zonas de Segurança ⭐

  • Screened Subnet/DMZ: Buffer entre internet e LAN. Hospeda: web, email, DNS, FTP, VPN server
  • Intranet: LAN privada, uso interno exclusivo
  • Extranet: Entre internet e LAN, acesso para parceiros/fornecedores/clientes
  • Guest Network: Só internet, sem acesso à intranet
  • Bastion Host: Exposto e fortemente protegido: sem serviços desnecessários, patches completos
  • Dual-Homed Gateway: 3 interfaces — internet, DMZ, LAN
  • Air-Gapped: Isolamento físico total. Root CA PKI, análise de malware, militar

4️⃣ Tecnologia Enganosa

  • Honeypot: Sistema isca individual. Tipos: pesquisa (gov/militar) e produção
  • Honeynet: Rede completa de honeypots. Estuda comportamento avançado do atacante
  • Honeyfile: Arquivo isca (passwords.txt, IP_Assignments.xls). Dispara alarme ao ser acessado
  • Honeytoken: Credenciais falsas que disparam alertas quando usadas
  • DNS Sinkhole: Redireciona DNS malicioso para IP controlado. Limitação: só funciona se malware usa DNS interno
  • Fake Telemetry: Dados falsos (IPs, vulnerabilidades, credenciais) em resposta a sondas

5️⃣ Firewalls ⭐

  • Stateless: Cada pacote independente, sem rastrear sessão, menor overhead
  • Stateful: Rastreia sessões em state table. Todos os modernos são stateful
  • Layer 4: Examina TCP handshake (SYN/SYN-ACK/ACK), anomalias de sequência
  • Layer 7 / Application Gateway: Inspeciona headers + payload. DPI. Mais lento
  • NGFW: L7 + IPS + TLS inspection + integração com diretórios + cloud. Palo Alto 2010
  • WAF: Protege apps web. SQL Injection, XSS, DoS. Appliance ou plug-in
  • Host-based: Software no endpoint. Protege mesmo sem firewall de rede
  • Regras: Top-down. Específicas antes de gerais. Implicit deny no final
  • Tuples: Protocolo + IP origem + porta origem + IP destino + porta destino

6️⃣ VPN ⭐

  • Site-to-Site: Roteadores nas bordas. Hosts não sabem da VPN. Sempre ativa
  • Remote Access: Concentrador VPN. Múltiplas conexões simultâneas
  • Always-On: Sempre conectado, full tunnel, não pode desligar
  • Full Tunnel: Todo tráfego pela VPN. Mais seguro
  • Split Tunnel: Apenas tráfego corporativo pela VPN. Risco: bypass de políticas
  • IPsec AH: Hash (ICV), sem criptografia do payload
  • IPsec ESP: Criptografa payload
  • IPsec Transport: Host-to-host, apenas payload criptografado
  • IPsec Tunnel: Site-to-site, pacote inteiro criptografado + novo header
  • IKE Fase 1: Identifica peers, Diffie-Hellman, canal seguro
  • IKE Fase 2: Negocia cifras AH/ESP pelo canal seguro da Fase 1
  • IKEv2: Remote access, EAP/RADIUS, MOBIKE (troca Wi-Fi↔celular sem queda)
  • TLS VPN: Certificados digitais, RADIUS, DTLS sobre UDP
  • SD-WAN: Filiais + cloud. Criptografia, segmentação, roteamento inteligente
  • SASE: SD-WAN + segurança cloud. Zero trust, IAM, filtragem de conteúdo

7️⃣ NAC (Network Access Control) ⭐

  • Zero-Trust: Authentication E Authorization — ambos obrigatórios
  • Avalia: Versão SO, patches, antivírus, software de segurança
  • Agent-based: Software no dispositivo, info detalhada, auto-remediação
  • Agentless: DHCP fingerprint ou scan. Funciona com guests e IoT
  • Persistente: Instalado permanentemente. Não-persistente: Na memória, removido após avaliação
  • Dynamic VLAN: Não conforme → quarentena → remediação → reavaliado
  • Processo: Plan → Define → Apply → Review

8️⃣ Segurança de Switch ⭐

  • MAC Flooding: Enche tabela CAM → switch vira hub → sniffer captura tudo. Proteção: Port Security
  • ARP Spoofing: MAC do atacante = IP da vítima → MitM. Proteção: DAI
  • VLAN Hopping: Double tagging salta VLANs. Proteção: desabilitar DTP
  • DHCP Spoofing: DHCP falso dá gateway malicioso. Proteção: DHCP Snooping
  • MAC Spoofing: Falsifica MAC, bypass 802.1X/MAC filtering
  • 802.1X PNAC: Supplicant → Authenticator (switch, só EAPoL) → Authentication Server (RADIUS)
  • VLAN: Segmentação lógica. Cada porta = 1 VLAN. Precisa roteador/L3 para inter-VLAN
  • Trunk Port: 802.1Q tagging. Membro de todas as VLANs
  • STP: Previne loops. Estados: Blocking → Listening → Learning → Forwarding. Disabled
  • DTP: Não seguro! Desabilitar em todas as portas de usuário

9️⃣ Segurança de Roteadores

  • Usar: SSH, SCP, HTTPS. Evitar: Telnet, FTP, TFTP, HTTP (texto claro)
  • Anti-spoofing: Bloqueia pacotes externos com IP de origem interno (inbound, deny)
  • ACL Standard (1-99): Filtra IP origem. Posicionar perto do DESTINO
  • ACL Extended (100-199): IP origem/destino + porta + protocolo. Posicionar perto da ORIGEM
  • Segmentação: Divide em subnets. Limita propagação de ataques. Isola worms/ransomware
  • Hardening: Mudar defaults, atualizar firmware, segurança física, logging, ACLs

🔟 Vulnerabilidades e Application Security

  • Default Credentials: Mudar imediatamente — são públicas na internet
  • Privilege Escalation: Bug/falha de design → acesso não autorizado a funções admin
  • Backdoor: Senha hard-coded ou conta oculta. Adicionada por devs ou atacantes
  • Zero-Day: Falha desconhecida, sem patch. Antivírus/firewall tradicionais ineficazes. Valem milhões
  • Responsible Disclosure: Pesquisador avisa o vendor em privado antes de divulgar
  • Flag: Permite mas registra violação. Block: Nega (TCP reset / UDP drop). Tarpit: Mantém conexão viva, descarta dados silenciosamente
  • SBOM: Lista de componentes do software. SCA: Identifica vulnerabilidades em dependências. Compara com NVD

🎯 DICAS FINAIS PARA A PROVA:

  • Screened subnet = 2 firewalls — resposta quase sempre correta na prova
  • VPN = MELHOR para acesso remoto a recursos privados
  • MAC Flooding → Port Security | ARP Spoofing → DAI | DHCP Spoofing → DHCP Snooping
  • Inter-VLAN precisa de roteador ou switch L3
  • Zero-day: antivírus e firewalls tradicionais são ineficazes
  • NAC = Authentication E Authorization (zero-trust)
  • DTP = não seguro, desabilitar em portas de usuário
  • Fail-Open = disponibilidade | Fail-Closed = confidencialidade
  • IPsec Tunnel mode = pacote inteiro criptografado + novo header
  • IKEv2 + MOBIKE = mantém VPN ao trocar Wi-Fi ↔ celular

Quiz — Capítulo 5

Sessão com 15 questões aleatórias | Passing Score: 80% (12/15)

🎉

Resultado

0%