Resumo Security+ Capítulo 5 - Arquitetura e Segurança de Redes

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:

Screened Subnet (DMZ): 2 firewalls, se externo falha = só DMZ comprometida
VPN = MELHOR para acesso remoto seguro a recursos privados
NAC = Authentication E Authorization (zero-trust)
Fail-Open: prioriza disponibilidade | Fail-Closed: prioriza confidencialidade
802.1X: Autenticação baseada em porta (EAP + RADIUS)

1️⃣ Appliances de Segurança

Proxy Server

Age em nome do cliente ao acessar recursos na internet
Trabalha com modelo store-and-forward (desconstrói, analisa e reconstrói pacotes)
Benefícios: Gerenciamento de tráfego, proteção/anonimato (mascara IPs), cache, filtragem, balanceamento de carga

Jump Server

Servidor fortificado que fornece acesso a outros hosts
Usado para tarefas administrativas
Gateway para sistemas isolados da rede externa
Alto nível de segurança e controle de acesso

Balanceador de Carga (Load Balancer)

Distribui tráfego entre múltiplos servidores
Fornece tolerância a falhas
Tipos:
- Layer 4: Decisões baseadas em IP e portas TCP/UDP
- Layer 7: Decisões baseadas em dados da camada de aplicação
Pode incluir WAF (Web Application Firewall)

Sensor (Packet Sniffer)

Colocado atrás de firewall ou perto de servidor importante
Identifica tráfego malicioso que passou pelo firewall
Transfere dados capturados para IDS (Snort, Suricata, Zeek)
Sensor passivo - não desacelera tráfego e é indetectável

UTM (Unified Threat Management)

Múltiplas funções de segurança em um único dispositivo
Funcionalidades: Filtragem URL, inspeção de conteúdo, filtragem spam, firewall, IDS/IPS, switch, router
Desvantagens: Ponto único de falha, latência, desempenho inferior a soluções dedicadas
Comum em pequenas/médias empresas

2️⃣ Modos de Falha

Modo	Descrição	Risco
Fail-Open	Preserva acesso à rede/host. Prioriza DISPONIBILIDADE.	Atacante pode forçar falha para contornar controle
Fail-Closed	Bloqueia acesso ou entra em estado mais seguro. Prioriza CONFIDENCIALIDADE.	Downtime do sistema

3️⃣ Filtragem de Conteúdo

Servidor de Filtragem de Conteúdo

Configurações: Permitir tudo exceto banido OU Bloquear tudo exceto permitido
Controles: níveis de segurança, listas de permissão/negação

Filtragem Web - Abordagens

Abordagem	Descrição	Vantagens
Baseada em Agente	Software instalado em cada endpoint	Funciona fora da rede corporativa, controle granular (HTTPS)
Centralizada (Proxy)	Servidor proxy centralizado	Escaneamento URL, categorização, reputação

Desafios da Filtragem

Overblocking: muito restritivo
Underblocking: permite conteúdo prejudicial
Tráfego criptografado (HTTPS)

Filtragem DNS

Bloqueia/permite acesso controlando resolução de nomes
Benefícios: Defesa proativa contra phishing/malware, aplica políticas AUP, protege IoT, solução econômica
Deve ser combinada com outras medidas

4️⃣ Zonas de Segurança

Screened Subnet (DMZ)

Rede pública acessível como buffer
Usa um ou dois firewalls
Hospeda: email, VPN, web servers
Servidores como bastion host (fortificados)

Intranet

Rede privada (LAN) com serviços de internet
Uso interno apenas

Extranet

Rede privada entre internet e LAN
Acesso a parceiros, fornecedores

Wireless / Guest

Wireless: usuários internos via Wi-Fi
Guest: visitantes, só internet com firewall

Honeypots e Tecnologias Enganosas

Tipo	Descrição
Honeypot	Sistema isca que imita sistemas reais. Tipos: pesquisa (governo/militar) e produção (organizações)
Honeynet	Rede isca com múltiplos honeypots
Honeyfile	Arquivo único (passwords.txt) que dispara alarme ao ser acessado
Honeytoken	Credenciais falsas para distrair atacantes
DNS Sinkhole	Redireciona tráfego malicioso para IP controlado. Limitação: malware deve usar DNS da organização
Fake Telemetry	Retorna dados falsos (IPs, credenciais) para rastrear atacantes

5️⃣ Screened Subnet (DMZ) - Detalhado

⚠️ REGRA DE OURO:

Firewall Externo: Internet → DMZ (permite tráfego para serviços)
Firewall Interno: DMZ → LAN (bloqueia praticamente tudo)
Se firewall EXTERNO falha → Apenas DMZ comprometida (LAN protegida!)

Termos Relacionados

Bastion Host: Host exposto e fortificado. Medidas: uma aplicação por servidor, patches, firewall pessoal, remover serviços desnecessários.
Screening Router: Roteador mais externo com ACLs
Dual-Homed Gateway: Firewall com 3 interfaces (Internet, DMZ, LAN)
Screened-Host Gateway: Na DMZ, requer autenticação

6️⃣ Firewalls

Tipos de Firewall

Tipo	Descrição
Host-Based	Inspeciona tráfego do host. Proteção quando não há firewall de rede
Network-Based	Hardware na borda da rede privada
WAF	Protege servidores web contra SQLi, XSS, DoS
NGFW	Layer 7 + TLS inspection + IPS + integração diretórios
UTM	Tudo-em-um: firewall + antimalware + IPS + spam + VPN
Stateless	Filtra pacotes independentes, não rastreia sessões
Stateful	Rastreia sessões em state table. Todos firewalls modernos
Layer 4	Examina handshake TCP, rastreia UDP
Layer 7	Inspeciona headers + payload, verifica protocolo × porta

ACLs e Regras

Processadas de cima para baixo
Regras mais específicas no topo
Tuples: protocolo, IP origem/destino, porta origem/destino
Implicit Deny: última regra bloqueia tudo não permitido

7️⃣ VPN (Virtual Private Network)

Tipos de Túnel

Full Tunnel: Todo tráfego vai pela VPN
Split Tunnel: Apenas tráfego corporativo vai pela VPN

Implementações VPN

Tipo	Descrição
Host-to-Host	Host individual conecta a outro host
Site-to-Site	Roteadores nas bordas, hosts não sabem da VPN
Remote Access	Concentrador VPN aceita múltiplas conexões
Always-On	Usuário sempre na VPN, não desliga

Protocolos VPN

TLS VPN: Certificados digitais, autenticação mútua, RADIUS
IPsec: Opera camada 3, menor overhead
AH (Authentication Header): Hash criptográfico, sem confidencialidade
ESP (Encapsulating Security Payload): Criptografa payload

Modos IPsec

Transport Mode: Apenas payload criptografado (IP header não)
Tunnel Mode: Pacote IP completo criptografado e encapsulado

IKE (Internet Key Exchange)

Phase I: Estabelece identidade, Diffie-Hellman, canal seguro
Phase II: Estabelece cifras para AH/ESP

8️⃣ NAC (Network Access Control)

🔑 ZERO-TRUST: NAC = Autenticação E Autorização. Se falhar qualquer, nega acesso.

Processo de Duas Etapas

Autenticação: Define pré-requisitos (antivírus, SO, patches)
Autorização: Aplica políticas apropriadas

Atribuição Dinâmica de VLAN

Dispositivo não conforme → VLAN de quarentena
Após remediação → reavaliado → VLAN normal

Agente vs Agentless

Baseado em Agente	Agentless
Software instalado	Controle por porta/scan
Informações detalhadas	Menos detalhado
Remediação automática	Funciona com guests/IoT

9️⃣ Segurança de Switch

VLANs

Agrupamento lógico de computadores por portas
Cada porta pertence a uma VLAN
Trunk Port: Conecta switches, membro de todas VLANs (tagging 802.1Q)
Inter-VLAN precisa de roteador ou switch Layer 3

Segurança de Porta

Limita dispositivos por endereço MAC
Pode descartar frames ou desligar porta em violação

802.1X (Port Authentication)

Supplicant: dispositivo solicitante
Authenticator: switch (condutor)
Authentication Server: RADIUS valida credenciais
EAPoL: EAP over LAN

Ataques a Switches

Ataque	Descrição	Proteção
MAC Flooding	Inunda tabela CAM, switch vira hub	Port Security
ARP Spoofing	Associa MAC atacante ao IP vítima	DAI
MAC Spoofing	Muda MAC de origem	802.1X

Spanning Tree Protocol (STP)

Previne switching loops
Mantém caminhos redundantes (tolerância a falhas)
Portas: Root, Designated, Blocked

🔟 Segurança de Roteadores

Medidas de Hardening

Mudar defaults: senha, endereço de rede
Protocolos seguros: SSH (não Telnet), SCP (não FTP), HTTPS (não HTTP)
Atualizar firmware (primeira ação!)
Regras anti-spoofing: bloquear pacotes externos com IP interno
ACLs: filtro em nível de roteador
Segurança física: sala trancada (senha não protege acesso físico)

Segmentação

Divide sistemas em segmentos/sub-redes
Controles de acesso distintos por segmento
Limita movimento lateral de atacantes
Protege contra worms e ransomware

1️⃣1️⃣ SD-WAN e SASE

SD-WAN

Conecta filiais, datacenters e cloud
Criptografia em trânsito
Segmentação por prioridade
Roteamento inteligente
Integração com firewalls

SASE

WAN + segurança cloud
Zero trust
IAM
Prevenção de ameaças
Acesso seguro independente de localização

💡 DICAS FINAIS PARA PROVA:

Screened subnet = 2 firewalls SEMPRE na prova
VPN = melhor para acesso remoto seguro
Nova ACL = bloqueia tudo por padrão (implicit deny)
NAC = Authentication E Authorization (zero-trust)
MAC flooding → Port Security
ARP spoofing → DAI
802.1X usa RADIUS + EAP
Fail-Open = disponibilidade | Fail-Closed = confidencialidade
SSH não Telnet, SCP não FTP
Physical access sem controle = passwords inúteis