Aula 01

Engenharias

Daécio Batista

em 19/12/2025

Conteúdos escolhidos para você

123 pág.

Resultado - Segurança de rede (versão 1 0) - Respostas completas do exame final

ESTÁCIO

18 pág.

Certificação Security - da prática para o exame SY0-401

254 pág.

Segurança de Rede: Ameaças e Proteção

Perguntas dessa disciplina

Uma empresa, durante a auditoria interna, identificou incidentes recorrentes de lentidão em estações de trabalho, aumento de tráfego de rede e falh...

UNEC

No cenário contemporâneo de hiperconectividade, as organizações enfrentam um aumento exponencial na sofisticação de códigos maliciosos. Segundo o r...

UNIMAR

Questão 08 Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas...

Anhanguera

A segurança da rede e a proteção dos dados em trânsito são cruciais no home office, visto que o profissional está utilizando uma infraestrutura de int

FADAP

Questão 1/10 Segurança em Sistemas de Informação 1» Ler em voz alta A segurança da informação e dos sistemas que fazem uso da internet está ligada à s

Material

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Aula 01
Polícia Federal (Perito Criminal - Área 3
-Tecnologia da Informação) Segurança
da Informação
Autor:
André Castro, Equipe Informática
e TI
24 de Maio de 2023
05068333301 - Luis Robert junior
André Castro, Equipe Informática e TI
Aula 01
Índice
..............................................................................................................................................................................................1) Equipamentos de Segurança - Completo 3
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
2
138

Sumário
Firewall ............................................................................................................................................................... 3
Principais conceitos ........................................................................................................................................ 8
Classificação dos Firewalls ........................................................................................................................... 10
Iptables ......................................................................................................................................................... 21
Protocolo ICAP .............................................................................................................................................. 31
Metodologias de Detecção ........................................................................................................................... 35
IDS................................................................................................................................................................. 38
IPS ................................................................................................................................................................. 41
AntiSpam........................................................................................................................................................... 45
AntiVirus ............................................................................................................................................................ 50
DLP – Data Loss Prevention ............................................................................................................................... 50
E-mail DLP ..................................................................................................................................................... 53
Network DLP ................................................................................................................................................. 54
Endpoint DLP ................................................................................................................................................. 54
Storage DLP .................................................................................................................................................. 55
Cloud DLP...................................................................................................................................................... 56
Arquitetura Zero Trust ....................................................................................................................................... 60
SIEM - Security Information and Event Management ....................................................................................... 63
Questões Comentadas ...................................................................................................................................... 65
Firewall ......................................................................................................................................................... 65
Iptables ......................................................................................................................................................... 72
PROXY .......................................................................................................................................................... 78
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
3
138

IDS/IPS .......................................................................................................................................................... 79
Questões Comentadas Complementares........................................................................................................... 85
FIREWALL/IPTABLES ...................................................................................................................................... 85
Lista de Questões ............................................................................................................................................ 105
Firewall/Iptables ........................................................................................................................................ 105
Iptables ....................................................................................................................................................... 108
PROXY ........................................................................................................................................................ 111
IDS/IPS ........................................................................................................................................................ 111
Lista de Questões Complementares ................................................................................................................ 115
Firewall/Iptables ......................................................................................................................................... 115
Gabarito ......................................................................................................................................................... 128
Gabarito – Questões CESPE ........................................................................................................................ 128
Gabarito – Questões Complementares ...................................................................................................... 129
Resumo ............................................................................................................................................................ 130
Considerações Finais ....................................................................................................................................... 135

FIREWALL
Falaremos agora de um componente de rede extremamente importante sob a ótica da segurança das redes
de comunicação, que é o firewall.
A tradução pura do termo Firewall é parede de fogo. Em um cenário natural, temos que ele é o responsável
por não deixar o incêndio ser propagado para dentro da rede a qual ele serve como elemento de proteção.
Por esse motivo, dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos
pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada.

Ano: 2021 Banca: CESPE / CEBRASPE Órgão: SEFAZ-CE Provas: CESPE / CEBRASPE - 2021 - SEFAZ-
CE - Auditor Fiscal da Receita Estadual
Em um firewall corretamente instalado e configurado, toda troca de dados entre a rede interna e a
rede externa de uma organização deve passar
Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
40
138

CESPE / CEBRASPE - 2022 - DPE-DF - Analista de Apoio à Assistência Judiciária – Redes
Um IDS (intrusion detection system), quando disponibilizado para oferecer detecção somente no
servidor da rede onde ele está instalado, é denominado NIDS (network intrusion detection system).
Comentários:
Muito cuidado com as palavras pessoal. Vejam que o foco é no servidor, e não na rede propriamente
dita. A Banca colocou a palavra “rede” apensar para confundir. Então, como o monitoramento será no
próprio equipamento, no caso o servidor, teremos um HIDS e não um NIDS, como afirma a questão.

Gabarito: Errado

Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS. Esses são
chamados de Hybrid IDS ou IDS híbrido.
Além disso das classificações acima, podemos classificar o IDS em categorias conforme seu posicionamento na
rede e modo de ação. Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego
diretamente, não sendo capaz, portanto, de bloquear o tráfego, conforme verificamos na imagem abaixo:

Ainda assim, podemos classificá-lo em modo passivo ou reativo. O primeiro, simplesmente identificará o
ataque, gerará logs e alertas acusando o acontecido. Caberá então ao administrador de rede atuar para
bloquear o ataque.
Já em modo reativo, também será capaz de identificar, gerar log e alerta, entretanto, será capaz de enviar
comandos para o firewall ou outros sistemas para alterar suas regras de funcionamento de forma automática
para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já ocorreu. Bloqueou-se ataques futuros
com a mesma característica, porém, algo danoso já poderá ter ocorrido. Por esse motivo, chamamos de modo
reativo.
E aqui gostaria de trazer para vocês uma dificuldade de entendimento da banca CESPE. O CESPE não
considera o procedimento reativo como um tipo de bloqueio de tráfego padrão. Para esta banca, isto é
característica do IPS, conforme veremos a seguir.

CESPE – TJ-AC/Técnico Judiciário – Informática/2012
O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede
que, respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para
Internet.

Comentários:
Ambos podem ser sim considerados ferramentas de rede, lembrando que também podem ser baseadas
em host ou pilha. De fato, o IPS protege a rede contra-ataques externos. Entretanto, nada tem a ver o
IDS com antivírus em cloud.

Gabarito: Errado

CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico - Tecnologia e Informação
Um firewall pode ser configurado para avisar o IDS de potenciais ataques e para que o sistema dê
uma rápida resposta e bloqueie os pacotes de fonte suspeita.
Comentários:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
42
138

Inversão de papeis, certo pessoal? O IDS pode ser configurado para avisar o firewall... Esse seria
o fluxo e procedimento correto.
Gabarito: Errado

IPS
Avançando um pouco mais na nossa discussão, chegamos finalmente ao IPS. Muitos consideram como sendo um
IDS de posicionamento in-line (em sequência), capaz de bloquear ataques de forma ativa e preventiva.
Vejamos a figura abaixo:

Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a
diferença do IPS (também conhecido como IDS Ativo) com o modo reativo do IDS, pessoal? No primeiro, busca-
se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe
agora bloquear posteriormente.

Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos
os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade.

CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico - Analista de Sistema - Suporte e Infraestrutura
A instalação de um software capaz de identificar e alertar uma intrusão em uma estação de trabalho
é considerada uma solução de prevenção a intrusão, mesmo que esse software não consiga
efetivamente impedir ou bloquear a ação maliciosa.
Comentários:
Não pessoal. Vejam que a questão foca na identificação e alerta. Ou seja, isso não é característica de
prevenção. Temos aí a mera detecção.

Gabarito: E

FGV - 2022 - TJ-TO - Técnico Judiciário - Informática
Acerca de sistemas de detecção de intrusos (IDS e IPS), assinale V para a afirmativa verdadeira e F
para a falsa.
( ) Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de
IDS baseados em comportamento.
( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a
detectar ataques.
( ) IPS baseados em assinatura trazem o risco de bloquear tráfego legitimo.
As afirmativas são, respectivamente,
A V, V, F.
B F, V, V.
C F, F, V.
D F, F, F.
E V, V, V.
Comentários:
Vamos aos itens pessoal:
I – De fato, o aprendizado de máquina, como técnica de aprendizagem contínua com base no histórico
dos comportamentos, tem sido utilizado em todos os equipamentos de segurança atualmente, e com o
IDS não é diferente.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
44
138

II – Outra verdade pessoal. Vimos na nossa teoria que o tráfego criptografado só é possível de ser
tratado nas pontas, ou seja, onde gera-se a criptografia e onde se descriptograda. Neste contexto,
quem é responsável por inspecionar esse tipo de tráfego é o HIDS e não o NIDS.
III – Em que pese esse risco seja bem menor quando comparado com o IPS baseado em comportamento,
o IPS baseado em assinatura não está isento desta característica.

Gabarito: E

VUNESP - 2021 – TJM-SP – Analista de Processamento
Em relação ao Sistema de Detecção de Intrusão (IDS – Intrusion Detection System) e ao Sistema de
Prevenção de Intrusão (IPS – Intrusion Prevention System) tem-se que
A o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto.
B o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede.
C o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos
administradores no caso de uma ameaça ser detectada.
D um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
E um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um
dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor.
Comentários:
Vamos aos itens:
a) Ao contrário pessoal. Na prática hoje, os IPS acabam incorporando as funções do IDS, naturalmente.
b) Esse seria o IPS, e não o IDS.
c) Agora estamos falando do IDS.
d) De fato, como vimos, tanto o IPS quanto o IDS utilizam os métodos de Assinatura e Comportamento.
e) Ele começa a descrever a metodologia de comportamento, mas ao final, associa os padrões de
identificação exclusiva, que é o método baseado em assinatura.
Então houve uma mistura de
conceitos.
Gabarito: D

Para efeito de implementação dos IDS’s, podemos considerar três técnicas básicas que podem ser utilizadas,
quais sejam:
1. Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior que as demais portas e
redireciona-se todo os tráfegos das demais portas a essa porta de maior banda, a qual estará conectada
um IDS para coletar os dados e analisá-los.
2. Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um simples hub entre o host que se
deseja monitorar o tráfego e o switch com vistas a realizar uma cópia de modo não intrusiva dos dados e
remeter a um IDS.
3. Port Mirror: Faz-se o espelhamento de uma porta específica de um switch para uma outra porta a qual
estará conectada o IDS.
Percebam que as três técnicas mantêm o princípio de um IDS de não interferir diretamente no tráfego, ou seja,
é um posicionamento paralelo na rede, evitando inclusive que o IDS seja capaz de barrar tráfego indesejado
por si só, como faria um IPS posicionado de forma serial.

Um novo conceito que tem aparecido em provas é o WIPS (Wireless Intrusion Prevent System).
Esse dispositivo é capaz de monitorar o espectro de ondas de rádio de tal forma que se pode identificar
pontos de acesso que estejam tentando utilizar canais não autorizados.
Uma vez que seja detectado, passa-se a atuar normalmente como um IPS, bloqueando o tráfego diretamente
ou passando tal função ao firewall da rede.

CESPE – Polícia Federal/Perito Criminal Federal/2013
O WIPS (Wireless Intrusion Prevention System) é um dispositivo que monitora o espectro de ondas
de rádio, buscando identificar a presença de pontos de acesso não autorizados. Ao detectar a
presença de sinais de rádio não autorizados, o WIPS pode enviar alerta ao administrador ou
ao firewall da rede para prevenir possíveis ataques.
Comentários:
Exatamente conforme vimos na nossa teoria, certo?
Gabarito: C
ANTISPAM

Atualmente, esse tem sido um tópico muito cobrado nas provas. Portanto, vamos verificar as diversas técnicas
que têm sido implementadas:

Lista de Bloqueio – Método mais simples e básico de implementação. O bloqueio pode ser efetivado tanto
em MUA’s quanto MTA’s baseado em endereços IP de servidores ou usuários suspeitos. Não possui recursos
de verificação de conteúdo.
Essas listas podem ser compartilhadas entre diversos nós. Na prática, tem-se nós centralizados e de confiança
que estão constantemente atualizando e distribuindo essas listas. Essa técnica está sujeita a geração de falsos
positivos, ou seja, endereços legítimos podem ser bloqueados de forma indevida.
Existem os seguintes tipos básicos de listas:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
47
138

o Blacklists (Listas Negras): Os endereços pertencentes a essas listas serão bloqueados. Todas as
demais mensagens estarão liberadas para trafegar. Geralmente, os MTA’s e PROXIES abertos
figuram nessas listas.
Como vimos, diversos servidores corporativos são conhecidos e disponibilizam essas listas para livre
utilização. Alguns podem cobrar como um serviço de conhecimento especializado.
o Whitelists (Listas Brancas): Lista permissiva, ou seja, é o inverso da BLACKLIST. Os endereços
pertencentes a essas listas são considerados legítimos não sendo necessário a verificação e
validação destes.

o Greylists: É uma técnica que conjuga características das duas técnicas anteriores. São implementadas
nos MTA’s exclusivamente. Para que uma mensagem seja devidamente enviada, depende de um
reenvio por parte de um servidor legítimo.
Filtros de Conteúdo
Uma das técnicas mais conhecidas e eficientes. Possui a capacidade de atuar de forma dinâmica, incluindo na
sua verificação o conteúdo e anexo das mensagens trafegadas. Seu princípio de funcionamento reside na
busca de padrões de e-mails categorizados como SPAM.
Possui certa similaridade de funcionamento quando comparado ao IPS para tráfego de rede. Pode-se também
gerar falsos positivos. Além disso, tem-se um alto custo de processamento, uma vez que todas as mensagens
devem ser verificadas.
O principal filtro utilizado é o filtro bayesiano. Este filtro utiliza probabilidades e estatísticas com o objetivo
de aprender de forma dinâmica e prever o futuro, ou seja, detectar possíveis mensagens falsas.

Técnica SPF (Sender Policy Framework)
Conforme vimos, um tipo de ataque é o spoofing de e-mail, ou seja, a falsificação do remetente. É nesse
cenário que foi criado a técnica SPF. O seu princípio básico é buscar garantir a legitimidade do remetente. É
capaz de combater a falsificação de endereços de retorno dos e-mails (return-path), através da validação de
endereços IP’s.
Utiliza o conceito de criação de políticas SPF. Essas políticas visam delimitar os endereços autorizados a enviar
e-mails dentro de regras muito bem estabelecidas de aceitação desses e-mails. Essas duas características são
independentes, podendo ser usadas em conjunto ou não.
O SPF implementa ainda a técnica SRS (Sender Rewriting Scheme). Permite ao MTA intermediário (relay)
reescrever o endereço do remetente no envelope e encapsule o endereço original. Esse fato evita que
mensagens redirecionadas sejam bloqueadas por outros MTA’s intermediários, uma vez que o endereço do
relay é confiável.

FCC – MPE-PE/Técnico Ministerial – Informática/2012
Um firewall de filtragem de pacotes examina cada datagrama individualmente, determinando se ele
deve passar ou ficar retido baseado nas regras específicas do administrador.

As decisões de filtragem podem ser baseadas em:
I. Endereço IP de origem e de destino.
II. Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF etc.
III. Porta TCP ou UDP de origem e de destino.
IV. Flag bits do TCP: SYN, ACK etc.

Está correto o que consta em
a) I, II, III e IV.
b) I e IV, apenas.
c) II e III, apenas.
d) I e II, apenas.
e) III e IV, apenas.

Comentário:
Pessoal, conforme vimos nas figuras dos campos que são considerados pelo firewall do tipo filtro de
pacotes, a questão está correta. A dúvida poderia surgir em relação ao item II. Perceba que o campo
TIPO de protocolo corresponde ao campo PROTOCOLO na imagem abaixo, ok?

Gabarito: A

Técnica DKIM (Domain Keys Identified Email)
Possui uma estrutura mais robusta baseada na autenticação com a utilização de chaves públicas. Dessa forma,
cada MTA pode utilizar sua chave privada para assinar as mensagens garantindo a autenticidade das
mensagens, e chave pública permite a verificação da assinatura.
Diferentemente do SPF, essa técnica averigua as informações de cabeçalho e de conteúdo, enquanto o SPF verifica
apenas o endereço IP.
Gerência da Porta 25
Essa é a técnica da vez, ou seja, é a metodologia que tem sido fortemente divulgada
e incentivada pelos
principais órgãos responsáveis pela segurança na Internet.
A seguir temos uma representação do modelo:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
50
138

É uma ação que depende da participação e interação dos provedores de acesso à Internet e as operadoras
de Telecomunicações. Os provedores de acesso WEB implementam a nova regra e política instruindo aos seus
clientes a forma de atuação.
A principal característica desse modelo é caracterizar o envio de e-mail em duas fases: Do usuário para o
provedor de acesso (Submissão) e comunicação direta entre os servidores de e-mail (Transporte).
Mail Submission Agent (MSA)
Camada de segurança que atua entre o MUA e o MTA. Como vimos, o SMTP usa como padrão a porta 25,
porém, nesse novo modelo, instrui-se a utilização da porta 587. A porta 25 passa a ser reservada para
comunicação entre os MTA’s de forma autenticada obrigatoriamente.
Mail Delivery Agent (MDA)
Essa camada é implementada no momento de entrega dos e-mails às caixas postais.

A seguir temos a representação do posicionamento desses agentes em uma comunicação:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
51
138

ANTIVIRUS
Pessoal, apenas para concluirmos os itens que aparecem em provas em termos de nomenclatura, temos os
ANTIVIRUS.
Conforme já vimos, os antivírus, inicialmente, trabalhavam com as características de assinaturas. Ou seja, busca-
se nas aplicações e programas códigos pré-determinados que coincidiam com as bases de vírus existentes.
Assim, ao verificar o fluxo dos programas, um antivírus seria capaz de detectar o código malicioso.
Atualmente, os antivírus já implementam os modelos comportamentais, conforme já mencionamos no contexto
do IDS e IPS.

DLP – DATA LOSS PREVENTION
Um assunto que tem começado a aparecer em prova de forma expressa e explícita é o DLP, ou Data Loss
Prevention. O referido assunto diz respeito, obviamente, em um sentido de tradução literal, à prevenção de
perda de dados.
Muitas das vezes abordamos esse assunto de forma mais ampla em um contexto de planos de continuidade
de negócio, que abordam aspectos muito mais complexos e sempre em caráter institucional. Basicamente nessa
perspectiva, estaríamos falando de redundâncias de estruturas de processamento de dados, com foco no
princípio da Disponibilidade, já assumindo que as rotinas de backups estivessem funcionando adequadamente
frente a um processo ou necessidade de restauração.
Acontece que quando falamos de DLP, nos concentramos em ações que envolvem a perspectiva de dados não
somente na ótica de Disponibilidade, mas principalmente da Confidencialidade.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
52
138

Destaca-se que o assunto é algo mais genérico e pode ser abordado em diferentes óticas, e muitas delas já
são naturalmente tratadas em assuntos de segurança ao longo de nossas aulas a dependes das disciplinas.
Então nesse bloco, consolidaremos esses conceitos e daremos alguns destaques a itens que possuem uma
aderência maior a cobrança em prova. A imagem a seguir nos traz essa visão mais ampla:

Fonte: https://www.imperva.com/learn/data-security/data-loss-prevention-dlp/
Então, reforçando, o foco é na privacidade, com vistas a evitar vazamentos de informações ou obtenção desses
dados por outros meios internos ou externos, que podem trazer prejuízos ou algum tipo de dano à instituição.
Conversaremos um pouco mais sobre essas questões.
Importante destacar ainda que a própria literatura também não tem um arranjo consolidado dos principais
conceitos e tipos. Então traremos aqui essas abordagens e perspectivas com vistas a subsidiá-los com essas
informações e não sermos surpreendidos no dia da prova.
Um ponto que merece destaque de imediato é a importância e necessidade do INVENTÁRIO E
CLASSIFICAÇÃO DOS DADOS da organização.

Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF -
Analista Jurídico - Analista de Sistema - Suporte e Infraestrutura
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
53
138

Para diminuir o risco de vazamento de dados devido à ação de softwares maliciosos em estações
de trabalho, é correto o uso de uma solução de antivírus com recursos de DLP (data loss prevention).
Comentários:
Perfeito pessoal. Vimos que uma das formas de implementação de Endpoint DLP é por meio dos
recursos de ANTIVIRUS modernos. Cabe desatacar que tais soluções, atualmente, embarcam múltiplas
funcionalidades, que não se restringe ao contexto de “vírus”. As soluções de antivirus modernas são
capazes de tratar questões malwares, spams, ddos, filtragem de pacotes, detecção/prevenção de
tráfego e softwares, entre outros. Nesses outros, se enquadram os serviços de DLP em endpoints.
Um outro ponto que merece destaque na questão é a vinculação, na ótica do vazamento ou ataque,
que ele pode ser dar por meio de malwares específicos, não dependendo de ações manuais ou diretas
de usuários maliciosos.

Gabarito: Certo

Inicialmente, vamos entender um pouco os principais tipos de DLP e suas características.

Antes de avançarmos para os comentários sobre esses diferentes tipos, é importante entendermos que a sua
forma de implementação ainda pode ser extremamente diversificada.
DLP
E-mail
Endpoint
CloudRede/
Network
Storage
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
54
138

“Como assim André?” Explico!

Quando falamos de e-mail DLP por exemplo, podemos implementá-lo por meio de firewalls, antivirus, antispam,
ou ainda appliance que implemente todas essas funcionalidades conjugadas. Então muito mais do que a forma,
trabalharemos os conceitos e características, mas sempre com essa sensibilidade que praticamente todos os
equipamentos, nos seus respectivos contextos, são capazes de implementar os recursos DLP. Um último exemplo,
é quando falamos de Network DLP, onde podemos usar firewalls da mesma forma, roteadores, IDP/IPS,
Proxies, entre outros.

Assim sendo, uma outra abordagem interessante que se aplica no contexto do DLP é a filosofia, já tratada em
outros pontos de segurança da informação, como as normas de Gestão de Segurança da Informação, de
dados em uso, dados em trânsito e dados em repouso.

Desta feita, as diferentes abordagens do DLP em torno de seus tipos e tecnologias, buscam, de alguma forma,
endereçar fragilidades e vulnerabilidades que podem culminar em vazamento de dados nessas perspectivas.
Esclarecidos esses pontos, vamos seguir para os principais tipos.

E-mail DLP
Neste contexto, basicamente devemos nos preocupar com todo tráfego de e-mails que entram e saem
da organização. Assim sendo, implementar ferramentas capazes de monitorar e filtrar esse tipo de tráfego é
fundamental nesse processo. Importante frisar que as mesmas técnicas geralmente utilizadas nos mecanismos
de defesa de segurança, como assinaturas e comportamentos, também podem ser aplicadas nesse contexto.
Deste modo, é razoável a implementação de regras orientadas a palavras chaves, análise de
contextos, comportamentos
de tráfego e fluxos de e-mails, entre outros. Importante destacar que há um desafio
maior ao considerar que em e-mails, é possível trafegar anexos e links com acessos internos.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
55
138

Tais tecnologias devem ser capazes de tratar esse tipo de tráfego com vistas a bloquear operações
suspeitas, ou ainda, colocá-los em regime de quarentena, com pendência de autorização com base em um
modelo supervisionado para liberação desses tráfegos suspeitos.

Network DLP
Trazendo agora a perspectiva das redes de computadores, deve-se ponderar os riscos associados ao
vazamento de informações em torno de todo o tráfego de dados que entra e sai da rede corporativa. Também
conhecidos como tráfegos dos tipos inbound e outbound.
Aqui, temos uma perspectiva já conhecida dos elementos de rede que realizam diversas ações de
monitoramento, com ações de detecção e prevenção, com possibilidades de implementação de regimes de
quarentena ou ainda bloqueios diretos.
Um ponto a ser observado é que a camada de Network DLP independe dos equipamentos e dispositivos
que utilizam a rede, pois geralmente tais regras são implementadas nas soluções de concentração de tráfego
(choke point). Um ponto a ser considerado ainda é a multiplicidade de redes ou arranjos topológicos que
devem ser considerados.
“Como assim André?”

Exatamente pessoal. Lembrando que muitas das vezes, em uma corporação minimamente estruturada,
temos VLAN's distintas, com segregações de tráfegos. Por exemplo, temos as redes com fio e sem fio. Redes
públicas, redes privadas de colaboradores comuns, rede de diretoria, rede corporativa para equipamentos
corporativos, rede sigilosa para tráfegos altamente sensíveis, entre outras possibilidades. Assim sendo, cada
contexto deve ser analisado com as implementações específicas de cada contexto.

Endpoint DLP
Na mesma perspectiva de segurança em Endpoints, estamos falando basicamente de implementar tais
camadas e recursos nos equipamentos mais próximos dos usuários, sejam corporativos ou não, mas que são
usados diretamente pelos colaboradores e membros de times corporativos. Ainda, no contexto de endpoints,
falamos de tablets, notebooks, celulares, desktops, relógios, entre outros!
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
56
138

Lembrando, estamos em uma era onde a convergência de ações da vida pessoal, profissional e
acadêmica tende a aumentar. Isso é, em um mesmo dispositivo, muitas vezes fazendo apenas chaveamento de
contas, utiliza-se os diversos serviços e recursos.
Dispositivos corporativos que também são usados para finalidades pessoais... Computadores de pais
que são usados por filhos, ou em um contexto familiar... Entre outras ações de compartilhamento. De forma
bem prática, imaginem que um documento está no computador que é compartilhado pelo marido e esposa,
ambos em domínio profissional. Ainda, ambos possuem contas corporativas da Microsoft, por exemplo, com
recursos do Outlook, Office 365 e OneDrive. Imaginem o risco de um documento da instituição da esposa, ser
incluído em algum tipo de repositórios ou ser disponibilizado no contexto corporativo do marido. Isso é muito
mais comum do que vocês pensam. Isso, obviamente, sem considerar os demais usos indevidos por outros
usuários não autorizados.
Essa é apenas uma das diversas perspectivas que a preocupação nos endpoints deve ocorrer.
Por esse motivo, há softwares e recursos específicos que a instituição pode utilizar para instalar nos
EndPoints, garantindo os critérios mínimos de segurança nesses equipamentos, em termos de seu uso, bem como
de suas configurações mínimas na ótica de eventuais vulnerabilidades ou fragilidades existentes. Neste último
quesito, é possível que o software busque garantir a presença de um antivírus atualizado, firewall devidamente
configurado, além de outras baselines a serem consideradas de softwares específicos ou padrões de segurança.
Uma outra perspectiva interessante que deve ser considerado é o tratamento dos dados e uso desses
dispositivos mesmo que em um regime local ou offline. Como exemplo, podemos citar a possibilidade de um
documento sensível de uma instituição, disponível em um destes equipamentos, e que, em algum momento, foi
tentado uma cópia para um dispositivo USB, como um pendrive, por exemplo. Há soluções atualmente que
também atuam sobre esse cenário, zelando pela segurança institucional em torno dos dados.
Obviamente, um grande desafio na gestão da segurança e DLP associada aos endpoints é a
administração dessas soluções, muitas vezes dependendo de ações manuais em cada dispositivo.

Storage DLP
Temos nesse bloco uma perspectiva bem focada, talvez, no principal ponto de atenção das
organizações, o qual, inclusive, o DLP se ancora, que é o foco na informação. E aqui, nada mais falamos do
que simplesmente o armazenamento de todos os dados de uma organização. É fundamental que ferramentas
que gerenciem os acessos a esses dados, por aplicações, serviços ou pessoas, efetuem ações de monitoramento
contínuo e controle de acesso que envolve a disponibilização e acesso aos dados.
Entender o ciclo de vida do dado, ou fluxo de dados, por meio das aplicações e suas estruturas de
armazenamento, é fundamental nesse processo. Por diversas vezes, dados são solicitados e tratados na
organização. E, nesses casos, não havendo qualquer solução para gerenciar esses acessos, facilmente se perde
o controle total de gestão dessas informações, sendo assim, um espaço de oportunidade para vazamentos
diversos.

Um ponto que merece destaque é a segregação arquitetural das soluções em termos das aplicações e
estruturas de armazenamento. Imaginem que uma aplicação tenha sido atacada e o servidor comprometido.
Nesse ponto, caso a estrutura de armazenamento da aplicação esteja nesses mesmos serviços, compartilhando
ambiente e estruturas de acesso, naturalmente, temos um problema de vazamento de dados, pois o atacante
já terá acesso a essas informações.
Agora, caso haja uma segregação das estruturas de aplicação para as estruturas de dados, não
necessariamente uma violação no servidor de aplicação, implicará a uma exposição e acesso aos dados.
Caberá ao atacante ainda vencer ou violar a segunda camada de acesso aos dados, sendo esta, portanto,
uma boa prática recomendada.

Importante ainda destacar os desafios em torno dos compartilhamentos dos dados de usuários. Quais
dados estão armazenados? Quais são sensíveis ou confidenciais? Quais podem ou não ser compartilhados e
por quem? Como este processo e política está sendo implementada e respeitada? Esses são alguns pontos a
serem respondidos por soluções de DLP.

Cloud DLP
Assunto bem modernos e presente nas redes corporativas atuais, temos que nos preocupar agora com
o DLP em contexto de serviços e soluções em nuvem. Não é à toa que grandes concursos já cobram múltiplos
assuntos específicos de contextos e aplicações em nuvem, não se restringindo mais aos contextos básicos de
conceitos, princípios e arquiteturas.
Aqui, tento trazer uma provocação bem prática para vocês. Quem garante que um determinado
usuário, que possua um serviço em nuvem na organização como suítes de escritório, exemplo, o OneDrive com
Outlook da Microsoft, e, ao selecionar um arquivo para compartilhamento em nuvem, ao invés de compartilhar
somente para um e-mail autorizado específico, acaba realizando o compartilhamento para qualquer usuário
com o link? Pessoal, essa realidade é bem presente nas instituições, de tal modo que reforço um trabalho
realizado pela minha equipe de auditoria interna no ministério onde atuo, e, por lá, identificando múltiplas
falhas de usuários compartilhando informações indevidas, que envolviam os mais diversos tipos de impactos e
informações, como itens preparatórios para subsidiar discussões normativas, ações de corregedoria, dados
pessoais, itens de configuração das redes e aplicações internas, entre muitos outros.
Isso foi possível a partir do uso de soluções que são capazes de ler e extrair informações a partir dos
logs e registros das instâncias de administração em nuvem da conta institucional, por exemplo.
Então esses são alguns exemplos que estão nas mãos dos usuários ao utilizarem serviços em nuvem.
Mais do que isso, também há preocupações na gestão e hospedagem dos serviços como um todo em nuvem,
por meio das soluções de infraestrutura, plataforma e softwares como serviço. Da mesma forma, gerenciar as
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
58
138

camadas de segurança e privacidade desses dados no bojo dos serviços em nuvem é fundamental nesse
processo.
Aqui, merece um destaque do contexto de oportunidade de se praticar o conceito das soluções
modernas de DLP nativamente em nuvem. Para os demais itens, conforme já falamos, é possível utilizar soluções
de hardware e software diversos, ou também soluções de apoio em nuvem para processamento dessas
funcionalidades.

Ainda na abordagem do DLP, importante trazermos, de forma mais organizada, boas práticas que também
podem ser adotadas. Já passamos por algumas delas por aqui, mas vamos consolidá-las em termos da lista
abaixo. Vejamos:
Objetivos estratégicos e técnicos claros
Identificação, inventário e classificação dos dados
Definição de políticas de segurança da informação
Gerenciamento e controle de acesso
Conscientização dos usuários e colaboradores

Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: FAURGS - 2018 - BANRISUL - Segurança da
Tecnologia da Informação
Um dos grandes desafios das empresas é evitar o vazamento de dados. Nesse sentido, surgiram
softwares e sistemas de prevenção de vazamento de dados, Data Loss Prevention (DLP).
Considerando a necessidade de controle das informações da empresa e as soluções de DLP presentes
no mercado, assinale a alternativa correta.
a) DLP tem como principal função impedir o vazamento de grandes volumes de dados.
b) Para que DLP seja implementada, é necessário que a informação crítica da organização esteja
classificada.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
59
138

c) Para a implementação de DLP, é necessário que a organização tenha um firewall de nova geração
com suporte a virtualização.
d) Soluções de DLP atuais somente verificam o protocolo SMTP.
e) O inconveniente dos sistemas DLP é que cada usuário precisa gerar um hash dos seus arquivos e
registrá-los no sistema.
Comentários:
Vejamos como as bancas têm cobrado o referido assunto. Vamos aos itens:
INCORRETO. O DLP não se restringe a grande volume de dados. Comentamos em nossa teoria
justamente casos pontuais que devem ser tratados, como o mero compartilhamento de dados por um
usuário.
CORRETO. Perfeito pessoal. Vimos na nossa lista de boas práticas e ações relevantes, justamente o
inventário e classificação dos dados. Ter o domínio das informações institucionais é fundamental nesse
processo, uma vez que, caso não exista, qual seria a referência do que pode ou não ser compartilhado?
O que é ou não sensível?
INCORRETO. Comentamos na parte introdutória sobre a multiplicidade de formas de implementação de
recursos e soluções de DLP, como o próprio uso de ANTIVIRUS. Então não há essa vinculação ao
equipamento mencionado no item.
INCORRETO. Vimos que há uma classificação específica para DLP aplicada a e-mail. Mas ela não se
restringe ao SMTP, muito menos ao rol de protocolos associados aos serviços de e-mail. Vimos que o DLP
alcança outras vertentes, que envolvem muitos outros protocolos, como o simples uso de um FTP ou SFTP
para compartilhamento de dados, por exemplo.
INCORRETO. Não há essa relação posta na questão. Vimos que um desafio é, de fato, na ótica do
Endpoint DLP, implementar tais recursos e funcionalidades em todos os dispositivos, podendo ensejar em
ações manuais e individuais.
Gabarito: B

Ainda no contexto de práticas e ações que podem ser utilizadas para implementação de DLP, podemos
conversar um pouco sobre algumas técnicas aplicadas para gerenciamento de conteúdo, para fins de
categorização e aplicação das regras de controle de riscos associados. Já comentamos um pouco sobre isso
no início do capítulo, ao falarmos das palavras chaves e alguma inteligência. Vamos detalhar um pouco mais
agora nos itens a seguir. Vejamos algumas possibilidades de aplicação da tecnologia para reconhecimento
de conteúdo:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
60
138

 Baseado em regras ou Rule-based – A partir da análise do conteúdo de documento, com o uso de
regras específicas ou expressões regulares, por exemplo, com vistas a identificar dados pessoais,
informações ou referências financeiras, máscaras específicas de cartões ou contas bancárias, ou ainda
dados previdenciários, por exemplo. Claramente, é uma abordagem mais inicial e mais fria, com menor
poder de detalhamento, mas ajuda a aplicar uma linha de base para filtro comum de tráfego e
conteúdo. Essa abordagem é muito eficaz como filtro inicial, pois é fácil de configurar e processar, mas
geralmente é combinada com técnicas adicionais.

 Dicionários ou Dictionaries ou Keyword Matching – A partir do uso de dicionários, taxonomias e regras
lexicais, a solução DLP pode identificar conceitos que indicam informações confidenciais em dados não
estruturados. Isso requer uma personalização cuidadosa dos dados de cada organização.

 Correspondência exata de dados ou Exact data matching – Utilizando uma espécie de “impressão
digital” dos dados, passa-se à procura de correspondências exatas em um dump ou carga de banco
de dados ou ainda de um banco de dados quente, ou seja, em execução. No entanto, esse processo
de carga de dados ou acesso a bancos de dados ativos pode prejudicar o desempenho — tem-se,
portanto, uma desvantagem dessa técnica.

 Correspondência exata de arquivos ou Exact file matching – Cria-se um hash de todo arquivo para
posterior procura de arquivos que correspondam a esse hash. Essa técnica é muito precisa, mas não
pode ser usada para arquivos com várias versões ou ainda para toda a organização. Sua aplicação
acaba sendo mais restrita, com a garantia e precisão das funções HASH para identificação de arquivos
que são, de fato, os mesmos da organização, no qual busca-se zelar pela sua privacidade.

 Correspondência parcial de documentos ou Partial document match – Seguindo a filosofia do
método anterior, pode-se identificar arquivos onde há uma correspondência parcial; por exemplo, o
mesmo formulário preenchido por usuários diferentes.

 Análise estatística ou Statistical analysis – Pode usar algoritmos de aprendizado de máquina para
análise Bayesiana para identificar conteúdo que viola uma política ou contém dados confidenciais. A
eficácia dessas técnicas pode ser aumentada alimentando
mais dados rotulados ao algoritmo para
treinamento. Técnicas como modelo supervisionado também podem ajudar. Importante sempre lembrar
que, soluções que usem técnicas de inteligência artificial para monitoramento de comportamentos
podem gerar falsos positivos, prejudicando a experiência dos usuários e o uso das aplicações e serviços
da instituição. Portanto, a calibragem bem-feita dessas soluções é fundamental.

CESPE/PETROBRÁS/2022
Na técnica de DLP denominada keyword matching, assinaturas exclusivas são definidas para os
arquivos classificados como sensíveis e os processos de saída de dados da rede ou dos
computadores são verificados em busca de assinaturas correspondentes.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
61
138

Comentários:
Cuidado com as definições, hein pessoal. Percebam que ele está associando assinatura específica a
arquivo. Vimos que quando falamos para arquivo como um todo, temos o método “Exact File Matching”,
e não o Keyword, que seriam basicamente palavras chaves a serem buscadas nos arquivos, como no
método Dicionário.
Gabarito: E

ARQUITETURA ZERO TRUST
Novamente, como introdução do nosso assunto, nos cabe referência à tradução literal da terminologia. Estamos
neste momento lidando com o conceito de MODELO OU ARQUITETURA DE CONFIANÇA ZERO.
Nessa ótica, pessoal, de forma bem objetiva, preconiza-se a filosofia de Acesso Mínimo, mínimo privilégio ou
nenhum acesso de forma imediata ou direta. É necessário que a segunda camada, após o processo de
identificação e autenticação, isto é, a autorização, seja tratado com muita cautela e zelo. Por mais que seja
um usuário conhecido e reconhecido, assume-se que ele é um usuário que tem potencial para gerar algum dano
ou prejuízo caso tenha acesso a informações ou contextos desnecessários.
Ainda, é importante que tal filosofia e conceito também se estenda ao rol de aplicações, serviços, softwares,
hardwares, topologias, arquiteturas, e tudo mais da organização. Caso você esteja acompanhando nosso curso
em outras aulas, sabe que já passamos por diversos conceitos e formas de implementação que buscam restringir
vulnerabilidades ou mitigar riscos. Tais ações, de uma forma ou outra, contribuem diretamente para o
amadurecimento e consolidação da arquitetura zero trust em uma organização.

Ano: 2020 Banca: CESPE / CEBRASPE Órgão: Ministério da Economia Prova: CESPE / CEBRASPE -
2020 - Ministério da Economia - Tecnologia da Informação - Segurança da Informação e Proteção de
Dados
Acerca de topologia segura, julgue os itens a seguir, tendo como referência o modelo confiança zero
(zero trust model).
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
62
138

O modelo confiança zero estabelece que, depois de um usuário ser autenticado, devem-se fornecer a
ele todos os acessos.

Comentários:

Pessoal, convenhamos, né? Não precisa conhecer da arquitetura zero trust para essa questão. A
prática é justamente ao contrário, mesmo o usuário autenticado, esse deverá passar para a próxima
fase, que é a autorização a serviços específicos. A simples condição de identificação e autenticação não
o legitima para acessar quaisquer serviços de forma direta e imediata.
Lembremos sempre a filosofia de acesso mínimo ou mínimo privilégio.

Gabarito: Errado

Desse modo, vamos tecer alguns comentários de práticas e ações que podem ser tomadas para garantir uma
maior aplicabilidade do conceito de Arquitetura Zero Trust.
Lembramos primeiramente que, mesmo uma credencial de autenticação, pode ser violada de alguma forma,
e, assim sendo, essas camadas adicionais podem impor novos desafios a eventuais atacantes à rede.
Implantar, definitivamente, o conceito de defesa em profundidade, tanto no domínio lógico quando físico, é
fundamental. E isso passa por uma organização física e lógica (topologia e segmentação de rede), além da
segmentação de aplicações e serviços, com redes de armazenamento e redes de backups, entre outros.
Um usuário deve ter acesso somente ao que ele precisa. Se é um Administrador de banco de dados, ele deve
ter acesso somente ao conjunto de dados sob a sua gestão, no período que compete o seu acesso. Se é um
usuário de suporte de rede nível 1, não há porque ele ter acesso a outras estruturas de administração da rede
mais especializada e mais centralizada. Entre outras ações que podem ser tomados.

Ainda, podemos considerar a perspectivas da arquitetura como boas práticas de HARDENING em dispositivos.
Lembrando que o conceito de HARDENING diz respeito à implementação de rotinas e procedimentos de
segurança que o tornam menos vulnerável. Exemplos de tal ação é a desativação de serviços desnecessários,
revogação de usuários e acessos que não fazem sentido, bloqueio de portas e fluxos de dados também que
não precisa existir, além de outros procedimentos que fogem à prática de configuração padrão ou default de
soluções. Esta não é uma prática recomendada. Deve-se sempre buscar criar imagens específicas e
customizadas para a necessidade da organização e do serviço, podendo este ser replicado, zelando por uma
baseline segura!
Uma outra prática que merece destaque na aplicação da arquitetura é a implementação de políticas de
WHITELIST. Lembrando que esse conceito reside no fato de que, por regra, todo acesso a serviços externos é
bloqueado. De forma bem prática, se, simplesmente, essa regra for definida e aplicada, e nenhuma outra
ação for tomada, todo o tráfego de rede passará a ser bloqueado. A partir daí, passa-se à liberação de
cada serviço de forma individualizada para o público específico, podendo ser a organização inteira ou não.
Nesse caso, pode-se ainda ser um acesso pontual e temporário para um ou poucos usuários.
Ano: 2020 Banca: CESPE / CEBRASPE Órgão: Ministério da Economia Prova: CESPE / CEBRASPE -
2020 - Ministério da Economia - Tecnologia da Informação - Segurança da Informação e Proteção de
Dados
Acerca de topologia segura, julgue os itens a seguir, tendo como referência o modelo confiança zero
(zero trust model).
Uma rede de confiança zero pressupõe que haja invasores dentro e fora da rede, por isso nenhum
usuário ou máquina deve ser automaticamente confiável.
Comentários:
Sem muito mais a acrescentar, a não ser o reforço positivo da questão anterior desse capítulo e do
que já comentamos. Justamente considerando a capacidade das pessoas ou sistemas, com o mínimo de
acesso que não seja necessário, podem gerar danos ou ações maliciosas.
Então, na prática, múltiplas camadas de autenticação e autorização devem ser implementadas, por
mais que gere burocracia excessiva na ótica do usuário, mas a importância dos dados e segurança
institucional prevalece. Então, só deve ser dado acesso ao estritamente necessário para cada usuário.
Logo, um invasor estando dentro da rede, pode não ser reconhecido pela estrutura e nenhum acesso
mínimo será concedido, ou ainda, caso ele tenha obtido acesso ou roubado credencial de alguém, ele
terá acesso somente ao contexto mínimo controlado para aquele usuário, não sendo simples ampliar o
seu poder de ataque e de invasão.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
64
138

Não basta
só estar dentro da rede ou ter determinado perfil, precisa ser tratado na sua
individualidade. Essa é a ideia da questão.
Gabarito: Correto

CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico - Tecnologia e Informação
Em uma organização com muitos usuários que precisem acessar diferentes serviços em inúmeros
locais na Internet, como em uma escola, a política padrão descartar é a mais recomendada para a
configuração do firewall da instituição para a rede de pesquisa acadêmica
Comentários:
Em que pese tenhamos o conceito de Zero Trust na perspectiva de restringir e fechar ao máximo todas
as brechas, é necessário que se avalie contextos de utilização.
Ao se considerar uma escola, dado o caráter de pesquisa e uso intensivo de busca e acesso a sites, ao
criar a política de restrição completa, ou seja, ter o descarte como padrão, inevitavelmente, haverá
prejuízo aos usuários, pois terão suas buscas e pesquisas bloqueadas.
Desse modo, deve-se aplicar a política contrária, ao liberar tudo, e bloquear somente aqueles sites
indevidos já conhecidos ou que tenham comportamento/conteúdo semelhante.
Gabarito: Errado

SIEM - SECURITY INFORMATION AND EVENT MANAGEMENT
Vamos falar agora de um assunto relativamente novo em termos de sua nomenclatura para concursos, porém,
muitas das vezes, já era cobrado indiretamente em diversas provas como práticas diversas de segurança.
Estamos falando aqui do SIEM - Security Information and Event Management. Tal conteúdo geralmente aparece
associado especificamente a gerenciamento de logs e eventos, porém, também é cobrado no contexto de
mecanismos de segurança. Por esse motivo, vamos tratá-lo nesse bloco.

Quando falamos de SIEM, temos que ter em mente a dinâmica de correlacionador de eventos e logs. Qual é
o grande desafios de um ecossistema de segurança da informação... Agregar múltiplas informações geradas
em diversos equipamentos espalhados por toda a rede, e às vezes, em grandes instituições, considerar, inclusive
a gesão centralizada de filiais e outros ambientes.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
65
138

Nesse sentido, há relatos, eventos, incidentes sendo gerado constantemente, e muitas das vezes, não é possível
ligá-los, ou conectá-los a algo, potencialmente maior. Seja esse algo maior um ataque orquestrado ou que
esteja sendo planejado, ou ainda a problemas diversos na rede.
Desta feita, surge o conceito do SIEM, que vem com ferramentas como “Elastic Search”, que possui uma grande
capacidade de unir essas informações e vinculá-las, de tal modo que possam ser identificados comportamentos
ou características mais amplas no contexto da organização.
Entretanto, não se trata de uma tarefa simples ou trivial. Muitos possuem linguagens próprias, padrões de
informações diversos que precisam ser tratados. Nesse ponto, devem ser configurados padrões de linguagem
de comunicação entre os nós. Basicamente estamos falando de unificação de nomes, informações, ou ainda,
processos de normalização dos dados de forma integrada.
Com isso, é possível, inclusive, detectar situações que, em princípio, isoladamente seriam meros eventos, porém,
quando visualizado de forma integrada, possibilita a aceleração na identificação de incidentes, e
posteriormente, seu tratamento.

CESPE / CEBRASPE - 2022 - PGE-RJ - Analista de Sistemas e Métodos
Situação hipotética: Em determinada organização, há necessidade de instalar ferramenta com
capacidade de negar, a uma parte não autorizada, uma tentativa de acesso a dados ou serviço de
rede, de modo a impedir a usurpação dos dados, detectando o ataque por meio de assinaturas,
anomalias de protocolo ou heurística.
Assertiva: Para atender esses requisitos, é suficiente instalar um SIEM (Security Information and
Event Management).
Comentários:
Pessoal, a questão tende a apresentar característica de um IPS ou até mesmo um Firewall com base
em comportamento. Nesse sentido, o SIEM não possui capacidade de atuar no modelo preventivo ou
reativo.
É importante consolidarmos essa diferença. Ele atua no correlacionamento de logs e outros registros
na rede para munir os gestores e outros sistemas de informações relativas a segurança da Informação.
Gabarito: Errado

CESPE / CEBRASPE - 2022 - PGE-RJ - Analista de Sistemas e Métodos
Situação hipotética: Em determinada organização, há necessidade de instalação de ferramenta que
permita realizar gerência de eventos de modo a permitir a análise de comportamento do usuário
e insights de fluxo de rede, tais como eventos em tempo real provenientes de logs, por exemplo, de
dispositivos de segurança e da infraestrutura de rede.
Assertiva: Para atender esses requisitos, é suficiente instalar um IPS (Intrusion Prevention System).
Comentários:
Respeitando a ausência de criatividade da banca, temos agora, justamente a questão inversa da
anterior. Ou seja, se você sabia os conceitos, teria acertado os dois itens com o mesmo assunto. Vejam
que agora a banca descreveu no enunciado justamente as características de um SIEM.
Gabarito: Errado

QUESTÕES COMENTADAS
Firewall
1. FGV - 2022 - TJ-TO - Técnico Judiciário – Informática
O dispositivo de rede que tem como característica manter uma tabela de conexão, contendo uma entrada
para cada conexão estabelecida,

é o:
A filtro de pacote;
B filtro de pacote com controle de estado;
C gateway em nível de aplicação;
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
67
138

D gateway em nível de circuito;
E Sistema de Prevenção de Intrusão (IPS).
Comentários:
Pessoal, vejam que a tabela é justamente o instrumento de controle das conexões estabelecidas pelos nós da
rede com recursos e serviços externos. A partir dessa tabela, especificamente cada entrada, o roteador
consegue autorizar o tráfego de resposta/retorno advindo dos serviços externos.

Gabarito: B

2. CESPE – CGE-PI/Auditor Governamental/2015

O firewall IPTABLES permite o uso de filtro de pacotes, de forma a controlar o fluxo de dados entre a rede
local e a Internet, interferindo em situações normais até a camada de transporte do modelo TCP/IP.

Comentários:
Questão bem tranquila a respeito do IPTABLES. Conforme vimos, é um firewall utilizado em sistemas LINUX do
tipo Statefull, ou seja, consegue atuar normalmente com as características do tipo filtro de pacotes. Percebam
que o enunciado usou a expressão “permite”.

Gabarito: C

3. CESPE – ANTT/Analista Administrativo – Infraestrutura de TI/2013
Um firewall que trabalha especificamente na camada de aplicação tem a capacidade de estabelecer regras
para registrar e descartar pacotes que sejam destinados a um endereço IP e a uma porta específica.
Comentários:
Muito mais uma questão de redes do que segurança. Se o Firewall trabalha especificamente na camada de
aplicação, não há o que se falar de filtragem por endereços IP ou porta, que são elementos das camadas 3
e 4 do modelo OSI.
Gabarito: E
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
68
138

4. CESPE – FUB/Técnico de TI/2014
Em uma rede local protegida por firewall, não é necessário instalar um software antivírus, pelo fato de
o firewall proteger a rede
contra mensagens de spam, vírus e trojans.
Comentários:
Lembrando sempre que o Firewall não possui a função de substituir softwares antivírus. Além do mais, o firewall
não protege contra ataques internos. Nesse sentido, o antivírus é imprescindível.
Gabarito: E

5. CESPE – ICMBIO/Nível Médio/2014
Um firewall filtra o tráfego de entrada e saída entre a rede interna e a externa.
Comentários:
Forma bem simplista de se definir a capacidade de um firewall.
Gabarito: C

6. CESPE – TCU/Técnico Federal de Controle Externo/2015
O firewall é capaz de proteger o computador tanto de ataques de crackers quanto de ataques de vírus.
Comentários:
E aqui temos uma questão que gerou polêmica. Vimos que o Firewall de fato não é um antivírus. Entretanto, a
palavra “capaz” aqui deu margem para muitos entendimentos.
Além disso, não delimitou fronteiras, se é interno ou externo, enfim, questão totalmente aberta.
Trazendo uma possibilidade para validar a questão, temos a possibilidade de se utilizar um firewall do tipo
Deep Inspection que seja capaz de averiguar o conteúdo das aplicações e detectar conteúdos maliciosos como
vírus.
Entretanto, na minha opinião, essa questão deveria ser anulada. Mas como não foi, vamos ficar com mais um
entendimento da banca CESPE.
Gabarito: C (Gabarito do Professor: Anulação)

7. CESPE – Polícia Federal/Agende de Polícia Federal/2014
Embora os firewalls sejam equipamentos ou softwares utilizados no controle das conexões de uma rede,
eles não protegem computadores contra ataques internos.
Comentários:
Conforme vimos, como o Firewall é um equipamento de borda que atua, geralmente, na fronteira entre redes
distintas, ao termos um ataque interno, esse tipo de tráfego nem chega a passar pelo firewall.
Gabarito: C

8. CESPE – UNIPAMPA/Analista de Tecnologia da Informação/2013
O serviço de firewall pode ser utilizado para monitorar os acessos ou as tentativas de acesso a
determinados recursos de uma rede de computadores.

Comentários:
Como cada serviço é acessado em portas específicas, pode-se claramente monitorar esses recursos, além de
controlar o acesso a eles através da filtragem por portas.
Gabarito: C

9. CESPE – ANTT/Analista Administrativo/2013
Considere que, em um servidor com serviço de firewall habilitado e em funcionamento, o administrador
de rede tenha verificado que existe muito tráfego de flags SYN do protocolo TCP, sem que ocorra o retorno
da flag ACK do host a que foi destinada a flag SYN. Nessa situação, é possível que regras
de firewall estejam descartando os pedidos de abertura de conexão.
Comentários:
Questão muito bem elaborada pelo CESPE. Tal questão exige relembrarmos que para o estabelecimento de
uma conexão, deverá ser feito o 3-way-handshake.
No caso da questão, percebemos que há pacotes SYN saindo da rede, ou seja, podemos assumir que a
requisição está partindo do próprio servidor. Assim, a regra de saída para o SYN está habilitada. No retorno,
o host de destino deve responder com um pacote do tipo SYN+ACK. Nesse caso, pode-se perfeitamente
configurar o firewall para bloquear pacotes SYN de entrada, ocorrendo o descarte de pacotes e não
permitindo o pedido de abertura de conexão do outro host.
Gabarito: C
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
70
138

10. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia da Informação

O firewall representado é um sistema que isola áreas distintas da rede de dados e que delimita os
domínios de confiança.
Comentários:
Temos aqui o modelo de utilização de apenas um firewall segmentando 3 segmentos de rede (Internet, DMZ
e intranet). A divisão da DMZ e da Intranet é justamente para se estabelecer limites de confiança, situação
que a rede DMZ será acessada externamente, enquanto a intranet não.
Gabarito: C

11. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013
Supondo que um vírus atue entre uma rede local e a Internet, gerando tráfego de dados na porta 34465,
então é possível que um firewall com iptables executado no sistema operacional Linux seja capaz de
gerar logs desse tráfego.
Comentários:
Muito cuidado com a interpretação. Percebam que em nenhum momento a questão afirma que o firewall atuará
como um antivírus, mas tão somente que este será capaz de gerar log do tráfego. Para isso, basta monitorar
e filtrar o fluxo na porta em questão, uma vez que o perfil de tráfego é conhecido.
Gabarito: C

12. CESPE – SERPRO/Analista – Redes/2013
O Kernel do Linux, na versão 2.6 ou superior, suporta nativamente a capacidade de filtro de pacotes
TCP/IP por meio do sistema SELINUX.
Comentários:
Conforme vimos, o SELinux não deve ser confundido com o filtro de pacotes IPTables do Linux.
Gabarito: E

13. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
Firewalls que utilizam filtros de pacotes sem estados não verificam a parte útil de dados dos pacotes e
não guardam o estado das conexões, o que pode impedir que sejam totalmente eficazes.
Comentários:
Os firewalls do tipo filtro de pacotes atuam basicamente na inspeção das informações de camada 3 e algumas
informações de camada 4. Entretanto, tais informações não são suficientes para se monitorar o estado das
conexões. Esta capacidade surge a partir do firewall do tipo statefull com a capacidade de inspecionar todo
o cabeçalho dos segmento (camada 4).
Desse modo, como a inspeção é limitada, possíveis ataques que extrapolem a capacidade de inspeção não
serão identificados e assim, não serão totalmente eficazes.
Gabarito: C

14. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
O SELinux (security enhanced linux) pode operar em três modos distintos: Enforcing, no qual as regras
estão aplicadas, e logs de todas as operações são gerados; Permissive, no qual as regras estão
desativadas, mas logs de todas as operações são gerados; e Disabled, no qual as regras e os logs estão
totalmente desativados.

Comentários:
Conforme vimos na teoria, certo pessoal?
Gabarito: C

15. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA)
Como filtro de pacotes, um firewall é um roteador que usa uma tabela de filtragem baseada somente nas
informações contidas nos cabeçalhos da camada de rede, para decidir quais pacotes devem ser
descartados.
Comentários:
Uma generalização indevida a respeito do firewall. O filtro de pacotes nada mais é do que um tipo de
firewall, sendo o mais simples deles
Gabarito: E

16. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA)
O uso de um firewall de filtragem de pacotes permite distinguir diferentes pacotes que chegam à porta
TCP 80 (HTTP), possibilitando a realização de testes no nível de aplicação
Comentários:
O filtro de pacotes, conforme visto no item anterior, é o mais simples e não possui a capacidade de verificar
informações da camada de aplicação
Gabarito: E

17. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
No modo Permissive, o SELinux estará habilitado, mas apenas gera alarmes e log das ações no sistema.
Comentários:
Conforme vimos, o modo Permissive,
de fato, contempla as ações presentes na assertiva.
Gabarito: C

18. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
O modo de funcionamento Enforcing, que não é o padrão do SELinux, nega acesso a recursos e impede o
log das ações realizadas no sistema.
Comentários:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
73
138

O modo padrão é o Permissive na distribuição DEBIAN, enquanto o modo Enforcing é padrão nas distribuições
RED HAT. Isso seria um problema para o enunciado. Entretanto, a segunda parcela invalida de qualquer forma
o item, uma vez que o modo Enforcing não possui tal impedimento.
Gabarito: E
Iptables
19. FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Segurança da Informação
A ferramenta iptables é comumente utilizada para limitar o tráfego de dados como forma de proteção
contra a entrada de intrusos e a saída de dados secretos.
A expressão que inclui uma regra na iptables, definindo o descarte dos pacotes de dados HTTP que
chegam na porta 80 em qualquer interface de rede de um dado servidor, é:
a) iptables -A OUTPUT -p all --dport 80 -j REJECT
b) iptables -A INPUT -p tcp --dport 80 -j DROP
c) iptables -A OUTPUT -o eth1 --dport 80 -j DROP
d) iptables -A INPUT -i eth1 --dport 80 -j RETURN
e) iptables -A OUTPUT -p tcp --dport 80 -j REJECT
Comentários:
Pessoal, primeiro ponto, é tratar os pacotes que chegam ao servidor, logo, temos o parâmetro INPUT.
Em seguida, basta você lembrar da cláusula de descarte, que é o DROP. Temos aí, o nosso gabarito, letra B.
Gabarito: B

20. CESPE – TJ-SE/Analista Judiciário – Redes/2014
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor DNS e um
servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na rede é Linux com IPTABLES,
que, por padrão, nega tudo. O IP do servidor em questão com os serviços é 10.10.10.10. Foi solicitada a
liberação de acesso para os serviços web, DNS e FTP através do firewall.

Com base nessa situação hipotética, julgue os itens a seguir.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
74
138

O comando iptables –I FORWARD –s 10.10.10.10 –p udp --sport 53 –j DENY fará que o tráfego cuja porta
de origem é DNS seja negado

Comentários:
Analisando os parâmetros, temos:
-I : Insere nova regra dentro das existentes no firewall.
FORWARD : Utiliza a chain Forward (regra para encaminhamento)
-s : Define um host como origem de tráfego
-p : Define um protocolo da camada de rede ou transporte
--sport : Define a porta de origem.
-j : Procedimento a ser executado no caso de ocorrência da regra.
Desse modo, temos que a regra em questão busca negar (DENY) o tráfego que passe pelo firewall (FORWARD)
a partir de um host de origem (10.10.10.10), com porta de origem (53) e protocolo (UDP). Nesse caso, temos
que o serviço que utiliza o protocolo UDP na porta 53 é o DNS.
Gabarito: C

21. CESPE – TJ-SE/Analista Judiciário – Redes/2014
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor DNS e um
servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na rede é Linux com IPTABLES,
que, por padrão, nega tudo. O IP do servidor em questão com os serviços é 10.10.10.10. Foi solicitada a
liberação de acesso para os serviços web, DNS e FTP através do firewall.
Com base nessa situação hipotética, julgue os itens a seguir.

O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 22 –j ACCEPT fará que o tráfego cuja porta
de destino é FTP seja aceito.
Comentários:
Analisando os parâmetros, temos:

-I : Insere nova regra dentro das existentes no firewall.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
75
138

FORWARD : Utiliza a chain Forward (regra para encaminhamento)
-d : Define um host como destino do tráfego
-p : Define um protocolo da camada de rede ou transporte
--dport : Define a porta de destino.
-j : Procedimento a ser executado no caso de ocorrência da regra.
Desse modo, temos que a regra em questão busca permitir (ACCEPT) o tráfego que passe pelo firewall
(FORWARD) a para um host de destino (10.10.10.10), com porta de destino (22) e protocolo (TCP). Nesse
caso, temos que o serviço que utiliza o protocolo TCP na porta 22 é o SSH e não o FTP.
Gabarito: E

22. CESPE – TJ-SE/Analista Judiciário – Redes/2014
Em uma rede local foi instalado, em uma máquina, um servidor web Apache, um servidor DNS e um
servidor FTP nas portas padrões de uso. O firewall na frente dessa máquina na rede é Linux com IPTABLES,
que, por padrão, nega tudo. O IP do servidor em questão com os serviços é 10.10.10.10. Foi solicitada a
liberação de acesso para os serviços web, DNS e FTP através do firewall.

Com base nessa situação hipotética, julgue os itens a seguir.

O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 80 –j ACCEPT fará que o tráfego cuja porta
de origem é HTTP seja permitido.

Comentários:
Mesmos parâmetros da questão anterior.

Desse modo, temos que a regra em questão busca permitir (ACCEPT) o tráfego que passe pelo firewall
(FORWARD) para um host de destino (10.10.10.10), com porta de destino (80) e protocolo (TCP). Nesse caso,
temos que o tráfego cuja porta de destino é HTTP, seja permitido e não porta de origem.

Gabarito: E

23. CESPE – STF/Analista Judiciário – Suporte em TI/2015
O comando iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE deve ser utilizado apenas quando
existir endereço IP estático em interfaces point-to-point.
Comentários:
Analisando os parâmetros, temos:

-t: Define o tipo de tabela que será utilizada.
-A : Insere a regra no final da tabela.
POSTROUTING : Tipo de Nat
-o : interface de saída
-j : Operação a ser executada na ocorrência da regra.
Desse modo, temos que a regra em questão busca permitir realizar o mascaramento (MASQUERADE) de
quaisquer endereço de chegada para o endereço público de saída da interface ppp0 (NAT DINÂMICO na
interface point-to-point).
Aproveito para definir os tipos de nat:
prerouting - consultado quando os pacotes precisam ser modificados ao chegarem
output - consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados
postrouting - consultado quando os pacotes precisam ser modificados após tratamento do roteamento

Gabarito: E

24. CESPE – STF/Analista Judiciário – Suporte em TI/2015
O comando iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 200.10.10.1 está sintaticamente correto
e faz a tradução dos endereços de origem que saem pela eth0 para o IP 200.10.10.1.

Comentários:
Analisando os parâmetros, temos:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
77
138

-t: Define o tipo de tabela que será utilizada.
-A : Insere a regra no final da tabela.
POSTROUTING : Tipo de NAT
-o : interface de saída
-j : Operação a ser executada na ocorrência da regra.
SNAT : Define um IP fixo de saída (Nat estático)

Desse modo, temos que a regra em questão busca realizar o NAT estático na
interface eth0. Desse modo,
independente do IP de origem que chegue ao firewall e saia pela interface eth0, esse IP sempre será alterado
para o IP 200.10.10.1.

Gabarito: C

25. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
No IPTABLES, tabelas são as estruturas usadas para armazenar os chains e as regras. As tabelas
disponíveis no IPTABLES são filter, nat e mangle, que podem ser referenciadas com a opção -t tabela.
Comentários:
De fato o IPTABLES trabalha com três tipos de tabelas: filter, nat e mangle. A tabela filter tem como fim
armazenar as regras de filtragem do firewall e é a referência padrão do IPTABLES, não necessitando ser
explicitada através do parâmetro "-t" no comando.
A tabela NAT armazena informações de mapeamento e tradução de endereços IP. E a tabela MANGLE
armazena informações a respeito da manipulação dos pacotes, isto é, caso se deseje alterar alguma flag ou
parâmetro destes.

Gabarito: C

24. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
A execução do código mostrado a seguir provocará o bloqueio do tráfego de saída do ICMP do tipo echo-
request.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
78
138

iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP
Comentários:
O problema aqui está na CHAIN OUTPUT. O firewall iptables trabalha com as CHAINS a seguir:
INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo,
um acesso remoto no firewall para sua configuração.
OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso
externo para atualização do repositório de pacotes do firewall.
FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse
modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita
serviços internos, a cadeia que será analisada é a FORWARD.
Desse modo, o comando a seguir está bloqueando apenas o tráfego de saída gerado pelo própria firewall e
não aqueles provenientes da rede interna que somente "passam" pelo firewall. Para tanto, deveria ser usado
a CHAIN FORWARD.
Entendo, portanto, que o enunciado esteja incompleto por não abarcar as possibilidades de saída uma vez
que não se especifica o tipo de saída e, logo, o gabarito deveria ser alterado.

Gabarito: C (Gabarito do Professor: E)

26. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
O comando mostrado a seguir redireciona uma conexão TCP da porta 5000 para a porta 22.
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-ports 5000
Comentários:
É ao contrário, ok pessoal? Temos aí a utilização da CHAIN PREROUTING para manipulação de endereços e
portas de destino. Essa CHAIN é utilizada para disponibilizar serviços internos para acessos externos.
Um outro detalhe é que não existem o parâmetro "--to-ports" e sim "--to-port".
Gabarito: E

PROXY
27. CESPE – CGE-PI/Auditor Governamental/2015
Após uma auditoria de segurança na rede de comunicação de determinado órgão do governo,
constatou-se que a parte de navegação na Internet desse órgão não possuía nenhum tipo de filtro de
pacotes. Por isso, o auditor solicitou a instalação de um firewall Linux IPTABLES e um proxy SQUID entre
as estações da rede e a Internet.
Considerando essa situação hipotética, julgue o item que se segue, relativo a firewall e proxy.
O proxy SQUID permite a filtragem de URLs que façam uso do protocolo HTTP e também permite a criação
de listas de acesso conforme a necessidade de filtragem.
Comentários:
Temos aqui a descrição de características padrões de quaisquer tipos de proxies.

Gabarito: C

28. CESPE – FUB/Técnico de TI/2015
O firewall pode ser utilizado como uma barreira para filtrar o tráfego entre a rede interna de uma empresa
e a Internet. O proxy é um modelo de firewall que tem a finalidade de filtrar os pacotes que se baseiam nos
routers disponíveis na rede.
Comentários:
Não há essa relação entre o proxy e o aspecto de filtrar pacotes que se baseiam em routers. Vimos que sua
principal característica é atuar na camada de aplicação com filtros mais robustos, sendo um intermediário na
comunicação.
Gabarito: E

29. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013
O serviço de proxy no sistema operacional Linux, provido pelo software Squid, utiliza o protocolo HTTP,
sendo capaz de fazer cache de páginas web estáticas e otimizar o acesso, diminuindo o consumo
do link de Internet. Além disso, é capaz de filtrar acessos a sítios webdefinidos previamente em sua
configuração.

Comentários:
Temos uma boa descrição de alguns recursos do SQUID.
Gabarito: C

IDS/IPS
30. CESPE – SE-DF/Analista de Redes/2017
Em uma varredura de arquivos armazenados, se um arquivo legítimo do usuário for classificado como
vírus por um software antivírus, então tal ocorrência caracterizará um falso negativo.
Comentários:
Questão bem básica a respeito do tratamento da informação. Quando um dado legítimo é tratado como algo
malicioso, temos aí um Falso positivo e não um Falso negativo, como afirma a questão. Para lembrar, basta
entender o conceito da palavra mesmo. Ou seja, o software atesta tal arquivo como malicioso (ou seja, deu
positivo)... Entretanto, ele não é malicioso, logo, é um falso positivo. Lembrando que este é o principal aspecto
a ser considerado nas configurações dos IDS/IPS baseado em comportamento. Se deixar a regra muito rígida,
tende-se a ter um alto índice de falsos positivos. Ok? Vamos adiante.
Gabarito: E

31. CESPE – SE-DF/Analista de Redes/2017
Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer
padrões de intrusões usando métodos como redes neurais.
Comentários:
Comentei na questão logo acima a respeito dos sistemas IDS baseados em comportamentos. Entretanto, para
se criar os algoritmos que serão responsáveis por avaliar o comportamento dos softwares, utilizam-se diversas
referências, entre elas, as redes neurais.

Estas têm por objetivo utilizar suas características de reconhecimento de padrões e generalização para realizar
a classificação dos eventos ocorridos em redes de computadores, classificando-os em normais ou intrusivos,
permitindo a geração de respostas aos eventos considerados críticos. [1]
[1]fonte: http://www.inf.ufsc.br/~bosco.sobral/grupo/MestradoIgor.pdf
Gabarito: C
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
81
138

32. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013
Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede,
gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

Comentários:
Conforme comentamos na parte teórica, o trecho “regra de bloqueio de tráfego” é uma característica do IPS
para a banca CESPE. Portanto, muita atenção e cuidado nesses pequenos detalhes.
Entretanto, gostaria de registrar o que temos no livro do Nakamura a esse respeito: “Os IDS passivos, na
realidade, possuem alguma forma de reação, normalmente com o envio de mensagens
por ele.
Comentários:
Conforme nós vimos, a centralização do tráfego é princípio básico de segurança da informação. E
ele acontece por meio do Firewall.
Gabarito: C

A partir dessa situação de concentração do tráfego é possível realizar a monitoração do tráfego, controle,
autenticação, além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria.
A figura abaixo nos traz uma representação de um possível arranjo de topologia de rede:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
5
138

Aproveitando a imagem, gostaria de definir outro conceito extremamente importante em uma topologia de
rede segura. É a tão conhecida DMZ (Demilitarized Zone).
A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet –
rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se
encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da
rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos
usuários e serviços internos.
Uma evolução desse modelo é através da utilização de 2 (dois) firewalls conforme arranjo na imagem a seguir:

Reparem que para um atacante conseguir penetrar na rede através dos servidores da DMZ deverá passar
por uma segunda camada de segurança. Esse é um conceito de defesa em profundidade muito utilizado.
Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em prova. São
elas: dual-homed host, Screened host, Screened Subnet host.
 Dual-homed host: É formado por um elemento que atua como firewall e possui duas interfaces, sendo
uma para a rede externa e uma para a rede interna.

 Screened host: Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente.
Especificamente customizado para acessos externos a serviços de forma segura.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
7
138

 Screened-subnet host: Tem-se o modelo específico de criação de uma subrede de segurança (DMZ)
ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar
também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces
físicas distintas que isolam complemente as redes.

Retomando então a nossa discussão a respeito do firewall, temos que este deverá ser capaz então de
interpretar o tráfego que passa por ele e avaliar se a informação é legítima ou maliciosa. Desse modo, os
administradores configuram diversas regras que retratam a política de segurança e acesso da rede
corporativa.
Existem diversos tipos de firewalls no mercado com as mais diversas características e capacidades. Existe ainda
a implementação de firewall em servidores Unix ou Linux. No caso do Linux, temos que o firewall é conhecido
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
8
138

como NetFilter e a sua configuração se dá pela ferramenta Iptables. Entretanto, no jargão técnico, diz-se que
o firewall do Linux é o próprio Iptables. Veremos algumas características a respeito dele a seguir.

Ano: 2021 Banca: FGV Órgão: TJ-RO Prova: FGV - 2021 - TJ-RO - Analista Judiciário - Analista de
Sistema - Desenvolvimento de Sistema
Roberto foi contratado por uma empresa para implementar uma solução de segurança para proteger
sua propriedade intelectual armazenada em sua rede interna, considerando os seguintes requisitos:
- único ponto de entrada e saída para a rede interna, de forma que o tráfego bidirecional possa ser
verificado e tenha controle de acesso para a rede interna, autorizando apenas o tráfego permitido; -
o servidor Web com o site da empresa, instalado na rede interna, deverá ser acessado por clientes
oriundos da Internet; e - acesso seguro à rede interna para os funcionários que trabalhem em home
office. Para atender aos requisitos solicitados pela empresa, Roberto deve implementar um(a):
a) Zona desmilitarizada (DMZ) onde ficará o servidor Web da empresa; outra zona desmilitarizada
(DMZ) para o banco de dados que o servidor Web da DMZ anterior faz acesso, cada uma possuindo
seus firewalls delimitando seus perímetros;
b) Firewall separando as redes interna e externa; um servidor Web após o firewall, de forma que se
permita o controle de acesso e o site da empresa fique disponível aos clientes oriundos da Internet;
c) Firewall entre a rede interna e a externa, de forma que apenas o tráfego autorizado possa chegar
ao site da empresa; antivírus atualizado automaticamente em todos os computadores da rede interna,
de forma a protegê-los de malwares quando acessados pelos usuários em home office;
d) Firewall para separar a rede interna da Internet; um sistema de detecção de intrusão (IDS), como
segundo nível de proteção, caso haja alguma violação do firewall; uma rede privada virtual (VPN) para
acesso via home office; e instalação do servidor Web após o firewall;
e) Par de firewalls criando uma zona desmilitarizada (DMZ), um para separar a Internet da zona
desmilitarizada (DMZ) e o outro para separar a zona desmilitarizada (DMZ) da rede interna; instalação
do servidor Web na zona desmilitarizada (DMZ) para acesso via Internet; e configuração de uma rede
privada virtual (VPN) para o acesso via home office.
Comentários:
Exatamente conforme arranjo que vimos nesta seção. Tenham certeza que o melhor arranjo será
sempre essa combinação:
Rede Interna – Firewall (interno) – DMZ – Firewall (externo) – Internet
Gabarito: E
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
9
138

FCC/AL-AP/2020
A equipe que administra a infraestrutura de tecnologia da informação precisa liberar acesso sem
filtros de proteção para navegação na internet através de dispositivos móveis autenticados na rede
como pertencentes aos visitantes que regularmente comparecem à empresa para reuniões
executivas. Para isso, um conjunto de equipamentos servidores de domínio WEB (DNS), servidores
FTP e um conjunto de switches WiFi serão mapeados nessa rede de visitantes que implementa
A) uma DMZ.
B) um IDS.
C) uma criptografia.
D) um certificado digital.
E) um IPS
Comentários:
Pessoal, tem-se novamente a perspectiva de consumo de serviços por parte de usuários externos à
organização. Essa é a característica básica do modelo de implementação de uma DMZ.
Gabarito: A
Principais conceitos
Veremos a seguir diversos conceitos que relacionam os ambientes de segurança e as capacidades dos firewalls.
Vamos comentá-las a seguir:

o Filtros
Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se
obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados.
Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente.
É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica
de antivírus, pois esse não
TCP reset ou enviando
mensagens de reconfiguração de regras de firewall ou de roteadores”.
Ou seja, a questão não entrou no mérito de ser reativo ou proativo, logo, o IDS seria capaz de enviar comandos
ao firewall para reconfiguração e bloqueio de tráfego.
Mas insisto pessoal, vamos nos ater ao entendimento da banca, até porque serve de histórico e precedente.
Logo, para o CESPE, vale o que falamos no início do comentário.
Gabarito: E (Gabarito do Professor: C)

33. CESPE – STM/Analista Judiciário – Análise de Sistemas/2011
IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando
o tráfego, quando algum evento relevante é detectado.
Comentários:
Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada
de falso positivos e negativos, o que contraria a afirmação de alta precisão.
Vale reforçar o entendimento do CESPE que o IPS é o equipamento utilizado para bloquear tráfego.
Gabarito: E

34. CESPE – TJ-AC/Técnico Judiciário – Informática/2012
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
82
138

O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que,
respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet.
Comentários:
Ambos podem ser sim considerados ferramentas de rede, lembrando que também podem ser baseadas em
host ou pilha. De fato, o IPS protege a rede contra ataques externos. Entretanto, nada tem a ver o IDS com
antivírus em cloud.

Gabarito: E

35. CESPE – TCE-ES/Auditor de Controle Externo/2012
Um ataque do tipo DDoS é caracterizado pela inundação de tráfego em uma rede, muitas vezes com
características de tráfego legítimo. Em virtude de ser um tipo de ataque facilmente detectado, pode ser
bloqueado por meio de firewall e IDS

Comentários:
Lembrando que para o CESPE, o IDS não é capaz de bloquear ataques, muito menos DDoS.

Gabarito: E

36. CESPE – Banco da Amazônia/Técnico Científico – TI/2010
Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos,
sendo mais severos os efeitos nos IPS que nos IDS.
Comentários:
Pessoal, vimos que os falsos positivos são mais frequentes em ambientes baseados em comportamento, porém,
isso não quer dizer que eles não ocorram em ambientes com base em assinaturas. Nesse caso, assumindo a
ocorrência de um falso positivo, de fato o prejuízo será maior em um IPS quando comparado com o IDS, uma
vez que no IPS, haverá uma atuação proativa e preventiva, bloqueando o tráfego imediatamente.
Gabarito: C

37. CESPE – DETRAN-ES/Analista de Sistemas/2010
As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as
ferramentas de IPS (sistemas de prevenção de intrusão).
Comentários:
É justamente ao contrário, certo pessoal?

Gabarito: E

37. CESPE – Banco da Amazônia/Técnico Científico – Redes e Telecomunicações/2012
Um IDS, diferentemente de um firewall, é capaz de reagir e enviar solicitação de desconexão quando
detecta alguma anomalia de tráfego na rede.
Comentários:
Mais uma vez, temos uma inversão de conceitos.
Gabarito: E

38. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010
Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas
distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o
segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado,
apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro,
reage bloqueando o tráfego indesejado.
Comentários:
Temos aqui uma inversão do primeiro conceito com o terceiro, assumindo que estamos utilizando o firewall do
tipo filtro de pacotes como referência.
Gabarito: E

39. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – TI/2013

Se um IPS (intrusion prevention system) for instalado logo acima do firewall, haverá um ganho de
segurança, visto que esse sistema poderá ser baseado em assinaturas de ataques e terá capacidade para
bloquear possíveis ameaças.

Comentários:
Conforme vimos, o IPS pode ser baseado em assinaturas ou comportamento. Em qualquer implementação, ele
com certeza agrega mais segurança ao sistema quando colocado à frente do Firewall, inclusive, barrando
ataques antes que estes cheguem ao firewall.

Gabarito: C

40. CESPE – Polícia Federal/Perito Criminal Federal/2013
O WIPS (Wireless Intrusion Prevention System) é um dispositivo que monitora o espectro de ondas de
rádio, buscando identificar a presença de pontos de acesso não autorizados. Ao detectar a presença de
sinais de rádio não autorizados, o WIPS pode enviar alerta ao administrador ou ao firewall da rede para
prevenir possíveis ataques.
Comentários:
Exatamente conforme vimos na nossa teoria, certo?

Gabarito: C

41. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
Splitting Wire e Optical Tap são técnicas usadas por sistemas IDS (intrusion detection system) para
monitorar o tráfego de equipamentos conectados a switches, ao passo que Port Mirror consiste no
espelhamento do tráfego de uma porta de comunicação para outra, que pode ser monitorada por um IDS.
Comentários:
Mais uma questão com as definições que vimos em sala, certo pessoal? Lembremos que além desses, também
temos o método de Port Span.
Gabarito: C

QUESTÕES COMENTADAS COMPLEMENTARES
FIREWALL/IPTABLES
1. Ano: 2021 Banca: FGV Órgão: TJ-RO Prova: FGV - 2021 - TJ-RO - Analista Judiciário - Analista de
Sistema - Desenvolvimento de Sistema
Roberto foi contratado por uma empresa para implementar uma solução de segurança para proteger sua
propriedade intelectual armazenada em sua rede interna, considerando os seguintes requisitos:
- único ponto de entrada e saída para a rede interna, de forma que o tráfego bidirecional possa ser
verificado e tenha controle de acesso para a rede interna, autorizando apenas o tráfego permitido;
- o servidor Web com o site da empresa, instalado na rede interna, deverá ser acessado por clientes
oriundos da Internet; e
- acesso seguro à rede interna para os funcionários que trabalhem em home office. Para atender aos
requisitos solicitados pela empresa, Roberto deve implementar um(a):
a) zona desmilitarizada (DMZ) onde ficará o servidor Web da empresa; outra zona desmilitarizada (DMZ)
para o banco de dados que o servidor Web da DMZ anterior faz acesso, cada uma possuindo seus firewalls
delimitando seus perímetros;
b) firewall separando as redes interna e externa; um servidor Web após o firewall, de forma que se permita
o controle de acesso e o site da empresa fique disponível aos clientes oriundos da Internet;
c) firewall entre
a rede interna e a externa, de forma que apenas o tráfego autorizado possa chegar ao site
da empresa; antivírus atualizado automaticamente em todos os computadores da rede interna, de forma a
protegê-los de malwares quando acessados pelos usuários em home office;
d) firewall para separar a rede interna da Internet; um sistema de detecção de intrusão (IDS), como segundo
nível de proteção, caso haja alguma violação do firewall; uma rede privada virtual (VPN) para acesso via
home office; e instalação do servidor Web após o firewall;
e) par de firewalls criando uma zona desmilitarizada (DMZ), um para separar a Internet da zona
desmilitarizada (DMZ) e o outro para separar a zona desmilitarizada (DMZ) da rede interna; instalação do
servidor Web na zona desmilitarizada (DMZ) para acesso via Internet; e configuração de uma rede privada
virtual (VPN) para o acesso via home office.

Comentário:
Pessoal, o item E descreve o arranjo que comentamos na nossa teoria em relação aos serviços de firewall e
DMZ. Veja que apesar do enunciado citar que o Firewall está na rede interna, mas como ele precisa ser
acessado externamente, deve-se migrá-lo para a DMZ. E, ainda, utilizar os dois firewalls para criar a estrutura
da DMZ, conforme descrito.
Apesar de não termos falado de VPN, por ser uma questão multidisciplinar, basta lembrar que a VPN, de
fato, cria uma conexão externa com a rede interna, como se o usuário estivesse conectado à rede interna, a
partir de um túnel seguro.

Gabarito: E

2. COMPERVE - 2020 - TJ-RN - Analista de Suporte Pleno - Infraestrutura
O comando abaixo foi digitado em um servidor que usa o Iptables como Firewall em uma organização.
O comando foi executado em um sistema operacional Linux Ubuntu 18.04.

iptables -I INPUT -p tcp -s 172.16.40.200/8 --dport 22 -j DROP

A execução desse comando

A permite a passagem de pacotes usando o protocolo telnet.
B acrescenta uma nova regra às existentes e bloqueia a porta 22.
C encaminha o pacote da máquina firewall para um outra máquina na rede.
D insere uma nova regra cujos pacotes com destino final são a própria máquina firewall.
Comentário:
Vamos lá pessoal.
-I -> Insere uma nova regra.
INPUT -> Está trabalhando na CHAIN INPUT, ou seja, tráfego de entrada com destino à própria
máquina.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
88
138

-p tcp -> Aplica a regra somente ao protocolo TCP
-s 172.16.40.200/8 --dport 22 -> Indica a origem do tráfego, tendo como porta de destino a 22.
-j DROP -> Comando para bloquear e descartar os pacotes.
Desse modo, a letra D descreve parte dos comandos, ao se afirmar que o tráfego tem como destino a própria
máquina. Cuidado com a letra B, pois ele não considera o bloqueio da porta 22 para o protocolo UDP, e
também não faz referência ao destino do tráfego, se é a própria máquina ou fluxo da rede.
Gabarito: D

a) ipchains -A output -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
b) ipchains -A input -s 127.0.0.1 -j DENY
c) ipchains -P output DENY
d) ipchains -A output -s 127.0.0.1 -j DENY
e) ipchains -A input -l -p icmp -d 200.10.15.1 -i eth0 -j REJECT

Comentário:
Pessoal, o IPCHAINS foi a versão anterior ao NetFilter, ainda na versão 2.2 do Kernel. Começa-se então com
o comando da ferramenta IPCHAINS.
Em seguida, tem-se o parâmetro “-A” que indica que a regra deverá ser inserida no fim da lista de
determinada cadeira. É importante mencionar que as regras são lidas uma a uma de cima para baixo até se
obter um “match” em alguma regra.
Em seguida, devemos determinar a cadeia em que a regra será inserida (INPUT, OUTPUT ou FORWARD). A
questão quer bloquear o tráfego que chega ao firewall proveniente do endereço de LOOPBACK. Logo, se
está chegando ao Firewall, devemos considerar a cadeia INPUT. O parâmetro “-s” e “-d” indicam,
respectivamente o endereço de origem e de destino.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
89
138

Como queremos bloquear o tráfego proveniente do loopback, termos então que o tráfego será gerado a
partir do endereço 127.0.0.1. Logo, devemos bloquear o tráfego com “-s 127.0.0.1”. E por último, eu digo à
ferramenta “-j” qual será o procedimento a ser tomado quando houver um “match” ou “batimento” com essa
regra (DENY ou ACCEPT). Como eu quero rejeitar esse tráfego, eu utilizo o “DENY”.
Pessoal, percebam que essa regra não bloqueia somente o tráfego ICMP, mas todo e qualquer tráfego
proveniente do endereço 127.0.0.1 que entre no firewall (INPUT), certo?
Um outro parâmetro interessante é o “-i” de interface. Com esse parâmetro, você pode selecionar em qual
interface de rede você deseja considerar a regra
Gabarito: B

As decisões de filtragem podem ser baseadas em:

I. Endereço IP de origem e de destino.
II. Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF etc.
III. Porta TCP ou UDP de origem e de destino.
IV. Flag bits do TCP: SYN, ACK etc.

Está correto o que consta em
a) I, II, III e IV.
b) I e IV, apenas.
c) II e III, apenas.
d) I e II, apenas.
e) III e IV, apenas.

Comentário:
Pessoal, conforme vimos nas figuras dos campos que são considerados pelo firewall do tipo filtro de pacotes,
a questão está correta. A dúvida poderia surgir em relação ao item II. Perceba que o campo TIPO de protocolo
corresponde ao campo PROTOCOLO na imagem abaixo, ok?

Gabarito: A

5. FCC – TRT – 6 ª Região (PE)/Analista Judiciário/2012
Um firewall
a) tem a capacidade de examinar todo o tráfego entre a rede local e a Internet de maneira que,
devidamente configurado, é uma ferramenta eficaz na prevenção de vírus
b) é independente da política de acesso de uma rede, de maneira que a definição ou não de uma tal política
não interfere em sua utilidade e eficácia.
c) serve para estabelecer a política de acesso de uma rede, de maneira que a escolha do tipo de firewall
utilizado determina a política de acesso da rede.
d) serve para implementar a política de acesso de uma rede, de maneira que tem pouca ou nenhuma utilidade
em um ambiente onde tal política não esteja definida.
e) tem a capacidade de bloquear o tráfego indesejado entre a rede local e a Internet de maneira que,
devidamente configurado, é uma ferramenta eficaz na prevenção de spam.

Comentário:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
91
138

Vamos aos itens:
a) Pessoal, vimos que o firewall não é um anti-virus, desse modo, não é eficaz contra esse
tipo de malware.
INCORRETO
b) A política de acesso tem tudo a ver com o firewall. Existem dois tipos de política de acesso: Aceita tudo
exceto o que for explicitamente bloqueado ou bloqueia tudo e aceita somente o que for explicitamente
permitido. Na prática, utiliza-se o segundo modelo, onde só permite o tráfego que for liberado explicitamente
no firewall. Caso o tráfego não coincida com nenhuma regra para ser devidamente permitido, este cairá na
regra geral que é bloquear. INCORRETO
c) A ordem está invertida. A partir da política, determina-se o tipo de firewall e as regras que serão aplicadas.
INCORRETO
d) Aqui sim temos a ordem correta.
e) De fato o firewall possui a capacidade de bloquear o tráfego nos dois sentidos. Entretanto, reforço que o
firewall não é um Anti-Spam, não sendo, portanto, eficaz nesse contexto. INCORRETO

Gabarito: D

6. FCC – MPE-PE/Analista Ministerial – Informática/2012
Sobre os firewalls é correto afirmar:
a) Protegem contra ameaças internas, como um funcionário insatisfeito ou um funcionário que coopera, sem
querer, com um atacante externo.
b) Protegem contra a transferência de programas ou arquivos infectados por vírus varrendo todos os arquivos,
mensagens e e-mails que chegam, em busca de vírus.
c) Apesar de um firewall oferecer local para monitorar eventos relacionados à segurança, auditorias e
alarmes não podem ser implementados no sistema de firewall.
d) Definem um único ponto de estrangulamento que mantém usuários não autorizados fora da rede protegida
e oferecem proteção contra diversos tipos de ataques de falsificação e roteamento do IP.
e) São plataformas convenientes exclusivamente para funções da Internet que estão relacionadas à
segurança, como determinar os serviços de Internet que podem ser acessados, filtrar o tráfego com base no IP
etc

Vamos aos itens:

O firewall é um elemento de borda entre a rede interna e a Internet. Desse modo, caso um usuário interno
realize um ataque, o firewall não terá como evitar. INCORRETO
b) Mais uma vez temos a questão de que o firewall não foi criado para essas características. Importante
ressaltar que a varredura de arquivos não é um recurso implementado pelo firewall. INCORRETO
c) A negativa tornou a questão falsa. Todos esses recursos podem ser fornecidos em sistemas de firewall.
INCORRETO
d) Temos aqui alguns ataques que podem ser evitados a partir do firewall como ataques de falsificação
(spoofing) e roteamento IP, através do bloqueio de determinados endeços. CORRETO
e) O termo exclusivo tornou a assertiva incorreta. O Firewall pode ser utilizado como elemento de defesa em
camadas internas na rede, antes mesmo de chegar à internet. Um exemplo disso seria a segunda camada de
defesa no arranjo de uma DMZ. INCORRETO

Gabarito: D

7. FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2012
Sobre os firewalls é correto afirmar:
a) Pode autorizar ou negar acesso, mas não pode registrar tudo o que está passando por ele.
b) Os firewalls de proxy examinam os pacotes superficialmente, não verificando seu conteúdo. Isso os torna
mais rápidos porém, menos eficientes.
c) O tráfego interno na mesma subrede de uma LAN, ou seja, o que não vai para uma rede externa, sempre
é tratado pelo firewall, pois todo o tráfego passa por ele.
d) Os firewalls de filtro de pacotes trabalham com uma lista de controle de acesso que é verificada antes
de um pacote ser encaminhado para a rede interna. A lista relaciona o tráfego que é permitido e o que deve
ser bloqueado.
e) Os firewalls de filtro de pacotes são rápidos porque a inspeção é feita em vários pacotes por vez. Eles
escondem automaticamente os endereços de rede e não requerem muitos testes para verificar suas
funcionalidades.

Vamos aos itens:

a) Justamente por ser um concentrador, o firewall registra todo o tráfego que passa por ele. INCORRETO
b) Os firewalls de proxies não são superficiais. No entanto que trabalham na camada de aplicação e geram
um custo de processamento maior pela necessidade de se avaliar os cabeçalhos de todos os protocolos
utilizados. INCORRETO
c) Se é tráfego interno, não há o que se falar de fluxo pelo firewall. INCORRETO
d) Temos aí uma boa definição de aplicação do firewall do tipo filtro de pacotes. CORRETO
e) Cada pacote é inspecionado individualmente. A vantagem do filtro de pacotes é que esse atua até alguns
campos da camada de transporte. INCORRETO

Gabarito: D

8. FCC – TCE-AP/Analista de Controle Externo – TI/2012
Sobre firewall é correto afirmar:
a) Um firewall proxy se baseia nas informações disponíveis nos cabeçalhos da camada de rede e de
transporte (IP e TCP/UDP) e não considera as informações disponíveis na própria mensagem.
b) Quando o processo de cliente-usuário envia uma mensagem, o firewall proxy executa um processo de
servidor para receber a solicitação. O servidor abre o pacote no nível de aplicação e determina se a
solicitação é legítima. Se for, o servidor atua como um processo de cliente e envia a mensagem para o
verdadeiro servidor na empresa.
c) Um firewall de filtragem de pacotes pode bloquear pacotes com base nas instruções contidas na
mensagem, ignorando os cabeçalhos da camada de transporte. Funciona como um roteador que usa uma
tabela de filtragem para decidir quais pacotes devem ser aceitos.
d) Um firewall de filtragem de pacotes é um computador proxy (gateway de aplicação), que fica posicionado
entre o computador cliente e o computador da empresa.
e) Os firewalls de filtragem de pacotes consideram a origem dos pacotes de dados e examinam os dados
anexos impedindo a passagem de vírus.

Vamos aos itens:
a) O firewall proxy atua na camada de aplicação. Possui a capacidade através do DEEP INSPECTION de
verificar o conteúdo das mensagens. INCORRETO
b) Conforme vimos, temos a descrição do procedimento de estabelecimento das duas conexões. Cliente – Proxy
e Proxy – Servidor. CORRETO
c) O filtro de pacotes não atua na camada de aplicação. Se restringe as informações dos cabeçalhos da
camada de rede e transporte. INCORRETO
d) Misturou todos os conceitos não é pessoal? INCORRETO
e) Não há análise de anexo ou varredura do arquivo. INCORRETO

Gabarito: B

9. FCC – TST/Analista Judiciário – TI/2012
A segurança da informação em uma rede local de computadores (LAN) deve ser monitorada e
implementada utilizando diversos tipos de ferramentas. Caso o gerente da rede local queira monitorar e
bloquear o acesso a páginas web com conteúdos NÃO permitidos, ele deve utilizar o serviço denominado

a) Bridge.
b) Firewall.
c) Gateway.
d) Proxy.
e) Router.

Comentário:
Pessoal, muito cuidado. Se quiséssemos bloquear todo e qualquer tráfego a qualquer página na web,
poderíamos utilizar o firewall para bloquear a porta 80 do HTTP e a porta 443 do HTTPS.
Entretanto, para se filtrar páginas específicas de acesso, deve-se verificar o cabeçalho das aplicações, e isso
só é possível através de um Proxy.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis
Robert junior
95
138

Gabarito: D

10. FCC – MPE-PE/Analista Ministerial – Informática/2012
Um firewall é um mecanismo que isola uma rede do resto da Internet por meio
a) da verificação de vírus de computador e outros tipos de malware em mensagens de e-mail.
b) da autenticação de usuários por meio de mecanismos biométricos.
c) da filtragem seletiva de pacotes, usando apenas informações do cabeçalho do pacote.
d) do estabelecimento de uma área de alta segurança, chamada DMZ (demilitarized zone), ao redor do
gateway.
e) da verificação de assinaturas de ataques contidas em um banco de dados.

Comentário:
Temos aí a descrição sucinta da atuação do firewall na filtragem seletiva dos pacotes, permitindo o bloqueio
do tráfego a partir das informações dos cabeçalhos dos diversos protocolos encapsulados.

Gabarito: C

11. FCC - 2013 - SEFAZ-SP - Agente Fiscal de Rendas - Gestão Tributária - Prova 3

O dispositivo identificado pela letra A tem por função bloquear os acessos indevidos provenientes da
Internet para a rede local (LAN), por meio da verificação do endereço (IP), é conhecido como:
a) anti-vírus
b) bridge.
c) firewall.
d) gateway.
e) server.

Comentários:
Questão bem tranquila a respeito da localização e posicionamento de um firewall para proteger a rede
interna de uma organização.

Gabarito: C

12. FCC – SEFAZ-SP/Agente Fiscal de Rendas/2013
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
97
138

Para responder à questão, considere o diagrama abaixo. Ele representa uma estrutura típica de redes de
computadores instalada em uma pequena organização

O dispositivo identificado pela letra A tem por função bloquear os acessos indevidos provenientes da Internet
para a rede local (LAN), por meio da verificação do endereço (IP), é conhecido como:
a) anti-vírus
b) bridge.
c) firewall.
d) gateway.
e) server.

Comentário:
Questão bem tranquila, certo pessoal? Elemento de borda na rede entre a Internet, a rede interna e a DMZ
ou Bastion Host (Elemento E), teremos um firewall.

Gabarito: C
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
98
138

13. FCC – TRT – 13ª Região (PB)/Analista Judiciário – TI/2014
Atualmente, os firewalls desempenham papel fundamental na proteção da rede local de computadores
contra invasões. O analista de tecnologia da informação do TRT da 13a Região deve escolher o tipo de
firewall a ser utilizado no Tribunal para que o firewall verifique os pacotes recebidos em busca das
informações da camada de rede e da camada de transporte. Esse tipo de firewall é conhecido como de
a) aplicação.
b) filtragem de pacotes.
c) servidor proxy.
d) sessão.
e) zona desmilitarizada (DMZ).

Comentário:
Relembrando sempre a diferença do firewall do tipo filtro de pacotes e proxy. O primeiro atua a nível da
camada de rede e transporte, enquanto o segundo atua a nível da camada de aplicação.
Gabarito: B

14. FCC – TRT-RS/Analista Judiciário/2015
Como recurso de segurança, a rede de computadores do TRT possui um Firewall, instalado entre a Rede
Local (LAN) e a Rede Ampla (WAN), e que inclui a DMZ. Para que o Firewall do TRT opere de forma
adequada, na DMZ deve ser instalado o servidor de

a) arquivos compartilhados na LAN.
b) páginas web de acesso público.
c) banco de dados do TRT.
d) aplicativos do TRT.
e) emails do TRT.

Comentário:
A principal característica da DMZ é fornecer uma área para implementação de serviços e servidores que
necessitam ser utilizados por usuários externos à instituição e internos. Desse modo, estando em uma área
isolada, caso haja algum comprometimento de algum servidor nessa área, a rede interna, em um primeiro
momento, não será afetada. Assim, dos serviços apresentados na questão, o único que fornece acesso público
direto e explícito é a alternativa B. Vale mencionar que, caso se deseje utilizar serviços de email externamente,
pode-se utilizar um serviço específico para esse fim na DMZ com acesso público mapeando e coletando as
informações do servidor principal de email, estando este último localizado na rede interna.
Então pessoal, mais uma vez, a alternativa que mais explicita as características que mencionamos acima, é a
alternativa B. Porém, fica a observação apresentada.
Gabarito: B

I. Apenas os pacotes destinados ao IP da máquina atual serão avaliados por eventuais regras existentes nesta
Tabela.
II. Serão avaliados pelas regras presentes nesta lista apenas os pacotes originados por processos locais da
máquina e que estão saindo dela.
III. Os pacotes que estão sendo repassados por esta máquina, não são para ela e nem originados por ela,
serão avaliados por estas regras.

As Chains referenciadas por I, II e III, são, respectivamente:
a) INPUT -- OUTPUT - FORWARD.
b) PREROUTING - POSTROUTING - INROUTING.
c) INCHAIN - OUTCHAIN - FORWCHAIN.
d) P_INPUT - IP_OUTPUT - IP_PASSBY.
e) PRE_FILTER - POST_FILTER - PASSBY_FILTER.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
100
138

Comentário:
Vimos que as três chains (cadeias) são a INPUT, OUTPUT e FORWARD com a devida correspondência ao
enunciado da questão.
Gabarito: A

16. COVEST-COPSET – UFPE/Analista de Tecnologia da Informação – Suporte/2013
Qual das seguintes sequências de comandos limpa as definições de firewall usando iptables e logo após
lista a tabela final?

a) iptables –F && iptables –L
b) iptables –M && iptables –L
c) iptables –F && iptables –M
d) iptables –F && iptables –T
e) iptables –T && iptables –L

Comentário:
Pessoal, se realizarmos o comando “iptables –F”, sendo o F de FLUSH, limparemos todas as regras da tabela
de FILTER ou de filtragem. Para listamos as regras que estão inseridas, basta digitarmos “iptables –L”. Nesse
caso, após efetuar a limpeza, termos tabelas vazias sem regras, apenas sendo aplicados as políticas padrão
(Policies) em cada uma das CHAINS. O comando iptables –T é utilizado para referenciar a tabela de NAT.

Gabarito: A

17. ND – CEFET-MG/Técnico de Laboratório – Informática/2014
A configuração do firewall, no Linux, para se obter a política padrão mais segura, é

a) iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD
DROP

b) iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

c) iptables -Z INPUT
iptables -Z OUTPUT
iptables -Z FORWARD

d) iptables -L INPUT
iptables -L OUTPUT
iptables -L FORWARD

e) iptables -E permitir bloquearInput
iptables -E permitir bloquearOutput
iptables -E permitir bloquearForward

Comentário:
Temos aqui o comando para alterar as políticas que serão padrão para cada cadeira. Se queremos um
ambiente mais segura, devemos implementar políticas mais rígidas e restritas. Logo, devemos bloquear tudo
exceto aquilo que for explicitamente permitido.
Assim, define-se a política DROP para as três cadeias conforme descrição na alternativa A. O parâmetro –P
indica que será definido a política padrão.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
102
138

Gabarito: A

18. FCC – TRT-15ªRegião/Analista Judiciário – TI/2015
Com respeito à DMZ, do termo em inglês “DeMilitarized Zone”, ou seja, “Zona Desmilitarizada”
considere:

I. Tem como função manter os serviços que possuem acesso externo separados da rede local, restringindo ao
máximo um potencial dano causado por algum invasor, tanto interno como externo.
II. Permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro e também
o acesso deles à rede corporativa interna.
III. Tem como papel principal ser uma rede “tampão” entre as redes externa e interna.
IV. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de
acesso entre ela, a rede local e a Internet.

Está correto o que consta APENAS em
a) II.
b) I, III e IV.
c) II, III e IV.
d) I e II.
e) I e III.

Comentário:
Temos um erro apenas na alternativa II quando há a afirmativa de provimento de acesso à rede corporativa
interna para os usuários externos, quando o propósito da DMZ é justamente o contrário, conforme descrição
das outras alternativas.

Gabarito: B

19. FCC – TJ-AP/Analista Judiciário – TI/2014
Um dos dispositivos utilizados em rede de computadores para aumentar a segurança é o Firewall, que é
instalado na fronteira da rede local com a rede ampla. Na estrutura de um Firewall que possui a DMZ,
pode ser encontrado, dentro da DMZ, um servidor
a) LDAP.
b) de páginas Web públicas.
c) Proxy.
d) de backup de arquivos privados.
e) DHCP.

Comentário:
Conforme já vimos, a DMZ visa disponibilizar serviços que possuem como perfil de acesso tanto usuários
externos quanto internos. Desse modo, podemos avaliar os itens:

a) LDAP é um serviço de caráter interno.
b) Páginas Web Públicas podem ser acessadas por usuários externos quanto internos, como por exemplo, a
própria página da empresa ou órgão.
c) Proxy é um elemento de borda que atua em conjunto com o firewall e busca isolar a rede interna da DMZ
e da rede externa.
d) Backpus possuem caráter interno, principalmente com a especificação de serem privados.
e) DHCP possui um caráter interno para distribuição de endereçamento IP.
Dessa forma, nos resta ficar com a alternativa B.
Gabarito: B

b) Filtro de conteúdo, para analisar todo o tráfego que circula entre a rede local e a internet, impedindo o
acesso a sites utilizando bloqueio por palavra-chave, por URL ou por horário.
c) Sistema de Prevenção de Intrusão − IDS, um sistema passivo que examina o tráfego e informa sobre
ameaças, após o firewall.
d) Sistema de Detecção de Intrusão − IPS antes do firewall, para analisar ativamente o fluxo de tráfego que
entra na rede e realizar ações de bloqueio automaticamente.
e) Roteador IP com recurso de NAT no ponto de conexão entre a VPN e a internet, para converter endereços
IPv6 de computadores da VPN em endereços IPv4 da internet.

Comentário:
Vamos aos itens
a) A VPN é o recurso de criação de um túnel seguro entre dois hosts, com o intuito de prover uma comunicação
segura entre esses mesmos hosts diretamente, como um P2P, por exemplo, ou entre dois nós no intuito de criar
um túnel para utilização de outros hosts, como é o caso de uma VPN entre dois firewalls (matriz e filial). Para
este item, tivemos uma confusão total certo? Firewall com a intranet e VPN para a Internet? INCORRETO
b) Muito cuidado para não confundir com filtro de pacotes, não é? O filtro de pacotes é um tipo de firewall
da camada 3 que possui uma série de restrições em termos da capacidade de analisar o tráfego.
Diferentemente do filtro de conteúdo que é capaz de realizar ações na camada de aplicação e averiguar as
informações dos conteúdos dos pacotes, entre elas, os exemplos mencionados no item. CORRETO
c) Primeiro ponto é que sistema de prevenção de intrusão é o IPS e não o IDS. Este sistema é ativo, sendo
capaz de bloquear determinado tipo de tráfego. INCORRETO
d) Mais uma vez uma inversão. Sistema de Detecção de Intrusão é o IDS. Este sim possui um comportamento
passivo, apenas identificando e informando ou alertando, sem a capacidade de realizar bloqueios
preventivamente. INCORRETO
e) O NAT não possui a finalidade de realizar a conversão de protocolos diferentes, como é o caso do IPv4
para IPv6 e vice-versa. Para este ponto devem-se utilizar recursos de transição, como o TEREDO ou pilha dupla.
INCORRETO
Gabarito: B

21. FCC – TRT -14ª Região (RO e AC)/Técnico Judiciário – TI/2016
Um Técnico precisa encontrar uma solução de segurança que seja capaz de realizar as ações:
− Enviar um alarme ao administrador;
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
105
138

− Derrubar pacotes maliciosos;
− Bloquear o tráfego a partir do endereço de origem;
− Redefinir a conexão.
A solução correta indicada pelo Técnico é utilizar um

a) Filtro de conteúdo.
b) Firewall multidirecional.
c) Sistema de Detecção de Intrusão (IDS).
d) Sistema de Prevenção de Intrusão (IPS).
e) Roteador IP com recurso de NAT.

Comentário:
Pessoal, temos um sistema capaz de gerar alarmes e agir ativamente no tráfego. As ações elencadas que
possuem um caráter ativo determina o papel de um IPS, diferentemente de um IDS que realizaria apenas a
primeira ação de detecção e envio de alarmes.
Analisando friamente, em firewalls robustos, também podemos ter essas ações, uma vez que é possível
configurar logs e monitoramento específico com geração de alertas, bem como controlar o tráfego. Entretanto,
firewall multidirecional é demais.
O filtro de pacote, que é um tipo de firewall não atua na redefinição de conexão por não interpretar os
estados de conexão como um firewall statefull.
Gabarito: D

LISTA DE QUESTÕES
Firewall/Iptables
1. FGV - 2022 - TJ-TO - Técnico Judiciário – Informática

O dispositivo de rede que tem como característica manter uma tabela de conexão, contendo uma entrada
para cada conexão estabelecida,

é o:
A filtro de pacote;
B filtro de pacote com controle de estado;
C gateway em nível de aplicação;
D gateway em nível de circuito;
E Sistema de Prevenção de Intrusão (IPS).

2. CESPE – CGE-PI/Auditor Governamental/2015
O firewall IPTABLES permite o uso de filtro de pacotes, de forma a controlar o fluxo de dados entre a rede
local e a Internet, interferindo em situações normais até a camada de transporte do modelo TCP/IP.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
107
138

5. CESPE – ICMBIO/Nível Médio/2014
Um firewall filtra o tráfego de entrada e saída entre a rede interna e a externa.

6. CESPE – TCU/Técnico Federal de Controle Externo/2015
O firewall é capaz de proteger o computador tanto de ataques de crackers quanto de ataques de vírus.

10. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia da Informação

O firewall representado é um sistema que isola áreas distintas da rede de dados e que delimita os
domínios de confiança.

12. CESPE – SERPRO/Analista – Redes/2013
O Kernel do Linux, na versão 2.6 ou superior, suporta nativamente a capacidade de filtro de pacotes
TCP/IP por meio do sistema SELINUX.

14. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
109
138

O SELinux (security enhanced linux) pode operar em três modos distintos: Enforcing, no qual as regras
estão aplicadas, e logs de todas as operações são gerados; Permissive, no qual as regras estão
desativadas, mas logs de todas as operações são gerados; e Disabled, no qual as regras e os logs estão
totalmente desativados.

17. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
No modo Permissive, o SELinux estará habilitado, mas apenas gera alarmes e log das ações no sistema.

Iptables
19. FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Segurança da Informação
A ferramenta iptables é comumente utilizada para limitar o tráfego de dados como forma de proteção
contra a entrada de intrusos e a saída de dados secretos.
A expressão que inclui uma regra na iptables, definindo o descarte dos pacotes de dados HTTP que
chegam na porta 80 em qualquer interface de rede de um dado servidor, é:
a) iptables -A OUTPUT -p all --dport 80 -j REJECT
b) iptables -A INPUT -p tcp --dport 80 -j DROP
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
110
138

c) iptables -A OUTPUT -o eth1 --dport 80 -j DROP
d) iptables -A INPUT -i eth1 --dport 80 -j RETURN
e) iptables -A OUTPUT -p tcp --dport 80 -j REJECT

Com base nessa situação hipotética, julgue os itens a seguir.
O comando iptables –I FORWARD –s 10.10.10.10 –p udp --sport 53 –j DENY fará que o tráfego cuja porta
de origem é DNS seja negado

Com base nessa situação hipotética, julgue os itens a seguir.

O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 22 –j ACCEPT fará que o tráfego cuja
porta de destino é FTP seja aceito.

O comando iptables –I FORWARD –d 10.10.10.10 –p tcp --dport 80 –j ACCEPT fará que o tráfego cuja
porta de origem é HTTP seja permitido.

26. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
A execução do código mostrado a seguir provocará o bloqueio do tráfego de saída do ICMP do tipo echo-
request.

iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP

27. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
O comando mostrado a seguir redireciona uma conexão TCP da porta 5000 para a porta 22.

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-ports 5000

PROXY
28. CESPE – CGE-PI/Auditor Governamental/2015
Após uma auditoria de segurança na rede de comunicação de determinado órgão do governo,
constatou-se que a parte de navegação na Internet desse órgão não possuía nenhum tipo de filtro de
pacotes. Por isso, o auditor solicitou a instalação de um firewall Linux IPTABLES e um proxy SQUID entre
as estações da rede e a Internet.

Considerando essa situação hipotética, julgue o item que se segue, relativo a firewall e proxy.
O proxy SQUID permite a filtragem de URLs que façam uso do protocolo HTTP e também permite a criação
de listas de acesso conforme a necessidade de filtragem.

29. CESPE – FUB/Técnico de TI/2015
O firewall pode ser utilizado como uma barreira para filtrar o tráfego entre a rede interna de uma empresa
e a Internet. O proxy é um modelo de firewall que tem a finalidade de filtrar os pacotes que se baseiam
nos routers disponíveis na rede.

30. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013
O serviço de proxy no sistema operacional Linux, provido pelo software Squid, utiliza o protocolo HTTP,
sendo capaz de fazer cache de páginas web estáticas e otimizar o acesso, diminuindo o consumo
do link de Internet. Além disso, é capaz de filtrar acessos a sítios webdefinidos previamente em sua
configuração.
IDS/IPS
31. CESPE – SE-DF/Analista de Redes/2017
Em uma varredura de arquivos armazenados, se um arquivo legítimo do usuário for classificado como
vírus por um software antivírus, então tal ocorrência caracterizará um falso negativo.

32. CESPE – SE-DF/Analista de Redes/2017
Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer
padrões de intrusões usando métodos como redes neurais.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
113
138

33. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013
Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede,
gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

34. CESPE – STM/Analista Judiciário – Análise de Sistemas/2011
IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando
o tráfego, quando algum evento relevante é detectado.

35. CESPE – TJ-AC/Técnico Judiciário – Informática/2012
O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que,
respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet.

36. CESPE – TCE-ES/Auditor de Controle Externo/2012
Um ataque do tipo DDoS é caracterizado pela inundação de tráfego em uma rede, muitas vezes com
características de tráfego legítimo. Em virtude de ser um tipo de ataque facilmente detectado, pode ser
bloqueado por meio de firewall e IDS

37. CESPE – Banco da Amazônia/Técnico Científico – TI/2010
Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos,
sendo mais severos os efeitos nos IPS que nos IDS.

38. CESPE – DETRAN-ES/Analista de Sistemas/2010
As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as
ferramentas de IPS (sistemas de prevenção de intrusão).

39. CESPE – Banco da Amazônia/Técnico Científico – Redes e Telecomunicações/2012
Um IDS, diferentemente de um firewall, é capaz de reagir e enviar solicitação de desconexão quando
detecta alguma anomalia de tráfego na rede.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
114
138

40. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010
Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas
distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o
segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado,
apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro,
reage bloqueando o tráfego indesejado.

41. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – TI/2013

42. 40. CESPE – Polícia Federal/Perito Criminal Federal/2013
O WIPS (Wireless Intrusion Prevention System) é um dispositivo que monitora o espectro de ondas de
rádio, buscando identificar a presença de pontos de acesso não autorizados. Ao detectar a presença de
sinais de rádio não autorizados, o WIPS pode enviar alerta ao administrador ou ao firewall da rede para
prevenir possíveis ataques.

43. 41. CESPE – STJ/Analista Judiciário – Suporte em TI/2015
Splitting Wire e Optical Tap são técnicas usadas por sistemas IDS (intrusion detection system) para
monitorar o tráfego de equipamentos conectados a switches, ao passo que Port Mirror consiste no
espelhamento do tráfego de uma porta de comunicação para outra, que pode ser monitorada por um IDS.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
115
138

LISTA DE QUESTÕES COMPLEMENTARES
Firewall/Iptables
1. Ano: 2021 Banca: FGV Órgão: TJ-RO Prova: FGV - 2021 - TJ-RO - Analista Judiciário - Analista de
Sistema - Desenvolvimento de Sistema
Roberto foi contratado por uma empresa para implementar uma solução
de segurança para proteger sua
propriedade intelectual armazenada em sua rede interna, considerando os seguintes requisitos:
- único ponto de entrada e saída para a rede interna, de forma que o tráfego bidirecional possa ser
verificado e tenha controle de acesso para a rede interna, autorizando apenas o tráfego permitido;
- o servidor Web com o site da empresa, instalado na rede interna, deverá ser acessado por clientes
oriundos da Internet; e
- acesso seguro à rede interna para os funcionários que trabalhem em home office. Para atender aos
requisitos solicitados pela empresa, Roberto deve implementar um(a):
a) zona desmilitarizada (DMZ) onde ficará o servidor Web da empresa; outra zona desmilitarizada (DMZ) para
o banco de dados que o servidor Web da DMZ anterior faz acesso, cada uma possuindo seus firewalls
delimitando seus perímetros;
b) firewall separando as redes interna e externa; um servidor Web após o firewall, de forma que se permita
o controle de acesso e o site da empresa fique disponível aos clientes oriundos da Internet;
c) firewall entre a rede interna e a externa, de forma que apenas o tráfego autorizado possa chegar ao site
da empresa; antivírus atualizado automaticamente em todos os computadores da rede interna, de forma a
protegê-los de malwares quando acessados pelos usuários em home office;
d) firewall para separar a rede interna da Internet; um sistema de detecção de intrusão (IDS), como segundo
nível de proteção, caso haja alguma violação do firewall; uma rede privada virtual (VPN) para acesso via
home office; e instalação do servidor Web após o firewall;
e) par de firewalls criando uma zona desmilitarizada (DMZ), um para separar a Internet da zona
desmilitarizada (DMZ) e o outro para separar a zona desmilitarizada (DMZ) da rede interna; instalação do
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
117
138

servidor Web na zona desmilitarizada (DMZ) para acesso via Internet; e configuração de uma rede privada
virtual (VPN) para o acesso via home office.

iptables -I INPUT -p tcp -s 172.16.40.200/8 --dport 22 -j DROP

A execução desse comando

3. FCC – MPE-MA/Analista Ministerial – Segurança da Informação/2013
Usando a linha de comando, em ambiente operacional Linux, para criar uma regra em um firewall para
rejeitar todos os pacotes ICMP provenientes do endereço loopback pode-se usar
a) ipchains -A output -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT
b) ipchains -A input -s 127.0.0.1 -j DENY
c) ipchains -P output DENY
d) ipchains -A output -s 127.0.0.1 -j DENY
e) ipchains -A input -l -p icmp -d 200.10.15.1 -i eth0 -j REJECT

4. FCC – MPE-PE/Técnico Ministerial – Informática/2012
Um firewall de filtragem de pacotes examina cada datagrama individualmente, determinando se ele deve
passar ou ficar retido baseado nas regras específicas do administrador.
As decisões de filtragem podem ser baseadas em:
I. Endereço IP de origem e de destino.
II. Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF etc.
III. Porta TCP ou UDP de origem e de destino.
IV. Flag bits do TCP: SYN, ACK etc.
Está correto o que consta em
a) I, II, III e IV.
b) I e IV, apenas.
c) II e III, apenas.
d) I e II, apenas.
e) III e IV, apenas.

5. FCC – TRT – 6 ª Região (PE)/Analista Judiciário/2012
Um firewall
a) tem a capacidade de examinar todo o tráfego entre a rede local e a Internet de maneira que, devidamente
configurado, é uma ferramenta eficaz na prevenção de vírus
b) é independente da política de acesso de uma rede, de maneira que a definição ou não de uma tal política
não interfere em sua utilidade e eficácia.
c) serve para estabelecer a política de acesso de uma rede, de maneira que a escolha do tipo de firewall
utilizado determina a política de acesso da rede.
d) serve para implementar a política de acesso de uma rede, de maneira que tem pouca ou nenhuma
utilidade em um ambiente onde tal política não esteja definida.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
119
138

e) tem a capacidade de bloquear o tráfego indesejado entre a rede local e a Internet de maneira que,
devidamente configurado, é uma ferramenta eficaz na prevenção de spam.

6. FCC – MPE-PE/Analista Ministerial – Informática/2012
Sobre os firewalls é correto afirmar:

a) Protegem contra ameaças internas, como um funcionário insatisfeito ou um funcionário que coopera,
sem querer, com um atacante externo.
b) Protegem contra a transferência de programas ou arquivos infectados por vírus varrendo todos os
arquivos, mensagens e e-mails que chegam, em busca de vírus.
c) Apesar de um firewall oferecer local para monitorar eventos relacionados à segurança, auditorias e
alarmes não podem ser implementados no sistema de firewall.
d) Definem um único ponto de estrangulamento que mantém usuários não autorizados fora da rede
protegida e oferecem proteção contra diversos tipos de ataques de falsificação e roteamento do IP.
e) São plataformas convenientes exclusivamente para funções da Internet que estão relacionadas à
segurança, como determinar os serviços de Internet que podem ser acessados, filtrar o tráfego com base no
IP etc

7. FCC – TRE-SP/Analista Judiciário – Análise de Sistemas/2012
Sobre os firewalls é correto afirmar:
a) Pode autorizar ou negar acesso, mas não pode registrar tudo o que está passando por ele.
b) Os firewalls de proxy examinam os pacotes superficialmente, não verificando seu conteúdo. Isso os torna
mais rápidos porém, menos eficientes.
c) O tráfego interno na mesma subrede de uma LAN, ou seja, o que não vai para uma rede externa, sempre
é tratado pelo firewall, pois todo o tráfego passa por ele.
d) Os firewalls de filtro de pacotes trabalham com uma lista de controle de acesso que é verificada antes de
um pacote ser encaminhado para a rede interna. A lista relaciona o tráfego que é permitido e o que deve ser
bloqueado.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
120
138

e) Os firewalls de filtro de pacotes são rápidos porque a inspeção é feita em vários pacotes por vez. Eles
escondem automaticamente os endereços de rede e não requerem muitos testes para verificar suas
funcionalidades.

8. FCC – TCE-AP/Analista de Controle Externo – TI/2012
Sobre firewall é correto afirmar:
a) Um firewall proxy se baseia nas informações disponíveis nos cabeçalhos da camada de rede e de
transporte (IP e TCP/UDP) e não considera as informações disponíveis na própria mensagem.
b) Quando o processo de cliente-usuário envia uma mensagem, o firewall proxy executa um processo de
servidor para receber a solicitação. O servidor
abre o pacote no nível de aplicação e determina se a solicitação
é legítima. Se for, o servidor atua como um processo de cliente e envia a mensagem para o verdadeiro
servidor na empresa.
c) Um firewall de filtragem de pacotes pode bloquear pacotes com base nas instruções contidas na
mensagem, ignorando os cabeçalhos da camada de transporte. Funciona como um roteador que usa uma
tabela de filtragem para decidir quais pacotes devem ser aceitos.
d) Um firewall de filtragem de pacotes é um computador proxy (gateway de aplicação), que fica posicionado
entre o computador cliente e o computador da empresa.
e) Os firewalls de filtragem de pacotes consideram a origem dos pacotes de dados e examinam os dados
anexos impedindo a passagem de vírus.

a) Bridge.
b) Firewall.
c) Gateway.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
121
138

d) Proxy.
e) Router.

10. FCC – MPE-PE/Analista Ministerial – Informática/2012
Um firewall é um mecanismo que isola uma rede do resto da Internet por meio

a) da verificação de vírus de computador e outros tipos de malware em mensagens de e-mail.
b) da autenticação de usuários por meio de mecanismos biométricos.
c) da filtragem seletiva de pacotes, usando apenas informações do cabeçalho do pacote.
d) do estabelecimento de uma área de alta segurança, chamada DMZ (demilitarized zone), ao redor do
gateway.
e) da verificação de assinaturas de ataques contidas em um banco de dados.

11. FCC - 2013 - SEFAZ-SP - Agente Fiscal de Rendas - Gestão Tributária - Prova 3

a) anti-vírus
b) bridge.
c) firewall.
d) gateway.
e) server.

12. FCC – SEFAZ-SP/Agente Fiscal de Rendas/2013
Para responder à questão, considere o diagrama abaixo. Ele representa uma estrutura típica de
redes de computadores instalada em uma pequena organização

a) anti-vírus
b) bridge.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
123
138

c) firewall.
d) gateway.
e) server.

a) aplicação.
b) filtragem de pacotes.
c) servidor proxy.
d) sessão.
e) zona desmilitarizada (DMZ).

a) arquivos compartilhados na LAN.
b) páginas web de acesso público.
c) banco de dados do TRT.
d) aplicativos do TRT.
e) emails do TRT.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
124
138

15. FCC – TRT – 18ª Região (GO)/Analista Judiciário – TI/2013
Em sistemas Linux em que está presente, o iptables funciona através de regras para o firewall, de forma a
fazer com que os pacotes possam ser ou não recebidos na rede ou em algum host. Para isso utiliza Tabelas,
Chains e Regras. A Tabela filter possui três conjuntos de regras ou cadeias (Chains), que são caminhos
diferentes por onde os seguintes pacotes de rede passam:
I. Apenas os pacotes destinados ao IP da máquina atual serão avaliados por eventuais regras existentes
nesta Tabela.
II. Serão avaliados pelas regras presentes nesta lista apenas os pacotes originados por processos locais da
máquina e que estão saindo dela.
III. Os pacotes que estão sendo repassados por esta máquina, não são para ela e nem originados por ela,
serão avaliados por estas regras.
As Chains referenciadas por I, II e III, são, respectivamente:

a) INPUT -- OUTPUT - FORWARD.
b) PREROUTING - POSTROUTING - INROUTING.
c) INCHAIN - OUTCHAIN - FORWCHAIN.
d) P_INPUT - IP_OUTPUT - IP_PASSBY.
e) PRE_FILTER - POST_FILTER - PASSBY_FILTER.

a) iptables –F && iptables –L
b) iptables –M && iptables –L
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
125
138

c) iptables –F && iptables –M
d) iptables –F && iptables –T
e) iptables –T && iptables –L

17. ND – CEFET-MG/Técnico de Laboratório – Informática/2014
A configuração do firewall, no Linux, para se obter a política padrão mais segura, é

a) iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
b) iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
c) iptables -Z INPUT
iptables -Z OUTPUT
iptables -Z FORWARD
d) iptables -L INPUT
iptables -L OUTPUT
iptables -L FORWARD
e) iptables -E permitir bloquearInput
iptables -E permitir bloquearOutput
iptables -E permitir bloquearForward

18. FCC – TRT-15ªRegião/Analista Judiciário – TI/2015
Com respeito à DMZ, do termo em inglês “DeMilitarized Zone”, ou seja, “Zona Desmilitarizada”
considere:
I. Tem como função manter os serviços que possuem acesso externo separados da rede local, restringindo
ao máximo um potencial dano causado por algum invasor, tanto interno como externo.
II. Permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro e
também o acesso deles à rede corporativa interna.
III. Tem como papel principal ser uma rede “tampão” entre as redes externa e interna.
IV. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle
de acesso entre ela, a rede local e a Internet.
Está correto o que consta APENAS em

a) II.
b) I, III e IV.
c) II, III e IV.
d) I e II.
e) I
e III.

a) LDAP.
b) de páginas Web públicas.
c) Proxy.
d) de backup de arquivos privados.
e) DHCP.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
127
138

20. FCC – TRT -14ª Região (RO e AC)/Analista Judiciário – TI/2016
Um Analista sugeriu corretamente instalar, como mecanismo de segurança da informação, um
a) Servidor firewall à frente do VPN. O servidor firewall seria conectado à intranet e o VPN seria posicionado
entre o servidor firewall e a internet para bloquear totalmente os acessos indevidos.
b) Filtro de conteúdo, para analisar todo o tráfego que circula entre a rede local e a internet, impedindo o
acesso a sites utilizando bloqueio por palavra-chave, por URL ou por horário.c) Sistema de Prevenção de
Intrusão − IDS, um sistema passivo que examina o tráfego e informa sobre ameaças, após o firewall.
d) Sistema de Detecção de Intrusão − IPS antes do firewall, para analisar ativamente o fluxo de tráfego que
entra na rede e realizar ações de bloqueio automaticamente.
e) Roteador IP com recurso de NAT no ponto de conexão entre a VPN e a internet, para converter endereços
IPv6 de computadores da VPN em endereços IPv4 da internet.

21. FCC – TRT -14ª Região (RO e AC)/Técnico Judiciário – TI/2016
Um Técnico precisa encontrar uma solução de segurança que seja capaz de realizar as ações:
− Enviar um alarme ao administrador;
− Derrubar pacotes maliciosos;
− Bloquear o tráfego a partir do endereço de origem;
− Redefinir a conexão.
A solução correta indicada pelo Técnico é utilizar um

a) Filtro de conteúdo.
b) Firewall multidirecional.
c) Sistema de Detecção de Intrusão (IDS).
d) Sistema de Prevenção de Intrusão (IPS).
e) Roteador IP com recurso de NAT.

GABARITO
Gabarito – Questões CESPE
1 B 22 E
2 C 23 E
3 E 24 C
4 E 25 C
5 C 26 C
6 C 27 E
7 C 28 C
8 C 29 E
9 C 30 C
10 C 31 E
11 C 32 C
12 E 33 E
13 C 34 E
14 C 35 E
15 E 36 E
16 E 37 C
17 C 38 E
18 E 39 E
19 B 40 E
20 C 41 C
21 E 42 C
43 C

Gabarito – Questões Complementares
1 D 11 C
2 E 12 C
3 B 13 B
4 A 14 B
5 D 15 A
6 D 16 A
7 D 17 A
8 B 18 B
9 D 19 B
10 C 20 B
21 D

RESUMO
 FIREWALLS E PRINCIPAIS CONCEITOS

o Firewall é parede de fogo, é o elemento de borda da rede que concentra a entrada e saída dos pacotes
da nossa rede.

o Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em prova.
São elas: dual-homed host, Screened host, Screened Subnet host.

o Principais conceitos
 Filtros
 Proxies
 Bastion hosts
 HoneyPot
 DMZ
 NAT
 VPN
 Autenticação/certificação

 CLASSIFICAÇÃO DOS FIREWALLS

o Os firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual
camada o firewall atuará.

o Firewall Bridge: Esse tipo de firewall atua na camada de enlace do modelo OSI.

o Firewall – Filtro de Pacotes: Também conhecido como Firewall estático. Ele atua na camada de
rede e é capaz de obter algumas informações a respeito da camada de transporte. A sua
capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as
portas de origem e destino.

o Filtros de Pacotes Baseados em Estados: Também conhecidos como filtro de pacotes dinâmicos ou
Statefull.Esse tipo de firewall não se restringe à análise dos cabeçalhos conforme vimos
anteriormente.

o Proxy: Estes possuem a capacidade de atuar a nível da camada de aplicação averiguando as
informações dos cabeçalhos que fazem parte dessa camada.

o Proxy reverso: Esse conceito gera alguns benefícios na implementação de serviços HTTP no lado
do servidor. Temos recursos de proteção, balanceamento e distribuição de requisições e
armazenamento em cache das informações estáticas.

o Web Application Firewall – WAF: Esse tipo de firewall foi criado especificamente para proteger
aplicações WEB (na perspectiva do servidor que oferece o serviço) de ataques sofisticados na
camada de aplicação. Possuem como característica o controle dos tráfegos de entrada e saída,
bem como os acessos aos serviços da aplicação.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
132
138

o Unified Threat Management (UTM): É conhecido como uma solução capaz de incorporar as
diversas tecnologias e soluções em um único equipamento ou appliance.

 IPTABLES

o O IPTABLES trabalha também com três tabelas básicas para armazenamento das informações e
operações a serem realizadas pelo firewall, quais sejam:

 Tabela Filter - Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem.
 Tabela Nat - Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de
endereços de entrar e saída.
 Tabela Mangle - Armazena informações a respeito da manipulação de pacotes, isto é, caso se
deseja alterar alguma flag ou parâmetros dos cabeçalhos.

o Existem três Chains:

 PREROUTING - Utilizada para manipular endereço e porta de destino para os pacotes de entrada
na rede.

 POSTROUTING - Utilizada para manipular o endereço e porta de origem para os pacotes que
saem da rede.

• Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo,
um acesso remoto no firewall para sua configuração.INPUT
• Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo
para atualização do repositório de pacotes do firewall.OUTPUT
•Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo,
sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita
serviços internos, a cadeia que será analisada é a FORWARD.FORDWARD
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
133
138
==168c02==

 OUTPUT - Utilizado para manipular o endereço e porta de destino para os pacotes gerado
localmente pelo próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de tráfego
verificado anteriormente, entretanto, aqui, estamos falando de regras de NAT.

 PROTOCOLO ICAP

o O ICAP (Internet Content Adaptation
é o papel do firewall. Em soluções modernas, temos a implementação de antivírus
de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo.
o Proxies
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
10
138

São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma
política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos
serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas
perspectivas.
o Bastion hosts
É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado,
com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores.
Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para
o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de
vulnerabilidades.
o HoneyPot
É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é
replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem
dados sigilosos que possam gerar dano ou lesão à instituição.
Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso,
implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do
atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes!

o DMZ
Conforme já vimos. Também é conhecido como rede de perímetro.
o NAT
Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT
possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa
forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma
rede corporativa pois só terá acesso ao endereço público utilizado por essa rede.
o VPN
A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar
com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial
permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação
seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede.
Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos.

É importante mencionarmos ainda alguns tipos de defesa que não são realizados pelo firewall. Dessa forma,
um firewall não é um antivírus ou AntiSpam. Caso haja alguma assinatura específica no conteúdo e o firewall
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
11
138

possua o recurso DEEP INSPECTION, que veremos mais à frente, pode ser que seja identificado alguns aspectos.
Porém, a regra é distinguirmos muito bem esses papéis.
o Autenticação/certificação
Diversos são os requisitos que podem ser considerados para uma autenticação de usuários ou dispositivos.
Como exemplo, podemos citar as senhas, certificados digitais, tokens, smartcards ou biometria. Para o caso de
certificados digitais pode-se inclusive utilizar a infraestrutura de chaves pública (PKI).

É importante mencionar também a importância de se ter uma camada de segurança (firewall) de alta
disponibilidade, pois caso esse equipamento dê problema, todo o acesso externo da rede corporativa poderá
ser comprometido. Assim, deve-se implementar técnicas de balanceamento de carga e redundância.
Classificação dos Firewalls
Como eu disse antes, os firewalls são definidos por suas diversas capacidades. Estas são representadas a partir
de qual camada o firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, este será capaz
de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação,
será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das
camadas inferiores.

Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se
agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”.

Portanto, vamos conhecê-los:
o Firewall Bridge
Esse tipo de firewall atua na camada de enlace do modelo OSI. Justamente por atuar na camada de enlace,
temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá diretamente no dispositivo,
através de uma interface de conexão física ou através do seu endereço MAC estando no mesmo domínio de
Broadcast. Algo semelhante acontece quando se deseja acessar um switch L2 para configuração.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
12
138

Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa frente a sua
falta de endereçamento IP, incorrendo em mais uma cada de segurança. Entretanto, perceba que este firewall
possui certas limitações a respeito do tipo de informação que ele é capaz de filtrar.
o Firewall – Filtro de Pacotes
Este é o tipo mais primitivo de implementação de firewalls. Também conhecido como Firewall estático. Ele atua
na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte. A sua
capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de
origem e destino. Desse modo, podemos definir os serviços que serão permitidos a partir das portas de
operação.
Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o
fluxo de entrada e saída da rede.
Entretanto, os filtros de pacotes atuais são capazes de identificar outros parâmetros dos cabeçalhos conforme
as figuras a seguir. Os campos escurecidos são aqueles que o firewall do tipo filtro de pacotes considera na
sua filtragem.
Para o protocolo IP tem-se:

Para o protocolo TCP:

Para o protocolo UDP:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
13
138

Para o protocolo ICMP:

Essas características permitem que seja um modelo simples de ser implementado nos elementos de borda.
Veremos que os modelos mais atuais implementam o tipo de firewall statefull.
o Filtros de Pacotes Baseados em Estados
Também conhecidos como filtro de pacotes dinâmicos ou Statefull. Esse tipo de firewall não se restringe à análise
dos cabeçalhos conforme vimos anteriormente.
Entretanto, é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena
os estados de todas as conexões que foram estabelecidas e passam pelo firewall.
Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de
informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem
ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme
evolução da comunicação.

Importante lembrar que quando falamos de conexão estabelecida, estamos falando do protocolo TCP.
Entretanto, o firewall statefull utiliza
Protocol) é um protocolo baseado no HTTP. Desse modo, possui
as características de ser simples e leve como o HTTP.

o É baseado em uma estrutura de servidores que permitem a alteração dinâmica do tráfego em cada
um desses servidores.

o O SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir
uma camada de segurança a nível de kernel.

o O SELinux opera em três modos básicos:

 Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras
vindas do servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando
“setenforce 1”. Esse é o modo padrão para REDHAT.

 Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam
ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo
padrão para debian.

 Disabled: este, como o nome sugere, desabilita o SELinux.

 METODOLOGIAS DE DETECÇÃO

o Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-se
comparar determinados acessos ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é,
caso as informações estejam nessa lista, o equipamento poderá tomar alguma atitude.

o Base de Comportamento – Nesse perfil, temos a análise das características e comportamento
dos pacotes ou acessos. A partir de um histórico, pode-se determinar um comportamento
considerado normal ou padrão. Caso haja algum acesso ou tráfego de pacote que fuja desse
comportamento, considera-se um acesso indevido ou anômalo, cabendo ao equipamento tomar
alguma atitude.

 IDS

o É um sistema de detecção de intrusão. Um dos principais IDS’s utilizados é o SNORT, que acaba
funcionando também como um IPS.

o O IDS pode ser categorizado ainda em três tipos:

 NIDS (Network-Based Intrusion Detecction System)
 HIDS (Host-Based Intrusion Detecction System)
 IDS baseado em pilhas

 IPS

o Muitos consideram como sendo um IDS de posicionamento in-line (em sequência), capaz de
bloquear ataques de forma ativa e preventiva.

o Para efeito de implementação dos IDS’s, podemos considerar três técnicas básicas que podem
ser utilizadas, quais sejam:
1. Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior que as demais
portas e redireciona-se todo os tráfegos das demais portas a essa porta de maior banda, a
qual estará conectada um IDS para coletar os dados e analisá-los.
2. Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um simples hub entre o
host que se deseja monitorar o tráfego e o switch com vistas a realizar uma cópia de modo não
intrusiva dos dados e remeter a um IDS.
3. Port Mirror: Faz-se o espelhamento de uma porta específica de um switch para uma outra
porta a qual estará conectada o IDS.
 ANTISPAM

o Lista de Bloqueio – Método mais simples e básico de implementação. O bloqueio pode ser
efetivado tanto em MUA’s quanto MTA’s baseado em endereços IP de servidores ou usuários
suspeitos. Não possui recursos de verificação de conteúdo.

o Existem os seguintes tipos básicos de listas:
 Blacklists (Listas Negras)
 Whitelists (Listas Brancas)
 Greylists

o Filtros de Conteúdo: Uma das técnicas mais conhecidas e eficientes. Possui a capacidade de
atuar de forma dinâmica, incluindo na sua verificação o conteúdo e anexo das mensagens
trafegadas. O principal filtro utilizado é o filtro bayesiano. Este filtro utiliza probabilidades e
estatísticas com o objetivo de aprender de forma dinâmica e prever o futuro, ou seja, detectar
possíveis mensagens falsas.

o Técnica SPF (Sender Policy Framework): O seu princípio básico é buscar garantir a legitimidade
do remetente. É capaz de combater a falsificação de endereços de retorno dos e-mails (return-
path), através da validação de endereços IP’s.

o Utiliza o conceito de criação de políticas SPF. Essas políticas visam delimitar os endereços
autorizados a enviar e-mails dentro de regras muito bem estabelecidas de aceitação desses e-mails.

o Técnica DKIM (Domain Keys Identified Email): Diferentemente do SPF, essa técnica averigua
as informações de cabeçalho e de conteúdo, enquanto o SPF verifica apenas o endereço IP.

o Gerência da Porta 25: A principal característica desse modelo é caracterizar o envio de e-mail
em duas fases: Do usuário para o provedor de acesso (Submissão) e comunicação direta entre os
servidores de e-mail (Transporte).

o Mail Submission Agent (MSA): Camada de segurança que atua entre o MUA e o MTA.

o Mail Delivery Agent (MDA): Essa camada é implementada no momento de entrega dos e-mails
às caixas postais.

 ANTIVIRUS

o Os antivírus já implementam os modelos comportamentais, conforme já mencionamos no contexto
do IDS e IPS.

 DLP – Data Loss Prevention

o O referido assunto diz respeito, obviamente, em um sentido de tradução literal, à prevenção
de perda de dados.

CONSIDERAÇÕES FINAIS
Bom pessoal, encerramos a nossa aula 2 sobre Mecanismos de Segurança! Espero que tenham gostado!
As demais aulas estarão disponíveis em breve conforme cronograma proposto e espero poder caminhar
junto com vocês em busca de aprovação.
Aguardo vocês nas próximas aulas!

Vamos juntos?

Um grande abraço.
Prof. André Castro.

Instagram: @ProfAndreCastro Telegram: t.me/ProfessorAndreCastro

André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
137
138
um conceito baseado em contextos que permite a criação de uma conexão
virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP que fazem parte de um mesmo serviço.

Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE / CEBRASPE - 2020 - TJ-PA -
Analista Judiciário - Análise de Sistemas (Suporte)
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
14
138

Assinale a opção que indica o tipo de firewall caracterizado por identificar os protocolos dos pacotes
e comparar os padrões da comunicação pretendida aos padrões de comunicação esperados,
estabelecidos em tabelas de estados, autorizando que o tráfego somente ocorra em caso de
convergência.
a) Filtro de pacotes
b) Stateful inspection
c) Proxy
d) Dual homed
e) Circuit Level
Comentários:
Ainda não vimos alguns conceitos, mas já vamos arrematar o conceito associado ao Stateful inspection, e
como ele aparece em prova. Vejam que o enunciado traz a descrição de aplicação do firewall para
considerar as regras aplicadas que são conferidas em cada fluxo de dados. Até esse ponto, o próprio
filtro de pacotes também implementa.
Entretanto, a banca menciona o aspecto de tabelas de estado, e, nesse aspecto, restringe-se o conceito
ao firewall Statefull.
Gabarito: B
(FGV/TJDFT/Suporte em TI/2022)
Um órgão que lida com muitos documentos sigilosos sinalizou para sua equipe de Tecnologia da
Informação (TI) sua preocupação quanto a uma invasão cibernética e roubo desses documentos. Para
incrementar a segurança da rede desse órgão, a equipe de TI instalou um equipamento capaz de verificar
as conexões TCP em andamento antes de permitir a passagem de um determinado pacote.
O equipamento instalado pela equipe de TI utiliza recursos de:
A IDS (Intrusion Detection System);
B gateway VPN;
C gateway de aplicação;
D filtro de pacotes tradicionais;
E filtro de estado.
Comentários:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
15
138

Temos que observar as palavras chaves, pessoal. Lembremos que os firewalls tradicionais são os filtros de
pacotes que conseguem tratar, simplesmente, dados do cabeçalho de rede e alguns poucos dados da camada
de transporte.
Já o firewall statefull, ou por filtro de estado, consegue impor uma outra dinâmica, observados os fluxos
originários, que indicarão as próximas portas a serem abertas para a comunicação ser completa. Na prática,
toda comunicação derivada da primeira, passa a ser considerada confiável.
Gabarito: E
o Proxy
Os proxies também fazem parte da classificação de firewalls. Estes possuem a capacidade de atuar a nível da
camada de aplicação averiguando as informações dos cabeçalhos que fazem parte dessa camada.
Um ponto importante é que os firewalls do tipo filtro de pacotes permitem a comunicação direta entre cliente
e servidor. Fato que não acontece com o proxy que faz com que sejam estabelecidas duas conexões. Do cliente
com o proxy e do proxy com o servidor. Desse modo, o ponto de destaque é a ausência de comunicação
direta entre os dispositivos internos e os serviços/recursos externos. A imagem a seguir representa esse fluxo:

É essencial destacar o benefício associado ao desempenho, que não se restringe somente à segurança. Tal
aspecto é tratado com o recurso de CACHE. Nesse caso, imaginem que 5 usuários fossem acessar o mesmo
recurso ou página WEB na Internet. Todos deveriam, portanto, realizar a conexão, baixar todo o conteúdo e
consumir o serviço.
Com o CACHE configurado no PROXY, as partes estáticas desse serviço WEB podem ser armazenadas em
CACHE no PROXY na primeira consulta. As próximas, poderão consumir esse recurso diretamente, sem
necessitar chegar ao servidor WEB novamente.

É importante mencionarmos que o proxy, por padrão, não verifica o conteúdo dos pacotes. Ou seja, na camada
de aplicação, temos o protocolo HTTP, por exemplo, sendo utilizado, e PDU da camada de aplicação (dados
e conteúdo do serviço). Neste aspecto, tais informações, repito, no modo nativo do proxy, não são
inspecionadas.
Entretanto, no contexto moderno de integração de serviços e recursos, tal regra não se aplica às soluções de
proxies e firewalls mais modernas. Estes implementam o serviço/recurso do DEEP INSPECTION, ou inspeção
profunda. Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se
utilizem do conteúdo dos pacotes trafegados. A imagem a seguir ilustra bem a capacidade criada:

Ou seja, não se restringe aos cabeçalhos e estruturas dos protocolos, mas é capaz de entrar no detalhe do
conteúdo, propriamente dito, podendo aplicar regras importantes no tratamento de fluxos dos dados.
Traduzindo um pouco mais para o contexto prático, tem-se:

Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF -
Técnico Jurídico - Tecnologia e Informação
Uma prática recomendável de segurança de um sistema é implantar o firewall em uma estação
bastião, que servirá como plataforma para um gateway de nível de aplicação, e configurar cada
proxy para suportar apenas um subconjunto dos comandos padrão da aplicação.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
17
138

Comentários:
Já vimos que o Bastion Host (estação bastião) faz o papel de elemento de entrada na rede ou contexto
de rede. Neste sentido, sem dúvida, ele atua como um Gateway, no sentido de ser o único caminho e
fluxo (princípio do choke point). Ademais, é possível criar diferentes instâncias de proxies lógicas para
subconjuntos de serviços ou usuários, ou ainda, o próprio conceito de configurações de contexto de
aplicação ou usuários dentro do mesmo Proxy, garantindo a sua aplicabilidade em subconjuntos de
aplicação.
Apesar da péssima escrita, mas a questão está correta.
Gabarito: C

Apenas para fecharmos esse bloco, menciono que o proxy aberto mais utilizado e criado em
Linux é o SQUID. Possui os principais recursos de funcionamento, como regras de filtragem
baseadas nos endereços URL’s e listas de acesso.
o Proxy reverso
Esse conceito gera alguns benefícios na implementação de serviços HTTP no lado do servidor. Entendam lado
do servidor quando estamos com ele hospedado na infraestrutura da organização, fornecendo serviços
externos. Temos recursos de proteção, balanceamento e distribuição de requisições e armazenamento em cache
das informações estáticas. Dessa forma, quando há uma requisição a um objeto estático, o proxy reverso é
capaz de responder diretamente à requisição.
Já quando há uma requisição a objetos dinâmicos, este repassa a requisição aos servidores internos conforme
a porta utilizada do serviço específico.
A figura abaixo nos apresenta o modelo comentado:

Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Segurança da Informação
Sobre funções de um Proxy Reverso, analise os itens a seguir.
I. Manter cache de conteúdo estático das requisições originadas na Internet com
destino à rede local.
II. Distribuir a carga de requisições para uma lista rotativa de servidores.
III. Autenticar clientes web como uma precondição para encaminhar o tráfego para servidores
backend.
Está correto o que se afirma em:
a) somente I;
b) somente II;
c) somente III;
d) somente I e II;
e) I, II e III.
Comentários:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
19
138

Exatamente como falamos. Todos os itens são recursos que podem ser implementados em um PROXY
REVERSO para garantia de segurança e desempenho.
Gabarito: E

o Web Application Firewall - WAF
Esse tipo de firewall foi criado especificamente para proteger aplicações WEB (na perspectiva do servidor
que oferece o serviço) de ataques sofisticados na camada de aplicação. Logo, também atua na camada 7 do
modelo OSI.
Muitas arquiteturas trabalham com esse tipo de firewall em conjunto com outros firewalls mais robustos que
possuem grande poder de processamento na camada de rede e transporte.
Possuem como característica o controle dos tráfegos de entrada e saída, bem como os acessos aos serviços da
aplicação. Desse modo, pensando em uma arquitetura, é razoável assumirmos que os WAF’s devem ficar
posicionados em frente ao servidor de aplicação. Percebam essa diferença.

Ele não protegerá toda a rede. Ele não protegerá os usuários internos. Ele protegerá o
servidor de aplicação. Funcionará como uma espécie de Proxy Reverso, mas
conceitualmente, são diferentes.
Uma característica importante também do WAF é a sua capacidade de analisar fluxo de dados após a sua
decriptação.
O WAF pode ser implementado tanto em hardware próprio, no modelo conhecido como appliance, como em
software, podendo ser incorporado em outros servidores ou soluções de segurança. Ou seja, pode ser tanto
físico quanto virtual.
A figura a seguir nos mostra o arranjo completo e combinação com os diversos elementos de segurança em
uma rede. Veremos ainda nessa aula os demais.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
20
138

Tecendo alguns comentários, começamos, da esquerda para a direita:
 Proteção DDoS - Busca ser o elemento de FRONT com alta capacidade de processamento para
suportar grandes volumes de requisições que se enquadram nos ataques de negação de serviços
distribuídos. Falamos sobre esse assunto em aula específica sobre ataques, caso esteja previsto em seu
concurso.
 Firewall de Rede - Conforme já falamos, são os firewalls que atuam na camada de rede e transporte,
com características próprias para segurança nessa camada.
 IDS/IPS - Geralmente são soluções acopladas (em paralelo ou em série) e que atuam em conjunto com
o Firewall para análises mais elaboradas com foco em assinaturas e comportamentos. Falaremos um
pouco mais sobre esse assunto nesta aula.
 Balanceador de Carga - Tem a função de distribuir as requisições entre os servidores de aplicação,
com vistas a distribuir de maneira proporcional à capacidade de processamento de cada um deles.
 Web Application Firewall - Conforme já falamos, ele é último elemento de segurança na linha de
defesa das aplicações, ficando mais próximos dos servidores de aplicação. Algumas soluções e
empresas de segurança avaliam o posicionamento do WAF, às vezes colocando-o de maneira
intercalada entre dois balanceadores de carga, ou ainda antes do próprio balanceador de carga,
uma vez que o balanceador não é um elemento de segurança propriamente dito.

Estudos de empresas de tecnologia apontam que 70% do orçamento de segurança das
empresas é investido em soluções para controlar tráfego de rede. Entretanto, estudos também
mostram que 70% dos ataques não acontecem nessa camada, mas sim, na camada de
aplicação. Por esse motivo esse tipo de solução tem sido cada vez mais comum e necessário
nos ambientes corporativos.
o Unified Threat Management (UTM)
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
21
138

É conhecido como uma solução capaz de incorporar as diversas tecnologias e soluções em um único
equipamento ou appliance.
Quando falamos de um UTM, estamos falando dos elementos de segurança que já vimos, acrescidos ainda de
recursos de antivírus, antimalwares, segurança para redes sem fio, segurança para acesso remoto (VPN), com
capacidade de apuração de altíssimo grau de precisão e diagnósticos/relatórios com uma robustez muito
grande de informações.
A figura abaixo nos dá essa percepção:

Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Segurança da Informação
Sobre funções de um Proxy Reverso, analise os itens a seguir.
I. Manter cache de conteúdo estático das requisições originadas na Internet com destino à rede local.
II. Distribuir a carga de requisições para uma lista rotativa de servidores.
III. Autenticar clientes web como uma precondição para encaminhar o tráfego para servidores
backend.
Está correto o que se afirma em:
a) somente I;
b) somente II;
c) somente III;
d) somente I e II;
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
22
138

e) I, II e III.
Comentários:
Exatamente como falamos. Todos os itens são recursos que podem ser implementados em um PROXY
REVERSO para garantia de segurança e desempenho.
Gabarito: E

Iptables
Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end que implementa o firewall NetFilter
de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico.
UFRPE - 2022 - UFRPE - Técnico em Tecnologia da Informação - Desenvolvimento de Sistemas
1) O firewall iptables é capaz de fazer filtragem apenas para pacotes TCP e UDP. Para pacotes de
outros pacotes, por exemplo ICMP, deve ser utilizado outro firewall.
2) O firewall iptables foi projetado para utilização em sistema operacionais Windows, e atualmente
não possui versão para sistemas operacionais Linux.
3) As regras atualmente em uso no firewall iptables podem ser consultadas através do comando
iptables -L .
Está(ão) correta(s), apenas:
A 1.
B 2.
C 3.
D 1 e 2.
E 2 e 3.
Comentários:
Vamos aos itens:
1) Está errado. Por ser um firewall statefull, é capaz de tratar tráfego ICMP também.
2) Errado pessoal. Conforme vimos, é operacionalizado em LINUX.
3) Veremos a seguir, com mais detalhes os comandos. Mas saibam que este item está certo.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
23
138

Gabarito: C

O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall. São elas:

Assim, cada regra criada deverá ser inserida em alguma das três cadeias apresentadas.
Além disso, o IPTABLES trabalha também com três tabelas básicas para armazenamento das informações e
operações a serem realizadas pelo firewall, quais sejam:
Tabela Filter - Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem.
Tabela Nat - Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de
entrar e saída.
Tabela Mangle - Armazena informações a respeito da manipulação de pacotes,
isto é, caso se deseja alterar
alguma flag ou parâmetros dos cabeçalhos.
Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o parâmetro “-t”. Caso não seja
inserido, utiliza-se a tabela padrão Filter.
• Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo,
um acesso remoto no firewall para sua configuração.INPUT
• Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo
para atualização do repositório de pacotes do firewall.OUTPUT
•Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo,
sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita
serviços internos, a cadeia que será analisada é a FORWARD.FORDWARD
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
24
138

Algumas questões têm cobrado de forma mais detalhada a utilização e configuração do NAT. Para tanto, é
importante entendermos os pontos abaixo.
Na maioria dos casos de implementação, tem-se um NAT de diversos IP’s internos utilizando um único IP de
saída, podendo este ser dinâmico ou não. Algo semelhante ao que temos em nossas residências com o
compartilhamento de diversos dispositivos para acesso à Internet.
Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”.
Assim, tem-se o exemplo abaixo:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Esse comando nos diz que deverá ser inserida a regra acima na tabela NAT ( -t nat). Deve-se utilizar o conceito
POSTROUTING, ou seja, aplica-se o NAT após o processamento das regras de filtragem e verificação de
regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da interface de saída ppp0 (-o ppp0 –
j masquerade).

Desse modo, vamos esclarecer o conceito de POSTROUTING e PREROUTING. Como o Iptables possui a
capacidade de modificar a conexão, ou seja, mudar as portas através do NAT, deve-se informar ao KERNEL
o momento em que tais mudanças devem ser efetuadas.
Existem três Chains/Cadeias:
PREROUTING - Utilizada para manipular endereço e porta de destino para os pacotes de entrada na rede.
POSTROUTING - Utilizada para manipular o endereço e porta de origem para os pacotes que saem da rede.
OUTPUT - Utilizado para manipular o endereço e porta de destino para os pacotes gerado localmente pelo
próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de tráfego verificado anteriormente,
entretanto, aqui, estamos falando de regras de NAT.

Desse modo, pode-se utilizar a “manha” para decorar a regra acima de que SNAT (source NAT) começa com
a letra “S”, logo, deve-se utilizar o POSTROUTING, pois este possui a letra “S”. Meio forçado, certo?
Logo vamos tentar entender para facilitar as coisas. Quando um pacote chega no firewall, ele deve passar
pelas fases constantes no diagrama abaixo:

Desse modo, segundo as regras de NAT, se vamos acessar serviços externos a partir de endereços internos,
devemos manipular os endereços e portas de origem. Assim, para sabermos se um host interno pode ou não
acessar determinado recurso, devemos verificar as informações originais, antes de aplicar o NAT. Por esse
motivo, para essa manipulação, deve-se realizar o NAT apenas no POSTROUTING para tratar esses
endereços, ou seja, após verificação de regras de filtragem e roteamento.
Agora o cenário inverso. Assumindo que algum host externo pretenda acessar algum serviço interno escondido
atrás de um NAT. Nesse caso, ele vai apontar para um IP e porta de destino que não correspondem a
informações diretas e reais dos servidores, pois estão atrás do NAT. Nesse sentido, deve-se converter esses
endereços e portas para posterior análise das regras de filtragem e roteamento, ou seja, deve-se utilizar o
PREROUTING para manipular as informações de destino.

Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse trecho com mais cautela.
eth X
(incoming packets)
PREROUTING
routing decision
INPUT local processes OUTPUT
FORWARD routing decision
POSTROUTING
eth Y
(outgoing packets)
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
26
138

Antes de avançarmos para a utiização das cláusulas mencionadas, é importante observarmos a relação dos
principais comandos ou parâmetros possíveis na utilização do IPTABLES. Aqui não tem segredo pessoal. Tem
que pegar a lista e sempre tentar associar e entender as referências e utilização.
-L: exibe todas as regras atualmente em uso no IPTables;
-s: indica a origem do pacote que será tratado por um firewall;
-d: indica o destino do pacote;
-j: indica oque deve ser feito com um determinado destino (aceita pacotes, bloqueia pacotes, exclui
etc);
-A chain: acrescenta a regra a uma determinada chain;
-I chain: acrescenta um regra no início
-D chain: deleta a regra de uma determinada chain;
-R [número da regra atual] [nova regra]: substitui uma regra por outra;
-F [chain]: atalho para Flush, que apaga todas as regras de todas as chains do firewall;
-P [chain]: define qual interface está sendo tratada em uma determinada entrada de dados.
-o [interface]: define em qual interface está sendo tratada a saída de dados;
-p: define o tipo de protocolo ao qual a regra se destina.
! : Especifica uma inversão (endereço não é igual a) ou uma exceção
-P: Especifica a política padrão
-m multiport: Especifica múltiplas portas no sports ou dports (22,80 ou 1:2024)
-v: Exibe mais detalhes sobre as regras criadas nos chains.
-n: Exibe endereços de máquinas/portas como números ao invés de tentar a resolução DNS.
-x: Exibe números exatos ao invés de números redondos. Também mostra a faixa de portas de uma
regra de firewall.
--line- numbers: Exibe o número da posição da regra na primeira coluna da listagem.
-h: Mostrará o help, ajuda de comando.
-C: Basicamente checa as regras.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
27
138

-A OUTPUT: A regra se aplica a pacotes de saída, transmitidos pelo próprio servidor.
-A INPUT: Especifica que a regra se aplica a pacotes de entrada, ou seja, pacotes recebidos pelo
Firewall, em qualquer interface.
-A FORWARD: A regra de aplica a pacotes que passam pelo firewall.
–dport ou –destination-port: Especifica uma porta. O uso mais comum para esta opção é para abrir
portas de entrada (e depois aplicar uma regra que fecha as demais). -j: É usado no final de cada
regra, especificando uma ação, que pode ser:
-j ACCEPT: Aceita o pacote. Ele é encaminhado ao destino sem passar pelas demais regras.
-j REJECT: Rejeita educadamente o pacote, enviando um pacote de resposta ao emissor. Quando uma
porta está fechada em modo reject, o emissor recebe rapidamente uma resposta como ,
“connect to host 192.168.1.1 port 22: Connection refused”.
-j DROP: O DROP é mais enfático. O pacote é simplesmente descartado, sem aviso. O emissor fica um
longo tempo esperando, até que eventualmente recebe um erro de time-out.

VUNESP - 2019 - Câmara de Monte Alto - SP - Analista de Tecnologia da Informação
Em um computador com sistema operacional Linux e iptables instalado, a apresentação de todas as
regras atuais que estão configuradas pode ser realizada
utilizando o comando iptables com a opção:
A –A
B –C
C –F
D –L
E –P
Comentários:
Temos aí o principal comando de listagem –L. Vem do inglês list. Para ajudar a memorizar.
Gabarito: D

E por fim, um último aspecto que merece mencionar é a utilização do Iptables para gerir tráfego IP na versão
6, ou seja, em Ipv6. Nesse caso, deve-se utilizar, antes de qualquer chamada, a referência #ip6tables.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
28
138

IBFC - 2019 - Emdec - Analista de Tecnologia da Informação Jr
O IPTables é formado por vários pacotes. Para montar às regras de firewall, quanto ao protocolo
IPv6, temos especificamente um pacote. Sobre este, assinale a alternativa correta quando à sua
denominação.

A 6IPTables
B IPTables6
C IPv6Tables
D IP6Tables
Comentários:
Conforme acabamos de ver em nossa teoria.
Gabarito: D

FCC - 2019 - TJ-MA - Analista Judiciário - Analista de Sistemas - Suporte e Rede
O firewall do Linux Iptables é usado para monitorar entradas e saídas de tráfego de dados para o
servidor. Em um computador com uma distribuição Linux em condições ideais, para aceitar pacotes
do endereço 192.168.1.5, utiliza-se o comando:
A iptables -B INPUT -p 192.168.1.5 -j ALLOW
B iptables -A INPUT -s 192.168.1.5 -j ACCEPT
C iptables -C INPUT -d 192.168.1.5 -p ACCEPT
D iptables -A INPUT -d 192.168.1.5 -j ALLOW
E iptables -X FORWARD -i 192.168.1.5 -p ACCEPT
Comentários:
Pessoal, temos facilmente a chamada com o parâmetro –A, para inserir a regra ao final da lista. Além
disso, o parâmetro final para aceito é ACCEPT e não ALLOW, confrontando as alternativas B e D.
Gabarito: B
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
29
138

Vamos então verificar alguns exemplos de utilização dessas CHAINS. Muita atenção nas interfaces utilizadas
em cada uma das CHAINS. Primeiro, vamos verificar a utilização do POSTROUTING para manipulação do
SNAT:
## Mudando o endereço de origem para 1.2.3.4 em todos os pacotes que saiam pela
interface de saída eth0
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
## Mudando o endereço de origem para 1.2.3.4, 1.2.3.5 ou 1.2.3.6. Nesse caso, tem-se
disponível vários endereços na interface de saída.
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6
## Mudando o endereço de origem para 1.2.3.4, portas 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023
Agora, vamos verificar a utilização do PREROUTING para manipulação do DNAT:
## Mudando destino para 5.6.7.8. Utiliza-se a interface de entrada.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8
## Mudando destino para 5.6.7.8, 5.6.7.9 ou 5.6.7.10. Caso de utilização de um cluster
interno que responda por diversos endereços.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10
## Mudando destino do tráfego web para 5.6.7.8, porta 8080.
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080
## Redirecionar pacotes locais com destino a 1.2.3.4 para loopback.
# iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1
Há um caso especializado de Destination NAT chamado redirecionamento. É uma simples conveniência, a
qual equivale a fazer DNAT para o endereço da própria interface de entrada.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
30
138

## Mandando tráfego web da porta-80 para um proxy interno transparente na porta 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Um outro aspecto que pode parecer na sua prova é relativo ao comando final a partir da efetivação de
alguma regra... Basicamente, pode-se efetuar o DROP ou REJECT. A diferença básica dos dois reside no
aspecto de que o DROP (recomendável), simplesmente descarta o pacote, não gerando qualquer resposta
para a origem. Já o REJECT, ele responde informando que a porta/serviço solicitado não está habilitado ou
autorizado. Tal informação de retorno se dá a partir do protocolo ICMP.

Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Segurança da Informação
A ferramenta iptables é comumente utilizada para limitar o tráfego de dados como forma de
proteção contra a entrada de intrusos e a saída de dados secretos.
A expressão que inclui uma regra na iptables, definindo o descarte dos pacotes de dados HTTP que
chegam na porta 80 em qualquer interface de rede de um dado servidor, é:
a) iptables -A OUTPUT -p all --dport 80 -j REJECT
b) iptables -A INPUT -p tcp --dport 80 -j DROP
c) iptables -A OUTPUT -o eth1 --dport 80 -j DROP
d) iptables -A INPUT -i eth1 --dport 80 -j RETURN
e) iptables -A OUTPUT -p tcp --dport 80 -j REJECT
Comentários:
Vejam que ele considera, primeiramente, o descarte. Logo, já temos a cláusula DROP a ser
procurada na resposta (opções B e C). E ainda é considerado o fluxo de chegada na interface do
servidor, logo, estamos diante da cláusula INPUT.
Gabarito: B

UFES - 2021 - UFES - Técnico em Tecnologia da Informação
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
31
138

O firewall iptables está presente em grande parte das distribuições do sistema operacional Linux.
Sobre o iptables, analise as afirmativas a seguir:
I. O nome correto do firewall que faz parte do kernel do sistema Linux é Netfilter.
II. iptables é o nome da ferramenta do espaço usuário que oferece a interface necessária para que o
administrador configure o firewall Netfilter.
III. Por padrão, o iptables possui as seguintes tabelas: i) filter, ii) nat, iii) mangle.
IV. A tabela mangle é responsável pelo balanceamento de carga entre as múltiplas interfaces do
firewall.
É CORRETO o que se afirma em
A I e IV, apenas.
B II e III, apenas.
C III e IV, apenas.
D I, II e III, apenas.
E I, II, III e IV.
Comentários:
Uma questão conceito pessoal. Todos os itens, de fato estão corretos, sem muito mais o que acrescentar
em cada item. Então vale a pena reler para reforçar os conceitos.
Gabarito: E

CESPE / CEBRASPE - 2022 - PGE-RJ - Analista de Sistemas e Métodos
A configuração do firewall (iptables) para liberar acesso remoto ao servidor apenas para o IP
172.56.16.23, por exemplo, pode ser realizada por meio do seguinte comando.

iptables -A INPUT -d 172.56.16.23 -p *.* -j ACCEPT

Comentários:
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
32
138

Pessoal, o comando a seguir traz como endereço de destino o enunciado, quando deveria ser o
parâmetro –s, ou seja, a fonte a ser indicada com o endereço mencionado. Há de se destacar que temos
aqui um firewall implementado no próprio servidor, e por isso, utiliza-se o parâmetro INPUT.
Gabarito: E

Veremos algumas questões que dizem respeito ao código de execução dos comandos para criação, alteração
ou exclusão das regras de firewall. Complementarei o aprendizado na resolução das questões que abordem
esse assunto.
Para os alunos que têm disponibilidade para aprofundar o conhecimento, sugiro a leitura do artigo publicado
no link a seguir: http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do-Iptables
Protocolo ICAP
O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado no HTTP. Desse modo, possui as
características de ser simples e leve como o HTTP.
Ele foi criado originalmente para efetuar chamadas remotas em mensagens HTTP. É baseado em uma estrutura
de servidores que permitem a alteração dinâmica do tráfego em cada um desses servidores. Estes são mantidos
por diversas empresas, fabricantes e provedores com vistas a criar uma estrutura de troca de informações e
adaptação de tráfego para sistemas mais seguros.
Este protocolo permite que clientes ICAP enviem requisições para os servidores ICAP objetivando a “adaptação
do conteúdo”, ou seja, pode-se verificar a existência de um vírus em um dado arquivo a partir de uma consulta
a um servidor ICAP.
Geralmente é implementado em servidores que pertencem à DMZ. Permite a criação de uma infraestrutura na
Internet única de comunicação, integrando diferentes fabricantes e possibilitando a gerência do conteúdo do
tráfego entre diferentes serviços.

Um assunto que tem aparecido em provas é o SELinux. Já adianto que ele nada tem a ver com a
implementação de firewall no Linux, como o Iptables.
Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir
uma camada de segurança a nível de kernel.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
33
138

O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema Operacional
e seus recursos.
O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de leitura e escrita
de arquivos e diretórios, as mudanças nas permissões do SELinux são mais rígidas e burocráticas, exigindo
controle de root. Diversas regras já são preestabelecidas conforme política de segurança do Sistema
Operacional.
O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao hardware, entre
outros. Percebam que a profundidade de controle é muito maior do que um simples controle de sistema de
arquivos.
O SELinux opera em três modos básicos:
Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras vindas do
servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando “setenforce 1”. Esse é o
modo padrão para REDHAT.
Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam ser negadas.
Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo padrão para debian.
Disabled: este, como o nome sugere, desabilita o SELinux.
Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas.

Um outro aspecto abordado pelas bancas diz respeito aos perfis. Por padrão, os usuários operam no modo
default SELinux “unconfined_u”, o que possibilita um acesso completo a todo o servidor. Para sua proteção,
pode-se criar confinamentos de usuários ou perfis do tipo user_u:
xguest_u : este usuário tem acesso às ferramentas GUI e a rede está disponível através
do navegador Firefox.
user_u : este usuário tem mais acesso do que as contas de convidado (GUI e rede),
mas não pode alternar entre usuários executando su ou sudo.
system_u : este usuário destina-se a executar serviços do sistema e não deve ser
mapeado para contas de usuário regulares.
staff_u : mesmos direitos que user_u, exceto que pode executar o comando sudo para
ter privilégios de root.

A seguir, uma tabela comparativa com as capacidades:
User Role Domain
X Window
System
su or sudo
Exectute in
home
directory and
/tmp
(default)
Networking
sysadm_u sysadm_r sysadm_t Yes su and sudo Yes Yes
staff_u staff_r staff_t Yes only sudo Yes Yes
user_u user_r user_t Yes no Yes Yes
guest_u guest_r guest_t No no Yes No
xguest_u xguest_r xguest_t Yes no Yes Firefox only

CESPE / CEBRASPE - 2020 - Ministério da Economia - Tecnologia da Informação – TI
Considere que se deseje implementar uma camada extra de segurança no servidor instalado com
RedHat 7, para que determinados recursos do sistema operacional sejam permitidos por meio de
políticas de segurança. Nesse caso, é correto instalar e configurar o SELinux, de modo que seja
possível definir controles de acesso estabelecidos em políticas de segurança, criando-se, assim, um
conjunto de regras que estabelecem para o SELinux o que pode e o que não pode ser acessado.
Comentários:
O SELinux define controles de acesso para aplicações, processos e arquivos em um sistema. Ele usa
políticas de segurança, um conjunto de regras que dizem ao Linux o que pode ou não ser acessado, para
impor o acesso permitido por uma determinada política.
Gabarito: C

FGV - 2022 - TJ-DFT - Analista Judiciário - Suporte em Tecnologia da Informação
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
35
138

O analista José gerencia o servidor LServer que executa RHEL (Red Hat Enterprise Linux). O servidor
LServer possui o sistema de controle de acesso nativo do RHEL, o SELinux (Security-Enhanced Linux),
habilitado no modo Enforcing. José precisa mapear o usuário local user10 do LServer para um dos
usuários SELinux nativos do RHEL de forma que o SELinux restrinja os direitos de acesso do user10
ao mínimo necessário. O user10 prescinde de qualquer acesso como superusuário, mas necessita
efetuar login no ambiente gráfico. O acesso à rede do user10 se dá apenas com o uso de
navegadores web.
Portanto, José deve mapear user10 para o usuário SELinux:
A user_u;
B staff_u;
C sysadm_u;
D system_u;
E xguest_u.
Comentários:
Vimos que o foco seria no ambiente gráfico, não sendo necessário acesso como superusuário. Logo, temos
o xguest_u.
Gabarito: E

CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015
No modo Permissive, o SELinux estará habilitado, mas apenas gera alarmes e log das ações no
sistema.

Comentários:
Conforme vimos, o modo Permissive, de fato, contempla as ações presentes na assertiva.

Metodologias de Detecção
Conversando um pouco mais sobre segurança, abordaremos um tópico que recorrentemente tem sido cobrado
em provas, que são as metodologias de detecção/prevenção, bem como suas principais ferramentas.
Quando falamos de metodologia, logo nos remetemos ao seu significado de definir método, princípios ou
regras que serão a base para determinados procedimentos.
Trazendo esse conceito para a área de segurança, nada mais é do que se definir regras que permitirão a
detecção de possíveis ataques e invasões não autorizadas.
Nesse sentido, vamos definir de imediato duas bases de conhecimento que são utilizados como parâmetro para
nossa conversa ao longo desse capítulo:
Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-se comparar
determinados acessos ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é, caso as informações
estejam nessa lista, o equipamento poderá tomar alguma atitude.
Base de Comportamento – Nesse perfil, temos a análise das características e comportamento dos pacotes ou
acessos. A partir de um histórico, pode-se determinar um comportamento
considerado normal ou padrão. Caso
haja algum acesso ou tráfego de pacote que fuja desse comportamento, considera-se um acesso indevido ou
anômalo, cabendo ao equipamento tomar alguma atitude.

Para exemplificarmos os conceitos acima, imaginemos que estamos indo a uma festa da elite da sociedade.
Assim, trazendo a analogia da “Base de Conhecimento”, teríamos uma lista de nomes e placas de carros que
estariam proibidos de entrar na festa. Já com “Base no Comportamento”, a partir do histórico analisado,
percebeu-se que todos os convidados chegam com carros importados e com motoristas particulares. Caso
cheguemos dirigindo nosso carro popular por conta própria, há uma grande probabilidade de sermos
barrados!

Já trazendo a associação de equipamentos para os conceitos apresentados, temos que o IDS (Intrusion
Detection System) atuará na maioria das vezes com “Base de Conhecimento”, enquanto o IPS (Intrusion Prevent
System) atuará na maioria das vezes com “Base de Comportamento”. Veremos algumas outras diferenças
desses dois posteriormente.
Lembremos sempre que o modelo “Base de Conhecimento” se assemelha ao funcionamento de um antivírus.
Percebamos que a eficiência desse modelo depende de uma atualização constante da base de assinaturas.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
37
138

Ainda no nosso campo de conceitos, temos alguns termos muito utilizados referenciando a atuação dos
equipamentos após análise das informações. São eles:
Tráfego Suspeito Detectado ou Verdadeiro-Positivo - Funcionamento normal do equipamento, onde o tráfego
suspeito de fato foi detectado. Varíavel importante e, por isso, queremos aumentar seu resultado.
Tráfego Suspeito não Detectado ou Falso-Negativo - Ou seja, era para ser acusado como um tráfego
suspeito, porém, não foi acusado. Em termos de analogia, imaginem que um penetra tenha entrado na festa
sem ser percebido.
Tráfego Legítimo que o Equipamento acusa como suspeito ou Falso-Positivo - Percebam que agora, na
nossa analogia, um convidado legítimo foi considerado penetra. Em condições normais e corretas, ele deveria
ser capaz de passar sem problemas.
Tráfego Legítimo que o Equipamento considera legítimo ou Verdadeiro-Negativo - E para finalizar, temos
o comportamento normal de um tráfego legítimo, passando sem nenhum problema pela linha de defesa do
sistema. Também é uma varíavel que devemos aumentar sua ocorrência.
Então, para ajudar a memorizar, lembrem-se que o Verdadeiro no início é algo bom, ou seja, deve-se buscar
aumentar o Verdadeiro-Positivo e o Verdadeiro-Negativo.
Enquanto o Falso no início é algo ruim, ou seja, deve-se tentar diminuir o Falso-Negativo e Falso-Positivo.

Vamos discutir agora sobre algumas vantagens e desvantagens de cada modelo. Para o modelo “Base de
Conhecimento”. Como pontos positivos, podemos citar a baixa taxa de falsos positivos e o tempo de resposta
na análise. Como pontos negativos, podemos citar a dependência da base atualizada, dificultando a detecção
de novos tipos de ataques; apesar de ter um bom desempenho, pode ser degradado à medida que se aumenta
o número de regras para análise.
Já o modelo de “Base de Comportamento” que busca desvios de comportamento dos usuários, sistemas e
tráfego, foca na análise estatística e heurística. Como ponto positivo podemos citar a capacidade de se
detectar novos tipos de ataques, independência de plataforma de Sistema Operacional e/ou arquitetura.
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
38
138

Como lado negativo, podemos citar a possibilidade de se gerar muitos falsos positivos com regras mais rígidas
de desvios, além de falsos negativos, quando ataques não geram grandes mudanças ou alterações no
comportamento.

Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da
Informação - Suporte e Infraestrutura
Amanda foi contratada para melhorar a segurança da rede corporativa em que trabalha. A rede vem
sofrendo ataques do tipo spam e vírus rotineiramente, pois o antimalware utilizado possui baixa
capacidade de diferenciar o que são e-mails e arquivos legítimos do que são ameaças. A baixa
acurácia do antimalware causa problemas de lentidão na rede.
Para melhorar a taxa de acerto na identificação das ameaças, Amanda deve:

a) aumentar o falso positivo e aumentar o verdadeiro positivo;
b) reduzir o verdadeiro negativo e aumentar o falso negativo;
c) reduzir o falso negativo e reduzir o verdadeiro negativo;
d) aumentar o verdadeiro positivo e reduzir o falso negativo;
e) reduzir o verdadeiro positivo e aumentar o verdadeiro negativo.
Comentários:
Lendo rapidamente, dá um nó no cérebro, não é mesmo pessoal? Basta lembrar da regra
mencionada antes da questão.
“o Verdadeiro no início é algo bom, ou seja, deve-se buscar aumentar o Verdadeiro-Positivo e o
Verdadeiro-Negativo. Enquanto o Falso no início é algo ruim, ou seja, deve-se tentar diminuir o Falso-
Negativo e Falso-Positivo.”
Gabarito: D
André Castro, Equipe Informática e TI
Aula 01
Polícia Federal (Perito Criminal - Área 3 -Tecnologia da Informação) Segurança da Informação
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
39
138

IDS
Conforme seu próprio nome diz, é um sistema de detecção de intrusão. Logo, em termos de analogia, devemos
sempre lembrar de um alarme. Quando algo acontece, ele acusa a ocorrência, porém, em regra, não atua
diretamente. Um dos principais IDS’s utilizados é o SNORT, que acaba funcionando também como um IPS.
O IDS pode ser categorizado ainda em três tipos:
 NIDS (Network-Based Intrusion Detecction System) – Esses sistemas buscam atuar a nível da rede,
analisando o tráfego de entrada e saída. É o tipo mais utilizado. Como vantagens, podemos citar:
o Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e
aumentando o grau de defesa;
o Atuando em modo passivo, não impactam no desempenho da rede;
o Difíceis de serem detectados por atacantes;
Como desvantagens, podemos citar:
o Diante de tráfego intenso, pode não ser muito eficiente;
o Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos;
o Incapacidade de analisar informações criptografadas;
o Incapacidade de bloquear o ataque, restando apenas a detecção;

 HIDS (Host-Based Intrusion Detecction System) – Atuar a nível de um host específico (servidor ou
máquina de usuário) buscando analisar características de acesso indevido da máquina, como tentativas
de mudanças de perfil, variações dos componentes físicos, entre outros. Como vantagens, citamos:
o Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos
quando comparados com os NIDS.
o Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no
destino, após a decriptação.
o Não são afetados por elementos de rede como switches ou roteadores.
Como desvantagens, podemos citar:
o Difícil configuração, pois, se deve considerar as características de cada estação;
o Podem ser derrubados por DoS;
o Degradação de desempenho na estação;

 IDS baseado em pilhas – É um modelo novo de implementação com grande dependência dos
fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua
integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados
nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada
superior, buscando evitar que chega até a aplicação ou Sistema Operacional.

André Castro,

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉

Já tem cadastro?

Conteúdos escolhidos para você

123 pág.

Perguntas dessa disciplina

Uma empresa, durante a auditoria interna, identificou incidentes recorrentes de lentidão em estações de trabalho, aumento de tráfego de rede e falh...

UNEC

No cenário contemporâneo de hiperconectividade, as organizações enfrentam um aumento exponencial na sofisticação de códigos maliciosos. Segundo o r...

UNIMAR

Questão 08 Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas...

Anhanguera

A segurança da rede e a proteção dos dados em trânsito são cruciais no home office, visto que o profissional está utilizando uma infraestrutura de int

FADAP

Aula 01

Engenharias

Ferramentas de estudo

Conteúdos escolhidos para você

Cybersegurança

Resultado - Segurança de rede (versão 1 0) - Respostas completas do exame final

Exame final do curso

Certificação Security - da prática para o exame SY0-401

Segurança de Rede: Ameaças e Proteção

Perguntas dessa disciplina

Uma empresa, durante a auditoria interna, identificou incidentes recorrentes de lentidão em estações de trabalho, aumento de tráfego de rede e falh...

No cenário contemporâneo de hiperconectividade, as organizações enfrentam um aumento exponencial na sofisticação de códigos maliciosos. Segundo o r...

Questão 08 Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas...

A segurança da rede e a proteção dos dados em trânsito são cruciais no home office, visto que o profissional está utilizando uma infraestrutura de int

Questão 1/10 Segurança em Sistemas de Informação 1» Ler em voz alta A segurança da informação e dos sistemas que fazem uso da internet está ligada à s

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉

Conteúdos escolhidos para você

Cybersegurança

Resultado - Segurança de rede (versão 1 0) - Respostas completas do exame final

Exame final do curso

Certificação Security - da prática para o exame SY0-401

Segurança de Rede: Ameaças e Proteção

Perguntas dessa disciplina

Uma empresa, durante a auditoria interna, identificou incidentes recorrentes de lentidão em estações de trabalho, aumento de tráfego de rede e falh...

No cenário contemporâneo de hiperconectividade, as organizações enfrentam um aumento exponencial na sofisticação de códigos maliciosos. Segundo o r...

Questão 08 Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas...

A segurança da rede e a proteção dos dados em trânsito são cruciais no home office, visto que o profissional está utilizando uma infraestrutura de int

Questão 1/10 Segurança em Sistemas de Informação 1» Ler em voz alta A segurança da informação e dos sistemas que fazem uso da internet está ligada à s

Mais conteúdos dessa disciplina