CCST: Defesa de Redes

▼

BASE

Escopo Real do TP3

Mapear o enunciado para uma trilha técnica verificável antes de responder.

O arquivo de questões (questoes.pdf) cobra 7 entregas objetivas: comparação ZPF vs ACL, configuração entre zonas Pública/Privada/DMZ, virtualização, nuvem pública x privada, Diffie-Hellman, duas técnicas de ocultação de dados e cálculo MD5 de duas entradas. O erro mais comum nesse TP é responder de forma genérica e sem amarrar a explicação à evidência operacional.

O arquivo respostas.txt já traz o conteúdo completo e tecnicamente consistente. Esta página reorganiza esse conteúdo em formato de estudo e defesa: o que a questão pede, por que a solução está correta, como validar e qual evidência comprova o resultado.

Vocabulário mínimo do TP3

Stateful: mecanismo que acompanha o estado de uma conexão e trata o retorno da sessão como parte de uma comunicação legítima.
Zone-pair: relação direcional entre duas zonas de segurança. Se o fluxo é de A para B, o zone-pair precisa ser criado exatamente nessa direção.
Hipervisor: camada responsável por virtualizar hardware e permitir a execução de máquinas virtuais.
Hash: resumo digital unidirecional de uma entrada, usado principalmente para verificação de integridade.
Efeito avalanche: propriedade segundo a qual pequenas alterações na entrada geram grandes alterações na saída.

Q1: ZPF vs ACL com foco em governança e inspeção stateful.
Q2: configuração Cisco ZPF com zones, class-map, policy-map e zone-pair.
Q3: hipervisor tipo 1 vs tipo 2.
Q4: nuvem pública vs privada (trade-offs reais).
Q5: Diffie-Hellman passo a passo e limitação de autenticação.
Q6: esteganografia + ocultação em metadados/estruturas de armazenamento.
Q7: MD5 das senhas e comparação por efeito avalanche.

Critério de qualidade usado nesta reconstrução: profundidade equivalente às páginas recentes de infnet, sem placeholder, com conteúdo completo e rastreável ao TP3.

▼

EX.01

ZPF vs ACL: Vantagens Técnicas e Operacionais

Responder por que ZPF é superior a ACL isolada em redes segmentadas.

O que a questão pede: comparar o emprego de Zone-based Policy Firewall com ACL tradicional, em redes de comunicação.

Conceito cobrado: ACL filtra pacotes em pontos específicos; ZPF modela relações entre zonas, com direção explícita e inspeção stateful.

Com ACL pura, políticas tendem a virar "colcha de retalhos" em interfaces diferentes.
Com ZPF, a política fica organizada por source zone -> destination zone.
Em ZPF, o retorno de sessão legítima é tratado por estado, sem abrir permissões amplas de volta.
Auditabilidade melhora: fica claro qual fluxo foi autorizado e por qual policy.

Resumo de prova: ACL é filtro pontual; ZPF é arquitetura de firewall por zonas com governança melhor e menor risco operacional.

Comparação direta
- ACL: decisão pacote a pacote (stateless) em interface.
- ZPF: decisão por relação de zonas + direção + inspeção stateful.
- ACL: manutenção mais frágil em ambientes grandes.
- ZPF: política legível, segmentada e sustentável.

▼

EX.02

Configuração ZPF para Pública, Privada e DMZ

Implementar bloqueio por padrão com exceções específicas do enunciado.

Regras do TP3: Privada->Pública só HTTP/HTTPS; Privada->DMZ só POP3/IMAP/SMTP; Pública->DMZ só SMTP; restante bloqueado.

Origem	Destino	Serviços permitidos	Ação padrão
PRIVADA	PÚBLICA	HTTP (80), HTTPS (443)	DROP
PRIVADA	DMZ	POP3, IMAP, SMTP	DROP
PÚBLICA	DMZ	SMTP	DROP

Ponto crítico da lógica: como a ação usada é inspect, o retorno de uma sessão legítima é tratado por estado. Isso significa que você não precisa abrir permissões amplas "de volta" apenas para permitir respostas de conexões autorizadas.

zone security PUBLICA
zone security PRIVADA
zone security DMZ

interface g0/0
 description LINK_PUBLICA
 zone-member security PUBLICA

interface g0/1
 description LINK_PRIVADA
 zone-member security PRIVADA

interface g0/2
 description LINK_DMZ
 zone-member security DMZ

class-map type inspect match-any CM_PRIV_PUBLIC
 match protocol http
 match protocol https

class-map type inspect match-any CM_PRIV_DMZ
 match protocol pop3
 match protocol imap
 match protocol smtp

class-map type inspect match-any CM_PUBLIC_DMZ
 match protocol smtp

policy-map type inspect PM_PRIV_PUBLIC
 class type inspect CM_PRIV_PUBLIC
  inspect
 class class-default
  drop log

policy-map type inspect PM_PRIV_DMZ
 class type inspect CM_PRIV_DMZ
  inspect
 class class-default
  drop log

policy-map type inspect PM_PUBLIC_DMZ
 class type inspect CM_PUBLIC_DMZ
  inspect
 class class-default
  drop log

zone-pair security ZP_PRIV_PUBLIC source PRIVADA destination PUBLICA
 service-policy type inspect PM_PRIV_PUBLIC

zone-pair security ZP_PRIV_DMZ source PRIVADA destination DMZ
 service-policy type inspect PM_PRIV_DMZ

zone-pair security ZP_PUBLIC_DMZ source PUBLICA destination DMZ
 service-policy type inspect PM_PUBLIC_DMZ

Validação mínima: um teste positivo e um negativo por direção. Exemplo: HTTP Privada->Pública funciona; qualquer outra porta falha.

Se não funcionar, verifique nesta ordem

A interface foi associada à zona correta?
O zone-pair foi criado na direção certa?
A service-policy foi aplicada no zone-pair correto?
A class-map realmente casa com o protocolo esperado?
O tráfego que você está testando pertence mesmo à relação origem -> destino pedida no enunciado?

▼

EX.03

Virtualização: Tipo 1 vs Tipo 2

Diferenciar arquitetura, uso e impacto operacional dos hipervisores.

Tipo 1 (bare-metal): roda direto no hardware, com melhor desempenho e isolamento; típico de datacenter e produção.

Tipo 2 (hosted): roda sobre um sistema operacional hospedeiro; mais simples para estudo/laboratório, com overhead maior.

Tipo 1: ESXi, Hyper-V Server, Xen (cenários específicos).
Tipo 2: VirtualBox, VMware Workstation.
Uso típico: Tipo 1 em produção; Tipo 2 em desenvolvimento e ensino.

Resumo de prova: Tipo 1 privilegia isolamento/performance; Tipo 2 privilegia simplicidade e agilidade de laboratório.

Como memorizar sem decorar: no hipervisor tipo 1, a virtualização nasce direto sobre o hardware; por isso ele tende a ser mais adequado para produção, desempenho e isolamento. No tipo 2, a virtualização depende de um sistema operacional hospedeiro já existente; por isso ele é mais simples para estudo, teste e laboratório, embora normalmente tenha mais overhead.

▼

EX.04

Nuvem Pública vs Nuvem Privada

Comparar controle, custo, escalabilidade e responsabilidade operacional.

Critério	Nuvem Pública	Nuvem Privada
Operação	Provedor externo	Organização dona do ambiente
Escalabilidade	Alta elasticidade	Limitada ao investimento interno
Custo inicial	Menor (pay-as-you-go)	Maior CAPEX/OPEX
Controle	Menor controle físico direto	Maior controle e customização
Compliance rígido	Depende de arquitetura e contrato	Geralmente mais aderente

Nuvem pública prioriza velocidade e elasticidade. Nuvem privada prioriza governança e controle fino. A resposta madura não trata uma como "melhor absoluta", e sim como escolha contextual ao risco e ao requisito de negócio.

A diferença entre nuvem pública e privada não é apenas "compartilhada versus dedicada". A comparação correta também envolve responsabilidade operacional, controle sobre políticas de segurança, elasticidade, custo e aderência a requisitos de compliance.

▼

EX.05

Diffie-Hellman: Troca de Chaves

Explicar como duas partes obtêm segredo compartilhado em canal inseguro.

Definir publicamente p (primo) e g (base).
A escolhe segredo privado a; B escolhe b.
A envia A = g^a mod p; B envia B = g^b mod p.
A calcula S = B^a mod p; B calcula S = A^b mod p.
Ambos chegam ao mesmo segredo: g^(ab) mod p.

Exemplo didático
p = 23, g = 5
a = 6, b = 15

A = 5^6 mod 23 = 8
B = 5^15 mod 23 = 19

Segredo de A: 19^6 mod 23 = 2
Segredo de B: 8^15 mod 23 = 2

Diffie-Hellman resolve troca de chave, mas não autentica sozinho as partes. Sem autenticação adicional, pode sofrer ataque man-in-the-middle.

▼

EX.06

Duas Técnicas para Ocultar Dados

Diferenciar ocultação de conteúdo e ocultação da existência da informação.

1) Esteganografia: esconder dados dentro de imagem/áudio/vídeo (por exemplo, alterando bits menos significativos), sem evidência visual óbvia.

2) Ocultação em metadados/estrutura: guardar dados em áreas menos visíveis (metadados, slack space, ADS em NTFS, áreas pouco inspecionadas).

Criptografia esconde o conteúdo.
Esteganografia tenta esconder a existência da mensagem.
Em defesa de redes, o ponto é saber detectar sinais dessas técnicas.

Essas técnicas podem ter uso legítimo em laboratório, watermarking e pesquisa, mas também aparecem em cenários de evasão. O diferencial é a capacidade de identificar evidência forense.

▼

EX.07

MD5: Cálculo e Efeito Avalanche

Gerar os dois hashes pedidos e comparar tecnicamente os resultados.

Senha original: %S3nh4S3gur4$

MD5: 827e78ffce5f178800f52b46c858a146

Senha sem o primeiro caractere: S3nh4S3gur4$

Novo MD5: 389097f952a110e2b8507e9d48b20530

Hash não é criptografia reversível. Seu papel aqui é gerar um resumo digital da entrada, útil para verificar integridade e detectar alterações. Se a entrada muda, o hash muda; por isso funções hash ajudam a perceber modificação em dados.

# Linux

echo -n '%S3nh4S3gur4$' | md5sum
# 827e78ffce5f178800f52b46c858a146

echo -n 'S3nh4S3gur4$' | md5sum
# 389097f952a110e2b8507e9d48b20530

# Python
import hashlib
print(hashlib.md5('%S3nh4S3gur4$'.encode()).hexdigest())
print(hashlib.md5('S3nh4S3gur4$'.encode()).hexdigest())

A mudança de um único caractere produziu hashes totalmente diferentes: demonstração clara do efeito avalanche.

MD5 é útil didaticamente para estudar hash, mas não é recomendado para armazenamento seguro de senhas em produção. Para isso, use bcrypt/scrypt/Argon2.

▼

CHECK

Validação Final e Erros Corrigidos

Consolidar conformidade técnica após reconstrução completa da página.

Q1 a Q7 cobertas sem truncamento e com explicação técnica completa.
Configuração ZPF entregue com comandos e direcionalidade correta.
Hashes MD5 conferidos com os valores de respostas.txt.
Conteúdo alinhado ao tema real da disciplina (CCST / Defesa de Redes).
Estrutura no padrão do site: BASE + EX.01..EX.07 + CHECK.