Análise de Ameaças em Redes — CCNA M6
O que é
Toda rede corporativa está exposta a ameaças — tentativas de comprometer seus dados, sistemas ou disponibilidade. Para organizar o pensamento de segurança, o CCNA usa o modelo CIA Triad, que define três pilares fundamentais:
- Confidencialidade — apenas usuários autorizados acessam as informações. Exemplo: o sistema de RH de uma empresa não pode ser lido por qualquer funcionário.
- Integridade — os dados não podem ser alterados por quem não tem permissão. Exemplo: uma nota fiscal eletrônica não pode ser modificada em trânsito.
- Disponibilidade — sistemas e serviços devem estar acessíveis quando necessários. Exemplo: o portal de uma fintech precisa funcionar 24h por dia.
Além do CIA Triad, quatro conceitos formam a base da análise de ameaças:
| Termo | Definição |
|---|---|
| Vulnerabilidade | Fraqueza potencial no sistema (ex.: porta de administração sem senha) |
| Exploit | Ferramenta ou técnica capaz de explorar a vulnerabilidade |
| Ameaça | A probabilidade real de a vulnerabilidade ser explorada |
| Mitigação | Contramedida implementada para reduzir ou eliminar a ameaça |
Como funciona
Ataques à Disponibilidade (A do CIA)
DoS — Denial of Service O atacante sobrecarrega o alvo até torná-lo inacessível. Um exemplo clássico é o TCP SYN Flood: o atacante envia milhares de pacotes SYN sem nunca completar o handshake. A tabela de conexões do servidor esgota e conexões legítimas são recusadas.
DDoS — Distributed Denial of Service Versão distribuída do DoS: o atacante infecta centenas ou milhares de máquinas com malware, criando uma botnet. Todas atacam o alvo ao mesmo tempo — muito mais difícil de bloquear porque o tráfego vem de IPs diferentes. Imagine uma distribuidora de São Paulo recebendo simultaneamente pedidos falsos de 50 mil "clientes" — o sistema trava.
Spoofing Uso de endereço IP ou MAC falso. Um exemplo é o DHCP Exhaustion: o atacante envia inúmeras requisições DHCP com MACs forjados, esgotando o pool de IPs do servidor. Dispositivos legítimos na rede ficam sem endereço e sem conexão.
Ataques de Reflexão e Amplificação O atacante envia tráfego para um servidor intermediário (o "refletor"), usando como origem o IP da vítima. O refletor responde para a vítima — com volume muito maior que o enviado pelo atacante. Vulnerabilidades em servidores DNS e NTP são frequentemente exploradas nesse modelo.
Ataques à Confidencialidade e Integridade (C e I do CIA)
Man-in-the-Middle (MitM) O atacante se posiciona entre dois hosts que se comunicam, interceptando e possivelmente modificando o tráfego.
O exemplo mais comum é o ARP Spoofing (ou ARP Poisoning): o atacante envia respostas ARP falsas para a rede, associando seu próprio MAC ao IP de outro host. A partir daí, o tráfego destinado ao servidor legítimo passa primeiro pelo atacante, que pode ler ou alterar os dados antes de repassá-los.
Reconhecimento
Não é um ataque em si — é a fase de coleta de informações antes do ataque real. O atacante faz nslookup para descobrir IPs, verifica portas abertas com ferramentas como Nmap, e consulta registros WHOIS para obter e-mails e contatos. Essas informações alimentam ataques posteriores, especialmente de engenharia social.
Malware
Malware (software malicioso) é classificado principalmente pela forma como se propaga:
| Tipo | Propagação | Característica |
|---|---|---|
| Vírus | Precisa de um programa hospedeiro | Spread via compartilhamento de arquivos |
| Worm | Autônomo, sem interação humana | Pode congestionar a rede com tráfego de propagação |
| Trojan | Disfarçado de software legítimo | Spread via e-mail ou download de sites maliciosos |
Engenharia Social
Os ataques de engenharia social exploram pessoas, não sistemas. Não importa quantas camadas de firewall existam — um funcionário enganado pode abrir todas as portas.
Phishing — E-mails falsos que imitam bancos, operadoras ou e-commerce (Nubank, Mercado Livre, Claro) com links para páginas fraudulentas que capturam credenciais.
Spear Phishing — Phishing direcionado a um grupo específico, como funcionários de um determinado departamento.
Whaling — Phishing voltado a executivos de alto escalão (CFO, CEO).
Vishing — Phishing por telefone. Exemplo: alguém ligando fingindo ser do suporte de TI e pedindo a senha "para resetar o sistema".
Smishing — Phishing via SMS. Mensagens como "Seu CPF foi usado em uma compra suspeita. Acesse o link para cancelar."
Watering Hole — Comprometimento de um site legítimo que a vítima acessa com frequência. O usuário confia no site e não hesita ao clicar.
Tailgating — Acesso físico a áreas restritas seguindo uma pessoa autorizada pela porta. A educação dos funcionários é a principal defesa.
Ataques a Senhas
- Adivinhação direta — tentativa manual de senhas comuns (123456, admin)
- Ataque de dicionário — programa testa automaticamente lista de palavras e senhas comuns
- Brute force — testa todas as combinações possíveis de caracteres; eficaz contra senhas fracas
Senhas fortes devem ter: mínimo de 8 caracteres (quanto mais, melhor), letras maiúsculas e minúsculas, números, caracteres especiais e troca periódica.
Defesas: Firewalls, IDS e IPS
| Mecanismo | Função |
|---|---|
| Firewall | Filtra tráfego baseado em regras (IP, porta, protocolo) |
| IDS (Intrusion Detection System) | Detecta e alerta sobre tráfego suspeito — não bloqueia |
| IPS (Intrusion Prevention System) | Detecta e bloqueia tráfego malicioso em tempo real |
Autenticação Multifator (MFA)
Mesmo a senha mais forte pode ser comprometida. O MFA exige pelo menos dois fatores de categorias diferentes:
- Algo que você sabe — senha, PIN
- Algo que você tem — token físico, app autenticador (ex.: Google Authenticator), badge
- Algo que você é — biometria (impressão digital, reconhecimento facial, escâner de retina)
Exemplo brasileiro: o acesso ao internet banking do Bradesco exige senha + token no app — isso é MFA em ação.
AAA — Autenticação, Autorização e Contabilização
O framework AAA controla e monitora o acesso a sistemas de rede:
| Componente | Função | Exemplo |
|---|---|---|
| Autenticação | Verifica a identidade do usuário | Login com usuário e senha + MFA |
| Autorização | Define o que o usuário pode fazer | Acesso a alguns arquivos, não a outros |
| Contabilização | Registra as ações do usuário | Log de quem alterou uma configuração e quando |
Protocolos AAA no CCNA:
- RADIUS — padrão aberto, usa UDP portas 1812 (autenticação) e 1813 (contabilização)
- TACACS+ — proprietário Cisco, usa TCP porta 49
Zero Trust
O modelo Zero Trust parte do princípio: nunca confie, sempre verifique. Mesmo usuários dentro da rede corporativa devem ser continuamente autenticados e autorizados. Nenhum dispositivo ou usuário recebe acesso amplo por padrão — o acesso é mínimo e baseado em contexto (identidade, localização, horário, comportamento). É o modelo de segurança mais adotado em ambientes modernos e em nuvem.
Na prática
Cenário real: Uma empresa de logística em Curitiba sofre um ataque DDoS durante a Black Friday. O sistema de rastreamento de pacotes fica fora do ar por 4 horas — violação direta da Disponibilidade.
Cenário real 2: Um funcionário do financeiro recebe um e-mail do "CFO" pedindo transferência urgente para fornecedor novo. É um ataque de whaling combinado com spear phishing. A contramedida: treinamento de conscientização e processo de aprovação dupla para transferências.
No Cisco IOS, os principais controles de segurança associados a esse tema incluem:
- Configuração de senhas fortes e
service password-encryption - Uso de AAA com servidor RADIUS ou TACACS+
- Listas de acesso (ACLs) como mitigação de spoofing
- Port Security para evitar DHCP exhaustion em switches
Por que cai no exame
O CCNA 200-301 cobra Security Fundamentals diretamente no domínio 6.0 — Security Fundamentals (15% da prova). As questões mais frequentes envolvem:
- Identificar qual pilar do CIA Triad é violado em um determinado ataque
- Diferenciar DoS de DDoS e spoofing de MitM
- Distinguir autenticação, autorização e contabilização no modelo AAA
- Identificar os protocolos AAA corretos (RADIUS vs. TACACS+) e suas portas
- Reconhecer tipos de phishing (spear, whaling, vishing, smishing)
- Saber o que torna uma senha forte
- Classificar fatores de MFA nas três categorias corretas
A pegadinha clássica: fazer retina scan + impressão digital não é MFA, porque ambos são da mesma categoria (algo que você é).
Resumo em uma linha
Análise de ameaças no CCNA é saber classificar ataques pelo pilar do CIA Triad que violam — e conhecer as contramedidas certas para cada tipo de ameaça.