Segurança Básica de Redes

Firewall Stateless (sem estado): analisa cada pacote individualmente, sem contexto. Uma regra simples como "bloquear TCP de qualquer IP na porta 80 para dentro" é verificada pacote a pacote. É rápido, mas não sabe se um pacote TCP faz parte de uma conexão legítima ou é um ataque.

Exemplo de problema stateless: se você libera TCP na porta 80 para entrada, um atacante pode enviar pacotes TCP com flag ACK sem nunca ter estabelecido a conexão — e o firewall stateless deixa passar, pois a porta está liberada.

Firewall Stateful (com estado): mantém uma tabela de conexões ativas. Quando você abre uma conexão TCP (SYN), o firewall registra. Quando chega um pacote ACK, ele verifica: "existe uma conexão com esse SYN registrado?". Se não existe, bloqueia.

Na prática, virtualmente todos os firewalls modernos são stateful. O stateless ainda aparece em ACLs de roteadores e regras simples de filtragem em alta performance.

No ataque MITM, o atacante se posiciona entre dois comunicadores — A e B — fazendo com que ambos pensem estar falando diretamente um com o outro, quando na verdade toda a comunicação passa pelo atacante.

Como é executado em redes Wi-Fi:

1. Atacante cria um ponto de acesso Wi-Fi falso com nome confiável ("Starbucks_Free")
2. Vítima conecta achando ser legítimo
3. Todo o tráfego da vítima passa pelo atacante
4. Sem HTTPS, o atacante lê todo o conteúdo. Com HTTPS, ele ainda pode ver os domínios acessados (via DNS ou SNI), mas não o conteúdo

Outra forma — ARP Spoofing: em redes locais, o atacante envia respostas ARP falsas, fazendo os dispositivos pensarem que o MAC do gateway é o MAC do atacante. Todo o tráfego de saída passa pelo atacante antes de ir para o gateway real.

Defesa: use sempre HTTPS. Em redes não confiáveis, use VPN. HSTS (HTTP Strict Transport Security) força HTTPS e previne downgrade attacks.

O objetivo do DDoS é tornar um serviço indisponível ao sobrecarregar seus recursos (banda, CPU, conexões). Um DoS simples vem de uma fonte. O DDoS usa múltiplas fontes simultâneas — geralmente uma botnet: rede de dispositivos comprometidos controlados pelo atacante.

Tipos comuns:

• Volumétrico: inunda com tráfego massivo (Gbps). Objetivo: esgotar a banda. Ex: UDP flood, ICMP flood.
• Protocolo: explora fraquezas em protocolos. Ex: SYN flood — envia milhares de SYNs sem completar o handshake, lotando a tabela de conexões do servidor.
• Camada 7 (Aplicação): envia requisições HTTP legítimas em volume massivo. Difícil de distinguir de tráfego real. Ex: HTTP flood.

Defesa: rate limiting, CDNs com capacidade de absorção (Cloudflare, AWS Shield), anycast routing, filtros de tráfego upstream no provedor.

O atacante forja o endereço IP de origem dos pacotes que envia. Usos: ocultar a identidade real, fazer o alvo achar que o ataque vem de outro lugar, amplificar ataques DDoS (o atacante envia uma requisição com IP spoofado da vítima — a resposta volumosa vai para a vítima).

Defesa: ISPs podem implementar BCP38 (Ingress Filtering) — descartam pacotes de clientes cujo IP de origem não bate com o range alocado para aquele cliente. Infelizmente nem todos os ISPs fazem isso.

Phishing é engenharia social — o atacante cria e-mails, sites ou mensagens que imitam entidades confiáveis (banco, Amazon, Microsoft) para enganar a vítima a revelar credenciais, dados bancários ou instalar malware.

Variações:

• Spear phishing: direcionado a uma pessoa específica, com informações personalizadas (nome, cargo, projeto atual).
• Smishing: phishing via SMS.
• Vishing: phishing via chamada de voz.

Defesa técnica: SPF, DKIM e DMARC (registros DNS que autenticam e-mails), filtros de e-mail, MFA (autenticação de dois fatores). A principal defesa é treinamento de usuários — tecnologia sozinha não resolve.

Uma VPN cria um túnel criptografado entre seu dispositivo e um servidor VPN. Todo o tráfego que passa por esse túnel é criptografado, então intermediários (ISP, operadora, Wi-Fi público) veem apenas bytes ilegíveis.

O que a VPN protege:

• O tráfego entre você e o servidor VPN (contra interceptação na rede intermediária)
• Seu IP real é ocultado dos sites que você acessa (eles veem o IP do servidor VPN)

O que a VPN NÃO protege:

• O tráfego entre o servidor VPN e o destino final (a menos que use HTTPS)
• Malware já instalado no seu dispositivo
• Cookies e fingerprint do navegador que identificam você
• Você ainda precisa confiar no provedor de VPN — ele vê seu tráfego

Protocolos VPN: OpenVPN, WireGuard (moderno, rápido), IKEv2/IPSec, L2TP/IPSec. WireGuard é o estado da arte atualmente — código base menor, criptografia moderna, performance superior.