Preparatório Caixa TI: Protocolos e serviços de rede no contexto corporativo

Serviços de rede frequentes em ambientes bancários

Em ambientes corporativos bancários, a rede é desenhada para garantir confidencialidade, integridade, disponibilidade e rastreabilidade. Por isso, além dos protocolos “básicos”, aparecem serviços de segurança, intermediação e alta disponibilidade que controlam o tráfego entre usuários, aplicações e sistemas críticos.

VPN (Virtual Private Network)

Conceito: VPN cria um “túnel” criptografado sobre uma rede não confiável (ex.: Internet) para conectar usuários remotos, agências, fornecedores ou datacenters. Em bancos, é comum para acesso remoto seguro e interligação entre unidades.

Tipos comuns:

• Site-to-Site: conecta redes inteiras (matriz ↔ datacenter, agência ↔ datacenter).
• Remote Access: conecta um usuário/dispositivo à rede corporativa.
• IPsec: muito usado em site-to-site; opera na camada de rede, com autenticação e criptografia.
• SSL/TLS VPN: comum para acesso remoto via cliente ou navegador, com autenticação forte (MFA).

Pontos de atenção em prova e prática: criptografia, autenticação, integridade, políticas de acesso, split-tunneling (quando parte do tráfego vai fora do túnel) e impacto em latência.

Proxy (forward proxy e reverse proxy)

Conceito: Proxy é um intermediário que recebe requisições e as encaminha. Ele pode aplicar políticas, registrar logs e otimizar tráfego.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

• Forward proxy: fica “do lado do usuário”, controlando acesso à Internet (filtragem por URL/categoria, inspeção, autenticação, cache).
• Reverse proxy: fica “na frente” de servidores, protegendo e distribuindo acesso (terminação TLS, WAF, rate limiting, roteamento por host/path).

Exemplo prático: um navegador em rede corporativa acessa um site; a saída para Internet é obrigatoriamente via proxy autenticado, permitindo auditoria e bloqueio de domínios maliciosos.

Balanceamento de carga (Load Balancer)

Conceito: distribui conexões entre múltiplas instâncias de um serviço para aumentar disponibilidade e desempenho. Em bancos, é típico em canais digitais (internet banking, APIs, portais internos).

Camadas e recursos:

• L4 (transporte): distribui por IP/porta (TCP/UDP), menor overhead.
• L7 (aplicação): entende HTTP/HTTPS; roteia por URL, host, headers; pode fazer autenticação e regras avançadas.
• Health checks: remove do pool servidores com falha.
• Persistência (sticky session): mantém o usuário no mesmo servidor quando necessário (ex.: sessão em memória).

Armadilha comum: se a aplicação não é stateless e não há persistência/replicação de sessão, o usuário pode “perder” login ao alternar de servidor.

Firewalls (filtragem e controle de tráfego)

Conceito: firewall aplica regras para permitir/bloquear tráfego entre zonas de rede. Em bancos, é central para segmentação (usuários, servidores, DMZ, parceiros) e para reduzir superfície de ataque.

Tipos e capacidades:

• Stateful: acompanha o estado das conexões (ex.: TCP estabelecido) e permite retorno de tráfego relacionado.
• NGFW: inclui inspeção de aplicação, IPS, controle por usuário, reputação, TLS inspection (quando permitido por política).

Boas práticas de regra: menor privilégio (permitir apenas o necessário), regras explícitas por origem/destino/porta, logging em tráfego relevante, e separação por zonas (ex.: DMZ).

IDS/IPS (Detecção e Prevenção de Intrusão)

Conceito:

• IDS: monitora e alerta sobre padrões suspeitos (não bloqueia automaticamente).
• IPS: além de detectar, pode bloquear/mitigar (drop/reset/quarentena).

Como funciona: usa assinaturas (padrões conhecidos) e/ou detecção comportamental/anomalias. Em ambiente bancário, é comum integrar com SIEM para correlação de eventos.

Ponto de prova: IPS em linha pode impactar latência se mal dimensionado; IDS fora de banda não bloqueia, mas é menos intrusivo.

Segmentação com VLAN

Conceito: VLAN (Virtual LAN) separa domínios de broadcast em uma mesma infraestrutura física, criando redes lógicas distintas. Ajuda a isolar áreas (ex.: usuários, caixas/terminais, servidores, VoIP, gestão).

Elementos essenciais:

• Porta access: pertence a uma VLAN (tráfego sem tag para o host).
• Porta trunk: carrega múltiplas VLANs entre switches/roteadores (802.1Q com tags).
• Inter-VLAN routing: comunicação entre VLANs exige roteamento (roteador ou switch L3) e políticas (ACL/firewall).

Passo a passo prático (diagnóstico de segmentação):

• 1) Verifique se o host recebeu IP da sub-rede correta (DHCP/estático).
• 2) Confirme gateway padrão correspondente à VLAN.
• 3) Se não há comunicação com outra VLAN, valide se existe roteamento inter-VLAN e se ACL/firewall permite.
• 4) Em falhas intermitentes, suspeite de porta trunk com VLAN não permitida ou inconsistência de tagging.

Serviços de e-mail: SMTP, IMAP e POP3

SMTP

Conceito: SMTP (Simple Mail Transfer Protocol) é usado para envio e transferência de e-mails entre clientes e servidores e entre servidores. Normalmente opera em 25 (relay), 587 (submission) e pode usar TLS (STARTTLS) ou SMTPS (465, dependendo da política).

Fluxo típico: cliente autentica no servidor de envio (submission) → servidor encaminha para o servidor do domínio destino (via DNS/MX) → entrega na caixa postal.

IMAP

Conceito: IMAP (Internet Message Access Protocol) é usado para acesso e sincronização de e-mails mantendo mensagens no servidor. Ideal para múltiplos dispositivos, pastas e busca no servidor. Portas comuns: 143 (STARTTLS) e 993 (IMAPS).

POP3

Conceito: POP3 (Post Office Protocol v3) é usado para baixar e-mails do servidor para o cliente, geralmente com menos recursos de sincronização. Portas comuns: 110 (STARTTLS) e 995 (POP3S).

Comparação rápida: SMTP envia; IMAP sincroniza e mantém no servidor; POP3 tende a “retirar” do servidor (a depender de configuração) e é mais simples.

SNMP e monitoramento de rede

SNMP (Simple Network Management Protocol)

Conceito: SNMP é um protocolo para monitorar e gerenciar dispositivos (switches, roteadores, firewalls, servidores, UPS). Ele coleta métricas e pode receber alertas.

Componentes:

• Manager/NMS: sistema de monitoramento que consulta e recebe eventos.
• Agent: software no dispositivo monitorado.
• MIB/OIDs: “árvore” de objetos que representam métricas (ex.: uso de CPU, tráfego por interface).
• Traps/Informs: notificações enviadas pelo agente ao manager (ex.: interface down).

Versões:

• SNMPv1/v2c: usam community string (sem criptografia), menos seguro.
• SNMPv3: suporta autenticação e criptografia (recomendado em ambiente corporativo).

O que monitorar (exemplos práticos)

• Disponibilidade: ICMP, status de interface, BGP/OSPF (quando aplicável).
• Capacidade: throughput, erros/descartes (CRC, drops), filas.
• Desempenho: latência e jitter (principalmente para voz e transações sensíveis).
• Serviços: health checks de aplicações, tempo de resposta HTTP, filas de e-mail, DNS.

Noções de SDN e virtualização de redes (conceitos)

SDN (Software-Defined Networking)

Conceito: SDN separa o plano de controle (decisões de roteamento/políticas) do plano de dados (encaminhamento de pacotes). Um controlador central aplica políticas de forma programável, facilitando automação, segmentação e mudanças rápidas com menor erro operacional.

Uso típico: automação de políticas, microsegmentação, provisionamento rápido de redes para ambientes de aplicações.

Virtualização de redes

Conceito: cria redes lógicas independentes sobre a mesma infraestrutura física (overlays). Permite isolar ambientes (produção/homologação), criar topologias sob demanda e integrar com virtualização de servidores e containers.

Ideia-chave: o “endereço/segmento lógico” pode ser desacoplado do hardware físico, facilitando mobilidade e escalabilidade.

Casos práticos de diagnóstico (latência, perda, DNS e rotas)

Roteiro de diagnóstico rápido (passo a passo)

• 1) Escopo: é um usuário, uma VLAN, uma agência, ou geral? O problema é interno ou Internet?
• 2) Camada de rede: há IP válido, gateway, e rota? O link está “up”?
• 3) DNS: nomes resolvem? Há diferença entre resolver e conectar?
• 4) Conectividade e qualidade: há perda de pacotes, alta latência, jitter?
• 5) Políticas: firewall/proxy/IPS bloqueando? Há mudança recente?
• 6) Correlacione logs: horário do incidente, regras acionadas, health checks, traps SNMP.

Latência alta

Conceito: latência é o tempo de ida e volta (RTT) ou de ida (one-way) entre origem e destino. Pode aumentar por congestionamento, roteamento subótimo, inspeção pesada (proxy/IPS), ou problemas físicos (erros na interface).

Passo a passo prático:

• 1) Compare latência para o gateway vs. para o destino. Se até o gateway já está alto, o problema é local (Wi-Fi, switch, host).
• 2) Verifique se há picos (congestionamento) ou latência constante (rota/inspeção).
• 3) Use traceroute para identificar salto com aumento significativo (atenção: alguns roteadores limitam ICMP e podem “parecer” lentos sem ser gargalo real).
• 4) Correlacione com métricas: utilização de link, drops, filas, CPU de firewall/IPS.

Perda de pacotes

Conceito: perda ocorre quando pacotes são descartados por erro físico, congestionamento (fila cheia), políticas (rate limit), ou instabilidade de link.

Passo a passo prático:

• 1) Teste perda para o gateway e depois para destinos externos.
• 2) Se a perda aparece após determinado salto, investigue interface do equipamento (erros, CRC, duplex/speed).
• 3) Verifique se há drops por política (firewall/IPS) ou por saturação (QoS inexistente/mal configurado).

Resolução de nomes (DNS)

Conceito: DNS traduz nomes em IP. Falhas de DNS podem “parecer” falha de rede, mas a conectividade por IP pode funcionar.

Passo a passo prático:

• 1) Teste acesso por IP (quando possível) para diferenciar DNS de conectividade.
• 2) Verifique se o servidor DNS configurado é o correto (DHCP/política).
• 3) Identifique se o problema é de resolução interna (nomes corporativos) ou externa.
• 4) Avalie cache e TTL: mudanças recentes podem não ter propagado.

Rotas e assimetria

Conceito: uma rota errada pode enviar tráfego por caminho inadequado. Assimetria (ida por um caminho, volta por outro) pode quebrar sessões quando há firewall stateful no caminho de retorno.

Passo a passo prático:

• 1) Verifique o gateway padrão e rotas específicas (ex.: para redes de parceiros via VPN).
• 2) Em falhas intermitentes, suspeite de múltiplos links com balanceamento/roteamento dinâmico instável.
• 3) Se há firewall stateful, garanta que o retorno passe pelo mesmo ponto de inspeção (ou use design adequado).

Questões comentadas (com interpretação de logs e saídas típicas)

Questão 1 — VPN site-to-site instável

Enunciado: Uma agência acessa sistemas do datacenter via VPN IPsec. Usuários relatam quedas rápidas e reconexões. O log do concentrador mostra repetidamente:

IKE_SA rekey initiated for peer 200.10.10.5
IKE_AUTH failed: AUTHENTICATION_FAILED
CHILD_SA deleted: ESP tunnel torn down

Interpretação: o túnel está tentando renegociar (rekey) e falha na autenticação. Isso aponta para divergência de credenciais/chaves/certificados, ou parâmetros de IKE (proposal) incompatíveis após mudança.

Resposta esperada: validar configurações de autenticação (PSK/certificados), identidade do peer, e se houve alteração de política (algoritmos, lifetime). Checar também horário/NTP (certificados dependem de tempo correto).

Questão 2 — Proxy bloqueando acesso a serviço externo

Enunciado: Um sistema interno tenta consumir uma API externa via HTTPS e falha. Log do proxy:

DENY TLS_HANDSHAKE_FAILED src=10.20.30.40 dst=198.51.100.20 sni=api.parceiro.com reason=UNTRUSTED_CERT

Interpretação: o proxy está interceptando/validando TLS e rejeitou o certificado (cadeia não confiável, certificado expirado, ou CA não reconhecida).

Resposta esperada: verificar cadeia de certificados do destino, store de CAs confiáveis no proxy, e política de inspeção TLS. Em ambiente corporativo, pode ser necessário importar CA do parceiro ou ajustar exceção controlada por risco.

Questão 3 — Balanceador com health check falhando

Enunciado: Usuários relatam erro intermitente em portal. Log do balanceador:

Pool web-portal: member 10.10.5.21 marked DOWN (health check timeout)
Pool web-portal: member 10.10.5.22 marked UP

Interpretação: uma instância está falhando no health check (timeout). O balanceador retira o membro do pool, reduzindo capacidade e podendo causar intermitência se o pool fica pequeno.

Resposta esperada: checar serviço na 10.10.5.21 (processo, porta, saturação), conectividade entre balanceador e servidor (firewall local, ACL), e se o health check está coerente (URL/host header, TLS, tempo limite).

Questão 4 — Firewall bloqueando tráfego entre VLANs

Enunciado: Um servidor na VLAN de aplicações (10.50.0.10) não consegue acessar banco de dados na VLAN de dados (10.60.0.20:5432). Log do firewall:

action=deny src=10.50.0.10 dst=10.60.0.20 proto=tcp dport=5432 rule=INTERVLAN_DEFAULT_DENY

Interpretação: a política padrão entre VLANs está negando. Não é falha de rota; é controle de acesso.

Resposta esperada: criar regra específica permitindo origem/destino/porta necessários (menor privilégio), registrar log, e validar se há requisito de inspeção adicional (IPS) ou NAT (quando aplicável).

Questão 5 — IDS/IPS detectando varredura

Enunciado: Alertas no SIEM indicam:

IPS ALERT: TCP Port Scan detected src=172.16.8.44 dst=10.10.0.0/16 signature=SCAN_TCP_SYN severity=high

Interpretação: um host interno está tentando múltiplas portas em vários destinos (comportamento de varredura). Pode ser ferramenta legítima (inventário/vulnerability scan) ou comprometimento.

Resposta esperada: identificar o ativo 172.16.8.44, validar janela de mudança e ferramenta autorizada. Se não autorizado, isolar host, coletar evidências e bloquear no IPS/firewall conforme procedimento.

Questão 6 — Falha de DNS aparentando “queda de Internet”

Enunciado: Usuários não acessam sites por nome, mas conseguem pingar um IP público. Saída típica:

nslookup www.exemplo.com
;; connection timed out; no servers could be reached

Interpretação: conectividade IP existe, mas o resolvedor DNS não responde (servidor indisponível, bloqueio de porta 53, rota para DNS quebrada, ou configuração errada via DHCP).

Resposta esperada: verificar IP do DNS configurado, reachability ao DNS (porta 53 UDP/TCP), logs do servidor DNS, e se há política de firewall/proxy afetando consultas.

Questão 7 — Problema de rota e assimetria com firewall stateful

Enunciado: Uma aplicação funciona para alguns usuários e falha para outros. Log do firewall:

DROP state violation: no session match src=10.1.2.30:51544 dst=203.0.113.10:443

Interpretação: o firewall recebeu pacote de retorno (ou pacote fora de ordem) sem estado de sessão correspondente. Isso é típico quando o tráfego de ida passa por um caminho e o de volta por outro (assimetria) ou quando há NAT/roteamento inconsistentes.

Resposta esperada: revisar rotas, ECMP/balanceamento, políticas de PBR (policy-based routing) e garantir simetria através do mesmo firewall/cluster. Validar também se há múltiplos links e mudanças recentes.

Questão 8 — SNMP e detecção de falha de interface

Enunciado: O NMS recebe trap:

SNMPv3 TRAP: ifOperStatus down ifName=Gi1/0/24 device=SW-AGENCIA-07

Interpretação: a interface operacionalmente caiu (cabo desconectado, porta desabilitada, falha no equipamento remoto). É um evento de camada física/enlace, com impacto direto em disponibilidade.

Resposta esperada: identificar o que está conectado na Gi1/0/24, verificar se houve manutenção, checar erros na interface, e confirmar se a VLAN/porta está correta ao subir novamente (evita “voltar” em VLAN errada).