Capa do Ebook gratuito Analista Judiciário - Tecnologia da Informação: Preparação Completa para Concursos do Judiciário

Analista Judiciário - Tecnologia da Informação: Preparação Completa para Concursos do Judiciário

Novo curso

24 páginas
Todos os cursos > Concursos > Técnico Judiciário ::

Segurança em redes e aplicações para Analista Judiciário - TI: firewall, IDS/IPS e OWASP

Capítulo 15

Tempo estimado de leitura: 11 minutos

+ Exercício

Controles técnicos em redes: visão prática

Em ambientes do Judiciário, é comum coexistirem sistemas internos (processuais, administrativos), integrações com órgãos externos e portais públicos. A segurança em redes e aplicações depende de controles técnicos que reduzam a superfície de ataque e limitem o impacto de incidentes. Nesta seção, você verá como firewalls, WAF, IDS/IPS, segmentação, DMZ e proxies se complementam, e como isso se conecta a vulnerabilidades web recorrentes em provas (OWASP).

Firewall (stateful) e regras: o que é e como funciona

Firewall é um controle de rede que aplica políticas de tráfego (permitir/bloquear) com base em critérios como IP de origem/destino, porta, protocolo e direção. Um firewall stateful (com inspeção de estado) acompanha o estado das conexões (por exemplo, TCP) e permite automaticamente pacotes de retorno de conexões legítimas, reduzindo a necessidade de regras “espelhadas” e dificultando tráfego não solicitado.

  • Stateless: decide pacote a pacote, sem contexto de sessão. Exige regras mais detalhadas e é mais suscetível a bypass por tráfego fragmentado/malformado (dependendo do dispositivo).
  • Stateful: mantém tabela de estados (sessions/flows). Permite retorno apenas se houver sessão válida iniciada conforme política.

Passo a passo prático: modelando regras de firewall (mínimo privilégio)

Objetivo: publicar um sistema web com banco de dados interno, reduzindo exposição.

  • 1) Levante fluxos necessários: Usuário Internet → HTTPS (443) no servidor web; Servidor web → Banco de dados (porta específica) na rede interna; Admin → SSH/RDP apenas a partir de rede de administração.
  • 2) Defina zonas: Internet (untrusted), DMZ (semi-confiável), Rede interna (trusted), Rede de administração (admin).
  • 3) Crie política padrão: “deny all” entre zonas, liberando apenas o necessário.
  • 4) Escreva regras específicas: permitir Internet→DMZ TCP/443 para IP do web; permitir DMZ→Interna TCP/porta do SGBD para IP do banco; permitir Admin→DMZ/Interna apenas portas de gestão e apenas de IPs autorizados.
  • 5) Restrinja por origem/destino: evite “any-any”; use objetos/grupos (sub-redes e hosts).
  • 6) Registre e monitore: habilite logs para bloqueios relevantes e para regras críticas (publicação e acesso ao banco).
  • 7) Revise periodicamente: remova regras temporárias, valide exceções e ajuste conforme mudanças de aplicação.

Em provas, atenção a armadilhas: liberar “porta do banco” diretamente da Internet para a rede interna é erro grave; publicar apenas 443 no front-end e manter o banco inacessível externamente é o padrão esperado.

WAF (Web Application Firewall): conceito e uso

WAF é um firewall especializado em tráfego HTTP/HTTPS, operando tipicamente na camada de aplicação. Ele inspeciona requisições e respostas para detectar padrões de ataques web (por exemplo, injeção SQL e XSS), aplicando regras (assinaturas, heurísticas, reputação, validações de protocolo) e podendo bloquear, desafiar (challenge) ou registrar eventos.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Firewall de rede: foca em IP/porta/protocolo e, em alguns casos, inspeção mais profunda.
  • WAF: foca em parâmetros, headers, cookies, payloads e comportamento HTTP.

Importante: WAF não substitui correções na aplicação. Ele reduz risco e compra tempo, mas não elimina vulnerabilidades de lógica, autenticação fraca ou falhas de autorização.

IDS e IPS: detecção e prevenção

IDS (Intrusion Detection System) monitora tráfego/hosts e alerta sobre atividades suspeitas. IPS (Intrusion Prevention System) atua em linha (inline) e pode bloquear/mitigar automaticamente tráfego malicioso.

  • NIDS/NIPS: baseado em rede (sensores em pontos estratégicos).
  • HIDS/HIPS: baseado em host (agente no servidor, monitorando processos, integridade de arquivos, logs).
  • Detecção por assinatura: identifica padrões conhecidos (baixo falso positivo, não pega zero-day facilmente).
  • Detecção por anomalia: identifica desvios de baseline (pega comportamentos novos, tende a mais falsos positivos).

Passo a passo prático: posicionamento de IDS/IPS e ajuste básico

  • 1) Escolha pontos de visibilidade: borda (Internet↔DMZ), interzona (DMZ↔Interna) e, se possível, rede de usuários↔servidores críticos.
  • 2) Defina objetivo: detecção (IDS) para observabilidade e resposta; prevenção (IPS) quando há maturidade para bloquear sem interromper serviço.
  • 3) Ative conjuntos de regras por contexto: regras web para tráfego HTTP/HTTPS, regras de varredura (scan), brute force, exfiltração.
  • 4) Ajuste falsos positivos: crie exceções por aplicação (URLs, parâmetros) e por ativos confiáveis, mantendo rastreabilidade.
  • 5) Integre com logs: correlacione alertas com logs do firewall, WAF e aplicação para confirmar incidente.

Segmentação, DMZ e microsegmentação: reduzindo movimento lateral

Segmentação é separar a rede em zonas com políticas distintas (por VLANs, sub-redes e controles de acesso). O objetivo é limitar o alcance de um comprometimento: se um host de usuário for infectado, ele não deve alcançar diretamente servidores críticos.

DMZ (zona desmilitarizada) é uma rede intermediária onde ficam serviços expostos (portais, APIs públicas, reverse proxies). A DMZ deve ter regras restritivas tanto para a Internet quanto para a rede interna.

  • Boa prática: Internet → DMZ (apenas portas publicadas); DMZ → Interna (apenas fluxos estritamente necessários, como consulta a banco/serviço); Interna → DMZ (administração apenas por rede de gestão).
  • Microsegmentação: segmentação mais granular (por aplicação/servidor), frequentemente com políticas por identidade/host, reduzindo ainda mais o movimento lateral.

Proxies: forward, reverse e suas finalidades

Proxy é um intermediário de comunicação. Em segurança, ele pode controlar, registrar e filtrar tráfego.

  • Forward proxy: fica entre usuários internos e a Internet. Usado para controle de navegação, autenticação, inspeção e registro.
  • Reverse proxy: fica na frente dos servidores (ex.: portais). Pode fazer balanceamento, terminação TLS, cache, rate limiting e ocultar a topologia interna.

Em cenários de publicação, reverse proxy na DMZ é comum: Internet → reverse proxy (DMZ) → aplicação (rede interna ou DMZ interna), com regras estritas e logs centralizados.

OWASP e vulnerabilidades web recorrentes em provas

Em concursos, é frequente a cobrança de vulnerabilidades clássicas e suas contramedidas. A seguir, foque no mecanismo do ataque e no controle mais direto para mitigação.

Injeção SQL (SQLi)

Conceito: ocorre quando a aplicação concatena entrada do usuário em comandos SQL, permitindo alterar a consulta (ex.: bypass de login, extração de dados, alteração de registros).

Exemplo (padrão inseguro):

sql = "SELECT * FROM usuarios WHERE login='" + login + "' AND senha='" + senha + "'"

Mitigações:

  • Consultas parametrizadas (prepared statements): separa código SQL de dados.
  • Validação de entrada: whitelist para formatos esperados (ex.: CPF, número do processo).
  • Privilégio mínimo no banco: usuário da aplicação sem permissões de DDL/administrativas.
  • WAF: pode bloquear padrões comuns, mas não substitui parametrização.

XSS (Cross-Site Scripting)

Conceito: injeção de script no conteúdo exibido ao usuário, executando no navegador da vítima. Pode roubar sessão, alterar página, capturar dados.

  • Reflected: payload volta na resposta imediata (parâmetro na URL/form).
  • Stored: payload fica persistido (comentários, campos) e afeta múltiplos usuários.

Mitigações:

  • Escape/encoding de saída conforme contexto (HTML, atributo, JavaScript, URL).
  • Sanitização quando aceitar HTML é necessário (com biblioteca apropriada).
  • CSP (Content Security Policy) para reduzir execução de scripts não autorizados.
  • Cookies com HttpOnly e SameSite para reduzir impacto em roubo de sessão.

CSRF (Cross-Site Request Forgery)

Conceito: força o navegador autenticado da vítima a enviar requisições não desejadas para um sistema onde ela já está logada (ex.: alterar e-mail, cadastrar chave PIX, mudar permissões), explorando o envio automático de cookies.

Mitigações:

  • Token anti-CSRF por sessão e por formulário (sincronizador).
  • SameSite cookies (Lax/Strict) para reduzir envio em contextos cross-site.
  • Reautenticação/2º fator para operações sensíveis.
  • Verificação de Origin/Referer (camada adicional, não única).

Autenticação fraca e gestão de sessão

Conceito: falhas como senhas fracas, ausência de MFA, política de bloqueio inexistente, recuperação de senha insegura, sessões longas e tokens previsíveis.

Mitigações:

  • MFA para perfis privilegiados e operações críticas.
  • Política de senha alinhada a boas práticas (tamanho mínimo, bloqueio contra senhas comuns, rate limiting).
  • Proteção contra brute force: rate limiting, backoff, bloqueio progressivo, CAPTCHA quando aplicável.
  • Gestão de sessão: expiração, rotação de token após login, invalidação no logout, cookies Secure/HttpOnly, proteção contra fixation.

Estudos de caso curtos (incidente → controle)

Caso 1: Portal público indisponível por pico de requisições

Situação: o portal recebe grande volume de requisições repetitivas em endpoints de busca, causando exaustão de recursos e indisponibilidade.

  • Indicadores: aumento de 5xx, saturação de CPU, logs com mesmo padrão de URL e IPs variados.
  • Controles aplicáveis: reverse proxy com rate limiting, WAF com regras de bot mitigation, cache para respostas idempotentes, firewall com bloqueio por reputação/geo (quando pertinente), segmentação para impedir que a sobrecarga atinja o banco diretamente.

Caso 2: Vazamento de dados após exploração de SQLi em endpoint legado

Situação: endpoint antigo concatena parâmetros em SQL e permite extração de dados.

  • Indicadores: queries anômalas, padrões de erro SQL, aumento de tempo de resposta, alertas de WAF/IDS.
  • Controles aplicáveis: correção com prepared statements, revisão de permissões do usuário do banco (privilégio mínimo), WAF como contenção temporária, IDS/IPS para detectar padrões e bloquear exploração repetida, segmentação para limitar alcance a outros sistemas.

Caso 3: Alteração indevida de cadastro por CSRF

Situação: usuário autenticado acessa site malicioso e, sem perceber, envia requisição para alterar e-mail no sistema interno.

  • Indicadores: alterações de cadastro sem padrão de navegação normal, requisições sem token válido, inconsistência de Origin.
  • Controles aplicáveis: anti-CSRF token, cookies SameSite, confirmação adicional para mudança de e-mail, logs e alertas para operações sensíveis.

Perguntas de correlação: vulnerabilidade → contramedida

Treine como em prova: identifique o ataque e selecione o controle mais direto (sem confundir com controles “genéricos”).

  • 1) Entrada do usuário altera a lógica de uma consulta no bancoConsultas parametrizadas (prepared statements) + privilégio mínimo no banco.
  • 2) Script é executado no navegador após exibição de comentárioEscape/encoding de saída + CSP (camada adicional).
  • 3) Usuário logado realiza ação sem intenção ao visitar outro siteToken anti-CSRF + SameSite cookies.
  • 4) Tentativas repetidas de senha em endpoint de loginRate limiting + bloqueio progressivo + MFA para perfis críticos.
  • 5) Serviço público deve ficar acessível, mas o banco não pode ser expostoDMZ + regras de firewall “deny by default” + permitir apenas DMZ→Interna na porta do SGBD.
  • 6) Necessidade de filtrar e registrar navegação de usuários internosForward proxy com autenticação e logging.
  • 7) Necessidade de proteger aplicação web contra padrões comuns de ataque HTTPWAF (como camada de proteção), sem dispensar correções no código.
  • 8) Detecção de varredura e exploração em tráfego de redeIDS (alerta) ou IPS (bloqueio em linha), com ajuste de regras e correlação de logs.

Checklist prático para questões e cenários

  • Firewall: política padrão restritiva; regras por zona; logs; evitar any-any; permitir retorno via stateful.
  • DMZ/segmentação: serviços expostos na DMZ; banco e serviços críticos na rede interna; fluxos mínimos DMZ→Interna.
  • WAF/reverse proxy: proteção HTTP, rate limiting, validação de protocolo, terminação TLS e observabilidade.
  • IDS/IPS: posicionamento estratégico; assinatura vs anomalia; IDS alerta, IPS bloqueia; reduzir falsos positivos com tuning.
  • OWASP: SQLi→parametrização; XSS→encoding/CSP; CSRF→token/SameSite; autenticação fraca→MFA/rate limiting/sessão segura.

Agora responda o exercício sobre o conteúdo:

Ao publicar um sistema web com banco de dados interno, qual configuração reduz a exposição e segue o princípio do mínimo privilégio?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A boa prática é expor apenas o front-end (HTTPS) na DMZ e manter o banco inacessível externamente, liberando somente o fluxo estritamente necessário DMZ→interna na porta do SGBD, com política padrão restritiva e regras específicas.

Próximo capitúlo

Gestão de identidades e acessos para Analista Judiciário - TI: IAM, RBAC e auditoria

Arrow Right Icon
Aprenda Técnico Judiciário

AprendaTécnico Judiciário

Encontre materiais preparatórios grátis para concurso técnico judiciário. Aulas e vários textos online e gratuitos para que você passe em seu concurso.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store