● 120 entries

Segurança de rede

ARC (Authenticated Received Chain)Norma de e-mail (RFC 8617) que preserva os resultados de autenticação ao longo de encaminhamentos sucessivos, permitindo que cada intermediário assine criptograficamente a cadeia de verificações anteriores.
ARPProtocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.
Ataque de Deauthenticacao Wi-FiUm ataque de deauthenticacao Wi-Fi abusa de quadros de gerenciamento 802.11 nao protegidos para desconectar clientes de um ponto de acesso, viabilizando negacao de servico ou ataques subsequentes.
Autoridade de certificação (CA)Entidade de confiança que emite e assina certificados digitais, ligando chaves públicas a identidades verificadas, como nomes de domínio ou organizações.
BIMINorma de e-mail que permite exibir um logótipo de marca verificado junto a mensagens autenticadas em clientes compatíveis, desde que o domínio aplique uma política DMARC de quarantine ou reject.
Canary TokenTipo específico de honeytoken que envia um sinal discreto quando acionado, funcionando como alarme antecipado para acessos ou manipulações não autorizadas.
Certificado autoassinadoCertificado digital assinado com a mesma chave privada cuja chave pública correspondente está incluída no certificado, sem qualquer autoridade de certificação externa.
Certificado de validação alargada (EV)Certificado TLS emitido apenas após a CA realizar uma verificação rigorosa e padronizada da identidade legal, existência física e autoridade da organização requerente.
Certificado wildcardCertificado X.509 cujo nome de sujeito utiliza um asterisco para abranger qualquer rótulo único sob um determinado domínio, por exemplo *.example.com.
Certificado X.509Estrutura padrão de certificado digital que liga uma chave pública a uma identidade através da assinatura de uma autoridade de certificação de confiança.
DANEFamília de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
Detecção Baseada em AnomaliasAbordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
Detecção Baseada em AssinaturasMétodo de detecção que compara tráfego, arquivos ou comportamentos observados com um banco de padrões maliciosos conhecidos (assinaturas) para sinalizar atividade maliciosa.
DHCPProtocolo baseado em UDP (RFC 2131, portas 67/68) que atribui automaticamente endereços IP e parâmetros de configuração de rede a clientes que entram numa rede.
DKIMNorma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
DMARCNorma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
DNS over HTTPS (DoH)Protocolo que cifra as consultas DNS transportando-as dentro de HTTPS, impedindo que observadores em rota leiam ou alterem as resoluções.
DNS over TLS (DoT)Protocolo que cifra as consultas DNS dentro de uma sessão TLS dedicada, protegendo-as de escutas e adulterações na rede.
DNS RebindingAtaque no lado do navegador que abusa de TTLs DNS curtos para fazer um hostname resolver primeiro para um servidor do atacante e depois para um IP interno, contornando a same-origin policy.
DNSBL (Lista Negra DNS)Mecanismo baseado em DNS (RFC 5782) que permite a sistemas de e-mail consultarem uma lista de IPs ou domínios conhecidos por enviarem spam ou malware e tomarem decisões de bloqueio, pontuação ou encaminhamento.
DNSSECConjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS.
Encaminhamento de agente SSHFuncionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
Endereco IPIdentificador numerico atribuido a uma interface de rede para roteamento em redes IP: 32 bits em IPv4 (RFC 791) ou 128 bits em IPv6 (RFC 8200).
Endereco MACIdentificador de hardware de 48 bits (IEEE 802) gravado em uma interface de rede e usado para entrega dentro de um mesmo segmento de camada de enlace.
Ficheiro known_hostsFicheiro do cliente OpenSSH (~/.ssh/known_hosts) que fixa as chaves publicas dos servidores para que o SSH detete mudancas de host-key indicativas de um ataque MITM.
Filtragem de PacotesTécnica de segurança de rede que inspeciona os campos de cabeçalho de cada pacote e o permite ou descarta com base em um conjunto de regras estáticas.
FirewallDispositivo ou software de segurança de rede que monitora e controla o tráfego de entrada e saída com base em um conjunto de regras, separando redes confiáveis de não confiáveis.
Firewall com EstadoFirewall que mantém uma tabela de conexões ativas e permite automaticamente o tráfego de retorno correspondente a uma sessão estabelecida.
Firewall de Aplicação Web (WAF)Filtro em proxy reverso que inspeciona tráfego HTTP/HTTPS para bloquear ataques web como SQL injection, XSS e abuso de bots antes que atinjam a aplicação.
Firewall de Próxima Geração (NGFW)Firewall avançado que combina inspeção stateful com reconhecimento de aplicações, IPS integrado, controle por identidade de usuário e inspeção de TLS para aplicar políticas mais ricas.
Firewall Sem EstadoFirewall que avalia cada pacote de forma independente contra regras estáticas, sem rastrear o estado das conexões.
Fixação de certificadosTécnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas.
FTPProtocolo legado de transferencia de arquivos (RFC 959) que usa TCP 21 para controle e 20 para dados, transmitindo credenciais e arquivos em texto claro e amplamente descontinuado por razoes de seguranca.
Gateway de E-mail SeguroServiço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
Gestao de BotsGestao de bots e a pratica de detectar trafego automatizado e distinguir bots bons de maliciosos, permitindo, desafiando ou bloqueando cada um conforme apropriado.
GnuPG (GPG)Implementação livre da norma OpenPGP (RFC 4880, RFC 9580) usada para assinar, cifrar e decifrar dados, incluindo e-mails e pacotes de software.
GreylistingTécnica antispam que devolve uma rejeição SMTP temporária a triplos de remetente desconhecidos e só aceita a mensagem numa retentativa posterior corretamente realizada.
Handshake TLSTroca inicial do protocolo Transport Layer Security que autentica o servidor (e opcionalmente o cliente) e deriva as chaves simetricas que cifram o restante da sessao.
HoneynetRede controlada de honeypots interligados, concebida para estudar o comportamento dos atacantes num ambiente multi-host realista.
HoneypotSistema ou serviço chamariz exposto deliberadamente para atrair atacantes, observar as suas técnicas e desviá-los dos ativos produtivos.
HoneytokenDado falso — credencial, ficheiro, registo ou chave de API — sem uso legítimo, que dispara um alerta no momento em que é utilizado.
HTTP Strict Transport Security (HSTS)Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
HTTP/3 / QUICO HTTP/3 (RFC 9114) e o mapeamento do HTTP sobre QUIC (RFC 9000), um transporte cifrado em UDP que integra TLS 1.3 e oferece multiplexacao por stream sem head-of-line blocking.
HTTPSHTTP transportado sobre uma ligação protegida por TLS, fornecendo confidencialidade, integridade e autenticação do servidor para o tráfego web.
ICMPProtocolo de controle e diagnostico da camada de rede (RFC 792 para IPv4 e RFC 4443 para IPv6) usado por hosts e roteadores para reportar erros e sinalizar condicoes do caminho.
IDS Baseado em Host (HIDS)Agente de detecção de intrusão instalado em um servidor ou endpoint que monitora arquivos, processos, logs e chamadas de sistema locais em busca de atividade maliciosa.
IDS Baseado em Rede (NIDS)Sensor de detecção de intrusão que inspeciona o tráfego capturado de um segmento de rede para identificar padrões maliciosos e violações de política.
IEEE 802.1XNorma de controlo de acesso à rede baseada em porta que autentica um dispositivo ou utilizador antes de permitir tráfego num porto com fios ou sem fios.
Infraestrutura de Chave Pública (PKI)Conjunto de políticas, software, hardware e autoridades de confiança que emite, distribui, valida e revoga certificados digitais que ligam identidades a chaves públicas.
Inspeção Profunda de Pacotes (DPI)Técnica de inspeção que examina todo o payload dos pacotes de rede — não apenas os cabeçalhos — para identificar aplicações, conteúdo e ameaças.
IPsecConjunto de protocolos do IETF que autentica e cifra pacotes IP para fornecer comunicações seguras na camada de rede.
Kill switch de VPNSalvaguarda que bloqueia automaticamente todo o trafego de rede do host quando o tunel VPN cai, evitando fugas acidentais por uma ligacao nao cifrada.
Lista de revogação de certificados (CRL)Lista assinada e publicada periodicamente por uma CA com os certificados invalidados antes do prazo natural, utilizada pelas partes confiantes para detetar certificados revogados.
MicrossegmentaçãoForma granular de segmentação que aplica políticas de lista de permissões entre cargas de trabalho ou aplicações individuais, normalmente ao nível do host ou hipervisor.
Mitigacao de DDoSMitigacao de DDoS e o conjunto de tecnicas e servicos que absorvem, filtram e redirecionam ataques distribuidos de negacao de servico antes que esgotem a rede, a infraestrutura ou a aplicacao alvo.
MTA-STSMecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
Network Access Control (NAC)Conjunto de políticas e tecnologias que autenticam dispositivos e utilizadores antes de lhes conceder acesso à rede e aplicam continuamente requisitos de postura.
Network Address Translation (NAT)Técnica pela qual um router reescreve endereços IP e portas à medida que os pacotes o atravessam, permitindo que muitos hosts internos partilhem um ou poucos endereços públicos.
Notacao CIDRA notacao Classless Inter-Domain Routing expressa um prefixo IP como um endereco seguido de barra e do numero de bits significativos, por exemplo 10.0.0.0/8.
OCSP (Online Certificate Status Protocol)Protocolo baseado em HTTP que permite a um cliente consultar em tempo real um respondedor da CA para saber se um certificado X.509 está válido, revogado ou desconhecido.
OpenVPNVPN open source que corre em espaço de utilizador e usa TLS/OpenSSL para autenticar pares e tunelar tráfego IP ou Ethernet arbitrário.
PGPPretty Good Privacy, esquema de cifragem e assinatura ponta a ponta para e-mail, ficheiros e mensagens, criado por Phil Zimmermann em 1991.
Port KnockingTécnica que mantém os portos de serviço fechados por omissão e só os abre depois de o cliente enviar uma sequência predefinida de tentativas de ligação.
Protocolo DiameterProtocolo AAA (autenticacao, autorizacao e contabilidade) padronizado na RFC 6733 que substituiu o RADIUS no IMS, no EPC LTE e nas redes de roaming/IPX.
Proxy diretoProxy configurado no lado do cliente que retransmite os pedidos de saída para serviços externos em nome do utilizador.
Proxy inversoServidor colocado à frente de um ou mais serviços de back-end que recebe os pedidos dos clientes em seu nome e os encaminha para o interior.
Proxy transparenteProxy interposto no caminho de rede que interceta o tráfego do cliente sem exigir qualquer configuração no cliente.
RADIUSProtocolo AAA amplamente implementado usado por equipamentos de rede para autenticar, autorizar e contabilizar o acesso de utilizadores ou dispositivos.
Rate LimitingO rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.
Rede Zero TrustArquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.
Redirecionamento de portasConfiguração de NAT na qual um router redireciona o tráfego que chega a um porto público específico para um host e porto internos escolhidos.
S/MIMENorma IETF para assinatura e cifragem ponta a ponta de mensagens MIME usando certificados X.509 emitidos por uma AC pública ou empresarial.
SASESASE e uma arquitetura entregue na nuvem, cunhada pelo Gartner em 2019, que converge SD-WAN com servicos de seguranca como SWG, CASB, ZTNA e FWaaS na borda da rede.
Segmentação de redePrática de dividir a rede em várias zonas com tráfego controlado entre elas, para conter violações e aplicar o menor privilégio.
Seguranca 5GArquitetura de seguranca das redes moveis 5G, definida na 3GPP TS 33.501, abrangendo privacidade do assinante, autenticacao mutua e protecao dos planos de sinalizacao e utilizador.
Seguranca de CDNSeguranca de CDN usa o edge global de uma rede de distribuicao de conteudo — terminando TLS proximo dos usuarios — para aplicar protecao DDoS, WAF, gestao de bots e higiene TLS.
Seguranca HTTP/2O modelo de seguranca do HTTP/2 (RFC 9113) sobre TLS 1.2+, alem das armadilhas operacionais do HPACK, multiplexacao, frames CONTINUATION e do ataque Rapid Reset de 2023.
Seguranca LTEArquitetura de seguranca das redes moveis 4G/LTE definida na 3GPP TS 33.401, abrangendo autenticacao EPS-AKA e cifragem dos planos RRC, NAS e utilizador.
Seguranca VoIPConjunto de controlos que protegem chamadas de voz sobre IP (sinalizacao SIP e media RTP) contra escuta, fraude, negacao de servico e personificacao.
Seguranca VoLTESeguranca de voz sobre LTE: conjunto de protecoes de autenticacao IMS, sinalizacao e media que asseguram chamadas SIP/RTP transportadas em portadores de dados 4G ou 5G.
Sequestro BGPAtaque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global.
Servidor proxyServidor intermediário que retransmite os pedidos dos clientes para outros servidores, ocultando o cliente e permitindo inspeção, filtragem e cache centralizados.
SFTPSubsistema seguro de transferencia de arquivos que roda dentro de uma sessao SSH na porta TCP 22, oferecendo operacoes autenticadas e cifradas sobre arquivos e diretorios.
Sistema de Detecção de Intrusão (IDS)Controle de segurança passivo que monitora atividades de rede ou host em busca de comportamento malicioso e gera alertas, sem bloquear o tráfego.
Sistema de Prevenção de Intrusão (IPS)Controle de segurança em linha que detecta tráfego malicioso e o bloqueia, reseta ou higieniza ativamente em tempo real.
SPF (Sender Policy Framework)Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
SSESSE e a metade de seguranca do SASE: um conjunto entregue na nuvem com SWG, CASB, ZTNA e geralmente DLP e FWaaS que protege o trafego do usuario para internet, SaaS e aplicacoes privadas.
SSHProtocolo de rede criptografico (RFC 4251, porta 22) que oferece login remoto, execucao de comandos e tunelamento autenticados, cifrados e com integridade sobre redes nao confiaveis.
SSL (Secure Sockets Layer)Predecessor histórico do TLS, originalmente desenvolvido pela Netscape nos anos 1990 para cifrar o tráfego web e atualmente formalmente depreciado.
SSL StrippingAtaque de homem no meio que rebaixa silenciosamente a ligação HTTPS da vítima para HTTP em claro, permitindo ao atacante ler e alterar o tráfego.
SSL VPNVPN que encapsula o tráfego em TLS (historicamente SSL), permitindo acesso remoto através de portas web padrão sem um protocolo VPN dedicado.
STARTTLSExtensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
Sub-redeIntervalo contiguo de enderecos IP que compartilham um prefixo comum, definindo um unico dominio de broadcast e uma fronteira de roteamento na rede.
SWGUm Secure Web Gateway (SWG) e um proxy — local ou em nuvem — que inspeciona o trafego web do usuario, aplica politica de uso aceitavel e bloqueia malware, phishing e exfiltracao.
TACACS+Protocolo AAA desenvolvido pela Cisco que separa autenticação, autorização e contabilização e cifra toda a carga útil do pacote entre cliente e servidor.
TCPProtocolo de transporte orientado a conexao (RFC 9293) que entrega um fluxo de bytes ordenado, confiavel e com controle de congestionamento entre duas extremidades sobre IP.
TCP/IPConjunto de protocolos da Internet em quatro camadas que define como pacotes sao enderecados, roteados, fragmentados e entregues de forma confiavel entre hosts em redes interligadas.
Tipos de chaves SSHAlgoritmos de chave assimetrica suportados pelo OpenSSH para autenticacao de utilizador e host: RSA, ECDSA (curvas NIST) e o atual padrao moderno Ed25519.
TLS (Transport Layer Security)Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
TLS mútuo (mTLS)Extensão do TLS em que tanto o cliente como o servidor apresentam certificados X.509 para se autenticarem mutuamente de forma criptográfica.
TLS oportunistaPostura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
Tomada de subdominioAtaque em que um registro DNS orfao (geralmente um CNAME) aponta para um recurso de nuvem ou SaaS nao reivindicado, permitindo que um atacante o registre e personifique o subdominio.
Tunelamento dividido de VPN (split tunneling)Configuracao de VPN que encaminha apenas trafego selecionado (por exemplo, subredes corporativas) pelo tunel cifrado, deixando o restante sair diretamente para a Internet.
Tunelamento DNSCanal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
UDPProtocolo de transporte sem conexao (RFC 768) que entrega datagramas individuais entre portas com sobrecarga minima, sem garantias de confiabilidade ou ordem.
Vazamento de rotas BGPPropagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado.
VLANUma LAN virtual (IEEE 802.1Q) agrupa portas de switch em dominios de broadcast distintos marcando os quadros Ethernet com um VLAN ID de 12 bits.
VPN (Rede Privada Virtual)Tecnologia que cria um túnel cifrado e autenticado sobre uma rede pública, de modo a que o tráfego pareça percorrer uma rede privada.
VPN de acesso remotoVPN que permite a um utilizador individual ligar de forma segura o seu portátil ou telemóvel à rede corporativa a partir de qualquer local com Internet.
VPN sempre ativa (Always-On VPN)Politica ao nivel do dispositivo que estabelece o tunel VPN assim que ha rede e recusa trafego fora do tunel, imposta por perfis Windows, Apple e Android.
VPN site-to-siteTúnel cifrado persistente entre duas redes — filiais, data centers ou VPC cloud — que permite aos hosts de cada lado comunicarem de forma transparente.
WAAPWAAP (Web Application and API Protection) e a evolucao moderna do WAF, incluindo seguranca de APIs, gestao de bots e mitigacao de DDoS em um servico cloud unificado.
WEP (Wired Equivalent Privacy)Primeiro protocolo de confidencialidade Wi-Fi, de 1997, hoje considerado quebrado e inadequado a qualquer uso em produção.
Wi-Fi 6EExtensao do Wi-Fi 6 (802.11ax) para a banda de 6 GHz, em que a Wi-Fi Alliance obriga a seguranca WPA3-only para equipamentos e redes certificados.
Wi-Fi 7Designacao comercial da norma IEEE 802.11be, que introduz canais de 320 MHz, 4K-QAM e Multi-Link Operation, com WPA3 como base de seguranca obrigatoria.
WireGuardProtocolo VPN moderno e minimalista que utiliza um conjunto fixo de primitivas criptográficas atuais e corre como parte do kernel Linux.
WPA2Segunda geração do Wi-Fi Protected Access, baseada em AES-CCMP e IEEE 802.11i, padrão de facto da segurança Wi-Fi desde 2004.
WPA3Terceira geração do Wi-Fi Protected Access, com autenticação baseada em SAE, sigilo futuro e proteções mais fortes para Wi-Fi pessoal e empresarial.
Zona desmilitarizada (DMZ)Segmento de rede tampão que aloja serviços expostos ao exterior, isolado da LAN interna para limitar o impacto de uma intrusão.
ZTNAZTNA e um modelo que concede acesso a aplicacoes privadas especificas apenas apos verificacao continua de identidade, dispositivo e contexto — nunca acesso de rede por padrao.