● 120 entries
Segurança de rede
- ARC (Authenticated Received Chain)Norma de e-mail (RFC 8617) que preserva os resultados de autenticação ao longo de encaminhamentos sucessivos, permitindo que cada intermediário assine criptograficamente a cadeia de verificações anteriores.
- ARPProtocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.
- Ataque de Deauthenticacao Wi-FiUm ataque de deauthenticacao Wi-Fi abusa de quadros de gerenciamento 802.11 nao protegidos para desconectar clientes de um ponto de acesso, viabilizando negacao de servico ou ataques subsequentes.
- Autoridade de certificação (CA)Entidade de confiança que emite e assina certificados digitais, ligando chaves públicas a identidades verificadas, como nomes de domínio ou organizações.
- BIMINorma de e-mail que permite exibir um logótipo de marca verificado junto a mensagens autenticadas em clientes compatíveis, desde que o domínio aplique uma política DMARC de quarantine ou reject.
- Canary TokenTipo específico de honeytoken que envia um sinal discreto quando acionado, funcionando como alarme antecipado para acessos ou manipulações não autorizadas.
- Certificado autoassinadoCertificado digital assinado com a mesma chave privada cuja chave pública correspondente está incluída no certificado, sem qualquer autoridade de certificação externa.
- Certificado de validação alargada (EV)Certificado TLS emitido apenas após a CA realizar uma verificação rigorosa e padronizada da identidade legal, existência física e autoridade da organização requerente.
- Certificado wildcardCertificado X.509 cujo nome de sujeito utiliza um asterisco para abranger qualquer rótulo único sob um determinado domínio, por exemplo *.example.com.
- Certificado X.509Estrutura padrão de certificado digital que liga uma chave pública a uma identidade através da assinatura de uma autoridade de certificação de confiança.
- DANEFamília de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
- Detecção Baseada em AnomaliasAbordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
- Detecção Baseada em AssinaturasMétodo de detecção que compara tráfego, arquivos ou comportamentos observados com um banco de padrões maliciosos conhecidos (assinaturas) para sinalizar atividade maliciosa.
- DHCPProtocolo baseado em UDP (RFC 2131, portas 67/68) que atribui automaticamente endereços IP e parâmetros de configuração de rede a clientes que entram numa rede.
- DKIMNorma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
- DMARCNorma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
- DNS over HTTPS (DoH)Protocolo que cifra as consultas DNS transportando-as dentro de HTTPS, impedindo que observadores em rota leiam ou alterem as resoluções.
- DNS over TLS (DoT)Protocolo que cifra as consultas DNS dentro de uma sessão TLS dedicada, protegendo-as de escutas e adulterações na rede.
- DNS RebindingAtaque no lado do navegador que abusa de TTLs DNS curtos para fazer um hostname resolver primeiro para um servidor do atacante e depois para um IP interno, contornando a same-origin policy.
- DNSBL (Lista Negra DNS)Mecanismo baseado em DNS (RFC 5782) que permite a sistemas de e-mail consultarem uma lista de IPs ou domínios conhecidos por enviarem spam ou malware e tomarem decisões de bloqueio, pontuação ou encaminhamento.
- DNSSECConjunto de extensões do DNS que utiliza assinaturas digitais para permitir que os resolvedores verifiquem a autenticidade e a integridade dos registos DNS.
- Encaminhamento de agente SSHFuncionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
- Endereco IPIdentificador numerico atribuido a uma interface de rede para roteamento em redes IP: 32 bits em IPv4 (RFC 791) ou 128 bits em IPv6 (RFC 8200).
- Endereco MACIdentificador de hardware de 48 bits (IEEE 802) gravado em uma interface de rede e usado para entrega dentro de um mesmo segmento de camada de enlace.
- Ficheiro known_hostsFicheiro do cliente OpenSSH (~/.ssh/known_hosts) que fixa as chaves publicas dos servidores para que o SSH detete mudancas de host-key indicativas de um ataque MITM.
- Filtragem de PacotesTécnica de segurança de rede que inspeciona os campos de cabeçalho de cada pacote e o permite ou descarta com base em um conjunto de regras estáticas.
- FirewallDispositivo ou software de segurança de rede que monitora e controla o tráfego de entrada e saída com base em um conjunto de regras, separando redes confiáveis de não confiáveis.
- Firewall com EstadoFirewall que mantém uma tabela de conexões ativas e permite automaticamente o tráfego de retorno correspondente a uma sessão estabelecida.
- Firewall de Aplicação Web (WAF)Filtro em proxy reverso que inspeciona tráfego HTTP/HTTPS para bloquear ataques web como SQL injection, XSS e abuso de bots antes que atinjam a aplicação.
- Firewall de Próxima Geração (NGFW)Firewall avançado que combina inspeção stateful com reconhecimento de aplicações, IPS integrado, controle por identidade de usuário e inspeção de TLS para aplicar políticas mais ricas.
- Firewall Sem EstadoFirewall que avalia cada pacote de forma independente contra regras estáticas, sem rastrear o estado das conexões.
- Fixação de certificadosTécnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas.
- FTPProtocolo legado de transferencia de arquivos (RFC 959) que usa TCP 21 para controle e 20 para dados, transmitindo credenciais e arquivos em texto claro e amplamente descontinuado por razoes de seguranca.
- Gateway de E-mail SeguroServiço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
- Gestao de BotsGestao de bots e a pratica de detectar trafego automatizado e distinguir bots bons de maliciosos, permitindo, desafiando ou bloqueando cada um conforme apropriado.
- GnuPG (GPG)Implementação livre da norma OpenPGP (RFC 4880, RFC 9580) usada para assinar, cifrar e decifrar dados, incluindo e-mails e pacotes de software.
- GreylistingTécnica antispam que devolve uma rejeição SMTP temporária a triplos de remetente desconhecidos e só aceita a mensagem numa retentativa posterior corretamente realizada.
- Handshake TLSTroca inicial do protocolo Transport Layer Security que autentica o servidor (e opcionalmente o cliente) e deriva as chaves simetricas que cifram o restante da sessao.
- HoneynetRede controlada de honeypots interligados, concebida para estudar o comportamento dos atacantes num ambiente multi-host realista.
- HoneypotSistema ou serviço chamariz exposto deliberadamente para atrair atacantes, observar as suas técnicas e desviá-los dos ativos produtivos.
- HoneytokenDado falso — credencial, ficheiro, registo ou chave de API — sem uso legítimo, que dispara um alerta no momento em que é utilizado.
- HTTP Strict Transport Security (HSTS)Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
- HTTP/3 / QUICO HTTP/3 (RFC 9114) e o mapeamento do HTTP sobre QUIC (RFC 9000), um transporte cifrado em UDP que integra TLS 1.3 e oferece multiplexacao por stream sem head-of-line blocking.
- HTTPSHTTP transportado sobre uma ligação protegida por TLS, fornecendo confidencialidade, integridade e autenticação do servidor para o tráfego web.
- ICMPProtocolo de controle e diagnostico da camada de rede (RFC 792 para IPv4 e RFC 4443 para IPv6) usado por hosts e roteadores para reportar erros e sinalizar condicoes do caminho.
- IDS Baseado em Host (HIDS)Agente de detecção de intrusão instalado em um servidor ou endpoint que monitora arquivos, processos, logs e chamadas de sistema locais em busca de atividade maliciosa.
- IDS Baseado em Rede (NIDS)Sensor de detecção de intrusão que inspeciona o tráfego capturado de um segmento de rede para identificar padrões maliciosos e violações de política.
- IEEE 802.1XNorma de controlo de acesso à rede baseada em porta que autentica um dispositivo ou utilizador antes de permitir tráfego num porto com fios ou sem fios.
- Infraestrutura de Chave Pública (PKI)Conjunto de políticas, software, hardware e autoridades de confiança que emite, distribui, valida e revoga certificados digitais que ligam identidades a chaves públicas.
- Inspeção Profunda de Pacotes (DPI)Técnica de inspeção que examina todo o payload dos pacotes de rede — não apenas os cabeçalhos — para identificar aplicações, conteúdo e ameaças.
- IPsecConjunto de protocolos do IETF que autentica e cifra pacotes IP para fornecer comunicações seguras na camada de rede.
- Kill switch de VPNSalvaguarda que bloqueia automaticamente todo o trafego de rede do host quando o tunel VPN cai, evitando fugas acidentais por uma ligacao nao cifrada.
- Lista de revogação de certificados (CRL)Lista assinada e publicada periodicamente por uma CA com os certificados invalidados antes do prazo natural, utilizada pelas partes confiantes para detetar certificados revogados.
- MicrossegmentaçãoForma granular de segmentação que aplica políticas de lista de permissões entre cargas de trabalho ou aplicações individuais, normalmente ao nível do host ou hipervisor.
- Mitigacao de DDoSMitigacao de DDoS e o conjunto de tecnicas e servicos que absorvem, filtram e redirecionam ataques distribuidos de negacao de servico antes que esgotem a rede, a infraestrutura ou a aplicacao alvo.
- MTA-STSMecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
- Network Access Control (NAC)Conjunto de políticas e tecnologias que autenticam dispositivos e utilizadores antes de lhes conceder acesso à rede e aplicam continuamente requisitos de postura.
- Network Address Translation (NAT)Técnica pela qual um router reescreve endereços IP e portas à medida que os pacotes o atravessam, permitindo que muitos hosts internos partilhem um ou poucos endereços públicos.
- Notacao CIDRA notacao Classless Inter-Domain Routing expressa um prefixo IP como um endereco seguido de barra e do numero de bits significativos, por exemplo 10.0.0.0/8.
- OCSP (Online Certificate Status Protocol)Protocolo baseado em HTTP que permite a um cliente consultar em tempo real um respondedor da CA para saber se um certificado X.509 está válido, revogado ou desconhecido.
- OpenVPNVPN open source que corre em espaço de utilizador e usa TLS/OpenSSL para autenticar pares e tunelar tráfego IP ou Ethernet arbitrário.
- PGPPretty Good Privacy, esquema de cifragem e assinatura ponta a ponta para e-mail, ficheiros e mensagens, criado por Phil Zimmermann em 1991.
- Port KnockingTécnica que mantém os portos de serviço fechados por omissão e só os abre depois de o cliente enviar uma sequência predefinida de tentativas de ligação.
- Protocolo DiameterProtocolo AAA (autenticacao, autorizacao e contabilidade) padronizado na RFC 6733 que substituiu o RADIUS no IMS, no EPC LTE e nas redes de roaming/IPX.
- Proxy diretoProxy configurado no lado do cliente que retransmite os pedidos de saída para serviços externos em nome do utilizador.
- Proxy inversoServidor colocado à frente de um ou mais serviços de back-end que recebe os pedidos dos clientes em seu nome e os encaminha para o interior.
- Proxy transparenteProxy interposto no caminho de rede que interceta o tráfego do cliente sem exigir qualquer configuração no cliente.
- RADIUSProtocolo AAA amplamente implementado usado por equipamentos de rede para autenticar, autorizar e contabilizar o acesso de utilizadores ou dispositivos.
- Rate LimitingO rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.
- Rede Zero TrustArquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.
- Redirecionamento de portasConfiguração de NAT na qual um router redireciona o tráfego que chega a um porto público específico para um host e porto internos escolhidos.
- S/MIMENorma IETF para assinatura e cifragem ponta a ponta de mensagens MIME usando certificados X.509 emitidos por uma AC pública ou empresarial.
- SASESASE e uma arquitetura entregue na nuvem, cunhada pelo Gartner em 2019, que converge SD-WAN com servicos de seguranca como SWG, CASB, ZTNA e FWaaS na borda da rede.
- Segmentação de redePrática de dividir a rede em várias zonas com tráfego controlado entre elas, para conter violações e aplicar o menor privilégio.
- Seguranca 5GArquitetura de seguranca das redes moveis 5G, definida na 3GPP TS 33.501, abrangendo privacidade do assinante, autenticacao mutua e protecao dos planos de sinalizacao e utilizador.
- Seguranca de CDNSeguranca de CDN usa o edge global de uma rede de distribuicao de conteudo — terminando TLS proximo dos usuarios — para aplicar protecao DDoS, WAF, gestao de bots e higiene TLS.
- Seguranca HTTP/2O modelo de seguranca do HTTP/2 (RFC 9113) sobre TLS 1.2+, alem das armadilhas operacionais do HPACK, multiplexacao, frames CONTINUATION e do ataque Rapid Reset de 2023.
- Seguranca LTEArquitetura de seguranca das redes moveis 4G/LTE definida na 3GPP TS 33.401, abrangendo autenticacao EPS-AKA e cifragem dos planos RRC, NAS e utilizador.
- Seguranca VoIPConjunto de controlos que protegem chamadas de voz sobre IP (sinalizacao SIP e media RTP) contra escuta, fraude, negacao de servico e personificacao.
- Seguranca VoLTESeguranca de voz sobre LTE: conjunto de protecoes de autenticacao IMS, sinalizacao e media que asseguram chamadas SIP/RTP transportadas em portadores de dados 4G ou 5G.
- Sequestro BGPAtaque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global.
- Servidor proxyServidor intermediário que retransmite os pedidos dos clientes para outros servidores, ocultando o cliente e permitindo inspeção, filtragem e cache centralizados.
- SFTPSubsistema seguro de transferencia de arquivos que roda dentro de uma sessao SSH na porta TCP 22, oferecendo operacoes autenticadas e cifradas sobre arquivos e diretorios.
- Sistema de Detecção de Intrusão (IDS)Controle de segurança passivo que monitora atividades de rede ou host em busca de comportamento malicioso e gera alertas, sem bloquear o tráfego.
- Sistema de Prevenção de Intrusão (IPS)Controle de segurança em linha que detecta tráfego malicioso e o bloqueia, reseta ou higieniza ativamente em tempo real.
- SPF (Sender Policy Framework)Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
- SSESSE e a metade de seguranca do SASE: um conjunto entregue na nuvem com SWG, CASB, ZTNA e geralmente DLP e FWaaS que protege o trafego do usuario para internet, SaaS e aplicacoes privadas.
- SSHProtocolo de rede criptografico (RFC 4251, porta 22) que oferece login remoto, execucao de comandos e tunelamento autenticados, cifrados e com integridade sobre redes nao confiaveis.
- SSL (Secure Sockets Layer)Predecessor histórico do TLS, originalmente desenvolvido pela Netscape nos anos 1990 para cifrar o tráfego web e atualmente formalmente depreciado.
- SSL StrippingAtaque de homem no meio que rebaixa silenciosamente a ligação HTTPS da vítima para HTTP em claro, permitindo ao atacante ler e alterar o tráfego.
- SSL VPNVPN que encapsula o tráfego em TLS (historicamente SSL), permitindo acesso remoto através de portas web padrão sem um protocolo VPN dedicado.
- STARTTLSExtensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
- Sub-redeIntervalo contiguo de enderecos IP que compartilham um prefixo comum, definindo um unico dominio de broadcast e uma fronteira de roteamento na rede.
- SWGUm Secure Web Gateway (SWG) e um proxy — local ou em nuvem — que inspeciona o trafego web do usuario, aplica politica de uso aceitavel e bloqueia malware, phishing e exfiltracao.
- TACACS+Protocolo AAA desenvolvido pela Cisco que separa autenticação, autorização e contabilização e cifra toda a carga útil do pacote entre cliente e servidor.
- TCPProtocolo de transporte orientado a conexao (RFC 9293) que entrega um fluxo de bytes ordenado, confiavel e com controle de congestionamento entre duas extremidades sobre IP.
- TCP/IPConjunto de protocolos da Internet em quatro camadas que define como pacotes sao enderecados, roteados, fragmentados e entregues de forma confiavel entre hosts em redes interligadas.
- Tipos de chaves SSHAlgoritmos de chave assimetrica suportados pelo OpenSSH para autenticacao de utilizador e host: RSA, ECDSA (curvas NIST) e o atual padrao moderno Ed25519.
- TLS (Transport Layer Security)Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- TLS mútuo (mTLS)Extensão do TLS em que tanto o cliente como o servidor apresentam certificados X.509 para se autenticarem mutuamente de forma criptográfica.
- TLS oportunistaPostura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
- Tomada de subdominioAtaque em que um registro DNS orfao (geralmente um CNAME) aponta para um recurso de nuvem ou SaaS nao reivindicado, permitindo que um atacante o registre e personifique o subdominio.
- Tunelamento dividido de VPN (split tunneling)Configuracao de VPN que encaminha apenas trafego selecionado (por exemplo, subredes corporativas) pelo tunel cifrado, deixando o restante sair diretamente para a Internet.
- Tunelamento DNSCanal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
- UDPProtocolo de transporte sem conexao (RFC 768) que entrega datagramas individuais entre portas com sobrecarga minima, sem garantias de confiabilidade ou ordem.
- Vazamento de rotas BGPPropagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado.
- VLANUma LAN virtual (IEEE 802.1Q) agrupa portas de switch em dominios de broadcast distintos marcando os quadros Ethernet com um VLAN ID de 12 bits.
- VPN (Rede Privada Virtual)Tecnologia que cria um túnel cifrado e autenticado sobre uma rede pública, de modo a que o tráfego pareça percorrer uma rede privada.
- VPN de acesso remotoVPN que permite a um utilizador individual ligar de forma segura o seu portátil ou telemóvel à rede corporativa a partir de qualquer local com Internet.
- VPN sempre ativa (Always-On VPN)Politica ao nivel do dispositivo que estabelece o tunel VPN assim que ha rede e recusa trafego fora do tunel, imposta por perfis Windows, Apple e Android.
- VPN site-to-siteTúnel cifrado persistente entre duas redes — filiais, data centers ou VPC cloud — que permite aos hosts de cada lado comunicarem de forma transparente.
- WAAPWAAP (Web Application and API Protection) e a evolucao moderna do WAF, incluindo seguranca de APIs, gestao de bots e mitigacao de DDoS em um servico cloud unificado.
- WEP (Wired Equivalent Privacy)Primeiro protocolo de confidencialidade Wi-Fi, de 1997, hoje considerado quebrado e inadequado a qualquer uso em produção.
- Wi-Fi 6EExtensao do Wi-Fi 6 (802.11ax) para a banda de 6 GHz, em que a Wi-Fi Alliance obriga a seguranca WPA3-only para equipamentos e redes certificados.
- Wi-Fi 7Designacao comercial da norma IEEE 802.11be, que introduz canais de 320 MHz, 4K-QAM e Multi-Link Operation, com WPA3 como base de seguranca obrigatoria.
- WireGuardProtocolo VPN moderno e minimalista que utiliza um conjunto fixo de primitivas criptográficas atuais e corre como parte do kernel Linux.
- WPA2Segunda geração do Wi-Fi Protected Access, baseada em AES-CCMP e IEEE 802.11i, padrão de facto da segurança Wi-Fi desde 2004.
- WPA3Terceira geração do Wi-Fi Protected Access, com autenticação baseada em SAE, sigilo futuro e proteções mais fortes para Wi-Fi pessoal e empresarial.
- Zona desmilitarizada (DMZ)Segmento de rede tampão que aloja serviços expostos ao exterior, isolado da LAN interna para limitar o impacto de uma intrusão.
- ZTNAZTNA e um modelo que concede acesso a aplicacoes privadas especificas apenas apos verificacao continua de identidade, dispositivo e contexto — nunca acesso de rede por padrao.