Em um ambiente de rede corporativa complexo, segmentado em ...
Em um ambiente de rede corporativa complexo, segmentado em múltiplas VLANs (Virtual Local Area Networks) e com switches gerenciáveis, dotados de recursos avançados de segurança, a equipe de segurança da informação está implementando mecanismos para mitigar o risco de sniffing — ou seja, a interceptação não autorizada do tráfego de rede por agentes internos ou externos. Com base em práticas para mitigação contra sniffing em redes locais, analise as afirmações abaixo:
I. A utilização de criptografia fim a fim (ex.: TLS, IPSec) nas aplicações críticas contribui para preservar a confidencialidade dos dados.
II. A habilitação de mecanismos como DHCP Snooping e Dynamic ARP Inspection (DAI) nos switches contribui para bloquear ataques de ARP spoofing e falsos servidores DHCP, frequentemente utilizados para em sniffing.
III. A aplicação de políticas de Access Control Lists (ACLs) nos switches, associadas às VLANs, permite restringir o tráfego lateral entre segmentos da rede e contribui para o isolamento do tráfego interno.
É correto o que se afirma em
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: E - I, II e III.
1. Tema central da questão
O foco aqui é a mitigação do risco de sniffing em redes locais corporativas. O sniffing envolve a captura indevida de pacotes transmitidos pela rede, podendo expor informações sensíveis. O aluno precisa conhecer medidas técnicas de proteção em ambientes segmentados e com switches gerenciáveis.
2. Resumo teórico
Sniffing pode ocorrer em redes locais, principalmente quando há fraquezas de configuração ou ausência de mecanismos de segurança. Entre as melhores práticas para proteção estão o uso de criptografia fim a fim (protege dados mesmo se capturados), mecanismos de inspeção e validação de tráfego (como DHCP Snooping e Dynamic ARP Inspection, que bloqueiam ataques de ARP/DHCP Spoofing) e isolamento de segmentos de rede usando VLANs e Access Control Lists (ACLs).
Essas práticas são recomendadas em referências como o Guia de Segurança para Redes Locais – NIST SP 800-115 e documentações da Cisco.
3. Justificativa da alternativa correta
Todas as afirmações (I, II e III) estão corretas:
- I: A criptografia fim a fim (TLS, IPSec) garante a confidencialidade dos dados, mesmo que interceptados.
- II: DHCP Snooping e Dynamic ARP Inspection previnem ataques de ARP/DHCP Spoofing, que são técnicas comuns para realizar sniffing em switches (impedem que pacotes sejam desviados ao atacante).
- III: ACLs associadas a VLANs limitam o tráfego lateral entre segmentos, reduzindo a exposição a sniffing e outros ataques internos.
4. Análise das alternativas incorretas
Todas as alternativas que excluem alguma das afirmações deixam de abordar uma camada relevante de proteção. O ideal em segurança é adotar uma abordagem defense in depth (defesa em camadas). Não basta apenas criptografar (I), nem só segmentar a rede (III), nem unicamente usar proteções de switch (II). Uma resposta completa exige a combinação das três práticas.
5. Estratégias de interpretação
Ao analisar questões desse tipo, busque identificar se cada afirmação corresponde a uma prática consagrada e complementar de segurança. Desconfie de alternativas que proponham soluções únicas ou ignorem boas práticas recomendadas em normativas e guias técnicos.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Conheça nossos planos