Iniciante Redes Atualizado em 25 de jun. de 2025

Segmentação de rede e VLAN — isolamento de zonas e DMZ

Uma rede plana (flat network) onde todos os dispositivos se comunicam livremente é o pior cenário de segurança. Se um atacante compromete um host, ele alcança tudo. Segmentação resolve isso dividindo a rede em zonas com tráfego controlado entre elas.

Por que segmentar

Rede plana (sem segmentação):
  Impressora ← → Servidor de RH ← → Banco de dados de clientes
  Comprometer a impressora = acesso a tudo

Rede segmentada:
  [Zona IoT] ← firewall → [Zona RH] ← firewall → [Zona dados]
  Comprometer a impressora = acesso apenas à zona IoT

Princípio: blast radius — limitar o dano que um dispositivo comprometido pode causar.

VLAN — Virtual LAN

VLANs segmentam a rede na camada 2 (Enlace). Um switch físico pode hospedar múltiplas redes lógicas isoladas.

Switch gerenciável com 3 VLANs:
  VLAN 10 — Corporativo    (192.168.10.0/24)
  VLAN 20 — Servidores     (192.168.20.0/24)
  VLAN 30 — Visitantes/IoT (192.168.30.0/24)

Hosts na VLAN 10 não enxergam hosts na VLAN 20 sem passar pelo roteador/firewall

Configurar VLAN em switch (exemplo genérico)

# Criar VLAN e atribuir porta de acesso
vlan 10
  name Corporativo
interface FastEthernet0/1
  switchport mode access
  switchport access vlan 10

# Porta trunk (carrega múltiplas VLANs — para uplink ao roteador)
interface GigabitEthernet0/1
  switchport mode trunk
  switchport trunk allowed vlan 10,20,30

VLAN Hopping — ataque e defesa

Ataque: switch spoofing
  Atacante configura sua porta como trunk → recebe tráfego de todas as VLANs

Defesa:
  Portas de acesso nunca em modo auto/desirable
  Desabilitar DTP (Dynamic Trunking Protocol) em portas de acesso
  VLAN nativa não deve ser a VLAN 1 (padrão)

DMZ — Zona Desmilitarizada

A DMZ é uma sub-rede entre a internet e a rede interna, onde ficam servidores públicos (web, e-mail, DNS):

Internet
    ↓
[Firewall externo]
    ↓
  [DMZ] — Servidor web, servidor de e-mail, DNS público
    ↓
[Firewall interno]
    ↓
  [Rede interna] — Banco de dados, ERP, estações de trabalho

Regras típicas:

Internet → DMZ: permitido nas portas específicas (80, 443, 25)
DMZ → Rede interna: apenas o necessário (ex: web server → DB na porta 5432)
Internet → Rede interna: bloqueado completamente

Zonas de segurança típicas

Zona            | Exemplos                  | Nível de confiança
----------------|---------------------------|-------------------
Internet        | Qualquer origem           | Zero
DMZ             | Web server, MX, DNS       | Baixo
Corporativa     | Estações, impressoras     | Médio
Servidores      | App servers, AD           | Alto
Dados sensíveis | Banco de dados, backups   | Máximo

Microssegmentação

Em ambientes modernos (cloud, containers), microssegmentação aplica o mesmo princípio por workload:

Pod A → Pod B: bloqueado por padrão
Libera apenas rotas explícitas e necessárias
Implementado via Network Policy no Kubernetes ou Security Group na AWS

Checklist de segmentação

✓ VLANs separadas por função (usuário, servidor, IoT, visitante)
✓ Firewall/ACL entre cada zona
✓ VLAN nativa alterada da padrão (VLAN 1)
✓ DTP desabilitado em portas de acesso
✓ DMZ para todo serviço acessível da internet
✓ Tráfego entre zonas logado e monitorado
✓ Acesso administrativo (SSH, RDP) apenas da zona de gerência