Teste de Penetração de Rede: Guia de Metodologia 2026

Penetration Testing
12 min de leitura
Teste de Penetração de Rede: Guia de Metodologia 2026
Nesta página
  1. O Que É Teste de Penetração de Rede?
  2. Teste de Penetração de Rede Interno vs Externo
  3. Metodologia do Teste de Penetração de Rede
    1. Reconhecimento e Descoberta de Hosts
    2. Escaneamento e Enumeração de Serviços
    3. Explorando Serviços e Obtendo um Ponto de Apoio
  4. Ataques de Credenciais e Movimento Lateral
  5. Vulnerabilidades Comuns em Avaliações de Rede
  6. Ferramentas Essenciais para Teste de Penetração de Rede
  7. Certificações em Teste de Penetração de Rede
  8. Considerações Legais e Éticas
  9. Seus Próximos Passos

Teste de penetração de rede significa atacar a infraestrutura de uma empresa da mesma forma que um invasor real faria: escanear portas abertas, explorar serviços vulneráveis, quebrar credenciais recuperadas e se mover de uma máquina comprometida para a próxima até alcançar algo que importa. É o ramo mais antigo do teste de penetração e ainda é o que transforma um único notebook vítima de phishing em uma violação de domínio inteiro. Este guia cobre a metodologia, as ferramentas e os achados que aparecem em engajamentos reais de rede interna e externa. Siga o mesmo fluxo, do scan ao admin de domínio, no curso Network Penetration Testing da HackerDNA enquanto lê.

Se você já domina o básico de teste de penetração, o teste de rede é a especialização natural depois de aplicações web. Ele recompensa paciência em vez de esperteza: um profissional que enumera metodicamente cada serviço em cada host vence quem parte direto para o Metasploit. Este guia detalha as diferenças entre teste interno e externo, a metodologia usada em engajamentos reais, as ferramentas que importam e as vulnerabilidades presentes em praticamente toda rede interna.

Resumo: O teste de penetração de rede segue reconhecimento, escaneamento e enumeração, exploração de serviços, ataques de credenciais e movimento lateral até a compromissão do domínio. Nmap, Metasploit, Responder e um cracker de senhas cobrem a maior parte do trabalho. Credenciais fracas e confiança padrão em protocolos, não vulnerabilidades zero-day, ainda são a forma mais comum de chegar a admin de domínio.

O Que É Teste de Penetração de Rede?

O teste de penetração de rede é uma avaliação de segurança em que um profissional ataca a infraestrutura de uma organização, incluindo servidores, estações de trabalho, firewalls e Active Directory, para encontrar falhas exploráveis e demonstrar até onde um invasor conseguiria chegar dentro do ambiente. Diferente do teste de aplicações web, focado em uma única aplicação, o teste de rede avalia dezenas ou centenas de hosts e as relações de confiança entre eles.

O objetivo não é apenas encontrar uma porta aberta rodando um serviço vulnerável. Um teste de rede mede como um único ponto de apoio, digamos um shell de baixo privilégio em uma estação, se transforma em acesso de administrador de domínio. Esse caminho de escalonamento importa mais para um CISO do que qualquer achado isolado, porque mostra o raio de impacto real de um único notebook sem patch ou uma única senha reutilizada.

O MITRE ATT&CK trata esse escalonamento como sua própria categoria de tática. Movimento Lateral (TA0008) sozinho cobre nove técnicas distintas, de pass-the-hash até exploração de serviços remotos, o que dá uma boa ideia de quantas formas um profissional (ou um invasor) tem para pivotar dentro de uma rede. Na prática, a maioria dos engajamentos internos usa no máximo duas ou três dessas técnicas. Reutilização de credenciais e confiança no nível de protocolo fazem a maior parte do trabalho; técnicas exóticas raramente são necessárias.

Teste de Penetração de Rede Interno vs Externo

Todo engajamento de teste de penetração de rede se encaixa em uma de duas categorias, e as premissas por trás de cada uma são diferentes o suficiente para que confundi-las desperdice orçamento.

O teste de penetração de rede externo avalia o que um invasor consegue alcançar pela internet sem acesso prévio: firewalls de perímetro, gateways VPN, endpoints RDP ou SSH expostos, e qualquer serviço publicado por engano em um IP público. O escopo aqui costuma ser uma lista de faixas de IP públicas. O modelo de ameaça realista é um invasor oportunista escaneando toda a internet em busca de um serviço vulnerável específico, então testes externos gastam tempo real com nível de patch e descoberta de serviços expostos.

O teste de penetração de rede interno assume que o invasor já tem um ponto de apoio: conectado a uma tomada ethernet em uma sala de reunião, conectado via uma conta VPN comprometida, ou rodando como payload de um phishing bem-sucedido. Esse é o engajamento mais rico em achados, porque redes internas são construídas com muito menos hardening do que o perímetro. Testes internos focam fortemente em Active Directory: caminhos de escalonamento de privilégio, configurações incorretas de Kerberos, e a confiança no nível de protocolo que permite que um notebook comprometido envenene o tráfego de toda a sub-rede.

Na prática, organizações obtêm mais valor de um teste interno primeiro. As defesas de perímetro melhoraram enormemente na última década, mas a premissa de que "ninguém consegue entrar" enquanto o firewall aguenta é exatamente a que transforma um funcionário vítima de phishing em uma violação de domínio inteiro.

Metodologia do Teste de Penetração de Rede

Um engajamento de rede segue uma metodologia consistente, seja o escopo interno ou externo. Cada etapa alimenta a próxima, e pular a enumeração para correr atrás de um exploit cedo demais é a forma mais comum de profissionais perderem o achado que realmente importa.

Reconhecimento e Descoberta de Hosts

Engajamentos internos começam com a descoberta de hosts na sub-rede conectada. Um ARP scan ou um ping sweep identifica quais IPs estão ativos antes de gastar tempo escaneando endereços mortos. Um rápido nmap -sn 10.10.10.0/24 ou arp-scan --localnet entrega a lista de hosts ativos em segundos. Engajamentos externos começam com reconhecimento passivo: registros WHOIS, logs de transparência de certificados, e enumeração de DNS para mapear a superfície de ataque sem tocar diretamente no alvo.

Escaneamento e Enumeração de Serviços

Uma vez identificados os hosts ativos, o Nmap determina o que está rodando em cada um. Um scan TCP completo com detecção de versão e scripts padrão, nmap -sV -sC -p- target, demora mais mas encontra serviços em portas não padrão que um scan das 1000 portas mais comuns deixaria passar. Nosso guia rápido de Nmap lista as combinações de flags que vale a pena memorizar em cada fase.

A enumeração vai mais fundo por serviço. Compartilhamentos SMB são consultados com smbclient -L //target/ e enum4linux, revelando nomes de compartilhamentos, acesso por sessão nula, e às vezes nomes de usuários diretamente. Os scripts SMB do Nmap 7.94 (smb-enum-shares, smb-os-discovery) automatizam boa parte desse trabalho. Um compartilhamento mal configurado com permissões "Everyone: Full Control" é uma das formas mais comuns de um profissional conseguir o primeiro ponto de apoio.

Explorando Serviços e Obtendo um Ponto de Apoio

A exploração em um engajamento de rede raramente é um zero-day. É um CVE conhecido contra um serviço sem patch, uma credencial padrão que ninguém trocou, ou uma configuração incorreta como FTP anônimo ou um compartilhamento NFS exposto com permissões fracas. O banco de módulos do Metasploit cobre a maioria dos exploits públicos, e o msfvenom gera o payload assim que há um método de entrega funcional. Nosso guia rápido de msfvenom documenta a sintaxe de payload para as plataformas comuns.

O catálogo CISA de Vulnerabilidades Conhecidas Exploradas vale a pena consultar antes de um engajamento. Ele lista vulnerabilidades confirmadas como ativamente exploradas no mundo real, e redes internas frequentemente rodam serviços que batem com entradas cujo patch está disponível há meses ou anos. Estude primeiro as falhas comuns e sem graça. São elas que são exploradas na prática, não as exóticas.

💻
Pratique agora: Internal - enumere uma rede corporativa, explore serviços internos, e trabalhe escalonamento de privilégio e movimento lateral em uma sandbox no navegador.

Ataques de Credenciais e Movimento Lateral

Uma vez que um profissional tem um ponto de apoio, credenciais se tornam o caminho mais rápido para mais acesso. Redes Windows que ainda têm LLMNR e NBT-NS habilitados vão responder de bom grado a qualquer host que alegue ser o recurso procurado. Uma ferramenta como o Responder escuta passivamente e captura hashes NTLMv2 de cada estação que erra o nome de um compartilhamento ou tem uma configuração de proxy incorreta, sem nenhuma exploração necessária.

Hashes capturados são quebrados offline em vez de online, já que o cracking offline não gera ruído de login falho e roda na velocidade que seu hardware permite. Nosso tutorial de quebra de hash e o guia sobre como usar o John the Ripper cobrem o fluxo, do hash capturado até a senha em texto claro. Na prática, uma política de senha que permite um mínimo de oito caracteres ainda rende senhas quebradas em poucas horas contra uma GPU moderna, porque usuários reutilizam padrões como uma estação do ano seguida de um ano.

Com um conjunto de credenciais válidas, o pacote Impacket (psexec.py, wmiexec.py, secretsdump.py) permite que um profissional execute comandos e faça dump de credenciais em qualquer host onde essas credenciais tenham direitos de admin local. Encadeando isso pela rede, um dump de credenciais no host A revela uma conta de serviço com admin no host B, é assim que um único ponto de apoio de baixo privilégio vira admin de domínio em um único dia de engajamento. Ferramentas de pivô como Chisel ou proxychains estendem esse alcance para segmentos de rede que não são diretamente roteáveis a partir da máquina do profissional.

Vulnerabilidades Comuns em Avaliações de Rede

Depois de rodar avaliações internas repetidamente, um punhado de problemas recorrentes responde pela maioria dos achados críticos.

  • Envenenamento LLMNR/NBT-NS: protocolos legados de resolução de nomes habilitados por padrão no Windows, permitindo que qualquer host da rede capture credenciais de requisições broadcast.
  • Credenciais fracas ou reutilizadas: contas de serviço com senhas que nunca expiram, e a mesma senha de administrador local reutilizada em cada estação a partir de um único processo de imagem.
  • Serviços de qualidade "internet-facing" sem patch internamente: SMBv1 ainda habilitado, servidores web desatualizados, e interfaces de administração (como consoles de impressora ou hypervisor) deixadas com credenciais padrão.
  • Privilégios excessivos no Active Directory: contas de serviço kerberoastáveis e configuradas com direitos de admin de domínio que não precisam, transformando uma senha fraca de conta de serviço quebrada em compromissão completa do domínio.

O kerberoasting merece uma menção específica porque não precisa de nenhum exploit. Qualquer usuário de domínio autenticado pode solicitar um ticket de serviço para qualquer conta com um Service Principal Name registrado, e esse ticket é criptografado com o hash da senha da conta de serviço. Solicite tickets para cada SPN do domínio, quebre-os offline, e uma senha fraca de conta de serviço vira um conjunto válido de credenciais de domínio sem nunca tocar em um exploit ou disparar um alerta ligado a falhas de login.

Ferramentas Essenciais para Teste de Penetração de Rede

Um conjunto pequeno de ferramentas cobre a maior parte do trabalho de engajamento de rede. Profundidade com essas ferramentas importa mais do que amplitude entre dezenas delas.

  • Nmap cuida da descoberta de hosts, escaneamento de portas e enumeração de serviços. É a primeira ferramenta rodada em todo engajamento, interno ou externo.
  • Metasploit e msfvenom fornecem um banco de exploits pesquisável e geração de payload para entregar shells assim que um serviço vulnerável é confirmado.
  • Responder captura hashes NTLM passivamente respondendo a requisições broadcast LLMNR, NBT-NS e mDNS antes que o servidor legítimo o faça.
  • Impacket é um kit de ferramentas Python para executar comandos, fazer dump de credenciais e realizar ataques Kerberos assim que credenciais válidas estão em mãos.
  • Hashcat e John the Ripper quebram os hashes de senha recuperados no caminho, com o Hashcat vencendo em velocidade acelerada por GPU.
  • Chisel e proxychains tunelam tráfego para segmentos de rede que a máquina do profissional não consegue rotear diretamente, estendendo o alcance após o primeiro pivô.

Evite a tentação de rodar todo scanner auxiliar do Metasploit contra todo host. Isso gera um ruído de logs enorme e raramente supera um script Nmap direcionado combinado com enumeração manual. Reserve o Metasploit para exploração confirmada e específica, não para scan às cegas.

Certificações em Teste de Penetração de Rede

Três certificações validam especificamente a competência em teste de rede, cada uma em um nível de profundidade diferente.

O OSCP (Offensive Security Certified Professional) continua sendo o ponto de entrada mais reconhecido. Seu exame prático de 24 horas compromete uma rede de máquinas, não uma única aplicação, o que o torna diretamente relevante para essa especialidade. Nosso guia de preparação para o OSCP cobre como se preparar.

O PNPT (Practical Network Penetration Tester) da TCM Security é construído em torno de uma rede Active Directory interna completa com exigência de relatório escrito, espelhando de perto um engajamento real com cliente. Veja nosso guia de certificação PNPT para formato de exame e custo.

O CompTIA PenTest+ cobre teste de rede junto com web e cloud em um nível mais amplo e mais teórico, útil como base antes de um exame totalmente prático.

Nossa recomendação: se teste de rede e Active Directory é sua especialidade, o PNPT testa habilidades muito mais próximas do trabalho real do que um exame de múltipla escolha jamais conseguiria. Combine com o OSCP quando quiser a certificação que abre mais portas com recrutadores.

Considerações Legais e Éticas

Lembrete crítico: Sempre obtenha autorização por escrito explícita antes de testar qualquer rede que você não possua. Acesso não autorizado a sistemas computacionais é crime segundo o Computer Fraud and Abuse Act (EUA), o Computer Misuse Act (Reino Unido), e leis equivalentes na maioria dos países. Autorização verbal não é suficiente. Consiga um documento de escopo assinado nomeando as faixas de IP, hosts e técnicas que você está autorizado a usar.

Mantenha-se sempre dentro do escopo documentado. Engajamentos internos frequentemente revelam hosts ou sub-redes que não faziam parte do acordo original. Documente o que encontrar, notifique o cliente, e não toque nisso sem uma autorização atualizada. Ferramentas como Responder e ataques de relay NTLM são especialmente fáceis de extrapolar o escopo por acidente, já que capturam tráfego passivamente de todo o domínio de broadcast em vez de um único host alvo.

Para praticar com segurança e legalidade, os labs da HackerDNA oferecem uma rede corporativa construída para exploração, sem a exposição legal de rodar essas técnicas contra um ambiente real. O framework de teste NIST SP 800-115 é uma referência útil quando você passa da prática em lab para um engajamento formal e com escopo definido.

Seus Próximos Passos

O teste de penetração de rede recompensa o profissional que enumera a fundo antes de partir para um exploit. A metodologia se mantém a mesma entre engajamentos: descobrir hosts, enumerar serviços, obter um ponto de apoio, capturar e quebrar credenciais, depois se mover lateralmente até os sistemas que importam. O que muda a cada vez é a configuração incorreta específica que leva você até lá.

Comece pelo lab Internal para praticar enumeração e movimento lateral contra uma rede corporativa viva, depois siga o curso Network Penetration Testing completo da HackerDNA para o fluxo completo, do scan ao admin de domínio, com Nmap, Metasploit, Responder e Chisel. Se você quer a cadeia completa em múltiplos estágios, do ponto de apoio web até o root, o lab Hack the Box é um dos desafios mais populares da plataforma.

O plano gratuito da HackerDNA dá acesso a labs no navegador, sem cartão de crédito e sem configuração de VPN. Abra um navegador, escolha um lab, e comece a escanear.

HackerDNA Team

Equipe HackerDNA

Escrito pela equipe HackerDNA - profissionais de cibersegurança que criam labs práticos de hacking e conteúdo educativo para ajudar você a desenvolver habilidades reais em segurança.

Conhecer a Equipe

Pronto para colocar isso em prática?

Pare de ler, comece a hackear. Ganhe experiência prática com mais de 170 labs de cibersegurança reais.

Comece a Hackear Grátis
15.000+ Hackers 100+ Labs & Cursos Grátis
Comece Grátis