DNS Shield — Proteção preventiva de rede

Sua rede conecta com qualquer destino.
Até agora.

Sem controle de DNS, sua rede simplesmente responde e permite a conexão — inclusive com servidores de malware, phishing e ransomware criados há horas.

Neste exato momento, dispositivos da sua rede podem estar consultando domínios de risco — sem nenhum alerta.
Bloqueio antes da conexão Proteção contra phishing e C2 Logs completos por máquina Sem custo por usuário Integrado ao painel Grafana
🎯 Pen Test Básico Gratuito 💬 Falar com analista

Diagnóstico gratuito · Resultado no WhatsApp · Sem compromisso

O que está acontecendo agora

Você confia em cada destino que sua rede acessa?

O firewall controla o tráfego. Mas sem controle de DNS, qualquer dispositivo da sua rede pode se conectar com qualquer destino — antes do firewall sequer perceber.

🎣
Um funcionário clicou num link suspeito

O domínio foi criado há 6 horas. Parecia legítimo. O DNS resolveu, a conexão aconteceu, os dados foram para outro servidor.

Phishing consumado — sem alerta
🤖
Um dispositivo está comunicando com servidor externo

O malware instalado há semanas consulta o C2 todo dia. O DNS resolve silenciosamente. O firewall não viu nada de errado no tráfego.

Botnet ativa — invisível na rede
🔑
Ransomware baixando chave de criptografia

Antes de cifrar os arquivos, o ransomware consulta um domínio para buscar a chave. Se o DNS não bloqueia, a criptografia começa.

Dados sequestrados — operação parada
📊
Nenhum log de o que a rede está acessando

Quando o incidente acontece, não há como rastrear qual máquina, qual destino, qual horário. A investigação começa do zero.

Sem rastreabilidade — multa LGPD provável
☁️
Dados saindo pela rede sem você saber

Destinos de exfiltração conhecidos consultados livremente. Os dados da empresa, dos clientes, do financeiro — saindo em texto claro.

Exfiltração de dados — art. 46 LGPD
🛡️
O antivírus não viu — a conexão já aconteceu

Antivírus age no arquivo. Firewall age no pacote. DNS é onde a decisão de conectar começa — e é onde a ameaça precisa ser interrompida.

Modo reativo — a ameaça já entrou
A raiz do problema

DNS sem controle é como ter portaria aberta 24h.
Qualquer destino é aceito. Qualquer conexão, liberada. Sem registro. Sem alerta.

🔒 disponibilidade & segurança

Quanto custa 1 hora parada na sua empresa?

O prejuízo não é só o que você gasta — é tudo que você deixa de faturar.

(Custos fixos + Faturamento) ÷ 160  ·  já inclui custo + faturamento perdido
R$
R$
Resultado da simulação
1 hora parada
4 horas paradas
8 horas paradas
1 hora parada
paga meses de firewall
4 horas paradas
pagam meses de firewall
Proteção Firewall Contato Global a partir de R$ 850/mês

Arquitetura técnica — onde o DNS Shield atua

Pense na sua empresa como um condomínio digital

Cada serviço tem uma função clara. O DNS Shield atua antes da portaria — ele valida o destino antes de qualquer conexão ser aberta.

🏠
Servidor Linux — a casa
Ubuntu 24.04 LTS com hardening, LVM e virtualização — base de tudo.
🛡️
DNS Shield — bloqueia destinos perigosos antes da portaria
Bind9 com RPZ (Response Policy Zones). Valida cada domínio consultado pela rede antes de qualquer conexão acontecer. Phishing, C2, ransomware — bloqueados na origem.
— você está aqui
🚪
Firewall — a portaria
Controla quem entra e quem sai por porta e protocolo. Atua depois do DNS.
📷
NIDS — as câmeras que detectam movimento suspeito
Monitora o tráfego em tempo real e identifica comportamentos anômalos.
opcional
💂
IPS — o segurança que age e bloqueia na hora
Detecta e bloqueia ataques em andamento automaticamente.
opcional
📊
Painel de Controle — a guarita com todas as câmeras
Visibilidade centralizada da infraestrutura — logs, alertas e status dos módulos.
🏦
Backup Corporativo — o cofre com seus dados
Seus dados sempre disponíveis, mesmo após incidentes.
opcional
⚙️
Módulo adicional — entra sem trauma na sua infraestrutura
O DNS Shield é um módulo opcional que se adiciona ao Servidor Linux já existente. Sem agente nos dispositivos, sem cobrança por usuário, sem reinstalar nada — a proteção DNS passa a funcionar para toda a rede no mesmo dia.

Alertas e notificações conforme plano de suporte contratado (Prata, Ouro, Diamante).
Diferencial competitivo

DNS Shield vs. outras soluções do mercado

Soluções como Cisco Umbrella e Cloudflare Gateway cobram por usuário e dependem de nuvem. O DNS Shield roda na sua infraestrutura — sem limite de crescimento, sem custo variável.

💰
Sem custo por usuário
Você paga pela solução, não por quantas pessoas usam.
🏢
Dados na sua rede
Logs DNS ficam no seu servidor — sem enviar consultas para nuvem terceira.
⚙️
Políticas personalizadas
Whitelist e blacklist próprias, integradas à sua política interna.
📈
Escala sem custo extra
A empresa cresce, o custo permanece o mesmo.
Recurso Contato Global Cisco Umbrella / Cloudflare Gateway Sem proteção DNS
Bloqueio por RPZ (Response Policy Zones) Bind9 nativo Proprietário na nuvem Nenhum
Logs DNS na infraestrutura própria No seu servidor Dados na nuvem do fornecedor Sem logs
Custo por usuário Sem custo por usuário Cobrado por usuário/mês
Whitelist e blacklist personalizadas Políticas ilimitadas Limitado no plano básico Impossível
Integração com Painel de Controle Nativo — mesmo painel da empresa Dashboard próprio separado Inexistente
Identificação de máquina por consulta Por IP, com histórico Depende de agente instalado Impossível
Proteção contra exfiltração de dados (DLP de rede) Incluso — bloqueio de destinos de exfiltração conhecidos Disponível nos planos avançados Nenhuma
Anonimização de logs após período (LGPD art. 12) Incluso — retenção com anonimização configurável Depende do plano e configuração Nenhuma
Dependência de Internet para funcionar Opera offline — DNS local Para se a Internet cair
Open source / sem licença anual 100% open source Licença anual obrigatória

Você não está comprando um filtro de DNS.
Está contratando uma infraestrutura de proteção que cresce com a empresa — sem renovação de licença, sem custo por usuário.

🔒 Contato Global — Por onde começar?
Não sabe qual solução é ideal para a sua empresa?
Ou já decidiu e quer ver a proposta do Firewall?
🎯 Fazer Diagnóstico Gratuito + Pentest 🔒 Já sei — quero o Firewall →
Diagnóstico gratuito · Resultado no WhatsApp · Pentest básico para empresas incluído

O que está incluído · Módulo Básico Linux

Este módulo já vem com
toda a infraestrutura de base.

O Módulo Básico Linux é a fundação de todos os serviços da Contato Global. Não é vendido separadamente — está incluído em qualquer solução contratada. Os agentes já estão instalados no servidor desde o início; cada módulo adicional simplesmente acende o que já estava lá.

✓ Ativos desde o primeiro dia
🔄
Non-Stop · reinício automático
Serviços críticos se recuperam sozinhos em caso de falha.
🔒
Hardening completo + SSH seguro
Proteção contra força bruta, acesso restrito por chave pública.
📋
Auditoria (auditd)
Rastreabilidade de acessos e alterações — base para LGPD.
🕵️
AIDE · alertas locais ativos
Detecta alterações suspeitas em arquivos em tempo real.
🕐
chrony · sincronização de tempo
Horário preciso em todos os serviços — logs e auditorias confiáveis.
📈
LVM · expansão sem parada
Armazenamento cresce sem reiniciar o servidor.
★ Agentes pré-instalados
📊
Icinga · monitoramento
→ Ativado com o Painel de Controle
📜
rsyslog · logs centralizados
→ Painel de Controle (Grafana + Loki)
🔍
Agente IDS
→ Ativado com o Módulo NIDS
🛡️
Agente IPS
→ Ativado com o Módulo IPS
📡
Agente SIEM
→ Ativado com o Módulo SIEM
💾
rsync · agente de backup
→ Ativado com o Backup Corporativo
🔐
Disaster Recovery incluso — sem custo extra
Arquivos críticos armazenados de forma criptografada na Contato Global. Em caso de perda ou roubo do hardware, a recuperação é viável.
Incluso no Básico
Quer ver tudo o que o Módulo Básico entrega?
Diferenciais completos, ficha técnica e comparativos na página dedicada.
Ver Módulo Básico completo →

Próximo passo

Veja o que sua rede está acessando hoje

DNS não monitorado é risco invisível. E risco invisível é o mais perigoso. Solicite o diagnóstico — sem compromisso.

🎯 Recomendado
Pen Test Básico Gratuito

Diagnóstico externo da sua rede. Veja o que está exposto antes de qualquer decisão. Resultado direto no WhatsApp.

🔍 Solicitar diagnóstico gratuito
💬 Direto com especialista
Falar com um analista

Apresentamos a proposta personalizada para o tamanho e estrutura da sua empresa. Sem roteiro engessado.

💬 Falar com analista →

Diagnóstico gratuito · Resultado no WhatsApp · Sem compromisso · Você decide no seu ritmo
Sobre o Pen Test Básico Gratuito: diagnóstico externo da rede, disponível uma vez a cada 5 anos por empresa para organizações sem contrato ativo com a Contato Global.

Conformidade & Proteção de Dados

LGPD e Segurança de Dados

Sua empresa é responsável pelos dados que armazena. Vazamentos, invasões ou perda de dados podem gerar multas, processos e danos à reputação.

Controle de acesso

Quem acessa o quê — com registro e auditoria completa.

Monitoramento

Alertas em tempo real para qualquer comportamento suspeito.

Backup & recuperação

Seus dados sempre disponíveis, mesmo após incidentes.

Proteção de rede

Firewall e segmentação para bloquear ameaças externas.

Para estar em conformidade com a LGPD, é essencial contar com uma infraestrutura segura.

Controle de acesso, monitoramento, backup e proteção de rede — tudo integrado.

👉 Saiba como protegemos sua empresa

Por que isso importa

Ter internet não é ter infraestrutura.

A sua empresa depende dos sistemas para funcionar — e quando eles falham, tudo para.

🔴
Servidor cai

A operação para. Pedidos, atendimento, faturamento — tudo fica suspenso até alguém resolver.

🔴
Invasão acontece

Os dados somem — ou pior, ficam expostos. Clientes, contratos, financeiro. Tudo vulnerável.

🔴
LGPD bate a porta

Sem infraestrutura adequada, a empresa responde sozinha por multas e processos. O risco é real.

A pergunta certa
A questão não é se você pode investir.
É quanto vai custar quando isso falhar sem proteção.

Cada hora parada tem um custo real — em produtividade, reputação e receita perdida. A infraestrutura certa não é despesa: é o que mantém a empresa funcionando.

💰 Ver nossa proposta →

Diagnóstico gratuito · Resultado no WhatsApp
Pentest básico incluído para empresas

Ecossistema

Pense na sua empresa como um condomínio digital

Cada serviço tem uma função clara. Juntos, formam uma infraestrutura que não para.

Para gestores de TI e equipes técnicas

Especificações técnicas — DNS Shield

Clique para expandir · Informações técnicas detalhadas

ComponenteEspecificação
Motor DNSBind9 (BIND 9.x LTS) — autoritativo e recursivo
Mecanismo de bloqueioRPZ — Response Policy Zones (RFC 5782)
Listas de bloqueioAtualização automática via cron — malware, phishing, C2, adware, spam
DeployImplantado sobre o Servidor Linux — sem agente nos dispositivos
Sistema operacionalLinux
Integração de redeDNS primário da rede interna — todas as consultas passam pelo Shield
Políticas personalizadasWhitelist e blacklist ilimitadas por domínio ou padrão FQDN
Operação offlineResolve cache local mesmo sem Internet — sem dependência de nuvem
ProtocoloDNS-over-UDP/TCP porta 53 — suporte a DNSSEC
CompatibilidadeQualquer dispositivo da rede (Windows, Linux, macOS, mobile, IoT)
RecursoDetalhe
Log de consultasRegistro de toda consulta DNS: timestamp, IP do cliente, domínio, categoria, ação (resolvido/bloqueado)
Log de bloqueiosRegistro separado de domínios bloqueados por RPZ com categoria da ameaça
Identificação por máquinaLogs por IP do cliente — rastreabilidade de qual dispositivo consultou qual domínio
Retenção de logsConfigurável — padrão 90 dias em disco local
ExportaçãoFormato syslog — integração com SIEM (opcional)
AlertasConforme plano de suporte contratado (Prata, Ouro, Diamante)
Anonimização de logsRetenção com anonimização configurável — conforme política interna da empresa
  • Malware e ransomware — domínios de distribuição e comando de malware conhecido
  • Phishing — domínios de roubo de credenciais (incluindo criados há horas)
  • Command & Control (C2) — servidores de controle de botnets e APTs
  • Adware agressivo — domínios que redirecionam tráfego ou instalam software indesejado
  • Spam / abuso — infraestrutura de spam e campanhas de abuso
  • Domínios recém-criados (NRD) — domínios com menos de 30 dias de registro (alto risco)
  • Categorias personalizadas — bloqueio por política interna da empresa (redes sociais, streaming, etc.)
Listas atualizadas automaticamente via múltiplos feeds de inteligência de ameaças (Spamhaus, Abuse.ch, OISD, entre outros).
MóduloComo complementa o DNS Shield
Proxy CorporativoInspeção de conteúdo HTTP/HTTPS — DLP de rede e controle de uploads
NIDSDetecta comportamentos suspeitos no tráfego que passou pelo DNS
IPSBloqueia em tempo real ataques que o DNS não consegue interceptar
SIEMCentraliza logs DNS com eventos de outros módulos para correlação
Painel LGPDRelatórios de conformidade com base nos logs de DNS

🔒 Conformidade LGPD — recursos desta solução

Mapeamento técnico por artigo da Lei 13.709/2018

Requisito LGPD Artigo Como o DNS Shield atende
Registro de operações de tratamento Art. 37 ✔ Atendido — logs completos de todas as consultas DNS: timestamp, IP do cliente, domínio, categoria, ação
Medidas de segurança técnica Art. 46 ✔ Atendido — bloqueio de phishing, malware, C2 e destinos de exfiltração conhecidos antes da conexão
Minimização e anonimização de dados Art. 12 ✔ Atendido — retenção com anonimização de logs DNS configurável conforme política da empresa
Rastreabilidade de incidentes Art. 48 ✔ Atendido — logs permitem reconstruir consultas por máquina, domínio e horário para investigação pós-incidente
Segurança desde o projeto Art. 49 ✔ Atendido — proteção implementada na camada DNS antes de qualquer conexão ser estabelecida
Conforme plano de suporte contratado (Prata, Ouro, Diamante) — relatórios de conformidade disponíveis via Painel LGPD (opcional).
Base 100% open source — sem licença, sem renovação anual, sem limite de usuários.