Domínio 1: Segurança de Rede (20%)

Anotações:

• Objetivo: Implementar parâmetros de configuração de segurança em dispositivos de rede e outras tecnologias

1. A. FIREWALL

   Anotações:

   • Os firewalls aplicam os controles de acesso através de um modelo de controle positivo, que estabelece que somente o tráfego definido na política de firewall seja permitido na rede; qualquer outro tráfego é negado (isso é conhecido como "negar por padrão"). - Camada 4 até 7 do modelo OSI; - Separa redes mais seguras de redes menos seguras; - Permite o uso de túneis criptografados na Internet; - Pode atuar como Proxy; - Usa NAT para alterar os IPs do tráfego; - Pode fazer roteamento.
   1. 1ª Geração - Filtro de Pacotes

      Anotações:

      • Baseado em filtro de pacotes, isto é, a verificação é básica e verifica apenas origem/destino, porta e protocolo. Exemplo: Iptables, ACL's (Access Control Lists) Vantagem: escalabilidade e alto desempenho Desvantagem: Não enxerga além do cabeçalho do pacote e das informações (IP, protocolo).
   2. 2ª Geração - Stateful Inspection

      Anotações:

      • Também chamados de firewall de circuito; Capaz de armazenar o estado de uma conexão ou sessão e filtra os novos pacotes baseados nessa informação. Exemplo: Se um tráfego já foi permitido numa determinada sessão, os pacotes dentro daquela sessão serão permitidos automaticamente.
   3. 3ª Geração - Next Generation

      Anotações:

      • Também conhecida como NGFW (Next-Generation FireWall), essa geração agrega as funções das gerações anteriores, agrega funções de DPI (Deep Packet Inspection), IPS/IDS.
   4. Web Application Firewall (WAF)

      Anotações:

      • Camada 7 do modelo OSI; Aplica regras de controle de tráfego web (HTTP); Permite ou nega tráfego baseado numa entrada esperada; Valida entradas e evita que uma falha de código ou infraestrutura da aplicação seja explorada. Exemplo: Evita ataques de SQL Injection, XSS, entre outros.
   5. Onde Posicionar o firewall

      Anotações:

      • Onde se deseja controlar o tráfego entre dois ou mais segmentos de rede. Pode ser: - Perímetro ou borda da rede; - DMZ (DeMilitarized Zone); - Entre segmentos da rede interna. Exemplo: Internet / Rede Interna Rede automação / Rede administrativa Rede médica / Rede adminstrativa
2. B. ROTEADORES

   Anotações:

   • Atua na camada 3 (rede) do modelo OSI; Encaminha pacotes entre redes diferentes; Pode ser standalone, módulo de software ou módulo de harware; Switch L3 é um switch com módulo de roteador; Consegue filtrar alguns acessos e portas, mas não é recomendado para atuar como um firewall.
3. C. SWITCHES

   Anotações:

   • Camada 2 (enlace) do modelo OSI; Ao contrário do hub, não propaga o tráfego para todas as portas; Utiliza endereços MAC para localizar dispositivos conectados; Desafio: Garantir o controle e a segurança da comunicação entre dois dispositivos no mesmo switch.
4. D. BALANCEADORES DE CARGA (Load Balancers)

   Anotações:

   • Distribui ou balanceia a carga de acesso a um pool (conjunto) de servidores; Pode ser um hardware no qual os servidores são conectados para fazer a distribuição de acessos; A carga pode ser distribuída pelo tipo de conteúdo (imagens, vídeos, páginas web, etc). Desafio: Manter todos os servidores do pool atualizados com patches de segurança e configurar o equipamento de modo seguro.
5. E. PROXIES

   Anotações:

   • Servidor ou cluster que funciona como intermediário entre a rede interna e a Internet; Encaminha requisição internas para sites na Internet, mascarando o IP interno original; Armazena páginas solicitadas pelos usuários para provê-la novamente de modo mais rápida, se outro usuário a solicitar.
   1. Proxy explícito

      Anotações:

      • Requer configuração (manual ou automática) diretamente no browser das estações, ou mesmo na aplicação.
   2. Proxy transparente

      Anotações:

      • Não requer qualquer alteração nas estações ou na aplicação, porém nem toda aplicação suporte este modo de proxy. Nesses casos, a solução é criar uma exceção no proxy para tal aplicação, e isso cria uma brecha de segurança.
6. F. CONCENTRADORES VPN

   Anotações:

   • Conecta usuários remotos a recursos internos da empresa, através de um túnel criptografado na Internet; Pode ser um hardware específico ou um Sistema Operacional que haja como um Concentrador; O hardware deve ser mais robusto para suportar as frequentes criptografias e descriptografias de tráfego; Algumas funções de NAC (Network Access Control) podem ser implementadas antes do dispositivo ser conectado à rede.
7. G. IDS

   Anotações:

   • Detecta tentativas de exploração de vulnerabilidades, ataques e loga a informação num sistema de alertas. Desafio: Fazer os mecanismos identificar o tráfego corretamente para não bloquear tráfego legítimo como malicioso (vice-versa).
   1. Classificação
      1. NIDS (Network Intrusion Detection System)

         Anotações:

         • Monitora as atividades suspeitas na rede.
      2. HIDS (Host Intrusion Detection System)

         Anotações:

         • Alerta quando houver tentativa de intrusão na estação ou no host especificamente.
   2. Tipo
      1. Baseado em comportamento

         Anotações:

         • Sequência de ações que representam algum comportamento malicioso é reportado.
      2. Baseado em assinatura

         Anotações:

         • Compara os padrões detectados ma rede com os que estão registrados numa base local de ameaças, ou na nuvem de inteligência do fabricante. Se os padrões coincidirem, um alerta é gerado.
      3. Baseado em anomalia

         Anotações:

         • Alerta quando o tráfego da rede estiver diferente do considerado "normal". Exemplo: Se o tráfego "normal" da rede é até 50Mbps, com protocolos HTTP e HTTPS, se houver uma sequência de pacotes ICMP dentro da rede, aumentando o tráfego para 150Mbps, a anomalia é detectada e reportada.
      4. Baseado em heurística
8. H. IPS
9. I. HONEYPOT

   Anotações:

   • Mecanismo usado para obter informações de ataques direcionados à rede. O administrador pode plantar uma armadilha, como uma aplicação vulnerável divulgada na Internet e verificar de onde partem os ataques e como estão ocorrendo. Com isso, poderá defender as aplicações da rede "em produção".
   1. Método de sedução de uso (Enticement)

      Anotações:

      • O atacante é atraído (atiçado) para uma exploração de possível vulnerabilidade de modo legal.
   2. Método de armadilha (Entrapment)

      Anotações:

      • Usado para induzir o atacante a cometer um crime virtual; Deve ser feito apenas por órgãos governamentais ou da lei.
10. J. ANALISADORES DE PROTOCOLOS

    Anotações:

    • Ferramentas de captura e análise de pacotes, como o Wireshark. Facilitam a identificação do tipo de tráfego na rede, bem como o detalhamento nas camadas de comunicação de rede.
11. K. FILTRO DE SPAM

    Anotações:

    • - A borda da rede é um um bom lugar para barrar e-mails não solicitados. Evita consumir recursos locais; - Algumas empresa preferem usar mx externos, de empresas especializadas no bloqueio de conteúdos maliciosos; Para identificar e-mails indesejados, alguns recursos são usados. A Microsoft usa um valor de confiança para categorizar os e-mails como SPAM ou legítimo. O valor é chamado SCL (SPAM Confidence Level).
    1. Whitelist

       Anotações:

       • Recebe o e-mail apenas de origens legítimas cadastradas.
    2. Verificação de padrão

       Anotações:

       • Verifica se  e-mail está de acordo com a RFC para o protocolo SMTP.
    3. DNS reverso

       Anotações:

       • Verifica se o domínio corresponde ao IP registrado.
    4. Tarpitting

       Anotações:

       • Atrasa a comunicação entre servidores de e-mail intencionalmente, para identificar comportamentos de spammers.
    5. Filtro de destinatários

       Anotações:

       • Elimina e-mails com destino para usuários desconhecidos ou inexistentes na rede.
12. L. SISTEMAS UTM E WEB SECURITY GATEWAY

    Anotações:

    • UTM - Unified Threat Management; Agrega diversos mecanismos no mesmo equipamento (filtro de URL, inspeção de malware, inspeção de conteúdo, firewall, IPS/IDS). Pode sofrer queda de desempenho a que as funções de proteção são habilitadas;Muito útil em ambientes menores.
    1. Filtro de URL

       Anotações:

       • A maioria dos fabricantes usam serviços na nuvem para fazer a reputação de URLs; Permite a criação de listas de bloqueio ou permissão personalizadas para cada cliente.
    2. Inspeção de malware

       Anotações:

       • Utiliza uma base local ou na nuvem, atualizada pelo fabricante, com assinaturas e informações dos malwares conhecidos que venham a trafegar na rede.
    3. Inspeção de conteúdo

       Anotações:

       • Realiza análise de tráfego, maior profundidade de análise também na camada 7 (aplicação). Pode verificar HTTPS usando técnicas de MITM (Man-In-The-Middle) com certificados digitais.

1. A. GERENCIAMENTO DE ACESSO
   1. MAC (Mandatory Access Control)

      Anotações:

      • O administrador atribui labels (rótulos) para identificar o nível de sensibilidade a um determinado objeto da rede; Permissões de usuário são atribuídas pelo administrador.
   2. DAC (Discrectionary Access Control)

      Anotações:

      • O próprio usuário tem o "poder" de dar permissão para outros usuários na rede. Somente para objetos que o pertencem. Pastas compartilhadas no Windows seguem esse modelo.
   3. RBAC (Role Based Access Control)

      Anotações:

      • As permissões de acesso são dadas pelo administrador ao grupo, ao invés do usuário. Esse grupo pode ser um setor ou cargo.
   4. RBAC (Rule Based Access Control)

      Anotações:

      • Aplicável ao acesso dos usuários aos dispositivos de rede e ativos (switches, roteadores, etc).
   5. Controle de Acesso Lógico

      Anotações:

      • Permissões a recursos são atribuídos usando ACL; Cada objeto tem uma tabela de controle de acesso vinculada; As entradas da tabela são chamadas ACEs (Access Control Entry); As permissões são cumulativas e uma vez negada o acesso num dos elementos, não importa as outras permissões.
2. B. GERENCIAMENTO DE REGRAS DE FIREWALL

   Anotações:

   • Regras analisadas de cima para baixo (top-down); Regra de negação implícita sem logs (deny all); Baseado no IP de origem/destino, portas, protocolos, etc.
3. C. GERENCIAMENTO DE VLAN

   Anotações:

   • VLAN (Virtual Local Area Network) segmenta a rede e fornece filtros broadcast, segurança, endereçamento e gestão do fluxo de rede; Switches L2 não permitem tráfego entre VLANs. Esse é um recurso L3 e chamado de Roteamento Inter-VLAN.
   1. Dinâmica

      Anotações:

      • Usa recursos como o NAC (Network Access Control) ou NAP para determinar dinâmicamente a qual vLAN um computador um computador conectado à rede será atrelado. Isso pode depender da saúde do dispositivo, do usuário conectado, etc. Protocolos como o VTP (VLAN Trunking Protocol) pode ser usado para transferir configurações de VLAN entre os switches da rede, sem a necessidade de configurar em cada um deles.
   2. Estática

      Anotações:

      • Configuradas manualmente e, normalmente, atribuída a uma ou mais portas. Se, por ventura, o computador for alterado de porta, a configuração de vLAN deve ser feita nessa nova porta.
4. D. SEGURANÇA DE ROTEADORES

   Anotações:

   • Controle de acesso administrativo; Alteração periódica de senhas com reforço para senha seguras; Backup de configuração e atualizações de imagem; Análise de logs; Rede de administração de ativos segregada; Segurança física do equipamento.
   1. Segurança física
   2. Segurança na configuração estática
   3. Segurança na configuração dinâmica
   4. Segurança na configuração de rede
5. E. SEGURANÇA DE PORTA

   Anotações:

   • A rotina de desabilitar portas inativas evita que um computador não autorizado se conecte na rede usando um ponto esquecido, ou porta não utilizada; O controle é feito pelo MAC do dispositivo conectado à porta (port-security).
6. F. PADRÃO IEEE 802.1X

   Anotações:

   • Criado inicialmente para rede "cabeada" e depois estendida à wireless; O cliente se conecta ao switch usando EAP e o switch conversa com um servidor de autenticação para validar o acesso; Método chamado também de NAC (Network Access Control).
7. G. OUTRAS FORMAS DE PROTEÇÃO DE REDE
   1. Flood Guard

      Anotações:

      • Permite ao administrador configurar no firewall qual a tolerância de recebimento de requisições SYN (SYN Flood).
   2. Loop Protection

      Anotações:

      • Uso do protocolo STP (Spanning-Tree Protocol) que evita loops na rede desabilitando algumas portas dos switches.
   3. Deny implícito

      Anotações:

      • Nega tudo e permite apenas o necessário.

1. A. DMZ

   Anotações:

   • - A segmentação física ou lógica que visa adicionar uma camada extra de proteção à rede interna; - Contém os servidores que podem ser acessados através de redes menos seguras, como a Internet; Se um servidor for comprometido, o atacante terá que passar por mais filtros até chegar a rede interna; - E-mail, DNS, Web Servers, FTP são os mais comuns; - Modelo utilizando um firewall ou mais; - No modelo de dois firewall: * Firewall front-end: Faz o filtro da Internet para a DMZ; * Firewall back-end: Faz o filtro da DMZ para a rede Interna.
2. B. SUBNETTING

   Anotações:

   • Utilizando a faixa de rede privada (RFC 1918) é possível segmentar a rede com objetivos administrativos, gerenciar a qualidade do tráfego e segurança.
3. C. NAT

   Anotações:

   • - NAT - Network Address Translation - Muito utilizada para mascarar os IPs da rede interna; - Permite que vários computadores acessem a Internet usando um IP Global (PAT), traduzindo apenas as portas de origem. - Cria uma tabela de associação entre a requisição (IP Interno de origem) e a resposta enviada para o IP público (IP externo).
4. D. VLAN

   Anotações:

   • - Permite a segmentação de domínios broadcast; - Pode ser gerenciada manualmente ou dinamicamente com VTP; - É possível ter várias redes numa mesma vLAN.
5. E. ACESSO REMOTO
   1. Protocolos de acesso remoto

      Anotações:

      • Utilizado para estabelecer a communicação entre dois pontos ou hosts: PPP e SLIP.
   2. Protocolos de autenticação

      Anotações:

      • Valida as credenciais do usuário durante uma requisição de acesso remoto. PAP, SPAP, CHAP.
6. F. TELEFONIA

   Anotações:

   • - Do PABX até VoIP;
   1. Componentes
      1. Protocolos de sinalização

         Anotações:

         • SIP e H323
      2. Protocolos de controle

         Anotações:

         • MGCP
      3. Codificação e transporte

         Anotações:

         • ADC - Converte de analógico para digital; RTP - Transmite os pacotes via rede IP; DAC - Converte de digital para analógico.
   2. Ameaças
      1. Chamada fraudulenta
      2. Spoonfing
      3. MITM (Man-in-the-Middle)
7. G. CONTROLE DE ACESSO A REDE (NAC)

   Anotações:

   • - Avalia o cliente que está tentando se conectar e permite ou rejeita o acesso de acordo com a política configurada; - As políticas podem verificar itens como: * Updates de SO aplicados; * Antivírus instalado e atualizado; * Computador no domínio. Etc. Caso o cliente não passe por uma das validações, ele pode ser quarentenado ou direcionado para remediação.
8. H. VIRTUALIZAÇÃO

   Anotações:

   • Permite executar vários servidores dentro do mesmo hardware, isolando os recursos computacionais uns dos outros.
   1. Componentes
      1. Hypervisor

         Anotações:

         • Dita como a virtualização ocorre e isola as partições (raiz e guest);
      2. Partição raiz

         Anotações:

         • Intermedia o acesso ao hypervisor.
   2. Implementação do Hypervisor
      1. Monolítica

         Anotações:

         • A pilha de virtualização e os drivers ficam com o Hypervisor.
      2. Microkernel

         Anotações:

         • Hypervisor independente dos drivers e pilha de virtualização.
9. I. COMPUTAÇÃO NA NUVEM
   1. Modelos
      1. SaaS
      2. PaaS
      3. IaaS
10. J. SEGURANÇA EM CAMADAS COM DEFESA EM PROFUNDIDADE