Operação de segurança 2, MDM 2 Flashcards
Iptables
Iptables é a ferramenta ou front-end que implementa o firewall NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico
O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall
INPUT - Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração.
OUTPUT - Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall.
FORWARD - Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita
serviços internos, a cadeia que será analisada é a FORWARD.
TABELAS DE ARMAZENAMENTO - IPTABLES
Tabela Filter - Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem.
Tabela Nat - Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de
entrar e saída.
Tabela Mangle - Armazena informações a respeito da manipulação de pacotes, isto é, caso se deseja alterar alguma flag ou parâmetros dos cabeçalhos.
implementando NAT (“MASQUERADE”)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
implementando NAT - DIAGRAMA
parâmetros básico
Coloca as regras mais usadas primeiro para ser mais eficiente
-L list
-s source
-d destiny
-j jump
-a append
-I include
-D delete
-R replace
-F flush
-i input. regra de descarte
-o output
-p protocol
-P policy
-m multiport
-v verbose
-n number
-c check
-L: exibe todas as regras atualmente em uso no IPTables;
-s: indica a origem do pacote que será tratado por um firewall;
-d: indica o destino do pacote;
-j: indica oque deve ser feito com um determinado destino (aceita pacotes, bloqueia pacotes, exclui etc);
-A chain: acrescenta a regra a uma determinada chain;
-I chain: acrescenta um regra no início
-D chain: deleta a regra de uma determinada chain;
-R [número da regra atual] [nova regra]: substitui uma regra por outra;
-F [chain]: atalho para Flush, que apaga todas as regras de todas as chains do firewall;
-P [chain]: define qual interface está sendo tratada em uma determinada entrada de dados. -o [interface]: define em qual interface está sendo tratada a saída de dados;
-p: define o tipo de protocolo ao qual a regra se destina.
! : Especifica uma inversão (endereço não é igual a) ou uma exceção
-P: Especifica a política padrão
-m multiport: Especifica múltiplas portas no sports ou dports (22,80 ou 1:2024)
-v: Exibe mais detalhes sobre as regras criadas nos chains.
-n: Exibe endereços de máquinas/portas como números ao invés de tentar a resolução DNS.
-x: Exibe números exatos ao invés de números redondos. Também mostra a faixa de portas de uma regra de firewall.
–line- numbers: Exibe o número da posição da regra na primeira coluna da listagem. -h: Mostrará o help, ajuda de comando.
-C: Basicamente checa as regras.
Exemplo de política de servidor
outros parâmetros básicos
Mais exemplos de comandos IPtables
denominação IPv4 e IPv6 - IPtables
IPTables
IP6Tables
Nome correto do firewall que faz parte do linux
NETFILTER
Nome da ferramenta do espaço do usuário que ofereça interface necessária para configurar firewall netfilter
IPTABLES
Conceitos de metodologia de prevenção
Metodologias de detecção (variantes)
IDS - intrusion Detection System
- Simplesmente detecta
- Não age sobre o tráfego
IDS - Tipos
1-NIDS (Network-Based Intrusion Detecction System)
2-HIDS (Host-Based Intrusion Detecction System)
3-IDS baseado em pilhas
NIDS - Vantagens e desvantagens
vantagens, podemos citar:
- Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e aumentando o grau de defesa;
- Atuando em modo passivo, não impactam no desempenho da rede;
- Difíceis de serem detectados por atacantes;
desvantagens, podemos citar:
- Diante de tráfego intenso, pode não ser muito eficiente;
- Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; o Incapacidade de analisar informações criptografadas;
- Incapacidade de bloquear o ataque, restando apenas a detecção;
HIDS - Vantagens e desvantagens
vantagens, citamos:
-Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS.
- Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação.
- Não são afetados por elementos de rede como switches ou roteadores.
desvantagens, podemos citar:
- Difícil configuração, pois, se deve considerar as características de cada estação; o Podem ser derrubados por DoS;
- Degradação de desempenho na estação;
IDS baseado em pilhas
É um modelo novo de implementação com grande dependência dos fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada superior, buscando evitar que chega até a aplicação ou Sistema Operacional.
IDS híbridos
Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS
IDS - posicionamento na rede e modo de ação
Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego
definição de IPS
IPS. Muitos consideram como sendo um IDS de posicionamento in-line (em sequência), capaz de bloquear ataques de forma ativa e preventiva.
Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a diferença do IPS (também conhecido como IDS Ativo) com o modo reativo do IDS, pessoal? No primeiro, busca- se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe agora bloquear posteriormente.
Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade
A instalação de um software capaz de identificar e alertar uma intrusão em uma estação de trabalho é considerada uma solução de prevenção a intrusão, mesmo que esse software não consiga efetivamente impedir ou bloquear a ação maliciosa.
Vejam que a questão foca na identificação e alerta. Ou seja, isso não é característica de prevenção. Temos aí a mera detecção.
Metodologias de detecção
- Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior que as demais portas e redireciona-se todo os tráfegos das demais portas a essa porta de maior banda, a qual estará conectada um IDS para coletar os dados e analisá-los.
- Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um simples hub entre o host que se deseja monitorar o tráfego e o switch com vistas a realizar uma cópia de modo não intrusiva dos dados e remeter a um IDS.
- Port Mirror: Faz-se o espelhamento de uma porta específica de um switch para uma outra porta a qual estará conectada o IDS.
Percebam que as três técnicas mantêm o princípio de um IDS de não interferir diretamente no tráfego, ou seja, é um posicionamento paralelo na rede, evitando inclusive que o IDS seja capaz de barrar tráfego indesejado
por si só, como faria um IPS posicionado de forma serial.
WIPS (Wireless Intrusion Prevent System)
Esse dispositivo é capaz de monitorar o espectro de ondas de rádio de tal forma que se pode identificar pontos de acesso que estejam tentando utilizar canais não autorizados.
Uma vez que seja detectado, passa-se a atuar normalmente como um IPS, bloqueando o tráfego diretamente ou passando tal função ao firewall da rede.
um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor
Ele começa a descrever a metodologia de comportamento, mas ao final, associa os padrões de
identificação exclusiva, que é o método baseado em assinatura. Então houve uma mistura de conceitos.
um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
Defato,comovimos,tantooIPSquantooIDSutilizamosmétodosdeAssinaturaeComportamento.
SELinux
ele nada tem a ver com a implementação de firewall no Linux, como o Iptables.
Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir uma camada de segurança a nível de kernel.
O SELinux opera em três modos básicos:
Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras vindas do servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando “setenforce 1”. Esse é o modo padrão para REDHAT.
Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo padrão para debian.
Disabled: este, como o nome sugere, desabilita o SELinux.
Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas.
Como SELinux funciona
O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema Operacional e seus recursos.
O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de leitura e escrita de arquivos e diretórios, as mudanças nas permissões do SELinux são mais rígidas e burocráticas, exigindo controle de root. Diversas regras já são preestabelecidas conforme política de segurança do Sistema Operacional.
O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao hardware, entre outros. Percebam que a profundidade de controle é muito maior do que um simples controle de sistema de arquivos.
perfis
xguest_u : este usuário tem acesso às ferramentas GUI e a rede está disponível através do navegador Firefox.
user_u : este usuário tem mais acesso do que as contas de convidado (GUI e rede), mas não pode alternar entre usuários executando su ou sudo.
system_u : este usuário destina-se a executar serviços do sistema e não deve ser mapeado para contas de usuário regulares.
staff_u : mesmos direitos que user_u, exceto que pode executar o comando sudo para ter privilégios de root.
DLP - Data Loss prevention
DLP contextos
email DLP
network DLP
endpoint DLP
Endpoint são equipamentos (Ex: computadores dos empregados)
storage DLP
Cloud DLP
DLP Aspectos estratégicos
-Objetivos estratégicos e técnicos claros
-Identificação, inventário e classificação dos dados
-Definição de políticas de segurança da informação
-Gerenciamento e controle de acesso
-Conscientização dos usuários e colaboradores
Para que DLP seja implementada, é necessário que a informação crítica da organização esteja classificada
SIm, informação pública não é crítica
DLP - Baseado em regras ou Rule-based
DLP - Dicionários ou Dictionaries ou Keyword Matching
DLP - Correspondência exata de dados ou Exact data matching
DLP - Correspondência exata de arquivos ou Exact file matching
DLP -Correspondência parcial de documentos ou Partial document match
DLP - Análise estatística ou Statistical analysis
O que é o código hash
O código hash é um processo unilateral que garante a inviolabilidade do documento assinado digitalmente. Seu objetivo é gerar códigos únicos, garantindo a criptografia em todas as páginas e comprovando que o documento é original, sem nenhuma fraude ou modificação
