Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Segurança em TI > Operação de segurança 2, MDM 2 > Flashcards

Operação de segurança 2, MDM 2 Flashcards

1
Q

Iptables

A

Iptables é a ferramenta ou front-end que implementa o firewall NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall

A

INPUT - Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração.

OUTPUT - Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall.

FORWARD - Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita
serviços internos, a cadeia que será analisada é a FORWARD.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

TABELAS DE ARMAZENAMENTO - IPTABLES

A

Tabela Filter - Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem.

Tabela Nat - Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de
entrar e saída.

Tabela Mangle - Armazena informações a respeito da manipulação de pacotes, isto é, caso se deseja alterar alguma flag ou parâmetros dos cabeçalhos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

implementando NAT (“MASQUERADE”)

A

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

implementando NAT - DIAGRAMA

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

parâmetros básico

A

Coloca as regras mais usadas primeiro para ser mais eficiente

-L list
-s source
-d destiny
-j jump
-a append
-I include
-D delete
-R replace
-F flush
-i input. regra de descarte
-o output
-p protocol
-P policy
-m multiport
-v verbose
-n number
-c check

-L: exibe todas as regras atualmente em uso no IPTables;
-s: indica a origem do pacote que será tratado por um firewall;
-d: indica o destino do pacote;
-j: indica oque deve ser feito com um determinado destino (aceita pacotes, bloqueia pacotes, exclui etc);
-A chain: acrescenta a regra a uma determinada chain;
-I chain: acrescenta um regra no início
-D chain: deleta a regra de uma determinada chain;
-R [número da regra atual] [nova regra]: substitui uma regra por outra;
-F [chain]: atalho para Flush, que apaga todas as regras de todas as chains do firewall;
-P [chain]: define qual interface está sendo tratada em uma determinada entrada de dados. -o [interface]: define em qual interface está sendo tratada a saída de dados;
-p: define o tipo de protocolo ao qual a regra se destina.
! : Especifica uma inversão (endereço não é igual a) ou uma exceção
-P: Especifica a política padrão
-m multiport: Especifica múltiplas portas no sports ou dports (22,80 ou 1:2024)
-v: Exibe mais detalhes sobre as regras criadas nos chains.
-n: Exibe endereços de máquinas/portas como números ao invés de tentar a resolução DNS.
-x: Exibe números exatos ao invés de números redondos. Também mostra a faixa de portas de uma regra de firewall.
–line- numbers: Exibe o número da posição da regra na primeira coluna da listagem. -h: Mostrará o help, ajuda de comando.
-C: Basicamente checa as regras.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Exemplo de política de servidor

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

outros parâmetros básicos

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Mais exemplos de comandos IPtables

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

denominação IPv4 e IPv6 - IPtables

A

IPTables
IP6Tables

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Nome correto do firewall que faz parte do linux

A

NETFILTER

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Nome da ferramenta do espaço do usuário que ofereça interface necessária para configurar firewall netfilter

A

IPTABLES

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Conceitos de metodologia de prevenção

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Metodologias de detecção (variantes)

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

IDS - intrusion Detection System

A
  • Simplesmente detecta
  • Não age sobre o tráfego
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

IDS - Tipos

A

1-NIDS (Network-Based Intrusion Detecction System)
2-HIDS (Host-Based Intrusion Detecction System)
3-IDS baseado em pilhas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

NIDS - Vantagens e desvantagens

A

vantagens, podemos citar:
- Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e aumentando o grau de defesa;
- Atuando em modo passivo, não impactam no desempenho da rede;
- Difíceis de serem detectados por atacantes;

desvantagens, podemos citar:
- Diante de tráfego intenso, pode não ser muito eficiente;
- Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; o Incapacidade de analisar informações criptografadas;
- Incapacidade de bloquear o ataque, restando apenas a detecção;

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

HIDS - Vantagens e desvantagens

A

vantagens, citamos:
-Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS.
- Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação.
- Não são afetados por elementos de rede como switches ou roteadores.

desvantagens, podemos citar:
- Difícil configuração, pois, se deve considerar as características de cada estação; o Podem ser derrubados por DoS;
- Degradação de desempenho na estação;

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

IDS baseado em pilhas

A

É um modelo novo de implementação com grande dependência dos fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada superior, buscando evitar que chega até a aplicação ou Sistema Operacional.

19
Q

IDS híbridos

A

Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS

19
Q

IDS - posicionamento na rede e modo de ação

A

Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego

20
Q

definição de IPS

A

IPS. Muitos consideram como sendo um IDS de posicionamento in-line (em sequência), capaz de bloquear ataques de forma ativa e preventiva.

Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a diferença do IPS (também conhecido como IDS Ativo) com o modo reativo do IDS, pessoal? No primeiro, busca- se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe agora bloquear posteriormente.
Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade

21
Q

A instalação de um software capaz de identificar e alertar uma intrusão em uma estação de trabalho é considerada uma solução de prevenção a intrusão, mesmo que esse software não consiga efetivamente impedir ou bloquear a ação maliciosa.

A

Vejam que a questão foca na identificação e alerta. Ou seja, isso não é característica de prevenção. Temos aí a mera detecção.

22
Q

Metodologias de detecção

A
  1. Port Span: Utiliza-se uma porta do switch com a capacidade de banda maior que as demais portas e redireciona-se todo os tráfegos das demais portas a essa porta de maior banda, a qual estará conectada um IDS para coletar os dados e analisá-los.
  2. Splitting Wire/Optical TAP: Insere-se um equipamento específico ou um simples hub entre o host que se deseja monitorar o tráfego e o switch com vistas a realizar uma cópia de modo não intrusiva dos dados e remeter a um IDS.
  3. Port Mirror: Faz-se o espelhamento de uma porta específica de um switch para uma outra porta a qual estará conectada o IDS.
    Percebam que as três técnicas mantêm o princípio de um IDS de não interferir diretamente no tráfego, ou seja, é um posicionamento paralelo na rede, evitando inclusive que o IDS seja capaz de barrar tráfego indesejado
    por si só, como faria um IPS posicionado de forma serial.
23
Q

WIPS (Wireless Intrusion Prevent System)

A

Esse dispositivo é capaz de monitorar o espectro de ondas de rádio de tal forma que se pode identificar pontos de acesso que estejam tentando utilizar canais não autorizados.
Uma vez que seja detectado, passa-se a atuar normalmente como um IPS, bloqueando o tráfego diretamente ou passando tal função ao firewall da rede.

24
Q

um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor

A

Ele começa a descrever a metodologia de comportamento, mas ao final, associa os padrões de
identificação exclusiva, que é o método baseado em assinatura. Então houve uma mistura de conceitos.

25
Q

um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.

A

Defato,comovimos,tantooIPSquantooIDSutilizamosmétodosdeAssinaturaeComportamento.

26
Q

SELinux

A

ele nada tem a ver com a implementação de firewall no Linux, como o Iptables.
Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir uma camada de segurança a nível de kernel.

27
Q

O SELinux opera em três modos básicos:

A

Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras vindas do servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando “setenforce 1”. Esse é o modo padrão para REDHAT.

Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo padrão para debian.

Disabled: este, como o nome sugere, desabilita o SELinux.

Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas.

28
Q

Como SELinux funciona

A

O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema Operacional e seus recursos.
O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de leitura e escrita de arquivos e diretórios, as mudanças nas permissões do SELinux são mais rígidas e burocráticas, exigindo controle de root. Diversas regras já são preestabelecidas conforme política de segurança do Sistema Operacional.
O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao hardware, entre outros. Percebam que a profundidade de controle é muito maior do que um simples controle de sistema de arquivos.

29
Q

perfis

A

xguest_u : este usuário tem acesso às ferramentas GUI e a rede está disponível através do navegador Firefox.

user_u : este usuário tem mais acesso do que as contas de convidado (GUI e rede), mas não pode alternar entre usuários executando su ou sudo.

system_u : este usuário destina-se a executar serviços do sistema e não deve ser mapeado para contas de usuário regulares.

staff_u : mesmos direitos que user_u, exceto que pode executar o comando sudo para ter privilégios de root.

30
Q

DLP - Data Loss prevention

A
31
Q

DLP contextos

A
32
Q

email DLP

A
33
Q

network DLP

A
34
Q

endpoint DLP

A

Endpoint são equipamentos (Ex: computadores dos empregados)

35
Q

storage DLP

A
36
Q

Cloud DLP

A
37
Q

DLP Aspectos estratégicos

A

-Objetivos estratégicos e técnicos claros
-Identificação, inventário e classificação dos dados
-Definição de políticas de segurança da informação
-Gerenciamento e controle de acesso
-Conscientização dos usuários e colaboradores

38
Q

Para que DLP seja implementada, é necessário que a informação crítica da organização esteja classificada

A

SIm, informação pública não é crítica

39
Q

DLP - Baseado em regras ou Rule-based

A
40
Q

DLP - Dicionários ou Dictionaries ou Keyword Matching

A
41
Q

DLP - Correspondência exata de dados ou Exact data matching

A
42
Q

DLP - Correspondência exata de arquivos ou Exact file matching

A
43
Q

DLP -Correspondência parcial de documentos ou Partial document match

A
44
Q

DLP - Análise estatística ou Statistical analysis

A
45
Q

O que é o código hash

A

O código hash é um processo unilateral que garante a inviolabilidade do documento assinado digitalmente. Seu objetivo é gerar códigos únicos, garantindo a criptografia em todas as páginas e comprovando que o documento é original, sem nenhuma fraude ou modificação

Segurança em TI (20 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions