Operação de segurança, MDM

Question 1

Firewall - conceito

Answer 1

Dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada.

A partir dessa situação de concentração do tráfego é possível realizar a monitoração do tráfego, controle, autenticação, além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria.

Question 2

Firewall/DMZ

Answer 2

A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos usuários e serviços internos.

Question 3

Firewall/DMZ - Defesa em profundidade

Answer 3

2 firewalls
Cada firewall de fornecedores diferentes
Maior custo e trabalho, mas tem benefícios

Question 4

Dual-homed host

Answer 4

É formado por um elemento que atua como firewall e possui duas interfaces, sendo uma para a rede externa e uma para a rede interna.

Question 5

Screened host

Answer 5

Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente. Especificamente customizado para acessos externos a serviços de forma segura

Question 6

Screened-subnet host

Answer 6

Tem-se o modelo específico de criação de uma subrede de segurança (DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces físicas distintas que isolam complemente as redes.

Question 7

filtros

Answer 7

Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente.
É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo.

Question 8

Proxies

Answer 8

São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas perspectivas.

Question 9

Bastion hosts

Answer 9

É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de vulnerabilidades.

Conceito de Hardening

Question 10

HoneyPot

Answer 10

Arapuca

É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição.
Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes!

Question 11

NAT

Answer 11

Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado por essa rede.

Question 12

VPN

Answer 12

A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede.
Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos.

Question 13

Balanceadores de carga/Redundância

Answer 13

Question 14

Classificação de firewalls

Answer 14

firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual camada o firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das camadas inferiores.
Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”.

Firewall Bridge
Firewall -filtro de Pacotes
Filtro de Pacotes baseado em estados
Proxies
Proxy reverso
WAF
UTM

Question 15

Firewall Bridge

Answer 15

Esse tipo de firewall atua na camada de enlace do modelo OSI
não possui endereço IP
Limitado em relação ao que consegue filtrar
Não possui visibilidade externa

Question 16

Firewall – Filtro de Pacotes

Answer 16

-Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte
-Este é o tipo mais primitivo de implementação de firewalls
-Firewall estático, stateless
-A sua capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de origem e destino
-Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o fluxo de entrada e saída da rede.

Question 17

Filtros de Pacotes Baseados em Estados

Answer 17

• Atua na camada de transporte
  -Também conhecidos como filtro de pacotes dinâmicos ou Statefull (filtro de estados)
  -Esse tipo de firewall não se restringe à análise
  dos cabeçalhos conforme vimos anteriormente
  -é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall
  -é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme evolução da comunicação.
  -o firewall statefull utiliza um conceito baseado em contextos que permite a criação de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP

Question 18

SIEM

Answer 18

Question 19

proxy

Answer 19

• Atuação na camada de aplicação
• Estes possuem a capacidade de atuar a nível da camada de aplicação
• Camada de autenticação e segurança
• Não verifica o conteúdo de pacotes
• Proxy do linux : SQUID
• CApaz de analisar as informações do cabeçalho
• cache de páginas estáticas

Question 20

proxies - DPI

Answer 20

• Deep package inspection
• camada de aplicação
• Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos pacotes trafegados

Question 21

questão

Answer 21

Question 22

proxy reverso

Answer 22

• Temos recursos de proteção
• balanceamento e distribuição de requisições e
• armazenamento em cache das informações estáticas.

Dessa forma, quando há uma requisição a um objeto estático, o proxy reverso é capaz de responder diretamente à requisição.

Question 23

Web Application Firewall - WAF

Answer 23

-Esse tipo de firewall foi criado especificamente para proteger aplicações WEB (na perspectiva do servidor que oferece o serviço) de ataques sofisticados na camada de aplicação. Logo, também atua na camada 7 do modelo OSI.

-Muitas arquiteturas trabalham com esse tipo de firewall em conjunto com outros firewalls mais robustos que possuem grande poder de processamento na camada de rede e transporte.

-Possuem como característica o controle dos tráfegos de entrada e saída, bem como os acessos aos serviços da aplicação. Desse modo, pensando em uma arquitetura, é razoável assumirmos que os WAF’s devem ficar posicionados em frente ao servidor de aplicação. Percebam essa diferença.

Question 24

Web Application Firewall - WAF (Escopo de atuação)

Answer 24

Ele não protegerá toda a rede. Ele não protegerá os usuários internos. Ele protegerá o servidor de aplicação. Funcionará como uma espécie de Proxy Reverso, mas conceitualmente, são diferentes.

Question 25

Unified Threat Management (UTM)

Answer 25

É conhecido como uma solução capaz de incorporar as diversas tecnologias e soluções em um único equipamento
ou appliance.

Quando falamos de um UTM, estamos falando dos elementos de segurança que já vimos, acrescidos ainda de recursos de antivírus, antimalwares, segurança para redes sem fio, segurança para acesso remoto (VPN), com capacidade de apuração de altíssimo grau de precisão e diagnósticos/relatórios com uma robustez muito grande de informações.

Question 26

whitelist e blacklist

Answer 26

white list —> Não libera quem não conhece
blacklist. —->. Libera quem não conhece