Segurança

Question 1

O que são Backdoors? Como funcionam?

Answer 1

Programas de backdoor, como Netbus e Back Orifice, são usados por criminosos digitais para obter acesso não autorizado a um sistema ignorando os procedimentos normais de autenticação. Backdoors concedem aos cibercriminosos acesso contínuo a um sistema, mesmo que a organização tenha corrigido a vulnerabilidade original usada para atacar o sistema.

Question 2

O que são Rootkits? Como funcionam?

Answer 2

Esse malware foi projetado para modificar o sistema operacional para criar um backdoor, que os invasores podem usar para acessar o computador remotamente.

A maioria dos rootkits utiliza as vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema.

Os Rootkits também podem modificar as ferramentas forenses e de monitoramento do sistema, tornando-os muito difíceis de detectar. Na maioria dos casos, um computador infectado por um rootkit precisa ser apagado e qualquer software necessário reinstalado.

Question 3

Quais as semelhanças e diferenças entre vírus, worms e trojans?

Answer 3

Os três são códigos maliciosos que infectam computadores e se associam a certos tipos de arquivo. Diferente dos trojans que se disfarçam como um arquivo saudável, vírus e worms se replicam em diferentes partes do sistema. Enquanto vírus precisam da interação do usuário para serem executados e focam em explorar o sistema, worms não precisam de interação e focam em explorar a rede.

Question 4

O que são ataques DoS? Quais as duas principais formas que ele ocorre?

Answer 4

Ataques DoS (Denial of Service) são focados em interromper o funcionamento de um sistema. Suas principais formas são através de uma quantidade enorme de acessos simultâneos visando provocar lentidão no sistema e envio em massa de pacotes mal formatados que o sistema terá dificuldade para interpretar.

Question 5

Como funciona um ataque de DNS Spoofing?

Answer 5

A falsificação de DNS ou o envenenamento de cache DNS (em inglês, DNS SPoofing) é um ataque no qual dados falsos são introduzidos em um cache de resolvedor de DNS - o banco de dados temporário no sistema operacional de um computador que registra visitas recentes a sites e outros domínios da Internet.

Esses ataques de veneno exploram uma fraqueza no software DNS que faz com que os servidores DNS redirecionem o tráfego de um domínio específico para o computador do invasor.

Question 6

Como funciona a camada 2?

Answer 6

A camada 2 refere-se à camada de link de dados no modelo de comunicação de dados Open Systems Interconnection (OSI).

Em seus termos mais simples, o endereço MAC identifica o destinatário de um endereço IP enviado pela rede, e o ARP resolve endereços IP para endereços MAC para transmissão de dados.

Question 7

Como funciona um ataque de inundação de MAC?

Answer 7

Os dispositivos em uma rede são conectados por um switch de rede usando o switching de pacote para receber e encaminhar dados para o dispositivo de destino. A inundação de MAC compromete os dados transmitidos para um dispositivo. Um invasor inunda a rede com endereços MAC falsos, comprometendo a segurança do switch de rede.

Question 8

Como funcionam ataques de Spoofing de IP, ARP e MAC?

Answer 8

Spoofing é um ataque de representação e tira proveito de uma relação de confiança entre os dois sistemas.

A falsificação de endereço MAC ocorre quando um invasor disfarça seu dispositivo como um dispositivo válido na rede e, portanto, pode ignorar o processo de autenticação
.
O ARP spoofing envia mensagens ARP falsificadas através de uma LAN. Isso vincula o endereço MAC de um invasor ao endereço IP de um dispositivo autorizado na rede.

O spoofing de IP envia pacotes IP com um endereço de origem falsificado para se disfarçar.

Question 9

Como funcionam os ataques de Man in the Middle?

Answer 9

Um ataque de MitM acontece quando um criminoso digital assume o controle de um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, um invasor pode interceptar, manipular e retransmitir informações falsas entre o remetente e o destino pretendido.

Question 10

Como funciona um ataque de SMiShing?

Answer 10

É uma variação do phishing que usa mensagens SMS como meio para enganar suas potenciais vítimas.

Question 11

Quais as semelhanças e as diferenças entre ataques de bluejacking e bluesnarfing?

Answer 11

Ambos são ataques focados em explorar dispositivos conectados via bluetooth. O bluejacking usa do bluetooth para enviar mensagens não autorizadas ou chocantes para seus alvos. Enquanto isso, o bluesnarfing usa o bluetooth para copiar informações de um dispositivo de destino.

Question 12

Quais são, em ordem descrecente de efetividade, os principais protocolos para proteção de redes Wi-Fi?

Answer 12

WPA2, WPA e WEP.

Question 13

Como funciona um ataque de gêmeo do mal? Geralmente, se enquadra em qual categoria de ataques?

Answer 13

Um ataque de gêmeos do mal descreve uma situação em que o access point do invasor é configurado para parecer uma opção de conexão melhor. Depois de se conectar ao ponto de acesso maligno, o invasor pode analisar o tráfego da rede e executar ataques MitM.

Question 14

Como funciona um ataque de Script entre sites?

Answer 14

Script entre sites (XSS) é uma vulnerabilidade comum encontrada em muitos aplicativos da web. Funciona assim:

• Os criminosos digitais exploram a vulnerabilidade XSS ao injetar scripts que contêm código mal-intencionado em uma página da Web.
• A página da Web é acessada pela vítima, e os scripts mal-intencionados passam inadvertidamente para o navegador.
• O script mal-intencionado pode acessar cookies, tokens de sessão ou outras informações confidenciais sobre o usuário, que são enviadas de volta ao criminoso digital.
• Munido dessas informações, o criminoso digital pode se passar por um usuário.

Question 15

Qual a principal vulnerabilidade de segurança do protocolo IP?

Answer 15

Uma das maiores vulnerabilidades do protocolo IP é que ele não faz nenhum esforço para validar se o endereço IP de origem contido em um pacote realmente veio dessa origem.Por esse motivo, os agentes de ameaças podem enviar pacotes usando um endereço IP de origem falsificado. Além disso, os agentes da ameaça podem adulterar os outros campos do cabeçalho IP para realizar seus ataques.

Question 16

Como funcionam ataques de ICMP?

Answer 16

São ataques em que os invasores usam pacotes de eco (pings) do ICMP (Internet Control Message Protocol) para descobrir sub-redes e hosts em uma rede protegida, gerar ataques de inundação de DoS e alterar as tabelas de roteamento de hosts.

Question 17

Dê 3 exemplos de mensagens ICMP comuns de interesse para os agentes de ameaças, junto com a explicação de como são geralmente usados.

Answer 17

• ICMP solicitação de eco (echo request) e resposta do eco (echo reply) -> usado para executar verificação de host e ataques de DoS.
• ICMP inacessível -> usado para executar ataques de reconhecimento e varredura de rede.
• Resposta da máscara ICMP -> Isso é usado para mapear uma rede IP interna.
• ICMP redireciona -> Isso é usado para atrair um host alvo para enviar todo o tráfego através de um dispositivo comprometido e criar um ataque MiTM.
• Descoberta de rotas ICMP -> Isso é usado para injetar entradas de rota falsas na tabela de roteamento de um host de destino.

Question 18

Como se prevenir de ataques ICMP ?

Answer 18

As redes devem ter uma filtragem rigorosa da lista de controle de acesso ICMP (ACL) na borda da rede para evitar a sondagem ICMP vindo da Internet. Os analistas de segurança devem ser capazes de detectar ataques relacionados ao ICMP, observando o tráfego capturado e os arquivos de log. No caso de grandes redes, os dispositivos de segurança, como firewalls e sistemas de detecção de intrusão (IDS), devem detectar tais ataques e gerar alertas para os analistas de segurança.

Question 19

Como funciona um ataque de amplificação e reflexão?

Answer 19

O ataque consiste em duas etapas:

• Amplificação - O agente da ameaça encaminha a mensagem de solicitação de eco ICMP para muitos hosts. Essas mensagens contêm o endereço IP de origem da vítima.
• Reflexão - Todos esses hosts respondem ao endereço IP falsificado da vítima para sobrecarregá-lo.

Question 20

Como funcionam ataques de falsificação de endereços IP (address spoofing)?

Answer 20

Os ataques de falsificação de endereço IP ocorrem quando um agente de ameaça cria pacotes com informações falsas de endereço IP de origem para ocultar a identidade do remetente ou para se passar por outro usuário legítimo. O agente de ameaças pode obter acesso a dados inacessíveis ou burlar as configurações de segurança. A falsificação é geralmente incorporada a outro ataque, como um ataque Smurf.

Question 21

Qual a diferença entre um ataque de falsificação de endereços (spoofing) cego e um não-cego? Quando são geralmente utilizados?

Answer 21

Spoofing não cego - O agente da ameaça pode ver o tráfego que está sendo enviado entre o host e o destino. O agente de ameaça usa a falsificação não cega para inspecionar o pacote de resposta da vítima alvo. A falsificação não cega determina o estado de um firewall e prever número de sequência. Também pode seqüestrar uma sessão autorizada.

Spoofing cego - O agente da ameaça não pode ver o tráfego que está sendo enviado entre o host e o destino. A falsificação cega é usada em ataques de negação de serviço.

Question 22

Como funciona um ataque de falsificação de MAC (MAC Spoofing)?

Answer 22

Os ataques de falsificação de endereço MAC são usados quando os atores de ameaças têm acesso à rede interna. Os agentes de ameaças alteram o endereço MAC de seu host para corresponder a outro endereço MAC conhecido de um host de destino, fazendo com que o switch encaminhe os quadros destinados ao host de destino para o host atacante.

Question 23

Quais são os três serviços oferecidos pelo protocolo TCP?

Answer 23

• Entrega confiável - O TCP incorpora reconhecimentos para garantir a entrega, em vez de depender de protocolos de camada superior para detectar e resolver erros. Se uma confirmação não for recebida à tempo, o remetente retransmitirá os dados. Exigir reconhecimentos dos dados recebidos pode causar atrasos substanciais. Exemplos de protocolos da camada de aplicação que usam a confiabilidade do TCP incluem HTTP, SSL / TLS, FTP, transferências de zona DNS e outros.
• Controle de fluxo - TCP implementa controle de fluxo para resolver esse problema. Em vez de reconhecer um segmento de cada vez, vários segmentos podem ser reconhecidos com um único segmento de reconhecimento.
• Comunicação stateful - A comunicação com estado do TCP entre duas partes ocorre durante o handshake de três vias do TCP. Antes que os dados possam ser transferidos usando o TCP, um aperto de mãos triplo abre a conexão TCP. Se ambos os lados concordarem com a conexão TCP, os dados poderão ser enviados e recebidos por ambas as partes usando o TCP.

Question 24

Quais são as três etapas necessárias para se estabelecer uma conexão TCP?

Answer 24

1 - O cliente iniciador requisita uma sessão de comunicação cliente-servidor com o servidor.
2 - O servidor reconhece a sessão de comunicação cliente-servidor e solicita uma sessão de comunicação servidor-cliente.
3 - O cliente inicial reconhece a sessão de comunicação servidor-cliente.

Question 25

Como funciona um ataque de Inundação de SYN TCP ?

Answer 25

• O invasor envia várias solicitações SYN para o servidor web.
• O servidor web responde com SYN-ACK’s para cada solicitação SYN e espera completar o handshake de três vias.
• O invasor não responde aos SYN-ACK’s.
• O usuário válido não pode acessar o servidor web porque o servidor web tem muitas conexões TCP semi-abertas.

Question 26

Como funciona um Ataque de redefinição de TCP? Qual o seu principal intuito?

Answer 26

Um ataque de redefinição de TCP pode ser usado para encerrar as comunicações TCP entre dois hosts. Uma conexão TCP termina quando recebe um bit RST. Essa é uma maneira abrupta de interromper a conexão TCP e informar o host de recebimento para parar imediatamente de usar a conexão TCP. Um agente de ameaça pode fazer um ataque de redefinição de TCP e enviar um pacote falsificado contendo um TCP RST para um ou ambos os pontos de extremidade.

Question 27

Como funciona um ataque de sequestro de sessão TCP?

Answer 27

Sequestro de sessão TCP é outra vulnerabilidade do TCP. Embora seja difícil de conduzir, um agente de ameaça assume um host já autenticado quando ele se comunica com o alvo. O agente de ameaça deve falsificar o endereço IP de um dos hosts, prever o próximo número de sequência e enviar um ACK para o outro host. Se for bem-sucedido, o agente da ameaça poderá enviar, mas não receber, dados do dispositivo de destino.

Question 28

O que é o protocolo UDP? Qual sua principal característica? Quais serviços geralmente o usam?

Answer 28

UDP é um protocolo de camada de transporte não orientado à conexão. Ele tem uma sobrecarga muito mais baixa que o TCP, porque não é orientado a conexão e não oferece retransmissão, sequenciamento e mecanismos de controle de fluxo sofisticados que fornecem confiabilidade.

UDP é comumente usado por DNS, DHCP, TFTP, NFS e SNMP. Também é usado com aplicações em tempo real, como streaming de mídia ou VoIP.

A baixa sobrecarga do UDP também o torna muito interessante para protocolos que efetuam transações simples de requisição e resposta. Por exemplo, usar TCP para o DHCP geraria tráfego de rede desnecessário. Se nenhuma resposta for recebida, o dispositivo reenvia a solicitação.

Question 29

Como funciona um ataque de inundação UDP?

Answer 29

Em um ataque de inundação UDP, todos os recursos em uma rede são consumidos. O invasor envia uma inundação de pacotes UDP, geralmente de um host falsificado, para um servidor na sub-rede. O programa varrerá todas as portas conhecidas tentando encontrar portas fechadas. Isso fará com que o servidor responda com uma mensagem inacessível da porta ICMP. Como existem muitas portas fechadas no servidor, isso cria muito tráfego no segmento, que consome a maior parte da largura de banda. O resultado é muito semelhante a um ataque de negação de serviço (DoS).

Question 30

Cite 3 exemplos de ataques ao protocolo IP.

Answer 30

• Ataques ICMP
• Ataques de negação de serviço (DoS)
• Ataques Distribuídos de Negação de Serviço (DDoS)
• Ataque de Falsificação de Endereços
• Ataque man-in-the-middle (MiTM)
• Sequestro de sessão

Question 31

Cite três exemplos de ataques DNS

Answer 31

• Ataques de resolvedor aberto de DNS
• Ataques furtivos de DNS
• Ataques de sombreamento de domínio DNS
• Ataques de tunelamento de DNS

Question 32

O que é e para que serve um resolvedor aberto de DNS?

Answer 32

Muitas organizações usam os serviços de servidores DNS abertos ao público, como o GoogleDNS (8.8.8.8), para fornecer respostas às consultas. Esse tipo de servidor DNS é chamado de resolvedor aberto. Um resolvedor aberto de DNS responde a consultas de clientes fora de seu domínio administrativo.

Question 33

Como funciona um ataque de envenenamento de cache DNS?

Answer 33

Os invasores enviam informações de recurso de registro falsificado (RR) a um resolvedor de DNS para redirecionar usuários de sites legítimos para sites maliciosos. Os ataques de envenenamento de cache DNS podem ser usados para informar o resolvedor de DNS a usar um servidor de nomes mal-intencionado que fornece informações de RR para atividades mal-intencionadas.

Question 34

Como funciona um ataque de amplificação e reflexão de DNS? Por que esses ataques são possíveis?

Answer 34

Os agentes de ameaças usam ataques DoS ou DDoS em resolvedores abertos do DNS para aumentar o volume de ataques e ocultar a verdadeira fonte de um ataque. Os agentes de ameaças enviam mensagens DNS para os resolvedores abertos usando o endereço IP de um host de destino. Esses ataques são possíveis porque o resolvedor aberto responderá às perguntas de qualquer pessoa que faça uma pergunta.

Question 35

Como funciona um ataque de utilização de recursos DNS?

Answer 35

Um ataque de DoS que consome os recursos dos resolvedores abertos do DNS. Esse ataque do DoS consome todos os recursos disponíveis para afetar negativamente as operações do resolvedor aberto do DNS. O impacto desse ataque de DoS pode exigir que o resolvedor aberto do DNS seja reinicializado ou que os serviços sejam interrompidos e reiniciados.

Question 36

Como funciona um ataque DNS furtivo de fluxo rápido? Para que servem?

Answer 36

O ataque consiste consiste em mudar os endereços IPs do DNS a cada poucos minutos através atrás de uma rede que muda rapidamente de hosts DNS comprometidos.

Os invasores usam essa técnica para ocultar seus sites de entrega de phishing e malware . As redes de bots geralmente empregam técnicas do Fast Flux para impedir a detecção eficaz de servidores mal-intencionados.

Question 37

Como funciona um ataque DNS furtivo de fluxo de IP duplo? Para que servem?

Answer 37

Os atores de ameaças usam essa técnica para alterar rapidamente o nome do host para os mapeamentos de endereço IP e também para alterar o servidor de nomes autoritativo. Isso aumenta a dificuldade de identificar a fonte do ataque.

Question 38

Como funciona um ataque DNS furtivo de algoritmos de geração de domínio?

Answer 38

Os atores de ameaças usam essa técnica em malware para gerar aleatoriamente nomes de domínio que podem ser usados como pontos de encontro para seus servidores de comando e controle (C&C).

Question 39

Como funciona um ataque de sombreamento de domínio DNS?

Answer 39

O sombreamento de domínio envolve o agente de ameaças coletando credenciais de conta de domínio para criar silenciosamente vários subdomínios a serem usados durante os ataques. Esses subdomínios normalmente apontam para servidores mal-intencionados sem alertar o proprietário real do domínio pai.

Question 40

Quais são as etapas de um ataque de tunelamento de DNS?

Answer 40

1 - Os dados são divididos em vários blocos codificados.
2 - Cada pedaço é colocado em um rótulo de nome de domínio de nível inferior na consulta DNS.
3 - Como não há resposta do DNS local ou em rede para a consulta, a solicitação é enviada aos servidores DNS recursivos do ISP.
4 - O serviço DNS recursivo encaminhará a consulta para o servidor de nomes autorizado do invasor.
5 - O processo é repetido até que todas as consultas contendo os chunks sejam enviadas.
6 - Quando o servidor de nomes autoritativo do invasor recebe as consultas DNS dos dispositivos infectados, ele envia respostas para cada consulta DNS, que contém os comandos encapsulados e codificados.
7 - O malware no host comprometido recombina os pedaços e executa os comandos ocultos.

Question 41

Como funciona, de maneira simplificada, um ataque de tunelamento de DNS?

Answer 41

Os agentes de ameaças que usam o tunelamento DNS colocam tráfego que não é de DNS, dentro do tráfego DNS. Esse método geralmente contorna soluções de segurança. Para que o agente da ameaça use o túnel DNS, os diferentes tipos de registros DNS, como TXT, MX, SRV, NULL, A ou CNAME, são alterados. Por exemplo, um registro TXT pode armazenar os comandos enviados para os bots de host infectados como respostas DNS.

Question 42

Como funciona um ataque de Spoofing de DHCP?

Answer 42

Um ataque de spoofing de DHCP ocorre quando um servidor DHCP invasor está conectado à rede e fornece falsos parâmetros de configuração IP aos clientes legítimos. Um servidor não autorizado pode fornecer uma variedade de informações enganosas:

Gateway padrão errado - O ator da ameaça fornece um gateway inválido ou o endereço IP de seu host para criar um ataque MiTM. Isso pode não ser totalmente detectado, pois o invasor intercepta o fluxo de dados pela rede.

Servidor DNS errado - O agente de ameaças fornece um endereço de servidor DNS incorreto, apontando o usuário para um site malicioso.

Endereço IP errado - O agente de ameaças fornece um endereço IP inválido, um endereço IP de gateway padrão inválido ou ambos. O agente de ameaça cria um ataque de negação de serviço no cliente DHCP.

Suponha que um agente de ameaça tenha conectado com êxito um servidor DHCP não autorizado a uma porta de switch na mesma sub-rede que os clientes de destino. O objetivo do servidor não autorizado é fornecer aos clientes informações falsas de configuração de IP.

Question 43

Quais são as etapas envolvidas em um ataque de falsificação de DHCP?

Answer 43

1 - Um cliente legítimo se conecta à rede e requer parâmetros de configuração de IP. O cliente transmite uma solicitação de descoberta de DHCP procurando uma resposta de um servidor DHCP. Ambos os servidores recebem a mensagem.

2 - Servidores DHCP legítimos e o não autorizado, respondem com parâmetros de configuração de IP válidos. O cliente responde à primeira oferta recebida.

3 - Nesse cenário, o cliente recebeu a oferta não autorizada primeiro. Ele transmite uma solicitação DHCP, aceitando os parâmetros do servidor não autorizado, conforme mostrado na figura. Cada servidor legítimo e não autorizado recebem a solicitação.

4 - No entanto, apenas o servidor não autorizado envia uma resposta ao cliente para confirmar sua solicitação. O servidor legítimo para de se comunicar com o cliente porque a solicitação já foi confirmada.

Question 44

Como funciona um ataque de iFrame malicioso?

Answer 44

Os atores de ameaças costumam usar quadros inline maliciosos (iFrames). Um iFrame é um elemento HTML que permite que o navegador carregue outra página da Web a partir de outra fonte. Os ataques de iFrame tornaram-se muito comuns, pois são frequentemente usados para inserir anúncios de outras fontes na página. Os atores de ameaças comprometem um servidor da Web e modificam páginas da Web adicionando HTML para o iFrame malicioso. O HTML vincula ao servidor da web do ator da ameaça. Em alguns casos, a página IFrame carregada consiste em apenas alguns pixels. Isso torna muito difícil para o usuário ver. Como o iFrame é executado na página, ele pode ser usado para fornecer uma exploração mal-intencionada, como publicidade de spam, um kit de exploração e outros malwares.

Question 45

Como se prevenir de um ataque de iFrame malicioso?

Answer 45

• Use um proxy da Web para bloquear sites mal-intencionados.
• Como os invasores geralmente alteram o HTML de origem do iFrame em um site comprometido, verifique se os desenvolvedores da Web não usam iFrames. Isso isolará qualquer conteúdo de sites de terceiros e facilitará a localização de páginas modificadas.
• Use um serviço como o Cisco Umbrella para impedir que os usuários naveguem para sites conhecidos por serem mal-intencionados.
• Certifique-se de que o usuário final entenda o que é um iFrame. Os atores de ameaças costumam usar esse método em ataques baseados na Web.

Question 46

Como funciona um ataque de amortecimento HTTP 302?

Answer 46

Os atores de ameaças usam o código de status de resposta 302 Found HTTP para direcionar o navegador da Web do usuário para um novo local. Os atores de ameaças costumam usar funções HTTP legítimas, como redirecionamentos HTTP para realizar seus ataques. HTTP permite que os servidores redirecionem a solicitação HTTP de um cliente para um servidor diferente. O redirecionamento HTTP é usado, por exemplo, quando o conteúdo da Web é movido para um URL ou nome de domínio diferente. Isso permite que URLs e marcadores antigos continuem a funcionar. Portanto, os analistas de segurança devem entender como uma função como o redirecionamento HTTP funciona e como ela pode ser usada durante ataques.

Quando a resposta do servidor é um status 302 Encontrado, ele também fornece a URL no campo de localização. O navegador acredita que o novo local é o URL fornecido no cabeçalho. O navegador é convidado a solicitar este novo URL. Esta função de redirecionamento pode ser usada várias vezes até que o navegador finalmente pouse na página que contém o exploit. Os redirecionamentos podem ser difíceis de detectar devido ao fato de que redirecionamentos legítimos ocorrem frequentemente na rede.

Question 47

Cite 3 formas de mitigar ataques de reconhecimento.

Answer 47

• Autenticação de implementação para garantir o acesso adequado.
• Usando a criptografia para renderizar os ataques do Sniffer do pacote.
• Usando ferramentas anti-sniffer para detectar ataques de sniffer de pacotes.
• Implementando uma infraestrutura comutada.
  Usando um firewall e IPS.

Question 48

Como identificar e mitigar um ataque de DoS?

Answer 48

Um dos primeiros sinais de um ataque DoS é um grande número de reclamações de usuários sobre recursos indisponíveis ou desempenho de rede excepcionalmente lento. Para minimizar o número de ataques, um pacote de software de utilização de rede deve estar sempre em execução. A análise do comportamento da rede pode detectar padrões incomuns de uso que indicam que um ataque DoS está ocorrendo. Um meio de detectar um comportamento incomum de rede deve ser exigido pela política de segurança de rede da organização. Um gráfico de utilização de rede mostrando atividade incomum também pode indicar um ataque DoS.

Question 49

Como mitigar um ataque via worms?

Answer 49

Worms são mais baseados em rede do que vírus. A resposta a um ataque de worms pode ser dividida em quatro fases: contenção, inoculação, quarentena e tratamento.

Question 50

Em comunicações sem fio, qual a diferença entre modo de estrutura, modo ad hoc e modo tethering ?

Answer 50

No modo infraestrutura, um roteador wireless ou AP conecta clientes sem fio a um sistema de distribuição com fio. No modo ad hoc, não existe o roteador; dois sistemas se comunicam via peer-to-peer (P2P). O tethering é uma variação do ad hoc em que um smartphone ou tablet é usado como hotspot pessoal.

Question 51

As WLANs são configurações de mídia compartilhada half-duplex. O que isso significa? Qual o maior problema dessa forma de comunicação?

Answer 51

Half-duplex significa que apenas um cliente pode transmitir ou receber a qualquer momento. Mídia compartilhada significa que todos os clientes sem fio podem transmitir e receber no mesmo canal de rádio. Isso cria um problema porque um cliente sem fio não pode ouvir enquanto está enviando, o que torna impossível detectar uma colisão.

Question 52

Qual o nome da técnica utilizada pelas WLANs para evitar colisões? De forma simplificada como ela funciona?

Answer 52

Para resolver o problema das colisões, as WLANs usam o acesso múltiplo com detecção de operadora com prevenção de colisão (CSMA / CA) como o método para determinar como e quando enviar dados na rede.

Question 53

Quais são as etapas envolvidas no CSMA / CA?

Answer 53

Um cliente sem fio faz o seguinte:

1 - Ouve o canal para ver se ele está ocioso, o que significa que nenhum outro tráfego está atualmente no canal. O canal também é chamado de portadora.

2 - Envia uma mensagem pronta para enviar (RTS) para o ponto de acesso para solicitar acesso dedicado à rede.

3 - Recebe uma mensagem clara para enviar (CTS) do ponto de acesso que concede acesso ao envio.

4 - Se o cliente sem fio não receber uma mensagem CTS, ele aguardará um período aleatório antes de reiniciar o processo.

5 - Depois de receber o CTS, ele transmite os dados.

6 - Todas as transmissões são confirmadas. Se um cliente sem fio não receber uma confirmação, ele assume uma colisão e reinicia o processo.

Question 54

Dê três exemplos de parâmetros que podem estar envolvidos em uma associação bem sucedida entre um cliente e um ponto de acesso.

Answer 54

• SSID - O nome SSID aparece na lista de redes sem fio disponíveis em um cliente. Em organizações maiores que usam várias VLANs para segmentar o tráfego, cada SSID é mapeado para uma VLAN. Dependendo da configuração da rede, vários pontos de acesso em uma rede podem compartilhar um SSID comum.
• Senha - Isso é exigido do cliente sem fio para autenticar no AP.
• Modo de rede - Refere-se aos padrões WLAN 802.11a/b/g/n/ac/ad. Os pontos de acesso e roteadores sem fio podem operar no modo misto, o que significa que eles podem oferecer suporte simultâneo a clientes que se conectam por vários padrões.
• Modo de Segurança - Refere-se às configurações dos parâmetros de segurança, como WEP, WPA ou WPA2. Sempre habilite o nível de segurança mais alto suportado.
• Configurações de canal - Refere-se às bandas de frequência usadas para transmitir dados sem fio. Os roteadores sem fio e os APs podem verificar os canais de frequência de rádio e selecionar automaticamente uma configuração de canal apropriada. O canal também pode ser configurado manualmente se houver interferência com outro ponto de acesso ou dispositivo sem fio.

Question 55

No contexto de access points, qual a diferença entre modo de descoberta passiva e ativa?

Answer 55

No modo passivo, o ponto de acesso anuncia abertamente seu serviço enviando periodicamente quadros de beacon de transmissão contendo o SSID, padrões suportados e configurações de segurança. O objetivo principal do beacon é permitir que os clientes sem fio aprendam quais redes e pontos de acesso estão disponíveis em uma determinada área. Isso permite que os clientes sem fio escolham qual rede e ponto de acesso usar.

No modo ativo, os clientes sem fio devem saber o nome do SSID. O cliente sem fio inicia o processo transmitindo um quadro de solicitação de análise em vários canais. A solicitação de análise inclui o nome SSID e os padrões suportados. Os pontos de acesso configurados com o SSID enviarão uma resposta do probe que inclui o SSID, os padrões suportados e as configurações de segurança. O modo ativo pode ser necessário se um ponto de acesso ou roteador sem fio estiver configurado para não transmitir quadros de beacon.

Um cliente sem fio também pode enviar uma solicitação de análise sem um nome SSID para descobrir redes WLAN próximas. Os pontos de acesso configurados para transmitir quadros de beacon responderiam ao cliente sem fio com uma resposta do probe e forneceriam o nome SSID. Os pontos de acesso com o recurso SSID de transmissão desativado não respondem.

Question 56

Dê 3 exemplos de ameaças a redes sem fio.

Answer 56

• Interceptação de dados - Os dados sem fio devem ser criptografados para evitar que sejam lidos por bisbilhoteiros.
• Intrusos wireless - Usuários não autorizados que tentam acessar recursos de rede podem ser dissuadidos por meio de técnicas de autenticação eficazes.
• Ataques de Negação de Serviço (DoS) - O acesso aos serviços WLAN pode ser comprometido acidentalmente ou maliciosamente. Existem várias soluções, dependendo da origem do ataque DoS.
• APs não autorizados - APs não autorizados instalados por um usuário bem-intencionado ou para fins maliciosos podem ser detectados usando software de gerenciamento.

Question 57

Dê dois exemplos de ações que podem resultar em um ataque DoS em uma rede WLAN.

Answer 57

• Dispositivos configurados incorretamente - Erros de configuração podem desativar a WLAN. Por exemplo, um administrador pode alterar acidentalmente uma configuração e desativar a rede, ou um invasor com privilégios de administrador pode desativar intencionalmente uma WLAN.
• Um usuário mal intencionado interferindo intencionalmente na comunicação sem fio - Seu objetivo é desativar completamente a rede sem fio ou ao ponto em que nenhum dispositivo legítimo pode acessar o meio.
• Interferência acidental - As WLANs são propensas a interferências de outros dispositivos sem fio, incluindo fornos de microondas, telefones sem fio, monitores de bebês e muito mais, conforme mostrado na figura. A banda de 2,4 GHz é mais propensa a interferências do que a banda de 5 GHz.

Question 58

Como um ponto de acesso não autorizado pode ser usado por invasores para causar danos a uma organização? Quais medidas podem ser tomadas para prevenir esse problema?

Answer 58

Uma vez conectado, o ponto de acesso não autorizado pode ser usado por um invasor para capturar endereços MAC, capturar pacotes de dados, obter acesso a recursos de rede ou iniciar um ataque intermediário.

Um hotspot de rede pessoal também pode ser usado como um ponto de acesso não autorizado. Por exemplo, um usuário com acesso seguro à rede permite que seu host autorizado do Windows se torne um ponto de acesso Wi-Fi. Isso evita as medidas de segurança e outros dispositivos não autorizados agora podem acessar os recursos de rede como um dispositivo compartilhado.

Para impedir a instalação de pontos de acesso não autorizados, as organizações devem configurar WLCs com políticas de pontos de acesso não autorizados, como mostrado na figura, e usar o software de monitoramento para monitorar ativamente o espectro de rádio para pontos de acesso não autorizados.

Question 59

Como se chama e como funciona o ataque do tipo MitM que ocorre com WLANs? Em quais ambientes ele ocorre com maior frequência? Como preveni-lo?

Answer 59

Um ataque MITM sem fio popular é chamado de ataque de “AP gêmeo do mal”, (“evil twin AP”) em que um invasor introduz um ponto de acesso não autorizado e o configura com o mesmo SSID que um ponto de acesso legítimo, como mostra a figura. Locais que oferecem Wi-Fi gratuito, como aeroportos, cafés e restaurantes, são locais particularmente populares para esse tipo de ataque devido à autenticação aberta.

Impedir um ataque como um ataque Man in the middle (MITM) depende da sofisticação da infraestrutura da WLAN e da vigilância no monitoramento da atividade na rede. O processo começa com a identificação de dispositivos legítimos na WLAN. Para fazer isso, os usuários devem ser autenticados. Depois que todos os dispositivos legítimos são conhecidos, a rede pode ser monitorada quanto a dispositivos ou tráfego anormais. Para isso, os usuários devem ser autenticados.

Question 60

Quais são os dois principais recursos das WLANs para impedir invasores sem fio e proteger dados?

Answer 60

Para lidar com as ameaças de impedir invasores sem fio e proteger dados, dois recursos de segurança anteriores foram usados e ainda estão disponíveis na maioria dos roteadores e pontos de acesso: camuflagem SSID e filtragem de endereço MAC.

Question 61

Quais são os dois tipos de autenticação de rede introduzidos com o padrão 802.11 original? Como funcionam?

Answer 61

• Autenticação de sistema aberto - Qualquer cliente sem fio deve ser facilmente capaz de se conectar e deve ser usado apenas em situações em que a segurança não é uma preocupação, como aquelas que fornecem acesso gratuito à Internet, como cafés, hotéis e áreas remotas. O cliente sem fio é responsável por fornecer segurança, como usar uma rede virtual privada (VPN) para conectar-se com segurança.
• Autenticação de chave compartilhada - Fornece mecanismos, como WEP, WPA, WPA2 e WPA3 para autenticar e criptografar dados entre um cliente sem fio e o AP. No entanto, a senha deve ser pré-compartilhada entre as duas partes para se conectar.

Question 62

Dê três exemplos e descrições de formas de autenticação com chave compartilhada.

Answer 62

• WEP (Wired Equivalent Privacy) -> A especificação 802.11 original projetada para proteger os dados usando o método de criptografia Rivest Cipher 4 (RC4) com uma chave estática. No entanto, a chave nunca muda ao trocar pacotes. Isso facilita a invasão O WEP não é mais recomendado e nunca deve ser usado.
• WPA (Wi-Fi Protected Access) -> Um padrão da Wi-Fi Alliance que usa WEP, mas protege os dados com o algoritmo de criptografia TKIP (Temporal Key Integrity Protocol) muito mais forte. O TKIP muda a chave para cada pacote, dificultando o trabalho dos hackers.
• WPA2 -> O WPA2 é o padrão atual do setor para proteger redes sem fio. Usa a criptografia AES (Advanced Encryption Standard - Padrão de Criptografia Avançada). O AES é considerado atualmente o protocolo de criptografia mais forte.
• WPA3 -> A próxima geração de segurança Wi-Fi. Todos os dispositivos habilitados para WPA3 usam os métodos de segurança mais recentes, desaprovam protocolos herdados desatualizados e exigem o uso de quadros de gerenciamento protegidos (PMF). No entanto, os dispositivos com WPA3 ainda não estão disponíveis.

Question 63

Quais são os dois principais métodos de autenticação WPA2?

Answer 63

• Pessoal - Destinado a redes domésticas ou de pequenos escritórios, os usuários se autenticam usando uma chave pré-compartilhada (PSK). Os clientes sem fio se autenticam com o roteador sem fio usando uma senha pré-compartilhada. Nenhum servidor de autenticação especial é necessário.
• Enterprise - Destinado a redes corporativas, mas requer um servidor de autenticação RADIUS (Remote Authentication Dial-In User Service). Embora seja mais complicado de configurar, ele fornece segurança adicional. O dispositivo deve ser autenticado pelo servidor RADIUS e os usuários devem se autenticar usando o padrão 802.1X, que usa o EAP (Extensible Authentication Protocol) para autenticação.

Question 64

Quais são, respectivamente, os métodos de criptografia das chaves WPA2 e WPA3? Como eles funcionam?

Answer 64

WPA-> Temporal Key Integrity Protocol (TKIP). Ele fornece suporte para equipamentos WLAN herdados, abordando as falhas originais associadas ao método de criptografia 802.11 WEP. Ele usa o WEP, mas criptografa a carga útil da camada 2 usando o TKIP e executa um MIC (Message Integrity Check) no pacote criptografado para garantir que a mensagem não seja alterada.

WPA2 -> Advanced Encryption Standard (AES). É o método preferido porque é um método muito mais forte de criptografia. Ele usa o Modo de Cifra de Contador com o Protocolo de Código de Autenticação de Mensagem em Cadeia de Blocos (CCMP - Chaining Message Authentication Code Protocol) que permite que os hosts de destino reconheçam se os bits criptografados e não criptografados foram alterados.

Question 65

Dê três exemplos de novos recursos providos pelo WPA3.

Answer 65

WPA3-Personal: No WPA2-Personal, os atores de ameaças podem ouvir o “aperto de mão” (handshake) entre um cliente sem fio e o AP e usar um ataque de força bruta para tentar adivinhar o PSK. O WPA3-Personal impede esse ataque usando a autenticação simultânea de iguais (SAE), um recurso especificado no IEEE 802.11-2016. O PSK nunca é exposto, tornando impossível para o atacante adivinhar.

WPA3-Enterprise: O WPA3-Enterprise ainda usa autenticação 802.1X / EAP. No entanto, requer o uso de um conjunto criptográfico de 192 bits e elimina a mistura de protocolos de segurança para os padrões 802.11 anteriores. O WPA3-Enterprise adere ao conjunto comercial de algoritmos de segurança nacional (CNSA - Commercial National Security Algorithm), que é comumente usado em redes Wi-Fi de alta segurança.

Redes Abertas: As redes abertas no WPA2 enviam o tráfego do usuário em texto não autenticado e limpo. No WPA3, as redes Wi-Fi abertas ou públicas ainda não usam autenticação. No entanto, eles usam o OWE (Opportunistic Wireless Encryption) para criptografar todo o tráfego sem fio.

Integração da IoT: Embora o WPA2 tenha incluído o Wi-Fi Protected Setup (WPS) para dispositivos embarcados rapidamente, sem configurá-los primeiro, o WPS é vulnerável a uma variedade de ataques e não é recomendado. Além disso, os dispositivos de IoT são tipicamente decapitados, o que significa que eles não têm GUI incorporada para configuração e precisavam de qualquer maneira fácil de se conectar à rede sem fio. O Protocolo de provisionamento de dispositivo (DPP - Device Provisioning Protocol) foi projetado para atender a essa necessidade. Cada dispositivo projetado para operar sem tela, teclado e mouse possui uma chave pública codificada diretamente no seu firmware ou hardware. A chave é tipicamente impressa na parte externa do dispositivo ou em sua embalagem como um código de resposta rápida (QR Code). O administrador da rede pode digitalizar o código QR e integrar rapidamente o dispositivo. Embora não faça parte estritamente do padrão WPA3, o DPP substituirá o WPS ao longo do tempo.

Question 66

O que é um Firewall?

Answer 66

Um firewall é um sistema ou grupo de sistemas que aplica uma política de controle de acesso entre redes.

Question 67

Dê dois exemplos de propriedades comuns do firewall.

Answer 67

• Os firewalls são resistentes a ataques de rede.
• Firewalls são o único ponto de trânsito entre redes corporativas internas e redes externas porque todo o tráfego flui através do firewall.
• Firewalls reforçam a política de controle de acesso.

Question 68

Dê três exemplos de benefícios do firewall.

Answer 68

• Eles impedem a exposição de hosts, recursos e aplicações sensíveis a usuários não confiáveis.
• Eles sanitizam o fluxo do protocolo, o que impede a exploração de falhas no protocolo.
• Eles bloqueiam dados maliciosos de servidores e clientes.
• Eles reduzem a complexidade do gerenciamento de segurança descarregando a maior parte do controle de acesso à rede para alguns firewalls na rede.

Question 69

Dê três exemplos de limitações do firewall.

Answer 69

• Um firewall mal configurado pode ter sérias conseqüências para a rede, como se tornar um único ponto de falha.
• Os dados de muitos aplicativos não podem ser transmitidos por firewalls com segurança.
• Os usuários podem procurar proativamente maneiras de contornar o firewall para receber material bloqueado, o que expõe a rede a possíveis ataques.
• O desempenho da rede pode diminuir.
• O tráfego não autorizado pode ser encapsulado ou escondido como tráfego legítimo através do firewall.

Question 70

Cite dois designs comuns de firewall.

Answer 70

• Privado e Público
• Zona Desmilitarizada
• Firewalls de política baseada em zona

Question 71

Como funciona um firewall com design Privado e Público?

Answer 71

No Privado e Público, a rede pública (ou rede externa) não é confiável e a rede privada (ou rede interna) é confiável.

Normalmente, um firewall com duas interfaces é configurado da seguinte forma:

• O tráfego proveniente da rede privada é permitido e inspecionado à medida que viaja em direção à rede pública. É permitido o tráfego inspecionado que retorna da rede pública e associado ao tráfego originado da rede privada.
• O tráfego originado da rede pública e que viaja para a rede privada geralmente é bloqueado.

Question 72

Como funciona um firewall com design Zona Desmilitarizada?

Answer 72

Uma zona desmilitarizada (DMZ) é um projeto de firewall onde normalmente há uma interface interna conectada à rede privada, uma interface externa conectada à rede pública e uma interface DMZ.

• O tráfego proveniente da rede privada é inspecionado à medida que ele viaja para a rede pública ou DMZ. Este tráfego é permitido com pouca ou nenhuma restrição. Tráfego inspecionado que retorna da DMZ ou da rede pública para a rede privada é permitido.
• O tráfego originado da rede DMZ e que viaja para a rede privada geralmente é bloqueado.
• O tráfego originado da rede DMZ e viajando para a rede pública é permitido seletivamente com base nos requisitos de serviço.
• O tráfego proveniente da rede pública e que viaja em direção à DMZ é seletivamente permitido e inspecionado. Esse tipo de tráfego normalmente é tráfego de email, DNS, HTTP ou HTTPS. O tráfego de retorno da DMZ para a rede pública é permitido dinamicamente.
• O tráfego originado da rede pública e que viaja para a rede privada está bloqueado.

Question 73

Como funciona um firewall com Política Baseada em Zona?

Answer 73

Os firewalls de política baseados em zona (ZPFs) usam o conceito de zonas para fornecer flexibilidade adicional. Uma zona é um grupo de uma ou mais interfaces que têm funções ou recursos semelhantes. As zonas ajudam a especificar onde uma regra ou política de firewall deve ser aplicada. Por padrão, o tráfego entre interfaces na mesma zona não está sujeito a nenhuma política e passa livremente. No entanto, todo o tráfego de zona para zona está bloqueado. Para permitir o tráfego entre as zonas, uma política que permite ou inspeciona o tráfego deve ser configurada.

A única exceção a este padrão deny any política é a zona própria do roteador. A zona auto é o próprio roteador e inclui todos os endereços IP da interface do roteador. As configurações de política que incluem a zona automática aplicar-se-iam ao tráfego destinado e proveniente do roteador. Por padrão, não há nenhuma política para esse tipo de tráfego. O tráfego que deve ser considerado ao projetar uma política para a auto zona inclui o tráfego de plano de gerenciamento e plano de controle, como SSH, SNMP e protocolos de roteamento.

Question 74

Dê três exemplos de tipos de firewall.

Answer 74

• Firewall de filtragem de pacotes (sem estado)
• Firewall com monitoração de estado
• Firewall de gateway de aplicativo
• Firewalls de próxima geração
• Firewall transparente
• Firewall híbrido

Question 75

Como funciona um Firewall de filtragem de pacotes (sem estado)?

Answer 75

Os firewalls de filtragem de pacotes geralmente fazem parte de um firewall de roteador, que permite ou nega tráfego com base nas informações da Camada 3 e da Camada 4. Eles são firewalls sem estado que usam uma simples pesquisa de tabela de políticas que filtra o tráfego com base em critérios específicos.

Por exemplo, os servidores SMTP escutam a porta 25 por padrão. Um administrador pode configurar o firewall de filtragem de pacotes para bloquear a porta 25 de uma estação de trabalho específica para impedir que ele transmita um vírus de e-mail

Question 76

Como funciona um Firewall com monitoração de estado (stateful)?

Answer 76

Firewalls com estado são as tecnologias de firewall mais versáteis e mais comuns em uso. Os firewalls stateful fornecem filtragem de pacotes stateful usando informações de conexão mantidas em uma tabela de estado. Filtragem com estado é uma arquitetura de firewall classificada na camada de rede. Ele também analisa o tráfego na camada 4 da OSI e na camada 5.

Question 77

Como funciona um Firewall de gateway de aplicativo?

Answer 77

Um firewall de gateway de aplicação (firewall proxy), conforme mostrado na figura, filtra as informações nas camadas 3, 4, 5 e 7 do modelo de referência OSI. A maior parte do controle e filtragem do firewall é feita em software. Quando um cliente precisa acessar um servidor remoto, ele se conecta a um servidor proxy. O servidor proxy se conecta ao servidor remoto em nome do cliente. Portanto, o servidor só vê uma conexão do servidor proxy.

Question 78

Como funciona um Firewall de próxima geração?

Answer 78

Os firewalls de última geração (NGFW) vão além dos firewalls de estado, fornecendo:

• Prevenção de intrusão integrada
• Reconhecimento e controle de aplicativos para ver e bloquear aplicativos arriscados
• Caminhos de atualização para incluir futuros feeds de informações
• Técnicas para lidar com ameaças de segurança em evolução

Question 79

O que significam as siglas IDS e IPS?

Answer 79

IDS -> Intrusion Detection System
IPS -> Intrusion Protection System

Question 80

Dê dois exemplos de características comuns entre IDS e IPS.

Answer 80

• Ambos são implantados como sensores.
• Ambas as tecnologias usam assinaturas para detectar padrões de uso indevido no tráfego de rede.
• Ambos podem detectar padrões atômicos (pacote único) ou padrões compostos (pacote múltiplo).

Question 81

Como funciona um IPS?

Answer 81

1 - O tráfego malicioso é enviado ao host de destino que está dentro da rede.

2 - O tráfego é roteado para a rede e recebido por um sensor habilitado para IPS, onde é bloqueado.

3 - O sensor habilitado para IPS envia informações de registro sobre o tráfego para o console de gerenciamento de segurança de rede.

4 - O sensor habilitado para IPS inicia o tráfego (é enviado para o “Balde de bits”.)

Question 82

Como as tecnologias IDS e IPS detectam padrões no tráfego da rede?

Answer 82

As tecnologias IDS e IPS usam assinaturas para detectar padrões no tráfego da rede. Uma assinatura é um conjunto de regras que um IDS ou IPS usa para detectar atividades maliciosas. As assinaturas podem ser usadas para detectar violações graves de segurança, para detectar ataques de rede comuns e para coletar informações. As tecnologias IDS e IPS podem detectar padrões de assinatura atômica (pacote único) ou padrões de assinatura composta (pacote múltiplo).

Question 83

Dê dois exemplos de vantagens do IDS.

Answer 83

Um IDS é implantado no modo off-line e, portanto:

• Sem impacto na rede (latência, variação)
• Sem impacto na rede se houver uma falha no sensor
• Sem impacto na rede se houver sobrecarga do sensor

Question 84

Dê dois exemplos de desvantagens do IDS.

Answer 84

• Ação de resposta não pode parar pacotes de gatilho
• Ajuste correto necessário para ações de resposta
• Mais vulnerável a técnicas de evasão de segurança de rede

Question 85

Dê dois exemplos de vantagens do IPS.

Answer 85

• Interrompe pacotes de gatilho
• Pode usar técnicas de normalização de fluxo

Question 86

Dê dois exemplos de desvatagens do IPS.

Answer 86

• Problemas de sensor podem afetar o tráfego de rede
• A sobrecarga do sensor afeta a rede
• Pode impactar negativamente a rede (latência, tremulação)

Question 87

Quais são os dois principais tipos de IPS?

Answer 87

IPS de host (HIPS) e IPS baseado em rede

Question 88

Como funciona um HIPS?

Answer 88

O IPS baseado em host (HIPS) é um software instalado em um host para monitorar e analisar atividades suspeitas. Uma vantagem significativa do HIPS é que ele pode monitorar e proteger o sistema operacional e os processos críticos do sistema que são específicos para esse host. Com conhecimento detalhado do sistema operacional, o HIPS pode monitorar atividades anormais e impedir que o host execute comandos que não correspondam ao comportamento típico. Esse comportamento suspeito ou mal-intencionado pode incluir atualizações de registro não autorizadas, alterações no diretório do sistema, execução de programas de instalação e atividades que causam estouros de buffer. O tráfego de rede também pode ser monitorado para impedir que o host participe de um ataque de negação de serviço (DoS) ou faça parte de uma sessão de FTP ilícita.

Question 89

Dê dois exemplos de desvantagem do HIPS.

Answer 89

Uma desvantagem do HIPS é que ele opera apenas a nível local. Ele não tem uma visão completa da rede ou eventos coordenados que possam estar acontecendo em toda a rede. Para ser eficaz em uma rede, o HIPS deve ser instalado em cada host e ter suporte para cada sistema operacional. Por ser focado em ambiente local, os HIPS também dependem do sistema operacional para o qual foram desenvolvidos.

Question 90

Como funciona um IPS baseado em rede?

Answer 90

Um IPS baseado em rede pode ser implementado usando um dispositivo IPS dedicado ou não dedicado. As implementações de IPS baseadas em rede são um componente crítico da prevenção de intrusões. Existem soluções IDS/IPS baseadas em host, mas elas devem ser integradas a uma implementação IPS baseada em rede para garantir uma arquitetura de segurança robusta.

Os sensores detectam atividades maliciosas e não autorizadas em tempo real e podem agir quando necessário. Como mostrado na figura, os sensores são implantados em pontos de rede designados. Isso permite que os gerentes de segurança monitorem a atividade da rede enquanto ela estiver ocorrendo, independentemente do local do alvo de ataque.

Question 91

O que são ACLs?

Answer 91

Uma lista de controle de acesso (ACL) é uma série de comandos que controlam se um dispositivo encaminha ou descarta pacotes com base nas informações encontradas no cabeçalho do pacote.

Question 92

Dê três exemplos de tarefas executadas pelos ACLs.

Answer 92

• Eles limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
• Eles fornecem controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
• Elas fornecem um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
• Elas filtram o tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet.
• Elas examinam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.

Além da permissão ou negação de tráfego, as ACLs podem ser usadas selecionando tipos de tráfego que serão analisados, enviados ou processados de outras formas. Por exemplo, as ACLs podem ser usadas para classificar o tráfego para ativar o processamento de prioridade. Esse recurso é semelhante a ter um ingresso VIP em um show ou em evento esportivo. O ingresso VIP fornece aos convidados selecionados os privilégios não oferecidos aos portadores de bilhetes de admissão geral, como a entrada prioritária ou possibilidade de entrar em uma área restrita.

Question 93

O que são e como funciona o protocolo SMNP?

Answer 93

O SNMP é um protocolo da camada de aplicação que fornece um formato de mensagem para a comunicação entre gerenciadores e agentes. Ele permite que os administradores gerenciem dispositivos finais como servidores, estações de trabalho, roteadores, switches e dispositivos de segurança em uma rede IP. Permite que os administradores de rede monitorem o desempenho da rede, encontrem e resolvam os problemas da rede e planejem o crescimento da rede.

Question 94

Quais são os dois elementos de um sistema SMNP?

Answer 94

• Gerenciador SNMP que executa o software de gerenciamento SNMP.
• Agentes SNMP que são os nós que estão sendo monitorados e gerenciados.

Question 95

Como configurar o SMNP em um dispositivo de rede?

Answer 95

Para configurar o SNMP em um dispositivo de rede, primeiramente é necessário definir a relação entre o gerenciador e o agente.

O gerenciador de SNMP faz parte de um sistema de gerenciamento de rede (NMS). O gerenciador de SNMP executa o software de gerenciamento de SNMP. Conforme mostrado na figura, o gerente SNMP pode coletar informações de um agente SNMP usando a ação “get” e pode alterar as configurações em um agente usando a ação “set”. Além disso, os agentes SNMP podem encaminhar informações diretamente para um gerenciador de rede usando “traps”.

Question 96

O que é e como funciona um analisador de pacotes (packet sniffer)?

Answer 96

Um analisador de pacotes (também conhecido como sniffer de pacotes ou sniffer de tráfego) é normalmente um software que captura pacotes que entram e saem da placa de interface de rede (NIC).

Question 97

Qual a maior limitação de um packet sniffer ao monitorar uma rede envolvendo switches? Que configuração no switch pode ser utilizada para contornar essa limitação?

Answer 97

Como os switches de rede podem isolar o tráfego, os sniffers de tráfego ou outros monitores de rede, como IDS, não podem acessar todo o tráfego em um segmento de rede. O espelhamento de portas é um recurso que permite que um switch faça cópias duplicadas do tráfego que passa por um switch e, em seguida, enviá-lo para fora uma porta com um monitor de rede conectado. O tráfego original é encaminhado da maneira usual.

Question 98

O que é e como funciona um Syslog?

Answer 98

Quando determinados eventos ocorrem em uma rede, os dispositivos de rede têm mecanismos confiáveis para notificar o administrador com mensagens de sistema detalhadas. Essas mensagens podem não ser críticas ou podem ser significativas. Os administradores de rede têm uma variedade de opções de armazenamento, interpretação, exibição dessas mensagens e para serem alertados sobre as mensagens que podem ter maior impacto na infraestrutura de rede.

O método mais comum de acessar mensagens do sistema é usar um protocolo chamado syslog.

Muitos dispositivos de rede são compatíveis com syslog, incluindo: roteadores, switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo syslog permite que os dispositivos de rede enviem suas mensagens de sistema pela rede para os servidores syslog, conforme mostrado na figura..

Question 99

Cite dois serviços providos por um serviço de logging de syslog.

Answer 99

• A capacidade de coletar informações de registro para monitorar e solucionar problemas
• A capacidade de selecionar o tipo de informações de registro que são capturadas
• A capacidade de especificar o destino das mensagens syslog capturadas

Question 100

O que é, para que serve e qual problema é resolvido por um NTP?

Answer 100

É importante sincronizar a hora em todos os dispositivos da rede porque todos os aspectos de gerenciamento, proteção, solução de problemas e planejamento de redes exigem um registro de data e hora preciso e consistente. Quando a hora não está sincronizada entre os dispositivos, será impossível determinar a ordem dos eventos que ocorreram em diferentes partes da rede.

Normalmente, as configurações de data e hora em um dispositivo de rede podem ser definidas usando um destes dois métodos:

Configuração manual de data e hora
Configurando o Network Time Protocol (NTP)

Conforme a rede cresce, torna-se cada vez mais difícil garantir que todos os dispositivos da infraestrutura operem com horário sincronizado. Mesmo em um ambiente de rede menor, o método manual não é o ideal. Se um dispositivo for reinicializado, como ele obterá uma data e um carimbo de hora precisos?

A melhor solução é configurar o NTP na rede. Esse protocolo permite que os roteadores na rede sincronizem as configurações de hora com um servidor NTP. Um grupo de clientes NTP que obtém informações de data e hora de uma única fonte tem configurações de hora mais consistentes. Quando o NTP é implementado na rede, ele pode ser configurado para sincronizar com um relógio mestre privado ou pode ser sincronizado com um servidor NTP disponível publicamente na Internet.

Question 101

Como funciona um sistema NTP?

Answer 101

As redes NTP usam um sistema hierárquico de fontes de horário. Cada nível desse sistema hierárquico é denominado stratum. O nível do stratum é definido como o número de contagens de saltos da fonte oficial. O horário sincronizado é distribuído através da rede usando o NTP. A figura exibe uma amostra de uma rede NTP.

Os servidores NTP são organizados em três níveis conhecidos como estratos:

Stratum 0 - Uma rede NTP obtém o tempo de fontes de tempo confiáveis. Essas fontes, também conhecidas como dispositivos de stratum 0, são dispositivos de pontualidade de alta precisão, com pouco ou nenhum atraso associado a eles.

Stratum 1 - Os dispositivos do estrato 1 estão diretamente conectados às fontes de tempo autorizadas. Eles atuam como o principal padrão de horário da rede.

Stratum 2 e estratos inferiores - Os servidores estrato 2 são conectados aos dispositivos estrato 1 por meio de conexões de rede. Os dispositivos do stratum 2, como os clientes NTP, sincronizam a hora usando os pacotes NTP dos servidores do stratum 1. Eles também podem atuar como servidores dos dispositivos do stratum 3.

Números menores de stratum indicam que o servidor está mais próximo da fonte de horário autorizada, se comparados aos números de strati maiores. Quanto maior o número do stratum, mais baixo seu nível. A valor máximo da contagem de saltos é 15. O Stratum 16, o nível mais baixo de stratum, indica que um dispositivo não está sincronizado. Servidores de horário no mesmo nível de stratum podem ser configurados para agir como pares com outros servidores de horário no mesmo nível de stratum, para finalidades de backup ou verificação da hora.

Question 102

Cite três funções de segurança independentes fornecidas pela estrutura de arquitetura AAA.

Answer 102

Autenticação, Autorização e Accounting (contabilidade).

Question 103

O que é uma VPN?

Answer 103

Uma VPN é uma rede privada criada em uma rede pública, geralmente a Internet. Em vez de usar uma conexão física dedicada, uma VPN usa conexões virtuais que são roteadas pela Internet da organização para o site remoto.

Uma VPN é virtual, pois carrega informações dentro de uma rede privada, mas essas informações são realmente transportadas por uma rede pública. Uma VPN é privada, pois o tráfego é criptografado para manter os dados confidenciais enquanto são transportados pela rede pública.

Question 104

Por que VPNs são consideradas confidenciais?

Answer 104

A VPN é um ambiente de comunicações no qual o acesso é controlado rigorosamente para permitir conexões de mesmo nível em uma comunidade com interesses definidos. A confidencialidade é alcançada criptografando o tráfego dentro da VPN. Hoje, uma implementação segura de VPN com criptografia é o que geralmente é equiparado ao conceito de rede virtual privada.

Question 105

Explique, de maneira simples, como funciona uma VPN.

Answer 105

No sentido mais simples, uma VPN conecta dois endpoints, como um escritório remoto a um escritório central, através de uma rede pública, para formar uma conexão lógica. As conexões lógicas podem ser feitas na Camada 2 ou na Camada 3. Exemplos comuns de VPNs de Camada 3 são GRE, MPLS (Multiprotocol Label Switching) e IPsec. As VPNs de camada 3 podem ser conexões de site ponto a ponto, como GRE e IPsec, ou podem estabelecer qualquer conectividade para muitos sites usando MPLS.

Question 106

O que é e para que serve o IPsec? Qual a relação desse conceito com as VPNs?

Answer 106

O IPsec é um conjunto de protocolos desenvolvido com o apoio do IETF para obter serviços seguros em redes IP comutadas por pacotes.

Os serviços de IPsec permitem a autenticação, integridade, controle de acesso e confidencialidade. Com o IPsec, as informações trocadas entre sites remotos podem ser criptografadas e verificadas. As VPNs são normalmente implantadas em uma topologia site a site para conectar sites centrais com locais remotos com segurança. Eles também são implantados em uma topologia de acesso remoto para fornecer acesso remoto seguro a usuários externos que viajam ou trabalham de casa. As VPNs de acesso remoto e site-to-site podem ser implantadas usando IPsec.

Question 107

Cite três vantagens de se utilizar Linux em um centro de operações de segurança (SOC).

Answer 107

• Linux é open source - Qualquer pessoa pode adquirir Linux gratuitamente e modificá-lo para atender a necessidades específicas. Essa flexibilidade permite que analistas e administradores criem um sistema operacional especificamente para análise de segurança.
• A CLI do Linux é muito poderosa - Embora uma GUI torne muitas tarefas mais fáceis de executar, ela adiciona complexidade e requer mais recursos de computador para executar. A CLI (Interface da Linha de comando) Linux é extremamente poderosa e permite que os analistas executem tarefas não apenas diretamente em um terminal, mas também remotamente.
• O usuário tem mais controle sobre o sistema operacional - O usuário administrador no Linux, conhecido como o usuário root, ou superusuário, tem poder absoluto sobre o computador. Ao contrário de outros sistemas operacionais, o usuário raiz pode modificar qualquer aspecto do computador com algumas teclas pressionadas. Essa capacidade é especialmente valiosa quando se trabalha com funções de baixo nível, como a pilha de rede. Ele permite que o usuário raiz tenha controle preciso sobre a maneira como os pacotes de rede são manipulados pelo sistema operacional.
• Ele permite um melhor controle de comunicação de rede - Controle é uma parte inerente do Linux. Como o sistema operacional pode ser ajustado em praticamente todos os aspectos, é uma ótima plataforma para a criação de aplicativos de rede. Esta é a mesma razão pela qual muitas grandes ferramentas de software baseadas em rede estão disponíveis apenas para Linux.

Question 108

Quais são as três dimensões da segurança da informação?

Answer 108

Princípios de segurança, Estados de dados e Proteções

Question 109

Quais são os três princípios de segurança da informação?

Answer 109

Confidencialidade, Integridade, Disponibilidade (CIA)

Question 110

Como funciona a tokenização de dados? Quando ela é usada?

Answer 110

Para obter confidencialidade sem usar criptografia, a tokenização é uma técnica de substituição que pode isolar os elementos de dados da exposição a outros sistemas de dados. Um valor aleatório sem relacionamento matemático substitui os dados originais. Fora do sistema, um token não tem valor e não faz sentido. A tokenização pode preservar o formato dos dados (tipo e comprimento dos dados), o que os torna úteis para bancos de dados e processamento de pagamento com cartão.

Question 111

O que são dados em repouso (data at rest)?

Answer 111

‘Data at rest’ Refere-se a dados armazenados. Simplificando, é o estado em que os dados estão quando nenhum usuário ou processo está acessando, solicitando ou alterando. Os dados inativos podem ser armazenados em dispositivos locais, como um disco rígido em um computador ou uma rede centralizada, como um servidor da empresa.

Os dados que não estão em trânsito ou em processo são considerados dados em repouso. Se você tiver os dados que precisa armazenar e desejará acessar posteriormente, existem várias opções de armazenamento.

Question 112

O que são dados em trânsito?

Answer 112

Dados em trânsito é o segundo estado de dados que vamos analisar, referindo-se simplesmente aos dados que estão sendo transmitidos - não estão em repouso nem em uso.

A transmissão de dados envolve o envio de informações de um dispositivo para outro, e a proteção de dados em trânsito apresenta desafios. Existem várias maneiras de transmitir dados entre dispositivos.

Question 113

O que são dados em processo?

Answer 113

Dados em processo (data in process) referem-se a dados durante a entrada inicial, modificação, computação ou saída É o estado em que os dados estão quando não estão em trânsito nem em repouso – em termos simples, são os dados que estão sendo processados.

Question 114

Dê três exemplos de contramedidas baseadas em software para proteção de dados.

Answer 114

• Firewalls de Software
• Scanners de Rede e Porta
• Analisadores de Protocolo
• Scanners de vulnerabilidade
• HIPS

Question 115

Dê três exemplos de contramedidas baseadas em hardware para proteção de dados.

Answer 115

• Firewalls
• Servidores Proxy
• Controle de acesso por hardware
• Switch de rede

Question 116

O que são e para que servem políticas de segurança?

Answer 116

Uma política de segurança define os objetivos de segurança, as regras de comportamento e os requisitos do sistema a serem respeitados.

Uma política de segurança abrangente realiza várias tarefas:

• Demonstra um comprometimento da empresa com a segurança.
• Define as regras para o comportamento esperado.
• Ele garante consistência nas operações do sistema e aquisição, uso e manutenção de software e hardware.
• Define as consequências jurídicas das violações.
• Dá o apoio da gerência à equipe de segurança.

Question 117

Dê três exemplos de