Get Started. It's Free
or sign up with your email address
Rocket clouds
Security Plus by Mind Map: Security Plus

1. 1 Segurança de Rede

1.1. 1.1 Implementar parâmetros de configuração de segurança em dispositivos de rede e outras tecnologias

1.1.1. Firewalls

1.1.1.1. Atua da camada 4 à 7 do OSI

1.1.1.2. 1 Geração Filtro de pacote (porta) 2 Geração Filtro de aplicação (RFC, protocolo, conformidade) +G1 3 Geração Filtro de estado (stateful) +G1 e G2

1.1.1.3. Primeira e ultima linha de defesa

1.1.1.4. Protege comunicação entre redes seja interna ou internet

1.1.1.5. Normalmente posicionado na borda da rede Conectando à internet

1.1.1.5.1. Firewall Borda

1.1.1.5.2. Dupla camada

1.1.1.5.3. Múltiplos Firewalls

1.1.1.6. Pode ser usado para delimitar o espaço de uma DMZ

1.1.1.7. Não protege contra falhas nas aplicações

1.1.1.8. É mais um recurso para proteção de redes, mas não irá resolver todos os problemas

1.1.2. Roteadores

1.1.2.1. Atua na camada 3 OSI (layer 3)

1.1.2.2. Principal função relacionada com endereço IP

1.1.2.3. Cuidados de segurança

1.1.2.3.1. Auditoria

1.1.2.3.2. Hardening

1.1.2.3.3. Atualizações de segurança

1.1.2.3.4. Reduzir quantidade de administradores

1.1.2.4. Termina domínios de broadcast

1.1.2.5. Permite conexão entre redes IP distintas

1.1.2.6. Pode ser um equipamento independente ou parte integrante de um switche via módulo ou software

1.1.3. Switches

1.1.3.1. Atua na camada 2 do OSI (layer 2)

1.1.3.2. Trabalham com endereços  MAC - Media Access Control

1.1.3.3. Encaminhamento baseado no MAC de destino

1.1.3.4. Mantem uma tabela de relação MAC -> porta em alguns casos também a VLAN

1.1.3.5. Existem switches que agregam função de roteador

1.1.3.6. Caso o switch não saiba para qual porta encaminhar, o quadro será enviado para todas as portas, menos a porta de origem. (flood)

1.1.3.7. Se a tabela MAC do switch encher ele encaminhará os quadros para todas as portas  causando inundação (flood)

1.1.4. Balanceadores

1.1.4.1. Distribui/Balanceia Carga de um serviço entre diferentes servidores

1.1.4.2. Importante em ambientes extremamente grandes

1.1.4.3. Distribuição por carga, conteúdo, origem

1.1.4.4. Adiciona um pouco de complexidade, os backends são idênticos? possuem versões diferentes? possuem todas as atualizações?

1.1.4.5. Garantir que o próprio balanceador esteja atualizado e não possua vulnerabilidades

1.1.4.6. Pode fazer persistência de sessão entre o cliente e o servidor, caso os nós da aplicação não façam sincronia de sessão

1.1.4.7. Pode balancear conexões por protocolo de camada 7 (http, smtp, dns) ou camada 4 (tcp, udp)

1.1.4.8. Escalabilidade

1.1.5. Proxies

1.1.5.1. Servidor intermediário entre o cliente e o servidor

1.1.5.2. Normalmente está entre o cliente interno e um serviço da Internet

1.1.5.3. Envia requisições para o servidor final em nome do cliente

1.1.5.4. Analisa conformidade do protocolo em uso

1.1.5.5. Um proxy web pode combinar funções de controle de acesso, filtro de URL, filtro de conteúdo, antivírus, etc

1.1.5.6. Requisição: cliente->proxy->servidor final Resposta: servidor final->proxy->cliente

1.1.5.7. Um proxy web pode ter funções de cache, armazenando localmente os conteúdos mais acessados pelos clientes. Não funciona para conteúdos protegidos (https) a não ser com quebra da conexão segura.

1.1.5.7.1. Reduz consumo de banda de internet. Melhora performance para os usuários

1.1.5.8. Proxy transparente

1.1.5.8.1. Não é necessário configurar o cliente para utilizar o proxy

1.1.5.8.2. A comunicação deve obrigatoriamente "passar" pelo proxy. Podendo este estar inline ou através de roteamento

1.1.5.8.3. O serviço de proxy irá capturar a tentativa de comunicação do cliente e irá realizar as tratativas que foram configuradas

1.1.5.9. Proxy explicito

1.1.5.9.1. Necessário configurar o cliente, informando que a conexão utilizará um servidor proxy

1.1.5.10. Algumas aplicações não funcionam corretamente com uso de proxys

1.1.5.10.1. O que pode trazer brecha de segurança visto que será necessário abrir exceções

1.1.6. Concentradores VPN

1.1.6.1. Permite conectar à redes privadas remotas utilizando um meio público como a internet

1.1.6.2. Pode utilizar criptografia para proteger os dados que estão sendo trafegados

1.1.6.3. Concentrador VPN é dispositivo dedicado, que suporta grandes quantidades de conexões VPN

1.1.6.4. Provem disponibilidade, escalabilidade e porformance

1.1.6.5. Pode utilizar autenticação interna ou externa (AD, Radius, etc)

1.1.6.6. PPTP / L2TP / OpenVPN / IPsec

1.1.6.7. Estabelecendo conexão

1.1.6.7.1. 1. Configurar corretamente o cliente de acordo com os parâmetros necessários para estabelecer a comunicação.

1.1.6.7.2. 2. Servidor recebe o pedido de conexão, checa os parâmetros

1.1.6.7.3. 3. Estando corretos, encaminha as credencias do usuário para o servidor de autenticação

1.1.6.7.4. 4. Servidor de autenticação valida as credencias do usuário e encaminha resposta ao concentrador

1.1.6.7.5. 5. O concentrador envia a resposta ao cliente através do canal seguro

1.1.6.7.6. 7. Cliente recebe autorização e também endereço válido da rede

1.1.7. NIDS e NIPS

1.1.7.1. Monitora a rede à procura de tentativas de exploração de vulnerabilidades

1.1.7.2. Termos

1.1.7.2.1. Evento: Atividade maliciosa detectada

1.1.7.2.2. Alerta ou alarme: Registro sobre o evento ocorrido

1.1.7.2.3. Notificação: Meio pelo qual o administrador é informado do evento

1.1.7.2.4. Barulho(noise): uma ação maliciosa sem efeito prático, pode desviar a atenção do administrador. O barulho não tem efeito danoso, gerando quase sempre falso positivo

1.1.7.2.5. Filtro de alarme: controle de priorização de alarmes

1.1.7.3. NIDS Network Intrusion Detection System

1.1.7.3.1. Passivo

1.1.7.3.2. Monitora o trafego passante na rede em busca de componentes maliciosos e gera alarmes quando estes são detectados

1.1.7.4. NIPS Network Prevention System

1.1.7.4.1. Ativo

1.1.7.4.2. Monitora o trafego passante na rede em busca de componentes maliciosos e bloqueia este trafego quando detectado além de gerar alarmes

1.1.7.4.3. Oferece maior segurança que o IDS

1.1.7.4.4. Risco de falso positivo, bloquear trafego legitimo

1.1.7.5. Tipos

1.1.7.5.1. Baseado em comportamento

1.1.7.5.2. Baseado em assinatura

1.1.7.5.3. Baseado em anomalia

1.1.7.5.4. heuriística

1.1.8. Analisadores de protocolos

1.1.8.1. Realiza captura de pacotes da rede permitindo análise e leitura das informações

1.1.9. Filtros/anti SPAM

1.1.9.1. Busca minimizar o recebimento de mensagens indesejaveis

1.1.9.2. Existem versões em software, hardware (appliance) e cloud

1.1.9.3. Alguns sistemas utilizam método de peso para classificar os emails recebidos, atribuindo nota ao conteúdo do mesmo. Caso o valor ultrapasse o máximo permitido, a mensagem será classificada como SPAM

1.1.9.4. SPAM desperdiça banda de internet, recursos de processamento, espaço em disco, tempo dos administradores do serviço de email

1.1.9.5. Pode-se utilizar método de white list (lista branca) bloqueia tudo e passa apenas o conhecido

1.1.9.6. Analisar se as mensagens respeitam as regras do protocolo SMTP

1.1.9.7. Tarpitting: Redução intencional da velocidade de comunicação quando detectado que o servidor de email remoto está tentando enviar uma quantidade massiva de mensagens

1.1.9.8. Prevenir descoberta de emails válidos não enviando respostas negativas ao remetente

1.1.10. Appliances UTM de segurança/ Gateways de segurança WEB

1.1.10.1. Filtra software/malware indesejados de conexões iniciadas pelo usuário para a Internet/WEB e garante conformidade com as politicas da empresa

1.1.10.2. Agrega diversas funções em um único ponto ou appliance.

1.1.10.3. Reduz custos de implantação e operação

1.1.10.4. Manter tantos elementos pode prejudicar a qualidade destes elementos.

1.1.10.5. Pode haver problemas de performance quando se usa tantas funções em um único appliance

1.1.10.6. Facilita a compreensão de incidentes pela união dos alarmes dos diversos componentes

1.1.10.7. Filtro URL

1.1.10.7.1. Monitora/identifica/permite/bloqueio acesso à determinado site com base na sua classificação (jogos, drogas, busca, ofensivo, etc.

1.1.10.7.2. Geralmente há opção para alterar a classificação de um site de acordo com a necessidade da empresa

1.1.10.8. Inspeção de conteúdo

1.1.10.8.1. Os conteúdos do payload da aplicação são inspecionados buscando palavas chaves, ou termos indesejados, podendo ser o trafego bloqueado ou classificado.

1.1.10.9. Inspeção de malware

1.1.10.9.1. Usa base de assinaturas similar ao antivírus para avaliar trafego atravessando o dispositivo

1.1.10.10. Funções adicionais

1.1.10.10.1. DLP

1.1.10.10.2. NAT

1.1.10.10.3. VPN

1.1.10.10.4. IPS/IDS

1.1.10.10.5. ANTISPAM

1.1.10.10.6. FIREWALL

1.1.10.10.7. Proteção contra DoS

1.1.10.10.8. Controle de Aplicação

1.1.10.10.9. Controle de banda (traffic shapping)

1.1.11. Firewall de Aplicação WEB vs Firewall de Rede

1.1.11.1. Ambos são importantes e se complementam

1.1.11.2. Firewall de rede tem um papel mais abrangente, atendendo toda a rede, serviços e protocolos

1.1.11.3. Firewall de aplicação é muito mais específico, focado em proteger uma aplicação ou protocolo, sendo mais eficiente nesse propósito

1.1.11.3.1. "Um appliance (hardware + software) ou um filtro que aplica uma série de regras às conversações HTTP. Estas regras geralmente cobrem ataques mais comuns

1.1.11.3.2. Realiza validação de entrada de dados evitando mal uso de parâmetros e formulários ou uso de carácteres indevidos

1.1.12. Dispositivos conscientes da aplicação

1.1.12.1. Capazes de executar filtragem e inspeção de conteúdo baseado nos protocolos ou aplicações  para os quais foram desenhados (web, email, IM, database, etc)

1.1.12.2. Muito além de portas, estes dispositivos são capazes de analisar e identificar as aplicações que estão trafegando em um fluxo de comunicação

1.1.12.2.1. Assim um administrador pode escolher quais aplicações permitir ou negar.

1.1.12.3. Firewalls

1.1.12.4. IPS

1.1.12.5. IDS

1.1.12.6. Proxies

1.2. 1.2 Dado um cenário , usar princípios de administração de rede seguras

1.2.1. Gerencia baseada em regras

1.2.1.1. ???????????????

1.2.2. Regras de firewall

1.2.2.1. Permitem ou negam trafego com base em alguns critérios (regras/rules)

1.2.2.2. Pode ter como critérios: IP de origem/destino, porta tcp/udp de origem/destino, interface de entrada/saida, podem trabalhar com data/hora, usuário, programa ou serviço

1.2.2.3. São analisadas de forma sequencial, uma a uma, da primeira até a última

1.2.2.4. A primeira regra que o pacote combinar será aplicada

1.2.2.5. As regras mais restritiva devem ser colocadas no início da lista

1.2.2.6. A maioria dos firewalls possuem uma regra pré-definida, que pode ou não aparecer no fim da lista de regras: negação implicita

1.2.3. Gerenciamento de VLANs

1.2.3.1. VLAN: Virtual LAN. Separa logicamente hosts que podem estar conectados ao mesmo switch.

1.2.3.2. Trabalha na camada 2 OSI Enlace

1.2.3.3. Hosts conectados ao mesmo equipamento mas em VLANs diferentes não podem se comunicar sem o auxilio de um Roteador.

1.2.3.4. Normalmente uma VLAN detêm um único segmento de rede IP.

1.2.3.5. Normalmente utilizado para reduzir domínios de broadcast.

1.2.3.6. Do ponto de vista de segurança pode ser usado para evitar comunicação entre dois segmentos de rede que contenham informações sensíveis.

1.2.3.7. VLANs podem ser atribuídas dinamicamente com uso de 802.1x + NAC

1.2.3.8. Utiliza troncos (Trunks) entre switchs para levar trafego de uma mesma vlan para equipamentos diferentes

1.2.4. Configuração segura de roteador

1.2.4.1. Não use nomes de usuários e senha padrão

1.2.4.2. Proteja a comunicação com o dispositivo através de canais encriptados ex ssh/tls/https

1.2.4.3. Proteger as configurações do dispositivo, esteja ela armazenada local, em dispositivo remoto, em mídia removível. Manter backup das configurações, e recomendado que esteja encriptado também

1.2.4.3.1. O mesmo se aplica aos logs gerados pelo equipamento

1.2.4.4. Defina, pode ser politica ou normas, quem tem acesso e que tipo de acesso aos equipamentos. Tanto acesso físico quanto acesso lógico

1.2.4.5. Proteger protocolos de roteamento dinâmico

1.2.4.6. Teste a segurança frequentemente

1.2.5. Lista de controle de Acessos Access Control List - ACL

1.2.5.1. ACE: Access Control Entry

1.2.5.2. De forma mais abrangente, ACL é uma forma de permitir ou negar acesso à recursos, seja em uma rede ou em um sistema operacional

1.2.5.2.1. Em sistemas operacionais as ACL, mas conhecidas como permissões, definem o que os usuários podem fazer com um objeto, como ler, modificar ou executar

1.2.5.2.2. Em redes normalmente as ACLs permitem ou negam a comunicação entre pontos da rede com base em critérios determinados nas ACLs. Similar a regras de firewall

1.2.5.3. Existem regras mais abrangentes e regras mais específicas, como no firewall, as regras mais específicas devem ser colocadas primeiro

1.2.6. Segurança de porta Portysecurity

1.2.6.1. Recurso conhecido nos switches por determinar quantidade máxima de endereços MAC permitidos em uma porta

1.2.6.2. Também é utilizado para especificar quais MACs são permitidos em uma determinada porta

1.2.6.2.1. Falho contra MAC spoofing ou vários hosts escondidos por um "router"

1.2.6.3. Configuração pode ser dinâmica ou estática

1.2.6.4. Desabilitar portas não utilizadas e ativar sobre demanda

1.2.7. 802.1x

1.2.7.1. Port-based Network Access Control EAP: Extensible Authentication Protocol PEAP: Protected EAP RADIUS NAC

1.2.7.2. Exige autenticação aos dispositivos que tentam se conectar a rede (cabo ou wifi)

1.2.7.3. Supplicant (cliente) Authenticator (switch, ap) Authentication Server (servidor RADIUS)

1.2.8. Proteção contra Inundação Floodguard

1.2.8.1. IDS/IPS

1.2.8.1.1. Esta associado com ataques DoS e DDoS

1.2.8.1.2. Atacantes enviam grandes quantidades de trafego/pacote com destino a uma rede ou a um serviço com o intuito de torna-lo indisponível

1.2.8.1.3. Inundação de Ping, SYN, UDP, exaustão de recursos

1.2.8.2. Switch

1.2.8.2.1. Monitora trafego broadcast, multicast e unicast passante na porta de um switch

1.2.8.2.2. Monitora quantidade de pacotes broadcast, multicast e unicast passante na porta de um switch

1.2.8.2.3. Pode ser estabelecido um valor limite para cada tipo de trafego acima, que serão dropado evitando sobrecarga da rede ou da interface do switch

1.2.9. Proteção contra loope Loop protection

1.2.9.1. STP: Spanning Tree Protocol RSTP: Rapid STP MST: Multiple STP

1.2.9.2. Proteção de switches em camada 2 Base no padrão 802.1D

1.2.9.3. Detecta e previne ocorrência de loop na rede através de envio/recebimento de BPDUs (Bridge Protocol Data Unit)

1.2.9.4. Um loop pode deixar rapidamente uma rede indisponível. Ocorre quando há um caminho alterativo ligando dois switches que estão no mesmo segmento de rede

1.2.9.5. Elege um swich para ser o ROOT, por padrão será o switch com menor bridgeID (prioridade+MAC)

1.2.10. Negação implicita Implicity deny

1.2.10.1. Regra pré-definida em alguns firewalls ou ACLs que nega todo o trafego que não tenha sido previamente permitido.

1.2.10.2. Nem sempre essas regras logam o trafego que combina com esta regra

1.2.10.3. Pode ser exibida na lista ou permanecer oculta

1.2.11. Separação de rede

1.2.11.1. Deve haver uma preocupação com a disposição das rede e como elas se conectam, com a existência de dados sensíveis, e como uma rede comprometida pode afetar outra

1.2.11.2. Redes compartilhadas por parceiros, fabricantes ou departamentos devem ter separação clara de "fronteira"

1.2.11.3. VLANs, VRouters, VFirewalls

1.2.11.4. Em casos extremos, separação física de rede

1.2.12. Análise de Logs

1.2.12.1. Muita informação, histórico, tire proveito deles

1.2.12.2. É impossível para um humano ler e interpretar toda a quantidade de LOGs geradas em uma rede

1.2.12.3. Há diversas ferramentas que proveem analise de logs de forma automatizada. Algumas quase em tempo real

1.2.12.4. Segredo é a automatização, higienização, priorizar informações relevantes

1.2.12.5. Auxilia na detecção de problemas e auditoria

1.2.12.6. Reativo e proativo

1.2.13. Gerencia de ameaças unificada  Unified threat management

1.2.13.1. Explorado no item 1.1

1.3. 1.3 Explique componentes e elementos de modelagem/desenho de redes

1.3.1. DMZ

1.3.1.1. Técnica geralmente utilizada para prover serviços voltados à internet, separando o acesso a estes serviços da rede interna

1.3.1.1.1. Em caso de comprometimento destes serviços a rede interna permanecerá segura

1.3.1.2. Geralmente representa uma rede e uma VLAN independentes

1.3.1.3. Criar camadas de proteção

1.3.1.4. Quanto mais DMZs mais complexidade

1.3.2. Subredes

1.3.2.1. Camada 3 do OSI Rede

1.3.2.2. Separar e limitar acesso a recursos. Garantir que uma parte da rede é mais segura que outra

1.3.2.3. Segmentes críticos pode ser separados e protegidos por firewall

1.3.2.4. Subredes podem ser criadas para agrupar serviços, ou acessos semelhantes

1.3.2.5. Pode ser usado para separar departamentos, andares de um prédio

1.3.2.6. Melhora controle de trafego

1.3.3. VLAN

1.3.3.1. Visto no item 1.2

1.3.4. NAT

1.3.4.1. Network Address Translation

1.3.4.2. Prove meios para "traduzir" ou "mascarar" endereços IP

1.3.4.3. Desenvolvido inicialmente para minimizar a falta de endereços IPv4

1.3.4.4. Geralmente utilizado para converter endereços privados em endereços públicos, e vice-versa. Apesar de poder ser utilizado para converter qualquer endereço IP

1.3.4.5. Algumas aplicações não lidam bem com NAT

1.3.4.6. Dispositivos que fazem NAT mantem uma tabela relacionando os endereços e portas convertidos

1.3.4.7. SNAT: Source NAT

1.3.4.7.1. Modifica o endereço de origem de um pacote

1.3.4.8. DNAT: Destination

1.3.4.8.1. Modifica o endereço de destino de um pacote

1.3.4.9. PAT: Port Address Translation

1.3.4.9.1. SNAT e DNAT para definição da COMPTIA traduzem um único endereço para um outro único endereço.

1.3.4.9.2. Já o PAT permite que a tradução do endereço ocorra de acordo com a porta sendo utilizada na comunicação

1.3.4.9.3. O PAT também é utilizado para permitir que vários IPs privados dentro de uma rede acessem a internet utilizando um único IP público

1.3.5. Acesso remoto

1.3.5.1. Permite acesso de funcionários aos recursos internos da empresa através de redes distantes e não seguras

1.3.5.2. Uso de tecnologias fortes de segurança bem como criptografia

1.3.5.3. Fortalecer proteção com uso de múltiplos fatores de autenticação

1.3.5.4. Revisar logs frequentemente para ver quem está conectando de onde

1.3.5.5. Recurso mais comum hoje é a VPN

1.3.6. Telefonia

1.3.6.1. Referenciado geralmente como VoIP: Voice over IP, ou voz sobre rede. Uma tecnologia que transmite fluxos de voz sobre canais de dados.

1.3.6.2. Permite maior flexibilidade no uso de telefones e linhas

1.3.6.3. Relativamente novo, complexo e difícil de proteger

1.3.6.4. Existem protocolos de controle, protocolos para transferência de fluxos de voz e/ou vídeo

1.3.6.5. Proteger o sistema central como um todo, contra negação de serviço, exploração de vulnerabilidades, mal uso

1.3.6.6. As vezes requer o uso de application gateways, ou firewalls capazes de entender o protocolo para trata-lo adequadamente, fazer NAT de forma correta

1.3.6.7. Continua sendo necessário proteger os sistema convencional de telefonia

1.3.6.8. Traz preocupações com a alimentação de energia pois caso haja falha no fornecimento os telefones ficaram inoperantes

1.3.7. NAC

1.3.7.1. Comum em ambientes grandes

1.3.7.2. Pode ser aplicado em redes cabeadas, sem fio e remotas (VPN)

1.3.7.3. Determina regras para dispositivos se conectarem a rede

1.3.7.4. Utilizado em conjunto com 802.1X

1.3.7.5. Pode checar a saúde do dispositivo antes de conectar a rede, e caso have problemas, coloca-lo em uma rede de quarentena/remediação

1.3.7.6. Pode ser um software em um servidor ou um appliance dedicado

1.3.8. Virtualização

1.3.8.1. Redução de custos

1.3.8.2. Adiciona uma camada de complexidade

1.3.8.3. Hypervisor: sistema operacional básico que controla o ambiente virtual e suas funções. Garante os recursos atribuídos a cada VM e que esses recursos não sejam extrapolados

1.3.8.4. Partição raiz: intermedia o acesso ao hypervisor

1.3.8.5. Kernel monolítico: os drives são carregados juntamente com o kernel Kernel microkernel: os drivers são carregados separadamente do kernel em módulos

1.3.8.6. Proteção

1.3.8.6.1. Garantir que VMs não acessem dados de outras VMs, ou que o próprio Hypervisor não acesso dados protegidos das VMs

1.3.8.6.2. Proteger as comunicações que ocorrem entre servidores dentro de um mesmo ambiente virtualizado

1.3.8.6.3. Tire vantagem dos logs para entender o que se passa

1.3.8.6.4. Proteger tanto o hypervisor a VM o storage a erde o Host fisicamente

1.3.9. Computação em nuvem

1.3.9.1. Requisitos de Nuvem

1.3.9.1.1. Self-Service/Serviço sobre demanda

1.3.9.1.2. Acesso amplo a rede

1.3.9.1.3. Agrupamento de recursos

1.3.9.1.4. Elasticidade rápida

1.3.9.1.5. Serviço mensurado

1.3.9.2. PaaS

1.3.9.2.1. Platform as a Service

1.3.9.2.2. Permite customizar o software para as necessidades do cliente

1.3.9.2.3. Comumente utilizado para ambientes de desenvolvimento da empresa contratante

1.3.9.2.4. Manutenção de hardware, software e atualizações por conta do provedor

1.3.9.2.5. Plataforma e linguagens variam de provedor para provedor

1.3.9.3. SaaS

1.3.9.3.1. Software as a Service

1.3.9.3.2. Software sobre demanda Sem instalação local

1.3.9.3.3. Pouca ou nenhuma customização

1.3.9.3.4. O cliente contrata diretamente o serviço, que é fornecido através da internet e completamente controlado e gerenciado pela empresa contratada, sendo ela responsável por todas as atualizações e manutenções de hardware e software.

1.3.9.3.5. Exemplo mais comum pode ser e-mail, como Gmail, Hotmail, este site, etc.

1.3.9.3.6. Benefícios: Reduz custo de licenciamento, manutenção e atualização de software Acelera adoção de novas tecnologias Não há preocupação com a manutenção ou atualização de hardware Sem a necessidade de manter pessoal especializado na manutenção do software

1.3.9.4. IaaS

1.3.9.4.1. Infrastructure as a Service

1.3.9.4.2. Modalidade com maior responsabilidade e controle para o cliente

1.3.9.4.3. Cliente fica responsável pela manutenção do sistema operacional e aplicações, controle de acesso e aplicação de patchs, hardening etc

1.3.9.4.4. Pode ir da locação de servidores virtuais com determinados requisitos de hardware, até locação de equipamentos de hardware, rede e espaços de datacenter

1.3.9.4.5. Alguns serviços de cloud permitem a criação de toda topologia de rede de forma virtualizada, incluindo DMZ e segmentos de rede

1.3.9.4.6. Benefícios: Não há preocupação com manutenção de hardware, sistemas de temperatura Prove alta disponibilidade de infraestrutura

1.3.9.5. Privada

1.3.9.5.1. Uma infraestrutura de nuvem disponível apenas para a empresa

1.3.9.5.2. Estranhamente pode estar localizada dentro da empresa ou em uma empresa terceira

1.3.9.5.3. Melhor controle dos dados da organização. Recomendado em caso de dados extremamente sensíveis

1.3.9.6. Publica

1.3.9.6.1. Disponível para todos através da Internet

1.3.9.7. Hibrida

1.3.9.7.1. Mistura de pública e privada

1.3.9.8. Communitaria

1.3.9.8.1. Várias organizações compartilham os mesmos recursos

1.3.9.9. Deve ser observado questões de legislação ao se considerar serviços de nuvem

1.3.9.10. Planejar arduamente antes de migrar os serviços para nuvem

1.3.9.11. Proteção: Ver itens 2.1 e 4.4

1.3.10. Camadas de proteção Defesa em profundidade

1.3.10.1. Dificultar e desacelerar tentativas de invasão, tornando a tentativa de invasão custosa

1.3.10.2. União de diversas ferramentas de segurança ou contra medidas para juntas, fornecer maior capacidade de proteção de recursos

1.3.10.3. Tecnologias

1.3.10.3.1. Firewall, DMZ, Autenticação, IPS/IDS, antivirus, antispam, antimaware, hardening, segmentação, firewall de aplicação, VLAN, criptografia, assinatura digital, múltiplos fatores de autenticação

1.3.10.4. Pessoas

1.3.10.4.1. Treinamento, conscientização, políticas, procedimentos, segurança física

1.3.10.5. Operação

1.3.10.5.1. Resposta a incidente, recuperação de falhas, manutenção da infraestrutura

1.4. 1.4 Dado um cenário, implemente protocolos e serviços comuns

1.4.1. Protocolos

1.4.1.1. IPsec

1.4.1.1.1. Encripta a camada 3 do modelo OSI

1.4.1.1.2. Padrão aberto

1.4.1.1.3. Pode ser usado entre estações ou entre sites

1.4.1.1.4. Prove autenticação, integridade e confidencialidade

1.4.1.2. SNMP

1.4.1.3. SSH

1.4.1.4. DNS

1.4.1.5. TLS

1.4.1.6. SSL

1.4.1.7. TCP/IP

1.4.1.8. FTPS

1.4.1.9. HTTPS

1.4.1.10. SCP

1.4.1.11. ICMP

1.4.1.12. IPV4

1.4.1.13. IPV6

1.4.1.14. iSCSI

1.4.1.15. Fibre Channel

1.4.1.16. FCoE

1.4.1.17. FTP

1.4.1.18. SFTP

1.4.1.19. TFTP

1.4.1.20. Telnet

1.4.1.21. HTTP

1.4.1.22. NetBIOS

1.4.2. Portas

1.4.2.1. 21

1.4.2.2. 22

1.4.2.3. 25

1.4.2.4. 53

1.4.2.5. 80

1.4.2.6. 110

1.4.2.7. 139

1.4.2.8. 143

1.4.2.9. 443

1.4.2.10. 3389

1.4.3. Relevância do OSI

1.5. 1.5 Dado um cenário, solucione problemas de segurança relacionados à redes sem fio

1.5.1. Padrões

1.5.1.1. 802.11 é o padrão de define redes sem fio

1.5.1.2. 802.11: de 1 a 2Mbps trabalhando a 2.4Ghz

1.5.1.3. 802.11a: até 54Mbps trabalhando a 5Ghz

1.5.1.4. 802.11b: até 11Mbps>5.5>2>1 trabalhando a 2.4GHZ

1.5.1.5. 802.11g: até 54Mbps trabalhando a 2.4Ghz

1.5.1.6. 802.11n: até 300Mbps trabalhando a 5Ghz

1.5.2. Preocupações

1.5.2.1. Principalmente privacidade

1.5.2.2. Não há contenção do sinal transmitido, é enviado pelo ar. Qualquer um com o equipamento certo pode interceptar o canal WIFI

1.5.2.3. Criptografia é o método para proteger a comunicação

1.5.3. Encriptação

1.5.3.1. WEP

1.5.3.1.1. Primeira tentativa da industria de proteger os dados das redes sem fio, fornecendo privacidade através de criptografia

1.5.3.1.2. Chave pré compartilhadas

1.5.3.1.3. Chaves de 40 ou 104 bits

1.5.3.1.4. possui sérias vulnerabilidades de criptografia. utiliza chaves estáticas (static keys). facilmente quebrável

1.5.3.1.5. Não use WEP

1.5.3.2. WPA

1.5.3.2.1. Evolução do WEP

1.5.3.2.2. Usa TKIP para atribuir uma chave única para cada pacote. TKIP por sua vez usa algorítimo RC4

1.5.3.2.3. Mais difícil de quebrar que o WEP, porem não impossível

1.5.3.3. WPA2

1.5.3.3.1. Evolução do WPA

1.5.3.3.2. Ainda funciona bem com equipamentos antigos

1.5.3.3.3. Utiliza protocolo CCMP e algorítimo AES. Para integridade utiliza CBC-MAC

1.5.4. Autenticação

1.5.4.1. Autenticação aberta Open Authentication

1.5.4.1.1. Não há restrição para se conectar a rede

1.5.4.1.2. Basta saber o SSID da rede

1.5.4.2. PSK - Chave pré compartilhada

1.5.4.2.1. Chave comum para todos os dispositivos que quiserem conectar a rede sem fio

1.5.4.2.2. Já envolve algorítimos de criptografia

1.5.4.2.3. Utiliza método mensagem de desafio

1.5.4.3. EAP

1.5.4.3.1. Extensible Authentication Protocol

1.5.4.3.2. Conjunto de frameworks, possui aproximadamente 40 métodos de autenticação

1.5.4.3.3. EAP-TLS

1.5.4.4. PEAP

1.5.4.4.1. Protected

1.5.4.4.2. Apenas adiciona segurança aos métodos utilizados no EAP

1.5.4.4.3. Encripta toda a autenticação e os dados posteriormente

1.5.4.4.4. Cria um túnel TLS/SSL entre o cliente e o servidor através de certificado digital no servidor

1.5.4.5. LEAP

1.5.4.5.1. Lightweight

1.5.4.5.2. Usado para adicionar segurança ao WEP

1.5.4.5.3. Não utiliza certificados digitais, usa simplesmente usuário e senha. Sem PKI

1.5.4.5.4. Baseado Microsoft CHAP

1.5.4.5.5. Possui alguns problemas de segurança

1.5.5. Filtro MAC

1.5.5.1. Garante que apenas equipamentos que utilizem MAC cadastrados tenham acesso a rede sem fio

1.5.5.2. Medida facilmente burlada através de MAC spoofing

1.5.5.3. Caindo em desuso nos dias de hoje

1.5.5.4. Sobrecarga administrativa

1.5.6. Desabilitar divulgação do SSID

1.5.6.1. Segurança por obscuridade

1.5.6.2. Evita que o SSID seja anunciado (broadcast) como disponível para conexão.

1.5.6.3. Funciona apenas para clientes que seguem as regras de funcionamentos das redes

1.5.6.4. O SSID, mesmo oculto, pode ser facilmente descoberto através de programas simples para escanear os canais de transmissão

1.5.6.5. Baixo grau de proteção

1.5.7. TKIP

1.5.7.1. Surgiu com o WPA

1.5.7.2. Usa vetor de inicialização para embaralhar a chave, fazendo que q chave mude constantemente

1.5.7.3. Possui contadores de sequencia para evitar ataques "replay" onde o atacante rouba a conexão de um cliente que já está estabelecida

1.5.7.4. Possui verificador de integridade de 64bit para evitar modificação dos dados

1.5.8. CCMP

1.5.8.1. Substituto do TKIP no surgimento do WPA2

1.5.8.2. Possui chave e tamanho de bloco maiores 128bit cada

1.5.8.3. Usa muito mais recurso computacional

1.5.8.4. Trouxe aprimoramento na criptografia, autenticação e controle de acesso de clientes

1.5.9. Posicionamento de Antenas

1.5.9.1. O sinal de rádio wireless é pouco previsível e sofre influencia dos objetos presentes no ambiente

1.5.9.2. Preocupação adicional com a sobreposição de canais. Preferencia utilizar 1, 6 e 11

1.5.10. Controle do nível do sinal

1.5.10.1. Reduzir a potência de transmissão para o mínimo necessário para cobrir toda a área necessária

1.5.10.2. Tenta evitar que pessoas fora das dependências da empresa/prédio tenham acesso a rede

1.5.11. Portais captivos

1.5.11.1. Prove controle de acesso a redes sem fio

1.5.11.2. Permite você autenticar ou aceitar alguns termos antes de ingressar em uma rede

1.5.11.3. Mantem o cliente cativo até que ele se autentique.

1.5.11.4. Comum em ambientes públicos ou em redes visitante

1.5.12. tipos de antenas

1.5.12.1. Dobra força a cada 3dB

1.5.12.2. Omnidirectional

1.5.12.2.1. Emite sinal em todas as direções, 360º

1.5.12.2.2. Boa escolha para maioria dos ambientes

1.5.12.2.3. Desvantagem: não possui habilidade de focar o sinal

1.5.12.2.4. Mais comum em ambientes internos

1.5.12.3. Directional

1.5.12.3.1. Emite o sinal em forma de cone em uma única direção, aproximadamente 65º

1.5.12.3.2. Normalmente utilizada para ambientes externos

1.5.12.3.3. Geralmente possui capacidade de alcançar maiores distâncias

1.5.12.3.4. Desvantagem: precisaria de aproximadamente 4 antenas para distribuir o sinal em 360º

1.5.12.3.5. Precisa de alinhamento para transmitir e receber dados

1.5.13. Estudo de Sites Site Survey

1.5.13.1. Busca entender como os sinais de uma rede sem fio irão se comportar/se comportam em um ambiente

1.5.13.2. Uma ótima forma de planejar como será a distribuição das antenas/APs no ambiente

1.5.13.3. Envolve muita análise e pesquisa do ambiente

1.5.13.4. Pode fazer uso de ferramentas de varredura ou analisadores de espectro especializados

1.5.13.5. Busca permitir melhor disponibilidade, escalabilidade, gerenciabilidade e interoperabilidade

1.5.13.6. Busca por pontos de interferência, como outras redes sem fio, microondas, telefones sem fio, etc

1.5.13.7. Ao final é gerado um relatório com informações relevantes para melhora/implantação da rede sem fio

1.5.13.8. Passivo: Sem conexão com os APs, monitora o sinal para determinar área de cobertura e inteferencias

1.5.13.9. Ativo: deve haver conexão entre o dispositivo analisador e o ponto de acesso AP

1.5.13.10. Predictive: Comum para redes sem fio que ainda serão implantadas, ou prédios que estão em construção. Baseado apenas em software, que faz uma previsão com base na planta, materiais utilizados, tamanho do ambiente, etc

1.5.13.11. SNR (Signal to Noise Ratio) medida de nível de interferência do sinal no ambiente.

1.5.14. VPN (sobre wifi aberta)

1.5.14.1. Método que pode ser usado para adicionar privacidade a comunicação quando realizado acesso através de WIFI abertas ou públicas

1.5.14.2. WiFi abertas ou públicas não possuem criptografia da comunicação, sendo portanto passível de captura por pessoas mal intencionadas

1.5.14.3. Mais info sobre vpn no item 1.1

2. 2 Compliance and Operational Security

2.1. 2.1 Explique a importância dos conceitos relacionados ao risco

2.1.1. Tipos de controle

2.1.1.1. Técnicos Executados por equipamentos computacionais

2.1.1.1.1. Controle de acesso

2.1.1.1.2. Auditoria e prestação de contas (account)

2.1.1.1.3. Identificação e Autenticação

2.1.1.1.4. Proteção do sistema e comunicações

2.1.1.2. Gerenciais Executados pela alta administração

2.1.1.2.1. Avaliação de segurança e autorização

2.1.1.2.2. Planejamento

2.1.1.2.3. Avaliação de risco

2.1.1.2.4. Aquisição de sistemas e serviços

2.1.1.2.5. Programa de gerenciamento

2.1.1.3. Operacionais Executados pelos funcionários

2.1.1.3.1. Treinamento e conscientização

2.1.1.3.2. Gerencia de configuração

2.1.1.3.3. Planejamento de continuidade

2.1.1.3.4. Resposta a incidente

2.1.1.3.5. Manutenção

2.1.1.3.6. Proteção de mídias

2.1.1.3.7. Proteção física e do ambiente

2.1.1.3.8. Segurança pessoal

2.1.1.3.9. Integridade dos sistemas e informações

2.1.2. Falso positivos/negativos

2.1.2.1. Falso positivo: Quando um sistema de segurança identifica um comportamento / comunicação / arquivo normal como nocivo

2.1.2.2. Falso positivo: positivo e falso positivo podem variar de acordo com o ambiente

2.1.2.3. Falso positivo: É gerado um alerta informando sobre um problema. Mas na realidade o problema não existe.

2.1.2.4. Falso negativo: Quando um sistema de segurança identifica um comportamento / comunicação / arquivo nocivo como normal

2.1.2.5. Falso negativo: Difícil identificar o que e como aconteceu, já que não há registros sobre isso

2.1.2.6. Existem testes realizados na indústria, por terceiros para medir a quantidade de falsos positivo/negativo gerados por sistemas de segurança IPS, antivitus, etc

2.1.3. Importância de políticas para redução de risco

2.1.3.1. Política de Privacidade

2.1.3.1.1. Preservar privacidade de clientes Internos/Externos e também de funcionários

2.1.3.1.2. Determina como o dado será utilizado

2.1.3.2. Uso aceitável

2.1.3.2.1. AUP - Acceptable Use Policy ou política de uso aceitável. Também conhecido como Termo de Uso

2.1.3.2.2. Estabelece regras de uso de um determinado elemento. Detalha o que é permitido.

2.1.3.3. Política de segurança

2.1.3.3.1. Documento ou conjunto de documento que dirigem como a empresa irá tratar as informações, dados, recursos computacionais, segurança das informações, recursos humanos, para o negócio, para certificados, para resposta a incidentes

2.1.3.3.2. Podem haver políticas mais abrangentes e políticas mais específicas

2.1.3.4. Férias obrigatórias

2.1.3.4.1. Pode se realizar auditoria para verificar existência ou não de fraudes cometidas pelo funcionário

2.1.3.5. Rotação de função/cargo/trabalho

2.1.3.5.1. Capacitar mais de uma pessoa para uma determinada função

2.1.3.5.2. Detecção de fraude

2.1.3.6. Separação de deveres

2.1.3.6.1. Um único usuário não pode ser responsável por tarefas próximas

2.1.3.6.2. Reduz risco de fraude

2.1.3.7. Menor privilégio

2.1.3.7.1. Acesso negado por padrão

2.1.3.7.2. O funcionário deve ter o mínimo de acesso aos recursos/dados/sistemas/informações  necessários para desempenhar sua função

2.1.3.7.3. A medida que novas surjam novas necessidades, as mesmas podem ser concedidas mediante aprovação

2.1.4. Cálculo de risco

2.1.4.1. Probabilidade

2.1.4.1.1. Possibilidade de um evento ocorrer

2.1.4.1.2. A frequência que um evento pode ocorrer

2.1.4.2. Impácto

2.1.4.2.1. Dano causado por um evento de risco

2.1.4.2.2. Se algo ocorrer, qual o dano para a empresa

2.1.4.3. ALE-Annualized Loss Expectancy Perda anual esperada

2.1.4.3.1. = ARO x SLE

2.1.4.4. SLE

2.1.4.4.1. Single Loss Expectancy Custo de uma única perda

2.1.4.4.2. Valor monetário referente a uma única perda causada por um evento

2.1.4.5. ARO

2.1.4.5.1. Annualized Rate of Occurrence Taxa de ocorrência anual

2.1.4.5.2. Quantas vezes no período de um ano um determinado risco pode ocorrer

2.1.4.6. MTTR

2.1.4.6.1. Mean Time to Restore/Repair Tempo médio para recuperação

2.1.4.6.2. Tempo médio necessário para reparar um sistema ou componente que apresentou falha

2.1.4.7. MTTF

2.1.4.7.1. Mean Time to Failure Tempo médio para falhar

2.1.4.7.2. Similar ao MTBF mas utilizado para casos onde não há possibilidade de recuperação

2.1.4.8. MTBF

2.1.4.8.1. Mean Time Between Failures Tempo médio entre falhas

2.1.4.8.2. Tempo aproximado de quando o componente apresentará problema, podendo assim prever e antecipar manutenções ou substituições

2.1.4.8.3. Determina o tempo de vida de um componente

2.1.5. Quantitativo vs Qualitativo

2.1.5.1. Nem todo bem de uma empresa é algo material

2.1.5.2. Quantitativo

2.1.5.2.1. Mais objetivo

2.1.5.2.2. Pode-se atribuir valor monetário facilmente para estimar o risco e perda

2.1.5.3. Qualitativo

2.1.5.3.1. Mais subjetivo

2.1.6. Vulnerabilidades

2.1.7. Vetores de ameaça

2.1.8. Probabilidade/possibilidade de ameaça

2.1.9. Evitar, transferir, aceitar, mitigar ou "desencorajar" o risco

2.1.10. Risco associados com virtualização e computação em núvel

2.1.11. RTO e RPO Tempo de recuperação após desastre Quantidade máxima de dados que pode ser perdida