Operação de segurança, MDM Flashcards

1
Q

Firewall - conceito

A

Dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada.

A partir dessa situação de concentração do tráfego é possível realizar a monitoração do tráfego, controle, autenticação, além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Firewall/DMZ

A

A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos usuários e serviços internos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Firewall/DMZ - Defesa em profundidade

A

2 firewalls
Cada firewall de fornecedores diferentes
Maior custo e trabalho, mas tem benefícios

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Dual-homed host

A

É formado por um elemento que atua como firewall e possui duas interfaces, sendo uma para a rede externa e uma para a rede interna.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Screened host

A

Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente. Especificamente customizado para acessos externos a serviços de forma segura

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Screened-subnet host

A

Tem-se o modelo específico de criação de uma subrede de segurança (DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces físicas distintas que isolam complemente as redes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

filtros

A

Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente.
É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Proxies

A

São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas perspectivas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Bastion hosts

A

É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de vulnerabilidades.

Conceito de Hardening

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

HoneyPot

A

Arapuca

É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição.
Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

NAT

A

Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado por essa rede.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

VPN

A

A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede.
Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Balanceadores de carga/Redundância

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Classificação de firewalls

A

firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual camada o firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das camadas inferiores.
Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”.

Firewall Bridge
Firewall -filtro de Pacotes
Filtro de Pacotes baseado em estados
Proxies
Proxy reverso
WAF
UTM

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Firewall Bridge

A

Esse tipo de firewall atua na camada de enlace do modelo OSI
não possui endereço IP
Limitado em relação ao que consegue filtrar
Não possui visibilidade externa

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Firewall – Filtro de Pacotes

A

-Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte
-Este é o tipo mais primitivo de implementação de firewalls
-Firewall estático, stateless
-A sua capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de origem e destino
-Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o fluxo de entrada e saída da rede.

17
Q

Filtros de Pacotes Baseados em Estados

A
  • Atua na camada de transporte
    -Também conhecidos como filtro de pacotes dinâmicos ou Statefull (filtro de estados)
    -Esse tipo de firewall não se restringe à análise
    dos cabeçalhos conforme vimos anteriormente
    -é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall
    -é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme evolução da comunicação.
    -o firewall statefull utiliza um conceito baseado em contextos que permite a criação de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP
18
Q

SIEM

A
19
Q

proxy

A
  • Atuação na camada de aplicação
  • Estes possuem a capacidade de atuar a nível da camada de aplicação
  • Camada de autenticação e segurança
  • Não verifica o conteúdo de pacotes
  • Proxy do linux : SQUID
  • CApaz de analisar as informações do cabeçalho
  • cache de páginas estáticas
20
Q

proxies - DPI

A
  • Deep package inspection
  • camada de aplicação
  • Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos pacotes trafegados
21
Q

questão

A
22
Q

proxy reverso

A
  • Temos recursos de proteção
  • balanceamento e distribuição de requisições e
  • armazenamento em cache das informações estáticas.

Dessa forma, quando há uma requisição a um objeto estático, o proxy reverso é capaz de responder diretamente à requisição.

23
Q

Web Application Firewall - WAF

A

-Esse tipo de firewall foi criado especificamente para proteger aplicações WEB (na perspectiva do servidor que oferece o serviço) de ataques sofisticados na camada de aplicação. Logo, também atua na camada 7 do modelo OSI.

-Muitas arquiteturas trabalham com esse tipo de firewall em conjunto com outros firewalls mais robustos que possuem grande poder de processamento na camada de rede e transporte.

-Possuem como característica o controle dos tráfegos de entrada e saída, bem como os acessos aos serviços da aplicação. Desse modo, pensando em uma arquitetura, é razoável assumirmos que os WAF’s devem ficar posicionados em frente ao servidor de aplicação. Percebam essa diferença.

24
Q

Web Application Firewall - WAF (Escopo de atuação)

A

Ele não protegerá toda a rede. Ele não protegerá os usuários internos. Ele protegerá o servidor de aplicação. Funcionará como uma espécie de Proxy Reverso, mas conceitualmente, são diferentes.

25
Q

Unified Threat Management (UTM)

A

É conhecido como uma solução capaz de incorporar as diversas tecnologias e soluções em um único equipamento
ou appliance.

Quando falamos de um UTM, estamos falando dos elementos de segurança que já vimos, acrescidos ainda de recursos de antivírus, antimalwares, segurança para redes sem fio, segurança para acesso remoto (VPN), com capacidade de apuração de altíssimo grau de precisão e diagnósticos/relatórios com uma robustez muito grande de informações.

26
Q

whitelist e blacklist

A

white list —> Não libera quem não conhece
blacklist. —->. Libera quem não conhece

27
Q
A