Network Security

Prévia do material em texto

Introdução – Modulo 1
Primeira Vez neste Curso
Bem-vindo ao curso Segurança de Rede. Este curso fornece uma introdução aos principais conceitos de segurança e habilidades necessárias para a instalação, solução de problemas e monitoramento de dispositivos de rede para manter a integridade, confidencialidade e disponibilidade dos dados corporativos.
Os materiais do curso ajudarão você a desenvolver as habilidades necessárias para:
· Descrever as ameaças de segurança que enfrentam infraestruturas de rede modernas.
· Dispositivos Cisco seguros.
· Proteger a infraestrutura de rede.
· Implementar o AAA nos roteadores Cisco usando um base de dados de roteador local e servidores AAA externos.
· Mitigar ameaças aos roteadores e redes Cisco usando listas de controle de acesso (ACLs).
· Implementar o projeto, o gerenciamento e a geração de relatórios de rede seguros.
· Implementar o conjunto de recursos do Firewall do Cisco IOS.
· Mitigar ataques comuns de camada 2.
· Implementar uma VPN local a site.
· Implementar uma VPN de acesso remoto.
1.0.2
Recursos dos alunos
Existem muitas ferramentas e recursos disponíveis que o ajudarão em sua jornada, à medida que você desenvolve suas habilidades de segurança de rede e se prepara para oportunidades de trabalho.
Packet Tracer
O Packet Tracer simula o funcionamento interno de uma rede e é usado neste curso. Baixe e instale a versão mais recente do Packet Tracer aqui: Packet Tracer Resources.
Se você é novo no Packet Tracer, faça este curso gratuito, curto e online agora: Introdução ao Packet Tracer Course.
Você pode usar seu smartphone, tablet ou desktop para acessar seu curso, entretanto, as atividades do Packet Tracer, bem como algumas outras atividades, questionários e exames, são mais bem experimentadas usando um PC.
Participe de Nossas Comunidades
Conecte-se e obtenha ajuda de outros alunos da Networking Academy de todo o mundo com nossa página do Facebook da Cisco Networking Academy.Você pode usar seu smartphone, tablet ou desktop para acessar seu curso;
Faça contato com seus colegas em nossa página Cisco Networking Academy LinkedIn.
Ganhe um emprego!
Acesse Recursos de carreira adaptado especificamente para ajudar os alunos da NetAcad a ter sucesso no local de trabalho.
Encontre grandes oportunidades de emprego com parceiros Cisco e Cisco. Registre-se agora na Talent Bridge.
Obter a certificação do setor é uma garantia para os empregadores de que você possui as habilidades técnicas para fazer o trabalho. Confira nossa página Certificações e Vouchers.
Mais cursos
Escolha um curso, pratique o que você sabe e torne-se um profissional de TI. Confira nosso Catálogo de Cursos.
1.0.3
Declaração de hackers éticos
O programa Cisco Networking Academy está focado na criação dos solucionadores de problemas globais necessários para criar, dimensionar, proteger e defender as redes que são usadas em nossos negócios e na vida diária. A necessidade de especialistas em segurança cibernética bem treinados continua a crescer a uma taxa exponencial. O treinamento para se tornar um especialista em segurança de rede requer conhecimento profundo e exposição de como os ataques de rede ocorrem, bem como como eles são detectados e evitados. Essas habilidades também incluirão, naturalmente, o aprendizado das técnicas que os atores ameaçam usam para comprometer dados, privacidade e segurança de computadores e redes.
O acesso não autorizado a dados, computadores e sistemas de rede é um crime em muitas jurisdições e geralmente é acompanhado por graves consequências, independentemente das motivações do agressor. É responsabilidade do aluno, como usuário deste material, conhecer e cumprir as leis de uso do computador.
1.0.4
Língua Inclusiva
Nosso objetivo é impulsionar um futuro inclusivo para todos. Com o nosso propósito no centro de tudo o que fazemos, você pode contar com a Cisco para ser ousada, corajosa e deliberada sobre nosso papel e as ações que tomaremos em apoio à justiça social.
Estamos orgulhosos de nos juntar à comunidade tecnológica na evolução da linguagem que usamos. Repensar as palavras que usamos é apenas uma das maneiras de reduzir barreiras à equidade e respeito. Por uma questão de política, o conteúdo da Cisco Networking Academy deve estar livre de linguagem, gráficos e cenários ofensivos ou sugestivos. Estamos mudando os termos, como mencionado abaixo, para alternativas mais apropriadas.
	Termo/Frase
	Substituição
	master-slave
	primário/secundário OU
primário/subordinado OU
controle/dados (para agrupamento)
	lista branca/lista negra
	permissão (lista) /bloqueio (lista) OU
allow (list) /block (lista)
Você ainda pode ver termos da indústria como “black hat” (chapéu preto) no currículo do curso. Nossa equipe também está trabalhando para modificar esses termos.
Por que devo fazer este módulo?
As redes estão sob ataque! Neste módulo, você aprenderá sobre o estado atual do cenário de segurança de rede e também aprenderá sobre os diferentes tipos de redes que exigem proteção.
1.0.8
O que vou aprender neste módulo?
Título do módulo: Protegendo redes
Objetivo do Módulo: Explicar a segurança da rede
	Título do Tópico
	Objetivo do Tópico
	Situação Atual
	Descreva o cenário de segurança de rede atual.
	Visão geral da proteção de topologia de rede
	Descreva como todos os tipos de redes precisam ser protegidos.
Situação Atual
As redes são alvos
As redes estão sob ataque rotineiramente. É comum ler as notícias sobre outra rede que foi comprometida. Uma rápida pesquisa na Internet para ataques de rede retornará muitos artigos sobre ataques de rede, incluindo notícias sobre organizações que foram comprometidas, as mais recentes ameaças à segurança de rede, ferramentas para mitigar ataques e muito mais.
Para ajudá-lo a compreender a gravidade da situação, Kapersky mantém a exibição interativa do Mapa em Tempo Real de Ameaças Cibernéticas dos atuais ataques de rede. Os dados de ataque são enviados a partir de produtos de segurança de rede Kapersky que são implantados em todo o mundo. A figura exibe uma captura de tela de amostra desta ferramenta web, que mostra esses ataques em tempo real. Muitas ferramentas semelhantes estão disponíveis na internet e podem ser encontradas pesquisando mapas de ameaças cibernéticas.
Razões para a segurança da rede
A segurança de rede se relaciona diretamente com a continuidade de negócios de uma organização. As violações de segurança de rede podem interromper o comércio eletrônico, causar a perda de dados comerciais, ameaçar a privacidade das pessoas e comprometer a integridade das informações. Essas violações podem resultar em perda de receita para empresas, roubo de propriedade intelectual, ações judiciais e até ameaçar a segurança pública.
Manter uma rede segura garante a segurança dos usuários da rede e protege os interesses comerciais. Manter uma rede segura requer vigilância por parte dos profissionais de segurança de rede de uma organização. Eles devem estar constantemente cientes de novas e em evolução ameaças e ataques a redes e vulnerabilidades de dispositivos e aplicativos.
Muitas ferramentas estão disponíveis para ajudar os administradores de rede a adaptar, desenvolver e implementar técnicas de mitigação de ameaças. Por exemplo, o site do Cisco Talos Intelligence Group, mostrado na figura, fornece inteligência abrangente de segurança e ameaça para defender clientes e proteger seus ativos.
Outro grupo, chamado de Cisco Product Security Incident Response Team (PSIRT), é responsável por investigar e mitigar vulnerabilidades potenciais em produtos Cisco. A figura indica uma página dos avisos de segurança Cisco da amostra que lista estas vulnerabilidades em tempo real e forneça aos administradores de rede a informação para ajudar a mitigar-las.
Vetores de ataques de rede
Um vetor de ataque é um caminho pelo qual um atacante poder obter acesso a um servidor, equipamento ou rede. Os vetores de ataque são originários de dentro ou de fora da rede corporativa, conforme mostrado na figura. Por exemplo, os atacantes podem direcionaruma rede pela Internet, para interromper as operações da rede e criar um ataque de negação de serviço (DoS).
A figura mostra uma rede com um servidor e vários hosts atrás de um firewall; um host na rede foi comprometido; setas mostram que pode ter sido uma ameaça externa da Internet através do firewall ou uma ameaça interna de outro host na rede
Ameaças internas e externas
Nota: Um ataque de DoS ocorre quando um dispositivo ou aplicativo de rede está incapacitado e não é mais capaz de suportar solicitações de usuários legítimos.
Um usuário interno, como um funcionário, pode acidentalmente ou intencionalmente:
· Roubar e copiar dados confidenciais para mídia removível, email, software de mensagens e outras mídias.
· Comprometer servidores internos ou dispositivos de infraestrutura de rede.
· Desconectar uma conexão de rede crítica e cause uma interrupção na rede.
· Conectar uma unidade USB infectada a um sistema de computador corporativo.
Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os usuários internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os funcionários normalmente têm conhecimento da rede corporativa, seus recursos e seus dados confidenciais.
Os profissionais de segurança de rede devem implementar ferramentas e aplicar técnicas para mitigar ameaças externas e internas.
Perda de dados
É provável que os dados sejam o ativo mais valioso de uma organização. Os dados organizacionais podem incluir dados de pesquisa e desenvolvimento, dados de vendas, dados financeiros, recursos humanos e dados legais, dados de funcionários, dados de contratados e dados de clientes.
Perda de dados, ou exfiltração de dados, ocorre quando os dados são intencionalmente ou não perdidos, roubados ou vazados para o mundo exterior. A perda de dados pode resultar em:
· Danos à marca e perda de reputação
· Perda da vantagem competitiva
· Perda de clientes
· Perda de receita
· Litígio / ação legal que resulta em multas e penalidades civis
· Custo e esforço significativos para notificar as partes afetadas e se recuperar da violação
Os profissionais de segurança de rede devem proteger os dados da organização. Vários controles de prevenção contra perda de dados (DLP) devem ser implementados, combinando medidas estratégicas, operacionais e táticas.
Os vetores comuns de perda de dados são exibidos na tabela.
	Termo
	Definição
	E-mail/Redes sociais
	O vetor mais comum para a perda de dados inclui o software de sistema de mensagens instantâneas e sites de mídia social. Por exemplo, e-mail ou mensagens instantâneas interceptadas podem ser capturados e revelam informações confidenciais.
	Dispositivos não criptografados
	Um laptop corporativo roubado normalmente contém dados organizacionais confidenciais. Se os dados não forem armazenados usando um algoritmo de criptografia, o ladrão poderá recuperar dados confidenciais valiosos.
	Dispositivos de Armazenamento em nuvem
	Salvar dados na nuvem tem muitos benefícios potenciais. Dados confidenciais podem ser perdidos se o acesso à nuvem for comprometido devido a configurações de segurança fracas.
	Mídia removível
	Um risco é que um funcionário possa realizar uma transferência não autorizada de dados para uma unidade USB. Outro risco é a perda de uma unidade USB contendo dados corporativos valiosos.
	Cópia Impressa
	Os dados corporativos devem ser descartados completamente. Os dados confidenciais devem ser fragmentados quando não forem mais necessários. Caso contrário, um ladrão pode recuperar relatórios descartados e obter informações valiosas.
	Controle de acesso inadequado
	Senhas são a primeira linha de defesa Senhas ou senhas fracas que foram comprometidas podem fornecer a um agente de ameaças acesso fácil aos dados corporativos.
Visão geral da topologia de rede
Rede local do campus
As redes são alvos. No entanto, o foco principal deste curso é proteger as Redes de Área do Campus (CANs). As redes de área do campus consistem em LANs interconectadas dentro de uma área geográfica limitada.
Os profissionais da rede devem implementar várias técnicas de segurança de rede para proteger os ativos da organização contra ameaças externas e internas. As conexões com redes não confiáveis devem ser verificadas em profundidade por várias camadas de defesa antes de alcançar recursos corporativos. Isso é conhecido como defesa em profundidade.
A figura exibe uma CAN de amostra com uma abordagem aprofundada de defesa que usa vários recursos de segurança e dispositivos de segurança para protegê-lo. A tabela fornece uma explicação dos elementos do design de defesa em profundidade que são mostrados na figura.
	Termo
	Definição
	VPN
	O Cisco ISR está protegido. Ele protege os dados em movimento que estão fluindo da CAN para o mundo exterior, estabelecendo Redes Privadas Virtuais (VPNs). As VPNs garantem a confidencialidade e a integridade dos dados de fontes autenticadas.
	Firewall ASA
	Um Firewall Adaptive Security Appliance (ASA) de Cisco executa a filtragem de pacotes stateful para filtrar o tráfego de retorno da rede externa na rede do campus.
	IPS
	Um dispositivo do Cisco Intrusion Prevention System (IPS) monitora continuamente o tráfego de rede entrante e de saída para a atividade maliciosa. Ele registra informações sobre a atividade e tenta bloqueá-la e relatar.
	Switches de camada 3
	Esses switches da camada de distribuição são protegidos e fornecem conexões seguras de tronco redundante para os switches da Camada 2. Vários recursos de segurança diferentes podem ser implementados, como ACLs, DHCP snooping, Dynamic ARP Inspection (DAI) e IP source guard.
	Switches da Camada 2
	Esses switches de camada de acesso são protegidos e conectam portas voltadas para o usuário à rede. Vários recursos de segurança diferentes podem ser implementados, como segurança de porta, DHCP snooping e autenticação de usuário 802.1X.
	ESA/WSA
	Uma ferramenta de segurança do email de Cisco (ESA) e uma ferramenta de segurança da Web (WSA) fornecem a defesa avançada da ameaça, a visibilidade e o controle do aplicativo, relatórios, e a mobilidade segura para fixar e controlar o tráfego do email e da Web.
	Servidor AAA
	Um servidor de autenticação, autorização e contabilidade (AAA) autentica usuários, autoriza o que eles têm permissão para fazer e rastreia o que estão fazendo.
	Hosts
	Os pontos finais são protegidos usando vários recursos, incluindo software antivírus e antimalware, recursos do Host Intrusion Protection System e recursos de autenticação 802.1X.
1.2.2
Redes para pequenos escritórios e escritórios domésticos
É importante que todos os tipos de redes, independentemente do tamanho, estejam protegidos. Os atacantes também estão interessados em redes domésticas e pequenas redes de escritórios e escritórios domésticos (SOHO). Eles podem querer usar a conexão de internet de alguém gratuitamente, usar a conexão com a internet para atividades ilegais ou visualizar transações financeiras, como compras on-line.
As redes domésticas e SOHO geralmente são protegidas usando um roteador de nível de consumo. Esses roteadores fornecem recursos básicos de segurança que protegem adequadamente ativos internos contra invasores externos.
A figura exibe um SOHO de exemplo que usa um roteador sem fio de nível consumidor para protegê-lo. Um roteador sem fio de nível consumidor fornece recursos integrados de firewall e conexões sem fio seguras. O Switch de Camada 2 é um switch de camada de acesso que é endurecido com várias medidas de segurança. Ele conecta portas voltadas para o usuário que usam segurança de porta à rede SOHO. Os hosts sem fio conectam-se à rede sem fio usando a tecnologia de criptografia de dados Wireless Protected Access 2 (WPA2). Os anfitriões normalmente têm software antivírus e antimalware instalado. Combinadas, essas medidas de segurança fornecem defesa abrangente em diferentes camadas da rede.
A figura mostra uma topologia de escritório doméstico pequeno e maneiras de protegê-la.
Redes de Longa Distância
Wide Area Networks(WANs), como mostrado na figura, abrangem uma ampla área geográfica, muitas vezes através da internet pública. As organizações devem garantir o transporte seguro para os dados em movimento à medida que viajam entre sites através da rede pública.
Os profissionais de segurança de rede devem usar dispositivos seguros na borda das redes. Na figura, o site principal é protegido por um ASA, que forneça recursos de firewall stateful e estabeleça túneis VPN seguros aos vários destinos.
A figura mostra uma Wide Area Network e maneiras de protegê-la.
A figura mostra um site de filial, um site regional, um site SOHO e um trabalhador móvel. Um site de filial se conecta ao site principal corporativo usando um ISR endurecido. O ISR pode estabelecer uma conexão VPN sempre permanente ao Firewall ASA do local principal. Um site regional é maior do que um local de filial e conecta ao site principal corporativo usando um ASA. O ASA pode estabelecer uma conexão VPN permanente sempre-na ao local principal ASA. Um site SOHO é um pequeno galho que se conecta ao site principal corporativo usando um roteador sem fio Cisco. O roteador Wireless pode estabelecer uma conexão VPN permanente sempre no local principal ASA. Alternativamente, os usuários internos de SOHO poderiam usar o cliente VPN Cisco AnyConnect para estabelecer uma conexão VPN segura ao site principal ASA. Um trabalhador móvel é um teletrabalhador que possa usar o cliente VPN Cisco AnyConnect para estabelecer uma conexão VPN segura ao local principal ASA de todo o lugar.
1.2.4
Redes de data center
As redes de data center são normalmente alojadas em uma instalação externa para armazenar dados confidenciais ou proprietários. Estes locais são conectados aos locais corporativos usando a tecnologia VPN com dispositivos ASA e interruptores integrados do centro de dados, tais como interruptores de alta velocidade do nexo de Cisco.
Os data centers atuais armazenam grandes quantidades de informações confidenciais e críticas para os negócios. Portanto, a segurança física é fundamental para sua operação. A segurança física não só protege o acesso às instalações, como também protege as pessoas e equipamentos. Por exemplo, alarmes de incêndio, sprinklers, racks de servidor reforçados contra atividades sísmicas e aquecimento redundante, ventilação e ar-condicionado (HVAC), bem como os sistemas de no-break são implantados para proteger as pessoas e equipamentos.
Conforme destacado na figura, a segurança física do data center pode ser dividida em duas áreas:
· Segurança fora do perímetro - Pode incluir seguranças no local, cercas, portões, vigilância contínua por vídeo e alarmes de violação de segurança.
· Segurança dentro do perímetro - Pode incluir vigilância contínua por vídeo, detectores eletrônicos de movimento, traps de segurança e sensores biométricos de acesso e de saída.
Segurança física do Data Center
Os traps de segurança fornecem acesso aos data halls em que os dados do data center são armazenados. Como mostrado na figura 2, os traps de segurança são semelhantes a um bloqueio de ar. Uma pessoa deve primeiro entrar no trap de segurança, usando seu cartão de proximidade de ID de crachá. Depois que a pessoa entrou no trap de segurança, o reconhecimento facial, impressões digitais ou outras verificações de biometria são usados para abrir a segunda porta. O usuário deve repetir o processo para sair do data hall.
A figura mostra um centro de dados com o telhado removido para exibir o layout do edifício. O recurso de segurança está destacado.
Traps de segurança
Traps de segurança
A figura abaixo indica o varredor biométrico da impressão digital que é usado para proteger o acesso ao data center de Cisco Allen, em Allen, Texas.
acesso biométrico
1.2.5
Nuvem e virtualização
A nuvem está desempenhando um papel cada vez maior nas redes corporativas. A computação em nuvem permite que as organizações usem serviços como armazenamento de dados ou aplicativos baseados em nuvem, para estender sua capacidade ou recursos sem adicionar infraestrutura. Por sua própria natureza, a nuvem está fora do perímetro de rede tradicional, permitindo que uma organização tenha um data center que pode ou não residir atrás do firewall tradicional.
Os termos “computação em nuvem” e “virtualização” normalmente podem ser usados de forma intercambiável, no entanto, podem ter significados diferentes. A virtualização é a base da computação em nuvem. Sem ela, a computação em nuvem, como é mais implantada, não seria possível. A computação em nuvem separa o aplicativo do hardware. A virtualização separa o sistema operacional do hardware.
A rede de nuvem consiste em servidores físicos e virtuais que são normalmente alojados em data centers. No entanto, os data centers estão cada vez mais usando máquinas virtuais (VM) para fornecer serviços de servidor aos seus clientes. A virtualização de servidores aproveita recursos ociosos e consolida o número de servidores necessários. Isso também permite que vários sistemas operacionais existam em uma única plataforma de hardware. No entanto, as VMs também são propensas a ataques direcionados específicos, conforme listado abaixo.
· Hiperjacking - Um invasor pode seqüestrar um hipervisor VM (software de controle de VM) e usá-lo como um ponto de lançamento para atacar outros dispositivos na rede do data center.
· Ativação instantânea - Quando uma VM que não foi usada por um período de tempo é colocada on-line, ela pode ter políticas de segurança desatualizadas que se desviam da segurança da linha de base e podem introduzir vulnerabilidades de segurança.
· Tempestades de antivírus - Isso acontece quando todas as VMs tentam baixar arquivos de dados antivírus ao mesmo tempo.
Para as equipes de segurança, uma estratégia fácil de implementar, mas abrangente, que atende às demandas de negócios e defende o data center é uma necessidade. A Cisco desenvolveu a solução Secure Data Center para operar neste cenário imprevisível de ameaças. A solução Cisco Secure Data Center bloqueia ameaças internas e externas na borda do data center.
Os componentes principais da solução Cisco Secure Data Center fornecem os seguintes serviços:
· Segmentação Segura -Os dispositivos ASA e um gateway de segurança virtual integrado aos switches Cisco Nexus Series são implantados em uma rede de data center para fornecer segmentação segura. Isso fornece segurança granular entre máquinas virtuais.
· Defesa contra ameaças - Os dispositivos ASAs e IPS em redes de data center usam inteligência contra ameaças, impressão digital passiva do SO e análise contextual e de reputação para fornecer defesa contra ameaças.
· Visibilidade - As soluções da visibilidade são fornecidas usando o software tal como o gerente de segurança de Cisco que ajudam a simplificar as operações e o relatório da conformidade.
1.2.6
A fronteira da rede em evolução
No passado, funcionários e recursos de dados permaneceram dentro de um perímetro predefinido que era protegido pela tecnologia de firewall. Normalmente, os funcionários usavam computadores disponibilizados pela empresa conectados a uma LAN corporativa que eram continuamente monitorados e atualizados para atender aos requisitos de segurança.
Hoje, dispositivos móveis como iPhones, smartphones, tablets e milhares de outros estão se tornando substitutos poderosos (ou adições) ao computador tradicional. Mais e mais pessoas estão usando esses dispositivos para acessar informações empresariais. Esta tendência é conhecida como Traga seu próprio dispositivo (BYOD - Bring Your Own Device).
Para acomodar a tendência BYOD, Cisco desenvolveu a rede sem fronteiras. Em uma rede sem bordas, o acesso aos recursos pode ser iniciado por usuários de muitos locais, em muitos tipos de dispositivos de endpoint, usando vários métodos de conectividade.
Para apoiar esta borda de rede nebulosa, os dispositivos Cisco apoiam características do Mobile Device Management (MDM). O MDM oferece segurança, monitora e gerencia dispositivos móveis, incluindo dispositivos corporativos e dispositivos de propriedadedos funcionários. Os dispositivos gerenciados e compatíveis com MDM incluem não apenas dispositivos portáteis, como smartphones e tablets, mas também dispositivos portáteis e computadores de mesa.
Resumo de Redes de Protegendo
O que aprendi neste módulo?
Situação Atual
A segurança da rede está diretamente relacionada à continuidade dos negócios de uma organização. As violações de segurança de rede podem interromper o comércio eletrônico, causar a perda de dados comerciais, ameaçar a privacidade das pessoas e comprometer a integridade das informações. Essas violações podem resultar em perda de receita para empresas, roubo de propriedade intelectual, ações judiciais e até ameaçar a segurança pública. Muitas ferramentas estão disponíveis para ajudar os administradores de rede a adaptar, desenvolver e implementar técnicas de mitigação de ameaças, incluindo o Cisco Talos Intelligence Group. Um vetor de ataque é um caminho pelo qual um atacante poder obter acesso a um servidor, equipamento ou rede. Os vetores de ataque são originários de dentro ou de fora da rede corporativa. É provável que os dados sejam o ativo mais valioso de uma organização. Vários controles de prevenção contra perda de dados (DLP) devem ser implementados, combinando medidas estratégicas, operacionais e táticas. Os vetores comuns de perda de dados incluem e-mail e redes sociais, dispositivos de dados não criptografados, dispositivos de armazenamento em nuvem, mídia removível, cópia impressa e controle de acesso inadequado.
Visão geral da topologia de rede
Existem muitos tipos de redes. As redes de área do campus consistem em LANs interconectadas dentro de uma área geográfica limitada. Os elementos do projeto defesa-em-profundidade incluem VPN, Firewall ASA, IPS, Switches da camada 3, Switches da camada 2, ESA/WSA, servidor AAA, e anfitriões. As redes SOHO geralmente são protegidas usando roteadores de nível de consumo que fornecem recursos integrados de firewall e conexões sem fio seguras. Os hosts sem fio se conectam à rede sem fio usando a tecnologia de criptografia de dados WPA2. WANs abrangem uma ampla área geográfica. Os profissionais de segurança de rede devem usar dispositivos seguros na borda da rede. As redes de data center são normalmente alojadas em uma instalação externa para armazenar dados confidenciais ou proprietários. A segurança física do data center consiste na segurança fora do perímetro e na segurança dentro do perímetro. Os traps de segurança exigem que uma pessoa use seu ID de crachá para entrar na primeira área. Depois que a pessoa entrou no trap de segurança, o reconhecimento facial, impressões digitais ou outras verificações de biometria são usados para abrir a segunda porta. Acomputação em nuvempermite que as organizações usem serviços como armazenamento de dados ou aplicativos baseados em nuvem , para estender sua capacidade ou capacidades sem adicionar infra-estrutura . A rede de nuvem real consiste em servidores físicos e virtuais que são normalmente alojados em data centers. No entanto, os data centers estão cada vez mais usando VMs para fornecer serviços de servidor aos seus clientes. As VMs também são propensas a ataques direcionados específicos, incluindo hiperjacking, ativação instantânea e tempestades antivírus. A solução Cisco Secure Data Centerbloqueia ameaças internas e externas na borda do data center . Os componentes principais da solução Cisco Secure Data Center fornecem segmentação segura, defesa contra ameaças e visibilidade. Mais e mais pessoas estão usando esses dispositivos para acessar informações empresariais. Esta tendência é conhecida como BYOD. Para acomodar a tendência BYOD, Cisco desenvolveu a rede sem fronteiras. Em uma rede sem bordas, o acesso aos recursos pode ser iniciado por usuários de muitos locais, em muitos tipos de dispositivos de endpoint, usando vários métodos de conectividade. Para apoiar esta borda de rede turva, os dispositivos Cisco apoiam características MDM.
Introdução – Modulo 2
Por que devo fazer este módulo?
Quem está atacando nossa rede e por quê? Neste módulo, você aprenderá sobre os vários atores de ameaça. Você também aprenderá sobre as técnicas e ferramentas usadas por esses “hackers”. Continue lendo para saber mais!
2.0.2
O que vou aprender neste módulo?
Título do módulo: Ameaças à Rede
Objetivo do módulo: Explicar os vários tipos de ameaças e ataques.
	Título do Tópico
	Objetivo do Tópico
	Quem está atacando nossa rede?
	Explicar como as ameaças à rede evoluíram.
	Ferramentas do agente da ameaça
	Descrever os vários tipos de ferramentas de ataque usadas pelos agentes de ameaças.
	Malware
	Descrever os tipos de malware.
	Ataques de rede comuns - reconhecimento, acesso e engenharia social
	Explicar ataques de rede de reconhecimento, acesso e engenharia social.
	Ataques de rede - negação de serviço, estouros de buffer e evasão
	Explicar os ataques de negação de serviço, estouro de buffer e evasão.
Quem está atacando nossa rede?
Ameaça, vulnerabilidade e risco
Estamos sob ataque e os atacantes querem acesso aos nossos bens. Os ativos são tudo de valor para uma organização, como dados e outras propriedades intelectuais, servidores, computadores, smartphones, tablets e muito mais.
Para entender melhor qualquer discussão sobre segurança de rede, é importante conhecer os seguintes termos:
	Termo
	Explicação
	Ameaça
	Um perigo potencial para um ativo, como dados ou a própria rede.
	Vulnerabilidade
	Uma fraqueza em um sistema ou em seu design que pode ser explorada por uma ameaça.
	Superfície de ataque
	Uma superfície de ataque é a soma total das vulnerabilidades em um determinado sistema que são acessíveis a um invasor. A superfície de ataque descreve diferentes pontos em que um invasor pode entrar em um sistema e onde ele pode obter dados do sistema. Por exemplo, o sistema operacional e o navegador da Web podem precisar de patches de segurança. Cada um deles é vulnerável a ataques e está exposto na rede ou na internet. Juntos, eles criam uma superfície de ataque que o ator ameaça pode explorar.
	Exploit
	O mecanismo que é usado para alavancar uma vulnerabilidade para comprometer um ativo. As explorações podem ser remotas ou locais. Uma exploração remota é aquela que funciona através da rede sem qualquer acesso prévio ao sistema de destino. O invasor não precisa de uma conta no sistema final para explorar a vulnerabilidade. Em uma exploração local, o ator de ameaça tem algum tipo de acesso administrativo ou de usuário ao sistema final. Uma exploração local não significa necessariamente que o invasor tenha acesso físico ao sistema final.
	Risco
	A probabilidade de uma determinada ameaça explorar uma vulnerabilidade específica de um ativo e resultar em uma consequência indesejável.
A gestão de riscos é o processo que equilibra os custos operacionais de provisão de medidas de proteção com os ganhos obtidos através da proteção do ativo. Existem quatro maneiras comuns de gerenciar o risco, como mostrado na tabela:
	Estratégia de gestão de riscos
	Explicação
	Aceitação de riscos
	Isso ocorre quando o custo das opções de gerenciamento de risco supera o custo do próprio risco. O risco é aceito, e nenhuma ação é tomada.
	Prevenção de riscos
	Isto significa evitar qualquer exposição ao risco eliminando a atividade ou dispositivo que apresenta o risco. Ao eliminar uma atividade para evitar riscos, todos os benefícios possíveis da atividade também são perdidos.
	Redução de risco
	Isto reduz a exposição ao risco ou reduz o impacto do risco, tomando medidas para diminuir o risco. É a estratégia de mitigação de riscos mais utilizada. Essa estratégia requer uma avaliação cuidadosa dos custos de perda, da estratégia de mitigação e dos benefícios obtidos com a operação ou atividade que está em risco.
	Transferência de risco
	Parte ou todo o risco é transferido para um terceiro disposto, como uma companhia de seguros.
Outros termos de segurança de rede comumente usados incluem:
· Contramedida — As ações que são tomadas para proteger ativos, atenuandouma ameaça ou reduzindo o risco.
· Impacto - O dano potencial à organização causado pela ameaça.
Observação: uma exploração local requer acesso interno à rede, como um usuário com uma conta na rede. Uma exploração remota não requer uma conta na rede para explorar a vulnerabilidade dessa rede.
2.1.2
Hacker vs. Ameaças
Como sabemos, “hacker” é um termo comum usado para descrever um ator de ameaça. No entanto, o termo “hacker” tem uma variedade de significados, como se segue:
· Um programador inteligente capaz de desenvolver novos programas e codificar alterações em programas existentes para torná-los mais eficientes.
· Um profissional de rede que usa habilidades sofisticadas de programação para garantir que as redes não sejam vulneráveis a ataques.
· Uma pessoa que tenta obter acesso não autorizado a dispositivos na internet.
· Um indivíduo que executa programas para impedir ou retardar o acesso à rede a um grande número de usuários, ou corromper ou eliminar dados em servidores.
Bom ou ruim, hacking é um aspecto importante da segurança da rede. Neste curso, o termo ator de ameaça é usado quando se refere a indivíduos ou grupos que podem ser classificados como hackers grey ou black hat.
2.1.3
Evolução dos atores de ameaças
A atividade de hacker começou nos anos 1960 com o freaking (ou phreaking) telefônico, que se refere ao uso de várias frequências de áudio para manipular sistemas telefônicos. Naquela época, as centrais telefônicas usavam vários tons, ou discagem por tom, para indicar funções diferentes. Os primeiros agentes de ameaça perceberam que, imitando um tom usando um apito, eles poderiam explorar os comutadores telefônicos para fazer chamadas gratuitas de longa distância.
Em meados da década de 1980, conexões discadas e modems foram usados para conectar computadores a redes. Atores de ameaças escreveram programas de “discagem de guerra” que discavam cada número de telefone em uma determinada área em busca de computadores, sistemas de boletins e aparelhos de fax. Quando um número de telefone era encontrado, programas de quebra de senha eram usados para obter acesso. Desde então, os perfis e motivos gerais dos agentes de ameaças mudaram um pouco.
Cybercriminals
Os cibercriminosos são atores de ameaça que estão motivados a ganhar dinheiro usando todos os meios necessários. Embora às vezes os cibercriminosos trabalhem de forma independente, eles são mais frequentemente financiados e patrocinados por organizações criminosas. Estima-se que, globalmente, os cibercriminosos roubam bilhões de dólares de consumidores e empresas todos os anos.
Os cibercriminosos operam em no submundo onde compram, vendem e comercializam explorações e ferramentas. Eles também compram e vendem as informações pessoais e propriedade intelectual que roubam das vítimas. Os cibercriminosos visam pequenas empresas e consumidores, bem como grandes empresas e setores.
2.1.5
Tarefas de cibersegurança
Atores de ameaça não discriminam. Eles têm como alvo os dispositivos finais vulneráveis de usuários domésticos e empresas de pequeno a médio porte, bem como grandes organizações públicas e privadas.
Para tornar a Internet e as redes mais protegidas e mais seguras, todos temos de desenvolver uma boa consciência da segurança cibernética. A segurança cibernética é uma responsabilidade compartilhada que todos os usuários devem praticar. Por exemplo, devemos denunciar crimes cibernéticos às autoridades apropriadas, estar ciente de possíveis ameaças no e-mail e na Web e proteger informações importantes contra roubo.
As organizações devem agir e proteger seus ativos, usuários e clientes. Eles devem desenvolver e praticar tarefas de segurança cibernética, como as listadas na figura.
A figura mostra uma lista de verificação de segurança cibernética consistindo de confiável i t vender (verificado), software de segurança atualizado, testes de penetração regulares, backup em nuvem e disco rígido, alterar periodicamente senha wi fi, política de segurança atualizada, impor o uso de senhas fortes e autenticação de dois fatores.
Lista de verificação de cibersegurançaFornecedor de TI confiávelSoftware de segurança atualizadoTestes de penetração regularesBackup para nuvem e disco rígidoAlterar periodicamente a senha WIFIPolítica de segurança atualizadaAplicar senhas fortesAutenticação de dois fatores
2.1.6
Indicadores de ameaças cibernéticas
Muitos ataques de rede podem ser evitados compartilhando informações sobre indicadores de comprometimento (COI). Cada ataque tem atributos identificáveis únicos. Indicadores de compromisso são a evidência de que um ataque ocorreu. Os IOCs podem ser recursos que identificam arquivos de malware, endereços IP de servidores que são usados em ataques, nomes de arquivos e alterações características feitas no software final do sistema, entre outros. Os IOCs ajudam o pessoal de segurança cibernética a identificar o que aconteceu em um ataque e desenvolver defesas contra o ataque. Um resumo do COI para um pedaço de malware é mostrado na figura.
Malware File - "studiox-link-standalone-v20.03.8-stable.exe" 
	sha256	6a6c28f5666b12beecd56a3d1d517e409b5d6866c03f9be44ddd9efffa90f1e0	 
	sha1	eb019ad1c73ee69195c3fc84ebf44e95c147bef8	 
	md5	3a104b73bb96dfed288097e9dc0a11a8	 
DNS requests 
	domain	log.studiox.link	 
	domain	my.studiox.link	 
	domain	_sips._tcp.studiox.link	 
	domain	sip.studiox.link	 
Connections 
	ip	198.51.100.248	 
	ip	203.0.113.82
Por exemplo, um usuário recebe um e-mail afirmando que ganhou um grande prêmio. Clicar no link no e-mail resulta em um ataque. O COI poderia incluir o fato de o usuário não estar concorrendo a nenhum sorteio, o endereço IP do remetente, a linha de assunto do e-mail, o URL a ser clicado, ou um anexo para baixar, entre outros.
Indicadores de ataque (IOA) se concentram mais na motivação por trás de um ataque e nos potenciais meios pelos quais os atores da ameaça têm, ou irão, comprometer vulnerabilidades para obter acesso a ativos. Os IOAs estão preocupadas com as estratégias usadas pelos atacantes. Por esse motivo, em vez de informar a resposta a uma única ameaça, os IOAs podem ajudar a gerar uma abordagem de segurança proativa. Isso ocorre porque as estratégias podem ser reutilizadas em vários contextos e ataques múltiplos. Defender contra uma estratégia pode, portanto, impedir ataques futuros que utilizem a mesma estratégia, ou similar.
2.1.7
Compartilhamento de ameaças e criação de conscientização
Os governos estão agora promovendo ativamente a segurança cibernética. Por exemplo, a Agência de Infraestrutura e Segurança Cibernética dos EUA (CISA) está liderando esforços para automatizar o compartilhamento de informações de segurança cibernética com organizações públicas e privadas sem nenhum custo. A CISA usa um sistema denominado Compartilhamento Automático de Indicador (AIS). O AIS permite o compartilhamento de indicadores de ataque entre o governo dos EUA e o setor privado assim que as ameaças são verificadas. A CISA oferece muitos recursos que ajudam a limitar o tamanho da superfície de ataque dos Estados Unidos.
A CISA e a National Cyber Security Alliance (NCSA) promovem a segurança cibernética a todos os usuários. Por exemplo, eles têm uma campanha anual em outubro chamada “National Cybersecurity Awareness Mês” (NCASM). Esta campanha foi desenvolvida para promover e aumentar a conscientização sobre segurança cibernética.
O tema para o NCASM para 2019 foi “TI Própria. TI Segura. Proteja a TI.” Esta campanha incentivou todos os cidadãos a serem mais seguros e mais pessoalmente responsáveis pela utilização das melhores práticas de segurança online. A campanha fornece material sobre uma grande variedade de tópicos de segurança, incluindo:
· Segurança das redes sociais
· Atualizando configurações de privacidade
· Reconhecimento da segurança de aplicativos de dispositivos
· Manter o software atualizado
· Compras online seguras
· Segurança Wi-Fi
· Protegendo os dados do cliente
A Agência da União Europeia para a Cibersegurança (ENISA) presta aconselhamento e soluçõespara os desafios da cibersegurança dos Estados-Membros da UE. A ENISA desempenha um papel na Europa semelhante ao papel da CISA nos EUA.
Ferramentas do agente da ameaça
Introdução de ferramentas de ataque
Para explorar uma vulnerabilidade, um agente de ameaça deve ter uma técnica ou ferramenta. Ao longo dos anos, as ferramentas de ataque tornaram-se mais sofisticadas e altamente automatizadas. Essas novas ferramentas requerem menos conhecimento técnico para serem implementadas.
Na figura, arraste o círculo branco pela linha do tempo para visualizar o relacionamento entre a sofisticação das ferramentas de ataque e o conhecimento técnico necessário para usá-las.
mostra uma barra com sofisticação de ataque à esquerda e uma barra com conhecimento técnico à direita. Em 1985, os ataques não eram muito sofisticados e exigiram muito conhecimento técnico. Com o passar do tempo, a sofisticação do ataque aumentou e o conhecimento técnico necessário diminuiu.
Sofisticação das ferramentas de ataque x conhecimento técnico
Evolução das ferramentas de segurança
O hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de penetração de rede foram desenvolvidas. No entanto, muitas dessas ferramentas também podem ser usadas por atores ameaçadores para exploração.
Atores de ameaças também criaram várias ferramentas de hacking. Essas ferramentas são escritas explicitamente por motivos nefastos. O pessoal de segurança cibernética também deve saber como usar essas ferramentas ao realizar testes de penetração na rede.
Explore as categorias de ferramentas comuns de teste de penetração de rede. Observe como algumas ferramentas são usadas pelos white hats e black hats. Lembre-se de que a lista não é exaustiva, pois novas ferramentas são continuamente desenvolvidas.
Nota: Muitas dessas ferramentas são baseadas em UNIX ou Linux; portanto, um profissional de segurança deve ter uma sólida experiência em UNIX e Linux.
	Categorias de Ferramentas
	Descrição
	crackers da senha
	As senhas são a ameaça de segurança mais vulnerável. As ferramentas de quebra de senha são freqüentemente chamadas de ferramentas de recuperação de senha e podem ser usadas para quebrar ou recuperar a senha. Isso é feito removendo a senha original, depois de ignorar a criptografia de dados, ou pela descoberta direta da senha. Os crackers de senhas repetidamente fazem suposições para decifrar a senha e acessar o sistema. Exemplos de ferramentas de quebra de senha incluem John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack e Medusa.
	ferramentas de hacking sem fio
	As redes sem fio são mais suscetíveis a ameaças à segurança da rede. As ferramentas de hackers sem fio são usadas para invadir intencionalmente uma rede sem fio para detectar vulnerabilidades de segurança. Exemplos de ferramentas de hacking sem fio incluem Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep e NetStumbler.
	digitalização de rede e ferramentas de hacking
	As ferramentas de verificação de rede são usadas para investigar dispositivos, servidores e hosts de rede em busca de portas TCP ou UDP abertas. Exemplos de ferramentas de digitalização incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
	ferramentas de elaboração de pacotes
	Ferramentas de criação de pacotes são usadas para sondar e testar a robustez de um firewall usando pacotes forjados especialmente criados. Exemplos de tais ferramentas incluem Hping, Scapy, Socat, Yersinia, Netcat, Nping e Nemesis.
	sniffer de pacotes
	As ferramentas de farejadores de pacotes são usadas para capturar e analisar pacotes em LANs Ethernet ou WLANs tradicionais. As ferramentas incluem Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy e SSLstrip.
	detectores de rootkit
	Um detector de rootkit é um verificador de integridade de diretório e arquivo usado por white hats para detectar root kits instalados. Exemplos de ferramentas incluem AIDE, Netfilter e PF: OpenBSD Packet Filter.
	fuzzers para pesquisar vulnerabilidades
	Fuzzers são ferramentas usadas por agentes de ameaças ao tentar descobrir vulnerabilidades de segurança de um sistema de computador. Exemplos de difusores incluem Skipfish, Wapiti e W3af.
	ferramentas forenses
	Hackers White hat usam ferramentas forenses para farejar qualquer vestígio de evidência existente em um sistema de computador específico. Exemplos de ferramentas incluem Sleuth Kit, Helix, Maltego e Encase.
	depuradores
	Ferramentas de depuração são usadas por Black Hats para fazer engenharia reversa de arquivos binários ao escrever exploits. Eles também são usados por white hats ao analisar malware. As ferramentas de depuração incluem GDB, WinDbg, IDA Pro, and Immunity Debugger.
	hackeando sistemas operacionais
	Os sistemas operacionais de hacking são sistemas operacionais especialmente projetados, pré-carregados com ferramentas e tecnologias otimizadas para hackers. Exemplos de sistemas operacionais de hacking especialmente projetados incluem Kali Linux, SELinux, Knoppix, Parrot OS e BackBox Linux.
	ferramentas de criptografia
	Essas ferramentas salvaguardam o conteúdo dos dados de uma organização quando são armazenados ou transmitidos. As ferramentas de criptografia usam esquemas de algoritmo para codificar os dados e evitar o acesso não autorizado aos dados. Exemplos dessas ferramentas incluem VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN e Stunnel.
	ferramentas de exploração de vulnerabilidade
	Essas ferramentas identificam se um host remoto é vulnerável a um ataque de segurança. Exemplos de ferramentas de exploração de vulnerabilidade incluem Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit e Netsparker.
	scanner de vulnerabilidades
	Essas ferramentas examinam uma rede ou sistema para identificar portas abertas. Eles também podem ser usados para verificar vulnerabilidades conhecidas e verificar VMs, dispositivos BYOD e bancos de dados do cliente Exemplos dessas ferramentas incluem Nipper, Securia PSI, Core Impact, Nessus, SAINT e Open VAS.
2.2.3
Categorias de ataques
Os atores da ameaça podem usar as ferramentas mencionadas anteriormente ou uma combinação de ferramentas para criar vários ataques. A tabela exibe tipos comuns de ataques. No entanto, a lista de ataques não é exaustiva, pois novas maneiras de atacar redes são continuamente descobertas.
É importante entender que os atores de ameaças usam uma variedade de ferramentas de segurança para realizar esses ataques.
	Categoria de Ataque
	Descrição
	Ataque de escuta
	Um ataque de espionagem ocorre quando um agente de ameaça captura e escuta o tráfego da rede. Esse ataque também é chamado de sniffing ou snooping.
	Ataque de modificação de dados
	Ataques de modificação de dados ocorrem quando um agente de ameaça capturou o tráfego da empresa e alterou os dados nos pacotes sem o conhecimento do remetente ou receptor.
	Ataque de Falsificação de Endereços IP
	Um ataque de falsificação de endereço IP ocorre quando um ator de ameaça constrói um pacote IP que parece se originar de um endereço válido dentro da intranet corporativa.
	Ataques baseados em senha
	Ataques baseados em senha ocorrem quando um ator de ameaça obtém as credenciais de uma conta de usuário válida. Em seguida, os atores de ameaças usam essa conta para obter listas de outros usuários e informações de rede. Eles também podem alterar as configurações de servidor e rede e modificar, redirecionar ou excluir dados.
	Ataque de negação de serviço (DoS)
	Um ataque de DoS impede o uso normal de um computador ou rede por usuários válidos. Depois de obter acesso a uma rede, um ataque DoS pode travar aplicativos ou serviços de rede. Um ataque de DoS pode inundar um computador ou toda a rede com tráfego até que um desligamento ocorra devido à sobrecarga. Um ataque de DoS também pode bloquear o tráfego, o que resulta na perda de acesso aos recursos da rede por usuários autorizados.
	Ataque man-in-the-middle (MiTM)Um ataque MiTM ocorre quando os agentes da ameaça se posicionam entre a origem e o destino. Agora eles podem monitorar, capturar e controlar ativamente a comunicação de forma transparente.
	Ataque de chave comprometida
	Um ataque de chave comprometida ocorre quando um ator de ameaça obtém uma chave secreta. Isto é referido como uma chave comprometida. Uma chave comprometida pode ser usada para obter acesso a uma comunicação segura sem que o remetente ou o destinatário esteja ciente do ataque.
	Ataque Sniffer
	Um sniffer é um aplicativo ou dispositivo que pode ler, monitorar e capturar trocas de dados de rede e ler pacotes de rede. Se os pacotes não estiverem criptografados, um sniffer fornece uma visão completa dos dados dentro do pacote. Até mesmo pacotes encapsulados podem ser quebrados abertos e lidos, a menos que sejam criptografados e que o ator de ameaça não tenha acesso à chave.
Malware
Tipos de Malware
Os dispositivos finais são especialmente propensos a ataques de malware. Portanto, o foco deste tópico é sobre ameaças a dispositivos finais. Malware é a abreviatura de software malicioso ou código malicioso. É um código ou software projetado especificamente para danificar, interromper, roubar ou geralmente infligir alguma outra ação “ruim” ou ilegítima em dados, hosts ou redes. É importante saber sobre malware porque os agentes de ameaças e criminosos online freqüentemente tentam induzir os usuários a instalar malware para ajudar a explorar as lacunas de segurança. Além disso, o malware se transforma tão rapidamente que os incidentes de segurança relacionados ao malware são extremamente comuns porque o software antimalware não pode ser atualizado com rapidez suficiente para impedir as novas ameaças.
Reproduza a animação para ver exemplos dos três tipos mais comuns de malware: vírus, worm e cavalo de Tróia.
A animação mostra uma rede com dois PCs e dois roteadores com os roteadores estão conectados uns aos outros sentam-se entre os dois PCs com cada PC conectado a um dos roteadores. O PC à esquerda tem um atacante. Enquanto a animação é reproduzida, uma caixa de texto se abre dizendo “As principais vulnerabilidades das estações de trabalho do usuário final são ataques de vírus, worms e cavalos de Tróia. Como a animação continua a jogar o atacante no PC à esquerda envia um ataque de vírus na rede que viaja através dos roteadores de rede para o PC à direita. É aberta uma caixa de texto que diz “Um vírus é um software malicioso que executa uma função específica indesejada e muitas vezes prejudicial em um computador”. Como a animação continua a jogar o atacante no PC à esquerda envia um ataque worm na rede que viaja através dos roteadores de rede para o PC à direita. É aberta uma caixa de texto que diz “Um worm executa código arbitrário e instala cópias de si mesmo na memória do computador infectado. O principal objetivo de um worm é se replicar automaticamente e se espalhar pela rede de sistema para sistema ”. Como a animação continua a jogar o atacante no PC à esquerda envia um ataque cavalo de Tróia na rede que viaja sobre os roteadores de rede para o PC à direita. É aberta uma caixa de texto que diz “Um cavalo de Tróia é um tipo de malware que não se auto-replica. Em geral, eles contêm códigos mal-intencionados que são projetados para parecerem outras coisas, como uma aplicação ou arquivo legítimo. Quando um aplicativo ou arquivo infectado é baixado e aberto, o cavalo de Tróia pode atacar o dispositivo final de dentro ”.
Vírus
Um vírus é um tipo de malware que se espalha inserindo uma cópia de si mesmo em outro programa. Depois que o programa é executado, os vírus se espalham de um computador para outro, infectando os computadores. A maioria dos vírus requer ajuda humana para se espalhar. Por exemplo, quando alguém conecta uma unidade USB infectada ao PC, o vírus entrará no PC. O vírus pode então infectar uma nova unidade USB e se espalhar para novos PCs. Os vírus podem ficar inativos por um período prolongado e, em seguida, ativá-los em uma hora e data específicas.
Um vírus simples pode instalar-se na primeira linha de código em um arquivo executável. Quando ativado, o vírus pode verificar o disco em busca de outros executáveis para que ele possa infectar todos os arquivos que ainda não infectou. Os vírus podem ser inofensivos, como os que exibem uma imagem na tela, ou podem ser destrutivos, como os que modificam ou excluem arquivos do disco rígido. Os vírus também podem ser programados para se modificar e evitar a detecção.
A maioria dos vírus agora se espalha por unidades de memória USB, CDs, DVDs, compartilhamentos de rede e e-mail. Os vírus de e-mail são um tipo comum de vírus.
2.3.3
Cavalos de Tróia
O termo cavalo de Tróia originou-se da mitologia grega. Guerreiros gregos ofereceram ao povo de Tróia (os troianos) um cavalo oco gigante como um presente. Os troianos trouxeram o cavalo gigante para sua cidade murada, sem saber que continha muitos guerreiros gregos. À noite, depois que a maioria dos troianos dormia, os guerreiros saíram do cavalo, abriram os portões da cidade e permitiram que uma força considerável entrasse e tomasse a cidade.
O malware cavalo de Tróia é um software que parece ser legítimo, mas contém código malicioso que explora os privilégios do usuário que o executa, conforme mostrado na figura.
Muitas vezes, os cavalos de Tróia são encontrados anexados a jogos online. Os usuários são comumente induzidos a carregar e executar o cavalo de Tróia em seus sistemas. Ao jogar o jogo, o usuário não notará um problema. Em segundo plano, o cavalo de Tróia foi instalado no sistema do usuário. O código malicioso do cavalo de Tróia continua a funcionar mesmo depois que o jogo foi fechado.
O conceito do cavalo de Tróia é flexível. Pode causar danos imediatos, fornecer acesso remoto ao sistema ou acesso através de uma porta traseira. Ele também pode executar ações conforme instruído remotamente, como “me envie o arquivo de senha uma vez por semana.“ Esta tendência de malware para enviar dados de volta para o cibercriminoso destaca a necessidade de monitorar o tráfego de saída em busca de indicadores de ataque.
Cavalos de Tróia escritos sob medida, como aqueles com um alvo específico, são difíceis de detectar.
2.3.4
Cavalo de Tróia Classificação
Os cavalos de Tróia são geralmente classificados de acordo com o dano que causam, ou a maneira pela qual eles violam um sistema, como mostrado na tabela.
	Tipo do Cavalo de Troia
	Descrição
	Acesso remoto
	Permite acesso remoto não autorizado.
	Envio de dados
	Fornece ao agente de ameaça dados confidenciais, como senhas.
	Destrutivo
	Corrompe ou exclui arquivos.
	Proxy
	Usa o computador da vítima como dispositivo de origem para lançar ataques e realizar outras atividades ilegais.
	FTP
	Habilita serviços de transferência de arquivos não autorizados em dispositivos finais.
	Desativador do software de segurança
	Impede o funcionamento de programas antivírus ou firewalls.
	Negação de Serviço (DoS)
	Retarda ou interrompe a atividade da rede.
	Agentes de log de digitação
	Tenta ativamente roubar informações confidenciais, como números de cartão de crédito, gravando as teclas digitadas em um formulário da web.
2.3.5
Worms
Os worms de computador são semelhantes aos vírus porque se replicam e podem causar o mesmo tipo de dano. Especificamente, os worms se replicam explorando vulnerabilidades nas redes de forma independente. Os worms podem retardar as redes à medida que se espalham de sistema para sistema.
Enquanto um vírus requer um programa host para execução, os worms podem ser executados de modo autônomo. Exceto pela infecção inicial, eles não necessitam mais da participação do usuário. Após infectar um host, um worm pode ser transmitido muito rapidamente pela rede.
Os worms são responsáveis por alguns dos ataques mais devastadores da Internet. Em 2001, o worm Code Red infectou inicialmente 658 servidores. Em 19 horas, o worm infectou mais de 300.000 servidores.
Infecção de worm de código vermelho inicial
Infecção por código vermelho19 horas depois
A infecção inicial do worm SQL Slammer é conhecida como o worm que comeu a internet. O SQL Slammer foi um ataque de negação de serviço (DoS) que explorava um bug de estouro de buffer no SQL Server da Microsoft. No seu pico, o número de servidores infectados dobrou de tamanho a cada 8,5 segundos. É por isso que ele foi capaz de infectar mais de 250 mil hosts em 30 minutos. Quando foi lançado no fim de semana de 25 de janeiro de 2003, interrompeu a internet, instituições financeiras, caixas eletrônicos e muito mais. Ironicamente, uma correção para esta vulnerabilidade tinha sido lançado 6 meses antes. Os servidores infectados não tinham o patch atualizado aplicado. Essa foi uma chamada de ativação para muitas organizações implementarem uma política de segurança exigindo que atualizações e patches fossem aplicados em tempo hábil.
Infecção inicial do SQL Slammer
Infecção SQL Slammer 30 minutos depois
Worms compartilham características semelhantes. Todos eles exploram uma vulnerabilidade habilitadora, têm uma maneira de se propagar e todos contêm uma carga útil.
Componentes do Worm
Apesar das técnicas de mitigação que surgiram ao longo dos anos, os vermes continuaram a evoluir e representam uma ameaça persistente. Worms tornaram-se mais sofisticados ao longo do tempo, mas eles ainda tendem a ser baseados na exploração de fraquezas em aplicativos de software.
A animação mostra os 3 componentes de um ataque de worm; permitindo vulnerabilidade, mecanismo de propagação e carga útil.
Padrão comum de worm
A maioria dos ataques de worm consiste em três componentes, conforme listado na animação acima.
· Habilitando vulnerabilidade - Um worm se instala usando um mecanismo de exploração, como um anexo de e-mail, um arquivo executável ou um cavalo de Tróia, em um sistema vulnerável.
· Mecanismo de propagação - Depois de obter acesso a um dispositivo, o worm se replica e localiza novos alvos.
· Carga útil - Qualquer código malicioso que resulte em alguma ação é uma carga útil. Na maioria das vezes, isso é usado para criar um backdoor que permite a um ator de ameaça acessar o host infectado ou criar um ataque DoS.
Worms são programas autônomos que atacam um sistema para explorar uma vulnerabilidade conhecida. Após a exploração bem-sucedida, o worm se copia do host atacante para o sistema recém-explorado e o ciclo começa novamente. Seus mecanismos de propagação são comumente implantados de uma forma difícil de detectar.
A técnica de propagação usada pelo worm Code Red é mostrada na figura.
A figura diagrama as etapas na propagação do worm Code Red. Essas etapas são as seguintes: Etapa 1 - Propague por 19 dias.Passo 2 - Lançar ataque DoS para os próximos 7 dias. Passo 3 - Pare e fique dormente por alguns dias. Passo 4 - Repita o ciclo.
Propagação de Worm Vermelho
Ransomware
Os atores de ameaças usaram vírus, worms e cavalos de Tróia para transportar suas cargas úteis e por outros motivos maliciosos. No entanto, o malware continua a evoluir.
Atualmente, o malware mais dominante é o ransomware. Ransomware é um malware que nega acesso ao sistema de computador infectado ou aos seus dados. Os criminosos cibernéticos, em seguida, exigem pagamento para liberar o sistema de computador.
O ransomware evoluiu para se tornar o tipo de malware mais lucrativo da história. Na primeira metade de 2016, as campanhas de ransomware concentradas em usuários corporativos e individuais se tornaram mais amplas e eficientes.
Existem dezenas de variantes de ransomware. Ransomware usa frequentemente um algoritmo de criptografia para criptografar arquivos e dados do sistema. A maioria dos algoritmos de criptografia de ransomware conhecidos não pode ser descriptografada facilmente, deixando as vítimas com poucas opções a não ser pagar o preço pedido. Os pagamentos são normalmente pagos em Bitcoin porque os usuários de bitcoin podem permanecer anônimos. Bitcoin é uma moeda digital de código aberto que ninguém possui ou controla.
Email e publicidade maliciosa, também conhecidos como malvertising, são vetores para campanhas de ransomware. A engenharia social também é usada, quando os cibercriminosos que se identificam como técnicos de segurança ligam para casa e persuadem os usuários a se conectar a um site que baixa o ransomware para o computador do usuário.
2.3.8
Outro Malware
Estes são alguns exemplos das variedades de malware moderno:
	Tipo de Malware
	Descrição
	Spyware
	Usado para coletar informações sobre um usuário e enviar as informações para outra entidade sem o consentimento do usuário. Spyware pode ser um monitor de sistema, cavalo de Tróia, Adware, cookies de rastreamento e keyloggers.
	Adware
	Exibe pop-ups irritantes para gerar receita para seu autor. O malware pode analisar os interesses do usuário rastreando os sites visitados. Em seguida, ele pode enviar anúncios pop-ups relacionados a esses sites.
	Scareware
	Inclui software fraudulento que usa engenharia social para chocar ou induzir ansiedade criando a percepção de uma ameaça. Ele geralmente é direcionado a um usuário desavisado e tenta persuadir o usuário a infectar um computador, tomando medidas para resolver a ameaça falsa.
	Phishing
	Tenta convencer as pessoas a divulgar informações confidenciais. Exemplos incluem o recebimento de um e-mail do banco solicitando que os usuários divulguem suas contas e números PIN.
	Rootkits
	Instalado em um sistema comprometido. Depois de ser instalado, ele continua a ocultar sua intrusão e fornecer acesso privilegiado ao ator da ameaça.
Esta lista continuará a crescer à medida que a Internet evolui. Novos malwares serão sempre desenvolvidos. Um dos principais objetivos das operações de segurança cibernética é aprender sobre novos malwares e como mitigá-lo prontamente.
2.3.9
Comportamentos comuns de malware
Os cibercriminosos modificam continuamente o código de malware para alterar a forma como ele se espalha e infecta computadores. No entanto, a maioria produz sintomas semelhantes que podem ser detectados através do monitoramento de log de rede e dispositivo.
Os computadores infectados com malware geralmente apresentam um ou mais dos seguintes sintomas:
· Aparência de arquivos, programas ou ícones da área de trabalho estranhos
· Programas antivírus e de firewall estão desativando ou reconfigurando configurações
· A tela do computador está congelando ou o sistema está travando
· E-mails são enviados espontaneamente sem o seu conhecimento para a sua lista de contatos
· Os arquivos foram modificados ou excluídos
· Maior uso da CPU e/ou da memória
· Problemas de conexão a redes
· Velocidade lenta do computador ou do navegador da Web
· Processos ou serviços desconhecidos em execução
· Portas TCP ou UDP desconhecidas abertas
· Conexões são feitas para hosts na Internet sem ação do usuário
· Comportamento estranho do computador
Observação: o comportamento de malware não se limita à lista acima.
Ataques de rede comuns - reconhecimento, acesso e engenharia social
Tipos de ataques de rede
Malware é um meio de obter uma carga útil entregue. Quando é entregue e instalada, a carga útil pode ser usada para causar uma variedade de ataques internos à rede. Os atores de ameaças também podem atacar a rede de fora.
Por que os atores ameaçadores atacam redes? Há muitos motivos, incluindo dinheiro, ganância, vingança ou crenças políticas, religiosas ou sociológicas. Os profissionais de segurança de rede devem compreender os tipos de ataques usados para combater essas ameaças para garantir a segurança da LAN.
Para atenuar os ataques, é útil primeiro categorizar os vários tipos de ataques. Ao categorizar ataques de rede, é possível abordar tipos de ataques em vez de ataques individuais.
Embora não haja uma maneira padronizada de categorizar os ataques à rede, o método usado neste curso classifica os ataques em três categorias principais.
· Ataques de Reconhecimento
· Ataques de Acesso
· Ataques de DoS
2.4.2
Ataques de Reconhecimento
Reconhecimento é coleta de informações. É análogo a um ladrão que inspeciona um bairro indo de portaem porta fingindo vender alguma coisa. O que o ladrão está realmente fazendo é procurando casas vulneráveis, como residências desocupadas, residências com portas ou janelas fáceis de abrir e residências sem sistemas de segurança ou câmeras de segurança.
Os atores de ameaças usam ataques de reconhecimento (ou recon) para fazer descobertas e mapeamentos não autorizados de sistemas, serviços ou vulnerabilidades. Os ataques Recon precedem ataques de acesso ou ataques DoS.
Algumas das técnicas usadas pelos atores de ameaças mal-intencionadas para realizar ataques de reconhecimento estão descritas na tabela.
	Técnicas
	Descrição
	Executar uma consulta de informações de um alvo
	O agente de ameaça está procurando informações iniciais sobre um alvo. Várias ferramentas podem ser usadas, incluindo a pesquisa no Google, o site das organizações, whois e muito mais.
	Iniciar uma varredura de ping da rede de destino
	A consulta de informações geralmente revela o endereço de rede de destino. O agente de ameaça agora pode iniciar uma varredura de ping para determinar quais endereços IP estão ativos.
	Iniciar uma verificação de porta nos endereços IP ativos
	Isso é usado para determinar quais portas ou serviços estão disponíveis. Exemplos de scanners de portas incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
	Executar o scanner de vulnerabilidades
	Isso é para consultar as portas identificadas para determinar o tipo e a versão do aplicativo e do sistema operacional que está sendo executado no host. Exemplos de ferramentas incluem Nipper, Secuna PSI, Core Impact, Nessus v6, SAINT e Open VAS.
	Executar ferramentas de exploração
	O agente de ameaças agora tenta descobrir serviços vulneráveis que podem ser explorados. Existe uma variedade de ferramentas de exploração de vulnerabilidades, incluindo Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit e Netsparker.
Ataques de Acesso
Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e serviços da Web. O objetivo desse tipo de ataque é obter acesso a contas da web, bancos de dados confidenciais e outras informações confidenciais.
Os atores de ameaças usam ataques de acesso a dispositivos de rede e computadores para recuperar dados, obter acesso ou escalar privilégios de acesso ao status de administrador.
Ataques de senha
Em um ataque de senha, o agente de ameaça tenta descobrir senhas críticas do sistema usando vários métodos. Os ataques de senha são muito comuns e podem ser iniciados usando uma variedade de ferramentas de quebra de senha.
Ataques de falsificação (spoofing)
Nos ataques de falsificação, o dispositivo do agente de ameaças tenta se passar por outro dispositivo falsificando os dados. Ataques comuns incluem falsificação IP (IP spoofing), falsificação MAC (MAC spoofing), e falsificação DHCP (DHCP spoofing). Esses ataques de falsificação serão discutidos em mais detalhes posteriormente neste módulo
Outros ataques de acesso incluem:
· Exploração de confiança
· Redirecionamento de porta
· Ataque man in the middle
· Ataque de saturação do buffer
Ataques de engenharia social
Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais. Algumas técnicas de engenharia social são realizadas pessoalmente, enquanto outras podem usar o telefone ou a Internet.
Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda. Eles também atacam as fraquezas das pessoas. Por exemplo, um agente de ameaças pode chamar um funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O agente de ameaças pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário.
Informações sobre técnicas de engenharia social são mostradas na tabela.
	Ataques de engenharia social
	Descrição
	Pretexting
	Um ator de ameaça finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
	Phishing
	Um agente de ameaças envia e-mails fraudulentos, disfarçados de fontes legítimas e confiáveis, para induzir o destinatário a instalar malware em seu dispositivo ou compartilhar informações pessoais ou financeiras.
	Spear phishing
	Um agente de ameaça cria um ataque de phishing direcionado, personalizado para um indivíduo ou organização específico.
	Spam
	Também conhecido como lixo eletrônico, este é um e-mail não solicitado que geralmente contém links prejudiciais, malware ou conteúdo enganoso.
	Algo por Algo
	Às vezes chamado de Algo por algo, é quando um ator da ameaça solicita informações pessoais de uma parte em troca de algo como um presente.
	Iscas
	Um agente de ameaça deixa uma unidade flash infectada por malware em um local público. Uma vítima encontra a unidade e a insere inconscientemente em seu laptop, instalando involuntariamente malware.
	Representação
	Nesse tipo de ataque, um ator de ameaça finge ser outra pessoa para ganhar a confiança da vítima.
	Tailgating
	É aqui que um agente de ameaças segue rapidamente uma pessoa autorizada para um local seguro para obter acesso a uma área segura.
	Navegação bisbilhoteira
	É aqui que o agente de ameaça olha discretamente por cima do ombro de alguém para roubar suas senhas ou outras informações.
	Busca de informações na lixeira
	É aqui que um ator de ameaças vasculha latas de lixo para descobrir documentos confidenciais.
O Social Engineer Toolkit (SET) foi projetado para ajudar hackers whitehat e outros profissionais de segurança de rede a criar ataques de engenharia social para testar suas próprias redes. É um conjunto de ferramentas baseadas em menu que ajudam a lançar ataques de engenharia social. O SET é apenas para fins educacionais. Está disponível gratuitamente na Internet.
As empresas devem educar seus usuários sobre os riscos da engenharia social e desenvolver estratégias para validar identidades por telefone, via email ou pessoalmente.
A figura mostra práticas recomendadas que devem ser seguidas por todos os usuários.
A figura mostra as 8 práticas a seguir para proteção contra ataques de engenharia social: Nunca forneça suas credenciais de nome de usuário / senha a ninguém ; Sempre destrua as informações confidenciais de acordo com a política da organização ; Sempre denuncie indivíduos suspeitos; ; Nunca reutilize senhas relacionadas ao trabalho ; Nunca divulgue informações relacionadas ao trabalho em sites de mídia social ; Nunca abra e-mails de fontes não confiáveis ; Nunca deixe suas credenciais de nome de usuário / senha onde possam ser facilmente encontradas.
Práticas recomendadas de proteção de engenharia social
Fortalecimento do elo mais fraco
A cibersegurança é tão forte quanto seu elo mais fraco. Como computadores e outros dispositivos conectados à Internet se tornaram uma parte essencial de nossas vidas, eles não parecem mais novos ou diferentes. As pessoas se tornaram muito casuais no uso desses dispositivos e raramente pensam em segurança de rede. O elo mais fraco na segurança cibernética pode ser o pessoal dentro de uma organização, e a engenharia social é uma grande ameaça à segurança. Por isso, uma das medidas de segurança mais eficazes que uma organização pode tomar é treinar seu pessoal e criar uma “cultura consciente da segurança”.
Ataques de rede - negação de serviço, estouros de buffer e evasão
Ataques de DoS
Um ataque de negação de serviço (DoS) cria algum tipo de interrupção dos serviços de rede para usuários, dispositivos ou aplicativos. Existem dois tipos principais de ataque de negação de serviço (DoS):
· Grande quantidade de tráfego - O agente de ameaças envia uma enorme quantidade de dados para avaliação que a rede, host ou aplicativo não pode manipular. Isso faz com que os tempos de transmissão e resposta diminuam. Também pode travar um dispositivo ou serviço.
· Pacotes maliciosamente formatados – O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue manipulá-lo.Isso causa lentidão ou falha na execução do dispositivo receptor.
Os ataques de DoS são um grande risco, porque interrompem a comunicação e causam perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado.
Clique em Play (Reproduzir) na figura para visualizar as animações de um ataque DDoS.
a animação mostra um agente de ameaças enviando uma enxurrada de pings para um servidor, sobrecarregando-o. Um usuário legítimo é impedido de acessar o servidor porque o servidor está muito ocupado com os pings.
Componentes de ataques DDoS
Se os atores da ameaça podem comprometer muitos hosts, eles podem executar um ataque DoS distribuído (DDoS). Os ataques DDoS são semelhantes em intenção aos ataques DoS, exceto que um ataque DDoS aumenta em magnitude porque ele se origina de várias fontes coordenadas, como mostrado na figura. Um ataque DDoS pode usar centenas ou milhares de fontes, como em ataques DDoS baseados em IoT.
	Componente
	Descrição
	zumbis
	Isso se refere a um grupo de hosts comprometidos (ou seja, agentes). Esses hosts executam código malicioso conhecido como robôs (ou seja, bots). O malware zumbi tenta continuamente se auto-propagar como um worm.
	bots
	Os bots são malware projetado para infectar um host e se comunicar com um sistema manipulador. Os bots também podem registrar pressionamentos de teclas, coletar senhas, capturar e analisar pacotes e muito mais.
	botnet
	Isso se refere a um grupo de zumbis que foram infectados usando malware auto-propagado (ou seja, bots) e são controlados por manipuladores.
	handlers
	Isso se refere a um servidor primário de comando e controle (CnC ou C2) que controla grupos de zumbis. O originador de uma botnet pode usar o Internet Relay Chat (IRC) ou um servidor web no servidor C2 para controlar remotamente os zumbis.
	botmaster
	Este é o ator ameaça que está no controle da botnet e manipuladores.
Nota: Existe uma economia subterrânea onde os botnets podem ser comprados (e vendidos) por uma taxa nominal. Isso pode fornecer aos atores de ameaça botnets de hosts infectados prontos para lançar um ataque DDoS contra o alvo escolhido.
Vídeo - Mirai Botnet
Mirai é malware que direcionou dispositivos IoT configurados com informações de login padrão. Câmeras de televisão de circuito fechado (CCTV) constituíam a maioria dos alvos de Mirai. Usando um ataque de dicionário de força bruta, Mirai correu através de uma lista de nomes de usuário padrão e senhas que eram amplamente conhecidos na internet.
· root/default
· root/1111
· root/54321
· admin/admin1234
· admin1/password
· guest/12345
· tech/tech
· support/support
Depois de obter acesso bem-sucedido, Mirai direcionou os utilitários BusyBox baseados em Linux que são executados nesses dispositivos. Esses utilitários foram usados para transformar os dispositivos em bots que poderiam ser controlados remotamente como parte de uma botnet. O botnet foi então usado como parte de um ataque distribuído de negação de serviço (DDoS). Em setembro de 2016, uma botnet Mirai com mais de 152.000 CCTVs e gravadores de vídeo digitais (DVRs) foi responsável pelo maior ataque DDoS conhecido até então. Com o pico de tráfego de mais de 1 TB/s, ele derrubou os serviços de hospedagem de uma empresa de hospedagem na web com sede na França.
Em outubro de 2016, os serviços da Dyn, um provedor de serviços de nomes de domínio (DNS), foram atacados, causando interrupções na internet para milhões de usuários nos Estados Unidos e na Europa.
Reproduza o vídeo para ver uma demonstração de como um ataque DDoS baseado em botnet torna os serviços indisponíveis.
Ataques de Buffer Overflow
O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS.
Por exemplo, um ator de ameaça insere entrada maior do que o esperado pelo aplicativo em execução em um servidor. O aplicativo aceita a grande quantidade de entrada e armazena na memória. O resultado é que ele pode consumir o buffer de memória associado e potencialmente substituir a memória adjacente, eventualmente corrompendo o sistema e fazendo com que ele falhe.
Um exemplo inicial do uso de pacotes mal formados foi o Ping of Death. Nesse ataque herdado, o ator de ameaça enviou um ping de morte, que era uma solicitação de eco em um pacote IP maior que o tamanho máximo de pacote de 65.535 bytes. O host receptor não seria capaz de lidar com um pacote desse tamanho e ele iria falhar.
Os ataques de estouro de buffer estão evoluindo continuamente. Por exemplo, uma vulnerabilidade de ataque remoto de negação de serviço foi descoberta recentemente no Microsoft Windows 10. Especificamente, um ator de ameaça criou código malicioso para acessar memória fora do escopo. Quando esse código é acessado pelo processo AHCACHE.SYS do Windows, ele tenta acionar uma falha do sistema, negando serviço ao usuário. Pesquise na Internet no “blog TALOS-2016-0191” para acessar o site de inteligência de ameaças Cisco Talos e ler uma descrição de tal ataque.
Observação: Estima-se que um terço dos ataques mal-intencionados sejam o resultado de estouros de buffer.
2.5.6
Métodos de Evasão
Atores de ameaça aprenderam há muito tempo que “esconder é prosperar”. Isso significa que seus métodos de malware e ataque são mais eficazes quando não são detectados. Por esta razão, muitos ataques usam técnicas de evasão furtiva para disfarçar uma carga útil de ataque. Seu objetivo é evitar a detecção, evitando defesas de rede e host.
Alguns dos métodos de evasão usados por atores ameaçadores incluem:
	Método de Evasão
	Descrição
	Criptografia e encapsulamento
	Essa técnica de evasão usa tunelamento para ocultar, ou criptografia para embaralhar, arquivos de malware. Isso torna difícil para muitas técnicas de detecção de segurança detectar e identificar o malware. Tunelamento pode significar ocultar dados roubados dentro de pacotes legítimos.
	Esgotamento de recursos
	Essa técnica de evasão torna o host de destino muito ocupado para usar corretamente técnicas de detecção de segurança.
	Fragmentação do tráfego
	Essa técnica de evasão divide uma carga maliciosa em pacotes menores para ignorar a detecção de segurança de rede. Depois que os pacotes fragmentados ignoram o sistema de detecção de segurança, o malware é remontado e pode começar a enviar dados confidenciais para fora da rede.
	Interpretação errada no nível do protocolo
	Essa técnica de evasão ocorre quando as defesas de rede não manipulam corretamente recursos de uma PDU como um valor de soma de verificação ou TTL. Isso pode enganar um firewall para ignorar pacotes que ele deve verificar.
	Substituição de tráfego
	Nesta técnica de evasão, o ator da ameaça tenta enganar um IPS ofuscando os dados na carga útil. Isso é feito codificando-o em um formato diferente. Por exemplo, o ator de ameaça poderia usar tráfego codificado em Unicode em vez de ASCII. O IPS não reconhece o verdadeiro significado dos dados, mas o sistema final de destino pode ler os dados.
	Inserção de tráfego
	Semelhante à substituição de tráfego, mas o agente de ameaça insere bytes extras de dados em uma sequência maliciosa de dados. As regras do IPS perdem os dados maliciosos, aceitando a sequência completa de dados.
	Pivotando
	Essa técnica pressupõe que o ator da ameaça comprometeu um host interno e deseja expandir seu acesso ainda mais para a rede comprometida. Um exemplo é um ator de ameaça que obteve acesso à senha de administrador em um host comprometido e está tentando fazer login em outro host usando as mesmas credenciais.
	Rootkits
	Um rootkit é uma ferramenta agressora complexa usada por atores experientes em ameaças. Ele se integra com os níveis mais baixos do sistema operacional. Quando um programa tenta listar arquivos, processos ou conexões de rede, o rootkit apresenta uma versão higienizada da saída,eliminando qualquer saída incriminadora. O objetivo do rootkit é ocultar completamente as atividades do atacante no sistema local.
	Proxies
	O tráfego de rede pode ser redirecionado através de sistemas intermediários para ocultar o destino final para dados roubados. Desta forma, comando e controle conhecidos não podem ser bloqueado por uma empresa porque o destino proxy parece benigno. Além disso, se os dados estiverem sendo roubados, o destino dos dados roubados pode ser distribuído entre muitos proxies, não chamando a atenção para o fato de que um único destino desconhecido está servindo como destino para grandes quantidades de tráfego de rede.
Novos métodos de ataque estão constantemente sendo desenvolvidos. O pessoal de segurança da rede deve estar ciente dos métodos de ataque mais recentes para detectá-los.
Resumo de ameaças à rede
O que aprendi neste módulo?
Quem está atacando nossa rede?
Compreender a segurança da rede requer que você entenda os seguintes termos: ameaça, vulnerabilidade, superfície de ataque, exploração e risco. A gestão de riscos é o processo que equilibra os custos operacionais de provisão de medidas de proteção com os ganhos obtidos através da proteção do ativo. Quatro formas comuns de gerenciar riscos são: a aceitação de riscos, a prevenção de riscos, a redução de riscos e a transferência de riscos. Hacker é um termo usado para descrever um ator de ameaça. Os hackers White hat são hackers éticos que usam suas habilidades para propósitos bons, éticos e legais. Hackers Grey hat são indivíduos que cometem crimes e fazem coisas antiéticas, mas não para ganho pessoal ou para causar danos. Os hackers Black hat são criminosos que violam a segurança do computador e da rede para ganho pessoal ou por motivos maliciosos, como ataques a redes. Os atores de ameaças incluem script kiddies, corretores de vulnerabilidade, hacktivistas, criminosos cibernéticos e hackers patrocinados pelo Estado. Muitos ataques de rede podem ser evitados compartilhando informações sobre IOCs. Muitos governos estão promovendo a segurança cibernética. CISA e NCSA são exemplos de tais organizações.
Introdução de ferramentas de ataque
Atores de ameaça usam uma técnica ou ferramenta. As ferramentas de ataque se tornaram mais sofisticadas e altamente automatizadas. Muitas das ferramentas são baseadas em Linux ou UNIX e um conhecimento delas é útil para um profissional de segurança cibernética. As ferramentas incluem crackers de senhas, ferramentas de hacking sem fio, ferramentas de varredura e hacking de segurança de rede, ferramentas de criação de pacotes, sniffers de pacotes, detectores de rootkit, fuzzers para pesquisar vulnerabilidades, ferramentas forenses, depuradores, sistemas operacionais de hacking, ferramentas de criptografia, vulnerabilidade ferramentas de exploração e scanners de vulnerabilidade. As categorias de ataques incluem ataques de espionagem, ataques de modificação de dados, ataques de falsificação de endereços IP, ataques baseados em senha, ataques de negação de serviço, ataques de man-in the-middle, ataques de chave comprometidos e ataques de farejador.
Malware
Malware é a abreviatura de software malicioso ou código malicioso. Os atores de ameaças freqüentemente tentam enganar os usuários para instalar malware para ajudar a explorar vulnerabilidades do dispositivo final. Muitas vezes, o software antimalware não pode ser atualizado com rapidez suficiente para impedir novas ameaças. Três tipos comuns são vírus, worm e cavalo de Tróia. Um vírus é um tipo de malware que se espalha inserindo uma cópia de si mesmo em outro programa. A maioria dos vírus são espalhados por unidades de memória USB, CDs, DVDs, compartilhamentos de rede e e-mail. O malware de cavalo de Tróia é um software que parece ser legítimo, mas contém código malicioso que explora os privilégios do usuário que o executa. Muitas vezes, os cavalos de Tróia são encontrados em jogos online. Os cavalos de Tróia são geralmente classificados de acordo com os danos que causam. Os tipos de cavalos de Tróia incluem acesso remoto, envio de dados, destrutivo, proxy, FTP, desabler de software de segurança, DoS e keylogger. Os worms são semelhantes aos vírus porque se replicam e podem causar o mesmo tipo de dano. Os vírus exigem que um programa host seja executado. Os vermes podem correr sozinhos. A maioria dos ataques de worm consiste em três componentes: habilitação de vulnerabilidade, mecanismo de propagação e carga útil. Atualmente, o ransomware é o malware mais dominante. Ele nega o acesso ao sistema infectado ou aos seus dados. Os criminosos cibernéticos, em seguida, exigem pagamento para liberar o sistema de computador. Outros exemplos de malware incluem spyware, adware, scareware, phishing e rootkits.
Ataques de rede comuns - reconhecimento, acesso e engenharia social
Os atores de ameaças também podem atacar a rede de fora. Para atenuar os ataques, é útil categorizar os vários tipos de ataques. As três categorias principais são ataques de reconhecimento, acesso e DoS. Reconhecimento é coleta de informações. Os atores da ameaça fazem a descoberta e mapeamento não autorizado de sistemas, serviços ou vulnerabilidades. Os ataques Recon precedem os ataques de acesso ou DoS. Algumas das técnicas utilizadas incluem o seguinte: executar uma consulta de informações de um destino, iniciar uma varredura de ping da rede de destino, iniciar uma varredura de portas de endereços IP ativos, executar varreduras de vulnerabilidades e executar ferramentas de exploração. Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, serviços de FTP e serviços da Web. Esses ataques incluem ataques de senha, ataques de spoofing, ataques de exploração de confiança, redirecionamentos de porta, ataques man-in-the-middle e ataques de estouro de buffer. Engenharia social é um ataque de acesso que tenta manipular indivíduos para que executem ações inseguras ou divulguem informações confidenciais. Esses ataques incluem uso de pretextos, phishing, spear phishing, spam, algo por algo, isca, falsificação de identidade, uso não autorizado, surfe nos ombros e lixeira.
Ataques de rede - negação de serviço, estouros de buffer e evasão
Os ataques DoS criam algum tipo de interrupção dos serviços de rede para usuários, dispositivos ou aplicativos. Existem dois tipos principais: quantidade esmagadora de tráfego e pacotes formatados com códigos maliciosos. Os ataques DDoS são semelhantes em intenção aos ataques DoS, exceto que o ataque DDoS aumenta em magnitude porque ele se origina de várias fontes coordenadas. Os termos a seguir são usados para descrever ataques DDoS: zumbis, bots, botnet, manipuladores e botmaster. Mirai é malware que visa dispositivos IoT configurados com informações de login padrão. Mirai usa um ataque de dicionário de força bruta. Após o acesso bem-sucedido, Mirai visa os utilitários BusyBox baseados em Linux que são projetados para esses dispositivos. O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS. Muitos ataques usam técnicas de evasão furtiva para disfarçar uma carga útil de ataque. Os métodos de evasão incluem criptografia e encapsulamento, exaustão de recursos, fragmentação de tráfego, interpretação errada em nível de protocolo, substituição de tráfego, inserção de tráfego, rotação, rootkits e proxies.
Introdução – Modulo 3
Por que devo fazer este módulo?
Defender a rede é o trabalho de um profissional de segurança. Como você pode se manter informado sobre o clima de segurança atual? Quais organizações podem ajudar a mantê-lo informado sobre os mais recentes riscos e ferramentas? O que as cebolas e as alcachofras têm a ver com a segurança? Faça este módulo para aprender mais!
3.0.2
O que vou aprender neste módulo?
Título do módulo: Mitigação de Ameaças
Objetivo módulo: Explicarferramentas e procedimentos para mitigar os efeitos de malware e ataques de rede comuns.
	Título do Tópico
	Objetivo do Tópico
	Defendendo a Rede
	Descrever métodos e recursos para proteger a rede.
	Políticas de Segurança de Rede
	Explicar vários tipos de políticas de segurança de rede.
	Proteja a rede
	Explicar o propósito das plataformas de segurança.
	Mitigando ataques de rede comuns
	Descrever as técnicas usadas para mitigar ataques de rede comuns.
	Quadro de Proteção da Fundação Cisco Network
	Explicar como proteger as três áreas funcionais dos roteadores e switches Cisco.
Defendendo a Rede
Profissionais de segurança de rede
As organizações experimentam perda de produtividade quando suas redes são lentas ou não respondem. As metas de negócios e os lucros são impactados negativamente pela perda de dados e pela corrupção de dados. Portanto, do ponto de vista empresarial, é necessário minimizar os efeitos de hackers com más intenções.
Os profissionais de segurança de rede são responsáveis por manter a garantia de dados para uma organização e garantir a integridade e confidencialidade das informações. Ironicamente, hackers teve o efeito não intencional de criar uma alta demanda por profissionais de segurança de rede. Como resultado do aumento das explorações de hackers, a sofisticação das ferramentas de hackers, e por causa da legislação governamental, as soluções de segurança de rede se desenvolveram rapidamente na década de 1990, criando novas oportunidades de emprego no campo da segurança da rede.
As funções de trabalho de especialista em segurança em uma empresa incluem Diretor de Informações (CIO), Diretor de Segurança da Informação (CISO), Gerente de Operações de Segurança (SECOPs), Diretor de Segurança (CSO), Gerente de Segurança e Engenheiro de Segurança de Rede. Independentemente dos títulos de trabalho, os profissionais de segurança de rede devem sempre ficar um passo à frente dos hackers:
· Eles devem constantemente atualizar seu conjunto de habilidades para se manter a par das ameaças mais recentes.
· Eles devem participar de treinamento e oficinas.
· Eles devem se inscrever em feeds em tempo real sobre ameaças.
· Eles devem examinar os sites de segurança diariamente.
· Eles devem manter a familiaridade com as organizações de segurança de rede. Essas organizações geralmente possuem as informações mais recentes sobre ameaças e vulnerabilidades.
A organização Cyber Security Education descreve várias carreiras de segurança cibernética e fornece recursos que podem ajudar a prepará-lo para essas carreiras.
Nota: em relação a outras profissões de tecnologia, segurança de rede tem uma curva de aprendizado muito acentuada e requer um compromisso com o desenvolvimento profissional contínuo.
3.1.2
Comunidades de Inteligência de Rede
Para proteger uma rede com eficácia, os profissionais de segurança devem se manter informados sobre as ameaças e vulnerabilidades conforme elas evoluem. Existem muitas organizações de segurança que fornecem inteligência de rede. Eles fornecem recursos, workshops e conferências para ajudar os profissionais de segurança. Essas organizações geralmente possuem as informações mais recentes sobre ameaças e vulnerabilidades.
A tabela lista algumas organizações importantes de segurança de rede.
	Empresa
	Descrição
	SANS
	Os recursos do SysAdmin, Audit, Network, Security (SANS) Institute são amplamente gratuitos mediante solicitação e incluem:
· O Internet Storm Center - o popular sistema de alerta antecipado da internet
· NewsBites, o resumo semanal de artigos de notícias sobre segurança de computadores.
· @RISK, o resumo semanal de vetores de ataque recém-descobertos, vulnerabilidades com exploits ativos e explicações de como os ataques recentes funcionaram
· Alertas de segurança rápidos
· Sala de Leitura - mais de 1.200 trabalhos de pesquisa originais premiados.
· O SANS também desenvolve cursos de segurança.
	Mitre
	A Mitre Corporation mantém uma lista de vulnerabilidades e exposições comuns (CVE) usadas por organizações de segurança proeminentes, facilitando o compartilhamento de dados. O CVE serve como um dicionário de nomes comuns (ou seja, identificadores CVE) para vulnerabilidades de segurança cibernética conhecidas.
	FIRST
	O Forum of Incident Response and Security Teams (FIRST) é uma empresa de segurança que une uma variedade de equipes de resposta a incidentes de segurança do computador provenientes de organizações governamentais, comerciais e educacionais, com o objetivo de promover a cooperação e a coordenação de compartilhamento de informações, prevenção de incidente e reação rápida.
	SecurityNewsWire
	Um portal de notícias de segurança que agrega as últimas notícias relacionadas a alertas, explorações e vulnerabilidades.
	(ISC)2
	O Consórcio Internacional de Certificação de Segurança de Sistemas de Informação (ISC2) fornece produtos educacionais neutros de fornecedores e serviços de carreira para mais de 75.000 profissionais da indústria em mais de 135 países.
	CIS
	O Center for Internet Security (CIS) é um ponto focal para prevenção, proteção, resposta e recuperação de ameaças cibernéticas para governos estaduais, locais, tribais e territoriais (SLTT) por meio do Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC ) O MS-ISAC oferece alertas e alertas de ameaças cibernéticas 24 horas por dia, 7 dias por semana, identificação de vulnerabilidades e mitigação e resposta a incidentes.
Para permanecer eficaz, um profissional de segurança de rede deve:
· Mantenha-se informado sobre as ameaças mais recentes - Isso inclui assinar feeds em tempo real sobre ameaças, consultar sites relacionados à segurança rotineiramente, acompanhar blogs e podcasts de segurança e muito mais.
· Continuar a atualizar as habilidades - Isso inclui participar de treinamentos, workshops e conferências relacionados à segurança.
Nota: A segurança de rede tem uma curva de aprendizado muito acentuada e exige um compromisso com o desenvolvimento profissional contínuo.
3.1.3
Certificações de Segurança de Rede
Centenas de milhares de postos de trabalho relacionados à segurança da rede não são preenchidos a cada ano. A demanda por profissionais de segurança de rede supera muito o número de candidatos qualificados. A obtenção de certificações de segurança de rede reconhecidas melhora consideravelmente suas qualificações para essas posições. Existem inúmeras certificações. As certificações para profissionais de segurança de rede são oferecidas pelas seguintes organizações:
· Certificação Global de Garantia de Informações (GIAC)
· Consórcio Internacional de Certificação de Segurança de Sistema de Informação (ISC) 2
· Associação de Auditoria e Controle de Sistemas de Informação (ISACA)
· Conselho Internacional de Consultores de Comércio Electrónico (CE-Conselho)
· Profissional de segurança sem fio certificado (CWSP)
A Cisco substituiu a certificação Cisco Certified Network Associate Security (210-260 IINS) com uma certificação nova da segurança CCNP. Esta certificação consiste em dois exames, um exame de núcleo de segurança e um exame de concentração. Apenas um exame de concentração é necessário. O exame de implementação e funcionamento das tecnologias de núcleo de segurança de Cisco (350-701 SCOR) serve como um gateway para certificações de segurança CCNP e CCIE. Ele também fornece certificação de núcleo de segurança. O exame principal abrange conceitos de segurança, ameaças e técnicas e tecnologias de mitigação. As especializações colocam o foco aprofundado em tecnologias específicas de segurança da Cisco. Os exames de concentração de segurança Cisco Certified Specialist são os seguintes:
· 300-710 SNCF - Segurança de rede Firepower
· SISE 300-715 - Implementando e configurando o Cisco Identity Services Engine
· 300-720 SESA - Protegendo o email com a ferramenta de segurança do email de Cisco
· 300-725 SWSA - Protegendo a Web com ferramenta de segurança da Web de Cisco
· 300-730 SVPN - Implementando soluções seguras com redes privadas virtuais
· 300-735SAUTO - Automatização e programação das soluções de segurança da Cisco
Há muitas maneiras de se preparar para essas certificações, incluindo auto-estudo, educação exame privado, e ensino superior. A organização Learning at Cisco, junto com seus parceiros de aprendizagem, fornece informações e treinamento para a maioria dos exames de certificação Cisco.
3.1.4
Segurança das comunicações: CIA
A segurança da informação trata da proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição. A Tríade da CIA serve como base conceitual para o campo.
A figura mostra a tríade C I A que consiste em Confidencialidade, Integridade e Disponibilidade.
Tríade CIA
Como mostrado na figura, a tríade da CIA consiste em três componentes da segurança da informação:
· Confidencialidade -Somente indivíduos, entidades ou processos autorizados podem acessar informações confidenciais.
· Integridade - refere-se à proteção de dados contra alterações não autorizadas.
· Disponibilidade- os usuários autorizados devem ter acesso ininterrupto aos recursos e dados da rede de que necessitam.
Os dados de rede podem ser criptografados (tornados ilegíveis para usuários não autorizados) usando vários aplicativos de criptografia. A conversa entre dois usuários de telefone IP pode ser criptografada. Os arquivos em um computador também podem ser criptografados. Estes são apenas alguns exemplos. A criptografia pode ser usada em praticamente qualquer lugar em que haja comunicação de dados. De fato, a tendência é que toda comunicação seja criptografada.
Políticas de Segurança de Rede
Domínios de Segurança de Rede
É vital que os profissionais de segurança de rede compreendam as razões para a segurança da rede. Eles também devem estar familiarizados com os requisitos organizacionais de segurança de rede, como incorporados pelos 14 domínios de segurança de rede.
Os domínios fornecem uma estrutura para discutir a segurança da rede e compreender as necessidades operacionais que devem ser abordadas por cada organização.
Existem 14 domínios de segurança de rede especificados pela International Organization for Standardization (ISO) /International Electrotechnical Commission (IEC). Descritos pela ISO/IEC 27001, esses 14 domínios servem para organizar, em alto nível, o vasto reino de informações e atividades sob o guarda-chuva da segurança da rede. Esses domínios têm alguns paralelos significativos com domínios definidos pela certificação Certified Information Systems Security Professional (CISSP).
Os 14 domínios têm como objetivo servir como uma base comum para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a comunicação entre as empresas.
Estes 14 domínios fornecem uma separação conveniente dos elementos de segurança da rede. Embora não seja importante memorizar esses 14 domínios, é importante estar ciente de sua existência e declaração formal pela ISO. Na norma ISO 27001 estes são conhecidos como os 14 conjuntos de controle do Anexo A. Eles servirão como uma referência útil em seu trabalho como um profissional de segurança de rede.
A tabela abaixo fornece uma breve descrição de cada domínio.
	Domínio de Segurança de Rede
	Descrição
	Políticas de Segurança da Informação
	Este anexo foi concebido para garantir que as políticas de segurança sejam criadas, revisadas e mantidas.
	Organização da segurança da informação
	Este é o modelo de governança estabelecido por uma empresa para a segurança da informação. Ele atribui responsabilidades para tarefas de segurança da informação dentro de uma organização.
	Segurança de recursos humanos
	Isso aborda as responsabilidades de segurança relacionadas a funcionários ingressando, movendo-se dentro e deixando uma organização.
	Gerenciamento de ativos
	Isso diz respeito à maneira como as organizações criam um inventário e esquema de classificação para ativos de informação.
	Controle de acesso
	Descreve a restrição dos direitos de acesso a redes, sistemas, aplicativos, funções e dados.
	Criptografia
	Isso diz respeito à criptografia de dados e ao gerenciamento de informações confidenciais para proteger a confidencialidade, a integridade e a disponibilidade dos dados.
	Segurança física e ambiental
	Isso descreve a proteção das instalações e equipamentos de computadores físicos dentro de uma organização.
	Segurança de Operações
	Isso descreve o gerenciamento de controles técnicos de segurança em sistemas e redes, incluindo defesas de malware, backup de dados, registro e monitoramento, gerenciamento de vulnerabilidades e considerações de auditoria. Este domínio também está preocupado com a integridade do software que é usado em operações comerciais.
	Segurança de Comunicações
	Isso diz respeito à segurança dos dados, uma vez que são comunicados em redes, tanto dentro de uma organização como entre e organização e terceiros, como clientes ou fornecedores.
	Aquisição, Desenvolvimento e Manutenção do Sistema
	Isso garante que a segurança das informações permaneça uma preocupação central nos processos de uma organização em todo o ciclo de vida, tanto em redes privadas quanto públicas.
	Relacionamentos com fornecedores
	Isso diz respeito à especificação de acordos contratuais que protegem os ativos de informação e tecnologia de uma organização que são acessíveis por terceiros que fornecem suprimentos e serviços à organização.
	Gerenciamento de incidentes de segurança da informação
	Descreve como antecipar e responder a violações de segurança da informação.
	Gerenciamento de continuidade de negócios
	Descreve a proteção, manutenção e recuperação de sistemas e processos essenciais para os negócios.
	Conformidade
	Descreve o processo de assegurar a conformidade com as políticas, normas e regulamentos de segurança da informação.
3.2.2
Políticas de Negócios
Políticas de negócios são as diretrizes que são desenvolvidas por uma organização para governar suas ações. As políticas definem padrões de comportamento correto para a empresa e seus funcionários. Na rede, as políticas definem as atividades permitidas na rede. Isso define uma linha de base de uso aceitável. Se um comportamento que viola a política de negócios for detectado na rede, é possível que tenha ocorrido uma violação de segurança.
Uma organização pode ter várias diretivas orientadoras, conforme listado na tabela.
	Política
	Descrição
	Políticas da empresa
	· Estas políticas estabelecem as regras de conduta e as responsabilidades dos trabalhadores e dos empregadores.
· As políticas protegem os direitos dos trabalhadores, bem como os interesses comerciais dos empregadores.
· Dependendo das necessidades da organização, várias políticas e procedimentos estabelecem regras relativas à conduta dos funcionários, assiduidade, código de vestimenta, privacidade e outras áreas relacionadas com os termos e condições de emprego.
	Políticas de funcionários
	· Essas políticas são criadas e mantidas pela equipe de recursos humanos para identificar o salário dos funcionários, o cronograma de pagamento, os benefícios dos funcionários, o horário de trabalho, as férias e muito mais.
· Muitas vezes, eles são fornecidos a novos funcionários para revisar e assinar.
	Políticas de segurança
	· Essas políticas identificam um conjunto de objetivos de segurança para uma empresa, definem as regras de comportamento para usuários e administradores e especificam os requisitos do sistema.
· Esses objetivos, regras e requisitos garantem coletivamente a segurança de uma rede e dos sistemas de computador em uma organização.
· Assim como um plano de continuidade, uma política de segurança é um documento em constante evolução com base em mudanças no cenário de ameaças, vulnerabilidades e requisitos de negócios e funcionários.
3.2.3
Política de Segurança
Uma política de segurança abrangente tem uma série de benefícios, incluindo os seguintes:
· Demonstra o compromisso de uma organização com a segurança
· Define as regraspara o comportamento esperado
· Garante a consistência nas operações do sistema, aquisição e uso de software e hardware e manutenção
· Define as consequências legais das violações
· Dá ao pessoal de segurança o apoio da gestão
As políticas de segurança são usadas para informar os usuários, funcionários e gerentes sobre os requisitos de uma organização para proteger os ativos de tecnologia e informação. Uma política de segurança também especifica os mecanismos necessários para atender aos requisitos de segurança e fornece uma linha de base a partir da qual adquirir, configurar e auditar sistemas e redes de computadores para conformidade.
A tabela lista as diretivas que podem ser incluídas em uma diretiva de segurança.
	Política
	Descrição
	Política de identificação e autenticação
	Especifica pessoas autorizadas que podem ter acesso a recursos de rede e procedimentos de verificação de identidade.
	Políticas de senha
	Garante que as senhas atendam aos requisitos mínimos e sejam alteradas regularmente.
	Acceptable Use Policy (AUP)
	Identifica os aplicativos e usos de rede que são aceitáveis para a organização. Também podem identificar as ramificações, se esta política for violada.
	Política de acesso remoto
	Identifica como os usuários remotos podem acessar uma rede e o que é acessível por meio de conectividade remota.
	Políticas de Manutenção de Rede
	Especifica procedimentos de atualização de sistemas operacionais dos dispositivos de rede e de aplicativos de usuário final.
	Procedimentos de tratamento de incidentes
	Descreve como os incidentes de segurança são tratados.
Um dos componentes de política de segurança mais comuns é um AUP. Isso também pode ser referido como uma política de uso apropriada. Este componente define o que os usuários têm ou não permissão para fazer nos vários componentes do sistema. Isso inclui o tipo de tráfego permitido na rede. A AUP deve ser a mais explícita possível, para evitar mal-entendidos.
Por exemplo, um AUP pode listar sites específicos, grupos de notícias ou aplicativos de uso intensivo de largura de banda que são proibidos de serem acessados por computadores da empresa ou da rede da empresa. Cada funcionário deve ser obrigado a assinar uma AUP, e as AUPs assinadas devem ser mantidas durante a duração do emprego.
3.2.4
Políticas BYOD
Muitas organizações agora também devem oferecer suporte ao BYOD (Traga seu próprio dispositivo). Isso permite que os funcionários usem seus próprios dispositivos móveis para acessar sistemas, software, redes ou informações da empresa. O BYOD oferece vários benefícios importantes para as empresas, incluindo aumento da produtividade, redução dos custos operacionais e de TI, melhor mobilidade para os funcionários e maior atração quando se trata de contratar e reter funcionários.
No entanto, esses benefícios também trazem um maior risco de segurança das informações, pois o BYOD pode levar a violações de dados e maior responsabilidade para a organização.
Uma política de segurança BYOD deve ser desenvolvida para realizar o seguinte:
· Especifique os objetivos do programa BYOD.
· Identifique quais funcionários podem trazer seus próprios dispositivos.
· Identifique quais dispositivos serão suportados.
· Identificar o nível de acesso que os funcionários são concedidos ao usar dispositivos pessoais.
· Descrever os direitos de acesso e as atividades permitidas ao pessoal de segurança no dispositivo.
· Identifique quais regulamentos devem ser cumpridos ao usar dispositivos de funcionários.
· Identifique as salvaguardas a serem implementadas se um dispositivo for comprometido.
A tabela lista as práticas recomendadas de segurança BYOD para ajudar a mitigar vulnerabilidades BYOD.
	Práticas recomendadas
	Descrição
	Acesso protegido por senha
	Use senhas exclusivas para cada dispositivo e conta.
	Controle manualmente a conectividade sem fio
	Desative a conectividade Wi-Fi e Bluetooth quando não estiver em uso. Conecte-se apenas a redes confiáveis.
	Mantenha-se atualizado
	Mantenha sempre o sistema operacional do dispositivo e outros softwares atualizados. O software atualizado geralmente contém patches de segurança para mitigar contra as ameaças ou explorações mais recentes.
	Dados de backup
	Ative o backup do dispositivo caso ele seja perdido ou roubado.
	Ativar “Localizar meu dispositivo”
	Assine um serviço de localizador de dispositivos com o recurso de apagamento remoto.
	Fornece software antivírus
	Fornecer software antivírus para dispositivos BYOD aprovados.
	Use um software gerenciamento de dispositivos móveis (MDM)
	O software MDM permite que as equipes de TI implementem configurações de segurança e configurações de software em todos os dispositivos que se conectam às redes da empresa.
3.2.5
Conformidade com regulamentações e padrões
Há também regulamentos externos em relação à segurança da rede. Os profissionais de segurança de rede devem estar familiarizados com as leis e códigos de ética que são vinculativos para os profissionais de Segurança de Sistemas de Informação (INFOSEC).
Muitas organizações são obrigadas a desenvolver e implementar políticas de segurança. Os regulamentos de conformidade definem o que as organizações são responsáveis pelo fornecimento e a responsabilidade caso não cumpram. Os regulamentos de conformidade que uma organização é obrigada a seguir dependem do tipo de organização e dos dados que a organização manipula. Regulamentos específicos de conformidade serão discutidos mais tarde no curso.
Ferramentas, plataformas e serviços de segurança
A cebola de segurança e a alcachofra de segurança
Existem duas analogias comuns que são usadas para descrever uma abordagem de defesa em profundidade.
Cebola de segurança
Alcachofra de segurança
Uma analogia comum usada para descrever uma abordagem de defesa em profundidade é chamada de “cebola de segurança”. Como ilustrado na figura, um ator de ameaça teria que descascar as defesas de uma rede camada por camada de uma maneira semelhante a descascar uma cebola. Somente depois de penetrar cada camada, o ator da ameaça alcançaria os dados ou o sistema de destino.
Observação: A cebola de segurança descrita nesta página é uma forma de visualizar a defesa em profundidade. Isso não deve ser confundido com o conjunto Security Onion de ferramentas de segurança de rede.
Ferramentas de teste de segurança
O hacking ético envolve o uso de muitos tipos diferentes de ferramentas para testar a rede e os dispositivos finais. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de segurança de rede foram desenvolvidas. O teste de penetração envolve o uso de técnicas e ferramentas de hackers para avaliar a força das medidas de segurança da rede. No entanto, muitas dessas ferramentas também podem ser usadas por atores ameaçadores para exploração.
Atores de ameaças também criaram várias ferramentas de hacking. Essas ferramentas são escritas explicitamente por motivos nefastos. O pessoal de segurança cibernética também deve saber como usar essas ferramentas ao realizar testes de penetração na rede.
Explore as categorias de ferramentas comuns de teste de penetração de rede. Observe como algumas ferramentas são usadas pelos white hats e black hats. Lembre-se de que a lista não é exaustiva, pois novas ferramentas são continuamente desenvolvidas.
Nota: Muitas dessas ferramentas são baseadas em UNIX ou Linux; portanto, um profissional de segurança deve ter uma sólida experiência em UNIX e Linux.
	Categorias de Ferramentas
	Descrição
	crackers da senha
	As senhas são a ameaça de segurança mais vulnerável. As ferramentas de quebra de senha são freqüentemente chamadas de ferramentas de recuperação de senha e podem ser usadas para quebrar ou recuperar a senha. Isso é feito removendo a senha original, depois de ignorar a criptografia de dados, ou pela descoberta direta da senha. Os crackers de senhas repetidamente fazem suposições para decifrar a senha e acessar o sistema. Exemplos de ferramentas de quebra de senha incluem John the Ripper, Ophcrack, L0phtCrack,THC Hydra, RainbowCrack e Medusa.
	ferramentas de hacking sem fio
	As redes sem fio são mais suscetíveis a ameaças à segurança da rede. As ferramentas de hackers sem fio são usadas para invadir intencionalmente uma rede sem fio para detectar vulnerabilidades de segurança. Exemplos de ferramentas de hacking sem fio incluem Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep e NetStumbler.
	digitalização de rede e ferramentas de hacking
	As ferramentas de verificação de rede são usadas para investigar dispositivos, servidores e hosts de rede em busca de portas TCP ou UDP abertas. Exemplos de ferramentas de digitalização incluem Nmap, SuperScan, Angry IP Scanner e NetScanTools.
	ferramentas de elaboração de pacotes
	Ferramentas de criação de pacotes são usadas para sondar e testar a robustez de um firewall usando pacotes forjados especialmente criados. Exemplos de tais ferramentas incluem Hping, Scapy, Socat, Yersinia, Netcat, Nping e Nemesis.
	sniffer de pacotes
	As ferramentas de farejadores de pacotes são usadas para capturar e analisar pacotes em LANs Ethernet ou WLANs tradicionais. As ferramentas incluem Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy e SSLstrip.
	detectores de rootkit
	Um detector de rootkit é um verificador de integridade de diretório e arquivo usado por white hats para detectar root kits instalados. Exemplos de ferramentas incluem AIDE, Netfilter e PF: OpenBSD Packet Filter.
	fuzzers para pesquisar vulnerabilidades
	Fuzzers são ferramentas usadas por agentes de ameaças ao tentar descobrir vulnerabilidades de segurança de um sistema de computador. Exemplos de difusores incluem Skipfish, Wapiti e W3af.
	ferramentas forenses
	Hackers White hat usam ferramentas forenses para farejar qualquer vestígio de evidência existente em um sistema de computador específico. Exemplos de ferramentas incluem Sleuth Kit, Helix, Maltego e Encase.
	Depuradores
	Ferramentas de depuração são usadas por Black Hats para fazer engenharia reversa de arquivos binários ao escrever exploits. Eles também são usados por white hats ao analisar malware. As ferramentas de depuração incluem GDB, WinDbg, IDA Pro e Immunity Debugger.
	hackeando sistemas operacionais
	Os sistemas operacionais de hacking são sistemas operacionais especialmente projetados, pré-carregados com ferramentas e tecnologias otimizadas para hackers. Exemplos de sistemas operacionais de hacking especialmente projetados incluem Kali Linux, SELinux, Knoppix, Parrot OS e BackBox Linux.
	ferramentas de criptografia
	Essas ferramentas salvaguardam o conteúdo dos dados de uma organização quando são armazenados ou transmitidos. As ferramentas de criptografia usam esquemas de algoritmo para codificar os dados e evitar o acesso não autorizado aos dados. Exemplos dessas ferramentas incluem VeraCrypt, CipherShed, Open SSH, OpenSSL, OpenVPN e Stunnel.
	ferramentas de exploração de vulnerabilidade
	Essas ferramentas identificam se um host remoto é vulnerável a um ataque de segurança. Exemplos de ferramentas de exploração de vulnerabilidade incluem Metasploit, Core Impact, Sqlmap, Social Engineer Tool Kit e Netsparker.
	scanner de vulnerabilidades
	Essas ferramentas examinam uma rede ou sistema para identificar portas abertas. Eles também podem ser usados para verificar vulnerabilidades conhecidas e verificar VMs, dispositivos BYOD e bancos de dados do cliente Exemplos dessas ferramentas incluem Nipper, Securia PSI, Core Impact, Nessus, SAINT e Open VAS.
3.3.3
Plataformas de segurança de dados
As plataformas de segurança de dados (DSP) são uma solução de segurança integrada que combina ferramentas tradicionalmente independentes em um conjunto de ferramentas que são feitas para trabalhar juntas. As ferramentas de segurança que protegem e monitoram redes geralmente são feitas por diferentes fornecedores. Pode ser difícil integrar essas ferramentas de tal forma que uma visão única da segurança da rede possa ser alcançada. Recursos significativos podem ser necessários para ter diferentes dispositivos e softwares sob uma única solução de controle. Além disso, a integração de dados de tais ferramentas diversas em uma visão abrangente de monitoramento da rede pode ser muito difícil de criar e manter.
Um desses DSP é a plataforma Helix da FireEye. FireEye Helix é uma plataforma de operações de segurança baseada em nuvem que permite às organizações integrar muitas funcionalidades de segurança em uma única plataforma. O Helix fornece gerenciamento de eventos, análise de comportamento de rede, detecção avançada de ameaças e orquestração, automação e resposta de segurança de incidentes (SOAR) para resposta a ameaças à medida que são detectadas. Helix também se baseia em inteligência contra ameaças FireEye Mandiant, resposta a incidentes e experiência em segurança.
Outro DSP integrado é Cisco SecureX. SecureX vai um passo mais longe com sua forte integração com o portfólio Cisco Secure. O portfólio Cisco Secure consiste em um amplo conjunto de tecnologias que funcionam como uma equipe - fornecendo interoperabilidade com a infraestrutura de segurança, incluindo tecnologias de terceiros. Isso resulta em visibilidade unificada, automação e defesas mais fortes. A plataforma Cisco SecureX trabalha com diversos produtos que se combinam para proteger sua rede, usuários e endpoints, borda da nuvem e aplicativos. A funcionalidade SecureX é incorporada em um portfólio grande e diversificado de produtos de segurança da Cisco, incluindo firewalls de próxima geração, VPN, análise de rede, mecanismo de serviço de identidade, proteção avançada contra malware (AMP) e muitos outros sistemas que trabalham para proteger todos os aspectos de uma rede. O SecureX também integra uma variedade de ferramentas de segurança de terceiros.
Serviços de segurança
Inteligência de ameaças e serviços de segurança permitem a troca de informações de ameaças, como vulnerabilidades, indicadores de comprometimento (COI) e técnicas de mitigação. Essas informações não são compartilhadas apenas com o pessoal, mas também com sistemas de segurança. À medida que as ameaças surgem, os serviços de inteligência de ameaças criam e distribuem regras de firewall e IOCs para os dispositivos que assinaram o serviço.
Um desses serviços é o Cisco Talos Threat Intelligence Group, mostrado na figura. Talos é uma das maiores equipes de inteligência de ameaças comerciais do mundo e é composta por pesquisadores, analistas e engenheiros de classe mundial. O objetivo do Talos é ajudar a proteger os usuários, dados e infraestrutura da empresa de adversários ativos. A equipe do Talos coleta informações sobre ameaças ativas, existentes e emergentes. O Talos então fornece proteção abrangente contra esses ataques e malware aos seus assinantes.
Os produtos da Cisco Security podem usar a inteligência de ameaças Talos em tempo real para fornecer soluções de segurança rápidas e eficazes. O Cisco Talos também fornece software, serviços, recursos e dados gratuitos. Talos mantém os conjuntos de regras de detecção de incidentes de segurança para as ferramentas de segurança de rede Snort.org, ClamAV e SpamCop.
Vários serviços de segurança de rede gerenciada estão disponíveis em provedores como Cisco, Sentinel Intrusion Prevention Systems, IBM, AT&T e Core Security. Essas organizações fornecem uma ampla gama de serviços, incluindo segurança como serviço gerenciada abrangente (SecCaaS ou SaaS)
Mitigando Ataques Comuns à Rede
Defendendo a Rede
Vigilância constante e educação contínua são necessários para defender sua rede contra ataques. Veja a seguir as melhores práticas para proteger uma rede:
· Desenvolver uma política de segurança escrita para a empresa.
· Eduque os funcionários sobre os riscos de engenharia social e desenvolva estratégias para validar identidades por telefone, por e-mail ou pessoalmente.
· Controle o acesso físico aos sistemas.
· Use senhas fortes e altere-as com frequência.
· Criptografe e proteja por senha dados confidenciais.
· Implemente hardware e software de segurança, comofirewalls, IPSs, dispositivos de rede privada virtual (VPN), software antivírus e filtragem de conteúdo.
· Execute backups e teste os arquivos de backup regularmente.
· Desligue serviços e portas desnecessários.
· Mantenha os patches atualizados instalando-os semanalmente ou diariamente, se possível, para evitar ataques de estouro de buffer e escalonamento de privilégios.
· Execute auditorias de segurança para testar a rede.
3.4.2
Mitigação de Malware
Malware, incluindo vírus, worms e cavalos de Tróia, pode causar sérios problemas em redes e dispositivos finais. Os administradores de rede têm vários meios de mitigar esses ataques.
Nota: As técnicas de mitigação são frequentemente referidas na comunidade de segurança como “contramedidas”.
Uma maneira de mitigar ataques de vírus e cavalos de Tróia é o software antivírus. O software antivírus ajuda a impedir que os hosts sejam infectados e espalhem código malicioso. Isso requer muito mais tempo para limpar computadores infectados do que para manter atualizações de software antivírus e definições de antivírus nas mesmas máquinas.
O software antivírus é o produto de segurança mais amplamente implantado no mercado hoje. Várias empresas que criam software antivírus, como Symantec, McAfee e Trend Micro, estão no negócio de detectar e eliminar vírus há mais de uma década. Muitas corporações e instituições educacionais compram licenciamento por volume para seus usuários. Os usuários são capazes de fazer login em um site com sua conta e baixar o software antivírus em seus desktops, laptops ou servidores.
Os produtos antivírus têm opções de automação de atualização para que novas definições de vírus e novas atualizações de software possam ser baixadas automaticamente ou sob demanda. Esta prática é o requisito mais crítico para manter uma rede livre de vírus e deve ser formalizada em uma política de segurança de rede.
Os produtos antivírus são baseados em host. Esses produtos são instalados em computadores e servidores para detectar e eliminar vírus. No entanto, eles não impedem que vírus entrem na rede, portanto, um profissional de segurança de rede deve estar ciente dos principais vírus e acompanhar as atualizações de segurança em relação a vírus emergentes.
Outra maneira de mitigar ameaças de malware é evitar que arquivos de malware entrem na rede. Dispositivos de segurança no perímetro da rede podem identificar arquivos de malware conhecidos com base em seus indicadores de compromisso. Os arquivos podem ser removidos do fluxo de dados de entrada antes que eles possam causar um incidente. Infelizmente, os atores da ameaça estão cientes dessa contramedida e freqüentemente alteram seu malware o suficiente para evitar a detecção. Essas façanhas entrarão na rede e também evitarão software antivírus. Nenhuma técnica de mitigação pode ser 100% eficaz. Incidentes de segurança vão acontecer.
3.4.3
Mitigando Worms
Worms são mais baseados em rede do que vírus. A mitigação de worm requer diligência e coordenação por parte dos profissionais de segurança de rede.
Como mostrado na figura, a resposta a um ataque de vermes pode ser dividida em quatro fases: contenção, inoculação, quarentena e tratamento.
	Fase
	Resposta
	1. custos
	A fase de contenção envolve limitar a propagação de uma infecção por vermes para áreas da rede que já estão afetadas. Isso requer compartimentação e segmentação da rede para abrandar ou parar o worm e evitar que hosts atualmente infectados segmentem e infectem outros sistemas. A contenção requer o uso de ACLs de saída e entrada em roteadores e firewalls em pontos de controle dentro da rede.
	2. Inoculação
	A fase de inoculação corre paralela ou subsequente à fase de contenção. Durante a fase de inoculação, todos os sistemas não infectados são corrigidos com o patch de fornecedor apropriado. O processo de inoculação priva ainda mais o worm de quaisquer alvos disponíveis.
	3. Quarentena
	A fase de quarentena envolve rastrear e identificar máquinas infectadas dentro das áreas contidas e desconectá-las, bloquear ou removê-las. Isto isola estes sistemas adequadamente para a fase de tratamento.
	4. Tratamento
	A fase de tratamento envolve a desinfecção ativa dos sistemas infectados. Isso pode envolver encerrar o processo do worm, remover arquivos modificados ou configurações do sistema introduzidos pelo worm e corrigir a vulnerabilidade que o worm usou para explorar o sistema. Alternativamente, em casos mais graves, o sistema pode precisar ser reinstalado para garantir que o worm e seus subprodutos sejam removidos.
Mitigando Ataques de Reconhecimento
Os ataques de reconhecimento são tipicamente o precursor de outros ataques que têm a intenção de obter acesso não autorizado a uma rede ou interromper a funcionalidade da rede. Um profissional de segurança de rede pode detectar quando um ataque de reconhecimento está em andamento recebendo notificações de alarmes pré-configurados. Estes alarmes são provocados quando determinados parâmetros são excedidos, tal como o número de pedidos ICMP por segundo. Uma variedade de tecnologias e dispositivos podem ser usados para monitorar esse tipo de atividade e gerar um alarme. A ferramenta de segurança adaptável (ASA) de Cisco fornece a prevenção da intrusão em um dispositivo autônomo. Além disso, o Cisco ISR apoia a prevenção de intrusão baseada em rede através da imagem de segurança do Cisco IOS.
Os ataques de reconhecimento podem ser mitigados de várias maneiras, incluindo o seguinte:
· Implementando a autenticação para garantir o acesso adequado.
· Usando criptografia para tornar os ataques de sniffer de pacotes inúteis.
· Usando ferramentas anti-sniffer para detectar ataques de sniffer de pacotes.
· Implementando uma infraestrutura comutada.
· Usando um firewall e IPS.
O software anti-sniffer e as ferramentas de hardware detectam mudanças no tempo de resposta dos hosts para determinar se os hosts estão processando mais tráfego do que suas próprias cargas de tráfego indicariam. Embora isso não elimine completamente a ameaça, como parte de um sistema geral de mitigação, pode reduzir o número de instâncias de ameaça.
A criptografia também é eficaz para mitigar ataques de sniffer de pacotes. Se o tráfego é criptografado, usar um sniffer de pacote é de pouca utilidade porque os dados capturados não são legíveis.
É impossível mitigar a varredura de portas, mas usar um sistema de prevenção de intrusões (IPS) e firewall pode limitar as informações que podem ser descobertas com um scanner de porta. As varreduras de ping podem ser paradas se o eco ICMP e a resposta de eco estiverem desligados nos roteadores de borda; contudo, quando esses serviços são desligados, os dados de diagnóstico de rede são perdidos. Além disso, as varreduras de porta podem ser executadas sem varreduras de ping completas. As varreduras simplesmente levam mais tempo porque os endereços IP inativos também são verificados.
A figura mostra métodos para mitigar ataques de reconhecimento. Um invasor é show conectado entre duas redes. Há um grande X vermelho sobre o atacante.
Técnicas de mitigação de ataque de reconhecimento
Mitigando ataques de acesso
Várias técnicas estão disponíveis para mitigar ataques de acesso. Estes incluem segurança de senha forte, princípio de confiança mínima, criptografia, aplicação de patches de sistema operacional e aplicativos.
Um número surpreendente de ataques de acesso é realizado através de simples adivinhação de senha ou ataques de dicionário de força bruta contra senhas. Para se defender contra isso, crie e imponha uma política de autenticação forte que inclua:
· Usar senhas fortes - Senhas fortes são pelo menos oito caracteres e contêm letras maiúsculas, letras minúsculas, números e caracteres especiais.
· Desativar contas após um número especificado de logins malsucedidos ter ocorrido - Esta prática ajuda a evitar tentativas contínuas de senha.
A rede também deve ser projetada usando o princípio da confiança mínima. Isso significa que os sistemas não devem usar um ao outro desnecessariamente. Por exemplo,se uma organização tiver um servidor confiável usado por dispositivos não confiáveis, como servidores Web, o servidor confiável não deve confiar nos dispositivos não confiáveis incondicionalmente.
A criptografia é um componente crítico de qualquer rede segura moderna. Recomenda-se o uso de criptografia para acesso remoto a uma rede. O tráfego do protocolo de roteamento também deve ser criptografado. Quanto mais o tráfego for criptografado, menos oportunidades que os hackers têm para interceptar dados com ataques man-in-the-middle.
O uso de protocolos de autenticação criptografados ou hash, juntamente com uma política de senha forte, reduz consideravelmente a probabilidade de ataques de acesso bem-sucedidos.
Por fim, eduque os funcionários sobre os riscos da engenharia social e desenvolva estratégias para validar identidades por telefone, e-mail ou pessoalmente. A autenticação multifator (MFA) tornou-se cada vez mais comum. Nesta abordagem, a autenticação requer dois ou mais meios independentes de verificação. Por exemplo, uma senha pode ser combinada com um código que é enviado por uma mensagem de texto. Software ou dispositivos separados podem ser usados para gerar tokens que são bons para apenas um uso. Esses valores de token, quando fornecidos com uma senha, fornecem uma camada adicional de segurança que impede o uso de senhas que foram adivinhadas ou roubadas por atores de ameaça.
Em geral, os ataques de acesso podem ser detectados através da revisão de logs, utilização da largura de banda e cargas de processo. A política de segurança de rede deve especificar que os logs são formalmente mantidos para todos os dispositivos e servidores de rede. Ao revisar os logs, o pessoal de segurança da rede pode determinar se ocorreu um número incomum de tentativas de login com falha.
3.4.6
Mitigação de Ataques DoS
Um dos primeiros sinais de um ataque DoS é um grande número de reclamações de usuários sobre recursos indisponíveis ou desempenho de rede excepcionalmente lento. Para minimizar o número de ataques, um pacote de software de utilização de rede deve estar sempre em execução. A análise do comportamento da rede pode detectar padrões incomuns de uso que indicam que um ataque DoS está ocorrendo. Um meio de detectar um comportamento incomum de rede deve ser exigido pela política de segurança de rede da organização. Um gráfico de utilização de rede mostrando atividade incomum também pode indicar um ataque DoS.
Os ataques DoS podem ser um componente de uma ofensiva maior. Os ataques DoS podem levar a problemas nos segmentos de rede dos computadores que estão sendo atacados. Por exemplo, a capacidade de pacote por segundo de um roteador entre a Internet e uma LAN pode ser excedida por um ataque, comprometendo não somente o sistema de destino, mas também os dispositivos de rede pelos quais o tráfego deve passar. Se o ataque for realizado em escala suficientemente grande, regiões geográficas inteiras de conectividade com a Internet podem ser comprometidas.
Historicamente, muitos ataques DoS foram provenientes de endereços falsificado. Os roteadores e switches Cisco apoiam um número de tecnologias antispoofing, tais como a segurança da porta, a espionagem do protocolo de configuração dinâmica do host (DHCP), o protetor da fonte IP, a inspeção do protocolo de resolução de endereço dinâmico (DAI), e as listas de controle de acesso (ACLs).
Framework de Proteção Cisco Network Foundation.
Framework NFP
A estrutura do Cisco Network Foundation Protection (NFP) fornece diretrizes abrangentes para proteger a infraestrutura de rede. Essas diretrizes formam a base para a prestação contínua do serviço.
O NFP divide logicamente roteadores e switches em três áreas funcionais, segundo as indicações da figura:
· Plano de controle - Responsável pelo roteamento de dados corretamente. O tráfego plano de controle consiste em pacotes gerados por dispositivo exigidos para a operação da própria rede, como trocas de mensagens ARP, ou anúncios de roteamento OSPF.
· Plano de gerenciamento - Responsável pela gestão de elementos de rede. O tráfego plano de gerenciamento é gerado por dispositivos de rede ou estações de gerenciamento de rede usando processos e protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, SYSLOG, TACACS+, RADIUS e NetFlow.
· Plano de dados (plano de encaminhamento) - Responsável pelo encaminhamento de dados. O tráfego plano de dados consiste normalmente em pacotes gerados pelo usuário que estão sendo enviados entre dispositivos finais. A maioria de tráfego viaja através do roteador, ou comuta, através do plano de dados.
Cisco NFP
Protegendo o Plano de Controle
O tráfego plano de controle consiste em pacotes gerados por dispositivo necessários para a operação da própria rede. A segurança do plano de controle pode ser implementada usando os seguintes recursos, conforme mostrado na figura:
· autenticação de protocolo de roteamento - A autenticação de protocolo de roteamento, ou a autenticação vizinha, impede que um roteador aceite atualizações de roteamento fraudulentas. A maioria dos protocolos de roteamento apoia a autenticação vizinha.
· Policiamento plano de controle (CoPP) - CoPP é uma característica do Cisco IOS projetada permitir que os usuários controlem o fluxo de tráfego que é segurado pelo processador de rotas de um dispositivo de rede.
· AutoSecure - AutoSecure pode bloquear as funções do plano de gerenciamento e os serviços e funções de plano de encaminhamento de um roteador.
CoPP foi projetado para evitar que tráfego desnecessário sobrecarregar o processador de rotas. O recurso COPP trata o plano de controle como uma entidade separada com suas portas de ingresso (entrada) e saída (saída). Um conjunto de regras pode ser estabelecido e associado às portas de entrada e saída do plano de controle.
A figura mostra métodos de fixação do plano de controle.
O Plano de Controle
Protegendo o Plano de Gerenciamento
O tráfego plano de gerenciamento é gerado por dispositivos de rede ou estações de gerenciamento de rede usando processos e protocolos como Telnet, SSH e TFTP, etc O plano de gerenciamento é um alvo muito atraente para hackers. Por esse motivo, o módulo de gerenciamento foi construído com diversas tecnologias projetadas para mitigar tais riscos.
O fluxo de informações entre os anfitriões de gerenciamento e os dispositivos gerenciados pode estar fora de banda (OOB), onde a informação flui dentro de uma rede na qual nenhum tráfego de produção reside. Ele também pode ser in-band, onde a informação flui através da rede de produção da empresa, da Internet ou ambos.
A segurança do plano de gerenciamento pode ser implementada usando os seguintes recursos, conforme mostrado na figura:
· Política de login e senha - Restringi a acessibilidade do dispositivo. Limita as portas acessíveis e restringe os métodos de acesso “quem” e “como”.
· Presente notificação legal - Exibe avisos legais. Estes são muitas vezes desenvolvidos pelo conselho jurídico de uma corporação.
· Garanta a confidencialidade dos dados - Protege os dados confidenciais armazenados localmente contra visualização ou cópia. Usa protocolos de gerenciamento com autenticação forte para mitigar ataques de confidencialidade destinados a expor senhas e configurações de dispositivos.
· Controle de acesso baseado em função (RBAC) - Garante que o acesso seja concedido apenas a usuários, grupos e serviços autenticados. Os serviços de RBAC e autenticação, autorização e contabilidade (AAA) fornecem mecanismos para gerenciar efetivamente o controle de acesso.
· Autorizar ações - Restringe as ações e visualizações permitidas por qualquer usuário, grupo ou serviço específico.
· Ativar relatórios de acesso de gerenciamento - Registros e contas para todo o acesso. Registra que acessaram o dispositivo, o que ocorreu e quando ocorreu.
O RBAC restringe o acesso do usuário com base na função do usuário. As funções são criadas de acordo com funções de tarefa ou tarefa e atribuídas permissões de acesso a ativos específicos. Os usuários são atribuídos a funções erecebem as permissões definidas para essa função.
No Cisco IOS, o recurso de acesso CLI baseado em função implementa o RBAC para o acesso de gerenciamento de roteador. O recurso cria diferentes “visualizações” que definem quais comandos são aceitos e quais informações de configuração são visíveis. Para escalabilidade, usuários, permissões e funções geralmente são criados e mantidos em um servidor de repositório central. Isso torna a política de controle de acesso disponível para vários dispositivos. O servidor do repositório central pode ser um Cisco Identity Services Engine (ISE) que possa fornecer serviços de rede de autenticação, autorização e contabilidade (AAA).
A figura mostra métodos de fixação do plano de Gestão.
O Plano de Gestão
Protegendo o plano de dados
O tráfego plano de dados consiste na maior parte dos pacotes de usuário que estão sendo enviados através do roteador através do plano de dados. A segurança do plano de dados pode ser executada usando ACLs, mecanismos antispoofing, e características de segurança da camada 2, segundo as indicações da figura.
A figura mostra os métodos de proteção do plano de dados.
O Plano de Dados
ACLs executam a filtragem de pacotes para controlar quais pacotes se movem através da rede e para onde esses pacotes podem ir. As ACLs são usadas para proteger o plano de dados de várias maneiras:
· Bloqueando tráfego ou usuários indesejados - ACLs podem filtrar pacotes de entrada ou saída em uma interface. Eles podem ser usados para controlar o acesso com base em endereços de origem, endereços de destino ou autenticação de usuário.
· Reduzindo a chance de ataques DoS - ACLs podem ser usados para especificar se o tráfego de anfitriões, redes ou usuários, pode acessar a rede. A característica da interceptação ASA TCP é um mecanismo que possa ser usado para proteger os anfitriões finais, especialmente server, dos ataques da Syn-inundação TCP.
· Mitigação de ataques de falsificação - ACLs permitem que os profissionais de segurança implementem práticas recomendadas para mitigar ataques de falsificação.
· Fornecendo controle de largura de banda - ACLs em um link lento podem impedir o tráfego excessivo.
· Classificar o tráfego para proteger os planos de Gerenciamento e Controle - ACLs podem ser aplicados nas linhas vty.
As ACLs podem igualmente ser usadas como um mecanismo antispoofing descartando o tráfego que tem um endereço de origem inválido. Isto significa que os ataques devem ser iniciados a partir de endereços IP válidos, alcançáveis, que permite que os pacotes sejam rastreados ao originador de um ataque.
Recursos, como Unicast Reverse Path Forwarding (URPF), podem ser usados para complementar a estratégia antispoofing.
Os Cisco Catalyst Switches podem usar recursos integrados para ajudar a proteger a infraestrutura da camada 2. As seguintes ferramentas de segurança da camada 2 são integradas nos switches Cisco Catalyst:
· Port security - Impede a falsificação de endereços MAC e ataques de inundação de endereços MAC.
· DHCP snooping - Impede ataques de cliente no servidor e switch DHCP.
· Inspeção dinâmica de ARP (DAI) - Adiciona segurança ao ARP usando a tabela de espionagem DHCP para minimizar o impacto de ataques de envenenamento e spoofing ARP.
· Proteção de origem IP (IPSG) - Impede a falsificação de endereços IP usando a tabela de espionagem DHCP.
Este curso centra-se nas várias tecnologias e protocolos utilizados para proteger os planos de Gestão e Dados.
Resumo de Mitigação de Ameaças
O que aprendi neste módulo?
Defendendo a Rede
Os profissionais de segurança de rede são responsáveis por manter a garantia de dados para uma organização e garantir a integridade e confidencialidade das informações. Um profissional de segurança deve se manter informado sobre ameaças e vulnerabilidades conforme elas evoluem. Existem várias organizações de segurança de rede para mantê-lo informado, incluindo SANS, Mitre, FIRST, SecurityNewsWire, ISC2 e CIS. As certificações para profissionais de segurança de rede são oferecidas pelas seguintes organizações:
· GIAC
· ISC2
· ISACA
· EC-Council
· CWSP
A segurança da informação trata da proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição. A Tríade da CIA serve como base conceitual para o campo. A tríade da CIA consiste em três componentes de segurança da informação: Confidencialidade, Integridade e Disponibilidade.
Políticas de Segurança de Rede
Existem 14 domínios de segurança de rede especificados pela ISO/IEC. Descritos pela ISO / IEC 27002, esses 14 domínios servem para organizar, em alto nível, o vasto domínio de informações sob a égide da segurança de rede. Esses domínios têm alguns paralelos significativos com domínios definidos pela certificação CISSP. Os 14 domínios têm como objetivo servir como uma base comum para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a comunicação entre as empresas. Na rede, as políticas definem as atividades permitidas na rede. As políticas que podem ser incluídas em uma política de segurança incluem política de identificação e autenticação, políticas de senha, política de uso aceitável, política de acesso remoto, política de manutenção de rede e procedimentos de tratamento de incidentes. Uma política de segurança é um “documento vivo”, o que significa que o documento é atualizado regularmente à medida que os requisitos de tecnologia, negócios e funcionários mudam. Muitas empresas também precisam colocar políticas em torno de BYOD. Há também regulamentos externos em relação à segurança da rede. Os profissionais de segurança de rede devem estar familiarizados com as leis e códigos de ética que são obrigatórios para os profissionais da INFOSEC.
Ferramentas, plataformas e serviços de segurança
Existem duas analogias comuns que são usadas para descrever uma abordagem de defesa em profundidade: Segurança em Cebola (Security Onion) e Segurança em Alcachofra (Security Artichoke). Com o Segurança em Cebola, um agente de ameaça teria que descascar as defesas de uma rede camada por camada de maneira semelhante a descascar uma cebola. O cenário em mudança da rede, como a evolução das redes sem fronteiras, mudou essa analogia para a “alcachofra de segurança”, que beneficia o ator de ameaça. Os atores da ameaça não precisam mais remover cada camada. Eles só precisam remover certas “folhas de alcachofra”. Para validar a segurança de uma rede e seus sistemas, muitas ferramentas de teste de penetração de rede foram desenvolvidas. As categorias dessas ferramentas incluem crackers de senha, ferramentas de hacking sem fio, varredura de rede e ferramentas de hacking, ferramentas de criação de pacotes, sniffers de pacotes, detectores de rootkit, fuzzers para procurar vulnerabilidades, ferramentas forenses, depuradores, sistemas operacionais de hacking, ferramentas de criptografia, ferramentas de exploração de vulnerabilidades, Os serviços de inteligência de ameaças permitem a troca de informações sobre ameaças, como vulnerabilidades, IOCs e técnicas de mitigação. Um desses serviços é o Cisco Talos Threat Intelligence Group.
Mitigando ataques de rede comuns
As seguintes práticas recomendadas são usadas para proteger uma rede: desenvolver uma política de segurança escrita, educar funcionários, controlar o acesso físico aos sistemas, usar senhas fortes e alterá-las com frequência, criptografar e senha- proteger dados confidenciais, implementar hardware e software de segurança, realizar backups e testar o faça backup de arquivos, desligue serviços e portas desnecessários, mantenha patches atualizados e execute auditorias e testes de segurança. Os administradores de rede têm vários meios de mitigar ataques de malware. O principal meio de mitigar ataques de vírus e cavalos de Tróia é o software antivírus, o produto de segurança mais amplamente implantado no mercado hoje. No entanto, eles não impedem que vírus entrem na rede, portanto, umprofissional de segurança de rede deve estar ciente dos principais vírus e acompanhar as atualizações de segurança em relação a vírus emergentes. Worms são mais baseados em rede do que vírus. A resposta a um ataque de vermes pode ser dividida em quatro fases: contenção, inoculação, quarentena e tratamento. Os ataques de reconhecimento são tipicamente o precursor de ataques adicionais, com a intenção de obter acesso não autorizado a uma rede ou interromper a funcionalidade da rede. Um profissional de segurança de rede pode detectar quando um ataque de reconhecimento está em andamento recebendo notificações de alarmes pré-configurados. Os ataques de reconhecimento podem ser atenuados de várias maneiras, incluindo as seguintes: implementar autenticação para garantir o acesso adequado, usar criptografia para tornar os ataques de sniffer de pacotes inúteis, usar ferramentas anti-sniffer para detectar ataques de sniffer de pacotes, implementar uma infraestrutura comutada e usar um firewall e IPS. A criptografia também é eficaz para mitigar ataques de sniffer de pacotes. Várias técnicas estão disponíveis para mitigar ataques de acesso. Estes incluem segurança de senha forte, princípio de confiança mínima, criptografia, aplicação de patches de sistema operacional e aplicativos. Para minimizar o número de ataques DoS, um pacote de software de utilização de rede deve estar sempre em execução. Os ataques DoS podem ser um componente de uma ofensiva maior. Os ataques DoS podem levar a problemas nos segmentos de rede dos computadores que estão sendo atacados. Historicamente, muitos ataques DoS foram provenientes de endereços falsificado. Os roteadores e switches Cisco suportam um número de tecnologias antispoofing, como segurança de porta, espião DHCP, proteção de origem IP, inspeção ARP dinâmica e ACLs.
Framework de Proteção Cisco Network Foundation.
A estrutura Cisco NFP fornece diretrizes abrangentes para proteger a infraestrutura de rede. Essas diretrizes formam a base para a prestação contínua do serviço. O NFP divide logicamente roteadores e switches em três áreas funcionais: plano de controle, plano de gerenciamento e plano de dados (plano de transmissão). A segurança do plano de controle pode ser implementada usando os seguintes recursos: autenticação de protocolo de roteamento, CoPP e AutoSecure. CoPP foi projetado para evitar que tráfego desnecessário sobrecarregar o processador de rotas. O módulo de gerenciamento foi construído com várias tecnologias projetadas para mitigar os riscos dos atores de ameaça. A segurança do plano de gerenciamento pode ser implementada usando os seguintes recursos: política de login e senha, notificação legal atual, garantir a confidencialidade dos dados, RBAC, autorizar ações e permitir relatórios de acesso de gerenciamento. A segurança do plano de dados pode ser implementada usando ACLs, mecanismos antispoofing e recursos de segurança da camada 2. As ACLs são usadas para proteger os dados de várias maneiras, incluindo: bloquear tráfego ou usuários indesejados, reduzir a chance de ataques DoS, mitigar ataques de falsificação, fornecer controle de largura de banda, classificar o tráfego para proteger os planos de Gerenciamento e Controle. ACLs também podem ser usados como um mecanismo antispoofing descartando o tráfego que tem um endereço de origem inválido. recursos, como URPF, podem ser usados para complementar a estratégia antispoofing. As seguintes ferramentas de segurança da Camada 2 são integradas aos switches Cisco Catalyst: segurança de porta, rastreamento de DHCP, DAI e IPSG. A estrutura Cisco NFP fornece diretrizes abrangentes para proteger a infraestrutura de rede. Essas diretrizes formam a base para a prestação contínua do serviço. O NFP divide logicamente roteadores e switches em três áreas funcionais: plano de controle, plano de gerenciamento e plano de dados (plano de transmissão). A segurança do plano de controle pode ser implementada usando os seguintes recursos: autenticação de protocolo de roteamento, CoPP e AutoSecure. CoPP foi projetado para evitar que tráfego desnecessário sobrecarregar o processador de rotas. O módulo de gerenciamento foi construído com várias tecnologias projetadas para mitigar os riscos dos atores de ameaça. A segurança do plano de gerenciamento pode ser implementada usando os seguintes recursos: política de login e senha, notificação legal atual, garantir a confidencialidade dos dados, RBAC, autorizar ações e permitir relatórios de acesso de gerenciamento. A segurança do plano de dados pode ser implementada usando ACLs, mecanismos antispoofing e recursos de segurança da camada 2. As ACLs são usadas para proteger os dados de várias maneiras, incluindo: bloquear tráfego ou usuários indesejados, reduzir a chance de ataques DoS, mitigar ataques de falsificação, fornecer controle de largura de banda, classificar o tráfego para proteger os planos de Gerenciamento e Controle. ACLs também podem ser usados como um mecanismo antispoofing descartando o tráfego que tem um endereço de origem inválido. recursos, como URPF, podem ser usados para complementar a estratégia antispoofing. As seguintes ferramentas de segurança da Camada 2 são integradas aos switches Cisco Catalyst: segurança de porta, rastreamento de DHCP, DAI e IPSG.
Introdução – Modulo 4
Por que devo fazer este módulo?
A proteção do acesso ao dispositivo é uma tarefa crítica para um profissional de segurança de rede. Você pode pensar em um roteador como o portão trancado para o seu cercado no quintal. Se alguém ganha entrada naquele portão, eles estão um passo mais perto de ter acesso à sua propriedade em seu quintal e em sua casa! Quem deve ter acesso autorizado? Como você protege o roteador de borda? Que etapas você toma para configurar o acesso administrativo seguro? Como você pode configurar a segurança aprimorada para logins virtuais? Continue lendo para saber mais!
4.0.2
O que vou aprender neste módulo?
Título do módulo: Acesso seguro ao dispositivo
Objetivo do módulo: Configurar o acesso administrativo seguro.
	Título do Tópico
	Objetivo do Tópico
	Proteja o roteador de borda
	Explicar como proteger um perímetro de rede.
	Configurar o acesso administrativo seguro
	Use os comandos correctos configurar senhas em um dispositivo Cisco IOS.
	Configurar segurança aprimorada para logins virtuais
	Use os comandos corretos para configurar a segurança aprimorada para logins virtuais.
	Configurar SSH
	Configurar um daemon SSH para gerenciamento remoto seguro.
Proteja o roteador de borda
Proteger a infraestrutura de rede
A proteção da infraestrutura de rede é fundamental para a segurança geral da rede. A infraestrutura de rede inclui roteadores, switches, servidores, endpoints e outros dispositivos.
Considere um funcionário descontente olhando casualmente sobre o ombro de um administrador de rede enquanto o administrador estiver fazendo login em um roteador de borda. É uma maneira surpreendentemente fácil de um atacante obter acesso não autorizado.
Se um invasor obtém acesso a um roteador, a segurança e o gerenciamento de toda a rede podem ser comprometidos. Por exemplo, um invasor pode apagar a configuração de inicialização e fazer o roteador recarregar em cinco minutos. Quando o roteador reinicializa, ele não terá uma configuração de inicialização.
Para evitar o acesso não autorizado a todos os dispositivos de infraestrutura, políticas e controles de segurança adequados devem ser implementados. Os roteadores são o principal alvo de ataques porque esses dispositivos atuam como policiais de trânsito, que direcionam o tráfego para dentro, para fora e entre as redes.
O roteador de borda mostrado na figura é o último roteador entre a rede interna e uma rede não confiável, como a Internet. Todo o tráfego de internet de uma organização passa por um roteador de borda, que geralmente funciona como a primeira e última linha de defesa para uma rede. O roteador de borda ajuda a proteger o perímetro de uma rede protegida e implementa ações de segurança baseadas nas políticas de segurançada organização. Por estas razões, proteger os roteadores de rede é imperativo.
A figura mostra o roteador de borda entre a rede interna e uma rede não confiável.
O Roteador de Borda.
Abordagens de Segurança de
A implementação do roteador de borda varia dependendo do tamanho da organização e da complexidade do projeto de rede necessário. As implementações de roteador podem incluir um único roteador que protege uma rede interna inteira ou um roteador funcionando como a primeira linha de defesa em uma abordagem de defesa aprofundada. Topologias simplificadas para as três abordagens são mostradas na figura.
Abordagem de roteador único
Na figura, um único roteador conecta a rede protegida ou a rede local interna (LAN), à Internet. Todas as políticas de segurança são configuradas neste dispositivo. Isso é mais comumente implantado em implementações de sites menores, como filiais e pequenos escritórios, escritórios domésticos (SOHO). Em redes menores, os recursos de segurança necessários podem ser suportados por ISRs (Integrated Services Routers) sem impedir as capacidades de desempenho do roteador.
Abordagem de defesa em profundidade
Uma abordagem de defesa em profundidade é mais segura do que a abordagem de roteador único. Ele usa várias camadas de segurança antes do tráfego que entra na LAN protegida. Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se conecte à LAN protegida. O roteador de borda atua como a primeira linha de defesa e é conhecido como roteador de triagem. Depois de executar a filtragem de tráfego inicial, o roteador de borda passa todas as conexões que são pretendidas para a LAN interna para a segunda linha de defesa, que é o firewall.
O firewall normalmente pega onde o roteador de borda sai e executa filtragem adicional. Ele fornece controle de acesso adicional, rastreando o estado das conexões e atua como um dispositivo de ponto de verificação. Por padrão, o firewall nega o início de conexões das redes externas (não confiáveis) para a rede interna (confiável). Contudo, permite que os usuários internos estabeleçam conexões às redes não confiáveis e permite que as respostas voltem através do firewall. Ele também pode executar a autenticação do usuário (proxy de autenticação) em que os usuários devem ser autenticados para obter acesso a recursos de rede.
Os roteadores não são os únicos dispositivos que podem ser usados em uma abordagem de defesa em profundidade. Outras ferramentas de segurança, como sistemas de prevenção de intrusões (IPSs), dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de e-mail (filtragem de spam) também podem ser implementadas.
Abordagem DMZ
Uma variação da abordagem de defesa em profundidade é mostrada na figura. Esta abordagem inclui uma área intermediária, muitas vezes chamada de zona desmilitarizada (DMZ). A DMZ pode ser usada para servidores que devem ser acessíveis a partir do Internet ou de alguma outra rede externa. A DMZ pode ser configurada entre dois roteadores, com um roteador interno conectando à rede protegida e um roteador externo que conecta à rede desprotegida. Alternativamente, a DMZ pode simplesmente ser uma porta adicional fora de um único roteador. O firewall está localizado entre as redes protegidas e desprotegidas. O firewall é configurado para permitir as conexões necessárias, como HTTP, das redes externas (não confiáveis) aos servidores públicos na DMZ. O firewall serve como a proteção primária para todos os dispositivos na DMZ.
4.1.3
Três áreas de segurança do roteador
Protegendo o roteador de borda é um primeiro passo crítico para proteger a rede. Se houver outros roteadores internos, eles também devem ser configurados com segurança. Três áreas de segurança do roteador devem ser mantidas.
Segurança física
Forneça segurança física para os roteadores:
· Coloque o roteador e os dispositivos físicos que se conectam a ele em uma sala trancada segura que é acessível apenas ao pessoal autorizado, está livre de interferência eletrostática ou magnética, tem supressão de fogo e tem controles de temperatura e umidade.
· Instale uma fonte de alimentação ininterrupta (UPS) ou gerador de energia de backup a diesel. Use fontes de alimentação redundantes em dispositivos de rede, se possível. Isso reduz a possibilidade de uma falha de rede de perda de energia ou equipamentos de energia com falha.
Software de sistema operacional
Há alguns procedimentos envolvidos em proteger os recursos e o desempenho dos sistemas operacionais de roteador:
· Equipar roteadores com a quantidade máxima de memória possível. A disponibilidade de memória pode ajudar a reduzir os riscos para a rede de alguns ataques de negação de serviço (DoS) enquanto suporta a mais ampla gama de serviços de segurança.
· Use a versão mais recente e estável do sistema operacional que atenda às especificações de recurso do roteador ou dispositivo de rede. Os recursos de segurança e criptografia em um sistema operacional são aprimorados e atualizados ao longo do tempo, o que torna fundamental ter a versão mais atualizada.
· Mantenha uma cópia segura das imagens do sistema operacional do roteador e dos arquivos de configuração do roteador como backups.
Endurecimento do roteador
Elimine o potencial abuso de portos e serviços não utilizados:
· Controle administrativo seguro. Certifique-se de que somente o pessoal autorizado tenha acesso e que seu nível de acesso seja controlado.
· Desativar portas e interfaces não utilizadas. Reduza o número de maneiras que um dispositivo pode ser acessado.
· Desativar serviços desnecessários. Semelhante a muitos computadores, um roteador tem serviços que são ativados por padrão. Alguns desses serviços são desnecessários e podem ser usados por um invasor para reunir informações sobre o roteador e a rede. Esta informação pode então ser usada em um ataque de exploração.
4.1.4
Acesso administrativo seguro
A segurança do acesso administrativo é uma tarefa de segurança extremamente importante. Se uma pessoa não autorizada obtiver acesso administrativo a um roteador, essa pessoa poderá alterar parâmetros de roteamento, desabilitar funções de roteamento ou descobrir e obter acesso a outros sistemas dentro da rede.
Várias tarefas importantes estão envolvidas na proteção do acesso administrativo a um dispositivo de infraestrutura:
· Restringir a acessibilidade do dispositivo - Limite as portas acessíveis, restrinja os comunicadores permitidos e restrinja os métodos permitidos de acesso.
· Registro e conta para todos os acessos - Grave qualquer pessoa que acessa um dispositivo, o que aconteceu durante o acesso e quando o acesso ocorreu para fins de auditoria.
· Autenticar acesso - Certifique-se de que o acesso seja concedido somente a usuários, grupos e serviços autenticados. Limite o número de tentativas de login com falha e o tempo permitido entre logins.
· Autorizar ações - Restringir as ações e exibições permitidas por qualquer usuário, grupo ou serviço específico.
· Apresentar notificação legal - Exibir um aviso legal, que deve ser desenvolvido com consultor jurídico da empresa, para diferentes tipos de acesso ao dispositivo.
· Garanta a confidencialidade dos dados - Proteja os dados armazenados localmente e confidenciais de serem visualizados e copiados. Considere a vulnerabilidade dos dados em trânsito em um canal de comunicação para sniffing, sequestro de sessão e ataques de man-in-the-middle (MITM).
4.1.5
Seguro acesso local e remoto
Um roteador pode ser acessado para fins administrativos local ou remotamente:
· Acesso local - Todos os dispositivos de infraestrutura de rede podem ser acessados localmente. O acesso local a um roteador geralmente requer uma conexão direta a uma porta de console no roteador Cisco e usando um computador que esteja executando o software de emulação de terminal, como mostrado na figura. O administrador deve ter acesso físico ao roteador e usar um cabo de console para se conectar à porta de console. O acesso local é usado tipicamente para a configuração inicialdo dispositivo.
· Acesso remoto - Os administradores também podem acessar dispositivos de infraestrutura remotamente, como mostrado na figura. Embora a opção de porta auxiliar esteja disponível, o método de acesso remoto mais comum envolve permitir conexões Telnet, SSH, HTTP, HTTPS ou SNMP ao roteador a partir de um computador. O computador pode estar na rede local ou em uma rede remota. No entanto, se a conectividade de rede ao dispositivo estiver inativa, a única maneira de acessá-lo pôde ser sobre linhas telefônicas.
A figura mostra o método de acesso local usando uma conexão serial, o acesso remoto usando o método SSH e o acesso remoto usando modem e método de porta auxiliar usando uma conexão serial através de linhas telefônicas.
Métodos de acesso administrativo
Alguns protocolos de acesso remoto enviam dados, incluindo nomes de usuário e senhas, para o roteador em texto simples. Se um invasor puder coletar o tráfego de rede enquanto um administrador estiver logando remotamente em um roteador, o invasor poderá capturar senhas ou informações de configuração do roteador. Por esta razão, é preferível permitir somente o acesso local ao roteador. No entanto, em algumas situações, o acesso remoto ainda pode ser necessário. Precauções devem ser tomadas ao acessar a rede remotamente:
· Criptografe todo o tráfego entre o computador administrador e o roteador. Por exemplo, em vez de usar Telnet, use SSH versão 2; ou em vez de usar HTTP, use HTTPS.
· Estabelecer uma rede de gestão dedicada. A rede de gerenciamento deve incluir somente hosts de administração identificados e conexões a uma interface dedicada no roteador. O acesso a esta rede pode ser rigorosamente controlado.
· Configurar um filtro de pacote de informação para permitir que somente os anfitriões de administração identificados e os protocolos preferidos alcançam o roteador. Por exemplo, permita que somente solicitações SSH do endereço IP de um host de administração iniciem uma conexão com o Roteadores na rede.
· Configure e estabeleça uma conexão VPN à rede local antes de se conectar a uma interface de gerenciamento de roteador.
Essas precauções são valiosas, mas não protegem completamente a rede. Outros métodos de defesa também devem ser implementados. Um dos métodos mais básicos e importantes é o uso de senhas seguras.
Configurar o acesso administrativo seguro
Senhas
É importante usar senhas fortes para proteger dispositivos de rede. Estas são as diretrizes padrão a serem seguidas:
· Use um comprimento de senha de pelo menos oito caracteres, de preferência 10 ou mais caracteres. Uma senha mais longa é uma senha mais segura.
· Use senhas complexas. Inclua uma combinação de letras maiúsculas e minúsculas, números, símbolos e espaços, se permitido.
· Evite as senhas com base em repetição, palavras comuns de dicionário, sequências de letras ou números, nomes de usuário, nomes de parentes ou de animais de estimação, informações biográficas, como datas de nascimento, números de identificação, nomes de antepassados ou outras informações facilmente identificáveis.
· Deliberadamente, soletre errado uma senha. Por exemplo, Smith = Smyth = 5mYth ou Security = 5ecur1ty.
· Altere as senhas periodicamente. Se uma senha for inconscientemente comprometida, a janela de oportunidade para o agente de ameaças usar a senha é limitada.
· Não anote as senhas e muito menos as deixe em locais óbvios, como em sua mesa ou no monitor.
As tabelas mostram exemplos de senhas fortes e fracas.
	Senha Fraca
	Por que ela é fraca?
	secret
	Senha simples de dicionário
	smith
	Nome de solteira da mãe
	toyota
	Fabricante de um carro
	bob1967
	Nome e data de nascimento do usuário
	Blueleaf23
	Palavras e números simples
	Senha Forte
	Por que ela é forte?
	b67n42d39c
	Combina caracteres alfanuméricos
	12^h u4@1p7
	Combina caracteres alfanuméricos, símbolos e inclui um espaço
Nos roteadores Cisco, os espaços à esquerda são ignorados em senhas, mas os espaços após o primeiro caractere não são ignorados. Portanto, um método para criar uma senha forte é utilizar a barra de espaço e criar uma frase feita de muitas palavras. Isso se chama uma frase secreta. Uma frase secreta é geralmente mais fácil de lembrar do que uma senha simples. Também é maior e mais difícil de ser descoberta.
Gerenciador de senha
Use um gerenciador de senha para proteger senhas para sua atividade on-line da Internet. Considerada a melhor prática para proteger as senhas, o Gerenciador de Senhas gera automaticamente senhas complexas para você e as inserirá automaticamente quando você acessar esses sites. Você só precisa inserir uma senha principal para ativar esse recurso.
Autenticação multifator
Use a autenticação multi-fator quando disponível. Isso significa que a autenticação requer dois ou mais meios independentes de verificação. Por exemplo, quando você insere uma senha, também terá que inserir um código que é enviado para você por meio de e-mail ou mensagem de texto.
4.2.2
Configurar Senhas
Quando você se conecta inicialmente a um dispositivo, você está no modo EXEC do usuário. Este modo é protegido usando o console.
Para proteger o acesso ao modo EXEC do usuário, insira o modo de configuração do console de linha usando o comando de configuração global line console 0, conforme mostrado no exemplo. O zero é usado para representar a primeira interface de console (e a única, na maioria dos casos). Em seguida, especifique a senha do modo EXEC do usuário usando o comando password password. Por fim, ative o acesso EXEC do usuário usando o comando login
Sw-Floor-1# configure terminal Sw-Floor-1(config)# line console 0 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end Sw-Floor-1#
O acesso ao console agora exigirá uma senha antes de permitir o acesso ao modo EXEC do usuário.
Para ter acesso de administrador a todos os comandos do IOS, incluindo a configuração de um dispositivo, você deve obter acesso privilegiado no modo EXEC. É o método de acesso mais importante porque fornece acesso completo ao dispositivo.
Para proteger o acesso EXEC privilegiado, use o comando de configuração global enable secret password , conforme mostrado no exemplo.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#
As linhas de terminal virtual (VTY) permitem acesso remoto usando Telnet ou SSH ao dispositivo. Muitos switches Cisco são compatíveis com até 16 linhas VTY numeradas de 0 a 15. A maioria dos roteadores apoia quatro linhas VTY que são o número 0 a 4. Neste exemplo, estamos configurando um switch de camada de acesso.
Para proteger linhas VTY, entre no modo VTY de linha usando o comando de configuraão global line vty 0 15. Em seguida, especifique a senha do VTY usando o comando password password. Por último, ative o acesso VTY usando o comando login.
Um exemplo de segurança das linhas VTY em um switch é mostrado.
Criptografar as Senhas
Senhas fortes são úteis apenas se forem secretas. Existem várias etapas que podem ser tomadas para ajudar a garantir que as senhas permaneçam secretas em um roteador e switch Cisco, incluindo estes:
· Criptografando todas as senhas de texto sem formatação;
· Definindo um tamanho mínimo aceitável de senha;
· Deterção de ataques de adivinhação de senha de força bruta;
· Desativando um acesso de modo EXEC privilegiado inativo após um período especificado.
Os arquivos startup-config e running-config exibem a maioria das senhas em texto simples. Esta é uma ameaça à segurança, porque qualquer pessoa pode descobrir as senhas se tiver acesso a esses arquivos.
Para criptografar todas as senhas de texto simples, use o comando de configurção global service password-encryption conforme mostrado no exemplo.
Sw-Floor-1# configure terminal Sw-Floor-1(config)# service password-encryption Sw-Floor-1(config)#
O comando aplica criptografia fraca a todas as senhas não criptografadas. Essa criptografia se aplica apenas às senhas no arquivo de configuração, não às senhas como são enviadas pelarede. O propósito deste comando é proibir que indivíduos não autorizados vejam as senhas no arquivo de configuração.
Use o comando show running-config para verificar se as senhas agora estão criptografadas.
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
(Output omitted)
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
 password 7 094F471A1A0A
 login
line vty 5 15
 password 7 094F471A1A0A
 login
!
!
end
Segurança de Senha Adicional
Como mostrado na configuração de amostra, o comando de configuração global service password-encryption impede que os indivíduos não autorizados visualizem senhas de texto simples no arquivo de configuração. Este comando criptografa todas as senhas de texto sem formatação. Observe no exemplo, que a senha "cisco" foi criptografado como "094F471A1A0A".
Para garantir que todas as senhas configuradas são um mínimo de um comprimento especificado, use o comando security passwords min-length lengh no modo de configuração global.
Os atores ameaçadores podem usar software de quebra de senha para realizar um ataque de força bruta em um dispositivo de rede. Este ataque tenta continuamente adivinhar as senhas válidas até que uma funcione. Use o comando de configuração global login block-for seconds attempts number within seconds para impedir este tipo de ataque.
Os administradores de rede podem se distrair e acidentalmente deixar uma sessão de modo EXEC privilegiada aberta em um terminal. Isso pode permitir que um ator de ameaça interno tenha acesso para alterar ou apagar a configuração do dispositivo. Por padrão, os roteadores Cisco farão logout de uma sessão EXEC após 10 minutos de inatividade. No entanto, você pode reduzir essa configuração usando o comando de configuração de linha exec-timeout minutes seconds. Esse comando pode ser aplicado on-line console, auxiliares e linhas vty.
Por exemplo, os seguintes comandos configuram:
· Todas as senhas sem texto são criptografadas.
· Novas senhas configuradas devem ter oito caracteres ou mais.
· Se houver mais de três tentativas de login com falhas no prazo de 60 segundos, basta bloquear as linhas por 120 segundos.
· Defina o roteador para desconectar automaticamente um usuário inativo em uma linha vty se a linha estiver ociosa por 5 minutos e 30 segundos.
R1(config)# service password-encryption 
R1(config)# security passwords min-length 8 
R1(config)# login block-for 120 attempts 3 within 60
R1(config)# line vty 0 4 
R1(config-line)# password cisco123 
R1(config-line)# exec-timeout 5 30 
R1(config-line)# transport input ssh 
R1(config-line)# end 
R1# 
R1# show running-config | section line vty
line vty 0 4
 password 7 094F471A1A0A
 exec-timeout 5 30
 login
 transport input ssh
R1#
4.2.5
Algoritmos de senha secreta
Os hashes MD5 não são mais considerados seguros porque os invasores podem reconstruir certificados válidos. Isso pode permitir que os invasores falsificar qualquer site. O comando enable secret password mostrado na figura usa um hash MD5 por padrão. Portanto, agora é recomendável que você configure todas as senhas secretas usando senhas tipo 8 ou tipo 9. O tipo 8 e o tipo 9 foram introduzidos no Cisco IOS 15.3 (3) M. O tipo 8 e o tipo 9 usam a criptografia SHA. Porque o tipo 9 é ligeiramente mais forte do que o tipo 8, ele será usado durante todo este curso sempre que for permitido pelo Cisco IOS.
R1(config)# enable secret cisco12345 
R1(config)# do show run | include enable 
enable secret 5 $1$cam7$99EfzkvmJ5h1gEbryLVRy. 
R1(config)# enable secret ? 
 0 Specifies an UNENCRYPTED password will follow 
 5 Specifies a MD5 HASHED secret will follow 
 8 Specifies a PBKDF2 HASHED secret will follow 
 9 Specifies a SCRYPT HASHED secret will follow 
 LINE The UNENCRYPTED (cleartext) 'enable' secret 
 level Set exec level password 
 
R1(config)# line con 0 
R1(config-line)# password ? 
 0 Specifies an UNENCRYPTED password will follow 
 7 Specifies a HIDDEN password will follow 
 LINE The UNENCRYPTED (cleartext) line password 
R1(config-line)# 
A figura mostra que configurar a criptografia do tipo 9 não é tão fácil quanto parece. Você não pode simplesmente digitar enable secret 9 e a senha não criptografada. Para usar este formulário do comando, você deve colar na senha criptografada, que pode ser copiada de outra configuração de roteador.
R1(config)# enable secret 9 cisco12345 
ERROR: The secret you entered is not a valid encrypted secret. 
To enter an UNENCRYPTED secret, do not specify type 9 encryption. 
When you properly enter an UNENCRYPTED secret, it will be encrypted. 
R1(config)# enable secret 9 
$9$HZWdzLHwhPtZ3U$D9OlUDSGvBy.m8Tf9vCGDJRcYy8zIMbyRJgtxgRkwzY 
R1(config)# 
Para inserir uma senha não criptografada, use a sintaxe do comando enable algorithm-type:
 Router(config)# enable algorithm-type { md5 | scrypt | sha256 | secret } unencrypted password 
	Palavra-chave algoritmo
	Descrição
	 md5
	Tipo 5; seleciona o algoritmo de resumo de mensagens 5 (MD5) como o algoritmo de hash.
	scrypt
	Tipo 9; seleciona scrypt como o algoritmo de hash.
	sha256
	Tipo 8; Seleciona a função de derivação de chave baseada em senha 2 (PBKDF2) com algoritmo hash seguro, 256 bits (SHA-256) como algoritmo de hash.
Uma configuração de exemplo é mostrada na figura. Observe que a configuração running mostra agora um tipo 9 permitem a senha secreta.
R1(config)# enable algorithm-type ?
 md5 Encode the password using the MD5 algorithm 
 scrypt Encode the password using the SCRYPT hashing algorithm 
 sha256 Encode the password using the PBKDF2 hashing algorithm 
R1(config)# enable algorithm-type scrypt ?
secret Assign the privileged level secret (MAX of 25 characters) 
 
R1(config)# enable algorithm-type scrypt secret cisco12345
R1(config)# do show run | include enable
enable secret 9 $9$Gyk9x3Ve4c0n5k$8.cR3yReBduzHymEyCOcErgPKW8MSKokRN 
9KjEg4WQA 
R1(config)#
A criptografia do tipo 8 e do tipo 9 foram introduzidas igualmente no Cisco IOS 15.3 (3) M para o comando username secret. Semelhante ao comando enable secret, se você simplesmente inserir um usuário com o comando username secret, a criptografia padrão será MD5. Use o comando username name algorithm-type para especificar a criptografia do tipo 9. A sintaxe é mostrada seguida por um exemplo.
Router(config)# username name algorithm-type { md5 | scrypt | sha256 | secret } unencrypted password 
R1(config)# username Bob secret cisco54321
R1(config)# do show run | include username
username Bob privilege 15 secret 5 $1$lmBB$UjOC6JA4f1WgI3/La8wGz/ 
R1(config)# 
R1(config)# username Bob algorithm-type scrypt secret cisco54321
R1(config)# do show run | include username
username Bob privilege 15 secret 9 $9$9FkS.zTuLs89pk$v5P2y.M6reR18lS 
92moKHdFauk8joK0xHICXxGDuurs 
R1(config)#
Por razões de compatibilidade com versões anteriores os comandos enable password, username password e line password estão disponíveis no Cisco IOS. Esses comandos não usam criptografia por padrão. Na melhor das hipóteses, eles só podem usar criptografia tipo 7, como mostrado na figura. Portanto, esses comandos não serão usados neste curso.
R1(config)# enable password ?
 0 Specifies an UNENCRYPTED password will follow 
 7 Specifies a HIDDEN password will follow 
 LINE The UNENCRYPTED (cleartext) 'enable' password 
 level Set exec level password 
 
R1(config)# username Bob password ?
 0 Specifies an UNENCRYPTED password will follow 
 7 Specifies a HIDDEN password will follow 
 LINE The UNENCRYPTED (cleartext) user password 
 
R1(config)# line con 0
R1(config-line)# password ?
 0 Specifies an UNENCRYPTED password will follow 
 7 Specifies a HIDDEN password will follow 
 LINE The UNENCRYPTED (cleartext) line password
Configurar segurança aprimorada para logins virtuais
Melhorar o processo de login
A atribuição de senhas e autenticação local não impede que um dispositivo seja direcionado para ataque. Os aprimoramentos de login do Cisco IOS fornecem mais segurança diminuindo ataques,tais como ataques de dicionário e ataques DoS. Ativar um perfil de detecção permite que você configure um dispositivo de rede para reagir a tentativas repetidas com falha de login recusando solicitações de conexão adicionais (ou bloqueio de login). Este bloco pode ser configurado por um período de tempo, que é chamado de período silencioso. As listas de controle de acesso (ACLs) podem ser usadas para permitir conexões legítimas de endereços de administradores de sistema conhecidos.
Os banners são desativados por padrão e devem estar explicitamente ativados. Use o comando do modo de configuração global banner para especificar as mensagens apropriadas.
Router(config)# banner { motd | exec | login } delimiter message delimiter
Banners protegem a organização de uma perspectiva legal. Escolher o texto apropriado para colocar em mensagens de banner é importante e deve ser revisto por advogado legal antes de ser colocado em roteadores de rede. Nunca use a palavra bem-vindo ou qualquer outra saudação familiar que possa ser interpretada mal como um convite para usar a rede. Veja a seguir um exemplo de um banner apropriado.
This equipment is privately owned and access 
is logged. Disconnect immediately if you are 
not an authorized user. Violators will be 
prosecuted to the fullest extent of the law.
User Access Verification:
Username:
Configurar recursos de aprimoramento de login
Os comandos de aprimoramentos de login do Cisco IOS, que são mostrados abaixo, aumentam a segurança das conexões de login virtuais.
Router(config)# login block-for seconds attempts tries within seconds
 Router(config)# login quiet-mode access-class {acl-name | acl-number}
 Router(config)# login delay seconds
 Router(config)# login on-success log [every login]
 Router(config)# login on-failure log [every login]
A figura mostra uma configuração de exemplo. O comando login block-for pode se defender contra ataques DoS desativando logins após um número especificado de tentativas de login com falha. O comando login quiet-mode mapeia a uma ACL que identifique os hosts permitidos. Isto assegura-se de que somente os anfitriões autorizados possam tentar fazer login no roteador. O comando login delay especifica um número de segundos que o usuário deve esperar entre tentativas de login mal sucedidas. Os comandos login on-success e login on-failure registram tentativas de login bem-sucedidas e malsucedidas.
Esses aprimoramentos de login não se aplicam a conexões de console. Ao lidar com conexões de console, supõe-se que somente o pessoal autorizado tenha acesso físico aos dispositivos.
Nota: Estes aprimoramentos de início de uma sessão podem somente ser permitidos se o base de dados local é usado para a autenticação para o acesso local e remoto. Se as linhas são configuradas apenas para autenticação de senha, a seguir os recursos de login aprimorados não estão habilitados.
R1(config)# login block-for 15 attempts 5 within 60 
R1(config)# ip access-list standard PERMIT-ADMIN
R1(config-std-nacl)# remark Permit only Administrative hosts 
R1(config-std-nacl)# permit 192.168.10.10
R1(config-std-nacl)# permit 192.168.11.10 
R1(config-std-nacl)# exit 
R1(config)# login quiet-mode access-class PERMIT-ADMIN 
R1(config)# login delay 10 
R1(config)# login on-success log 
R1(config)# login on-failure log 
R1(config)#
Ativar aprimoramentos de login
Para ajudar um dispositivo Cisco IOS a fornecer detecção de DoS, use o comando login block-for. Todos os outros recursos de aprimoramento de login são desabilitados até que o comando login block-for esteja configurado.
Especificamente, o comando login block-for monitora a atividade do dispositivo de login e opera em dois modos:
· Modo normal - Isso também é conhecido como modo de relógio. O roteador mantém a contagem do número de tentativas de login falhadas dentro de uma quantidade de tempo identificada.
· Modo silencioso - Este também é conhecido como o período de silêncio. Se o número de logins com falha exceder o limite configurado, todas as tentativas de login usando telnet, ssh e http são negadas para o tempo especificado no comando login block-for.
Quando o modo silencioso está ativado, todas as tentativas de login, incluindo acesso administrativo válido, não são permitidas. No entanto, para fornecer hosts críticos, como acesso de hosts administrativos específicos em todos os momentos, esse comportamento pode ser substituído usando uma ACL. O ACL é criado e identificado usando o comando login quiet-mode access-class. Somente os anfitriões identificados no ACL têm o acesso ao dispositivo durante o modo silencioso.
O exemplo na figura mostra uma configuração que use uma ACL que seja nomeada PERMIT-ADMIN. Os hosts que combinam as condições PERMIT-ADMIN estão isentos do modo silencioso.
R1(config)# ip access-list standard PERMIT-ADMIN 
R1(config-std-nacl)# remark Permit only Administrative hosts 
R1(config-std-nacl)# permit 192.168.10.10 
R1(config-std-nacl)# permit 192.168.11.10 
R1(config-std-nacl)# exit 
R1(config)# login quiet-mode access-class PERMIT-ADMIN 
Ao implementar o comando login block-for, um atraso de um segundo entre as tentativas de login é automaticamente invocado. Para tornar mais difícil para um invasor, o tempo de atraso entre as tentativas de login pode ser aumentado usando o comando login delay seconds, conforme mostrado na figura. O comando introduz um atraso uniforme entre tentativas sucessivas de login. O atraso ocorre para todas as tentativas de login, incluindo tentativas com falha ou bem-sucedidas. O exemplo configura, um atraso de três segundos entre a tentativa de login sucessiva.
Este comando ajuda a mitigar ataques de dicionário. É um comando opcional. Se não estiver definido, um atraso padrão de um segundo for aplicado após o comando login block-for estar configurado.
Os comando login block-for, login quiet-mode access-class e login delay ajudam a bloquear tentativas de login falhadas por um período limitado de tempo. No entanto, eles não podem impedir que um atacante tente novamente. Como um administrador pode saber quando alguém tenta obter acesso à rede adivinhando a senha?
R1(config)# login delay 3 
Tentativas de falha de log
Há três comandos que podem ser configurados para ajudar um administrador a detectar um ataque de senha, segundo as indicações da figura. Cada comando permite que um dispositivo gere mensagens do syslog para tentativas de login falhadas ou bem-sucedidas.
Os dois primeiros comandos, login on-success log e login on-failure log, geram mensagens do syslog para tentativas de login bem-sucedidas e mal sucedidas. O número de tentativas de login antes de uma mensagem de registro é gerada pode ser especificada usando a sintaxe [every login], onde o valor padrão login é 1 tentativa. O intervalo válido é de 1 a 65.535.
 Router(config)# login on-success log [every login]
 Router(config)# login on-failure log [every login]
Como uma alternativa ao comando login on-failure log, o comando security authentication failure rate pode ser configurado para gerar uma mensagem de log quando a taxa de falha de login é excedida.
 Router(config)# security authentication failure rate threshold-rate log
Use o comando show login para verificar as configurações do comando login block-for e o modo atual. Na figura, o R1 foi configurado para bloquear anfitriões de login por 120 segundos se mais de cinco solicitações de login falharem dentro de 60 segundos. R1 também confirma que o modo atual é normal e que houve quatro falhas de login nos últimos 55 segundos porque há cinco segundos restantes no modo normal.
R1# show login
 A login delay for 10 sec is applied.
 Quiet-Mode access list PERMIT-ADMIN is applied.
 Router enabled to watch for login Attacks.
 If more than 5 login failures occur in 60 sec or less,
 login will be disabled for 120 secs.
 Router presently in Normal-Mode.
 Current Watch Window
 Time remaining: 5 seconds.
 Login failures for current window: 4.
 Total login failures:4.As duas figuras a seguir exibem exemplos do que ocorre quando o limite de tentativa com falha é excedido.
Tentativas de Login com Falha
Excedendo o limite de tentativa com falha
A saída de comando a seguir exibe o status resultante usando o comando show login. Observe que agora está no modo silencioso e permanecerá no modo silencioso por mais 105 segundos. O R1 igualmente identifica que o PERMIT-ADMIN ACL contém uma lista de anfitriões permitidos conectar durante o modo silencioso.
R1#
*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures
is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: Login
Authentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008
R1# show login
 A login delay of 3 seconds is applied.
 Quiet-Mode access list PERMIT-ADMIN is applied.
 Router enabled to watch for login Attacks.
 If more than 5 login failures occur in 60 seconds or
 less,logins will be disabled for 120 seconds.
 Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 105 seconds.
Restricted logins filtered by applied ACL PERMIT-ADMIN.
R1#
O comando show login failures exibe informações adicionais sobre as tentativas malsucedidas, como o endereço IP de origem das tentativas de login malsucedidas. A figura exibe um exemplo de saída do comando show login failures.
R1# show login failures
R1# show login failures
Total failed logins: 22
Detailed information about last 50 failures
Username SourceIPAddr lPort Count TimeStamp
admin 1.1.2.1 23 5 15:38:54 UTC Wed Dec 10 2008
Admin 10.10.10.10 23 13 15:58:43 UTC Wed Dec 10 2008
admin 10.10.10.10 23 3 15:57:14 UTC Wed Dec 10 2008
cisco 10.10.10.10 23 1 15:57:21 UTC Wed Dec 10 2008
R1# 
Configurar SSH
Ativação do SSH
O Telnet simplifica o acesso remoto ao dispositivo, mas não é seguro. Os dados contidos em um pacote Telnet são transmitidos sem criptografia. Por esse motivo, é altamente recomendável ativar o Secure Shell (SSH) em dispositivos para acesso remoto seguro.
É possível configurar um dispositivo Cisco para suportar SSH usando as seis etapas a seguir:
Etapa 1. Configure a unique device hostname. Um dispositivo deve ter um nome de host exclusivo diferente do padrão.
Etapa 2. Configure o nome do domínio IP. Configure o nome de domínio IP da rede usando o comando global de configuração do modo ip domain name name. No exemplo, o roteador R1 é configurado no domínio Span.com. Esta informação é usada junto com o valor do bit especificado no comando crypto key generate rsa general-keys modulus para criar uma chave de criptografia
Etapa 3. Gerar uma chave para criptografar o tráfego do SSH. O SSH criptografa o tráfego entre a origem e o destino. No entanto, para fazer isso, uma chave de autenticação exclusiva deve ser gerada usando o comando de configuração global crypto key generate rsa general-keys modulus bits. O módulo bits determina o tamanho da chave e pode ser configurado de 360 bits a 2048 bits. Quanto maior o valor de bit, mais segura a chave. No entanto, valores de bits maiores também levam mais tempo para criptografar e descriptografar informações. O tamanho mínimo recomendado do módulo é 1024 bits.
Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie uma entrada de nome de usuário do banco de dados local usando o username comando de configuração global. No exemplo, o parâmetro secret é usado para que a senha seja criptografada usando MD5.
Etapa 5. Autenticar contra o banco de dados local. Use o comando de configuração de login local linha para autenticar a linha vty no banco de dados local.
Etapa 6. Habilite a entrada vty nas sessões SSH. Por padrão, nenhuma sessão de entrada é permitida em linhas vty. Você pode especificar vários protocolos de entrada, incluindo Telnet e SSH usando o comando transport input {ssh | telnet}.
Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#
Para verificar o SSH e exibir as chaves geradas, use o comando show crypto key mypubkey rsa no modo EXEC privilegiado. Se houver pares de chaves existentes, é recomendável que eles sejam substituídos usando o comando crypto key zeroize rsa. Se houver pares de chaves existentes, é recomendável que eles sejam removidos usando o comando crypto key zeroize rsa. A Figura 2 fornece um exemplo de verificação das chaves criptográficas SSH e da remoção das chaves antigas.
R1# show crypto key mypubkey rsa
% Key pair was generated at: 21:18:41 UTC Feb 16 2015 
Key name: R1.span.com 
Key type: RSA KEYS 
 Storage Device: not specified 
 Usage: General Purpose Key 
 Key is not exportable. 
 Key Data: 
 30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00CF35DB 
 A58A1BDB F7C7E600 F189C2F3 2EC6E584 D923EE5B 71841D98 B5472A03 D19CD620 
 ED125825 5A58412B B7F29234 DE2A1809 6C421AC3 07F298E6 80BE149D 2A262E13 
 74888DAF CAC8F187 B11111AF A413E76F 6C157CDF DFEF0D82 2961B58C BE1CAD21 
 176E82B9 6D81F893 06E66C93 94E1C508 887462F6 90AC63CE 5E169845 C1020301 0001 
% Key pair was generated at: 21:18:42 UTC Feb 16 2015 
Key name: R1.span.com.server 
Key type: RSA KEYS 
Temporary key 
 Usage: Encryption Key 
 Key is not exportable. 
 Key Data: 
 307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00AB914D 8172DFBE 
 DE57ACA9 7B844239 1F3B5942 3943AC0D F54E7746 3895CF54 606C3961 8A44FEB3 
 1A019F27 D9E71AAE FC73F423 A59CB8F5 50289272 3392CEBC 4C3CBD6D DB9233DE 
 9DDD9DAD 79D56165 4293AA62 FD1CBAB2 7AB859DC 2890C795 ED020301 0001 
R1# conf t
Enter configuration commands, one per line. End with CNTL/Z. 
R1(config)# crypto key zeroize rsa
% All keys will be removed. 
% All router certs issued using these keys will also be removed. 
Do you really want to remove these keys? [yes/no]: yes 
R1(config)#
Melhorar a segurança de login SSH
Para verificar os ajustes opcionais do comando SSH, use o comando show ip ssh, segundo as indicações da figura. Você também pode modificar o intervalo de tempo limite SSH padrão e o número de tentativas de autenticação. Use o comando do modo de configuração global ip ssh time-out seconds para modificar o intervalo de tempo limite padrão de 120 segundos. Isso configura o número de segundos que o SSH pode usar para autenticar um usuário. Depois que é autenticado, uma sessão EXEC começa e o exec-timeout padrão configurado para o vty aplica-se.
Por padrão, um usuário que faz login tem três tentativas de inserir a senha correta antes de ser desconectado. Para configurar um número diferente de novas tentativas consecutivas de SSH, use o comando do modo de configuração global ip ssh authentication-retries integer.
R1# show ip ssh 
SSH Enabled - version 2.0 
Authentication methods:publickey,keyboard-interactive,password 
Authentication timeout: 120 secs; Authentication retries: 3 
(output omitted) 
 
R1# conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
R1(config)# ip ssh time-out 60 
R1(config)# ip ssh authentication-retries 2 
R1(config)# ^Z 
R1# 
*Feb 16 21:23:51.237: %SYS-5-CONFIG_I: Configured from console by console 
R1# show ip ssh 
SSH Enabled - version 2.0 
Authentication methods:publickey,keyboard-interactive,password 
Authentication timeout: 60 secs; Authentication retries: 2 
(output omitted)
Conecte um roteador a um roteador habilitado para SSH
Para verificar o status das conexões do cliente, use o comando show ssh. Há duas maneiras diferentes de conectar a um roteador habilitado paraSSH.
Por padrão, quando o SSH está habilitado, um roteador Cisco pode atuar como um servidor SSH ou cliente SSH. Como um servidor, um roteador pode aceitar conexões de cliente SSH. Como cliente, um roteador pode se conectar via SSH a outro roteador habilitado para SSH mostrado nas três etapas a seguir.
A figura mostra dois roteadores conectados com um link serial. Cada roteador também se conecta a uma rede através de uma porta Ethernet Gigabit.
Router-to-Router SSH
Nos exemplos a seguir, o administrador no R1 usa o show ssh para verificar se há conexões SSH atuais. Em seguida, outro administrador faz login no R1 do R2. O administrador no R1 verifica novamente as conexões SSH atuais.
R1# show ssh 
%No SSHv2 server connections running. 
%No SSHv1 server connections running. 
R1#
R2# ssh -l Bob 192.168.2.101 
 
Password: 
 
R1>
R1# show ssh 
Connection Version Mode Encryption Hmac State Username 
0 2.0 IN aes128-cbc hmac-sha1 Session started Bob 
0 2.0 OUT aes128-cbc hmac-sha1 Session started Bob 
%No SSHv1 server connections running. 
R1#
Conecte um host a um roteador habilitado para SSH
Conecte-se usando um cliente SSH em execução em um host, como mostrado nas quatro figuras a seguir. Exemplos desses clientes incluem PuTTY, OpenSSH e TeraTerm.
O procedimento para conectar a um roteador Cisco varia dependendo do aplicativo cliente SSH que está sendo usado. Geralmente, o cliente SSH inicia uma conexão SSH ao roteador. O serviço SSH do roteador solicita a combinação correta de nome de usuário e senha. Depois que o início de uma sessão é verificado, o roteador pode ser controlado como se o administrador estivesse usando uma sessão de Telnet padrão.
Host-to-Router SSH
Resumo seguro de acesso ao dispositivo
O que aprendi neste módulo?
Proteja o roteador de borda
Os roteadores são um alvo principal para ataques porque esses dispositivos atuam como polícia de trânsito, que direcionam o tráfego para dentro, fora de, e entre redes. O roteador de borda é o último roteador entre a rede interna e uma rede não confiável, como a Internet. Protegendo o roteador é imperativo. As três abordagens para isso são a abordagem de roteador único, a abordagem de defesa em profundidade e a abordagem DMZ. Na abordagem do roteador único, toda a segurança é configurada neste roteador. Isso é comum para sites menores, como sites SOHO. Uma abordagem de defesa em profundidade é mais segura do que a abordagem de roteador único. Ele usa várias camadas de segurança antes do tráfego que entra na LAN protegida. Há três camadas primárias de defesa: o roteador de borda, o firewall e um roteador interno que se conecte à LAN protegida. Outras ferramentas de segurança, como sistemas de prevenção de intrusões (IPSs), dispositivos de segurança da Web (servidores proxy) e dispositivos de segurança de e-mail (filtragem de spam) também podem ser implementadas. A abordagem DMZ inclui uma área intermediária, muitas vezes chamada de zona desmilitarizada (DMZ). O DMZ pode ser configurado entre dois roteadores, com um roteador interno conectando à rede protegida e um roteador externo que conecta à rede desprotegida. Alternativamente, o DMZ pode simplesmente ser uma porta adicional fora de um único roteador. O firewall serve como a proteção primária para todos os dispositivos no DMZ. As três áreas de segurança do roteador que devem ser mantidas são segurança física, segurança do sistema operacional e endurecimento do roteador. A proteção do acesso administrativo para impedir que uma pessoa não autorizada obtenha acesso a um dispositivo de infraestrutura inclui restringir a acessibilidade do dispositivo, registro e contabilização de todos os acessos, autenticar acesso, autorizar ações, apresentar notificação legal e garantir a confidencialidade dos dados. Um roteador pode ser acessado para fins administrativos local ou remotamente. Precauções adicionais devem ser tomadas ao acessar a rede remotamente.
Configurar o acesso administrativo seguro
É importante usar senhas fortes para proteger dispositivos de rede. As diretrizes padrão a seguir estão usando senhas mais longas (10 ou mais caracteres), senhas complexas, evitar palavras comuns de dicionário, alterar senhas frequentemente e manter as senhas confidenciais. Senhas e linhas VTY devem ser protegidas. Para criptografar todas as senhas de texto simples, use o comando de configuração global service password-encryption. Use o comando show running-config para verificar se as senhas agora estão criptografadas. O comando de configuração global service password-encryption impede que indivíduos não autorizados visualizem senhas de texto simples no arquivo de configuração. Os hashes MD5 não são mais considerados seguros porque os invasores podem reconstruir certificados válidos. Agora é recomendado que você configure todas as senhas secretas usando senhas tipo 8 ou tipo 9.
Configurar segurança aprimorada para logins virtuais
Os aprimoramentos de login do Cisco IOS fornecem mais segurança diminuindo ataques, tais como ataques de dicionário e ataques DoS. Ativar um perfil de detecção permite que você configure um dispositivo de rede para reagir a tentativas repetidas com falha de login recusando solicitações de conexão adicionais (ou bloqueio de login). Este bloco pode ser configurado por um período de tempo, que é chamado de período silencioso. As listas de controle de acesso (ACLs) podem ser usadas para permitir a conexão legítima de endereços de administradores de sistema conhecidos. Banners protegem a organização de uma perspectiva legal. Os comandos de aprimoramentos de login do Cisco IOS aumentam a segurança das conexões de login virtuais. O comando login block-for pode se defender contra ataques DoS desativando logins após um número especificado de tentativas de login com falha. O comando login quiet-mode mapeia a uma ACL que identifique os hosts permitidos. Isto assegura-se de que somente os anfitriões autorizados possam tentar fazer login no roteador. O comando login delay especifica um número de segundos que o usuário deve esperar entre tentativas de login mal sucedidas. Os comandos login on-success e login on-failure registram tentativas de login bem-sucedidas e malsucedidas. Para melhorar a segurança, você também pode modificar o intervalo de tempo limite SSH padrão e o número de tentativas de autenticação. Use o comando ip ssh time-out seconds global configuration mode modificar o intervalo de tempo limite de 120 segundos padrão. Há duas maneiras diferentes de conectar a um roteador habilitado para SSH. Por padrão, quando o SSH está habilitado, um roteador Cisco pode atuar como um servidor SSH ou cliente SSH. Como um servidor, um roteador pode aceitar conexões de cliente SSH. Como um cliente, um roteador pode se conectar via SSH a outro roteador habilitado para SSH
Configurar SSH
O Telnet simplifica o acesso remoto ao dispositivo, mas não é seguro. Os dados contidos em um pacote Telnet são transmitidos sem criptografia. Por esse motivo, é altamente recomendável ativar o Secure Shell (SSH) em dispositivos para acesso remoto seguro. É possível configurar um dispositivo Cisco para apoiar SSH usando as seis etapas a seguir: configurar um hostname de dispositivo exclusivo, configurar o Domain Name IP, gerar uma chave para criptografar o tráfego SSH, verificar ou criar uma entrada de base de dados local, autenticar contra o base de dados local, e permitir sessões SSH de entrada vty.
Iniciar modulo 5
image88.gif
image89.png
image2.png
image3.png
image4.png
image5.png
image6.png
image7.png
image8.png
image9.png
image10.png
image11.jpeg
image12.jpeg
image13.png
image14.png
image15.png
image16.jpeg
image17.png
image18.png
image19.jpeg
image20.jpeg
image21.png
image22.png
image23.png
image24.png
image25.png
image26.png
image27.png
image28.png
image29.png
image30.png
image31.png
image32.png
image33.png
image34.png
image35.png
image36.png
image37.png
image1.png
image38.png
image39.png
image40.png
image41.pngimage42.png
image43.png
image44.png
image45.png
image46.png
image47.png
image48.png
image49.png
image50.png
image51.png
image52.png
image53.png
image54.png
image55.png
image56.png
image57.png
image58.png
image59.png
image60.png
image61.png
image62.png
image63.png
image64.png
image65.png
image66.png
image67.png
image68.png
image69.png
image70.png
image71.png
image72.png
image73.png
image74.png
image75.png
image76.png
image77.png
image78.png
image79.png
image80.png
image81.png
image82.png
image83.png
image84.png
image85.png
image86.png
image87.png