Escolar Documentos
Profissional Documentos
Cultura Documentos
200-301
Part X Security Services
Security Terminology
Chapter 4 Common Security Threats
Security Architectures
(volume 2) Controlling and Monitoring User Access
Developing a Security Program to Educate Users
Enterprise Extends Beyond Its Own Boundary
Enterprise Network - Totalmente Isolada - “Rede Perfeita"
Internet
Redes de parceiros
Usuários Guests
Security Terminology
Facility
Agora temos uma Ferramentas são criadas para Tecnicamente, um exploit não é
vulnerabilidade, não significa explorar as vulnerabilidades, essas muito eficaz por si só. Alguém deve
que ela será explorada. Podemos ferramentas são chamadas pegá-lo e usá-lo contra a vulnerabilidade.
trancar a porta para tentar genericamente de Exploit. Um usuário malicioso possui a ferramenta e
minimiza-la por exemplo.
pretende usá-la para abrir a porta trancada.
Agora existe um potencial real para invadir,
destruir, roubar ou modificar algo sem
permissão. Isso é conhecido como
uma ameaça (Threat).
Common Security Threats - Attacks That Spoof Addresses
Repare que ele utiliza um IP
de origem falso (spoof).
Attacker
Target
TCP Connections
198.51.0.99
TCP SYN
(Server da empresa)
198.51.0.99
Orig: 198.51.0.99
TCP SYN
198.51.0.99
TCP SYN
198.51.0.99
Dest: 191.0.0.20
Orig: 198.51.0.99
198.51.0.99
198.51.66.6
Dest: 191.0.0.20 198.51.0.99
198.51.0.99
198.51.0.99
TCP SYN-ACK
198.51.0.99
Orig: 191.0.0.20
191.0.0.20 198.51.0.99
198.51.0.99
DDOS: Os invasores podem levar a ideia DoS ainda mais longe, alistando muitos outros sistemas para participar. Para fazer isso, o invasor configura
um computador de controle mestre em algum lugar da Internet. Em seguida, muitos computadores devem primeiro ser infectados com código
malicioso ou malware, aproveitando vulnerabilidades presentes nessas máquinas. Cada máquina se torna silenciosamente um “bot”, parecendo
operar normalmente, enquanto aguarda os comandos do controle mestre. Quando chega a hora de um ataque começar, o controle mestre envia um
comando para cada bot e diz para iniciar um ataque de negação de serviço contra um único host de destino. Isso é chamado de ataque de negação
de serviço distribuído (DDoS) porque o ataque é distribuído por um grande número de bots, todos inundando ou atacando o mesmo alvo.
Common Security Threats - Reflection and Amplification Attacks
(Server da empresa)
Pacote IP
Orig: 198.51.0.99
Dest: 191.0.0.20
198.51.66.6
Resposta
191.0.0.20
Target Orig: 191.0.0.20
Dest: 198.51.0.99
198.51.0.99
Common Security Threats - Man-in-the-Middle Attacks
Client Server
ARP Request
ARP Request
Qual o Mac do IP
Qual o Mac do IP
198.51.66.254 198.51.66.254
ARP Request
Qual o Mac do IP
198.51.66.10
198.51.66.254 198.51.66.254
0000.BBBB.BBBB 0000.CCCC.CCCC
ARP Reply
O Mac do IP 198.51.66.254 é
Attacker
0000.AAAA.AAAA
198.51.66.6
0000.AAAA.AAAA
Man-in-the-
Objetivo DoS/DDoS Reflection Amplification
Middle
Esgotar um serviço ou recurso do sistema quebrar (interromper) o sistema alvo Sim Não Não Não
Enganar um host involuntário para enviar tráfego para o alvo Não Sim Sim Não
Escuta (grampear) o tráfego Não Não Não Sim
Modificar o tráfego que passa Não Não Não Sim
Common Security Threats - Buffer Overflow Attacks and Malware
Malicious Software (Malware), normalmente chamamos tudo de vírus, mas vírus é um tipo de Malware
Trojan Horse
Virus
Worm
Isso significa que alguns dados recebidos podem ser armazenados em locais de memória inesperados se um buffer tiver permissão para preencher
além de seu limite. Um invasor pode explorar essa condição enviando dados maiores do que o esperado. Se houver uma vulnerabilidade, o sistema
de destino pode armazenar esses dados, estourando seu buffer em outra área da memória, eventualmente travando um serviço ou todo o sistema. O
invasor também pode criar especialmente a mensagem grande inserindo código malicioso nela. Se o sistema de destino armazena esses dados como
resultado de um estouro de buffer, ele pode executar o código malicioso sem perceber.
Common Security Threats - Human Vulnerabilities
TACACS +: Um protocolo proprietário da Cisco que separa cada uma das funções AAA. A comunicação é
segura e criptografada pela porta TCP 49.
RADIUS: Um protocolo de padrão aberto que combina autenticação e autorização em um único recurso. A
comunicação usa as portas UDP 1812 e 1813 (Accounting), mas não é totalmente criptografada.
AAA Server
Developing a Security Program to Educate Users