CCNA

200-301
Part X Security Services
Security Terminology
Chapter 4 Common Security Threats
Security Architectures
(volume 2) Controlling and Monitoring User Access
Developing a Security Program to Educate Users
Enterprise Extends Beyond Its Own Boundary
Enterprise Network - Totalmente Isolada - “Rede Perfeita"

Enterprise Network - Conectada a redes externas - “Mundo Real”

Internet

Redes de parceiros

Usuários Guests
 Security Terminology
Facility
Agora temos uma
vulnerabilidade, não significa
que ela será explorada. Podemos
trancar a porta para tentar
minimiza-la por exemplo.
Ferramentas são criadas para Tecnicamente, um exploit não é
explorar as vulnerabilidades, essas muito eficaz por si só. Alguém deve
ferramentas são chamadas pegá-lo e usá-lo contra a vulnerabilidade.
genericamente de Exploit. Um usuário malicioso possui a ferramenta e
pretende usá-la para abrir a porta trancada.
Agora existe um potencial real para invadir,
destruir, roubar ou modificar algo sem
permissão. Isso é conhecido como
uma ameaça (Threat).
Common Security Threats - Attacks That Spoof Addresses
Repare que ele utiliza um IP
de origem falso (spoof).
Attacker
Target
TCP Connections

198.51.0.99

TCP SYN
(Server da empresa)
198.51.0.99

Orig: 198.51.0.99
TCP SYN

198.51.0.99

Dest: 191.0.0.20 Orig: 198.51.0.99

TCP SYN
198.51.0.99

Dest: 191.0.0.20
Orig: 198.51.0.99
198.51.0.99

198.51.66.6
Dest: 191.0.0.20 198.51.0.99

198.51.0.99

198.51.0.99

TCP SYN-ACK
198.51.0.99

Orig: 191.0.0.20
191.0.0.20 198.51.0.99

Dest: 198.51.0.99 198.51.0.99

198.51.0.99

Quando um invasor consegue 198.51.0.99

esgotar um recurso do sistema, os serviços e 198.51.0.99

sistemas ficam indisponíveis ou travam. Isso é

198.51.0.99

chamado de ataque de negação de serviço (DoS)

porque nega o serviço a usuários ou
**FULL**
operações legítimas.

DDOS: Os invasores podem levar a ideia DoS ainda mais longe, alistando muitos outros sistemas para participar. Para fazer isso, o invasor configura
um computador de controle mestre em algum lugar da Internet. Em seguida, muitos computadores devem primeiro ser infectados com código
malicioso ou malware, aproveitando vulnerabilidades presentes nessas máquinas. Cada máquina se torna silenciosamente um “bot”, parecendo
operar normalmente, enquanto aguarda os comandos do controle mestre. Quando chega a hora de um ataque começar, o controle mestre envia um
comando para cada bot e diz para iniciar um ataque de negação de serviço contra um único host de destino. Isso é chamado de ataque de negação
de serviço distribuído (DDoS) porque o ataque é distribuído por um grande número de bots, todos inundando ou atacando o mesmo alvo.
Common Security Threats - Reflection and Amplification Attacks

Repare que ele utiliza um IP

Attacker de origem falso (spoof).
Reflector

(Server da empresa)
Pacote IP

Orig: 198.51.0.99

Dest: 191.0.0.20
198.51.66.6

Resposta
191.0.0.20
Target Orig: 191.0.0.20

Dest: 198.51.0.99

198.51.0.99
 Common Security Threats - Man-in-the-Middle Attacks
Client Server

ARP Request
ARP Request

Qual o Mac do IP
Qual o Mac do IP

198.51.66.254 198.51.66.254

ARP Request

Qual o Mac do IP

198.51.66.10
198.51.66.254 198.51.66.254

0000.BBBB.BBBB 0000.CCCC.CCCC

ARP Reply

O Mac do IP 198.51.66.254 é
Attacker
0000.AAAA.AAAA

198.51.66.6

0000.AAAA.AAAA

Man-in-the-
Objetivo DoS/DDoS Reflection Amplification
Middle
Esgotar um serviço ou recurso do sistema quebrar (interromper) o sistema alvo Sim Não Não Não
Enganar um host involuntário para enviar tráfego para o alvo Não Sim Sim Não
Escuta (grampear) o tráfego Não Não Não Sim
Modificar o tráfego que passa Não Não Não Sim
Common Security Threats - Buffer Overflow Attacks and Malware
Malicious Software (Malware), normalmente chamamos tudo de vírus, mas vírus é um tipo de Malware

Trojan Horse
Virus
Worm

Característica Trojan Horse Virus Worm

Empacotado dentro de outro software Sim Não Não
Auto-injetado em outro software Não Sim Não
Propaga-se automaticamente Não Não Sim

Buffer Overflow Attacks

Buffer Overflow Attacks - Os sistemas operacionais e aplicativos normalmente leem e gravam dados usando buffers e espaço de memória
temporário. Buffers também são importantes quando um sistema se comunica com outro, à medida que pacotes IP e quadros Ethernet vêm e vão.
Desde que o espaço de memória seja mantido adequadamente e os dados sejam colocados dentro dos limites corretos do buffer, tudo deve funcionar
conforme o esperado. No entanto, alguns sistemas e aplicativos têm vulnerabilidades que podem permitir o estouro de buffers.

Isso significa que alguns dados recebidos podem ser armazenados em locais de memória inesperados se um buffer tiver permissão para preencher
além de seu limite. Um invasor pode explorar essa condição enviando dados maiores do que o esperado. Se houver uma vulnerabilidade, o sistema
de destino pode armazenar esses dados, estourando seu buffer em outra área da memória, eventualmente travando um serviço ou todo o sistema. O
invasor também pode criar especialmente a mensagem grande inserindo código malicioso nela. Se o sistema de destino armazena esses dados como
resultado de um estouro de buffer, ele pode executar o código malicioso sem perceber.
Common Security Threats - Human Vulnerabilities

Attack Type Objetivo

Social engineering Explora a confiança humana e o comportamento social
Phishing Disfarça um convite malicioso como algo legítimo
Spear phishing Tem como alvo um grupo de usuários semelhantes
Whaling Tem como alvo indivíduos de alto perfil
Vishing Usa chamadas de voz
Smishing Usa mensagens de texto SMS
Pharming Usa serviços legítimos para enviar usuários a um site comprometido (ex: DNS)
Watering hole Visam vítimas específicas que visitam um site comprometido
Common Security Threats - Password Vulnerabilities

Characteristic Password Only Two-Factor Digital Certificates Biometric

Alguma coisa que você sabe Sim Sim

Alguma coisa que você tem Sim Sim

Alguma coisa que você é Sim

Common Security Threats - Controlling and Monitoring User Access
AAA

Authentication Quem é o usuário?

Authorization O que esse usuário pode fazer?

Accounting O que o usuário fez?

TACACS +: Um protocolo proprietário da Cisco que separa cada uma das funções AAA. A comunicação é
segura e criptografada pela porta TCP 49.

RADIUS: Um protocolo de padrão aberto que combina autenticação e autorização em um único recurso. A
comunicação usa as portas UDP 1812 e 1813 (Accounting), mas não é totalmente criptografada.

AAA Server
Developing a Security Program to Educate Users

User awareness (Conscientização do usuário)

User training (Treinamento de usuário)

Physical access control(Controle de acesso físico)

Obrigado!