Escolar Documentos
Profissional Documentos
Cultura Documentos
EC-Council
CE-Conselho
MT
N DE
Network Defense Essentials
Rede Fundamentos de Defesa
SÉRIE PROFISSIONAL
Defesa de rede
Essenciais
Versão 1
Machine Translated by Google
CE-Conselho
EC-Council
Copyright © 2021 por EC-Council. Todos os direitos reservados. Exceto conforme permitido pela Lei de Direitos Autorais de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em um banco de dados ou sistema
de recuperação, sem a permissão prévia por escrito do editor, com exceção de que as listas de programas podem ser inseridas, armazenadas e
executadas em um sistema de computador, mas não podem ser reproduzidas para publicação sem a permissão prévia por escrito do editor, exceto
no caso de breves citações incluídas em resenhas críticas e outros usos não comerciais permitidos pela lei de direitos autorais. Para solicitações de
permissão, escreva para EC-Council, endereçado “Atenção: EC-Council,” no endereço abaixo:
As informações contidas nesta publicação foram obtidas pelo EC-Council de fontes consideradas confiáveis. O Conselho da CE toma medidas
razoáveis para garantir que o conteúdo seja atual e preciso; no entanto, devido à possibilidade de erro humano ou mecânico, não garantimos a
precisão, adequação ou integridade de qualquer informação e não somos responsáveis por quaisquer erros ou omissões nem pela precisão dos
resultados obtidos com o uso de tais informações.
O material didático é resultado de extensa pesquisa e contribuições de especialistas no assunto de todo o mundo. Os devidos créditos por todas
essas contribuições e referências são fornecidos no material didático nas notas finais da pesquisa.
Estamos empenhados em proteger os direitos de propriedade intelectual. Se você for um proprietário de direitos autorais (um licenciado exclusivo ou
seu agente) e acreditar que qualquer parte do curso constitui uma violação de direitos autorais ou uma violação de uma licença ou contrato acordado,
notifique-nos em legal@eccouncil.org. Em caso de reclamação fundamentada, o EC Council removerá o material em questão e fará as retificações
necessárias.
O material didático pode conter referências a outros recursos de informação e soluções de segurança, mas tais referências não devem ser
consideradas como um endosso ou recomendação do EC-Council.
Os leitores são incentivados a relatar erros, omissões e imprecisões ao EC-Council em legal@eccouncil.org. Se você tiver algum problema, entre
em contato conosco em support@eccouncil.org.
AVISO AO LEITOR
O EC-Council não garante nenhum dos produtos, metodologias ou estruturas aqui descritos, nem realiza nenhuma análise independente em conexão
com qualquer informação do produto aqui contida. O EC Council não assume e se isenta expressamente de qualquer obrigação de obter e incluir
informações além daquelas fornecidas pelo fabricante. O leitor é expressamente alertado para considerar e adotar todas as precauções de segurança
que possam ser indicadas pelas atividades aqui descritas e para evitar todos os perigos potenciais. Ao seguir as instruções aqui contidas, o leitor
assume voluntariamente todos os riscos relacionados a tais instruções. O EC-Council não faz representações ou garantias de qualquer tipo, incluindo,
mas não se limitando às garantias de adequação a um propósito específico ou comercialização, nem tais representações estão implícitas com relação
ao material aqui estabelecido, e o EC Council não assume nenhuma responsabilidade com relação a tal material. O EC-Council não será responsável
por quaisquer danos especiais, consequentes ou exemplares resultantes, no todo ou em parte, do uso ou confiança deste material pelo leitor.
Prefácio
A rede de computadores tornou-se cada vez mais complexa nos últimos anos, assim como as ameaças à sua
segurança. O impacto das violações de segurança nas organizações varia de perda monetária, danos à reputação,
diminuição da fidelidade do cliente, diminuição da confiança do investidor e consequências legais. Não importa se
uma organização instala soluções de software de segurança de última geração ou se gasta milhares de dólares em
mecanismos de segurança; o fato é que nenhuma organização é completamente segura. As organizações precisam
de um especialista em segurança que possa ajudar a mitigar as ameaças à segurança.
A segurança da rede desempenha um papel vital na maioria das organizações. É o processo de prevenção e
detecção do uso não autorizado da infraestrutura de rede de uma organização. Ele protege as redes e seus serviços
contra modificação, destruição ou divulgação não autorizada. A segurança de rede garante que uma rede execute
suas funções críticas com segurança, sem quaisquer efeitos colaterais prejudiciais.
A conscientização de segurança e o treinamento bem estruturado podem ajudar a encontrar os pontos fracos de uma
rede e manter os administradores de rede informados sobre as ameaças e técnicas mais recentes, obtendo uma
melhor compreensão da exposição ao risco, bem como das contramedidas mais recentes.
O programa Network Defense Essentials (NDE) cobre os conceitos fundamentais de segurança de rede. Ele equipa
os alunos com as habilidades necessárias para identificar as crescentes ameaças de segurança de rede que refletem
na postura de segurança da organização e implementar controles gerais de segurança para proteger a infra-estrutura
de rede subjacente de acesso não autorizado, modificação, destruição ou divulgação.
Este programa oferece uma visão holística dos principais componentes da segurança de rede. O curso foi desenvolvido
para aqueles interessados em aprender os vários fundamentos da segurança de rede e aspiram seguir uma carreira
em segurança de rede.
Sobre o EC-Council
O Conselho Internacional de Consultores de Comércio Eletrônico, mais conhecido como EC-Council, foi fundado
no final de 2001 para atender à necessidade de segurança da informação e profissionais de e-business bem
formados e certificados. O EC-Council é uma organização global baseada em membros composta por especialistas
da indústria e no assunto que trabalham juntos para definir os padrões e elevar o padrão em certificação e
educação em segurança da informação.
O EC-Council desenvolveu pela primeira vez o programa Certified Ethical Hacker (C|EH) com o objetivo de ensinar
as metodologias, ferramentas e técnicas usadas pelos hackers. Aproveitando o conhecimento coletivo de centenas
de especialistas no assunto, o programa CEH ganhou popularidade rapidamente em todo o mundo e agora é
oferecido em mais de 145 países por mais de 950 centros de treinamento autorizados. É considerado a referência
para muitas entidades governamentais e grandes corporações em todo o mundo.
O EC-Council, por meio de sua impressionante rede de profissionais e muitos seguidores da indústria, também
desenvolveu uma série de outros programas líderes em segurança da informação e e-business. As certificações
EC-Council são vistas como as certificações essenciais necessárias quando a configuração padrão e os cursos
de política de segurança ficam aquém. Fornecendo uma abordagem tática verdadeira e prática para a segurança,
os indivíduos armados com o conhecimento disseminado pelos programas do EC-Council estão fortalecendo as
redes de segurança em todo o mundo e derrotando os hackers em seu próprio jogo.
Os alunos aprenderão como proteger, detectar e responder aos ataques de rede, bem como aprender sobre os
fundamentos da defesa de rede, a aplicação de controles de segurança de rede, protocolos, dispositivos de
perímetro, IDS seguro, VPN e configuração de firewall. Os alunos também aprenderão as complexidades da
assinatura, análise e varredura de vulnerabilidades do tráfego de rede, o que ajudará a projetar políticas de
segurança de rede aprimoradas e planos de resposta a incidentes bem-sucedidos. Essas habilidades ajudarão as
organizações a promover a resiliência e a continuidade operacional durante os ataques.
O CEH fornece uma compreensão profunda das fases de hacking ético, vários vetores de ataque e contramedidas
preventivas. Ele ensinará como os hackers pensam e agem de forma maliciosa, para que você fique mais bem
posicionado para configurar sua infraestrutura de segurança e se defender de ataques futuros.
Compreender as fraquezas e vulnerabilidades do sistema ajuda as organizações a fortalecer seus controles de
segurança do sistema para minimizar o risco de um incidente.
O CEH foi construído para incorporar um ambiente prático e um processo sistemático em todos os domínios e
metodologias de hacking ético, dando a você a oportunidade de trabalhar para provar o conhecimento e as
habilidades necessárias para realizar o trabalho de um hacker ético. Você será exposto a uma postura totalmente
diferente em relação às responsabilidades e medidas necessárias para estar seguro.
O CPENT do EC-Council padroniza a base de conhecimento para profissionais de teste de penetração, incorporando
as melhores práticas seguidas por especialistas experientes na área. O objetivo do CPENT é assegurar que cada
profissional segue um rigoroso código de ética, está exposto às melhores práticas no domínio dos testes de
penetração e conhece todos os requisitos de compliance exigidos pela indústria.
Ao contrário de uma certificação de segurança normal, a credencial CPENT fornece uma garantia de que os
profissionais de segurança possuem habilidades para analisar exaustivamente a postura de segurança de uma
rede e recomendar medidas corretivas com autoridade. Por muitos anos, o EC-Council vem certificando profissionais
de segurança de TI em todo o mundo para garantir que esses profissionais sejam proficientes em mecanismos de
defesa de segurança de rede. As credenciais do EC-Council atestam seu profissionalismo e experiência, tornando
esses profissionais mais procurados por organizações e empresas de consultoria em todo o mundo.
O CHFI do EC-Council certifica indivíduos na disciplina de segurança específica de computação forense de uma
perspectiva neutra de fornecedor. A certificação CHFI reforça o conhecimento aplicado do pessoal de aplicação da
lei, administradores de sistema, oficiais de segurança, defesa e pessoal militar, profissionais jurídicos, banqueiros,
profissionais de segurança e qualquer pessoa preocupada com a integridade das infraestruturas de rede.
O E|CIH é um programa orientado a métodos que usa uma abordagem holística para abranger vastos conceitos
relativos ao tratamento e resposta de incidentes organizacionais, desde a preparação e planejamento do processo
de resposta ao tratamento de incidentes até a recuperação de ativos organizacionais após um incidente de segurança.
Esses conceitos são essenciais para lidar e responder a incidentes de segurança para proteger as organizações de
futuras ameaças ou ataques.
desenvolvido, não existia nenhuma certificação para reconhecer o conhecimento, as habilidades e as aptidões
necessárias para um profissional de segurança da informação experiente desempenhar as funções de um CISO de
forma eficaz e competente. Na verdade, naquela época, muitas dúvidas existiam sobre o que realmente era um CISO
e o valor que essa função agregava a uma organização.
O CCISO Body of Knowledge ajuda a definir o papel do CISO e a delinear claramente as contribuições que essa
pessoa faz em uma organização. O EC-Council aprimora essas informações por meio de oportunidades de treinamento
conduzidas como módulos de autoestudo ou conduzidos por instrutores para garantir que os candidatos tenham uma
compreensão completa da função. O EC-Council avalia o conhecimento dos candidatos ao CCISO com um exame
rigoroso que testa sua competência em cinco domínios com os quais um líder de segurança experiente deve estar
familiarizado.
O programa de treinamento certificado pela CASE é desenvolvido simultaneamente para preparar profissionais de
software com os recursos necessários esperados por empregadores e acadêmicos em todo o mundo. Ele foi projetado
para ser um curso prático e abrangente de segurança de aplicativos que ajudará os profissionais de software a criar
aplicativos seguros. O programa de treinamento abrange atividades de segurança envolvidas em todas as fases do
Ciclo de Vida de Desenvolvimento de Software (SDLC): planejamento, criação, teste e implantação de um aplicativo.
Ao contrário de outros treinamentos de segurança de aplicativos, o CASE vai além de apenas as diretrizes sobre
práticas de codificação segura e inclui coleta segura de requisitos, design robusto de aplicativos e tratamento de
problemas de segurança nas fases pós-desenvolvimento do desenvolvimento de aplicativos. Isso faz da CASE uma
das certificações mais abrangentes do mercado atualmente. É desejado por engenheiros de aplicativos de software,
analistas e testadores em todo o mundo e respeitado pelas autoridades contratantes.
Duração 2 horas
Questões 75
Índice
Módulo 01: Fundamentos de Segurança de Rede 1
Determinar assinaturas de tráfego de linha de base para redes normais e suspeitas 872
Tráfego
Glossário 903
Referências 923
CE-Conselho
EC-Council
ND
Network Defense
E
Essentials
Rede Fundamentos de Defesa
Módulo 01
Fundamentos de Segurança de Rede
Machine Translated by Google
Objetivos do módulo
1 Compreendendo os objetivos da defesa de rede
Objetivos do módulo
Com o aumento do uso de tecnologias emergentes, tornou-se cada vez mais importante proteger
informações e dados processados online. Como a Internet e as redes de computadores estão crescendo
continuamente, a segurança da rede tornou-se uma tarefa desafiadora para as organizações.
Toda organização requer uma arquitetura de segurança de rede estável e eficiente que proteja seus ativos
críticos e sistemas de informação contra ameaças em evolução.
Este módulo começa com uma visão geral sobre segurança de rede e defesa de rede. Ele fornece
informações sobre os diferentes tipos de abordagens de defesa de rede. Posteriormente, o módulo discute
os tipos de controles de segurança de rede e termina com uma breve discussão sobre protocolos de
segurança de rede.
Fluxo do módulo
Entenda os fundamentos da
01 segurança de rede
Esta seção discute o objetivo da defesa de rede, princípios de garantia de informações, benefícios e
desafios da defesa de rede, tipos de abordagens de defesa de rede e tipos de controles de segurança
de rede.
Fundamentos de
Segurança de rede
ÿ Uma rede totalmente segura e robusta pode
ser projetado com implementação e configuração
adequadas de elementos de segurança de rede
Uma rede completamente segura e robusta pode ser projetada com implementação e configuração adequadas de elementos
de segurança de rede.
Os controles de segurança de rede são os recursos de segurança que devem ser configurados e implementados
adequadamente para garantir a segurança da rede. Esses são os pilares de qualquer disciplina sistemática de
segurança. Esses controles de segurança trabalham juntos para permitir ou restringir o acesso aos recursos da
organização com base no gerenciamento de identidade.
Os protocolos de segurança de rede implementam operações relacionadas à segurança para garantir a segurança
e a integridade dos dados em trânsito. Os protocolos de segurança de rede garantem a segurança dos dados que
trafegam pela rede. Eles implementam métodos que restringem o acesso de usuários não autorizados à rede. Os
protocolos de segurança usam criptografia e técnicas criptográficas para manter a segurança das mensagens que
passam pela rede.
Dispositivos de segurança de rede são dispositivos implantados para proteger redes de computadores contra
tráfego e ameaças indesejados. Esses dispositivos podem ser categorizados em dispositivos ativos, dispositivos
passivos e dispositivos preventivos. Ele também consiste no Unified Threat Management (UTM), que combina
recursos de todos os dispositivos.
Diferentes tipos de atividades não autorizadas ou ilegais podem incluir interrupção, dano, exploração ou restrição de
acesso a redes ou recursos de computação e roubo de dados e informações deles. A implementação de inúmeras
medidas de segurança, por si só, não garante a segurança da rede. Por exemplo, muitas organizações assumem que
a implantação de um firewall, ou vários firewalls, na rede é suficiente para proteger sua infra-estrutura de uma
variedade de ameaças. No entanto, os invasores podem contornar essas medidas de segurança para obter acesso
aos sistemas.
Assim, é importante garantir uma defesa de rede abrangente para prevenir e mitigar vários tipos de ameaças. O
objetivo da defesa de rede abrangente é implantar segurança contínua e de defesa em profundidade, que envolve
prever, proteger, monitorar, analisar, detectar e responder a atividades não autorizadas, como acesso não autorizado,
uso indevido, modificação, negação de serviço e qualquer degradação ou interrupção na rede e para garantir a
segurança geral da rede. As organizações contam com princípios de garantia de informações (IA) para obter segurança
de defesa em profundidade.
Confidencialidade Disponibilidade
ÿ Garante que a informação não seja ÿ Garante que as informações estejam
divulgado para não autorizado disponíveis para as partes autorizadas
partidos sem qualquer interrupção
Servidor Servidor
Homem no meio
Integridade
Não é possível modificar as informações
ÿ Garante que a informação não seja
modificado ou adulterado por Usuário autorizado
Servidor
terceiros não autorizados
Homem no meio
ÿ Garante que uma parte em uma comunicação ÿ Garante que a identidade de um indivíduo seja verificada
não possa negar o envio da mensagem pelo sistema ou serviço
Do utilizador Servidor
Usuário autorizado Servidor
identificando vulnerabilidades de segurança de rede, monitorando a rede para qualquer tentativa de invasão
ou atividade maliciosa e defendendo a rede mitigando as vulnerabilidades.
As atividades de defesa de rede devem abordar os seguintes princípios de IA para obter segurança de rede
de defesa em profundidade:
A segurança da rede é crucial para todas as organizações, independentemente do tamanho. Ele protege sistemas,
arquivos, dados e informações pessoais e os protege contra acesso não autorizado.
Além de garantir proteção contra tentativas de hackers e ataques de vírus, a segurança de rede oferece as
seguintes vantagens e benefícios indiretos.
ÿ Lucros aumentados: Manter as redes de computadores seguras é fundamental para qualquer organização.
Com a implementação de uma defesa de rede abrangente, a organização pode prevenir ameaças,
ataques e vulnerabilidades que, de outra forma, poderiam causar perdas significativas. Assim, a segurança
da rede apoia indiretamente a organização em termos de lucros. Ele também permite que as organizações
obtenham uma vantagem competitiva ao fornecer serviços mais seguros.
ÿ Maior produtividade: a segurança da rede também pode ajudar a melhorar a produtividade de uma
organização. Por exemplo, evita que os funcionários gastem tempo em atividades improdutivas na
Internet, como navegar em conteúdo adulto, jogos e fofocas durante o expediente. Essas atividades
podem ser restringidas com técnicas de navegação segura, melhorando consequentemente a produtividade.
ÿ Conformidade aprimorada: a segurança de rede ajuda as organizações a evitar penalidades por falta de
conformidade. O monitoramento em tempo real dos fluxos de dados ajuda as organizações a aprimorar
sua postura de conformidade.
ÿ Confiança do cliente: O conhecimento de que os sistemas e dados de uma organização estão protegidos
e seguros aumenta a confiança dos clientes na organização. Isso pode se traduzir em compras futuras
de outras ofertas de serviços da organização.
ÿ Ambientes de computação distribuídos: Com o avanço da tecnologia moderna e para atender aos
requisitos de negócios, as redes estão se tornando vastas e complexas, potencialmente com sérias
vulnerabilidades de segurança. Os invasores exploram as vulnerabilidades de segurança expostas para
comprometer a segurança da rede.
ÿ Falta de habilidades de segurança de rede: as organizações não estão conseguindo se defender contra
ataques de rede que aumentam rapidamente devido à falta de habilidades de segurança de rede.
Além das amplas categorias de desafios discutidos acima, um defensor de rede pode enfrentar os seguintes
desafios para manter a segurança de uma rede:
ÿ Desenvolver diretrizes para defensores da rede lidarem com a rede de maneira segura
Existem quatro classificações principais de técnicas de defesa de segurança utilizadas para identificação e prevenção
de ameaças e ataques na rede.
ÿ Abordagem Reativa: A abordagem reativa é complementar à abordagem preventiva. Essa abordagem aborda
ataques e ameaças que a abordagem preventiva pode ter falhado em evitar, como ataques DoS e DDoS. É
necessário implementar abordagens preventivas e reativas para garantir a segurança da rede.
Abordagens reativas incluem métodos de monitoramento de segurança, como IDS, SIMS, TRS e IPS.
ÿ Política de segurança
ÿ Classificação da informação
ÿ Separação de funções
ÿ Este é um conjunto de medidas de segurança tomadas para impedir o acesso não autorizado a dispositivos físicos
Controles de segurança física apropriados podem reduzir as chances de ataques e riscos em uma organização. Os
controles de segurança física fornecem proteção física das informações, edifícios e todos os outros ativos físicos de uma
organização.
ÿ Controlos de Prevenção
Eles são usados para impedir o acesso indesejado ou não autorizado aos recursos. Eles incluem controles de
acesso, como cercas, fechaduras, biometria e armadilhas.
ÿ Controlos de Dissuasão
Estes são usados para desencorajar a violação das políticas de segurança. Eles incluem controles de acesso,
como guardas de segurança e sinais de alerta.
ÿ Controles de Detecção
Estes são usados para detectar tentativas de acesso não autorizadas. Eles incluem controles de acesso, como
CFTV e alarmes.
ÿ Este é um conjunto de medidas de segurança tomadas para proteger dados e sistemas de pessoas não autorizadas
01 03 05
Acesso Autorização Auditoria Segurança Rede
Controles Protocolos
Segurança
Autenticação
04 Dispositivos
02 06
Os controles técnicos de segurança são usados para restringir o acesso a dispositivos em uma organização para
proteger a integridade de dados confidenciais.
ÿ Controles de acesso ao sistema: Os controles de acesso ao sistema são usados para restringir o acesso aos
dados de acordo com a confidencialidade dos dados, nível de autorização dos usuários, direitos do usuário e
permissões.
ÿ Controles de acesso à rede: Os controles de acesso à rede oferecem vários controles de acesso
mecanismos para dispositivos de rede como roteadores e switches.
ÿ Autenticação e autorização: Autenticação e autorização garantem que apenas usuários com privilégios
apropriados possam acessar o sistema ou recursos de rede.
ÿ Dispositivos de segurança de rede : Dispositivos de segurança de rede, como firewall e IDS, são usados para
filtrar e detectar tráfego malicioso, protegendo assim a organização contra ameaças.
ÿ Auditoria: A auditoria refere-se ao rastreamento e exame das atividades dos dispositivos de rede em uma rede.
Esse mecanismo ajuda a identificar pontos fracos na rede.
Fluxo do módulo
Entenda os fundamentos da
01 segurança de rede
TACACS+ HTTPS
Kerberos TLS
PGP SSL
S/MIME IPsec
Existem vários protocolos de segurança que funcionam nas camadas de rede, transporte e aplicação.
Esses protocolos ajudam as organizações a aumentar a segurança de seus dados e comunicação contra diferentes
tipos de ataques.
o Protocolo Pretty Good Privacy (PGP): O protocolo PGP fornece privacidade criptográfica e autenticação
para comunicação de rede e aumenta a segurança de e-mails.
o HTTP seguro: O HTTP seguro oferece segurança aos dados que trafegam pelo
rede mundial de computadores.
o Hyper Text Transfer Protocol Secure (HTTPS): O protocolo HTTPS é amplamente utilizado na Internet para
proteger a comunicação de rede.
o RADIUS: O protocolo RADIUS fornece autenticação centralizada, autorização e contabilidade (AAA) para
servidores de acesso remoto se comunicarem com um
servidor.
o TACACS+: TACACS+ fornece serviços de autenticação, autorização e contabilidade (AAA) para comunicação
de rede.
ÿ O serviço de usuário dial-in de autenticação remota (RADIUS) é um protocolo de autenticação que fornece autenticação centralizada,
autorização e contabilidade (AAA) para servidores de acesso remoto se comunicarem com um servidor central
2) O servidor recebe a solicitação de acesso do cliente e compara as credenciais com as armazenadas no banco de dados.
Se as informações fornecidas corresponderem, ele enviará a mensagem de aceitação de acesso junto com o desafio de acesso ao cliente para
autenticação adicional; caso contrário, ele enviará de volta uma mensagem de aceitação e rejeição
3) O cliente envia a solicitação de contabilidade ao servidor para especificar as informações de contabilidade para uma conexão que foi aceita
RADIUS: Contabilidade-Resposta
ÿ O servidor recebe esta mensagem e envia de volta uma mensagem de resposta contábil, que
declara o estabelecimento bem-sucedido da rede.
O protocolo RADIUS é um protocolo AAA que funciona em redes móveis e locais. Ele usa o protocolo de autenticação de senha
(PAP), o protocolo de autenticação de handshake de desafio (CHAP) ou o protocolo de autenticação extensível (EAP) para
autenticar os usuários que se comunicam com os servidores. Os componentes de um protocolo RADIUS AAA são:
ÿ Acessar clientes
ÿ Servidores de acesso
ÿ Proxies RADIUS
ÿ Servidores RADIUS
As mensagens RADIUS são enviadas como mensagens UDP e permitem apenas uma mensagem RADIUS na seção de carga
útil UDP do pacote RADIUS. As mensagens RADIUS consistem em um cabeçalho RADIUS e outros atributos RADIUS.
O Terminal Access Controller Access-Control System Plus (TACACS+) é um protocolo desenvolvido pela Cisco. É
derivado do protocolo TACACS e executa AAA separadamente, ao contrário do RADIUS. É usado principalmente para
administração de dispositivos.
O TACACS+ criptografa toda a comunicação entre o cliente e o servidor, incluindo a senha do usuário, o que o protege
de ataques de sniffing. É uma abordagem de modelo cliente-servidor em que o cliente (usuário ou dispositivo de rede)
solicita conexão a um servidor e o servidor autentica o usuário examinando suas credenciais.
Autenticação de TACACS+
Considere o seguinte exemplo de autenticação em que um usuário de laptop está se conectando a um armazenamento
conectado à rede (NAS, roteador). A autenticação TACACS+ envolve as seguintes etapas:
ÿ Etapa 4: O servidor responde com a mensagem REPLY com base nas informações fornecidas
RAIO TACACS+
Kerberos
Cliente KDC (Kerberos)
Distribuição Bilhete
Solicitação de Solicitação de ingresso
gerado e
centro (KDC) criptografado
resposta
(TGT) ao usuário para criar uma sessão do ticket e encaminhar
o
Uma vez autenticados os usuários, eles enviam o TGT para solicitar um tíquete de serviço bilhete para o
03 ao servidor ou TGS para acessar os serviços servidor Servidor
Bilhete
Descriptografe
O TGS autentica o TGT e concede um tíquete de serviço ao usuário. O tíquete de serviço
04 consiste no tíquete e em uma chave de sessão
o tíquete e
confirme o
identidade de
o cliente
O cliente envia o tíquete de serviço para o servidor. O servidor usa sua chave para
05 descriptografar as informações do TGS e o cliente é autenticado no servidor
Kerberos
ÿ Etapa 2: O servidor de autenticação faz o hash da senha do usuário e verifica as credenciais com as do
banco de dados do Active Directory. Se a credencial corresponder, o servidor de autenticação (consistindo
no serviço de concessão de tíquete (TGS)) envia de volta a chave de sessão TGS e o tíquete de concessão
de tíquete (TGT) ao usuário para criar uma sessão.
ÿ Passo 3: Uma vez autenticados os usuários, eles enviam o TGT para solicitar um ticket de serviço ao servidor
ou TGS para acesso aos serviços
ÿ Passo 4: O TGS autentica o TGT e concede um ticket de serviço ao usuário, que consiste em um ticket e
uma chave de sessão.
ÿ Passo 5: O cliente envia o tíquete de serviço para o servidor. O servidor usa sua chave para descriptografar
as informações do TGS e o cliente é autenticado no servidor.
ÿ Ele criptografa e descriptografa a comunicação por e-mail, bem como autentica as mensagens
com assinaturas digitais e criptografa arquivos armazenados
Chave Aleatória
Chave privada do usuário
Chave pública no
Cabeçalho
Criptografia Descriptografia Arquivo
Arquivo Criptografado
Chave Criptografada
Pretty Good Privacy (PGP) é um protocolo de camada de aplicação que fornece privacidade criptográfica
e autenticação para comunicação de rede. Pretty Good Privacy (PGP) é um programa de computador de
criptografia e descriptografia usado para fornecer confidencialidade e validação durante a comunicação. O
PGP aumenta a segurança dos e-mails.
Como funciona o PGP?
Cada usuário tem uma chave de criptografia pública e uma chave privada. As mensagens são enviadas
para outro usuário depois de criptografá-las usando a chave pública. O destinatário descriptografa a
mensagem usando sua chave privada. O PGP comprime a mensagem, resultando em um aumento na
segurança da mensagem na rede. O PGP cria uma chave de sessão que é usada apenas uma vez. Ele
criptografa a mensagem usando a chave de sessão junto com o algoritmo de criptografia. A chave de
sessão é criptografada pela chave pública do destinatário. A chave de sessão criptografada de chave
pública é enviada ao destinatário junto com a mensagem criptografada.
Um destinatário usa sua chave privada para descriptografar a chave de sessão e para descriptografar toda a mensagem.
ÿ Algoritmo RSA
ÿ Algoritmo Diffie-Hellman
O PGP cria um código hash a partir do nome e da assinatura do usuário para criptografar a chave privada do remetente.
O destinatário usa a chave pública do remetente para descriptografar o código hash.
Mensagem
Digital Assinatura
Assinando
Assinatura verificando
criptografado
Criptografia (DES) Descriptografia (DES)
Mensagem
Mensagem
Chave secreta
Chave secreta
Certificado
OK? Chave privada
Chave pública Prumo
Prumo Prumo
Extensões de correio da Internet seguras/multiuso (S/MIME) são usadas para enviar mensagens
criptografadas e assinadas digitalmente. Ele permite criptografar mensagens de e-mail e assiná-las
digitalmente para garantir a confidencialidade, integridade e não repúdio das mensagens.
ÿ Autenticação
ÿ Integridade da mensagem
ÿ Não-repúdio
ÿ Privacidade
ÿ Segurança de dados
O S/MIME garante a segurança do e-mail e foi incluído nas versões mais recentes de diferentes navegadores da web.
Ele usa o método de criptografia RSA e fornece detalhes sobre a criptografia e assinaturas digitais na mensagem.
Diferenças entre
PGP e S/MIME
Recursos obrigatórios S/MIME v3 OpenPGPGenericName
Encapsulamento MIME de
Aplicação/Pkcs 7-mime Multiparte/Criptografado
Dados criptografados
Criptografia Simétrica DES triplo (DES, EDE3 e DES triplo (DES, EDE3 e
Algoritmo hemograma) Excêntrico CFB)
Encapsulamento MIME de
Aplicação/Pkcs 7-mime Multiparte/Criptografado
Dados criptografados
S-HTTP
Criptografia Inteligente Criptografia Inteligente
Nível de Aplicação
Segurança Criptografado e/ou Criptografado e/ou
Mensagens Assinadas Mensagens Assinadas
Canal não criptografado
Camada de rede Camada de rede
O Secure Hypertext Transfer Protocol (S-HTTP) garante a troca segura de dados na rede mundial de computadores.
É uma alternativa ao HTTPS (SSL). Ele implementa segurança em nível de aplicativo que oferece criptografia e
assinaturas digitais na mensagem. O S-HTTP verifica o usuário usando um certificado e fornece muitos algoritmos
criptográficos e modos de operação. Garante também a transmissão segura de dados para mensagens individuais,
enquanto o SSL estabelece uma ligação segura entre duas entidades, garantindo assim a segurança de toda a
comunicação. S-HTTP usa o protocolo cliente-servidor para determinar as condições de segurança para uma
instância de comunicação cliente-servidor. Ele permite que o cliente envie um certificado para autenticar um
usuário. Existem muitos servidores da Web que suportam o protocolo S-HTTP, o que permite que eles se
comuniquem sem exigir nenhuma criptografia.
ÿ Protege contra ataques man-in-the-middle, uma vez que os dados são transmitidos
através de um canal criptografado
HTTPS
UMA B
“meu passe” “Xz54p6kd” “meu passe”
Criptografia Descriptografia
O protocolo de transferência de hipertexto seguro (HTTPS) é um protocolo usado para garantir a comunicação segura na rede. Ele usa
protocolos como TLS e SSL para garantir a transmissão segura de dados. O HTTPS confirma a verificação dos sites e preserva a
Ele protege contra ataques man-in-the-middle, pois os dados são transmitidos por um canal criptografado.
O HTTPS usa principalmente SSL para proteger qualquer site, facilitando o acesso dos usuários ao site. O SSL tem as seguintes vantagens:
ÿ
Ele criptografa as informações confidenciais durante a troca de dados.
ÿ
Ele mantém um registro dos detalhes do proprietário do certificado.
ÿ
É frequentemente usado em transações online confidenciais.
ÿ A segurança da camada de transporte (TLS) garante uma comunicação segura entre cliente-servidor
aplicativos pela internet
Inscrição Inscrição
A segurança da camada de transporte (TLS) fornece uma comunicação segura de dados, além da confidencialidade
e confiabilidade entre as partes comunicantes.
o Protocolo de registro TLS: Este protocolo fornece segurança usando o método de criptografia.
o Protocolo de handshake TLS: Este protocolo fornece segurança realizando uma autenticação de um
cliente e um servidor antes da comunicação.
ÿ Ele usa a criptografia assimétrica RSA (chave pública) para criptografar os dados transferidos por conexões SSL
Mensagem Hello do cliente (inclui versão SSL, dados gerados aleatoriamente, algoritmos de criptografia, ID de
sessão, algoritmos de troca de chaves, algoritmos de compactação e algoritmos MAC)
Determina a versão SSL e os algoritmos de criptografia a serem usados para a comunicação; envia
Mensagem de saudação do servidor (ID da sessão) e mensagem de certificado (certificado local)
Verifica o Certificado Digital; gera um segredo pré-mestre aleatório (criptografado com a chave
pública do servidor) e envia a mensagem Client Key Exchange com o segredo pré-mestre
Envia uma mensagem Change Cipher Spec e também envia uma mensagem Finished (hash da mensagem de handshake)
O valor de hash é calculado para as mensagens de handshake trocadas e, em seguida, comparado ao valor de hash
recebido do cliente; Se os dois corresponderem, a negociação da chave e do conjunto de cifras será bem-sucedida. Envia
uma mensagem Change Cipher Spec e também envia uma mensagem Finished (hash da mensagem de handshake)
A Secure Sockets Layer (SSL) é um protocolo usado para fornecer um mecanismo de autenticação seguro entre dois aplicativos
de comunicação, como um cliente e um servidor. O SSL requer um protocolo de transporte confiável, como TCP, para
transmissão e recepção de dados.
Qualquer protocolo de camada de aplicativo superior ao SSL, como HTTP, FTP e telnet, pode formar uma camada transparente
sobre o SSL. O SSL atua como um árbitro entre o algoritmo de criptografia e a chave de sessão. Ele também verifica o servidor
de destino antes da transmissão e recepção de dados. O SSL criptografa os dados completos do protocolo do aplicativo para
garantir a segurança.
O protocolo SSL também oferece “segurança de canal” por meio de três propriedades básicas:
ÿ Canal privado: Todas as mensagens são criptografadas após um simples aperto de mão para definir uma chave secreta.
ÿ Canal autenticado: O terminal do servidor da conversa é sempre criptografado, enquanto o terminal do cliente é
opcionalmente autenticado.
O SSL usa mecanismos de autenticação assimétricos e simétricos. A criptografia de chave pública verifica as identidades do
servidor, do cliente ou de ambos. Uma vez concluída a autenticação, o cliente e o servidor podem criar chaves simétricas,
permitindo que eles se comuniquem e transfiram dados rapidamente. Uma sessão SSL é responsável por realizar o protocolo
de handshake SSL para organizar os estados do servidor e dos clientes, garantindo assim a consistência do protocolo.
ÿ A segurança do protocolo de Internet (IPsec) é um protocolo da ÿ Ele criptografa e autentica cada pacote IP no
camada de rede que garante uma comunicação segura no nível comunicação
de IP
ÿ Suporta autenticação de nível de rede, autenticação de origem de
ÿ Fornece segurança de ponta a ponta na camada de internet dados, integridade de dados, confidencialidade de dados
do conjunto de protocolos de internet (criptografia) e proteção de replay
Firewall Firewall
túnel IPsec
IP externo IP externo
O Internet Protocol Security (IPsec) garante comunicações seguras na rede IP. Ele funciona na camada
de rede do modelo de comunicação e utiliza serviços de segurança criptográfica para garantir a
segurança da comunicação. Permite a autenticação de pacotes IP durante a comunicação. O IPsec é
aplicado em redes privadas virtuais e acesso de usuário remoto. Ele é usado entre um par de hosts,
um par de gateways de segurança ou um gateway de segurança e um host. Ele consiste em dois
serviços de segurança, ou seja, um cabeçalho de autenticação (AH) e uma carga útil de segurança de
encapsulamento (ESP). O AH permite a autenticação do remetente, enquanto o ESP permite a
autenticação do remetente, bem como a criptografia de dados.
Ele fornece comunicação segura para autenticação de nível de rede, autenticação de origem de dados
e garante integridade de dados, confidencialidade de dados (criptografia) e proteção de repetição.
Resumo do Módulo
Este módulo discutiu os fundamentos da segurança da rede, o objetivo da
defesa da rede e os princípios de garantia da informação (IA)
Segurança
Finalmente, este módulo terminou com uma discussão detalhada de vários
protocolos de segurança de rede
Resumo do Módulo
Este módulo discutiu os fundamentos da segurança de rede, objetivo de defesa de rede e
princípios de garantia de informação (IA). Ele discutiu os benefícios e desafios da defesa de rede.
Ele também discutiu diferentes tipos de abordagens de defesa de rede e tipos de controles de
segurança de rede. Finalmente, este módulo apresentou uma discussão detalhada de vários
protocolos de segurança de rede.
No próximo módulo, discutiremos os conceitos de identificação, autenticação e autorização em
detalhes.
CE-Conselho
EC-Council
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 02
Identificação, Autenticação e Autorização
Machine Translated by Google
Objetivos do módulo
Compreensão da terminologia, princípios e modelos de controle de acesso
Objetivos do módulo
O risco mais sério que as organizações enfrentam atualmente é o acesso não autorizado a dados confidenciais. Para
controlar essas violações de dados, as organizações exigem mecanismos fortes de identificação, autenticação e
autorização para gerenciar com eficácia o acesso a ativos críticos e dados confidenciais.
Este módulo fornece uma visão geral de vários métodos e técnicas usadas para identificação, autenticação e
autorização de usuários que acessam ativos e recursos críticos.
Fluxo do módulo
Controle de acesso
ÿ Controle de acesso é a restrição seletiva de acesso a um ativo ou recurso de sistema/rede
ÿ Mecanismo de controle de acesso usa identificação, autenticação e autorização do usuário para restringir ou conceder acesso
para um ativo/recurso específico
Autorização
Base de dados
Administrador
Acesso
Autenticação
Ao controle
Função
Função
Do utilizador
Recursos do sistema
Controle de acesso
O controle de acesso é um método de limitar o acesso aos recursos de uma organização para os usuários.
Um aspecto crucial da implementação de um controle de acesso é manter a integridade, confidencialidade e
disponibilidade das informações.
Uma função de controle de acesso usa identificação, autenticação e mecanismos para identificar, autenticar
e autorizar o usuário solicitando acesso a um recurso específico. As permissões de acesso determinam as
aprovações ou permissões fornecidas a um usuário para acessar um sistema e outros recursos.
ÿ Passo 2: O sistema valida o usuário com o banco de dados com base no fornecido
credenciais/identificação, como senha, impressão digital, etc.
ÿ Passo 3: Uma vez que a identificação for bem sucedida, o sistema fornece ao usuário acesso para usar
o sistema.
ÿ Etapa 4: O sistema permite que o usuário execute apenas as operações ou acesse apenas os recursos
para os quais o usuário foi autorizado.
Isso se refere a um recurso específico que o usuário deseja acessar, como um arquivo ou
Objeto um dispositivo de hardware
Referência
Ele verifica a regra de controle de acesso para restrições específicas
Monitor
Acesso
Acesso
Sujeito Monitor de referência Solicitar Objeto
Solicitar
Garantido
Autenticação Autorização
As seguintes terminologias são usadas para definir o controle de acesso em recursos específicos:
ÿ Assunto: Um assunto pode ser definido como um usuário ou um processo que tenta acessar os
objetos. Os sujeitos são aquelas entidades que executam certas ações no sistema.
ÿ Objeto: Um objeto é um recurso explícito no qual uma restrição de acesso é imposta. Os controles
de acesso implementados nos objetos controlam ainda mais as ações executadas pelo usuário.
Exemplos de um objeto são um arquivo ou um dispositivo de hardware.
ÿ Operação: Uma operação é uma ação executada por um sujeito em um objeto. Um usuário tentando
excluir um arquivo é um exemplo de operação. Aqui, o usuário é o sujeito, a ação de excluir refere-
se à operação e o arquivo é o objeto.
cada etapa aos indivíduos que solicitam um recurso • Isso garante que nenhum indivíduo tenha os direitos de autorização para executar todas as funções
Precisa saber
• De acordo com o princípio de controle de acesso necessário, o acesso é fornecido apenas às informações necessárias para a execução
uma tarefa específica
fornecer aos funcionários um acesso de necessidade de conhecimento, ou seja, nem mais, nem menos;
• Ele ajuda uma organização protegendo-a de comportamento malicioso, alcançando melhor estabilidade e segurança do sistema
Os princípios de controle de acesso descrevem detalhadamente os níveis de permissão de acesso dos usuários. Ao
implementar um processo de controle de acesso, a segurança dos processos e recursos pode ser garantida. O processo de
controle de acesso deve ser baseado nos seguintes princípios.
SoD envolve uma divisão do processo de autorização em várias etapas. Privilégios diferentes são atribuídos em cada
etapa a indivíduos que solicitam um recurso. Isso garante que nenhum indivíduo tenha os direitos de autorização
para executar todas as funções; simultaneamente, um único indivíduo não pode ter acesso a todos os objetos. Essa
divisão garante que uma única pessoa não seja responsável por um processo maior. Um exemplo é a concessão de
direitos de administrador de servidor web para apenas configurar um servidor web, sem conceder direitos
administrativos a outros servidores.
ÿ Necessidade de saber
De acordo com o princípio de controle de acesso necessário, o acesso é fornecido apenas às informações
necessárias para a execução de uma tarefa específica.
O princípio do menor privilégio (POLP) estende o princípio da necessidade de saber ao fornecer acesso a um
sistema. Em outras palavras, o POLP implica fornecer aos funcionários exatamente o nível de necessidade de saber
de acesso, ou seja, nem mais nem menos. Ele ajuda uma organização protegendo-a de comportamento malicioso,
além de melhorar a estabilidade e a segurança do sistema.
O privilégio mínimo fornece permissões de acesso apenas aos usuários que precisam de
acesso e recursos. As permissões concedidas dependem das funções e responsabilidades do
usuário que solicita o acesso. Existem dois princípios subjacentes envolvidos no POLP: baixos
direitos e baixos riscos. Com base nesses princípios, um usuário precisa concluir uma tarefa
usando um número limitado de recursos em um período limitado de tempo fornecido a eles.
Essa abordagem reduz a probabilidade de acesso não autorizado aos recursos do sistema.
ÿ Os modelos de controle de acesso são os padrões que fornecem uma estrutura predefinida
para implementar o nível necessário de controle de acesso
pelo administrador
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Os modelos de controle de acesso são os padrões que fornecem uma estrutura predefinida para
implementar o nível necessário de controle de acesso. Os modelos de controle de acesso especificam
como um sujeito pode acessar um objeto.
O controle de acesso obrigatório (MAC) determina as políticas de uso e acesso para os usuários.
Um usuário pode acessar um recurso apenas se tiver os direitos de acesso a esse recurso.
O MAC é aplicado no caso de dados marcados como altamente confidenciais. Os administradores
impõem MAC dependendo do sistema operacional e do kernel de segurança.
Não permite que o usuário final decida quem pode acessar as informações.
o Dependendo do MAC, um sistema operacional marca e rotula os dados recebidos, criando assim
uma política externa de controle de aplicativos.
O controle de acesso discricionário (DAC) determina o controle de acesso tomado por qualquer
possuidor de um objeto para decidir o controle de acesso de um sujeito naquele objeto.
O DAC também é denominado como um modelo de acesso obrigatório. A decisão tomada pelo proprietário
depende das seguintes medidas:
Um proprietário pode fornecer ou negar acesso a qualquer usuário específico ou a um grupo de usuários. Os
atributos de um DAC incluem o seguinte:
o O DAC impede que usuários não autorizados visualizem detalhes como tamanho do arquivo, nome do arquivo,
caminho do diretório, etc.
Desvantagem: Um DAC requer manutenção da lista de controle de acesso e permissões de acesso para os
usuários. Exemplos de DAC incluem controle de acesso UNIX, Linux e Windows.
Em um controle de acesso baseado em função (RBAC), as permissões de acesso estão disponíveis com base
nas políticas de acesso determinadas pelo sistema. As permissões de acesso estão além do controle do usuário,
o que implica que os usuários não podem alterar as políticas de acesso criadas pelo sistema. As regras para
determinar os controles de acesso baseados em funções são as seguintes:
o Atribuição de função: Uma determinada função deve ser atribuída a um usuário que permite
para realizar uma transação.
o Autorização de função: Um usuário precisa executar uma autorização de função para obter
um determinado papel.
As permissões são atribuídas a uma função de usuário dinamicamente com base em um conjunto de regras
definidas pelo administrador.
Figura 2.3: Implementação do Mac: a ferramenta de controle de conta de usuário do sistema operacional Windows
No sistema operacional Windows, o DAC é implementado para atribuir permissões de arquivo a grupos/usuários específicos.
As permissões para acessar arquivos e pastas em um sistema, para acessar arquivos que existem em uma conta antiga de um
usuário ou para editar arquivos do sistema são todas controladas usando o DAC.
A estrutura de gerenciamento Just Enough Administration (JEA) no Windows implementa o RBAC para
restringir os direitos dos administradores de TI em sessões remotas do PowerShell. Usando o JEA, o
controle de acesso refinado pode ser implementado para que não administradores executem comandos,
scripts e executáveis específicos.
O Windows Admin Center (WAC) é uma ferramenta que ajuda a configurar o RBAC para gerenciar um
servidor. O conceito de função é baseado no JEA, que permite conceder os direitos necessários a não
administradores.
Fluxo do módulo
ÿ O IAM é responsável por fornecer ao indivíduo certo o acesso certo no momento certo
Gerenciamento de acesso
Autenticação Autorização
Gerenciamento de identidade
Inscrição
Identidade
Gerenciamento
(IDM)
Identidade
Repositório Acesso
Gerenciamento
(SOU)
Inscrição
Humano
Recurso
(RH)
Inscrição
Cliente
gerenciamento
de relacionamento
(CRM) Inscrição
Usuários
O gerenciamento de identidade e acesso (IAM) é responsável por fornecer ao indivíduo certo o acesso certo no
momento certo. Ele oferece um controle de acesso baseado em função para os clientes ou funcionários de uma
organização para acessar informações críticas dentro da empresa. É composto por processos de negócios,
políticas e tecnologias que permitem o monitoramento de identidades eletrônicas ou digitais. Os produtos IAM
fornecem aos administradores do sistema ferramentas e tecnologias para regular o acesso do usuário (ou seja,
criar, gerenciar e remover o acesso) a sistemas ou
redes com base nas funções de usuários individuais dentro da empresa. As organizações geralmente preferem uma implementação
de autenticação completa que pode ser estendida para identificar uma federação. Isso ocorre porque a federação de identidade
inclui o IAM com um logon único (SSO) e uma conta centralizada do Active Directory (AD) para um gerenciamento seguro.
As organizações devem garantir a exatidão dos dados para o bom funcionamento da estrutura do IAM. Uma estrutura IAM pode ser
dividida em quatro áreas, a saber, autenticação, autorização, gerenciamento de usuários e repositório central do usuário/repositório
de identidade. Todos os componentes do IAM são agrupados nessas quatro áreas.
Funcionamento de um IAM:
A principal responsabilidade da estrutura de gerenciamento de identidade (IDM) é gerenciar o repositório de identidade compartilhado
que está sendo acessado pelos aplicativos e pelo sistema de gerenciamento de acesso.
ÿ A identificação do usuário envolve um método para ÿ O repositório do usuário é um banco de dados onde os
garantir que um indivíduo possua uma atributos relacionados às identidades dos usuários
A identificação lida com a confirmação da identidade de um usuário, processo ou dispositivo que acessa a rede. A identificação do
usuário é a técnica mais comumente usada para autenticar os usuários na rede e nos aplicativos. Os usuários têm um ID de usuário
exclusivo que ajuda na sua identificação.
O gerenciamento de identificação envolve o armazenamento e o gerenciamento dos atributos do usuário em seus repositórios.
Aqui, o repositório do usuário é um banco de dados onde são armazenados os atributos relacionados às identidades dos usuários.
O processo de autenticação inclui a verificação de um ID de usuário e uma senha. Os usuários são obrigados a fornecer ambas as
credenciais para obter acesso à rede. Os administradores de rede fornecem controles de acesso, como nome de usuário, número
de conta, etc. e permissões para vários outros serviços, dependendo dos IDs de usuário.
Tipos de Autenticação
A autenticação envolve a verificação das credenciais fornecidas por um usuário ao tentar se conectar a uma rede. As
redes com fio e sem fio realizam a autenticação dos usuários antes de permitir que eles acessem os recursos da rede.
Uma autenticação de usuário típica consiste em um ID de usuário e uma senha. Outras formas de autenticação incluem
autenticar um site usando um certificado digital e comparar o produto e o rótulo associado a ele.
ÿ Algo que você sabe: O usuário deve saber as informações, como nomes de usuários,
senhas, etc., ao tentar fazer login em um sistema ou rede.
ÿ Algo que você tem: O usuário deve manter informações como um token de senha de uso único, cartões de
identificação de funcionários, etc., ao tentar fazer login em um sistema ou rede.
ÿ Algo que você é: O usuário deve usar suas características biométricas, como varredura de retina, varredura de
impressão digital, etc., ao tentar fazer login em um sistema ou rede.
ÿ Autenticação de Senha
ÿ Autenticação Biométrica
Tipos de Autenticação
Autenticação de senha
Tipos de Autenticação
(continua)
Autenticação de cartão inteligente
biométrico
A biometria refere-se à identificação de indivíduos com base em suas características físicas
Autenticação
Compara duas impressões digitais Analisa a camada de vasos sanguíneos na Analisa a parte colorida do olho suspensa
para verificação e identificação com base nos parte de trás dos olhos para identificar atrás da córnea
padrões do dedo uma pessoa
Analisa a espessura e a localização das Usa recursos faciais para identificar ou Usa padrões de voz para identificar ou
veias para identificar uma pessoa verificar uma pessoa verificar uma pessoa
Vantagens
SERVIDOR DE E-MAIL
Do utilizador
Autenticação de logon único (SSO)
Tipos de Autenticação
ÿ Autenticação de Senha
Na autenticação por senha, os usuários são obrigados a fornecer nomes de usuário e senhas para provar sua
identidade a um sistema, aplicativo ou rede. Estes são comparados com uma lista de usuários autorizados no
banco de dados/Windows AD. Uma vez combinados, os usuários podem acessar o sistema.
A senha do usuário deve seguir as práticas de criação de senha padrão, incluindo uma mistura de letras,
números e caracteres especiais e com um comprimento superior a 8 caracteres (já que senhas pequenas são
fáceis de adivinhar).
A autenticação de senha é vulnerável a ataques de força bruta ou ataques de dicionário, por exemplo, uma
pessoa tentando combinações possíveis de caracteres para adivinhar a senha ou capturar pacotes usando um
“farejador de pacote” enquanto envia dados pela rede como texto simples.
As organizações usam a tecnologia de cartão inteligente para garantir uma autenticação forte. Os cartões
inteligentes podem armazenar arquivos de senha, tokens de autenticação, arquivos de senha única, modelos
biométricos, etc. Essa tecnologia é usada com outro token de autenticação, fornecendo autenticação multifatorial.
Isso permite uma segurança de acesso lógico eficiente. Essa tecnologia é aplicada em autenticação VPN,
criptografia de e-mail e dados, assinaturas eletrônicas, logon sem fio seguro e autenticação biométrica.
Um cartão inteligente consiste em um pequeno chip de computador que armazena informações pessoais do
usuário para identificação. Esses cartões são inseridos em uma máquina para autenticação e um número de
identificação pessoal (PIN) é inserido para processar as informações de autenticação no cartão. Os cartões
inteligentes também ajudam no armazenamento de chaves públicas e privadas.
A autenticação de cartão inteligente é uma técnica de autenticação baseada em criptografia e fornece segurança
mais forte do que a autenticação de senha. A principal vantagem de usar um cartão inteligente é que ele elimina o
risco de roubo de credenciais de um computador porque as credenciais são armazenadas no chip do cartão. No
entanto, apenas uma quantidade limitada de informações pode ser armazenada no microchip do cartão.
o Fácil de transportar: Os cartões inteligentes são fáceis de transportar e o usuário só precisa saber o PIN
do cartão.
o Redução das chances de fraude por parte dos usuários: um cartão inteligente permite que os usuários
armazenem informações como impressão digital e outros detalhes biométricos, permitindo assim que as
organizações reconheçam seus funcionários.
o Facilmente perdido: Como os cartões inteligentes são pequenos, as chances de perdê-los são muito
Alto.
o Questões de segurança: a perda de um cartão inteligente coloca as informações e a identidade de seu proprietário em risco
grande risco.
o Alto custo de produção: Como os cartões inteligentes possuem microchips e outras criptografias
tecnologias; seu custo de produção é alto.
ÿ Autenticação Biométrica
A biometria é uma tecnologia que identifica características humanas para autenticar pessoas. As biometrias mais
usadas são scanner de impressão digital, scanner de retina, reconhecimento facial, DNA e reconhecimento de voz.
o Digitalização de impressão digital: Compara duas impressões digitais para verificação e identificação com base
nos padrões do dedo. Os padrões dependem dos sulcos e pontos de minúcia que diferenciam as impressões
digitais de cada usuário.
o Varredura de retina: Compara e identifica um usuário com base nos padrões distintos dos vasos sanguíneos da
retina.
o Reconhecimento facial: Compara e identifica uma pessoa com base nas características faciais de uma
imagem ou fonte de vídeo.
Vantagens da biometria:
Desvantagens da biometria:
o O escaneamento da retina e o escaneamento da estrutura venosa podem criar problemas de privacidade. Tanto a varredura
da retina quanto as informações da varredura da estrutura da veia podem revelar inadvertidamente uma condição médica.
A autenticação de dois fatores é um processo em que um sistema confirma a identificação do usuário em duas
etapas. Os usuários podem usar uma entidade física, como um token de segurança, como uma das credenciais
e a outra credencial pode incluir códigos de segurança.
O fator “Algo que você é” é o melhor companheiro da autenticação de dois fatores, pois é considerado o mais
difícil de forjar ou falsificar.
Exemplo: Um cartão bancário – Um usuário é obrigado a passar o cartão bancário e inserir um PIN ao acessar
o cartão bancário. Aqui, o cartão bancário é a entidade física e o PIN é o código de segurança.
A vantagem da autenticação de dois fatores inclui diminuir as chances de roubo de identidade e phishing. No
entanto, existem algumas desvantagens desse processo de duas etapas. Existem situações em que o usuário
terá que aguardar que a organização emita o token físico para o usuário. A demora no recebimento do token
faz com que os usuários esperem muito tempo para acessar seus dados privados.
A avaliação da identidade depende do conhecimento, posse e fatores inerentes. Destes, os fatores inerentes
são difíceis de mudar, pois dependem das características de um ser humano.
Existem muitas combinações disponíveis no processo de autenticação de dois fatores. As combinações mais
comumente encontradas são:
o Senha e biometria
Autenticações de dois fatores executadas sem o uso de tokens são chamadas de autenticação sem token.
Eles podem ser implementados rapidamente em toda a rede.
Como o nome sugere, ele permite que os usuários acessem vários aplicativos usando um único nome de
usuário e senha. O SSO armazena as credenciais de um usuário em um servidor de política SSO. Um
exemplo de SSO são os aplicativos do Google. Os usuários podem acessar todos os aplicativos do Google
usando uma única combinação de nome de usuário e senha. Considere o Google como um serviço central.
Este serviço central cria um cookie para todos os usuários que se conectam pela primeira vez em qualquer
um dos aplicativos presentes no serviço central. Quando o usuário tenta acessar outras aplicações do serviço
central, elimina a necessidade do usuário inserir novamente as credenciais devido ao cookie que já foi criado.
O sistema verifica as credenciais usando o cookie criado.
Vantagens do SSO:
o Proporciona uma melhor gestão das aplicações devido a uma base de dados centralizada.
Desvantagens do SSO:
o A perda de credenciais tem um alto impacto, pois todos os aplicativos do serviço central
ficar indisponível.
ÿ A autorização para acesso à rede é feita através de um único ÿ Os usuários podem acessar o recurso solicitado
unidade de autorização centralizada em nome de outros
ÿ Mantém um único banco de dados para autorizar todos os ÿ A solicitação de acesso passa por um recurso
recursos ou aplicativos da rede primário para acessar o recurso solicitado
ÿ É uma abordagem de autorização fácil e barata
ÿ Cada recurso de rede mantém sua ÿ Ao contrário da autorização implícita, a autorização explícita
unidade de autorização e executa a autorização autorização requer autorização separada para cada
localmente recurso solicitado
ÿ Mantém banco de dados próprio para autorização ÿ Mantém explicitamente a autorização para cada
objeto solicitado
Autorização refere-se ao processo de fornecer permissão para acessar os recursos ou executar uma ação na rede. Os s
podem decidir os privilégios de usuário e as permissões de acesso dos usuários em um sistema multiusuário. O
mecanismo de autorização pode permitir ao administrador criar permissões de acesso para os usuários, bem como
verificar as permissões de acesso criadas para cada usuário.
A autorização pode assumir diferentes formas com base nas necessidades da organização.
ÿ Autorização Centralizada
ÿ Autorização Descentralizada
Uma autorização descentralizada mantém um banco de dados separado para cada recurso. O banco de dados
contém os detalhes de todos os usuários que têm permissão para acessar um determinado recurso. O processo
de autorização descentralizado permite que os usuários também forneçam acesso a outros usuários. Isso
aumenta o nível de flexibilidade dos usuários no uso do método descentralizado. No entanto, certas questões
relacionadas à autorização descentralizada incluem autorizações em cascata e cíclicas.
ÿ Autorização Implícita
A autorização implícita fornece acesso aos recursos indiretamente. Uma tarefa é possível depois que
um usuário recebe autorização para um recurso principal por meio do qual o acesso ao recurso
solicitado é possível. Por exemplo, um usuário solicitando uma página da Web tem permissão para
acessar a página principal, bem como todas as páginas vinculadas à página principal. Assim, o usuário
está obtendo um acesso indireto aos demais links e documentos anexados à página principal. A
autorização implícita fornece um nível de granularidade mais alto.
ÿ Autorização Explícita
Uma autorização explícita mantém detalhes de autorização separados para cada solicitação de recurso.
Esta técnica é mais simples do que a técnica implícita. No entanto, ocupa uma grande quantidade de
espaço de armazenamento para armazenar todos os detalhes de autorização.
ÿ Os dados da conta podem ser usados para análise de tendências, detecção de violação de dados, investigações forenses, etc.
Responsabilidade
Autenticação Autorização
Identidade Objeto
A contabilidade do usuário envolve o rastreamento das ações executadas por um usuário em uma rede.
Ele rastreia quem, quando e como os usuários acessam a rede. Isso inclui a verificação dos arquivos
acessados pelo usuário e funções como alteração ou modificação dos arquivos ou dados. Ajuda na
identificação de ações autorizadas e não autorizadas. Os dados da conta podem ser usados para análise
de tendências, detecção de violação de dados, investigações forenses, etc.
Resumo do Módulo
Este módulo discutiu os princípios, terminologias e modelos de controle
de acesso
Resumo do Módulo
Este módulo discutiu princípios, terminologias e modelos de controle de acesso. Além disso, discutiu
conceitos relacionados ao gerenciamento de identidade e acesso. Ele também discutiu diferentes métodos
usados para gerenciamento de acesso do usuário. Além disso, este módulo explicou diferentes tipos de
técnicas de autenticação e autorização. Finalmente, este módulo apresentou uma visão geral da contabilidade
e prestação de contas do usuário.
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 03
C o n t r o l e s d e S e g u r a nç a d e R ed e - C o n t r o l e s
A d m i n i s tr a t i v o s
Machine Translated by Google
Objetivos do módulo
Compreensão de vários marcos regulatórios, leis e atos
1
2 Entendendo por que as organizações precisam de conformidade
Objetivos do módulo
Conformidade, políticas e governança são parte integrante de um programa de segurança da informação para
qualquer organização. Uma organização precisa cumprir certos padrões regulatórios para administrar seus negócios.
Ao mesmo tempo, também deve ter fortes políticas de segurança e governança para cumprir os padrões regulatórios.
O módulo atual aborda esse aspecto administrativo da segurança de rede de uma organização.
Fluxo do módulo
Muitas vezes é necessário que as organizações cumpram algum tipo de regulamentação de segurança
A conformidade com as estruturas regulatórias é um esforço colaborativo entre governos e órgãos privados para
incentivar melhorias voluntárias/obrigatórias na segurança cibernética
Exemplo: PCI-DSS:
Regulatório Requisitos 3: criptografar os dados do titular do cartão
Estruturas
Exemplo:
Políticas política de criptografia
Exemplo:
Padrões de criptografia, como criptografia de dados
Padrões Padrão, Padrão de Criptografia Avançada e
Algoritmo de Rivest-Shamir-Adleman
cíber segurança. A conformidade regulatória evita que as organizações incorram em multas pesadas ou sejam
vítimas de violações de dados. A maioria das organizações está em conformidade com mais de uma estrutura regulatória.
Decidir qual estrutura, políticas e controles são mais compatíveis com as metas de conformidade de uma organização
é uma tarefa difícil. Ao mesmo tempo, a conformidade com a estrutura regulatória tem uma natureza evolutiva
porque os ambientes organizacionais estão sempre em fluxo. Geralmente, essas diretrizes são alavancadas por
ÿ Auditores internos e outras partes interessadas que avaliam os controles de uma organização
requer;
Para garantir a segurança cibernética, as organizações devem implementar os seguintes padrões para atender à
conformidade da estrutura regulatória:
Figura 3.1: Papel da conformidade com os marcos regulatórios na segurança da rede administrativa de uma organização
Estruturas Regulatórias: Sob uma estrutura, uma organização deve documentar suas políticas, padrões, bem
como procedimentos, práticas e diretrizes. Cada um desses aspectos tem propósitos diferentes; portanto, eles não
podem ser combinados em um único documento. Exemplos de estruturas regulatórias incluem o Payment Card
Industry—Data Security Standard (PCI-DSS)
Requisito 3: Proteja os dados armazenados do titular do cartão.
ÿ Políticas
Políticas são declarações de alto nível que lidam com a segurança da rede administrativa de uma
organização. Estes são aproveitados pela alta administração de uma organização.
As organizações exigem pelo menos uma política em vigor. Uma política é vista como um mandato de
negócios e tem um gerenciamento de cima para baixo. Alguns exemplos de política incluem políticas de e-
mail e criptografia. Eles geralmente descrevem o
ÿ Normas
Procedimentos ou procedimentos operacionais padrão (SOP) compreendem instruções passo a passo úteis
para implementar os controles que são definidos por várias políticas, padrões e diretrizes, como um
procedimento para instalação segura do Windows ou procedimento, práticas e diretrizes de criptografia de
dados.
As diretrizes incluem recomendações, mas controles não obrigatórios, bem como declarações gerais,
instruções administrativas ou melhores práticas úteis para apoiar padrões ou atuar como referência quando
não há padrões em vigor. Diretrizes e melhores práticas são intercambiáveis. Essas mudanças dependem do
ambiente e devem ser revisadas com mais frequência do que os padrões e políticas. Por exemplo, um padrão
pode estabelecer que uma senha deve ter oito caracteres ou mais, enquanto uma diretriz de suporte pode
declarar que também é uma prática recomendada seguir as diretrizes de expiração de senha e criptografia
de dados.
A conformidade com a segurança da informação deve ser uma exigência e não uma escolha para as organizações, pois o
dinheiro, o tempo e os esforços investidos na conformidade valem mais do que o custo dos riscos.
As vantagens que a conformidade com a estrutura regulatória traz para uma organização incluem:
ÿ Perdas minimizadas: A segurança aprimorada pode evitar violações de segurança, que de outra forma podem
levar a perdas, custos de reparo, honorários advocatícios ou multas pesadas.
ÿ Manutenção da confiança: Violações de dados fazem com que as empresas percam sua reputação e confiança
dos clientes. A conformidade faz com que os clientes confiem em uma organização com a crença de que suas
informações estão seguras.
ÿ Maior controle: a segurança de uma organização aumenta com maiores controles, como evitar que os funcionários
cometam erros, implementar sistemas de credenciais fortes e sistemas de criptografia ou monitorar ameaças
externas.
Qualquer empresa ou escritório que lide com dados de assistência médica, incluindo, entre outros, consultórios
Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
médicos, seguradoras, parceiros de negócios e empregadores
Lei Sarbanes Oxley Conselhos de empresas públicas, administração e empresas de contabilidade pública dos EUA
Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA) Todas as agências federais devem desenvolver um método de proteção de sistemas de informação
Empresas que oferecem produtos ou serviços financeiros a pessoas físicas, como empréstimos, consultoria
Lei Gramm Leach Bliley (GLBA)
financeira ou de investimento ou seguros
Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS) Empresas que lidam com informações de cartão de crédito
Uma organização deve realizar uma autoavaliação para verificar os marcos regulatórios que melhor se aplicam a ela.
Essa avaliação de conformidade envolve a identificação de lacunas entre o ambiente de controle existente e os
requisitos de uma organização. No entanto, esta é uma tarefa desafiadora em que uma organização deve entender
completamente suas necessidades e funções para entender quais controles se adequam ao seu tamanho e
complexidade. Ao avaliar a conformidade, uma organização deve considerar o seguinte:
ÿ Orientação e recomendações de implementação do setor - por exemplo, padrões internacionais como ISO 27002
ou o Instituto Nacional de Padrões e Tecnologia
Estrutura para aprimoramento da segurança cibernética; e
ÿ Observe os crimes cibernéticos, novas explorações e novas tendências para verificar a possibilidade de uma
violação de grande alcance.
Por exemplo, a tabela a seguir mostra diferentes regulamentações e qual organização estaria sujeita ao
escopo da estrutura regulatória.
Segurança da Informação Federal Todas as agências federais devem desenvolver um método para proteger os
Lei de Gestão de 2002 (FISMA) sistemas de informação
Por exemplo, a tabela a seguir mostra alguns dos requisitos regulamentares PCI-DSS:
PCI-DSS PCI-DSS
Políticas, procedimentos e
Provisão para detectar todas as conexões de Provisão para procurar protocolos e serviços
Políticas, procedimentos e controles controles para atender aos
rede não autorizadas de/para uma organização inseguros em execução em sistemas
para atender aos requisitos requisitos
ativos de TI
Como Cumprir a Requisito PCI-DSS nº 1.3.1: “Implementar uma DMZ para limitar
o tráfego de entrada apenas aos componentes do sistema que
fornecem serviços, protocolos e portas de acesso público autorizados.”
Regulamentação Requisito PCI-DSS nº 1.3.2: “Limitar o tráfego de entrada da Internet para
Requisitos regulamentares
Estrutura endereços IP dentro da DMZ.”
Políticas, procedimentos e controles para atender Provisão para verificar como o tráfego está fluindo pela DMZ de/para a
aos requisitos rede interna
PCI-DSS
Requisito PCI-DSS nº 5.1: “Implantar software antivírus em todos os sistemas comumente afetados por
software malicioso (particularmente computadores pessoais e servidores).”
Requisitos regulamentares Requisito PCI-DSS nº 5.3: “Certifique-se de que os mecanismos antivírus estejam funcionando
ativamente e não possam ser desabilitados ou alterados pelos usuários, a menos que especificamente
autorizado pela administração caso a caso por um período de tempo limitado.”
Políticas, procedimentos e controles para atender aos Provisão para detectar infecção por malware quando a proteção antivírus está desativada nas máquinas
requisitos
violações. Separar/agrupar os requisitos de conformidade que são percebidos como, primeiro, importantes e
centrais; então, apenas importante; e, finalmente, pertinente, mas incidental, para as operações de uma
organização.
Com base nos requisitos regulamentares, uma organização precisa estabelecer políticas, procedimentos e
controles de segurança adequados para organizar sua segurança da informação. Por exemplo, a tabela a
seguir mostra alguns dos requisitos regulamentares PCI-DSS.
PCI-DSS
Políticas, procedimentos e
Provisão para detectar todas as conexões de rede não autorizadas de/
controles para atender aos
para os ativos de TI de uma organização
requisitos
PCI-DSS
Políticas, procedimentos e
Provisão para procurar protocolos e serviços inseguros em execução em
controles para atender aos
sistemas
requisitos
PCI-DSS
Políticas, procedimentos e
Provisão para verificar como o tráfego está fluindo pela DMZ de/para a
controles para atender aos
rede interna
requisitos
PCI-DSS
Políticas, procedimentos e
Provisão para detectar infecção por malware quando a proteção
controles para atender aos
antivírus está desativada nas máquinas
requisitos
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão de segurança de informações proprietário para
organizações que lidam com informações de titulares de cartão para cartões de débito, crédito, pré-pagos, e-purse, ATM e POS
O PCI DSS se aplica a todas as entidades envolvidas no processamento de cartões de pagamento — incluindo comerciantes, processadores, adquirentes,
emissores e prestadores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão
https:// www.pcisecuritystandards.org
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento do cartão de pagamento
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão de segurança de
informações proprietário para organizações que lidam com informações de titulares de cartão para os principais
cartões de débito, crédito, pré-pagos, e-purse, ATM e POS. Este padrão oferece padrões robustos e abrangentes e
materiais de suporte para aumentar a segurança dos dados do cartão de pagamento. Esses materiais incluem uma
estrutura de especificações, ferramentas, medições e recursos de suporte para ajudar as organizações a garantir o
manuseio seguro das informações do titular do cartão. O PCI DSS se aplica a todas as entidades envolvidas no
processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e
provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão.
O PCI DSS compreende um conjunto mínimo de requisitos para proteger os dados do titular do cartão. O Conselho
de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI) desenvolveu e mantém uma visão geral de
alto nível dos requisitos do PCI DSS.
ÿ
Instale e mantenha uma configuração de firewall para proteger os
Construa e mantenha um seguro dados do titular do cartão
Rede ÿ Não use padrões fornecidos pelo fornecedor para senhas do sistema
e outros parâmetros de segurança
Manter uma informação ÿ Manter uma política que trate da segurança da informação para todos
Política de segurança pessoal
Tabela 3.6: Tabela mostrando o padrão de segurança de dados do PCI - visão geral de alto nível
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento
do cartão de pagamento.
Fornece proteções federais para as informações pessoais de saúde mantidas por entidades
regra de privacidade cobertas e oferece aos pacientes uma série de direitos com relação a essas informações
A regra de privacidade da HIPAA fornece proteções federais para as informações de saúde individualmente identificáveis
mantidas por entidades cobertas e seus parceiros de negócios e dá aos pacientes uma série de direitos a essas
informações. Ao mesmo tempo, a regra de privacidade permite a divulgação de informações de saúde necessárias para
atendimento ao paciente e outros fins necessários.
A Regra de Segurança especifica uma série de proteções administrativas, físicas e técnicas para entidades cobertas e
seus parceiros de negócios usarem para garantir a confidencialidade, integridade e disponibilidade de informações de
saúde protegidas eletronicamente.
O escritório de direitos civis implementou o Estatuto e as Regras de Simplificação Administrativa da HIPAA, conforme
discutido abaixo:
As transações são trocas eletrônicas envolvendo a transferência de informações entre duas partes para fins
específicos. A Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA) designou certos
tipos de organizações como entidades cobertas, incluindo planos de saúde, câmaras de compensação de
assistência médica e certos provedores de assistência médica. Nos regulamentos da HIPAA, o Secretário de
Saúde e Serviços Humanos (HHS) adotou certas transações padrão para o Intercâmbio Eletrônico de Dados
(EDI) de dados de saúde. Essas transações são reivindicações e encontrar informações, conselhos de
pagamento e remessa, status de reivindicação, elegibilidade, inscrição e cancelamento de inscrição, referências
e autorizações, coordenação de benefícios e pagamento de prêmio. De acordo com a HIPAA, se uma entidade
coberta conduzir eletronicamente uma das transações adotadas, ela deve usar o padrão adotado - da ASC,
X12N ou NCPDP (para determinadas farmácias
transações). As entidades cobertas devem aderir aos requisitos de conteúdo e formato de cada transação. Todo
provedor que faz negócios eletronicamente deve usar as mesmas transações de assistência médica, conjuntos de
códigos e identificadores.
ÿ Regra de Privacidade
A regra de privacidade da HIPAA estabelece padrões nacionais para proteger os registros médicos das pessoas e
outras informações pessoais de saúde e se aplica a planos de saúde, câmaras de compensação de assistência
médica e provedores de assistência médica que conduzem determinadas transações de assistência médica
eletronicamente. A regra exige salvaguardas adequadas para proteger a privacidade das informações pessoais de
saúde. Ela estabelece limites e condições sobre os usos e divulgações que podem ser feitas dessas informações sem
a autorização do paciente. A regra também concede direitos aos pacientes sobre suas informações de saúde, incluindo
o direito de examinar e obter uma cópia de seus registros de saúde e solicitar correções.
ÿ Regra de Segurança
A regra de segurança da HIPAA estabelece padrões nacionais para proteger as informações pessoais eletrônicas de
saúde dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de
Segurança exige salvaguardas administrativas, físicas e técnicas adequadas para garantir a confidencialidade,
integridade e segurança das informações de saúde protegidas eletronicamente.
A HIPAA exige que cada empregador tenha um número nacional padrão que os identifique em transações padrão.
ÿ Norma de Execução
A Regra de Execução da HIPAA contém disposições relativas à conformidade e investigação, bem como a imposição
de penalidades monetárias civis por violações das Regras de Simplificação Administrativa da HIPAA e procedimentos
para audiências.
ÿ Promulgada em 2002, a Lei Sarbanes-Oxley foi criada para proteger os investidores e o público aumentando
a precisão e a confiabilidade das divulgações corporativas
de empresas de contabilidade pública abordar novos requisitos de aprovação de auditores, rotação responsabilidade pela precisão e
que prestam serviços de auditoria de parceiros de auditoria e requisitos de relatórios de integridade dos relatórios financeiros
(“auditores”) auditores corporativos
https:// www.sec.gov
Título IV
As Divulgações Financeiras Aprimoradas descrevem os requisitos aprimorados de relatórios para
transações financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações
de executivos corporativos
Título V
Os Conflitos de Interesse de Analistas consistem em medidas destinadas a ajudar a restaurar a
confiança do investidor nos relatórios de analistas de valores mobiliários
Título VI
Recursos e Autoridade da Comissão definem práticas para restaurar a confiança dos
investidores nos analistas de valores mobiliários
Título VII
Estudos e relatórios incluem os efeitos da consolidação de empresas de contabilidade pública, o papel
das agências de classificação de crédito na operação dos mercados de valores mobiliários, violações de
valores mobiliários e ações de execução, e se os bancos de investimento ajudaram a Enron, Global
Crossing ou outros a manipular ganhos e ofuscar verdadeiras condições financeiras
Título X
O aprimoramento da penalidade por crimes de colarinho branco aumenta as penalidades
criminais associadas a crimes de colarinho branco e conspirações. Ele recomenda diretrizes de
condenação mais rígidas e acrescenta especificamente a falha em certificar relatórios
financeiros corporativos como uma ofensa criminal
Título IX
Corporate Tax Returns estabelece que o CEO deve assinar a declaração de imposto da
empresa
Título XI
A Corporate Fraud Accountability identifica a fraude corporativa e a adulteração de registros
como ofensas criminais e atribui a elas penalidades específicas. Ele também revisa as diretrizes
de condenação e fortalece suas penalidades. Isso permite que a SEC congele temporariamente
pagamentos grandes ou incomuns
Promulgada em 2002, a Lei Sarbanes-Oxley visa proteger o público e os investidores, aumentando a precisão e
a confiabilidade das divulgações corporativas. Este ato não explica como uma organização deve armazenar
registros, mas descreve os registros que as organizações devem armazenar e a duração de seu armazenamento.
A Lei determinou várias reformas para aumentar a responsabilidade corporativa, aprimorar as divulgações
financeiras e combater a fraude corporativa e contábil.
O Título III consiste em oito seções e exige que os executivos seniores assumam responsabilidade individual
pela precisão e integridade dos relatórios financeiros corporativos. Ele define a interação entre auditores
externos e comitês de auditoria corporativos e especifica a responsabilidade dos executivos corporativos pela
precisão e validade dos relatórios financeiros corporativos. Ele enumera limites específicos sobre o
comportamento de executivos corporativos e descreve confiscos específicos de benefícios e penalidades civis
por não conformidade.
O Título IV consiste em nove seções. Ele descreve os requisitos aprimorados de relatórios para transações
financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações de executivos
corporativos. Exige controles internos para garantir a precisão dos relatórios e divulgações financeiras e exige
auditorias e relatórios sobre esses controles. Também exige relatórios oportunos de mudanças materiais nas
condições financeiras e revisões específicas aprimoradas de relatórios corporativos pela SEC ou seus agentes.
O Título V consiste em apenas uma seção que discute as medidas destinadas a ajudar a restaurar a confiança
do investidor nos relatórios dos analistas de valores mobiliários. Ele define o código de conduta para analistas
de valores mobiliários e exige que divulguem quaisquer conflitos de interesse conhecidos.
O Título VI consiste em quatro seções e define práticas para restaurar a confiança do investidor nos analistas
de valores mobiliários. Ele também define a autoridade da SEC para censurar ou proibir a prática de profissionais
de valores mobiliários e define as condições para impedir uma pessoa de praticar como corretor, consultor ou
negociante.
O Título VII consiste em cinco seções e exige que o Controlador Geral e a Securities and Exchange Commission
(SEC) realizem vários estudos e relatem suas conclusões.
Os estudos e relatórios necessários incluem os efeitos da consolidação de empresas de contabilidade pública,
o papel das agências de classificação de crédito na operação dos mercados de valores mobiliários, violações
de valores mobiliários, ações de execução e se os bancos de investimento ajudaram a Enron, Global Crossing
e outros a manipular lucros e ofuscar as verdadeiras condições financeiras.
O Título VIII, também conhecido como “Lei de Responsabilidade por Fraude Corporativa e Criminal de 2002”,
consiste em sete seções. Ele descreve penalidades criminais específicas para a manipulação, destruição ou
alteração de registros financeiros ou interferência em investigações, além de fornecer certas proteções para
denunciantes.
O Título IX, também conhecido como "Lei de Aprimoramento de Penalidades para Crimes de Colarinho Branco
de 2002", consiste em seis seções.
crimes de colarinho e conspirações. Ele recomenda diretrizes de condenação mais rígidas e acrescenta
especificamente a falha na certificação de relatórios financeiros corporativos como ofensa criminal.
O Título X consiste em uma seção que estabelece que o Diretor-Presidente deve assinar a declaração de
imposto da empresa.
O Título XI consiste em sete seções. A Seção 1101 recomenda o seguinte nome para o título: “Lei de
Responsabilidade de Fraude Corporativa de 2002”. Ele identifica fraudes corporativas e adulteração de
registros como ofensas criminais e associa essas ofensas a penalidades específicas. Ele também revisa
as diretrizes de condenação e fortalece as penalidades. Isso permite que a SEC congele temporariamente
transações ou pagamentos “grandes” ou “incomuns”.
Gramm-Leach
Lei Bliley ÿ O objetivo do Gramm–Leach–
Bliley Act foi para facilitar a transferência
(GLBA) de informações financeiras entre
instituições e bancos , tornando os
direitos do indivíduo mais específicos
por meio de requisitos de segurança
Pontos-chave incluem:
A Lei Gramm-Leach-Bliley (GLB Act ou GLBA) é uma lei federal dos Estados Unidos que exige que as instituições
financeiras expliquem como compartilham e protegem as informações privadas de seus clientes. A Lei exige que
as instituições financeiras – empresas que oferecem produtos ou serviços financeiros aos consumidores, como
empréstimos, consultoria financeira ou de investimento ou seguros – expliquem suas práticas de compartilhamento
de informações a seus clientes e protejam dados confidenciais. O objetivo do GLBA é facilitar a transferência de
informações financeiras entre instituições e bancos, ao mesmo tempo em que torna mais específicos os direitos do
indivíduo por meio de requisitos de segurança.
ÿ Proteger as informações financeiras pessoais do consumidor mantidas por instituições financeiras e seus
provedores de serviços são os pontos-chave das provisões de privacidade financeira do GLBA.
As empresas devem fornecer aos consumidores avisos de privacidade que expliquem as práticas de compartilhamento
de informações do GLBA, enquanto os clientes podem limitar o compartilhamento de suas informações.
ÿ
Se uma organização violar o GLBA, então
o Está sujeito a uma penalidade civil de até US$ 100.000 para cada violação;
o Regras de privacidade financeira a serem fornecidas aos consumidores com aviso de privacidade após o
relacionamento é estabelecido com o consumidor; e
ÿ O GDPR aplicará multas severas contra aqueles que violarem seus padrões de
privacidade e segurança, com penalidades que chegarão a dezenas de milhões de
euros
O Regulamento Geral de Proteção de Dados (GDPR) é a lei de privacidade e segurança mais rígida do mundo.
Embora tenha sido elaborado e aprovado pela União Europeia (UE), impõe obrigações a organizações em qualquer
lugar, desde que tenham como alvo ou coletem dados relacionados a pessoas na UE.
O regulamento entrou em vigor a 25 de maio de 2018. O RGPD aplicará multas severas a quem violar as suas
normas de privacidade e segurança, com penalidades que podem chegar às dezenas de milhões de euros.
Com o GDPR, a Europa está sinalizando sua posição firme em relação à privacidade e segurança de dados em um
momento em que mais pessoas confiam seus dados pessoais a serviços em nuvem e as violações ocorrem
diariamente. O regulamento em si é grande, abrangente e bastante leve em detalhes, tornando a conformidade com
o GDPR uma perspectiva assustadora, principalmente para pequenas e médias empresas (PMEs).
ÿ Licitude, equidade e transparência: O tratamento deve ser lícito, leal e transparente para o titular dos dados.
ÿ Limitação de finalidade: Você deve processar dados para as finalidades legítimas especificadas
explicitamente ao titular dos dados quando você os coletou.
ÿ Minimização de dados: você deve coletar e processar apenas os dados absolutamente necessários para os
fins especificados.
ÿ Limitação de armazenamento: você só pode armazenar dados de identificação pessoal pelo tempo
necessário para o fim especificado.
ÿ Integridade e confidencialidade: O processamento deve ser feito de forma a garantir segurança,
integridade e confidencialidade adequadas (por exemplo, usando criptografia).
ÿ Responsabilidade: O controlador de dados é responsável por demonstrar a conformidade com o
GDPR com todos esses princípios.
Exigir que os dados pessoais sejam processados de forma legal e justa, com base no
consentimento do titular dos dados ou em outra base especificada,
Conferir direitos ao titular dos dados para obter informações sobre o processamento
de dados pessoais e exigir que os dados pessoais inexatos sejam retificados, e
O DPA 2018 estabelece a estrutura da lei de proteção de dados no Reino Unido. Ele atualiza e substitui a Lei de
Proteção de Dados de 1998 e entrou em vigor em 25 de maio de 2018. Foi alterado em 01 de janeiro de 2021 por
regulamentos da Lei de (Retirada) da União Europeia de 2018, para refletir o status do Reino Unido fora da UE.
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações relativas a indivíduos; fazer
provisões em conexão com as funções do Comissário de Informação de acordo com certos regulamentos relativos a
informações; fazer provisões para um código de prática de marketing direto; e para fins conexos.
O DPA também estabelece regras de proteção de dados separadas para autoridades policiais, estende a proteção de
dados a algumas outras áreas, como segurança e defesa nacional, e define as funções e poderes do Comissário de
Informação.
uma. Exigir que os dados pessoais sejam tratados de forma lícita e justa, com base nos dados
consentimento do sujeito ou outra base especificada,
b. Conferir direitos ao titular dos dados para obter informações sobre o processamento de dados pessoais e
exigir que os dados pessoais inexatos sejam retificados, e
2 ISO/IEC 27002 Controles de segurança da informação 17 ISO/IEC TR 27019 Controle de processos em energia
3 ISO/IEC 27003 Guia de implementação do ISMS 18 ISO/IEC 27031 Continuidade de negócios de TIC
https:// www.iso27001security.com
ÿ ISO/IEC 27001
ÿ ISO/IEC 27002
A ISO/IEC 27002 é relevante para todos os tipos de organizações, incluindo empresas comerciais
de todos os tamanhos (de bandas individuais até gigantes multinacionais), organizações sem fins
lucrativos, instituições de caridade, departamentos governamentais e órgãos semi-autônomos, ou
qualquer organização que manipula e depende da informação. Os requisitos específicos de risco e
controle de segurança da informação podem diferir em detalhes, embora haja um terreno comum -
por exemplo, a maioria das organizações precisa abordar os riscos de segurança da informação
relacionados a seus funcionários, contratados, consultores e fornecedores externos de serviços de
informação.
ÿ ISO/IEC 27003
A ISO/IEC 27003 orienta o projeto de um ISMS em conformidade com a ISO/IEC 27001, conduzindo
ao início de um projeto de implementação de ISMS. Descreve o processo de ISMS
ÿ ISO/IEC 27004
A ISO/IEC 27004 diz respeito às medidas relativas à gestão da segurança da informação; estes são
comumente conhecidos como “métricas de segurança”.
ÿ ISO/IEC 27005
ÿ ISO/IEC 27006
ISO/IEC 27006 é o padrão de acreditação que orienta os organismos de certificação nos processos
formais que devem seguir ao auditar os Sistemas de Gerenciamento de Segurança da Informação
(ISMSs) de seus clientes em relação ao ISO/IEC 27001 para certificá-los ou registrá-los em
conformidade. Os processos de acreditação estabelecidos na norma garantem que os certificados
ISO/IEC 27001 emitidos por organizações acreditadas são válidos.
ÿ ISO/IEC 27007
A ISO/IEC 27007 reflete e se refere em grande parte à ISO 19011, a norma ISO para auditoria de
sistemas de gestão ambiental e de qualidade – com “sistemas de gestão” sendo o fator comum que
a liga às normas ISO27k. Ele fornece orientação específica adicional do ISMS.
ÿ ISO/IEC TR 27008
Esta norma fornece orientação para todos os auditores em relação aos controles ISMS selecionados
por meio de uma abordagem baseada em risco (por exemplo, conforme apresentado em uma
declaração de aplicabilidade) para gerenciamento de segurança da informação. Ele oferece suporte
ao processo de gerenciamento de riscos de segurança da informação, bem como auditorias internas,
externas e de terceiros do ISMS, explicando a relação entre o ISMS e seus controles de suporte.
Ele fornece orientação sobre como verificar até que ponto os controles ISMS necessários são
implementados. Além disso, ele oferece suporte a qualquer organização que use ISO/IEC 27001 e
ISO/IEC 27002 para atender aos requisitos de garantia e é uma plataforma estratégica para
governança de segurança da informação.
ÿ ISO/IEC 27010
ÿ ISO/IEC 27011
Este guia de implementação ISMS para a indústria de telecomunicações foi desenvolvido em conjunto
pelo ITU Telecommunication Standardization Sector (ITU-T) e ISO/IEC JTC1/SC 27, com o texto
idêntico sendo publicado como ITU -T X.1051 e ISO/IEC 27011.
ÿ ISO/IEC 27013
ÿ ISO/IEC 27014
ÿ ISO/IEC TR 27015
Esta é uma diretriz destinada a ajudar as organizações de serviços financeiros (por exemplo, bancos,
seguradoras e empresas de cartão de crédito) a implementar ISMSs usando os padrões ISO27k.
Embora o setor de serviços financeiros já trabalhe sob uma vasta gama de padrões de risco e
segurança (como ISO TR 13569 “Banking Information Security Guidelines,”
SOX e Basel II/III), a orientação de implementação do ISMS desenvolvida pelo SC 27 reflete a ISO/
IEC 27001 e 27002, juntamente com vários padrões de segurança de uso geral, como Objetivos de
Controle para Tecnologias de Informação e Relacionadas (COBIT) e os requisitos PCI-DSS .
ÿ ISO/IEC TR 27016
ÿ ISO/IEC 27017
ÿ ISO/IEC 27018
Este padrão fornece orientação destinada a garantir que os provedores de serviços em nuvem (como
Amazon e Google) ofereçam controles de segurança de informações adequados para proteger a
privacidade dos clientes de seus clientes, protegendo as informações de identificação pessoal
confiadas a eles. O padrão será seguido pela ISO/IEC 27017, abrangendo os ângulos mais amplos
de segurança da informação da computação em nuvem, além da privacidade.
Módulo 03 Página 100 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ISO/IEC TR 27019
Este padrão (um Relatório Técnico) destina-se a ajudar as organizações do setor de energia a interpretar e
aplicar a ISO/IEC 27002:2005 para proteger seus sistemas de controle de processo eletrônico.
ÿ ISO/IEC 27031
A ISO/IEC 27031 fornece orientação sobre os conceitos e princípios por trás do papel da tecnologia da
informação e comunicação para garantir a continuidade dos negócios.
O padrão
o Sugere uma estrutura ou estrutura (na verdade, um conjunto de métodos e processos) para qualquer
organização, seja privada, governamental ou não governamental;
o Identifica e especifica todos os aspectos relevantes, incluindo critérios de desempenho, design e detalhes
de implementação para melhorar a prontidão da tecnologia de informação e comunicação (TIC) como
parte do SGSI de uma organização; assim, ajuda a garantir a continuidade do negócio; e
o Permite que uma organização meça sua continuidade de TIC, segurança e, portanto, prontidão para
sobreviver a um desastre de maneira consistente e reconhecida.
ÿ ISO/IEC 27032
ÿ ISO/IEC 27033-1 a -5
ISO/IEC 27033 é um padrão de várias partes derivado do padrão de segurança de rede de cinco partes
existente ISO/IEC 18028. Ele está sendo substancialmente revisado, e não apenas renomeado, para se
adequar ao conjunto ISO27k.
ÿ ISO/IEC 27034 -1 e -5
A ISO/IEC 27034 oferece orientação sobre segurança da informação para aqueles que especificam, projetam
e programam ou adquirem, implementam e usam sistemas de aplicativos, ou seja, gerentes de negócios e
de TI, desenvolvedores e auditores e, finalmente, os usuários finais de TIC. O objetivo é garantir que os
aplicativos de computador forneçam o nível de segurança desejado ou necessário em suporte ao ISMS de
uma organização, abordando adequadamente muitos riscos de segurança de TIC.
ÿ ISO/IEC 27035
Os controles de segurança da informação são imperfeitos de várias maneiras: os controles podem ser
sobrecarregados ou prejudicados (por exemplo, por hackers competentes, fraudadores ou malware), falham
no serviço (por exemplo, falhas de autenticação), funcionam parcialmente ou mal (por exemplo, anomalia lenta
Módulo 03 Página 101 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
detecção), ou estar mais ou menos completamente ausente (por exemplo, não [ainda] totalmente
implementado, não [ainda] totalmente operacional ou nunca concebido devido a falhas na identificação e
análise de riscos). Consequentemente, os incidentes de segurança da informação podem ocorrer até certo
ponto, mesmo em organizações que levam a segurança da informação extremamente a sério.
A ISO/IEC 27036 é uma norma com várias partes que oferece orientação sobre a avaliação e tratamento
dos riscos de segurança da informação envolvidos na aquisição de bens e serviços de fornecedores. O
contexto implícito são os relacionamentos business-to-business — do que o varejo — e os produtos
relacionados à informação. Os termos aquisição e adquirente são usados em vez de compra e aquisição,
uma vez que o processo e os riscos são praticamente os mesmos, sejam as transações comerciais ou não.
ÿ ISO/IEC 27037
Esta norma fornece orientação sobre como identificar, coletar/coletar/adquirir, manusear e proteger/
preservar evidências forenses digitais, ou seja, “dados digitais que podem ter valor probatório” para uso em
tribunal. O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos de
melhores práticas para captura forense e investigação de evidências digitais. Embora investigadores,
organizações e jurisdições individuais possam reter certos métodos, processos e controles, espera-se que
a padronização (eventualmente) leve à adoção de abordagens semelhantes, se não idênticas
internacionalmente. Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações,
mesmo quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27038
Às vezes, os dados digitais precisam ser revelados a terceiros, ocasionalmente até publicados ao público,
por motivos como a divulgação de documentos oficiais sob as leis de liberdade de informação ou como
prova em disputas comerciais ou processos legais. “Redação” é o termo convencional para o processo de
negar aos destinatários dos arquivos o conhecimento de certos dados confidenciais contidos nos arquivos
originais.
ÿ ISO/IEC 27039
Os sistemas de detecção de intrusão (IDSs) são sistemas amplamente automatizados para identificar
ataques e invasões em uma rede ou sistema por hackers e disparar o alarme. Os sistemas de prevenção
de intrusão (IPSs) levam a automação um passo adiante, respondendo automaticamente a certos tipos de
ataque identificados, por exemplo, fechando portas de rede específicas por meio de um firewall para
bloquear o tráfego de hackers identificados. Os sistemas de detecção e prevenção de intrusão combinam
recursos de IDSs e IPSs.
ÿ ISO/IEC 27040
Módulo 03 Página 102 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
gerentes e administradores, uma compreensão limitada dos riscos inerentes ou conceitos básicos
de segurança.
ÿ ISO/IEC 27041
O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos
de melhores práticas para captura forense e investigação de evidências digitais. Embora
investigadores, organizações e jurisdições individuais possam reter certos métodos, processos e
controles, espera-se que a padronização (eventualmente) leve à adoção de abordagens
semelhantes, se não idênticas, internacionalmente.
Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações, mesmo
quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27042
O objetivo fundamental dos padrões forenses digitais ISO27k é promover métodos e processos
de melhores práticas para a captura forense e investigação de evidências digitais. Embora
investigadores, organizações e jurisdições individuais possam reter certos métodos, processos e
controles, espera-se que a padronização (eventualmente) leve à adoção de abordagens
semelhantes, se não idênticas, internacionalmente.
Isso torna mais fácil comparar, combinar e contrastar os resultados de tais investigações, mesmo
quando realizadas por diferentes pessoas ou organizações e potencialmente em diferentes
jurisdições.
ÿ ISO/IEC 27043
O objetivo fundamental dos padrões forenses digitais ISO/IEC 27037, 27041, 27042, 27043 e
27050 é promover métodos e processos de melhores práticas para captura forense e investigação
de evidências digitais. Embora investigadores, organizações e jurisdições individuais possam
reter certos métodos, processos e controles, espera-se que a padronização (eventualmente) leve
à adoção de abordagens semelhantes, se não idênticas, internacionalmente. Isso torna mais fácil
comparar, combinar e contrastar os resultados de tais investigações, mesmo quando realizadas
por diferentes pessoas ou organizações e potencialmente em diferentes jurisdições.
Este padrão fornece orientação para organizações de saúde e outros guardiões de informações
pessoais de saúde sobre a melhor forma de proteger a confidencialidade, integridade e
disponibilidade de tais informações através da implementação do ISO/IEC 27002. Especificamente,
ele aborda as necessidades especiais de gerenciamento de segurança da informação do setor
de saúde setor e seus ambientes operacionais exclusivos. Embora a proteção e a segurança das
informações pessoais sejam importantes para todos os indivíduos, corporações, instituições e
governos, existem requisitos especiais no setor de saúde que precisam ser atendidos para
garantir a confidencialidade, integridade, adaptabilidade e disponibilidade das informações pessoais de saúde.
Módulo 03 Página 103 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O milênio digital
Lei de Direitos Autorais (DMCA)
ÿ O DMCA é uma lei de direitos autorais dos Estados Unidos que implementa dois tratados de 1996 da World Intellectual
Organização da Propriedade (OMPI)
ÿ Define as proibições legais contra a evasão de medidas de proteção tecnológica empregadas pelos proprietários de
direitos autorais para proteger suas obras e contra a remoção ou alteração de informações de gerenciamento de
direitos autorais
https:// www.copyright.gov
O DMCA é uma lei de direitos autorais americana que implementa dois tratados de 1996 da Organização Mundial de
Propriedade Intelectual (WIPO): o Tratado de Direitos Autorais da OMPI e o Tratado de Performances e Fonogramas
da WIPO. A fim de implementar as obrigações do tratado dos EUA, o DMCA define proibições legais contra a evasão
das medidas de proteção tecnológica empregadas pelos proprietários de direitos autorais para proteger suas obras e
contra a remoção ou alteração das informações de gerenciamento de direitos autorais. O DMCA contém cinco títulos:
O Título I implementa os tratados da OMPI. Em primeiro lugar, faz algumas alterações técnicas à legislação
dos Estados Unidos a fim de fornecer as referências e links apropriados para os tratados. Em segundo lugar,
cria duas novas proibições no Título 17 do Código dos Estados Unidos - uma sobre contornar as medidas
tecnológicas usadas pelos proprietários de direitos autorais para proteger suas obras e outra sobre
adulteração de informações de gerenciamento de direitos autorais - e acrescenta recursos civis e penalidades
criminais por violar as proibições. .
O Título II da DMCA adiciona uma nova seção 512 à Lei de Direitos Autorais para criar quatro novas
limitações de responsabilidade por violação de direitos autorais por provedores de serviços online. Um
provedor de serviços baseia essas limitações nas quatro categorias de conduta a seguir:
o Comunicações transitórias
o Cache do sistema
Módulo 03 Página 104 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A nova seção 512 também inclui regras especiais relativas à aplicação dessas limitações a instituições
educacionais sem fins lucrativos.
O Título III do DMCA permite que o proprietário de uma cópia de um programa faça reproduções ou
adaptações quando necessário para usar o programa em conjunto com um computador. A alteração
permite que o proprietário ou locatário de um computador faça ou autorize a criação de uma cópia de
um programa de computador durante a manutenção ou reparo desse computador.
O Título V da DMCA dá direito ao Vessel Hull Design Protection Act (VHDPA). Esta lei cria um novo
sistema para proteger os desenhos originais de certos artigos úteis que tornam o artigo atraente ou
distintivo na aparência. Para fins do VHDPA, “artigos úteis” são limitados aos cascos (incluindo os
conveses) de embarcações com comprimento não superior a 200 pés.
Módulo 03 Página 105 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Inclui
A Lei Federal de Gerenciamento de Segurança da Informação de 2002 foi promulgada para produzir vários padrões
e diretrizes de segurança importantes exigidos pela legislação do Congresso. O FISMA fornece uma estrutura
abrangente para garantir a eficácia dos controles de segurança da informação sobre os recursos de informação
que suportam as operações e ativos federais. Ela exige que cada agência federal desenvolva, documente e
implemente um programa em toda a agência para fornecer segurança da informação para as informações e
sistemas de informação que suportam as operações e ativos da agência, incluindo aqueles fornecidos ou
gerenciados por outra agência, contratante ou outro fonte. A estrutura FISMA inclui:
Módulo 03 Página 106 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Lei Patriota dos EUA de 2001 A Lei dos Direitos Humanos de 1998
1 4
As Comunicações Eletrônicas
Lei de Fraude e Abuso de Computador
Lei de privacidade 3 6
O objetivo do USA PATRIOT Act é deter e punir atos terroristas nos EUA e em todo o mundo e aprimorar
as ferramentas de investigação da aplicação da lei, incluindo
ÿ Fortalecer as medidas dos EUA para prevenir, detectar e processar a lavagem de dinheiro
internacional e o financiamento do terrorismo;
ÿ Exigir que todos os elementos apropriados da indústria de serviços financeiros relatem potenciais
lavagem de dinheiro; e
ÿ Fortalecer as medidas para impedir o uso do sistema financeiro dos EUA para ganho pessoal por
funcionários estrangeiros corruptos e facilitar a repatriação de bens roubados aos cidadãos dos
países aos quais esses bens pertencem.
A Lei de Liberdade de Informação (FOIA) forneceu ao público o direito de solicitar acesso aos registros
de qualquer agência federal. Muitas vezes é descrito como a lei que mantém os cidadãos informados
sobre seu governo. As agências federais são obrigadas a divulgar qualquer informação solicitada
Módulo 03 Página 107 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
sob a FOIA, a menos que se enquadre em uma das nove isenções que protegem interesses como privacidade
pessoal, segurança nacional e aplicação da lei.
A Lei de Privacidade de Comunicações Eletrônicas e a Lei de Comunicações Eletrônicas Stored Wire são comumente
referidas juntas como Lei de Privacidade de Comunicações Eletrônicas (ECPA) de 1986.
A ECPA atualizou o Federal Wiretap Act de 1968, que tratava da interceptação de conversas usando linhas telefônicas
"duras", mas não se aplicava à interceptação de computadores e outras comunicações digitais e eletrônicas. Vários
atos legislativos subsequentes, incluindo o USA PATRIOT Act, esclarecem e atualizam a ECPA para acompanhar a
evolução de novas tecnologias e métodos de comunicação, incluindo a flexibilização das restrições ao acesso de
autoridades policiais a comunicações armazenadas em alguns casos.
Esta Lei reforça os direitos e liberdades garantidos pela Convenção Europeia dos Direitos do Homem; dispõe sobre
os titulares de determinados cargos judiciais que se tornam juízes do Tribunal Europeu dos Direitos do Homem e
para outros fins conexos.
Esta lei prevê a divulgação de informações mantidas por autoridades públicas ou por pessoas que prestam serviços
para elas e para alterar a Lei de Proteção de Dados de 1998 e a Lei de Registros Públicos de 1958, e para fins
relacionados.
O Computer Fraud and Abuse Act (CFAA), 18 USC § 1030, é uma emenda feita em 1986 ao Counterfeit Access
Device and Abuse Act 1984, e afirma essencialmente que, quem acessa intencionalmente um computador sem
autorização ou excede o acesso autorizado e, portanto, obtém informações de qualquer computador protegido e, se
a conduta envolver uma comunicação interestadual ou estrangeira, será punido nos termos da lei. Em 1996, o CFAA
foi, novamente, ampliado por uma emenda que substituiu o termo “computador de interesse federal” pelo termo
“computador protegido” 18 USC § 1030. Embora o CFAA seja principalmente uma lei criminal destinada a reduzir os
casos de interferências maliciosas com sistemas de computador e tratar de crimes federais de informática, uma
emenda em 1994 permite que ações civis sejam movidas de acordo com o estatuto também.
Módulo 03 Página 108 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.copyright.gov
A Lei Lanham (Marca Registrada) (15 USC §§ 1051 - 1127) https:// www.uspto.gov
Lei de Patentes (Emenda), 1999, Lei de Marcas Registradas, 1999, Lei de Direitos Autorais, 1957 http:// www.ipindia.nic.in
Índia
Lei de Tecnologia da Informação https:// www.meity.gov.in
Alemanha Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados, Seção 303b. Sabotagem de Computador https:// www.cybercrimelaw.net
Módulo 03 Página 109 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Lei de Direitos Autorais (RSC, 1985, c. C-42), Lei de Marcas Registradas, Código Penal Canadense
Canadá Seção 342.1
https:// laws-lois.justice.gc.ca
País
Leis/Leis Local na rede Internet
Nome
A seção 107 da Lei de Direitos Autorais menciona a doutrina do “uso
justo”
https://www.copyright.gov
Módulo 03 Página 110 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 111 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 03 Página 112 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ As políticas de segurança são usadas para informar as pessoas sobre como trabalhar
de maneira segura; eles definem e orientam as ações dos funcionários sobre como
lidar com operações, dados ou recursos confidenciais da organização
Uma política de segurança é um conjunto bem documentado de planos, processos, procedimentos, padrões e diretrizes
necessários para estabelecer um status ideal de segurança da informação de uma organização. As políticas de segurança
são usadas para informar as pessoas sobre como trabalhar de maneira segura; eles definem e orientam as ações dos
funcionários sobre como lidar com operações, dados ou recursos confidenciais da organização. A política de segurança é
parte integrante de um programa de gerenciamento de segurança da informação para qualquer organização
Política de segurança é um documento de alto nível, ou conjunto de documentos, que descreve os controles de segurança
a serem implementados para proteger uma empresa. Ele mantém a confidencialidade, disponibilidade, integridade e valores
de ativos. As políticas de segurança formam a base de uma infraestrutura de segurança. Sem eles, é impossível proteger a
empresa de possíveis ações judiciais, perda de receita e má publicidade ou até mesmo ataques básicos de segurança.
Essas políticas atingem três objetivos:
Uma política de segurança compreende objetivos, regras de comportamento e requisitos para proteger a rede e os sistemas
de computador de uma organização. As políticas de segurança funcionam como um meio de conexão entre os objetivos e
os requisitos de segurança, bem como para ajudar usuários, funcionários e gerentes a proteger os ativos de tecnologia e
informação. A política fornece uma linha de base para adquirir, configurar e auditar sistemas e redes de computadores. Uma
política de segurança define um conjunto de ferramentas de segurança para prevenir ataques em toda a rede, a fim de
manter usuários mal-intencionados longe de uma organização e fornecer controle sobre usuários perigosos dentro de uma
organização.
Módulo 03 Página 113 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O número de dispositivos usados em uma organização está aumentando, o que, por sua vez, aumenta o tamanho e a
complexidade das informações transferidas, das redes usadas e do espaço de armazenamento. Ao mesmo tempo, a
probabilidade de ameaças à segurança provenientes de várias vulnerabilidades está aumentando. Uma política de
segurança permite que uma organização combata essas ameaças e a proteja contra a perda de informações.
ÿ Uma política de segurança fornece aplicação consistente de princípios de segurança em toda a empresa para garantir o
funcionamento seguro dos serviços. Garante a conformidade com os padrões da indústria de segurança da informação,
construindo uma relação de confiança com os clientes. Ele ajuda a limitar a exposição de uma empresa a ameaças de
informações externas, ao mesmo tempo em que indica o compromisso da alta administração em manter um ambiente
seguro.
ÿ Além disso, a política de segurança fornece proteção legal definindo quais regras usar na rede, como lidar com informações
confidenciais e o uso adequado de criptografia, que juntos reduzem a responsabilidade e a exposição dos dados de uma
organização.
ÿ Também compreendem procedimentos e técnicas para minimizar o risco de vazamento ou perda de dados de uma
organização, adotando opções de backup e recuperação.
Módulo 03 Página 114 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Mitigação de riscos: Os riscos envolvidos de fontes externas são reduzidos pela implementação e
implantação da política de segurança. Se um funcionário seguir exatamente a política, torna-se
quase impossível para uma organização perder seus dados e recursos.
ÿ Redução nos Níveis de Estresse da Gestão: O papel da gestão torna-se menos estressante
quando as políticas são implementadas. Cada política deve ser seguida por todos os funcionários
de uma organização. Se isso ocorrer, o gerenciamento será menos sobrecarregado por possíveis
ataques mal-intencionados na rede.
Módulo 03 Página 115 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1. Conciso e claro: Uma política de segurança precisa ser concisa e clara, o que garante fácil implantação na
infraestrutura. Políticas complexas tornam-se difíceis de entender e, como resultado, os funcionários podem não
implementá-las.
2. Utilizável: as políticas devem ser escritas e projetadas para que possam ser usadas facilmente em várias seções de
uma organização. Políticas bem escritas são fáceis de gerenciar e implementar.
3. Economicamente Viável: As organizações devem implementar políticas que sejam econômicas e aumentem a
segurança de uma organização.
5. Realista: As políticas devem ser práticas baseadas na realidade. Usar itens fictícios em uma política só prejudicará
uma organização.
7. Tolerável processualmente: as políticas processuais devem ser amigáveis entre o empregador e o empregado.
8. Conformidade com leis, padrões, regras e regulamentos legais e cibernéticos: qualquer política implementada
deve cumprir todas as regras e regulamentos relativos às leis cibernéticas.
Módulo 03 Página 116 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Comunicação Clara: A comunicação deve ser clara ao projetar uma política de segurança.
Uma falha de comunicação leva a resultados indesejáveis. Ao mesmo tempo, algumas políticas podem
ser inviáveis para usuários ou uma rede. Mantenha os canais de comunicação claros.
ÿ Informações Breves e Claras: Qualquer informação fornecida aos desenvolvedores sobre a criação da
política de rede deve ser clara e compreensível. Deixar de fazer isso prejudicaria as expectativas de
segurança da rede.
ÿ Escopo definido e aplicabilidade: O escopo identifica os itens que devem ser cobertos, ocultos,
protegidos ou públicos e como protegê-los. A política de rede aborda uma ampla gama de questões,
desde a segurança física até a pessoal.
ÿ Exigível por lei: A política de segurança deve ser aplicável por lei. Penalidades devem ser impostas em
caso de violação da política. As penalidades para uma violação devem ser abordadas quando a política
é criada.
ÿ Orientação Suficiente: Uma boa política de rede deve ter referências adequadas a outras políticas; isso
ajuda a orientar e redefinir o escopo e os objetivos da política.
Módulo 03 Página 117 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Descrição da política
ÿ Concentra-se nas disciplinas de segurança, salvaguardas, procedimentos, continuidade
com base no
das operações e documentação
requisito
Conceito de operação
ÿ Define os papéis, responsabilidades e funções de uma política de segurança
de segurança
Alocação de aplicação
ÿ Fornece uma alocação de arquitetura de sistema de computador para cada sistema em
de segurança para
elementos de arquitetura o programa
o Requisitos de segurança da disciplina: ações a serem tomadas para vários componentes que precisam ser
protegidos, como segurança de computadores, segurança de operações, segurança de rede, segurança de
pessoal e segurança física
o Proteger os requisitos de segurança: medidas de proteção necessárias, como medidas de proteção para
controle de acesso, proteção contra malware, auditoria, disponibilidade, confidencialidade, integridade,
criptografia, identificação e autenticação
ÿ Descrição da política com base no requisito: a descrição da política concentra-se principalmente nas disciplinas
de segurança, salvaguardas, procedimentos, continuidade das operações e documentação. Cada subconjunto
desta política descreve como os elementos da arquitetura do sistema reforçarão a segurança.
Módulo 03 Página 118 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 119 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Normas, políticas e
Documento histórico
Processos
ÿ Controle de Documentos é um procedimento para armazenar, modificar, gerenciar, distribuir e rastrear políticas
documentos.
ÿ Histórico de revisões permite visualizar o histórico de alterações feitas na política e por quem
essas mudanças foram feitas; também permite reverter para políticas anteriores.
ÿ O número da versão garante que todas as alterações/atualizações da política sejam rastreadas corretamente.
ÿ A distribuição garante que as políticas sejam transmitidas corretamente por toda parte.
ÿ Visão geral de uma política de segurança fornece informações básicas sobre os problemas que o
política precisa abordar.
ÿ Objetivo é uma explicação detalhada de por que a política precisa ser enquadrada.
ÿ O público- alvo consiste nos usuários e clientes para os quais a política é criada.
Módulo 03 Página 120 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Sanções e Violações definem os processos de permissão/negação que clientes e usuários devem seguir.
ÿ Informações de contato incluem informações sobre quem contatar em caso de sanção e/ou violação de uma
política.
ÿ Onde encontrar mais informações contém informações adicionais e fontes usadas para
criação das políticas.
Módulo 03 Página 121 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O EISP impulsiona o desempenho de uma organização ÿ ISSP direciona o público no ÿ SSSP direciona os usuários enquanto
escopo e fornece orientação para suas uso de sistemas baseados em configurar ou manter um sistema
políticas de segurança tecnologia com a ajuda de diretrizes
ÿ Política de segurança do sistema ÿ Políticas para dispositivos pessoais ÿ Política de controle de acesso
Em uma organização, as políticas são cruciais para o planejamento, design e implantação da segurança da informação.
Essas políticas fornecem medidas para lidar com problemas e tecnologias que podem ajudar os usuários a atingir suas
metas de segurança. A política também explica como o software ou equipamento funciona em uma organização.
O EISP orienta o escopo de uma organização e fornece orientação para suas políticas de segurança. Essas políticas
apóiam as organizações oferecendo ideologia, propósito e métodos para criar um ambiente seguro para as empresas.
Ele estabelece um método para desenvolvimento, implementação e gerenciamento de programas de segurança. Essas
políticas também garantem que os requisitos propostos da estrutura de segurança da informação sejam atendidos.
Exemplos de EISP incluem política de aplicativo, política de segurança de rede e dispositivo de rede, auditoria de política
de segurança, política de backup e restauração, política de segurança do sistema e políticas para servidores.
O ISSP orienta o público sobre o uso de sistemas baseados em tecnologia com a ajuda de diretrizes.
Essas políticas abordam questões de segurança específicas em uma organização. O escopo e a aplicabilidade dessas
políticas de segurança dependem totalmente do tipo de problema e dos métodos usados por eles. Especifica as
tecnologias necessárias juntamente com medidas preventivas, como autorização de acesso do usuário, proteção da
privacidade e uso justo e responsável das tecnologias.
Exemplos de ISSP incluem acesso remoto e políticas sem fio, plano de resposta a incidentes, políticas de senha,
políticas para dispositivos pessoais, políticas de conta de usuário e políticas de uso da internet e da web.
Módulo 03 Página 122 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O SSSP direciona os usuários durante a configuração ou manutenção de um sistema. A implementação dessas políticas se
concentra na segurança geral de um determinado sistema em uma organização. Muitas vezes, uma organização desenvolve e
gerencia esse tipo de política, incluindo os procedimentos e padrões, para manutenção do sistema. As tecnologias usadas por uma
organização também devem ser incluídas nas políticas específicas do sistema. Ele aborda a implementação e configuração de
tecnologia e comportamento do usuário. Exemplos de SSSP incluem política DMZ, política de criptografia, política de uso aceitável,
políticas para computação em nuvem segura, políticas para detecção e prevenção de invasões e política de controle de acesso.
Módulo 03 Página 123 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As políticas de acesso à Internet definem o uso restrito da Internet. É importante que os funcionários saibam quais
de suas ações são restritas ao acessar a Internet. A política de acesso à Internet ajuda a manter os funcionários
informados sobre a navegação aceitável. Uma política de Internet inclui diretrizes para uso permitido da Internet,
segurança do sistema, configuração de rede e serviço de TI.
1. Política promíscua: Esta política não impõe nenhuma restrição ao uso de recursos do sistema. Por exemplo,
com uma política de Internet promíscua, não há restrição de acesso à Internet/remoto, nada é bloqueado.
Um usuário pode acessar qualquer site, baixar qualquer aplicativo e acessar um computador ou uma rede
a partir de um local remoto. Embora isso possa ser útil em negócios corporativos onde as pessoas viajam
ou trabalham em filiais e precisam acessar uma rede organizacional, também abre o computador para
ameaças como malware, vírus e cavalos de Tróia. Devido ao acesso gratuito à Internet, esse malware
pode vir na forma de anexos sem o conhecimento do usuário. Os defensores da rede devem estar
extremamente atentos ao escolher esse tipo de política.
Módulo 03 Página 124 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3. Política paranóica: Uma política paranóica proíbe tudo. Há uma restrição estrita em todos os
computadores da empresa, seja no uso do sistema ou da rede. Não há conexão com a Internet ou o
uso da Internet é severamente limitado. Os usuários geralmente tentam contornar essas restrições
severas.
4. Política prudente: Uma política prudente começa com todos os serviços bloqueados. O Network
Defender possibilita atendimentos seguros e necessários individualmente. Isso fornece segurança
máxima e registra todas as atividades, como atividades do sistema e da rede. De acordo com esta
política, serviços/procedimentos não essenciais que não possam ser seguros não são permitidos.
Módulo 03 Página 125 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Política de senha
A política de senha fornece diretrizes para o uso de senhas fortes para os recursos de uma organização
05
Projeto
Considerações
Prática comum de
04 senha
Duração
03
da senha
Listas
02
negras de senhas
Complexidade
01 da senha
Comprimento e
formação da senha
Política de senha
Uma política de senha é um conjunto de regras para aumentar a segurança do sistema, incentivando os
usuários a empregar senhas fortes para acessar os recursos de uma organização e mantê-los seguros.
O objetivo da política é proteger os recursos de uma organização criando senhas protegidas robustas.
A declaração de política deve incluir uma prática padrão para criar uma senha robusta. Por exemplo, a
senha deve
ÿ Seja sensível a maiúsculas, enquanto o nome de usuário ou ID de login pode não ser; e
Esta política inclui o comprimento da senha. O comprimento da senha varia de acordo com a
organização. A formação de uma senha inclui:
Módulo 03 Página 126 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma lista negra de senhas contém uma lista de palavras que são proibidas de usar como senhas devido à sua
familiaridade. Essas listas negras ajudam a impedir o uso de senhas comuns.
ÿ Duração da Senha
Essa política sugere que os usuários alterem suas senhas regularmente, geralmente a cada 90 ou 180 dias.
Alterar uma senha memorizada é difícil para o usuário, mas é necessário para evitar o roubo de senhas.
A declaração de política de senha deve incluir orientação ou práticas recomendadas para criar, armazenar e
gerenciar senhas. Por exemplo, deve incluir diretrizes como
o Os funcionários não devem comunicar sua senha por e-mail, telefone ou mensagens instantâneas, mesmo
ao administrador.
o Não deixe a máquina sem vigilância. Sempre faça logoff ou bloqueie o sistema quando
deixando a mesa.
o Mantenha senhas diferentes para o sistema operacional e aplicativos usados com frequência.
A política de senha deve incluir um aviso de isenção de responsabilidade que informe todos os usuários sobre as
consequências de não seguir as diretrizes estabelecidas na política de senha. O aviso legal deve envolver todos os
funcionários, incluindo a alta administração. As isenções de responsabilidade podem incluir avisos verbais ou escritos ou
rescisão.
Módulo 03 Página 127 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 03 Página 128 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os funcionários são um dos principais ativos de uma organização e podem fazer parte da superfície de ataque de
uma organização. As ações de um funcionário, como negligência, erros, suscetibilidade à engenharia social ou
clicar em links de spam, podem levar a um ataque. Um treinamento de conscientização do funcionário iniciado
durante a orientação e depois periodicamente pode aumentar a proteção. O treinamento normalmente está
relacionado aos conhecimentos e atitudes dos funcionários encarregados da segurança dos ativos físicos e
informacionais.
ÿ Deve ser capaz de identificar a natureza dos dados com base na classificação dos dados;
ÿ Proteger os ativos físicos e informacionais de uma organização quando os funcionários entrarem em contato
com eles - por exemplo, contato com segredos, questões de privacidade e informações classificadas;
ÿ Saber como lidar com informações críticas, como revisão de não divulgação de funcionários
acordos;
ÿ Conhecer os métodos adequados para proteger informações críticas em sistemas com senha
política e uso de autenticação de dois fatores;
Módulo 03 Página 129 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Uma organização deve fornecer treinamento de conscientização de segurança aos funcionários para atender aos
requisitos regulamentares se eles quiserem cumprir uma determinada estrutura regulamentar.
Módulo 03 Página 130 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Funcionário
Conscientização e O treinamento da política de segurança ensina os
funcionários a desempenhar suas funções e a cumprir
Treinamento:
a política de segurança
Política de segurança
As organizações devem treinar novos funcionários antes de
conceder acesso à rede ou fornecer acesso limitado até a
conclusão do treinamento
Vantagens
Implementação eficaz de uma As políticas são seguidas Cria consciência sobre Ajuda uma organização
política de segurança e não apenas aplicadas questões de conformidade a melhorar sua segurança de rede
O treinamento da política de segurança ensina os funcionários a desempenhar suas funções e a cumprir a política de
segurança. As organizações devem treinar novos funcionários antes de conceder-lhes acesso à rede ou fornecer acesso
limitado até a conclusão do treinamento.
O treinamento e os procedimentos da política de segurança são necessários para garantir a segurança e o gerenciamento
eficaz da rede.
ÿ O treinamento da política de segurança conscientiza os colaboradores sobre novas atualizações sobre prováveis
vulnerabilidades que podem ocorrer se não seguirem as políticas.
ÿ A conscientização da política de segurança entre os usuários ajuda a notificá-los sobre novas políticas de
segurança por meio de documentação de política publicada e documentação de segurança descritiva para
usuários, por exemplo.
Módulo 03 Página 131 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens
Módulo 03 Página 132 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Treinamento adequado deve ser dado para educar os funcionários sobre segurança física
Minimizar violações
Pessoal bem treinado e qualificado pode minimizar o risco de uma ameaça à segurança física em grande medida. Uma
organização deve fornecer treinamento adequado de conscientização sobre segurança física a todos os seus
funcionários. O treinamento aumenta o conhecimento e a conscientização sobre segurança física. O treinamento deve
educar os funcionários sobre como:
ÿ Minimizar infrações
ÿ Ensinar o que fazer quando os funcionários deixarem os sistemas e locais de trabalho sem vigilância; e
Módulo 03 Página 133 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um simples treinamento de conscientização em engenharia social pode ser econômico. É útil para lembrar os
funcionários sobre as políticas de uma organização, o que pode ajudar os funcionários a reconhecer e prevenir ataques
de engenharia social. Os funcionários devem ser treinados em possíveis técnicas de engenharia social e como
combater as técnicas de engenharia social.
Módulo 03 Página 134 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Algumas das técnicas de engenharia social das quais os funcionários devem estar cientes incluem:
ÿ Alteração de senhas (atacante se faz passar por autoridade e pede para alterar o nome de usuário
e senha);
ÿ Nova contratação (o invasor se apresenta como um novo funcionário para fazer um tour pelo escritório).
Módulo 03 Página 135 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Típica
Ultrassecreto (TS) Segredo Confidencial
Em formação
níveis de
classificação :
Restrito Não classificado
ÿ Rótulos de segurança são usados para marcar os requisitos de nível de segurança para os ativos de informação e controlar o acesso a eles
ÿ As organizações usam etiquetas de segurança para gerenciar a liberação de acesso aos seus ativos de informação
A organização deve treinar os funcionários sobre como saber se as informações são confidenciais. Os rótulos de
segurança são usados para marcar os requisitos de nível de segurança para os ativos de informação e controlar o
acesso a eles. As organizações usam rótulos de segurança para gerenciar a liberação de acesso a seus ativos de informação.
As etiquetas de segurança são usadas para restringir o acesso a informações em áreas de alta e baixa segurança como
parte das decisões obrigatórias de controle de acesso. Isso permite fácil compreensão para usuários com e sem
permissão de acesso e fácil liberação de um grande grupo de usuários. Define a sensibilidade dos dados ou do objeto e
as autorizações necessárias para acessar o objeto ou dados.
Ele fornece uma lista de usuários que podem acessar o documento ou o dispositivo e permite que o usuário entenda os
documentos que podem acessar.
Roubar informações Como classificar e marcar níveis de classificação baseados em documentos e manter
Escritório
confidenciais documentos confidenciais em local seguro
Os rótulos de segurança são categorizados em diferentes tipos com base em quem pode acessar os dados ou objetos.
ÿ Não classificado: Nenhuma permissão de acesso é necessária para acessar documentos não classificados.
Qualquer pessoa em qualquer nível pode acessar esses documentos.
ÿ Restrito: Apenas algumas pessoas podem acessar os dados ou objeto. Os dados confidenciais podem ser
restritos para uso em uma organização por causa de seus problemas técnicos, comerciais e pessoais.
Módulo 03 Página 136 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Confidencial: dados ou objetos confidenciais expostos podem levar a problemas financeiros ou legais em uma
organização. Os documentos podem ser altamente confidenciais ou apenas confidenciais. Revelar esses
dados, sejam eles confidenciais ou altamente confidenciais, levará à perda de informações críticas.
ÿ Segredo: Usuários autorizados a acessar arquivos secretos podem acessar dados secretos, confidenciais,
restritos e não classificados. Os usuários não podem acessar documentos ou objetos rotulados como
ultrassecretos, pois requer um nível de autorização mais alto.
ÿ Ultrassecreto: os usuários que acessam documentos ultrassecretos podem acessar ultrassecretos, secretos,
dados confidenciais, restritos e não classificados.
Módulo 03 Página 137 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu várias estruturas regulatórias, leis e atos
Finalmente, este módulo terminou com uma visão geral sobre diferentes tipos de
treinamento de segurança e conscientização
Resumo do Módulo
Este módulo discutiu vários marcos regulatórios, leis e atos. A seguir, discutiu-se a importância e a necessidade
de uma política de segurança, suas características e vantagens. Ele também explicou vários tipos de políticas de
segurança. Finalmente, este módulo apresentou uma visão geral sobre os diferentes tipos de treinamento de
segurança e conscientização.
Módulo 03 Página 138 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 04
Controles de Segurança de Rede - Controles
Físicos
Machine Translated by Google
Objetivos do módulo
1 Compreendendo a importância da segurança física
Objetivos do módulo
A segurança física desempenha um papel importante em todas as organizações. Envolve a proteção de informações
críticas, infraestrutura de rede, equipamentos e dispositivos físicos, instalações, pessoal, etc. contra desastres ambientais,
terrorismo, vandalismo e roubo. A segurança física está se tornando uma tarefa desafiadora com o aumento do uso de
dispositivos como unidades USB, laptops, smartphones e tablets, porque agentes mal-intencionados podem facilmente
obter acesso físico a esses dispositivos e roubar dados confidenciais. Este módulo explica a importância da segurança
física, vários controles de segurança física, importância da segurança no local de trabalho e vários controles ambientais.
Módulo 04 Página 140 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 04 Página 141 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Apresentação Camada 6
Sessão Camada 5
Uma violação de segurança física pode afetar diretamente a Tradicional
confidencialidade, integridade e disponibilidade de informações e sistemas Firewall
Camada de Transporte 4
Camada de Rede 3
As 7 Camadas do OSI
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Embora os ataques cibernéticos estejam se tornando cada vez mais complexos, os invasores continuam
a usar várias técnicas para comprometer a segurança física de uma organização. No entanto, as
organizações estão cada vez mais focadas no fortalecimento de sua segurança de TI, que ofusca a segurança física.
A segurança física é o aspecto mais negligenciado da segurança, e esse fato foi levado ao conhecimento
de muitas organizações nos últimos cinco anos. Sabendo disso, os invasores estão se aproveitando das
brechas para comprometer a segurança física das organizações. De acordo com dados coletados pelo
Portal de Violação do Departamento de Saúde e Serviços Humanos dos EUA, as brechas de segurança
física estão entre os incidentes de segurança que ocorrem com mais frequência nas organizações.
De acordo com as descobertas do quinto relatório anual do Horizon Business Continuity Institute (BCI), a
segurança física é agora percebida como uma preocupação crescente para os profissionais de continuidade
de negócios. De acordo com este relatório, um certo grau de preocupação foi expresso com relação à
possibilidade de um ato de terrorismo e um incidente de segurança, como vandalismo, roubo ou fraude,
interromper a organização em algum momento.
As violações de segurança física são muito diferentes de outras violações de segurança. Eles podem ser
realizados com pouco ou nenhum conhecimento técnico. As preocupações com a segurança física surgem
porque as medidas de segurança convencionais, como firewalls e IDSs, não garantem a segurança física.
A implantação de um firewall em vários níveis garante a segurança contra diferentes tipos de ataques,
mas não garante a segurança física da organização. Um firewall convencional não está totalmente
relacionado à segurança física, pois funciona acima da camada física do modelo OSI. Assim, os firewalls
convencionais não protegem a camada física de uma rede.
Uma tentativa bem-sucedida de acesso físico não autorizado pode levar ao roubo, dano ou modificação
dos sistemas de informação. Uma violação de segurança física pode afetar diretamente a confidencialidade,
integridade e disponibilidade de informações e sistemas. Portanto, física
Módulo 04 Página 142 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
a segurança forma a base de qualquer programa de segurança da informação em uma organização. Implica restringir
o acesso físico não autorizado à infraestrutura, instalações de escritório, estações de trabalho e funcionários da
organização.
A segurança física não pode ser garantida da mesma maneira que a segurança de rede, aplicativo ou banco de
dados, e medidas de segurança separadas são necessárias para a segurança física. A segurança física deve ser
implementada na camada física do modelo OSI.
Módulo 04 Página 143 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Enchentes ÿ Vandalismo
ÿ Engenharia social
ÿ Acesso não autorizado a sistemas
Ameaças Naturais/Ambientais
ÿ Incêndios: Os incêndios ocorrem principalmente devido a curtos-circuitos ou materiais de construção ruins. Eles
podem afetar as instalações operacionais e as salas de informática de uma organização. Os incêndios podem
danificar o hardware, o sistema de cabeamento e outros componentes importantes.
ÿ Terremotos: Um terremoto é a liberação repentina de energia armazenada na crosta terrestre que cria ondas
sísmicas. Ele interrompe a infraestrutura física de uma organização. Ele danifica computadores e outros
dispositivos de hardware e documentos nas áreas sensíveis dentro de uma organização. Além disso, pode
afetar a segurança ou proteção da organização.
Os terremotos afetam principalmente o cabeamento, o sistema de fiação e o próprio edifício físico.
Qualquer dano ao sistema de cabeamento afeta o funcionamento dos sistemas de computador.
Módulo 04 Página 144 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A ameaça mais significativa aos componentes físicos e à rede são os erros cometidos pelo homem, tanto intencionais
quanto não intencionais. Existe uma ampla gama de tais possibilidades, incluindo hackers/crackers, roubo, incêndio e
erro humano. Alguns exemplos de erro humano que podem levar a ameaças feitas pelo homem são o pressionamento
não intencional de um botão incorreto e a desconexão do dispositivo errado. Ameaças típicas feitas pelo homem
incluem erros mecânicos, distúrbios elétricos, poluição, interferência de radiofrequência e explosão.
ÿ Perda do dispositivo: o acesso não autorizado pode levar à perda de informações importantes e
dispositivos. O roubo de dispositivos é uma preocupação se os dispositivos não estiverem devidamente protegidos.
ÿ Terrorismo: As atividades terroristas, como a colocação de um veículo-bomba, bomba humana ou bomba postal
dentro e ao redor das instalações da organização, afetam a segurança física em muitos
maneiras.
ÿ Engenharia social : A engenharia social é definida como um ato ilegal de aquisição de informações pessoais de
pessoas. Um invasor pode obter acesso físico não autorizado realizando engenharia social nos funcionários
de uma organização.
ÿ Acesso não autorizado a sistemas: usuários internos e externos podem tentar obter
acesso não autorizado a um sistema ou informações sobre a organização.
Módulo 04 Página 145 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 04 Página 146 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
eles dissuadem ÿ Usado para desencorajar invasores e enviar mensagens de aviso aos invasores para desencorajar tentativas de invasão ÿ
Controles Exemplos incluem vários tipos de sinais de aviso
ÿ Usado para recuperar de violação de segurança e restaurar informações e sistemas para um estado persistente ÿ
Recuperação
Controles Exemplos incluem recuperação de desastres, planos de continuidade de negócios, sistemas de backup e outros processos
ÿ Usado como um controle alternativo quando os controles pretendidos falharam ou não podem ser usados
compensando
Controles ÿ Os exemplos incluem hotsites, sistemas de energia de backup e outros meios
Os controles de segurança física são categorizados com base em sua funcionalidade e no plano de aplicação. Com base em sua
funcionalidade, os tipos de controle de segurança física incluem o seguinte.
ÿ Controles Preventivos
Esses controles evitam violações de segurança e reforçam vários mecanismos de controle de acesso. Os controles
preventivos podem ser físicos, administrativos ou técnicos.
Exemplos incluem fechaduras de portas e guardas de segurança.
ÿ Controles Detetives
Esses controles detectam violações de segurança e registram qualquer tentativa de invasão. Eles agem quando os
controles preventivos falham. Os exemplos incluem detectores de movimento, sistemas de alarme e sensores e
vigilância por vídeo.
ÿ Comandos de Dissuasão
Esses controles podem não impedir o acesso diretamente. Eles são usados para desencorajar invasores e enviar
mensagens de aviso a eles para desencorajar uma tentativa de invasão. Os exemplos incluem vários tipos de sinais
de alerta.
ÿ Controles de Recuperação
Esses controles são usados em situações graves para se recuperar de violações de segurança e restaurar informações
e sistemas para um estado persistente. Os exemplos incluem recuperação de desastres, planos de continuidade de
negócios e sistemas de backup.
Módulo 04 Página 147 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Controles de Compensação
Esses controles são usados como alternativas quando os controles primários falham ou não podem
ser usados. Eles não impedem nenhuma tentativa de ataque, mas tentam a restauração usando
técnicas como a restauração de um backup. Os exemplos incluem hotsites e sistemas de energia de backup.
ÿ Controles de segurança física, como portas, instalações seguras, extintores de incêndio e inundações
proteção
Módulo 04 Página 148 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Considerações de localização
2 Edifícios vizinhos
3 Considerações locais
Considerações de localização
As organizações devem considerar vários fatores que podem afetar a segurança física antes de planejar a compra ou
aluguel de um edifício. Os fatores a serem considerados podem incluir a localização da instalação, edifícios vizinhos,
riscos de locação conjunta, fornecimento de energia e água, sistemas de esgoto, proximidade de estradas públicas e
privadas, transporte, suporte de emergência, quartéis de bombeiros, hospitais, aeroportos, crime local ou taxa de
tumultos , e incidentes de segurança anteriores na área circundante. O local não deve ser propenso a desastres naturais,
como inundações, tornados, terremotos, furacões, neve ou chuva excessiva, deslizamentos de terra e incêndios.
Módulo 04 Página 149 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Depois de obter informações adequadas sobre a localização da instalação, o planejamento e o projeto da infraestrutura e
arquitetura interna devem ser executados. Ao planejar e projetar a arquitetura do local, uma organização deve preparar
uma lista de todos os seus ativos na instalação.
ÿ Encontre as instalações vizinhas ao redor do local do site e verifique a arquitetura interna e externa delas. Fale
com os supervisores ou proprietários dos edifícios para obter informações adicionais sobre os arredores.
ÿ Analisar os ativos que podem ser afetados por falhas catastróficas, bem como a visibilidade
de bens a estranhos.
ÿ Considerar o fator de locação conjunta; se a instalação for compartilhada com outras empresas, considere seu
impacto nas informações confidenciais e nos ativos críticos da organização.
ÿ Identificar a infraestrutura crítica necessária para gerenciar a segurança física, armazenar dados confidenciais e
executar operações de negócios com eficácia.
Módulo 04 Página 150 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esses sistemas de infraestrutura crítica podem não usar TI padrão para segurança, desempenho e confiabilidade,
mas são essenciais para as operações de negócios. Uma implementação imprópria ou defeituosa de certas medidas
físicas, como eletricidade, backup, instalações de armazenamento, iluminação, fiação e sistemas de refrigeração,
pode ser crítica para as operações comerciais da organização.
Módulo 04 Página 151 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proteção ativa contra incêndio (manual ou automática) Proteção passiva contra incêndio (consideração estrutural)
supressor
Incêndio
Fonte de fogo
Aula
Água Espuma Químico Seco Químico Úmido Agentes Limpos e Químicos Especiais de CO2
D metais combustíveis Y Y
k Óleos e gorduras Y Y
O incêndio é um incidente que pode ocorrer com ou sem aviso e geralmente é atribuído a erros causados pelo homem, curtos-
circuitos e equipamentos defeituosos ou defeituosos. A proteção contra incêndio é um aspecto importante da segurança física.
Os sistemas de combate a incêndios detectam principalmente incidentes de incêndio e alertam os ocupantes sobre eles. Os
incidentes de incêndio podem ser identificados manual ou automaticamente.
A proteção ativa contra incêndio alerta os ocupantes de uma organização sobre um incidente de incêndio. Este tipo de sistema
de proteção contra incêndio é geralmente usado em locais comerciais, indústrias de processo e armazéns para proteger
recipientes de armazenamento, plantas de processamento, etc. quanto possível, facilitando assim a liberação dos ocupantes
em uma organização. O sistema requer um certo número de ações para lidar com incidentes de incêndio. Essas ações podem
ser executadas manualmente ou automaticamente.
Certos sistemas de incêndio ativos incluem sprinklers de água, sistemas de alarme de incêndio/fumaça, sistemas de spray e
extintores de incêndio. Os alarmes de incêndio/fumaça indicam a presença de qualquer incêndio ou fumaça no edifício. Os
aspersores de água reduzem a propagação do fogo e os extintores de incêndio ajudam a extinguir o fogo.
Os sprinklers de água se enquadram na categoria de sistemas automáticos de proteção contra incêndio, enquanto os
extintores de incêndio e os fontanários se enquadram na categoria de sistemas manuais de proteção contra incêndio.
ÿ Sistema de detecção de incêndio: Um sistema de detecção de incêndio ajuda a detectar um incidente de incêndio
antes de permitir que o fogo se espalhe.
Módulo 04 Página 152 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Detectores de fumaça : Os detectores de fumaça geralmente detectam fumaça e enviam alertas sobre a suspeita de incêndio
em uma organização. Após a detecção de fumaça, os detectores enviam um alarme para o painel de controle de alarme de
incêndio ou geram um alarme audiovisual.
o Detectores de chamas : Os detectores de chamas detectam principalmente chamas em um incidente de incêndio. Os detectores
de chamas normalmente incluem sensores que detectam chamas. O funcionamento de um detector de chamas é o seguinte:
Os detectores de chamas funcionam com mais eficiência e rapidez do que os detectores de fumaça e detectores de calor.
o Detectores de calor : Detectores de calor são usados para detectar e responder à energia térmica gerada por incidentes de
incêndio. Os detectores de calor são ainda classificados em detectores de calor de temperatura fixa e detectores de calor
de taxa de aumento.
ÿ Supressão de incêndio: Um sistema de supressão de incêndio é usado para extinguir o fogo sem muita intervenção humana. Os
sistemas de supressão de incêndio regulam a destruição e a perda de dispositivos.
Podem ser classificados em manuais e automáticos. Os sistemas de supressão de incêndio comumente usados incluem o
seguinte.
o Extintor de incêndio: Os extintores de incêndio visam extinguir incêndios na fase inicial. Eles não são úteis no caso de um
incêndio que cobre uma grande área. Um extintor de incêndio normalmente consiste em um agente que é descarregado
dentro de um recipiente cilíndrico. Os sistemas de extintores de incêndio precisam ser verificados com frequência para
garantir que funcionem corretamente em caso de incêndio.
Os extintores de incêndio são geralmente inspecionados anualmente ou semestralmente por profissionais treinados.
Eles também podem ser recarregados.
Produtos químicos secos, água, produtos químicos úmidos, aditivos de água, agentes limpos e dióxido de carbono são
usados como agentes em sistemas de extintores de incêndio. A tabela abaixo fornece detalhes para selecionar o extintor
adequado com base em vários tipos de fontes de incêndio.
supressor
Incêndio
Limpar \ limpo
Fonte de fogo Molhado
Aula Seco Especial
espuma de água Agentes
Químico Químico Produtos químicos
e CO2
Combustíveis
UMA Y Y Y Y
sólidos comuns
Líquidos
B inflamáveis e Y Y Y
gases
Módulo 04 Página 153 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Equipamento
C Y Y
elétrico
Combustível
D Y Y
metais
k Óleos e gorduras Y Y
o Sistema de tubo vertical: Os sistemas de tubo vertical conectam as mangueiras ao abastecimento de água. Eles
fornecem um sistema de água pré-encanada para organizações, bem como abastecimento de água para
mangueiras em determinados locais. Os três tipos de sistemas de tubo vertical são Classe I – A, Classe II – A
e Classe III – A. Esses tipos diferem em termos da espessura das linhas de mangueira usadas e do volume de
água usado para supressão de incêndio.
o Sistema de sprinklers: Os sistemas de sprinklers contra incêndio mantêm um sistema de abastecimento de água
para fornecer água a um sistema de tubulação de distribuição de água que controla os sprinklers. Os sprinklers
são usados para evitar perdas de vidas humanas e bens. Estes são usados principalmente em áreas que os
bombeiros não podem alcançar com suas mangueiras.
Os sistemas passivos de proteção contra incêndio são usados para evitar que o fogo se espalhe ainda mais pela organização.
Portas, janelas e paredes resistentes ao fogo podem ser usadas para proteção passiva contra incêndio. Facilita a proteção
dos ocupantes do edifício e reduz a taxa de danos devido ao incêndio. Os sistemas passivos de proteção contra incêndio não
precisam ser ativados por outros sistemas e nenhuma assistência operacional é necessária na implementação de sistemas
passivos de proteção contra incêndio.
o Detectar fogo.
o Desligue todos os sistemas elétricos e eletrônicos para evitar que o fogo se espalhe.
Módulo 04 Página 154 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Barreiras físicas
ÿ Barreiras físicas restringem a entrada de pessoas não autorizadas no prédio; use sempre uma combinação
de barreiras para impedir a entrada não autorizada
ÿ Primeira linha ÿ
É usado para ÿ Facilita os ÿ Inclui portas,
de defesa para controlar o tráfego controles de entrada janelas, grades,
travar invasores de veículos e e acesso vidros, cortinas,
pedestres etc.
Barreiras físicas
Muitos fatores determinam a segurança física de uma organização. Esses fatores são considerações essenciais e
contribuem para a operação bem-sucedida da segurança física em uma organização. O principal objetivo da segurança
física é o controle e prevenção de acessos não autorizados, enquanto as barreiras físicas restringem a entrada de
pessoas não autorizadas no edifício. Barreiras físicas definem o limite físico de uma área e dividem o tráfego de veículos
dos pedestres. O uso de uma barreira física impede e atrasa a entrada de estranhos nas instalações. Um intruso ou
estranho pode comprometer uma barreira gastando tempo e dinheiro, bem como planejando e contemplando a arquitetura
do local. Para desencorajar esses invasores, é uma boa política usar uma abordagem multicamada que inclua barreiras
externas, intermediárias e internas.
Barreiras externas incluem cercas e muros; embora sejam construídos para formar uma estrutura, eles inadvertidamente
agem como uma obstrução. Barreiras intermediárias são equipamentos utilizados para obstruir o trânsito e as pessoas.
As barreiras internas incluem portas, janelas, grades, vidros e cortinas.
ÿ Cercas/cercas elétricas/trilhos de metal: Formam a primeira linha de defesa contra um invasor e são o tipo de
barreira física mais comumente usado em todo o mundo.
Cercas/trilhos de metal/cercas elétricas geralmente marcam áreas restritas e controladas e impedem o acesso
não autorizado.
Módulo 04 Página 155 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e
restringe veículos motorizados em áreas de estacionamento, escritórios, etc. Isso facilita a fácil circulação
de pessoas. Os postes de amarração são usados principalmente em entradas de prédios, áreas de pedestres
e áreas que exigem segurança e proteção. É eficaz no controle do tráfego de pedestres e veículos em áreas
sensíveis.
ÿ Catracas: Este tipo de barreira física permite a entrada de apenas uma pessoa por vez. A entrada pode ser
conseguida apenas pela inserção de uma moeda, bilhete ou passe. Ele permite que o pessoal de segurança
observe de perto as pessoas que entram na organização e pare qualquer pessoa suspeita no portão. No
entanto, o uso de catraca pode dificultar a evacuação rápida dos ocupantes em caso de emergência de
incêndio.
Módulo 04 Página 156 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Outras Barreiras: Incluem portas, janelas, grades, vidros e cortinas instaladas para limitar
acesso a determinadas áreas.
o Portas: As portas podem ser utilizadas como uma boa estrutura para controlar o acesso de usuários
em uma área restrita. A segurança das portas pode ser aumentada com a instalação de câmeras
CCTV, sistemas de iluminação adequados, tecnologia de travamento, etc.
o Janelas: um intruso pode usar janelas para obter acesso não autorizado a áreas restritas. Medidas de
segurança adequadas devem ser consideradas durante a instalação do Windows.
Algumas dessas considerações incluem o seguinte:
o Grades: As grades devem ser usadas com portas e janelas para reforçar a segurança. Churrasqueiras
pode ser usado para segurança interna e externa.
o Vidro: Portas de vidro deslizantes e janelas de vidro deslizantes também reforçam a segurança física.
Módulo 04 Página 157 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Use alarmes para alertar o pessoal de segurança sobre qualquer intrusão através de cercas.
Módulo 04 Página 158 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pessoal de segurança
Políticas e procedimentos
Lidando com situações de Procedimentos
de segurança física
emergência de patrulhamento
Pessoal de Segurança
Pessoal de segurança/guardas são contratados para implementar, monitorar e manter a segurança física de uma
organização. Eles são responsáveis por desenvolver, avaliar e implementar funções de segurança, como a instalação
de sistemas de segurança para proteger informações confidenciais contra perda, roubo, sabotagem, uso indevido e
comprometimento. A contratação de pessoal de segurança qualificado e treinado pode ser uma medida de segurança
eficaz para qualquer organização. Eles desempenham um papel crucial na segurança física.
No entanto, as organizações geralmente não consideram isso uma competência essencial para investir como parte
de seu plano estratégico.
As organizações devem contratar pessoal de segurança por conta própria e fornecer treinamento adequado em
segurança física. Como alternativa, eles podem entrar em contato com empresas de serviços de segurança física
dedicadas para cuidar da segurança física para eles. Existem organizações dedicadas a treinar agentes de
segurança, fornecendo procedimentos padronizados e gerenciando a segurança 24 horas por dia, 7 dias por semana,
365 dias por ano, compartilhando guardas em diferentes organizações.
ÿ Guardas: Suas responsabilidades incluem a triagem de visitantes e funcionários nos portões principais ou
entrada; documentar nomes e outros detalhes sobre os visitantes; realização de patrulhas regulares nas
instalações; inspecionar pacotes, bagagens e veículos; gestão do tráfego de veículos; e guiar os visitantes
até a área de recepção após anotar seus detalhes. Os guardas devem manter registros de visitantes e
registrar as informações de entrada e saída. Os guardas geralmente lidam com o uso de câmeras de CFTV
como um impedimento, bem como um mecanismo para detectar e possivelmente impedir uma intrusão.
Módulo 04 Página 159 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Agentes/supervisores de segurança da planta: Suas responsabilidades incluem treinamento e monitoramento das atividades
dos vigilantes; auxiliar os guardas em situações de crise; lidar com multidões; e manter as chaves, fechaduras, luzes,
vegetação, etc. da instalação.
ÿ Diretor de segurança da informação (CISO): no passado, era comum que o CISO de uma organização fosse um indivíduo
extremamente competente tecnicamente que ocupou vários cargos em uma função de segurança corporativa ou até mesmo
com experiência em redes ou sistemas. Hoje, exige-se de um CISO que seja muito mais do que tecnicamente competente.
O CISO moderno deve ter um conjunto diversificado de habilidades para despachar com sucesso suas funções e estabelecer
o nível adequado de segurança e investimento em segurança para sua organização.
O treinamento contínuo do pessoal de segurança pode trazer grandes benefícios e uma equipe eficaz para a organização.
Independentemente do cargo, o pessoal relacionado à segurança deve ser selecionado com base na experiência e qualificação
exigidas para o trabalho. Os executivos devem avaliar minuciosamente as experiências anteriores do pessoal e, com base nessas
informações, fornecer treinamento adequado para preencher a lacuna entre a capacidade e as habilidades necessárias para o trabalho.
Uma organização deve treinar o pessoal de segurança recém-contratado nas seguintes áreas:
ÿ Aplicação de políticas
ÿ Procedimentos de Patrulhamento
ÿ Prevenção de Incêndios
ÿ Redação de relatórios
Módulo 04 Página 160 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Bloqueios físicos
Fechaduras Mecânicas:
Fechaduras digitais:
Usa uma combinação de
Requer uma impressão
molas, tranquetas, alavancas e
digital, smart card ou PIN
travas e opera por meio de chaves
autenticação para desbloquear
físicas
Tipos de
Fechaduras
Eletrônico /Elétrico
Fechaduras de combinação:
/Fechaduras eletromagnéticas:
Requer uma sequência de
Usa ímãs, solenóides e motores para
números ou símbolos para
operar fornecendo ou
desbloquear
removendo energia
Bloqueios físicos
Vários tipos de sistemas de bloqueio estão disponíveis para melhorar a restrição de acesso físico não autorizado. A
organização deve selecionar um sistema de travamento apropriado de acordo com seus requisitos de segurança.
ÿ Bloqueios mecânicos: fornecem um método fácil para restringir o acesso não autorizado em uma organização.
As fechaduras mecânicas vêm com ou sem chaves. Existem dois tipos de fechaduras mecânicas.
o Bloqueio protegido: Um bloqueio protegido contém um parafuso de mola preso a um entalhe. Uma chave
inserida no entalhe move o parafuso para frente e para trás. Somente a chave correta pode ser inserida
no entalhe, o que bloqueia chaves incorretas.
o Fechadura de segurança: Uma fechadura de segurança consiste em peças de metal dentro de uma
ranhura no ferrolho. Isso evita que o parafuso se mova. Uma chave correta contém ranhuras que
permitem que o parafuso se mova levantando as peças de metal acima do parafuso. As fechaduras de
segurança são ainda classificadas em fechaduras de pino, de disco e de alavanca.
ÿ Fechaduras digitais : As fechaduras digitais requerem impressões digitais, cartões inteligentes ou PINs do
teclado para serem desbloqueadas. É fácil de manusear e não requer chaves, eliminando a possibilidade de
esquecimento ou perda das chaves. Ele fornece travamento automático para portas. O usuário só precisa
usar a impressão digital, passar o cartão inteligente ou inserir o PIN para desbloqueá-lo.
Módulo 04 Página 161 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Fechaduras de combinação: requerem que o usuário forneça uma combinação de números e letras
para desbloquear. Os usuários podem inserir a sequência de combinação por meio de um teclado
ou usando um botão giratório que se mistura com vários outros discos giratórios. As fechaduras de
combinação não usam chaves para funcionar.
Módulo 04 Página 162 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Use ferramentas diferentes, como detectores de metal portáteis, detectores de metal de passagem, sistemas de inspeção
por raio-X, etc., para detectar materiais contrabandeados
Detectores de metal Sistemas de inspeção por raio-X Detectores de metal passo a passo
Os dispositivos de detecção de contrabando atuam como um importante controle de segurança física, pois
restringem atividades indesejáveis e/ou a entrada de uma pessoa portando contrabando nas instalações.
Contrabando refere-se a materiais ilegais, como explosivos, bombas e armas, que devem ser banidos das
instalações. Uma tentativa de entrar nas instalações com contrabando pode ser considerada um ato de
terrorismo. Dispositivos de detecção de contrabando são capazes de detectar tais
substâncias, mesmo quando cobertas por outros objetos.
Diferentes tipos de dispositivos são usados para detectar materiais contrabandeados; exemplos são detectores
de metal portáteis, detectores de metal de passagem e sistemas de inspeção por raio-X.
Módulo 04 Página 163 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Detectores de metal portáteis permitem que as pessoas sejam examinadas mais de perto e detectem
objetos suspeitos. Os detectores portáteis são usados na maioria dos locais onde são usados detectores
de passagem.
ÿ Os sistemas de inspeção por raios X são fáceis de manusear e usar. Eles usam raios-X em vez de visíveis
luz para objetos de tela.
Módulo 04 Página 164 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Armadilha
Ele permite que apenas uma porta seja aberta por vez, as
pessoas entram na armadilha, solicitam acesso e, se
concedido, podem sair. Se o acesso não for concedido, eles
são mantidos dentro até que o pessoal de segurança
desbloqueie a armadilha
Armadilha
Uma armadilha é outro tipo de controle de segurança de acesso físico usado para capturar invasores. É mais
amplamente utilizado para separar áreas não seguras de áreas seguras e impede o acesso não autorizado. É um
mecanismo de travamento mecânico que consiste em um pequeno espaço com dois conjuntos de portas interligadas.
O primeiro conjunto de portas deve fechar antes que o segundo conjunto seja aberto. A autenticação do usuário em
alçapões é realizada usando cartões inteligentes, PINs de teclado ou verificação biométrica. Opera automaticamente,
é útil para autorizar visitantes, reduz a mão de obra necessária para sistemas de segurança e garante a segurança
da organização.
Trabalho de Mantraps
ÿ Passo 3: A primeira porta fecha logo após a pessoa entrar na sala. Agora a pessoa é
trancado dentro do quarto. Isso sinaliza o destravamento da segunda porta.
ÿ Etapa 4: A segunda porta se abre com a pessoa saindo da sala. A primeira porta é travada automaticamente
logo após a abertura da segunda porta.
ÿ Passo 5: A segunda porta entra no estado trancada logo após a pessoa sair.
Módulo 04 Página 165 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sinais de aviso
não se intromete
inadvertidamente em
nenhuma área restrita
Sinais de aviso
Os sinais de alerta são geralmente usados para restringir o acesso não autorizado em uma organização.
Sinais de alerta são colocados em pontos de entrada, limites da localidade e áreas sensíveis. Eles devem
estar visíveis para os usuários de forma que as pessoas entendam as áreas proibidas e evitem entrar nelas.
Os sinais de alerta também ajudam as organizações a impedir que um grande número de pessoas entre em áreas
sensíveis. Eles geralmente são colocados em todas as áreas sensíveis que apresentam ameaça de danos aos
ativos ou à vida ou divulgação de informações. Por exemplo, sinais de alerta são normalmente colocados em cercas
elétricas porque tocar a cerca elétrica sem saber pode representar uma ameaça à vida. Exemplos de sinais de alerta
são “ÁREA RESTRITA”, “ADVERTÊNCIA”, “CUIDADO”, “PERIGO” e “CUIDADO”.
Módulo 04 Página 166 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistema de alarme
Sistemas de
alarme adequados
devem ser instalados
dentro e na entrada
Pode ser ativado
relatar invasões,
automaticamente ou
atividades suspeitas e
manualmente por
emergências
detectores de fumaça,
Deve ser audível para todos
detectores de calor,
no prédio e definido em
pessoal de segurança,
intervalos de 5 minutos, como
etc.
o primeiro
alerta, segundo alerta e, em
seguida, o alerta final para
evacuar
Sistema de alarme
Os alarmes são utilizados para chamar a atenção em caso de violação ou tentativa de violação. Os sons
de alarme podem ser de tipos diferentes com base na instalação; exemplos incluem sirenes, iluminação
de flash com som, e-mails e/ou alertas de voz. A organização deve dividir grandes instalações como
prédios, andares, seções e escritórios em pequenas zonas de segurança; dependendo de seu significado,
o sistema de alarme apropriado deve ser instalado. As zonas de segurança que armazenam dados de alta
prioridade recebem sistemas de segurança multinível, como restrição de acesso com dispositivos de
controle de acesso, biometria, vigilância, fechaduras e alarmes para chamar a atenção em caso de
invasão. Os alarmes podem ser ativados automaticamente ou manualmente por detectores de fumaça,
detectores de calor, pessoal de segurança, etc. Eles devem ser audíveis para todos no prédio e
configurados com três alertas para evacuar em intervalos de 5 min. As organizações devem ter um backup
de energia adequado para sistemas de alarme, para que funcionem em emergências e durante
desligamentos de energia. Toda a fiação e os componentes de um alarme devem ser protegidos contra
adulteração, e a caixa de alarme deve ser ocultada com travas adequadas e acesso limitado. O
gerenciamento adequado e avaliações regulares do sistema de alarme devem ser realizados com exercícios de emergência
Módulo 04 Página 167 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Video vigilância
A vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando sistemas de CCTV (Circuito Fechado
1 de Televisão)
2 Os sistemas de CFTV podem ser programados para capturar movimento e disparar alarmes se uma intrusão ou movimento for detectado
Os sistemas de vigilância devem ser instalados em locais estratégicos dentro e ao redor das instalações, como estacionamentos, recepção,
3 saguão, área de trabalho, salas de servidores e áreas com dispositivos de saída, como impressoras, scanners, aparelhos de fax, etc.
Video vigilância
A vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando sistemas
de circuito fechado de televisão (CCTV). A vigilância por vídeo é considerada um componente importante da segurança
física. Esses sistemas protegem os bens e edifícios de uma organização contra intrusos, roubo, etc. Um sistema CCTV
é usado como parte do sistema de segurança da organização. Ele cobre uma grande área e geralmente é colocado
perto de portões, recepção, corredores e no local de trabalho. Ele captura imagens de atividades ilícitas dentro das
instalações e ajuda a monitorar as atividades dentro, fora e na entrada. Os sistemas CCTV são programados para
capturar movimento e iniciar um alarme sempre que um movimento ou um objeto for detectado. Eles ajudam a identificar
atividades que precisam de atenção, coletam imagens como evidência e auxiliam em um sistema de alarme. Os
dispositivos usados para vigilância por vídeo devem ser automáticos, poderosos e capazes de fazer pan/tilt/zoom para
capturar a ação e armazená-los para análise posterior.
Muitos aspectos precisam ser considerados para a instalação, gerenciamento e manutenção de um sistema de
videomonitoramento em uma organização; isso inclui a câmera, lente, resolução, tempo de gravação, equipamento de
gravação, cabeamento, sistema de monitoramento, dispositivos de armazenamento e sistema/equipamento de controle
centralizado. Gravar atividades por meio de CCTV e armazenar essas imagens para referência também pode ajudar
as instalações a fornecer evidências em um tribunal. Também é importante decidir o tipo de lente, resolução e área
que a câmera deve cobrir, e a hora e a data da filmagem devem ser gravadas. Outro aspecto importante é o
armazenamento de gravações de vídeo e a duração do armazenamento. A organização deve decidir o que acontecerá
com as gravações de vídeo antigas e como elas serão descartadas.
Módulo 04 Página 168 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Coloque os dispositivos de saída, como impressoras, scanners e aparelhos de fax, à vista do público e sob
vigilância.
ÿ Estabelecer uma política para a duração em que os vídeos gravados devem ser mantidos e posteriormente
disposto.
ÿ Dome CCTV: Usado principalmente para fins de segurança e vigilância interna, as câmeras dome CCTV são
construídas como dispositivos em forma de cúpula para evitar qualquer dano à câmera ou destruição. É
impossível localizar a direção para a qual essas câmeras estão se movendo; assim, eles permitem a observação
de áreas em um ângulo amplo e cobrem áreas maiores. As unidades de câmera CCTV Speed Dome fornecem
uma facilidade com recursos de pan/tilt/zoom e rotação, permitindo que o operador mova a câmera de acordo
com sua necessidade.
ÿ Bullet CCTV: As câmeras Bullet CCTV são usadas para vigilância interna e externa. Eles geralmente são
colocados em capas protetoras que evitam poeira, chuva ou qualquer outra perturbação. Uma câmera de CCTV
de bala geralmente tem uma forma longa, cilíndrica e cônica que facilita a vigilância de longa distância.
Módulo 04 Página 169 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ CCTV de montagem C: Uma câmera CCTV de montagem C consiste em lentes destacáveis, que fornecem
vigilância com uma distância de cobertura de mais de 40 pés. Outras lentes de câmera CCTV fornecem
uma distância de cobertura de apenas 35–40 pés. diferentes lentes a serem usadas de acordo com a
distância a ser percorrida.
ÿ CCTV diurno/noturno: As câmeras CCTV diurnas/noturnas são comumente usadas para vigilância externa.
Eles podem capturar imagens mesmo com pouca luz e escuridão. Esses tipos de câmeras não requerem
iluminadores infravermelhos para capturar imagens. Eles podem capturar imagens claras sob brilho, luz
solar direta, reflexos, etc.
ÿ CFTV de visão noturna infravermelha: As câmeras de CFTV de visão noturna infravermelha são
comumente usadas para vigilância externa e podem capturar imagens na escuridão total. LEDs
infravermelhos são usados para áreas com pouca iluminação.
Módulo 04 Página 170 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ CCTV de rede/IP: As câmeras de CFTV de rede/IP estão disponíveis em modelos com e sem fio. Eles permitem
o envio de imagens pela Internet. Uma câmera IP sem fio é mais fácil de instalar do que uma câmera com fio
porque a primeira não requer cabeamento.
ÿ CCTV sem fio: As câmeras CCTV sem fio são mais fáceis de instalar do que as câmeras com fio e usar
diferentes modos de transmissão sem fio.
ÿ CFTV de alta definição: As câmeras de CFTV de alta definição são usadas principalmente em locais sensíveis
que requerem maior atenção. Eles permitem que os operadores aproximem-se de um determinado
área.
Módulo 04 Página 171 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistema de luz
Iluminação adequada deve ser fornecida dentro, fora e na entrada do
prédio, o que ajuda a ver longas distâncias durante as patrulhas de
segurança
ÿ Contínua
ÿ Espera
ÿ Móvel
ÿ Emergência
Sistema de luz
A iluminação de segurança é um aspecto importante da segurança física de uma instalação. Se uma organização não
implementou um sistema de iluminação adequado dentro e ao redor de suas instalações, a função ou o desempenho de todas
as outras medidas de segurança podem ser drasticamente degradados. Por exemplo, se a organização não possui iluminação
nos cantos traseiros, perto de arbustos, plantas, estacionamento e perto de câmeras de vigilância, fica difícil encontrar pessoas
ou objetos escondidos nesses locais. Com pouca iluminação, fica difícil identificar as pessoas que entram no local, e um intruso
pode se passar por funcionário ou usar artimanhas para burlar os sistemas de segurança. Os sistemas de iluminação a serem
instalados em uma área dependem do layout e da sensibilidade da área. Sistemas alternativos de energia, como geradores,
devem ser instalados para lidar com falhas de energia e emergências.
ÿ Iluminação contínua : A iluminação contínua refere-se a conjuntos fixos de luzes dispostas de modo que
eles fornecem iluminação contínua para uma grande área durante a noite.
ÿ Iluminação de prontidão: A iluminação de prontidão é utilizada sempre que qualquer atividade suspeita é detectada
pelo pessoal de segurança ou por um sistema de alarme. Esses sistemas operam manualmente ou automaticamente.
ÿ Iluminação móvel : A iluminação móvel é um sistema de iluminação controlado manualmente que fornece iluminação à
noite ou apenas quando necessário. Estes sistemas são normalmente utilizados como uma extensão de um sistema
de iluminação contínua ou de espera.
ÿ Iluminação de emergência : A iluminação de emergência é utilizada principalmente durante falhas de energia ou quando
outros sistemas de iluminação regulares não funcionam corretamente.
Módulo 04 Página 172 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fonte de energia
ÿ Use sistemas UPS (Fonte de alimentação ininterrupta) para gerenciar interrupções inesperadas de energia ou flutuações no primário
fornecimento elétrico que pode levar à falha do equipamento, interrupção dos negócios ou perda de dados
Híbrido on-line em
Espera Linha interativa
espera
ÿ Mais comumente usado para ÿ Mais comumente usado para ÿ Mais comumente usado para
computadores pessoais pequenas empresas, web e salas de servidores
servidores departamentais
ÿ Não é mais comumente usado ÿ Geralmente usado em ambientes onde ÿ Pode ser útil onde é necessário
porque se torna instável ao o isolamento elétrico é isolamento completo e/ou
operar uma carga de fonte de necessário conectividade direta
alimentação de computador moderno
Fonte de energia
As instalações podem sofrer blecautes ou interrupções de energia que podem tornar os sistemas inoperáveis, a menos
que recursos alternativos de gerenciamento de energia sejam implementados. As interrupções de energia podem afetar a
capacidade de fornecer serviços de TI conforme o esperado, bem como a capacidade de fornecer segurança física. Picos
de energia, surtos ou apagões podem resultar em energia excessiva ou insuficiente e podem danificar o equipamento.
Considere as seguintes medidas de segurança para lidar com blecautes ou interrupções de energia.
ÿ Use uma fonte de alimentação ininterrupta (UPS) para gerenciar interrupções de energia.
Uma UPS permite que os computadores funcionem corretamente durante uma falha de energia. Ele também protege os
computadores durante flutuações na fonte de alimentação. Um no-break contém uma bateria que detecta flutuações de
energia no dispositivo principal. Os usuários precisam salvar todos os seus dados quando o no-break detecta uma flutuação
de energia. O operador deve fornecer procedimentos a serem seguidos no momento da perda de energia. Um UPS é
comumente usado para proteger computadores, centros de dados, equipamentos de telecomunicações, etc.
ÿ Standby: UPSs Standby são o tipo de UPS mais comumente usado para computadores pessoais. Um no-break
standby é um backup de bateria off-line que facilita a manutenção de
Módulo 04 Página 173 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o dispositivo primário durante uma flutuação de energia. Uma fonte de alimentação em espera contém
circuitos AC-DC que se conectam ao no-break durante uma flutuação de energia.
ÿ Linha interativa: Mais comumente usado para pequenas empresas, web e servidores departamentais, a linha
interativa lida principalmente com flutuações contínuas de energia. Este método de fornecimento de energia
requer muito pouco uso da bateria.
ÿ Standby online híbrido: Mais comumente usado para salas de servidores, os no-breaks híbridos standby
online são usados principalmente para fornecer energia abaixo de 10 kVA. Eles são conectados à bateria
durante uma falha de energia.
ÿ Stand by Ferro: Neste tipo de UPS, um transformador ressonante Ferro é usado para filtrar a saída. Um no-
break Ferro standby fornece tempo suficiente para alternar da fonte de alimentação principal para a energia
da bateria. Este tipo de UPS não é mais comumente usado porque se torna instável ao lidar com a carga de
energia de um computador moderno.
ÿ Dupla conversão online: Geralmente utilizado em ambientes onde o isolamento elétrico é necessário, um
UPS online de dupla conversão é utilizado para fornecer energia acima de 10 kVA. Ele fornece uma
apresentação de saída elétrica ideal, mas seus componentes de energia estão sujeitos a desgaste contínuo,
reduzindo sua confiabilidade. Ele exibe um tempo de transferência apenas durante uma grande carga de
corrente.
ÿ Conversão delta online: Uma UPS online de conversão delta pode ser útil quando é necessário isolamento
completo e/ou conectividade direta. Contém um inversor que alimenta a tensão da carga. Pode ser usado
para fornecer energia na faixa entre 5 kVA e 1 MW. Ele controla o desempenho da entrada de energia e o
carregamento da bateria do no-break.
Módulo 04 Página 174 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 04 Página 175 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Área de recepção
A área de recepção deve ser espaçosa e oferecer um escopo adequado
para controlar o acesso ao prédio, o tráfego de visitantes e avaliar o
comportamento do visitante
Área de recepção
A área de recepção é o ponto de contato inicial para um indivíduo que se aproxima da organização.
A área de recepção pode ser vulnerável a violações de segurança física, pois oferece fácil acesso a estranhos.
As organizações geralmente recebem visitas regulares de clientes, público em geral, convidados, etc. e exigem
que a equipe os receba, ajude e oriente. Os recepcionistas devem ser capazes de reconhecer ou identificar
qualquer comportamento incomum de pessoas como advogados e mascates, organizações de caridade e ex-
funcionários. O pessoal da recepção deve manter contato visual e expressões faciais ou postura não conflituosas
ao atender as pessoas. Eles devem ser proficientes o suficiente para lidar com situações de emergência e
seguir procedimentos para chamar a atenção imediata, emitir alarmes, ligar para o rádio, administrar primeiros
socorros, etc.
A área de recepção deve ser espaçosa e deve oferecer o escopo para controlar o acesso ao edifício e o tráfego
de visitantes, bem como avaliar os comportamentos dos visitantes. O pessoal da recepção deve observar as
pessoas que entram no edifício. Eles devem notar e registrar comportamentos estranhos de estranhos.
Benchmarks devem ser implementados para julgar as pessoas que chegam à organização. Suas intenções
devem ser anotadas e o pessoal deve identificar se uma pessoa está procurando por alguém ou algo. Arquivos
e documentos importantes ou dispositivos não devem ser mantidos na recepção.
O design e a localização dos balcões de recepção devem ajudar a desencorajar o acesso inapropriado à área
administrativa. Os computadores no balcão da recepção devem ser posicionados de forma que as telas não
fiquem visíveis para os visitantes e sempre devem ser trancados quando o pessoal da recepção estiver fora do
balcão.
Módulo 04 Página 176 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Servidor/Backup
Segurança do dispositivo
Uma organização deve considerar a segurança física de seus servidores críticos e dispositivos de backup. O acesso físico a
esses dispositivos deve ser restrito apenas a pessoal aprovado.
A seguir estão as medidas de segurança física típicas para servidores e dispositivos de backup:
ÿ Mantenha o servidor e os dispositivos de backup em uma sala separada. Isso reduz a acessibilidade de
esses dispositivos para o público e pessoas desconhecidas.
ÿ Use servidores montados em rack. Isso evita que invasores roubem ou danifiquem os servidores.
ÿ O servidor deve ser conectado a um UPS que o proteja contra danos ou corrupção de arquivos
devido à perda temporária de energia.
ÿ Desencoraje os funcionários a fazer backups em DVDs, unidades USB ou discos rígidos externos.
Certifique-se de que os backups estejam sempre trancados em uma gaveta, cofre ou sala separada.
ÿ Não permita que os funcionários saiam de uma área carregando um dispositivo de backup. Usar movimento
detecção de alarmes para detectar o movimento de qualquer dispositivo de backup.
Módulo 04 Página 177 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Princípios básicos de defesa de rede Princípios básicos de defesa de rede Exame 112-51 Exame 112-51
Controles de Segurança de Rede - Controles Físicos Controles de Segurança de Rede - Controles Físicos
Uma organização deve sempre prestar atenção à segurança de seu servidor e dispositivos de armazenamento de backup.
Ao mesmo tempo, a organização não deve ignorar a segurança de outros ativos críticos, como estações de trabalho,
roteadores e switches, impressoras, outros equipamentos de rede e dispositivos removíveis. A organização deve empregar
todas as medidas de segurança física de servidores/dispositivos de backup para ativos críticos e dispositivos removíveis.
Além disso, as organizações devem manter seus dispositivos de rede e equipamentos de informática em armários
trancados. Alguns armários vêm com fechaduras biométricas e recursos de controle climático. Restrinja o uso de
dispositivos removíveis
como DVDs, pen drives USB, cartões SD, telefones celulares e câmeras. Projete e implemente políticas de uso aceitável
para gerenciar o uso de dispositivos removíveis. Implemente uma revisão regular de inventário de dispositivos removíveis.
Considere o uso de dispositivos bloqueados controlados pela empresa em vez de implementar uma política de trazer seu
próprio dispositivo (BYOD).
ÿ Estações de trabalho: As estações de trabalho em mesas desocupadas, escritórios vazios, recepção, etc. são
relativamente mais vulneráveis a violações de segurança física. Desconecte ou remova essas estações de
trabalho desocupadas ou tranque as portas da sala onde a estação de trabalho está localizada.
ÿ Impressoras: Como servidores e estações de trabalho, as impressoras podem armazenar informações importantes,
devem ser aparafusados e instalados em locais separados.
ÿ Dispositivos removíveis: Dispositivos removíveis portáteis, como laptops, computadores de mão, dispositivos
móveis, cartões SD, USB e dispositivos Bluetooth podem representar riscos de segurança física.
Mantenha esses dispositivos em uma gaveta ou cofre, ou prenda permanentemente uma trava de cabo.
Módulo 04
página Módulo 04
178 Network Defense Essentials Copyright © de EC-Council Network Defense Essentials Copyright © de EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Princípios básicos de defesa de rede Princípios básicos de defesa de rede Exame 112-51 Exame 112-51
Controles de Segurança de Rede - Controles Físicos Controles de Segurança de Rede - Controles Físicos
06 Não coloque os cabos acima do teto falso para evitar riscos de incêndio
A segurança do cabo de rede é frequentemente negligenciada como um aspecto da segurança física. A organização
deve considerar a importância da segurança do cabo antes de planejar e instalar qualquer cabeamento.
O cabeamento de rede deve ser limpo; caso contrário, uma organização pode sofrer com o tempo de inatividade não planejado.
Com cabeamento de rede defeituoso ou inseguro, um invasor pode acessar facilmente informações confidenciais
ignorando outros controles de segurança. Os riscos associados ao cabeamento de rede são escutas telefônicas, danos
físicos e roubo.
ÿ Coloque a fiação da rede separadamente de todas as outras fiações para fácil manutenção, monitoramento e
prevenção de interferência eletrônica.
ÿ Use conduítes transparentes para cabeamento em áreas altamente sensíveis para permitir a fácil
identificação de qualquer dano ou interferência.
ÿ Não coloque os cabos acima de um teto falso para evitar riscos de incêndio.
Módulo 04
página Módulo 04
179 Network Defense Essentials Copyright © de EC-Council Network Defense Essentials Copyright © de EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um cabo UTP reduz a diafonia e a interferência entre pares de fios, mas é propenso a escutas telefônicas.
Um invasor pode facilmente acessar as informações transmitidas por meio de cabos de rede.
o Vantagens
• Fácil de instalar
o Desvantagens
Em um cabo STP, cada par de fios é blindado individualmente com papel alumínio. É menos suscetível a
interferências externas, pois a blindagem absorve todos os sinais EMI e RFI.
o Vantagens
o Desvantagens
Um cabo de fibra ótica é feito de vidro ou plástico. O cabeamento de fibra óptica é o menos suscetível a
ameaças de escutas telefônicas.
o Vantagens
• Sem interferência
o Desvantagens
• Altamente caro
Módulo 04 Página 180 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Cabo Coaxial
Um cabo coaxial é feito de um único condutor de cobre em seu centro. Uma camada de
plástico isola o condutor central e uma blindagem de metal trançado, que evita a interferência
de lâmpadas fluorescentes, motores, etc.
o Vantagens
• Resistente à umidade
o Desvantagens
Módulo 04 Página 181 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Criptografe os discos rígidos para impossibilitar o acesso aos arquivos em caso de perda ou roubo
ÿ Instale um software antirroubo que possa bloquear e rastrear dispositivos remotamente usando um
conexão
ÿ Instale um software de rastreamento de dispositivos que possa ajudar na recuperação de dispositivos roubados/perdidos
ÿ Ative ou instale um recurso de limpeza remota para apagar dados armazenados em dispositivos
ÿ Etiquete o dispositivo ou cole um adesivo com o nome e detalhes de contato para que o
dispositivo pode ser devolvido se perdido
O uso de dispositivos móveis portáteis em uma organização aumentou nos últimos anos.
O risco de ameaças de segurança física a esses dispositivos também aumentou. Esses dispositivos geralmente são vulneráveis a
ameaças físicas, como roubo, perda, dano e revenda. A organização deve tomar os devidos cuidados para lidar com quaisquer
incidentes de segurança relacionados a esses dispositivos.
ÿ Aplicar todas as medidas de segurança comuns a dispositivos de rede, como servidores, backup
dispositivos e dispositivos portáteis.
ÿ Criptografe discos rígidos para impossibilitar o acesso a arquivos quando uma unidade for perdida ou roubada.
ÿ Instale um software antifurto que possa bloquear e rastrear dispositivos remotamente usando um
conexão.
ÿ Instale um software de rastreamento de dispositivos que possa ajudar na recuperação de dispositivos roubados/perdidos.
ÿ Ative ou instale um recurso de limpeza remota para apagar os dados armazenados nos dispositivos.
ÿ Etiquete o dispositivo ou cole um autocolante com o nome e contactos do utilizador para que
o dispositivo pode ser devolvido em caso de perda.
Módulo 04 Página 182 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ative a opção de bloqueio para que o dispositivo seja bloqueado quando forem feitas tentativas consecutivas de
login malsucedidas.
ÿ Use uma docking station que fixe permanentemente o laptop na área de trabalho e também bloqueie
o laptop com segurança em um só lugar.
ÿ Use dispositivos de segurança como detectores de movimento e alarmes para emitir alertas quando o laptop for
movido sem autorização.
Módulo 04 Página 183 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A política de segurança física define diretrizes para garantir que medidas adequadas de segurança física sejam implementadas.
É a segurança prestada em termos de ativos físicos, que podem ser danificados fisicamente. Em organizações de TI, onde
grandes quantidades de ativos físicos são manuseados, os ativos são propensos a danos durante as instalações ou transferências
de offshore para localizações locais.
Deve-se ter cuidado com a frequência de monitoramento e análise de riscos, bem como o treinamento fornecido às pessoas que
manuseiam ou trabalham com os ativos físicos. Projetar uma política de segurança física ajuda uma organização a manter certas
normas a serem seguidas pelos funcionários para reduzir a probabilidade de perda.
Considerações de projeto
ÿ
A deficiência de proteção do edifício é revisada regularmente?
ÿ
Existe um processo para identificar estranhos, como visitantes, contratados e fornecedores, antes de conceder-lhes
acesso às instalações?
ÿ
O inventário dos ativos da organização é mantido regularmente?
Módulo 04 Página 184 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 04 Página 185 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os sistemas HVAC (Aquecimento, Ventilação e Ar Condicionado) controlam o ambiente circundante em uma sala ou
edifício especialmente umidade, temperatura e fluxo de ar
ÿ HVAC garante que os componentes do sistema de informação sejam menos propensos a danos devido a
mudanças
ÿ Considere vários fatores e componentes, como hardware, cabeamento, proteção contra incêndio e fonte de alimentação,
etc. antes de instalar o equipamento HVAC ÿ
Mantenha os níveis de temperatura e umidade da linha de base para manter o equipamento funcionando de forma confiável
O consumo/fornecimento contínuo de energia pode fazer com que data centers, hardware e equipamentos
aqueçam muito rapidamente. Além disso, a colocação inadequada do equipamento pode aumentar o risco
de incêndio. O HVAC é um sistema especial que controla o ambiente em uma sala ou edifício,
especialmente as condições de umidade do ar e ventilação. Ele é implantado para manter temperaturas
confortáveis em uma sala, de modo que o hardware não seja afetado pela umidade e mudanças no ar.
Nessas condições controladas, o hardware e os componentes também são mais seguros e menos
propensos a danos devido a fatores ambientais. O HVAC também purifica o ar nos quartos e remove
fumaça, odor, calor e partículas de poeira. Um ambiente onde o ar é livre de odores e limpo e a umidade é
controlada proporciona um bom ambiente para as pessoas que trabalham com essa organização. Esses
sistemas de ventilação são desejados principalmente em organizações de médio a grande porte que usam
equipamentos pesados e empregam um grande número de pessoas. Um dispositivo de detecção pré-
programado é usado para verificar as mudanças na temperatura, e o HVAC age de acordo. O HVAC
também pode ser controlado manualmente. Antes de instalar o equipamento HVAC, a organização deve
considerar vários fatores e componentes, como hardware, cabeamento, proteção contra incêndio e fonte
de alimentação. Os níveis básicos de temperatura e umidade devem ser mantidos para manter o
equipamento funcionando de forma confiável. Os equipamentos que emitem ar quente ou frio devem ser
continuamente monitorados.
Quando um componente de refrigeração é adicionado a um sistema HVAC, ele é conhecido como sistema
HVAC&R ou HVACR (aquecimento, ventilação e ar condicionado e refrigeração).
Módulo 04 Página 186 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
sistema pode ser encontrado dentro e fora do edifício. Os sistemas split HVAC têm os seguintes componentes:
ÿ Sistema de divisão de calor híbrido: Esta é uma versão avançada de um sistema de divisão com melhor eficiência
energética. Neste sistema, a bomba de calor realiza um HVAC alimentado eletricamente em vez do calor do forno
a gás. Um sistema típico de divisão de calor híbrido inclui os seguintes componentes:
ÿ Sistema split de aquecimento e ar condicionado sem dutos: Mais comumente usado em locais onde os sistemas
split tradicionais não podem ser usados, um sistema split sem dutos típico inclui os seguintes componentes:
o Produtos embalados, como uma bomba de calor ou um ar condicionado combinados com um ventiloconvetor ou
um evaporador em uma única unidade
Módulo 04 Página 187 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A blindagem usa materiais como metais ou espumas metálicas. Um campo elétrico produz uma carga
no material condutor, aplicando um campo eletromagnético em um condutor. O condutor produz outra
carga, que cancela o efeito da carga elétrica externamente aplicada sobre ele. Isso não causa
alteração no material condutor. Quando o campo elétrico é aplicado ao material, ele produz correntes
parasitas (correntes que fluem dentro de um material em circuitos fechados). Essas correntes anulam
o efeito do campo magnético. Desta forma, o material blindado é protegido de efeitos externos ou
perturbações.
Módulo 04 Página 188 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Quente e frio
corredores
ÿ Um corredor quente e frio é um arranjo de racks de servidores e
equipamentos de rede para gerenciar o fluxo de ar frio e quente
Os corredores quentes e frios formam um arranjo sistemático de equipamentos para manter o fluxo de ar e economizar
energia. Muitas organizações seguem o alinhamento do corredor quente e frio, que é usado principalmente em salas de
servidores, data centers, etc., onde equipamentos eletrônicos pesados são usados.
Os racks de equipamentos pesados ou servidores são dispostos de forma que as frentes dos equipamentos fiquem
voltadas para o ar frio dos aparelhos de ar condicionado. A parte de trás do equipamento fica voltada para a parte de trás
do próximo rack de equipamentos. Este arranjo é seguido por todos os equipamentos da sala, empurrando o ar quente
da parte de trás do equipamento para uma das extremidades da sala. As condições de resfriamento são mantidas para
que o ar quente que sai do equipamento seja aspirado e não se misture com o ar frio do ambiente. Dependendo da
conveniência, o sistema de resfriamento é colocado abaixo ou acima da sala. Os corredores frios normalmente estão
voltados para os dutos de saída do ar-condicionado e os corredores quentes estão voltados para os dutos de entrada do ar-condicionado.
Isso protege o hardware da umidade e do calor, aumenta o desempenho do hardware e mantém uma temperatura
ambiente consistente.
ÿ Vantagens:
o Fácil de implementar, pois não requer nenhuma arquitetura suplementar para expelir o ar
o Pode se encaixar facilmente em um data center existente em termos de aspectos como energia e
distribuição de rede
Módulo 04 Página 189 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Desvantagens:
o A maioria dos corredores frios tem tetos imediatamente acima do corredor, afetando o fogo e a iluminação
Projeto.
ÿ Vantagens:
ÿ Desvantagens:
o Sempre requer espaço adicional para o fluxo de ar do corredor quente para o resfriamento
unidade
o Muito caro
Módulo 04 Página 190 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A segurança física de uma organização pode ser construída em camadas ou implementada seguindo uma estratégia
de defesa em profundidade. A organização deve considerar a implementação de todos os controles e medidas de
segurança física para garantir a segurança física de defesa em profundidade.
A lista de verificação a seguir pode ajudar uma organização a garantir que está implementando os controles e medidas
de segurança adequados.
ÿ Seguir as regras de direitos autorais e restrições de licenciamento: A organização deve impor regras de
direitos autorais e restrições de licenciamento para evitar que pessoas de fora ou de dentro criem cópias
ilegais de software protegido por direitos autorais.
ÿ Armazene todos os itens removíveis e importantes em um armário quando não estiverem em uso: os
funcionários devem trancar todas as informações confidenciais e dispositivos importantes em um armário.
Eles não devem deixar nenhuma informação importante desacompanhada, pois pode chamar a atenção de um invasor.
ÿ Manter áreas sensíveis sob vigilância: A organização deve garantir a segurança de áreas sensíveis, como
salas de servidores. Vigilância CCTV e guardas podem ser empregados para manter a segurança em áreas
sensíveis. A organização deve aplicar vigilância 24 horas por dia, 7 dias por semana para essas áreas.
ÿ Evite manter qualquer material combustível no local de trabalho: Sempre mantenha materiais combustíveis
longe do local de trabalho. Isso garante a segurança dos funcionários, das informações armazenadas e dos
dispositivos armazenados no local de trabalho.
Módulo 04 Página 191 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Garantir sempre a satisfação da empresa: Empregar medidas de segurança que garantam a satisfação dos colaboradores.
As políticas e procedimentos impostos pela organização devem garantir compatibilidade com a infraestrutura da empresa.
As medidas de segurança física impostas devem detectar, relatar, corrigir e prevenir ataques.
ÿ Avalie a segurança física do local: A segurança adequada garante a segurança dos funcionários e das informações na
organização. A segurança do local pode ser aprimorada impedindo que invasores entrem nas estações de trabalho e salas
de servidores, bem como autenticando cada pessoa usando cartões de identificação ou biometria. Outras medidas de
segurança incluem trancar armários, portas e janelas, vigilância adequada usando CCTV e iluminação adequada.
ÿ Evite desconectar os consoles das portas: Desconectar cabos ou consoles das portas levará à desconexão do usuário.
Todos os cabos devem estar conectados às portas e funcionando corretamente.
ÿ Utilização de alarmes e sensores durante incêndio, fumo, etc.: A organização deve assegurar a utilização adequada de
sensores e alarmes para deteção de incêndio ou fumo nas instalações. A organização pode incluir sensores para
dispositivos para detectar qualquer tentativa de retirar esses dispositivos das instalações da organização.
ÿ Evitar danos ao hardware e software: Qualquer dano ao hardware ou software resulta em danos aos sistemas de informação
da organização. Danos ao hardware levam a danos aos sistemas eletrônicos e mecânicos usados no processamento de
dados. Danos ao software levam a danos aos programas e instruções usados para o desenvolvimento de dados.
ÿ Evite deixar quaisquer dispositivos ou dados importantes em áreas de estacionamento ou carros: Quaisquer
dispositivos ou dados desacompanhados podem atrair invasores e levar à perda desses itens ou informações valiosas. A
organização deve empregar um número adequado de guardas de segurança para monitorar todos os carros estacionados.
Iluminação adequada deve ser instalada para observar essas áreas claramente.
Câmeras de segurança devem ser empregadas em áreas sensíveis, e o pessoal que acessa essas áreas deve ser
registrado.
ÿ Certifique-se de que métodos de controle de acesso adequados sejam implementados para evitar
Acesso.
ÿ Assegurar a instalação de um sistema de alarme para todo o tipo de ameaças como incêndio, fumo,
perda de energia e inundação e está funcionando corretamente.
ÿ Certifique-se de que um sistema de trava de porta apropriado seja implementado e esteja funcionando corretamente.
Módulo 04 Página 192 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Garantir que as informações de contato dos funcionários sejam mantidas para uso durante emergências.
Módulo 04 Página 193 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
1 Este módulo discutiu a importância da segurança física e seu papel no programa
de segurança da informação da organização
4 Finalmente, este módulo terminou com uma visão geral sobre vários controles ambientais
Resumo do Módulo
Este módulo discutiu a importância da segurança física e sua função no programa de segurança da informação de
uma organização. Além disso, este módulo apresentou os vários controles de segurança física e medidas de
segurança que as organizações devem considerar ao implementar a segurança física. O módulo também explicou
em detalhes a importância da segurança no local de trabalho.
Finalmente, este módulo apresentou uma visão geral de vários controles ambientais.
Módulo 04 Página 194 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 05
C o n t r o l e s d e S eg ur a nç a de R e d e -
Co n t r ol e s T é c n i c o
Machine Translated by Google
Objetivos do módulo
Compreendendo a segmentação de rede e seus tipos
Compreendendo os fundamentos das redes privadas virtuais (VPNs) e sua importância na segurança da rede
Visão geral do gerenciamento de incidentes e eventos de segurança (SIEM) e análise de comportamento do usuário (UBA)
Objetivos do módulo
O aspecto mais importante dos controles de segurança é a proteção dos ativos organizacionais, como pessoas,
propriedades e dados. Ao estabelecer controles de segurança, uma organização pode reduzir ou mitigar completamente
os riscos aos seus ativos. Este módulo fornece uma visão geral de vários controles técnicos que ajudam as
organizações a proteger suas redes privadas e ativos de TI.
Módulo 05 Página 196 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 197 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Estações de trabalho
diferentes segmentos de rede
Internet
ÿ Benefícios de segurança da segmentação de rede
Firewall
ÿ Segurança aprimorada
ÿ Melhor desempenho
Base de dados
ÿ Melhor Contenção Inscrição
Servidores Servidores
A segmentação de rede é a prática de dividir uma rede em segmentos de rede menores, separando grupos de sistemas
ou aplicativos uns dos outros. Seja uma segmentação de rede física ou virtual, ambas podem restringir a comunicação
em toda a rede e também restringir os ataques à rede. Em uma rede segmentada, grupos de sistemas ou aplicativos
que não interagem uns com os outros são colocados em diferentes segmentos de rede. Mesmo que um invasor/interno
consiga penetrar na segurança do perímetro, ele não poderá acessar os recursos da rede de um segmento para outro.
A segmentação de rede supera a desvantagem de uma rede plana tradicional onde todos os recursos de rede (servidores,
estações de trabalho, etc.) são colocados na mesma rede. Se um invasor conseguir penetrar pela defesa do perímetro,
poderá ver e ter acesso fácil a uma rede plana, pois a maioria das ferramentas de detecção se concentra no que está
acontecendo fora de uma rede. Embora seja fácil gerenciar uma infraestrutura de rede plana, ela está sempre aberta a
vários ataques.
ÿ Melhor desempenho: reduz o tráfego local, com menos hosts por sub-rede e
isola o tráfego de transmissão para a sub-rede local.
ÿ Melhor contenção: limita quaisquer problemas de rede que possam ocorrer na sub-rede local.
Módulo 05 Página 198 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
No diagrama acima, a segmentação de rede é usada para separar os servidores nos quais são usados
um firewall, duas zonas DMZ (zonas desmilitarizadas e uma sub-rede isolada da camada 3) e uma zona
interna.
Os servidores Web e servidores de e-mail são separados dos servidores que não requerem acesso direto
à Internet, pois ambos os servidores precisam estar voltados para a Internet e são vulneráveis a ataques.
Mesmo que um dos servidores voltados para a Internet seja comprometido, a separação de ambos os
servidores pode reduzir os danos.
O tráfego bidirecional é permitido da zona interna e DMZ2 para backups/autenticação via diretório ativo,
enquanto o tráfego unidirecional é permitido apenas da zona interna para DMZ1.
Os servidores proxy, de e-mail e da Web do DMZ1 são separados dos servidores de aplicativo e banco
de dados do DMZ2 para maior segurança.
O firewall permite o tráfego de internet para DMZ1 através de determinadas portas (80, 25, 443, etc.)
DMZ2.
Se as estações de trabalho do usuário na zona interna exigirem acesso à Internet, o acesso será
direcionado por meio de um servidor proxy HTTP em DMZ1, pois a zona interna é isolada do tráfego da
Internet. Mesmo que um servidor na DMZ1 seja comprometido, a zona interna permanecerá protegida,
pois o tráfego da zona interna para a DMZ1 é permitido apenas em um sentido.
A segmentação no diagrama acima representa uma segmentação de zona de segurança de firewall que
pode otimizar a segurança da rede. Para maior segurança, uma solução de filtragem da Web baseada
em nuvem (por exemplo, WebTitan, TitanHQ, SolarWinds MSP, etc.) pode ser usada para permitir a
filtragem das solicitações do site e impedir que os usuários finais acessem sites maliciosos.
Módulo 05 Página 199 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Segmentação física
A segmentação física é um processo de divisão de uma
rede maior em componentes físicos menores
Segmento 3
hub compartilhado
hubs ou roteadores
Segmento 1
hub compartilhado
Segmentação Lógica
ÿ A segmentação lógica utiliza VLANs, que são
isolado logicamente sem considerar as localizações VLAN 1 VLAN 2 VLAN 3
físicas dos dispositivos VLAN
Interruptor 1
Módulo 05 Página 200 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 201 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Segmentação Lógica: Para superar os problemas associados à segmentação física, as organizações escolhem
a segmentação lógica de sua rede. A segmentação lógica utiliza VLANs, que são isoladas logicamente sem
considerar as localizações físicas dos dispositivos. Cada VLAN é considerada uma unidade lógica independente
e os dispositivos dentro de uma VLAN se comunicam como se estivessem em sua própria rede isolada. Esse
tipo de segmentação é mais fácil de implementar e flexível de operar. Nessa abordagem, os firewalls são
compartilhados e os switches lidam com a infraestrutura de VLAN. A segmentação lógica não precisa de novo
hardware e o ambiente fornecido é gerenciado com os recursos de hardware existentes. Esse tipo de
segmentação emprega os conceitos incorporados à infraestrutura de rede, como a criação de VLANs
independentes que compartilham um dispositivo de roteamento físico (switch), segregação de vários tipos de
ativos em diferentes sub-redes de camada 3 e uso de um roteador para permitir a troca de dados entre sub-
redes.
o Melhora a segurança definindo quais nós da rede podem interagir uns com os outros.
Módulo 05 Página 202 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 203 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 204 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
01 Um bastion host é um sistema de computador projetado e configurado para proteger os recursos de rede contra ataques
02 Um bastion host é o único computador host na Internet que pode ser acessado diretamente da rede pública
03 Ele fornece uma gama limitada de serviços , como hospedagem de sites e correio para garantir a segurança
Internet intranet
Firewall
Bastião
Hospedeiro
Um bastion host é projetado para defender uma rede contra ataques. Ele atua como um mediador entre redes internas
e externas. Um bastion host é um sistema de computador projetado e configurado para proteger os recursos de rede
contra ataques. Ele fornece uma gama limitada de serviços, como hospedagem de sites e correio para garantir a
segurança. O tráfego que entra ou sai da rede passa por um firewall. Um bastion host tem duas interfaces:
Um bastion host é o único computador host na Internet que pode ser acessado diretamente da rede pública. Como
esses componentes estão expostos a riscos substanciais, é necessário um esforço enorme para projetar e configurar
hosts bastiões para minimizar a probabilidade de ataques.
Vários outros tipos de hosts bastiões são web, correio, Sistema de Nome de Domínio (DNS) e servidores FTP. Os
hosts Bastion também fornecem filtragem de pacotes e serviços de proxy.
Módulo 05 Página 205 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
01
Minimize as chances de penetração por intrusos
02 Criar todos os logs, que podem ser usados para identificar ataques ou Criar todos os logs, que podem ser usados para
Um bastion host é um sistema que possui várias interfaces de rede expostas à Internet. O sistema operacional
em tal dispositivo é feito resistente para criar mais segurança do que em qualquer outro computador na rede.
Após a configuração do computador e instalação do software, os conjuntos de regras para tráfego interno e
externo podem ser instalados e configurados sobre o sistema operacional protegido.
Todos os serviços de rede estão desabilitados nos bastion hosts. Eles permitem apenas o acesso à Internet
especificado. Por exemplo, não deve haver nenhuma conta de usuário no servidor bastion, o que cria a
possibilidade de um usuário se conectar ao sistema e assumir o controle dele e também acessar a Internet.
Mesmo o sistema de arquivos de rede, que oferece acesso a arquivos pela rede, também deve ser desabilitado
para não criar uma oportunidade de acesso ao servidor bastião e aos arquivos que podem ser acessados na
Internet. O local mais seguro para colocar o host é na sub-rede como um componente do firewall. A principal
vantagem de colocá-los em sua própria rede é que fica difícil comprometê-los sem nenhum outro recurso na
rede.
Os servidores Bastion criam todos os logs, que podem ser usados pelo administrador da intranet, para informar
se houve um ataque ou tentativas de ataque. Duas cópias dos logs do sistema são mantidas como backup por
vários motivos de segurança. Um dos métodos possíveis para fazer backup dos logs de segurança é conectar o
bastion host a um computador dedicado, que funciona apenas para acompanhar os logs de backup seguros.
Os monitores automatizados são programas mais complexos do que o software de auditoria. Os monitores
automatizados verificam frequentemente os logs do sistema do servidor bastion e disparam alarmes se alguma
atividade suspeita for encontrada nos logs do sistema. Por exemplo, um alarme é acionado se encontrar
tentativas malsucedidas de um usuário com três logins diferentes.
Módulo 05 Página 206 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O número de bastion hosts em um firewall não é restrito a um determinado número. Cada bastion host
pode gerenciar vários serviços de Internet na mesma intranet. Em alguns casos, o bastion host pode ser
usado como uma máquina vítima. A máquina vítima pode então ser usada para lidar com
o serviço de Internet que não pode ser gerenciado pelo proxy ou pelos serviços de Internet em que os
problemas de segurança não são conhecidos. Os serviços são substituídos na máquina da vítima em vez
do bastion host por outros serviços. Ele atua como um backup para os servidores bastion mesmo se o
servidor estiver inativo.
Se o roteador de filtragem for colocado entre o bastion host e a intranet, pode ser uma segurança
adicional. O roteador de filtragem descarta todos os pacotes não autorizados após verificar todos os
pacotes entre a Internet e a intranet.
O servidor bastion não pode gerenciar as solicitações, como enviar uma página da Web ou entregar e-
mail quando recebe uma solicitação de serviço. A solicitação é enviada para o servidor de intranet adequado.
O servidor da intranet processa a solicitação e a resposta é enviada de volta ao servidor bastion. O
servidor bastion despacha o serviço solicitado ao solicitante.
Alguns servidores bastion incorporam programas de auditoria, que verificam se um ataque foi lançado
contra eles. Existem várias formas de auditoria. Pode-se usar o programa de soma de verificação para
auditar, que é usado para verificar se alguma pessoa não autorizada modificou algum software no servidor
bastião. A soma de verificação é calculada com base no tamanho de um programa executável instalado
no servidor. Este programa calcula a soma de verificação para ver se há alguma modificação. Se houver
alguma alteração na soma de verificação, essas alterações são indícios de um ataque.
Módulo 05 Página 207 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Posicionando o
Bastion Host
ÿ Colocado em uma sala de servidores especialmente ÿ Definido em uma rede especial também conhecida como
selecionada com controles ambientais adequados Zona desmilitarizada (DMZ) que não transporta dados
confidenciais
ÿ Deve ser configurado em um gabinete de servidor ÿ Evite colocar o bastion host em redes internas
trancado com ventilação, resfriamento e energia de
backup adequados
ÿ Deve estar localizado em uma camada adicional conhecida
como rede de perímetro
Bastião
Exterior
Anfitriões
Firewall
Internet
DMZ ou rede de perímetro
Firewall interior
intranet
Existem várias opções para posicionar um bastion host dentro da configuração de rede, a saber:
ÿ Localização Física: O bastion host é colocado em uma sala de servidores especialmente selecionada com
controles ambientais adequados (contra condições climáticas extremas) e os requisitos físicos necessários
Módulo 05 Página 208 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dispositivos de segurança. Ele deve ser instalado em um gabinete de servidor trancado com ventilação,
resfriamento e energia de backup adequados.
ÿ Localização da rede: o host é colocado em sua própria rede, também conhecida como zona desmilitarizada, onde
não existe tráfego de rede secreto. Recomenda-se evitar colocar o bastion host em redes internas. O bastion host
deve estar localizado em uma camada adicional conhecida como rede de perímetro, e um roteador de filtragem de
pacotes deve ser conectado a ele.
Módulo 05 Página 209 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Firewall externo
Internet
solteiro
Bastion Host
Firewall interior
intranet
ÿ Este tipo de bastion host é capaz de separar redes internas e externas, melhorando
assim a segurança
Firewall externo
Internet
Multi-homed
Bastion Host
Firewall interno
intranet
Módulo 05 Página 210 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Firewall exterior
Internet
Firewall interno
intranet
ÿ Bastion hosts são visíveis para todos, o que os ÿ Se uma máquina é construída como um firewall, é
torna vulneráveis a ataques propenso a mais ataques
ÿ Exigem apenas privilégios mínimos de acesso à ÿ A segurança de todo o site depende deste único
rede interna, fornecendo apenas alguns serviços máquina, por isso é necessário garantir que esta
máquina seja absolutamente segura
Na maioria das configurações, o bastion host central é conectado a determinados hosts internos.
Por exemplo, o bastion host pode passar o e-mail para um servidor de e-mail interno, harmonizando-se
com um servidor de nomes interno. Esses servidores internos são hosts bastiões secundários e devem
ser mais organizados e monitorados como os hosts bastiões do que como hosts internos. Alguns serviços
podem ser deixados habilitados nesses sistemas, mas devem ser configurados da mesma forma que os
bastion hosts são configurados.
Módulo 05 Página 211 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um bastion host de hospedagem única é um dispositivo de firewall com apenas uma interface de rede. Todo
o tráfego, tanto de entrada quanto de saída, é roteado por meio do bastion host. Ele testa os dados em relação
às diretrizes de segurança e age de acordo.
Um host bastion multihomed é um dispositivo de firewall com pelo menos duas interfaces de rede.
Este tipo de bastion host é capaz de separar redes internas e externas, melhorando assim a segurança.
Módulo 05 Página 212 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Bastion hosts internos residem dentro da rede interna de uma organização. Eles podem ser hosts bastion de
hospedagem única ou multihomed. Os dispositivos de rede interna se comunicam com o bastion host interno.
Um host bastion sem roteamento tem um host dual-homed com várias conexões de rede que não interagem
entre si. Esse tipo de host é totalmente um firewall ou pode ser um componente de um firewall multifacetado.
Se o host for um firewall, deve-se ter cuidado para que a configuração e as instruções do bastion host sejam
seguidas com
preocupação.
ÿ Máquinas Vítimas
Nos casos em que haja necessidade de executar serviços não seguros e algumas novas aplicações cujas
falhas de segurança ainda não sejam conhecidas; você pode usar uma máquina (uma máquina vítima) para
instalá-los. Essas máquinas permitem que qualquer usuário faça login. Não há problema, mesmo que essas
máquinas estejam comprometidas. Uma máquina vítima é descartável no sentido de que é usada apenas para
aplicativos com implicações de segurança e para nenhum outro propósito.
As máquinas vítimas são configuradas no procedimento semelhante a um bastion host típico, esperando que
sempre tenham usuários para efetuar login. Será sensato se as pressões forem resistidas, como o desejo do
usuário por mais serviços e programas do que os fornecidos o sistema bastião usual. Também deve-se garantir
que o usuário não se sinta confortável com as máquinas vítimas, porque o design pretendido pode não
funcionar mais. O fator importante que deve ser considerado é que não é reutilizável.
Módulo 05 Página 213 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os Bastion hosts, que fornecem serviços exclusivos para a Internet, têm uma preocupação única; eles são
visíveis para todos. Isso o torna vulnerável a ataques e o aumento da vulnerabilidade estará sujeito a ataques
mais bem-sucedidos. Se um dos serviços internos fornecidos aos usuários internos for comprometido, não é
óbvio que terceiros possam avaliar os serviços. Se uma das páginas do site for substituída, todos ficarão cientes
da alteração e tomarão nota dela. Essas máquinas deveriam ter mais recursos de segurança e não possuem
recursos mínimos para facilitar a proteção.
Se a máquina for construída como um firewall, e não como parte de uma parede, ela estará mais propensa a
ataques. A segurança de todo o site depende dessa máquina. É sempre necessário garantir que esta máquina
esteja absolutamente segura. Uma réplica do sistema original pode ser usada para testar a nova configuração
sem comprometer a conexão com a Internet.
Módulo 05 Página 214 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Servidores de e-mail
ÿ Servidores DNS
Internet
ÿ Configurações DMZ
ÿ Ambas as redes internas e externas podem se conectar ao
DMZ
ÿ Mas hosts na DMZ não podem se conectar a redes internas Rede DMZ
Uma zona desmilitarizada (DMZ) é uma pequena rede que é colocada entre a rede privada da organização e uma rede pública
externa. Ele impede que alguém de fora obtenha acesso direto ao servidor da organização. Por exemplo, se um invasor usar
uma rede pública para acessar um host DMZ e invadi-lo, apenas as informações desse host serão comprometidas. Desta
forma, uma DMZ atua como uma camada adicional de segurança para as redes e diminui a ameaça de invasão na rede interna.
Uma DMZ consiste nos seguintes tipos de servidores, que precisam ser acessíveis de fora da rede:
ÿ Servidores Web
ÿ Servidores de e-mail
Configurações DMZ:
Módulo 05 Página 215 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens do DMZ:
Módulo 05 Página 216 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Interface 1 Interface 2
Internet Interface 3
pacotes
recebidos DMZ
Rede corporativa
Público
interno
Firewall
Firewall
Internet
pacotes
DMZ
recebidos
Módulo 05 Página 217 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
provedor de serviços (ISP) ao firewall, formando a rede externa, enquanto a segunda interface forma a
rede interna. A terceira interface forma a DMZ. O firewall atua como um único ponto de falha e deve ser
capaz de gerenciar todo o tráfego para a DMZ.
ÿ DMZ de firewall duplo: A abordagem de firewall duplo usa dois firewalls para criar uma DMZ. O primeiro
firewall permite que apenas o tráfego limpo entre na DMZ, enquanto o segundo firewall realiza uma
verificação dupla. A abordagem de firewall duplo é a abordagem mais segura na implementação de uma
DMZ e também adiciona mais complexidade.
Qualquer servidor que exija exposição a uma rede pública pode ser colocado na DMZ. É possível para os
profissionais de segurança colocar servidores como servidores web, servidores DNS, servidores de e-mail e
servidores de protocolo de transferência de arquivo (FTP) na DMZ e habilitar o acesso para clientes internos e
externos.
Módulo 05 Página 218 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 219 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O que é um Firewall?
Firewall
redes privadas
Firewall
O que é um Firewall?
Um firewall é um software ou hardware, ou uma combinação de ambos, que geralmente é usado para separar uma
rede protegida de uma rede pública desprotegida. Um firewall é um dispositivo seguro, confiável e confiável colocado
entre redes privadas e públicas. Ele ajuda a proteger uma rede privada dos usuários de uma rede diferente. Ele
monitora e filtra o tráfego de entrada e saída da rede e impede o acesso não autorizado a redes privadas. Ele possui
um conjunto de regras para rastrear o tráfego de rede de entrada e saída e também é responsável por permitir ou
negar a passagem do tráfego. Esses critérios são as regras e restrições configuradas no firewall e podem variar de
um tipo de firewall para outro.
Geralmente, um firewall filtra o tráfego com base no tipo de tráfego, endereços de origem ou destino, protocolos e
portas.
Módulo 05 Página 220 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para oferecer suporte a uma tradução de endereço de rede, que ajuda no uso de endereços IP privados e no
compartilhamento de uma única conexão com a Internet.
Módulo 05 Página 221 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Público
Rede
Tipos de Firewall:
Firewalls de software
ÿ Um firewall de software é um programa de software instalado em um
computador, assim como software normal
Computador com
software de firewall
Computador com
software de firewall
Computador com
Rede pública
software de firewall
Módulo 05 Página 222 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observação: é recomendável configurar um firewall baseado em rede e host para melhor proteção
Tipos de Firewall
ÿ Firewalls de hardware
Um firewall de hardware é um dispositivo de firewall dedicado colocado no perímetro da rede. Ele é parte
integrante da configuração da rede e também está embutido em roteadores de banda larga ou usado como
um produto independente. Um firewall de hardware ajuda a proteger os sistemas na rede local e funciona de
forma eficaz com pouca ou nenhuma configuração. Emprega a técnica de filtragem de pacotes. Ele lê o
cabeçalho de um pacote para descobrir os endereços de origem e destino e os compara com um conjunto
de regras predefinidas e/ou criadas pelo usuário que determinam se deve encaminhar ou descartar o pacote.
Um firewall de hardware funciona em um sistema individual ou em uma rede específica conectada usando
uma única interface. Exemplos de firewalls de hardware incluem Cisco ASA e FortiGate.
Vantagens:
o Segurança: Um firewall de hardware com seu sistema operacional (SO) é considerado para reduzir os
riscos de segurança e aumentar o nível de controles de segurança.
o Velocidade: firewalls de hardware iniciam respostas mais rápidas e permitem mais tráfego.
o Interferência mínima: como um firewall de hardware é um componente de rede separado, ele permite um
melhor gerenciamento e permite que o firewall seja desligado, movido ou reconfigurado sem muita
interferência na rede.
Módulo 05 Página 223 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desvantagens:
ÿ Software Firewall
Um firewall de software é semelhante a um filtro. Ele fica entre um aplicativo regular e os componentes de rede
do sistema operacional. É mais útil para usuários domésticos individuais e é adequado para usuários móveis
que precisam de segurança digital ao trabalhar fora da rede corporativa. Além disso, é fácil de instalar no PC,
notebook ou servidor de grupo de trabalho de um indivíduo. Ele ajuda a proteger seu sistema contra tentativas
externas de acesso não autorizado e fornece proteção contra cavalos de Tróia e worms de e-mail do dia-a-dia.
Inclui controles de privacidade, filtragem da web e muito mais. Um firewall de software se implanta na área
crítica do caminho do aplicativo/rede. Ele analisa o fluxo de dados em relação ao conjunto de regras.
Vantagens:
Módulo 05 Página 224 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desvantagens:
o Difícil de desinstalar.
o Não é apropriado para ambientes que exigem tempos de resposta mais rápidos.
Um firewall baseado em host é um firewall baseado em software que pode filtrar o tráfego de entrada/saída de um
computador individual no qual está instalado e verifica qualquer atividade maliciosa em toda a rede. Ele vem como
parte do sistema operacional do sistema. Por exemplo, Microsoft Firewall que faz parte do sistema Windows, Iptables,
Uncomplicated Firewall (UFW), etc. Os diferentes níveis de análise de tráfego desses firewalls incluem análise de
pacotes nas camadas de rede e transporte do modelo OSI. Esses firewalls verificam o endereço MAC, o endereço
IP, a origem do pacote e a porta de destino antes de permitir a passagem de um pacote. Em seguida, um filtro stateful
valida os pacotes. No final, o pacote é validado na camada de aplicação.
Vantagens
o Fornece segurança interna e evita ataques internos ao permitir apenas acessos autorizados
usuários
o Útil para indivíduos e pequenas empresas com menos dispositivos, pois fornecem
proteção personalizada
Módulo 05 Página 225 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Forneça flexibilidade permitindo que aplicativos e máquinas virtuais (VMs) levem seus firewalls baseados em host
com eles quando forem movidos entre ambientes de nuvem
Desvantagens
o Fornecer menos segurança porque, se um invasor puder acessar um host, poderá desativar o firewall ou instalar
códigos maliciosos não detectados pela organização
o Deve ser substituído se a largura de banda exceder a taxa de transferência do firewall ou, caso contrário, mais
esforço será necessário para escalar todos os dispositivos se o número de hosts aumentar
Um firewall baseado em rede é um firewall baseado em hardware que pode ser usado para filtrar o tráfego de
entrada/saída na LAN interna. Por exemplo, pfSense, Smoothwall, CISCO SonicWall, Netgear, ProSafe, D-Link, etc.
Esse firewall funciona no nível da rede e filtra os dados que atravessam a rede, formando um perímetro de rede
como a primeira linha de defesa. Ele funciona roteando o tráfego para servidores proxy, que gerenciam a transmissão
de dados na rede.
Vantagens
o Como qualquer tráfego malicioso existiria na barreira da rede, eles podem fornecer maior
segurança do que os firewalls baseados em host podem fornecer a um host.
o Eles oferecem alta disponibilidade (uptime) e sua segurança pode ser estendida além de um
rede de provedor de serviço único.
o Eles exigem uma força de trabalho limitada que pode ser necessária para gerenciar um ou dois conjuntos de
firewalls de rede.
Desvantagens
Módulo 05 Página 226 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 227 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tecnologias de firewall
Os firewalls são projetados e desenvolvidos com a ajuda de diferentes serviços de firewall
Próxima geração
Tecnologias tradicionais de firewall Firewall (NGFW)
Tecnologias de firewall
Os firewalls são projetados e desenvolvidos com a ajuda de diferentes serviços de firewall. Cada
serviço de firewall fornece segurança dependendo de sua eficiência e sofisticação. Existem
diferentes tipos de tecnologias de firewall dependendo de onde a comunicação está ocorrendo,
onde o tráfego é interceptado na rede, o estado que é rastreado e assim por diante. Considerando
as capacidades de diferentes firewalls, é fácil escolher e colocar um firewall adequado para
atender os requisitos de segurança da melhor maneira possível. Cada tipo de firewall tem suas vantagens.
Módulo 05 Página 228 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Várias tecnologias de firewall estão disponíveis para as organizações implementarem suas medidas de segurança. Às
vezes, as tecnologias de firewall são combinadas com outras tecnologias para criar outra tecnologia de firewall. Por
exemplo, NAT é uma tecnologia de roteamento; no entanto, quando combinada com um firewall, é considerada uma
tecnologia de firewall.
ÿ Filtragem de Pacotes
ÿ Proxy de Aplicação
Os níveis de segurança dessas tecnologias variam de acordo com seus níveis de eficiência. Uma comparação dessas
tecnologias pode ser feita permitindo que elas passem pela camada OSI entre os hosts. Os dados passam pelas
camadas intermediárias de uma camada superior para uma camada inferior.
Cada camada adiciona informações adicionais aos pacotes de dados. A camada inferior agora envia as informações
obtidas através da rede física para as camadas superiores e depois para o seu destino.
Módulo 05 Página 229 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A filtragem de pacotes é o recurso mais básico de todos os firewalls modernos. Os firewalls de filtragem de pacotes
funcionam no nível de rede do modelo OSI (ou na camada IP do TCP/IP). Eles geralmente fazem parte de um
roteador. A maioria dos roteadores oferece suporte à filtragem de pacotes. Em um firewall de filtragem de pacotes,
cada pacote é comparado a um conjunto de critérios antes de ser encaminhado. Dependendo do pacote e dos
critérios, o firewall pode:
ÿ Solte o pacote
Eles avaliam cada pacote com base nas informações do cabeçalho do pacote, incluindo endereço IP de origem,
endereço IP de destino, porta de origem, porta de destino, protocolo etc. Se as informações do cabeçalho do
pacote não corresponderem ao conjunto de regras, o firewall descartará o pacote; ou então, é encaminhado. As
regras podem incluir endereço IP de origem e destino, número de porta de origem e destino ou o protocolo usado.
Quando um pacote de dados passa pela rede, um filtro de pacotes verifica o cabeçalho do pacote e o compara
com a tabela de bypass de conexão que mantém um registro das conexões que passam pela rede. A vantagem
dos firewalls de filtragem de pacotes é seu baixo custo e baixo impacto no desempenho da rede.
O tráfego é filtrado com base em regras especificadas, incluindo endereço IP de origem e destino, tipo de pacote
e número da porta. O tráfego desconhecido só é permitido até o nível 2 da pilha de rede.
Módulo 05 Página 230 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Existem três métodos disponíveis para configurar filtros de pacotes após determinar o conjunto de regras de
filtragem:
ÿ Regra 1: Esta regra afirma que aceita apenas os pacotes que são seguros, descartando
o resto.
ÿ Regra 2: Esta regra afirma que o filtro descarta apenas os pacotes que são confirmados
inseguro.
ÿ Regra 3: Esta regra afirma que, se não houver instruções específicas fornecidas para qualquer pacote em
particular, o usuário terá a chance de decidir o que fazer com o pacote.
Um pacote de rede pode passar pela rede entrando na conexão previamente estabelecida. Se um novo pacote
entrar na rede, o firewall verifica os pacotes e verifica se o novo pacote segue/atende às regras. Em seguida, ele
encaminha o pacote para a rede e insere a nova entrada de pacote de dados da conexão na tabela de bypass.
Um firewall de filtragem de pacotes não é caro e nem afeta o desempenho da rede. A maioria dos roteadores
oferece suporte à filtragem de pacotes. A filtragem de pacotes é uma medida de segurança de nível relativamente
baixo que pode ser ignorada por técnicas como falsificação de pacotes, em que o invasor cria ou substitui
cabeçalhos de pacotes que não são filtrados pelo firewall.
Como pode ser julgado pelo nome, os firewalls baseados em filtro de pacotes se concentram em pacotes
individuais e analisam suas informações de cabeçalho, bem como o caminho direcionado. Os firewalls de
filtragem de pacotes tradicionais tomam suas decisões com base nas seguintes informações:
ÿ Endereço IP de origem: permite que o firewall verifique se o pacote está vindo de uma fonte válida ou
não. O cabeçalho IP armazena as informações sobre a origem do pacote e o endereço refere-se ao
endereço IP do sistema de origem.
ÿ Endereço IP de destino: permite que o firewall verifique se o pacote está indo para o destino correto; o
cabeçalho IP do pacote armazena o endereço de destino do pacote.
Módulo 05 Página 231 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Porta TCP/UDP de origem: permite que o firewall verifique a porta de origem do pacote.
ÿ Porta TCP/UDP de destino: permite que o firewall verifique a porta de destino de um pacote para permitir ou
negar os serviços.
ÿ Bits de código TCP: Isso permite que o firewall verifique se o pacote tem um SYN, ACK ou
outros bits definidos para conexão.
ÿ Protocolo em uso: Os pacotes carregam protocolos, e este campo verifica o protocolo usado e
decide permitir ou negar pacotes associados.
ÿ Direção: Isso permite que o firewall verifique se o pacote está vindo de um firewall de filtro de pacotes ou
saindo dele.
Módulo 05 Página 232 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
IP
Proibido
Eles monitoram o handshake TCP entre
Permitido
os pacotes para determinar se uma sessão Interface de Rede
solicitada é legítima ou não
Os gateways de nível de circuito funcionam na camada de sessão do modelo OSI ou na camada TCP do TCP/IP.
Eles monitoram o handshake TCP entre os pacotes para determinar se uma sessão solicitada é legítima ou não.
As informações passadas para um computador remoto por meio de um gateway de nível de circuito parecem ter
se originado do gateway.
O firewall do gateway em nível de circuito usa os dados presentes nos cabeçalhos dos pacotes de dados para
executar sua ação. Não é um firewall autônomo, mas funciona em coordenação com outros firewalls, como filtro
de pacotes e proxy de aplicativo, para executar suas funções. As informações passadas para um computador
remoto por meio de um gateway de nível de circuito parecem ter se originado do gateway. Assim, os firewalls de
gateway em nível de circuito têm a capacidade de ocultar as informações da rede que protegem. Esses firewalls
são relativamente baratos.
O tráfego é filtrado com base em regras de sessão especificadas, como quando uma sessão é iniciada por um
computador reconhecido. O tráfego desconhecido só é permitido até o nível 3 da pilha de rede.
Módulo 05 Página 233 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Se um sistema deseja visualizar informações sobre o outro sistema, ele envia uma solicitação ao
segundo sistema e o firewall do gateway em nível de circuito intercepta essa solicitação. O firewall
encaminha o pacote para o sistema destinatário com um endereço diferente. Após o primeiro
sistema receber a resposta, o firewall verifica se a resposta corresponde ao endereço IP do sistema
inicial. Se a resposta corresponder, o firewall encaminha o pacote, caso contrário, ele o descarta.
Vantagens
ÿ Oculta dados da rede privada
ÿ Não filtra pacotes individuais
ÿ Não requer um servidor proxy separado para cada aplicativo
ÿ Fácil de implementar
Desvantagens
ÿ Não é possível digitalizar conteúdos ativos
Módulo 05 Página 234 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Como eles examinam os pacotes na camada do aplicativo, eles podem filtrar comandos específicos do
aplicativo, como http:post e get
ÿ Em termos simples, um gateway de nível de aplicativo pode ser configurado para ser um proxy da web que
não permitirá qualquer FTP, gopher, Telnet ou outro tráfego através
Proibido
Interface de Rede Permitido
Os gateways de nível de aplicativo podem filtrar pacotes na camada de aplicativo do modelo OSI. À medida que
examinam os pacotes na camada do aplicativo, eles podem filtrar comandos específicos do aplicativo, como
http:post e get. Em termos simples, um gateway de nível de aplicativo pode ser configurado para ser um proxy da
web que não permitirá nenhum FTP, gopher, Telnet ou outro tráfego.
Um firewall de gateway em nível de aplicativo controla entrada, saída e/ou acesso em um aplicativo ou serviço. Ele
monitora e possivelmente bloqueia as chamadas de entrada, saída ou serviço do sistema que não atendem à política
de firewall definida. Antes de permitir a conexão, ele avalia os pacotes de rede em busca de dados válidos na
camada de aplicação do firewall.
O tráfego é filtrado com base em regras de aplicativos especificados, aplicativos (por exemplo, navegador) e/ou um
protocolo (por exemplo, FTP) ou uma combinação de todos eles. O tráfego desconhecido só é permitido até o topo
da pilha de rede.
Módulo 05 Página 235 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A comunicação cliente e servidor não acontece diretamente; isso acontece apenas por meio de um servidor proxy. Este
servidor atua como um gateway para comunicações bilaterais e descarta pacotes de dados agindo contra as regras de
política do firewall.
ÿ Um firewall baseado em proxy solicita autenticação para passar os pacotes enquanto funciona no
camada de aplicação.
ÿ Pacotes de entrada ou saída não podem acessar serviços para os quais não há proxy. Em termos simples, o design
de um gateway de nível de aplicativo o ajuda a atuar como um proxy da Web e descartar pacotes como FTP,
gopher, Telnet ou qualquer outro tráfego que não deva ter permissão para passar.
ÿ Um proxy de cache de conteúdo otimiza o desempenho armazenando informações acessadas com frequência em
vez de enviar novas solicitações para transferências de dados repetitivas aos servidores.
Um firewall em nível de aplicativo verifica os pacotes que não cumprem as regras de filtragem. Os pacotes não autorizados
são descartados e os pacotes autorizados são encaminhados para a camada de aplicação do destino.
Módulo 05 Página 236 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proibido
Eles filtram pacotes na camada de
rede, determinam se os pacotes de Interface de Rede Permitido
Os firewalls de inspeção multicamadas com monitoramento de estado combinam todos os aspectos dos três
tipos anteriores de firewalls que foram discutidos. Eles filtram pacotes na camada de rede, determinam se os
pacotes de sessão são legítimos e avaliam o conteúdo dos pacotes na camada de aplicação. Eles são caros e
requerem pessoal competente para administrá-los. O firewall do filtro de pacotes supera sua incapacidade de
verificar os cabeçalhos dos pacotes usando a filtragem de pacotes com monitoramento de estado.
O tráfego é filtrado em três níveis, com base em uma ampla variedade de regras especificadas de filtragem de
aplicativos, sessões e pacotes. O tráfego desconhecido é permitido até o nível 2 da pilha de rede.
Módulo 05 Página 237 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esses firewalls eliminam a falta de transparência nos gateways de nível de aplicativo, pois permitem uma
conexão direta entre o cliente e o host. Esses firewalls usam algoritmos para examinar, filtrar e processar os
dados da camada de aplicativo em vez de usar proxies. Os firewalls de inspeção multicamadas com
monitoramento de estado têm muitas vantagens, como alto nível de segurança, melhor desempenho e
transparência para os usuários finais. Eles são bastante caros devido à sua complexidade.
ÿ Os firewalls multicamadas com estado podem lembrar os pacotes que passaram por eles anteriormente
e tomar decisões sobre pacotes futuros com base nessas informações.
Eles verificam os pacotes que não atendem às regras de filtragem e os descartam na camada de rede da
pilha de protocolos. Os outros pacotes encaminhados para a próxima camada passam por outra camada de
filtragem para confirmar se os pacotes estão na sessão correta. Os pacotes que atualmente não fazem parte
da sessão são descartados na camada TCP. Em seguida, os pacotes são filtrados na camada de aplicação,
permitindo ao usuário permitir apenas ações autorizadas no firewall.
Módulo 05 Página 238 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proxy de aplicativo
Rede corporativa
Inscrição
Firewall Hub/Roteador
Internet servidor proxy
ÿ Um proxy em nível de aplicativo
funciona como um servidor
proxy e filtra conexões para
serviços específicos
HTTPS
Proxy de aplicativo
Um proxy em nível de aplicativo funciona como um servidor proxy e filtra conexões para serviços específicos. Ele
filtra as conexões com base nos serviços e protocolos. Por exemplo, um proxy FTP permitirá apenas a passagem
do tráfego FTP, enquanto todos os outros serviços e protocolos serão bloqueados.
É um tipo de servidor que atua como uma interface entre a estação de trabalho do usuário e a Internet. Ele se
correlaciona com o servidor de gateway e separa a rede corporativa da Internet. Ele recebe solicitações de serviços
de usuários e responde apenas às solicitações originais. Um serviço de proxy é um aplicativo ou programa que
ajuda a encaminhar as solicitações do usuário (por exemplo, FTP ou Telnet) para os serviços reais. Os proxies
também são chamados de gateways no nível do aplicativo, pois renovam as conexões e atuam como um gateway
para os serviços. Os proxies são executados em um host de firewall que é um host dual-homed ou algum outro host
bastião para fins de segurança. Alguns proxies, denominados cache proxies, são executados com o propósito de
eficiência da rede. Eles mantêm cópias dos dados solicitados dos hosts que fazem proxy. Esses proxies podem
fornecer os dados diretamente quando vários hosts solicitam os mesmos dados. Os proxies de cache ajudam a
reduzir a carga nas conexões de rede, enquanto os servidores proxy fornecem segurança e cache.
Um serviço de proxy está disponível entre um usuário em uma rede interna e um serviço em uma rede externa
(Internet) e é transparente. Em vez de uma comunicação direta entre cada um, eles conversam com o proxy e ele
cuida de toda a comunicação entre o usuário e o serviço de Internet.
A transparência é a principal vantagem ao usar serviços de proxy. Para o usuário, um servidor proxy apresenta a
ilusão de que está lidando diretamente com o servidor real, enquanto o servidor real pensa que está lidando
diretamente com o usuário.
Módulo 05 Página 239 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens
ÿ Os serviços de proxy podem ser bons no registro porque podem entender os protocolos de aplicativos
e permitir o registro de maneira eficaz.
ÿ Os serviços de proxy reduzem a carga nos links de rede, pois são capazes de armazenar em cache cópias
de dados solicitados com frequência e permitem que sejam carregados diretamente do sistema em vez
da rede.
ÿ Os sistemas proxy executam a autenticação no nível do usuário, pois estão envolvidos na conexão.
Desvantagens
ÿ Os serviços proxy ficam atrás dos serviços não proxy até que um software proxy adequado seja feito
acessível.
Módulo 05 Página 240 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
IP privado IP Público
Endereço Endereço
Identificação IP: 192.168.168.2
A conversão de endereço de rede separa os endereços IP em dois conjuntos e permite que a LAN use
esses endereços para tráfego interno e externo, respectivamente. Um NAT ajuda a ocultar um layout de
rede interno e força as conexões a passarem por um ponto de estrangulamento. Funciona com a ajuda de
um roteador, auxiliando no envio de pacotes e modificando-os. Quando a máquina interna envia o pacote
para a máquina externa, o NAT modifica o endereço de origem do pacote específico para fazer parecer que
vem de um endereço válido. Da mesma forma, quando a máquina externa envia o pacote para a máquina
interna, o NAT modifica o endereço de destino para transformar o endereço visível no endereço interno
correto. Ele limita o número de endereços IP públicos que uma organização pode usar. Ele pode atuar como
uma técnica de filtragem de firewall, permitindo apenas as conexões originadas na rede interna e bloqueando
as conexões originadas na rede externa. Os NATs também podem modificar os números das portas de
origem e destino. Os sistemas NAT usam diferentes esquemas para traduzir entre endereços internos e
externos:
ÿ Atribuindo um endereço de host externo para cada endereço interno e sempre aplicando a mesma
tradução. Isso torna as conexões mais lentas e não economiza espaço de endereço.
ÿ Alocar dinamicamente um endereço de host externo sem modificar os números de porta no momento
em que o host interno inicia uma conexão. Isso restringe o número de
hosts internos que podem acessar simultaneamente a Internet para o número de endereços externos
disponíveis.
ÿ Criação de um mapeamento fixo de endereços internos para endereços visíveis externamente e uso
de mapeamento de portas para que várias máquinas internas usem os mesmos endereços externos.
Módulo 05 Página 241 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Alocar dinamicamente um par de endereço de host externo e porta cada vez que um host interno inicia
uma conexão. Isso torna o uso mais eficiente possível dos endereços de host externo.
Vantagens
ÿ
Ele ajuda a ocultar a configuração da rede interna e, assim, reduz a vulnerabilidade da rede ou do
sistema contra ataques externos.
Desvantagens
ÿ O sistema NAT tem que adivinhar quanto tempo deve manter uma determinada tradução, o que é
impossível adivinhar corretamente todas as vezes.
Módulo 05 Página 242 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma VPN é uma rede privada construída usando redes públicas, como a Internet. Ele é usado para a transmissão segura
de informações confidenciais em uma rede não confiável, usando encapsulamento e criptografia. Ele estabelece uma
conexão ponto a ponto virtual por meio do uso de conexões dedicadas. O dispositivo de computação que executa o
software VPN só pode acessar a VPN.
Ele é usado para conectar redes de longa distância (WAN). A VPN permite que computadores de uma rede se conectem
a computadores de outra rede. Ele emprega criptografia e proteção de integridade para permitir a utilização de uma rede
pública como uma rede privada. Uma VPN executa criptografia e descriptografia fora do perímetro de filtragem de pacotes
para permitir a inspeção de pacotes provenientes de outros sites; ele encapsula pacotes enviados pela Internet. Uma VPN
combina as vantagens de redes públicas e privadas. Eles não têm relação com a tecnologia de firewall, mas os firewalls
são ferramentas convenientes para adicionar recursos de VPN, pois ajudam a fornecer serviços remotos seguros. Qualquer
VPN executada na Internet emprega os seguintes princípios:
ÿ Encapsula novos pacotes, que são enviados pela Internet para algo que reverte
o encapsulamento
ÿ Verificações de integridade
Módulo 05 Página 243 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens
ÿ Uma VPN oculta todo o tráfego que flui por ela, garante a criptografia e protege os dados contra
espionagem.
ÿ
Ele fornece acesso remoto para protocolos enquanto também defende contra ataques externos.
Desvantagens
ÿ Como uma VPN é executada em uma rede pública, o usuário permanece vulnerável a um ataque ao
Rede de destino.
Módulo 05 Página 244 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Controle de aplicativos
ÿ Inspeção antivírus
Um NGFW é um dispositivo de segurança de rede de terceira geração que fornece firewall, prevenção de invasões e controle de
aplicativos. Além dos recursos de firewall tradicionais, a tecnologia de firewall NGFW tem a capacidade de inspecionar o tráfego
com base no conteúdo do pacote. Ele oferece filtragem de pacotes e tomada de decisão baseada em proxy nas camadas 3 e 4.
Também expande sua proteção na camada de aplicativo (camada 7).
Características do NGFW
ÿ Inspeção Estatal
ÿ IPS integrado
Módulo 05 Página 245 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Controle de aplicativos
ÿ Inspecção antivírus
Vantagens
ÿ Segurança no nível do aplicativo: fornece funções de segurança do aplicativo, como IDS e IPS, para filtragem
aprimorada do conteúdo do pacote.
ÿ Acesso ao console único: Pode ser acessado a partir de um único console enquanto o tradicional
firewalls requerem instalação e configuração manual.
ÿ Infraestrutura simplificada: atua como o único dispositivo autorizado para gerenciar e atualizar o protocolo de
segurança.
ÿ Uso ideal da velocidade da rede: em firewalls tradicionais, a velocidade da rede diminui com o aumento do protocolo
e dos dispositivos de segurança, enquanto com o NGFW o rendimento potencial é alcançado de forma consistente,
independentemente do aumento no número de protocolos e dispositivos de segurança.
ÿ Proteção antivírus, ransomware e spam e segurança de endpoint: os NGFWs vêm como pacotes completos com
antivírus, proteção contra ransomware e spam e segurança de endpoint. Portanto, não há necessidade de ferramentas
separadas para monitorar e controlar ameaças cibernéticas.
ÿ Capacidade de implementar o acesso baseado em função: o NGFW detecta a identidade do usuário, o que ajuda a
organização a definir o acesso baseado em função a seus dados e conteúdo. Ele também pode trabalhar com
diferentes funções de usuário e limitar o escopo de acesso de um usuário/grupo.
Módulo 05 Página 246 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recursos de firewall
Controla o tráfego
Recursos de firewall
Esteja ciente dos recursos de um firewall antes de planejar a implementação. Ao conhecer os recursos de diferentes
tipos de firewalls, você poderá decidir qual tipo implementar ou se um controle ou solução de segurança diferente
atende melhor às suas necessidades.
ÿ Um firewall examina todo o tráfego que passa por ele para ver se ele atende ao conjunto de regras do firewall
critério.
Módulo 05 Página 247 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ
Ele permite apenas o tráfego explicitamente permitido pelas regras; todo o outro tráfego é normalmente negado por
padrão.
ÿ
Ele filtra o tráfego de entrada e saída.
ÿ
Ele examina cada pacote que passa pela rede e decide se envia o pacote ao destino ou não.
ÿ
Ele gerencia o acesso público a recursos de rede privada, como aplicativos de host.
ÿ
Ele registra todas as tentativas de entrar na rede privada e aciona um alarme quando há uma tentativa de entrada hostil
ou não autorizada.
ÿ Os firewalls funcionam como filtros e ajudam na prevenção do fluxo de pacotes inseguros para o privado
rede.
ÿ As funções do firewall incluem defesa de gateway, execução de políticas de segurança definidas, ocultação e proteção de
endereços de rede interna, relatórios de ameaças e atividades e segregação de atividades entre redes confiáveis.
Módulo 05 Página 248 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Limitações do Firewall
1 2 3 4
Um firewall não impede Um firewall não protege Um firewall não pode Um firewall não é uma
a rede de ataques a rede contra ataques fazer nada se o alternativa ao antivírus
backdoor internos ou antimalware
design e a configuração
da rede estiverem com defeito
5 6 7 8
Um firewall não impede Um firewall não Um firewall não impede Um firewall não
novos vírus pode impedir o uso indevido de bloqueia ataques de um
ameaças de engenharia social senhas nível mais alto da
pilha de protocolo
Limitações do Firewall
Nunca ignore as limitações de um firewall. Implementar um firewall sem entender suas limitações pode dar uma falsa
sensação de segurança. A implantação de uma solução de firewall que não foi projetada para uma determinada tarefa
pode não abordar os riscos de segurança enfrentados pela organização.
Compreender os diferentes tipos de firewalls e analisar as limitações de cada tipo ajudará a equilibrar efetivamente a
segurança com usabilidade, desempenho e custo.
ÿ Um firewall não protege a rede contra ataques backdoor. Por exemplo, um funcionário insatisfeito que coopera
com um invasor externo.
ÿ Um firewall não pode fazer nada se o design e a configuração da rede estiverem com defeito
ÿ Um firewall não impede novos vírus. Os firewalls são incapazes de proteger totalmente o
rede de todos os tipos de vírus de dia zero que podem tentar contorná-los.
ÿ Um firewall não pode impedir ameaças de engenharia social. Eles não podem proteger a rede contra engenharia
social, insiders e ataques baseados em dados, nos quais o invasor envia links e e-mails maliciosos para
funcionários dentro da rede.
Módulo 05 Página 249 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os firewalls podem impedir que os usuários acessem serviços valiosos, como FTP, Telnet, NIS, etc.
e às vezes restringem o acesso à Internet também.
ÿ Os firewalls concentram a segurança em um único ponto, o que torna outros sistemas dentro do
rede propensa a ataques de segurança.
ÿ Às vezes, os firewalls têm menos velocidade de computação do que sua interface de rede. Isso pode criar um
problema quando um host com uma interface de rede é mais rápido que o processador interno do firewall.
Módulo 05 Página 250 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O processo ajuda a minimizar quaisquer problemas imprevistos e identificar quaisquer armadilhas potenciais desde o início
Ao implementar um firewall para a rede, as organizações devem planejar seu posicionamento com
Planejamento antecedência
Foca principalmente se as regras de firewall são definidas de acordo com as ações executadas pelo
teste firewall
Uma abordagem em fases para implantar vários firewalls em uma rede ajuda a detectar e resolver
Implantando problemas relacionados a políticas conflitantes
Gerenciando e Inclui a manutenção da arquitetura de firewall, políticas, software e outros componentes implantados na
rede
mantendo
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Uma abordagem baseada em fases deve ser usada para implementar e implantar um firewall. Use um processo
passo a passo para garantir uma implementação e implantação de firewall bem-sucedidas. O uso de uma abordagem
de cinco fases para implementação e implantação minimiza problemas imprevistos e identifica possíveis armadilhas.
As fases envolvidas na implementação e implantação de um firewall incluem planejamento, configuração, teste,
implantação e gerenciamento e manutenção.
ÿ Em seguida, teste o protótipo do firewall e seu ambiente após configurar o firewall com sucesso. Avalie sua
funcionalidade, desempenho, escalabilidade e segurança quanto a possíveis vulnerabilidades e problemas
nos componentes.
ÿ Depois de resolver todos os problemas encontrados durante a fase de teste, implante o firewall em
a rede.
ÿ Depois de implantar o firewall com êxito, monitore a manutenção de componentes e resolva problemas
operacionais durante todo o seu ciclo de vida e considere a incorporação de aprimoramentos ou alterações
significativas quando necessário.
ÿ Planejamento: Ao implementar um firewall para a rede, as organizações devem planejar seu posicionamento
com antecedência. É fundamental realizar uma avaliação de risco de segurança para saber onde uma
ameaça à rede provavelmente se originaria e os motivos por trás dela.
Módulo 05 Página 251 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dependendo da origem potencial das ameaças, um layout para implementação de firewall deve ser
construído. As organizações devem determinar se precisam implementar um firewall para impor as novas
políticas de segurança.
Se uma organização está pensando em implementar um firewall, lembre-se de delinear uma política de
segurança consistente com base na avaliação de risco. A política de segurança deve determinar como a
comunicação básica ocorrerá no firewall, onde o firewall deve ficar e como configurá-lo.
ÿ Teste: Testar um firewall envolve examiná-lo em busca de bugs. O teste de implementação do firewall foca
principalmente se as regras do firewall são definidas de acordo com as ações executadas pelo firewall. O
teste de firewall aumenta a confiabilidade dos produtos que usam o firewall.
ÿ Implantação: É necessário garantir que o firewall seja implantado de acordo com as políticas de segurança
da organização. Também é necessário alertar os usuários sobre a implantação do firewall. Da mesma
forma, a política de segurança do firewall deve ser adicionada à política geral da rede e todas as alterações
de configuração durante a implementação devem ser incluídas. Empregar uma abordagem em fases para
implantar vários firewalls em uma rede ajuda a detectar e resolver problemas relacionados a políticas
conflitantes.
Módulo 05 Página 252 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O Iptables vem pré-instalado em qualquer distribuição Linux. No entanto, você pode atualizá-lo/instalá-lo com o comando sudo apt-get install iptables
Bloqueando Ataque de Varredura de Natal iptables -A INPUT -p tcp --tcp-flags ALL -j DROP
Os firewalls baseados em host fornecem segurança aprimorada contra ameaças. Os sistemas Linux suportam um filtro de
pacotes baseado em kernel que é adequado para usar firewalls baseados em host.
Módulo 05 Página 253 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Iptables
Iptables é um utilitário de firewall de linha de comando que pode permitir ou negar tráfego. O Iptables é pré-instalado
em um sistema Linux. Para atualizar ou instalar o iptables, o usuário precisa recuperar o pacote iptables usando o
comando:
Cada pacote que passa pelo sistema de filtragem é atribuído a uma tabela apropriada, dependendo das tarefas
executadas pelo pacote. A tabela contém cadeias que exibem os detalhes do destino do pacote. As tabelas podem ser
usadas para criar regras e o usuário tem a facilidade de criar suas próprias chains e vinculá-las a partir das chains
internas. Isso facilita a capacidade de criar regras complexas. No entanto, o usuário precisa estar alerta extra ao usar o
comando iptables , pois qualquer pequeno erro no comando pode bloquear o sistema e pode exigir que o usuário corrija
o erro manualmente.
ÿ Entrada: A cadeia de entrada verifica as conexões de entrada e seu comportamento. Iptables compara o IP
endereço e porta da conexão de entrada para uma regra na cadeia.
Módulo 05 Página 254 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Verifique as regras de uma tabela específica usando o comando # iptables -t nat -L -v –n.
ÿ Bloqueie uma porta específica no firewall iptables usando o comando # iptables -A OUTPUT -p
tcp --dport xxx -j DROP.
Módulo 05 Página 255 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UFW
UFW (firewall descomplicado) é uma interface para iptables. Para iniciantes, é difícil usar o iptables para configurar
um firewall. O UFW pode ajudá-los simplificando o processo de configuração de um firewall para tornar o sistema
seguro na rede. Habilite o UFW para proteger o tráfego incomum
Há duas maneiras de adicionar regras: denotando o número da porta e usando o nome do serviço.
Módulo 05 Página 256 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
(ou)
sudo ufw permitir 2000
permite http/tcp
Módulo 05 Página 257 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Adicione as regras ao arquivo /etc/ufw/before.rules (before6.rules para IPv6) para executar as regras.
Exclua as regras usando o número da porta ou o nome do serviço. Use delete no comando ao remover uma regra. Por
exemplo, o comando para excluir permitindo o tráfego HTTP da porta número 80 é sudo
ufw excluir permite 80.
Módulo 05 Página 258 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Defina o conjunto de regras do firewall para negar todo o tráfego e Monitore os logs do firewall em intervalos regulares. Inclua-os em
habilitar apenas os serviços necessários sua política de retenção de dados
ÿ Filtrar portas não utilizadas e vulneráveis em um firewall é um método eficaz e eficiente de bloquear pacotes e cargas
maliciosas. Existem diferentes tipos de filtros em firewalls, desde filtros de pacotes simples até filtros de aplicativos
complexos. A abordagem de defesa em profundidade usando filtros em camadas é uma maneira muito eficaz de
bloquear ataques.
ÿ A configuração de contas de administrador para executar um firewall depende dos requisitos de segurança da organização
e das diferentes funções administrativas exigidas pela organização. Uma função define o tipo de acesso concedido ao
administrador associado ao sistema de firewall. Se possível, crie um ID exclusivo para executar os serviços de firewall
em vez de executá-lo como administrador ou root.
ÿ Ao criar um conjunto de regras de firewall, as organizações devem primeiro determinar que tipo de tráfego é necessário
para executar os aplicativos aprovados. Em seguida, defina as regras de firewall para negar todo o tráfego e permitir
apenas os serviços de que a organização precisa.
ÿ Altere todas as senhas padrão e crie uma senha forte que não seja encontrada em nenhum
dicionário. Uma senha forte para garantir que os ataques de força bruta também falhem.
ÿ Os firewalls usam uma base de regras complexa para analisar aplicativos e determinar se o tráfego deve ser permitido ou
não. Configurar regras de firewall para conceder acesso a aplicativos importantes e bloquear o restante melhorará o
desempenho do firewall.
ÿ Certifique-se de que a data, hora e fuso horário no servidor syslog remoto correspondam à configuração de rede para
que o servidor envie mensagens syslog. Os dados do syslog não são úteis para solução de problemas se mostrarem
a data e hora erradas. Além disso, configurar
Módulo 05 Página 259 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
todos os dispositivos de rede para usar o protocolo de tempo de rede (NTP) garante relógios de sistema corretos e
sincronizados em todos os dispositivos de rede.
ÿ Monitore os logs do firewall em intervalos regulares, mesmo que a política de gerenciamento da empresa permita algum uso
privado de seus equipamentos. Monitorar quais sites os funcionários estão visitando, quais arquivos estão enviando e
recebendo e até mesmo o conteúdo de seus e-mails ajudará a manter a rede segura.
ÿ As ações de 'permissão' dos firewalls de registro oferecem maior percepção do tráfego mal-intencionado e as ações de
'negação' do firewall de rastreamento ajudam a identificar ameaças.
ÿ Faça backups regulares dos logs do firewall – pelo menos mensalmente – e armazene esses backups em dispositivos de
armazenamento secundário para referência futura ou para questões legais caso haja um incidente. A melhor maneira de
conseguir isso é usar uma função de agendamento no firewall. Faça backup do firewall antes e depois de fazer uma
alteração em suas regras e certifique-se de que o arquivo de configuração de backup seja utilizável.
ÿ Realize auditorias pelo menos uma vez por ano em firewalls para avaliar os padrões implementados para proteger os recursos
de TI da organização. Isso oferecerá um registro de todos os arquivos acessados pelos funcionários, incluindo tentativas
malsucedidas. Garantir que cada alteração seja contabilizada simplificará muito as auditorias e ajudará na solução de
problemas diários.
ÿ Os firewalls não podem proteger a rede contra ataques internos. As organizações são obrigadas a implementar diferentes
estratégias, como políticas que restringem o uso de dispositivos externos pelos funcionários na rede interna. Para evitar
qualquer ataque interno à rede, instale um software de monitoramento que ajudará a detectar qualquer atividade interna
suspeita.
Módulo 05 Página 260 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Remova regras não utilizadas ou desatualizadas 3 5 Agende auditorias regulares de segurança de firewall
Notifique o administrador da 2 6
política de segurança sobre alterações no firewall e Mantenha um registro das regras de firewall
documente-as e alterações de configuração
1 7
ÿ Remova regras não utilizadas ou desatualizadas. As organizações podem gerar relatórios de análise para avaliar
as regras de acesso do firewall. Isso auxilia na identificação de regras que se sobrepõem ou estão em conflito
com outras regras na política de regra de acesso. Exclua, mova ou edite regras conflitantes usando os dados do
relatório. As organizações podem desenvolver uma política de regras de acesso mais fácil de usar e mais eficiente
se eliminarem regras desnecessárias.
ÿ Implemente uma solução de fluxo de trabalho consistente para gerenciar e agilizar o processo de mudança de
firewall. Identifique riscos potenciais e corrija erros de configuração antes de fazer alterações no firewall. Reduza
o tempo necessário para avaliar e implementar as mudanças para dar suporte à rede.
Módulo 05 Página 261 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Não permitir conexões diretas entre o cliente interno e quaisquer serviços externos.
Módulo 05 Página 262 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores
proxy e seus benefícios
6 na rede
Segurança
Módulo 05 Página 263 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
01 02 03
Um sistema de detecção e prevenção de Se encontrado, o IDS alertará o O IDS verifica o tráfego de rede para
intrusão (IDS/IPS) é um dispositivo de segurança administrador sobre as atividades suspeitas assinaturas que correspondem a padrões
Servidor
Rede não confiável
IPS
Firewall IDS
Um Sistema de Detecção e Prevenção de Intrusão (IPS/IDPS) é um dispositivo de segurança de rede que inspeciona todo o
tráfego de rede de entrada e saída em busca de padrões suspeitos que possam indicar uma violação de segurança da rede
ou do sistema, identifica atividades suspeitas, se houver, registra informações da atividade suspeita, relata e tenta bloqueá-
lo. Um sistema de prevenção de intrusão (IPS) é uma extensão do sistema de detecção de intrusão (IDS). Um IPS pode
ÿ Enviar alarmes
O Sistema de Detecção de Intrusão (IDS) monitora todas as atividades de rede de entrada e saída e identifica padrões
maliciosos procurando por assinaturas de ataque conhecidas e avisa os profissionais de segurança sobre atividades suspeitas,
mas não as impede. Um IDS exibe um alerta, registra o evento ou chama um administrador, reconfigura a rede para mitigar
as consequências de invasões.
Módulo 05 Página 264 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
IDS x IPS
A principal diferença entre um IPS e um IDS é que o IPS é implementado em linha, mas o IDS fica de
lado. O tráfego direcionado por um IPS bloqueia ou permite os pacotes dependendo da política e
executa a correção, se necessário. No caso do IDS, ele se conecta por meio de um tap de rede e
monitora o tráfego, mas não pode atuar diretamente.
Módulo 05 Página 265 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comparação
Arquivo de assinatura
O alarme notifica o
Anomalia
Detecção administrador e o pacote
pode ser descartado
Coincide?
Regra de ação
As conexões são
cortar de
aquela fonte de IP
Protocolo Estatal
Análise
O pacote
Rede Corporativa Coincide?
foi descartado
Troca
IDS baseado em assinatura: Em um IDS baseado em assinatura, o tráfego de rede é verificado com
os bancos de dados que compreendem as invasões. Conforme mostrado na figura acima, se uma
assinatura de ataque corresponder a qualquer uma das assinaturas no banco de dados do arquivo de
assinatura, a conexão será desconectada do IP de origem, o pacote será descartado, a atividade será registrada,
Módulo 05 Página 266 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
e um alarme será iniciado. Como alternativa, o pacote será movido para a próxima etapa chamada etapa de detecção
de anomalias.
IDS baseado em anomalia: Um IDS baseado em anomalia usa técnicas estatísticas para comparar o tráfego
monitorado com o tráfego normal. Este método pode identificar novas formas de ataques que não estão no banco de
dados de assinaturas IDS e emitir um aviso. A desvantagem deste método é a emissão de mensagens falsas
positivas, que irão complicar o funcionamento de um administrador. Na etapa de detecção de anomalias, se a
assinatura do ataque corresponder, as conexões serão desconectadas do IP de origem, o pacote será descartado, a
atividade será registrada e um alarme será iniciado. Alternativamente, o pacote será enviado para análise de protocolo
stateful.
Uma análise de protocolo stateful é usada para detectar os desvios do estado do protocolo, que usa perfis
predeterminados com base nas definições de atividades maliciosas desenvolvidas pelo fornecedor. Na análise do
protocolo stateful, se o pacote for correspondido, as conexões serão desconectadas do IP de origem, os pacotes
serão descartados, a atividade será registrada e um alarme será iniciado. Como alternativa, o pacote será passado
para a rede por meio de um switch.
Um IDS realiza uma avaliação de um tráfego de rede para atividades ilegais e violações de políticas. Ele executa uma
avaliação de vulnerabilidade para garantir a segurança da rede. A seguir estão as características do IDS:
As organizações podem identificar a presença de ataques ou invasões de fora de uma rede, bem como invasões ou
uso indevido dentro dessa rede. Um IDS geralmente executa uma avaliação ou varredura de vulnerabilidade para
identificar as vulnerabilidades em uma rede e monitorar a segurança da rede.
Os firewalls impedem invasões em uma rede, mas não emitem um alerta sobre uma intrusão ou ataque. Por outro
lado, os sistemas IDS podem monitorar e identificar as invasões dentro de uma rede, bem como sinalizar um alarme
para o administrador.
Vantagens do IDS:
ÿ Um IDS também pode fornecer um log ou dados relativos ao ataque ou intrusão que podem ser posteriormente
usado para investigar o incidente.
Módulo 05 Página 267 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desvantagens do IDS:
ÿ
Nem sempre é possível para um IDS detectar invasões.
Módulo 05 Página 268 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Um IDS funciona de dentro da rede, ao contrário de um firewall ÿ Um IDS é colocado atrás do firewall, inspecionando
que apenas procura invasões fora da rede todo o tráfego, procurando por heurística e uma correspondência
de padrão para invasões
Confiar apenas em um firewall para segurança de rede pode fornecer uma falsa sensação de segurança. O firewall é
simplesmente implementado na política de segurança de TI para permitir ou negar o tráfego com base nas regras da
política. Ele permite a passagem de determinados pacotes ou nega o acesso se não atender a determinados critérios
especificados em uma regra. Ele não verifica o conteúdo do tráfego legítimo permitido com base no conjunto de regras.
Mesmo o tráfego legítimo pode conter conteúdo malicioso, que não é avaliado durante a inspeção por um firewall.
Por exemplo, um firewall pode ser configurado para passar o tráfego apenas para a porta 80 do servidor Web e para a
porta 25 do servidor de e-mail, mas não inspecionará a natureza do tráfego que flui por nenhuma dessas portas.
Esta é a razão pela qual um IDS é implementado. Um IDS inspecionará o tráfego legítimo proveniente do firewall e
conduzirá análises baseadas em assinaturas para identificar atividades maliciosas e disparar um alarme para notificar
os profissionais de segurança.
ÿ Um IDS funciona de dentro da rede, ao contrário de um firewall que só olha para fora da
rede para invasões
Módulo 05 Página 269 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Detecção de anomalia
ÿ Reconhecimento de Assinatura
O reconhecimento de assinatura, também conhecido como detecção de uso indevido, tenta identificar eventos
que indicam um abuso de um sistema ou rede. Essa técnica envolve primeiro a criação de modelos de possíveis
invasões e, em seguida, a comparação desses modelos com eventos recebidos para tomar uma decisão de
detecção. As assinaturas para IDS foram criadas sob a suposição de que o modelo deve detectar um ataque
sem perturbar o tráfego normal do sistema. Apenas os ataques devem corresponder ao modelo; caso contrário,
podem ocorrer falsos alarmes.
o A detecção de intrusão baseada em assinatura compara pacotes de rede de entrada ou saída com as
assinaturas binárias de ataques conhecidos usando técnicas simples de correspondência de padrões para
detectar invasões. Os invasores podem definir uma assinatura binária para uma parte específica do pacote,
como sinalizadores TCP.
o Assinaturas impróprias podem disparar alertas falsos. Para detectar o uso indevido, é necessário um grande
número de assinaturas. Quanto mais assinaturas, maiores são as chances de o IDS detectar ataques; no
entanto, o tráfego pode corresponder incorretamente às assinaturas, impedindo assim o desempenho do
sistema.
o Uma grande quantidade de dados de assinatura requer mais largura de banda de rede. O IDS compara as
assinaturas dos pacotes de dados com as do banco de dados de assinaturas. Um aumento em
Módulo 05 Página 270 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Detecção de Anomalias
o No método tradicional de detecção de anomalias, são mantidos os dados essenciais para a verificação das
variações no tráfego da rede. No entanto, na realidade, existe alguma imprevisibilidade no tráfego de rede e
há muitas variações estatísticas, tornando esses modelos imprecisos. Alguns eventos rotulados como
anomalias podem ser apenas irregularidades no uso da rede.
o Nesse tipo de abordagem, a incapacidade de construir um modelo completamente em uma rede regular é uma
preocupação. Esses modelos devem ser usados para verificar redes específicas.
A detecção de anomalias de protocolo depende das anomalias específicas de um protocolo. Ele identifica falhas
específicas na implantação do protocolo TCP/IP pelos fornecedores. Os protocolos são projetados de acordo com
as especificações RFC, que determinam os protocolos de comunicação padrão para permitir a comunicação
universal. O detector de anomalias de protocolo pode identificar novos ataques.
o As assinaturas de anomalias maliciosas estão se tornando cada vez mais comuns. Por outro lado, o protocolo
de rede está bem definido e está mudando lentamente. Portanto, o banco de dados de assinaturas deve ser
atualizado com frequência para detectar ataques.
o Os detectores de anomalia de protocolo são diferentes dos IDS tradicionais em termos de como eles
apresentar alarmes.
o A melhor maneira de apresentar alarmes é explicar qual parte do sistema de estado está comprometida. Para
isso, os operadores de IDS devem ter um conhecimento profundo do projeto de protocolo.
Módulo 05 Página 271 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Capacidades de IDS
ÿ O IDS fornece uma camada adicional de segurança para a rede sob a defesa em profundidade
princípio
ÿ O IDS faz várias coisas que os firewalls básicos não podem fazer ÿ
O IDS ajuda a minimizar a chance de perder ameaças de segurança que podem vir do firewall
evasões
Funções IDS/IPS
Capacidades de IDS
O IDS fornece uma camada adicional de segurança para a rede sob o princípio de defesa em profundidade.
O IDS faz várias coisas que os firewalls básicos não podem fazer. O IDS ajuda a minimizar a chance de
perder ameaças de segurança que podem vir de evasões de firewall.
A principal tarefa de um IDS é detectar uma tentativa de invasão em uma rede e emitir uma notificação
sobre o ocorrido. A detecção de ataques hostis depende de vários tipos de ações, incluindo prevenção,
monitoramento de intrusão, detecção de intrusão e resposta. A prevenção de invasões requer uma
combinação bem selecionada de luring e tricking com o objetivo de investigar ameaças.
Desviar a atenção do intruso dos recursos protegidos é outra tarefa. Um IDS monitora constantemente
tanto o sistema real quanto um possível sistema de armadilhas e examina cuidadosamente os dados
gerados para detecção de possíveis ataques.
Uma vez que um IDS detecta uma intrusão, ele emite alertas notificando os administradores. Uma vez que
a intrusão é detectada e notificada, os profissionais de segurança podem executar algumas contramedidas,
que podem incluir bloqueio de funções, encerramento de sessões, backup de sistemas, roteamento de
conexões para uma armadilha do sistema, infra-estrutura legal, etc. Um IDS é um elemento importante do
política de segurança.
Os alertas e logs de IDS são úteis na pesquisa forense de quaisquer incidentes e na instalação de patches
apropriados para permitir a detecção de futuras tentativas de ataque visando pessoas específicas ou
Recursos.
Módulo 05 Página 272 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um IDS funciona coletando informações sobre tentativas ilícitas feitas para comprometer a segurança e, em
seguida, verificando-as. Ele também registra os dados do evento e o profissional de segurança pode usar
esses dados para tomar medidas preventivas futuras e fazer melhorias na segurança da rede.
Funções IDS/IPS
Além de sua funcionalidade principal de identificação e análise de invasões, um IDS pode executar os
seguintes tipos de atividades relacionadas à detecção de invasões:
ÿ Registra informações sobre eventos: Um IDS anota todos os detalhes sobre os eventos monitorados
e encaminha as informações registradas para vários outros sistemas, como servidores de registro
centralizado, informações de segurança e gerenciamento de eventos (SIEM) e sistemas de
gerenciamento corporativo.
ÿ Geração de relatórios: O IDS gera relatórios que fornecem informações sobre eventos observados ou
qualquer evento suspeito que possa ter ocorrido.
Módulo 05 Página 273 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
antivírus Criptográfico
Produtos Sistemas
Ao contrário da crença popular e da terminologia empregada na literatura sobre IDSs, nem todos os dispositivos de
segurança se enquadram nessa categoria. Em particular, os seguintes dispositivos de segurança não devem ser
categorizados como IDSs:
ÿ Sistemas de registro de rede: Esses dispositivos são sistemas de monitoramento de tráfego de rede. Elas
detectar vulnerabilidades de DoS em uma rede congestionada.
ÿ Produtos antivírus: Esses dispositivos detectam software mal-intencionado, como vírus, cavalos de Tróia,
worms, bactérias, bombas lógicas etc.
Módulo 05 Página 274 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Não ter a política de resposta adequada e as melhores soluções possíveis para lidar com um
evento
Abaixo estão alguns erros e soluções alternativas para evitá-los para implantação efetiva de um IDS na rede:
ÿ Implantar um IDS se o planejamento da infraestrutura não for eficiente: Uma infraestrutura de rede
inadequada ou incompleta não ajudará no funcionamento de um IDS. Se o ajuste do IDS não seguir a
infraestrutura da rede, ele poderá desabilitar a rede inundando-a com alertas.
ÿ Sensibilidade incorreta: Após a implantação de um IDS, as organizações geralmente definem seu nível
para a sensibilidade mais alta, permitindo que o IDS detecte um grande número de ataques. No entanto,
isso também leva a um aumento no número de falsos positivos. Se um IDS gera um grande
Módulo 05 Página 275 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
número de alertas falsos positivos por dia, isso pode fazer com que o administrador perca um alerta real. A
longo prazo, ignorar esses alertas pode ser prejudicial para a segurança da rede.
ÿ Detectar uma intrusão não é suficiente: as organizações também devem criar uma política de resposta que
os administradores implementem em resposta a um incidente ocorrido. Essa política de resposta deve
responder às seguintes perguntas: O que é um evento normal e o que é um evento malicioso? Qual é a
resposta para cada evento que gera um alerta?
A pessoa que analisa os alertas deve estar ciente desse plano de ação.
ÿ NIDS sem IPsec: Uma infraestrutura que estabeleceu um NIDS sem protocolos de rede IPsec torna a rede
mais vulnerável a invasões. Um NIDS escuta todo o tráfego que detecta e então compara a legitimidade do
tráfego. Se encontrar tráfego criptografado, ele só poderá executar a análise em nível de pacote, pois o
conteúdo da camada de aplicativo está inacessível. Isso aumenta a vulnerabilidade da rede.
ÿ Ignorando o tráfego de saída: muitas organizações preferem proteger e monitorar apenas o tráfego de
entrada e ignorar o tráfego de saída. É importante colocar sensores IDS em toda a organização. Se a
configuração for econômica, a organização deve colocar os sensores próximos aos pontos de estrangulamento
da rede. Isso ajudará a monitorar o tráfego interno e externo da rede do host.
ÿ Implantação de sensores IDS em uma única NIC ou em vários links de dados: isso fará com que um
sensor IDS envie os dados na mesma interface em que está detectando. Isso pode levar a um possível
ataque, pois a interface reporta todos os dados ao banco de dados centralizado. Se um invasor obtiver
acesso a essa infraestrutura, poderá desativar o IDS e impedir novos alertas. O invasor também pode
interceptar os dados na interface e alterá-los. Esse problema pode ser resolvido conectando a interface a
uma rede de monitoramento dedicada.
Módulo 05 Página 276 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
não correspondem à lista principal de ÿ Um fluxo repentino de dados de registro ÿ Exibições gráficas incomuns ou mensagens
arquivos assinados
de texto
ÿ Arquivos ausentes ÿ Lacunas na contabilidade do sistema
desconhecidos
Tentativas de invasão em redes, sistemas ou sistemas de arquivos podem ser identificadas seguindo alguns indicadores gerais:
Ao observar os arquivos do sistema, a presença de uma intrusão pode ser identificada. Os arquivos do sistema
registram as atividades do sistema. Qualquer modificação ou exclusão dos atributos do arquivo ou do próprio arquivo
é um sinal de que o sistema foi alvo de um ataque:
o Se você encontrar arquivos/programas novos e desconhecidos em seu sistema, existe a possibilidade de que o
sistema tenha sido invadido. O sistema pode ser comprometido na medida em que pode, por sua vez,
comprometer outros sistemas de rede.
o Quando um intruso obtém acesso a um sistema, ele tenta aumentar os privilégios para obter acesso administrativo.
Quando o invasor obtém privilégios de administrador, ele pode alterar as permissões do arquivo, por exemplo, de
somente leitura para gravação.
o Modificações inexplicáveis no tamanho do arquivo também são uma indicação de um ataque. Certificar-se
você analisa todos os seus arquivos de sistema.
o A presença de arquivos suid e sgid não autorizados em seu sistema Linux que não correspondem
sua lista principal de arquivos suid e sgid pode indicar um ataque.
o Você pode identificar nomes de arquivos desconhecidos em diretórios, incluindo arquivos executáveis com
extensões estranhas e extensões duplas.
Módulo 05 Página 277 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Invasões de Rede
o Solicitações de conexão de IPs diferentes daqueles no intervalo de rede, o que implica que um usuário não
autenticado (intruso) está tentando se conectar à rede
o Um fluxo repentino de dados de log, que pode indicar tentativas de ataques DoS, largura de banda
consumo e ataques DDoS
ÿ Intrusões do Sistema
o Processos desconhecidos
Módulo 05 Página 278 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Classificação IDS
Um IDS é classificado com base em uma abordagem, sistema protegido, estrutura, fonte de dados, comportamento e análise de tempo
Por favor, escreva seu grande título está aqui
Anomalia Assinatura
Detecção Detecção Centralizado distribuído IDS ativo ID passivo
Sistema Sistema
Sistema de agente
Classificação IDS
Geralmente, um IDS usa detecção baseada em anomalia e métodos de detecção baseados em assinatura para detectar
invasões. Um IDS é classificado com base em uma abordagem, sistema protegido, estrutura, fonte de dados,
comportamento e análise de tempo.
A classificação dos IDSs é mostrada na figura a seguir. Essa categorização depende das informações coletadas de um
único host ou segmento de rede, em termos de comportamento, com base na alimentação contínua ou periódica de
informações e da fonte de dados.
Módulo 05 Página 279 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Monitora padrões de pacotes de dados na rede e os compara com padrões de ataque de rede pré-
configurados, conhecidos como assinaturas ÿ Este método usa operações de comparação de strings
para comparar atividades em andamento , como um pacote ou uma entrada de log, com uma lista de
assinaturas
Vantagens Desvantagens
ÿ Detecta ataques com alarmes falsos mínimos ÿ Esta abordagem detecta apenas ameaças
conhecidas, o banco de dados deve ser
atualizado constantemente com novas
ÿ Pode identificar rapidamente o uso de uma
assinaturas de ataque
ferramenta ou técnica específica
ÿ Nesta abordagem, alarmes para atividades anômalas são gerados pela avaliação de padrões de rede, como que tipo de
largura de banda é usada, quais protocolos são usados e quais portas e quais dispositivos estão conectados uns aos outros
baseado em anomalia
ÿ Um IDS monitora a atividade típica para um determinado intervalo de tempo e então constrói as estatísticas para o
Detecção
tráfego de rede
ÿ Por exemplo: IDS baseado em anomalia monitora atividades para uso normal de largura de banda da Internet, falha de logon
tentativas, níveis de utilização do processador, etc.
IDS baseado em anomalia identifica comportamento de geração de falsos alarmes é alta devido ao comportamento
anormal na rede e detecta os sintomas de ataques imprevisível de usuários e redes
sem detalhes claros
ÿ A necessidade de criar um extenso conjunto de
ÿ As informações adquiridas pelos detectores de anomalias são eventos a fim de caracterizar o comportamento normal
mais usado para definir as assinaturas para detectores de
padrões
uso indevido
.
Copyright © de Copyright © de ECEC-Council -Council. Todos os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Módulo 05 Página 280 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Protocolo Estatal
Análise
Ele pode identificar sequências Para qualquer protocolo
imprevisíveis de comandos. Por exemplo, que realize autenticação, o IDS/IPS
ele pode identificar atividades como emitir rastreará o autenticador que está sendo
os mesmos comandos repetidamente ou usado para cada sessão e registrará o
comandos arbitrários sendo usados autenticador envolvido na atividade
suspeita
Também é conhecido como detecção de uso indevido. Monitora padrões de pacotes de dados na rede e os compara com padrões
de ataque de rede pré-configurados conhecidos como assinaturas. Uma assinatura é um padrão predefinido no tráfego em uma
rede. Assinaturas de tráfego normais denotam comportamento de tráfego normal. No entanto, as assinaturas de ataque são
maliciosas e prejudiciais à rede. Esses padrões são exclusivos e o invasor usa esses padrões para entrar na rede. Esse método usa
operações de comparação de strings para comparar atividades em andamento, como um pacote ou uma entrada de log, com uma
lista de assinaturas.
Vantagens
ÿ
Ele detecta ataques com alarmes falsos mínimos.
ÿ
Ele pode identificar rapidamente o uso de uma ferramenta ou técnica específica.
ÿ
Ele auxilia os administradores a rastrear rapidamente quaisquer possíveis problemas de segurança e iniciar os
procedimentos de tratamento de incidentes.
Desvantagens
ÿ Esta abordagem detecta apenas ameaças conhecidas, o banco de dados deve ser atualizado com novos
assinaturas de ataque constantemente.
ÿ
Ele utiliza assinaturas bem definidas que o impedem de detectar variantes comuns dos ataques.
Módulo 05 Página 281 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplos de assinaturas:
ÿ Uma tentativa de telnet com um nome de usuário 'root', que é uma violação da segurança corporativa
política.
ÿ Uma entrada de log do sistema operacional com um código de status 645 indica que o sistema de auditoria do host
está desabilitado.
O processo de detecção baseado em anomalias depende de observar e comparar os eventos observados com o
comportamento normal e então detectar qualquer desvio dele. O comportamento normal depende de fatores como usuários,
hosts, conexões de rede e/ou aplicativos. Esses fatores são considerados somente após o exame de uma determinada
atividade durante um período de tempo.
O comportamento normal do tráfego é baseado em vários atributos comportamentais, como atividade normal de e-mail,
número razoável de tentativas com falha, uso do processador, etc. Qualquer atividade que não corresponda ao
comportamento normal pode ser tratada como um ataque. Por exemplo, vários e-mails vindos de um único remetente ou
um grande número de tentativas de login com falha podem indicar um comportamento suspeito. Ao contrário da detecção
baseada em assinatura, a detecção baseada em anomalia pode detectar ataques previamente desconhecidos.
Nesta abordagem, os alarmes para atividades anômalas são gerados pela avaliação de padrões de rede, como que tipo de
largura de banda é usada, quais protocolos são usados e quais portas e quais dispositivos estão conectados uns aos outros.
Um IDS monitora a atividade típica para um determinado intervalo de tempo e, em seguida, cria as estatísticas para o
tráfego de rede. Por exemplo: o IDS baseado em anomalia monitora atividades para uso normal de largura de banda da
Internet, tentativas de logon com falha, níveis de utilização do processador, etc.
Vantagens
ÿ As informações adquiridas pelos detectores de anomalias são usadas posteriormente para definir as assinaturas para
detectores de uso indevido
Desvantagens
ÿ A taxa de geração de falsos alarmes é alta devido ao comportamento imprevisível dos usuários e
redes
A comunicação em rede usa vários tipos de protocolos para trocar informações em diferentes camadas. Esses protocolos
definem o comportamento aceito. O IDS baseado em análise de protocolo estável detecta atividades suspeitas analisando
o desvio do tráfego de protocolo específico de seu comportamento normal. Usando essa análise, um IDS pode analisar os
protocolos e o tráfego da camada de rede, transporte e aplicação em relação ao seu comportamento normal.
Módulo 05 Página 282 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Certos IDSs podem especificar atividades adequadas para cada classe de usuários de acordo com
as informações do autenticador. Este método compara eventos observados com perfis predeterminados
com base em definições aceitas de atividade benigna para cada protocolo para identificar quaisquer
desvios do estado do protocolo. Ele pode identificar sequências imprevisíveis de comandos. Por
exemplo, ele pode identificar atividades como emitir os mesmos comandos repetidamente ou
comandos arbitrários sendo usados. Ele também detecta variações no comprimento do comando,
valores mínimos/máximos para atributos e outras possíveis anomalias. Para qualquer protocolo que
execute autenticação, o IDS/IPS rastreará o autenticador que está sendo usado para cada sessão e
registrará o autenticador envolvido na atividade suspeita.
Módulo 05 Página 283 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Em um sistema de detecção de uso indevido, primeiro o sistema de comportamento anormal é definido e depois o comportamento normal. O
sistema de detecção de uso indevido funciona de maneira diferente de um sistema de detecção de anomalias, pois possui uma abordagem
estática na detecção de ataques. Geralmente, os sistemas de detecção de uso indevido apresentam uma baixa taxa de falsos positivos, pois
as regras são predefinidas, como linguagens baseadas em regras, análise de transição de estado, sistema especialista, etc.
Módulo 05 Página 284 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens
Desvantagem
Um sistema de detecção de anomalias envolve a detecção de invasões na rede. Ele usa algoritmos para detectar
discrepâncias que ocorrem em uma rede ou sistema. Ele categoriza uma intrusão como normal ou anômala. A invasão de
anomalias é um processo de duas etapas em que a primeira etapa envolve a coleta de informações de como os dados
fluem e a segunda etapa envolve trabalhar nesse fluxo de dados em tempo real e detectar se os dados são normais ou não.
Ao implementar esse processo, um IDS baseado na detecção de anomalias protege os sistemas e redes de destino que
podem ser vulneráveis a atividades maliciosas. Anomalias no sistema podem ser detectadas por meio de inteligência
artificial, redes neurais, mineração de dados, método estatístico, etc.
Vantagens
ÿ
Ele detecta e identifica sondas no hardware de rede, fornecendo assim avisos antecipados sobre ataques.
ÿ
Ele tem a capacidade de detectar uma ampla gama de ataques na rede.
Desvantagens
ÿ
Se um comportamento de rede legítimo não fizer parte do modelo projetado, o sistema o detectará como anômalo.
Isso aumenta o número de alertas falsos positivos no sistema.
Módulo 05 Página 285 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tráfego Tráfego
IPS IPS
responde a invasões detectadas
invasões
Modo IDS Ativo Modo IDS Passivo
As técnicas de detecção de intrusão baseadas em comportamento assumem que uma intrusão pode ser detectada observando um
desvio do comportamento normal ou esperado do sistema ou usuários. O modelo de comportamento normal ou válido é extraído de
informações de referência coletadas por vários meios.
Posteriormente, o IDS compara esse modelo com a atividade atual. Quando um desvio é observado, um alarme é gerado.
Um IDS é categorizado com base em como ele reage a uma possível invasão. Ele funciona em um dos dois modos, ativo ou passivo,
com base no comportamento após um ataque.
Módulo 05 Página 286 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Detecta e responde a invasões detectadas. Um IDS ativo é configurado para bloquear automaticamente
ataques suspeitos sem qualquer intervenção do administrador. Tal IDS tem a vantagem de fornecer
ação corretiva em tempo real em resposta a um ataque. A ação exata difere por produto e depende da
gravidade e do tipo de ataque.
Modo IDS Passivo
Detecta apenas invasões. Um IDS passivo é configurado apenas para monitorar e analisar a atividade
do tráfego de rede e alertar o administrador sobre possíveis vulnerabilidades e ataques. Este tipo de
IDS não é capaz de executar nenhuma função de proteção ou correção por conta própria. Ele apenas
registra a intrusão e notifica um administrador, por e-mail ou pop-ups. Um administrador de sistema ou
outra pessoa terá que responder ao alarme, tomar as medidas apropriadas para interromper o ataque
e possivelmente identificar o intruso.
Módulo 05 Página 287 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uso indevido
Detecção
Desconhecido
Um IDS híbrido combina as vantagens da baixa taxa de falsos Recursos
Um IDS pode ser classificado com base no dispositivo ou rede para o qual oferece proteção. Existem principalmente
três tipos de tecnologias IDS nesta categoria, que incluem sistemas de detecção de intrusão de rede (NIDS), sistemas
de detecção de intrusão de host (HIDS) e sistemas híbridos de detecção de intrusão (IDS híbrido).
ÿ
Se protege a rede, é chamado de sistema de detecção de intrusão de rede (NIDS)
ÿ
Se protege um host, é chamado de sistema de detecção de intrusão de host (HIDS)
ÿ
Se protege a rede e um host, é chamado de sistema híbrido de detecção de intrusão
(ID Híbrido)
Módulo 05 Página 288 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O NIDS é usado para observar o tráfego de qualquer segmento ou dispositivo específico e reconhecer a ocorrência
de qualquer atividade suspeita na rede e nos protocolos de aplicação. O NIDS normalmente é colocado nos limites
entre redes, atrás de firewalls de perímetro de rede, roteadores, VPN, servidores de acesso remoto e redes sem fio.
O HIDS é instalado em um host específico e é usado para monitorar, detectar e analisar eventos que ocorrem nesse
host. Ele monitora as atividades relacionadas ao tráfego de rede, logs, processos, aplicativos, acesso a arquivos e
modificações no host. O HIDS é normalmente implantado para proteger informações muito confidenciais mantidas em
servidores acessíveis ao público.
Um IDS híbrido é uma combinação de HIDS e NIDS. Ele combina as vantagens da baixa taxa de falsos positivos de
um NIDS e da detecção baseada em anomalias de um HIDS para detectar ataques desconhecidos. Ele tem seu
agente instalado em quase todos os hosts da rede e tem a capacidade de trabalhar online com redes criptografadas
e armazenar dados em um único host.
Módulo 05 Página 289 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Consola IDS
Internet
Internet
Um IDS também é classificado como um IDS centralizado ou um IDS distribuído, esta classificação é
baseada na estrutura do IDS
Um sistema distribuído de detecção de intrusão (dIDS) consiste em vários IDSs em uma grande rede.
Esses sistemas se comunicam entre si ou com um servidor central que facilita uma
Módulo 05 Página 290 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
rede avançada de monitoramento, análise de incidentes e dados de ataque instantâneo. Ao ter esses
agentes cooperativos distribuídos em uma rede, os operadores de rede podem obter uma visão mais ampla
do que está ocorrendo em sua rede como um todo.
O dIDS também permite que uma empresa gerencie com eficiência seus recursos de análise de incidentes
centralizando seus registros de ataque e dando ao analista uma maneira de detectar novas tendências ou
padrões e identificar ameaças à rede em vários segmentos de rede.
Em um sistema centralizado, os dados são coletados de diferentes sites para um site central e o coordenador
central analisa os dados após uma intrusão. Tal IDS é projetado para sistemas centralizados. Em um IDS
centralizado, a análise de dados é realizada em um número fixo de locais, independentemente de quantos
hosts estão sendo monitorados. Como resultado, a estrutura centralizada de um IDS pode ser prejudicial
em uma rede de alta velocidade.
Módulo 05 Página 291 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ As informações sobre uma detecção de intrusão não ÿ As informações sobre uma detecção de intrusão fluem
não flui continuamente dos pontos de monitoramento para os continuamente dos pontos de monitoramento para os
mecanismos de análise, é simplesmente armazenado e encaminhado mecanismos de análise
ÿ Realiza análise da intrusão detectada ÿ Ele executa a análise da intrusão detectada em tempo real
desligada
O tempo de análise refere-se ao tempo decorrido entre a ocorrência de eventos e a análise desses eventos. Com base no tempo de
análise, um IDS pode ser classificado em dois tipos distintos: IDS baseado em intervalo e IDS baseado em tempo real.
A análise baseada em intervalo ou offline refere-se ao armazenamento das informações relacionadas à intrusão para análise
posterior. Esse tipo de IDS verifica o status e o conteúdo dos arquivos de log em intervalos predefinidos. A informação sobre uma
detecção de intrusão não flui continuamente dos pontos de monitoramento para os mecanismos de análise, ela é simplesmente
armazenada e encaminhada. Ele realiza a análise da intrusão detectada offline. IDSs baseados em intervalo são proibidos de
executar uma resposta ativa. O modo de lote era comum nas primeiras implementações de IDS porque seus recursos não suportavam
aquisição e análise de dados em tempo real.
As informações sobre uma detecção de intrusão fluem continuamente dos pontos de monitoramento para os mecanismos de análise.
Ele executa a análise da intrusão detectada em tempo real.
Um IDS baseado em tempo real é projetado para processamento on-the-fly e é a abordagem mais comum para um IDS baseado em
rede. Ele opera em um feed de informações contínuas. O IDS baseado em tempo real coleta e monitora informações de fluxos de
tráfego de rede regularmente. A detecção realizada por este IDS produz resultados rápidos o suficiente para permitir que o sistema
IDS tome uma ação que afete o progresso do ataque detectado. Ele também pode realizar a verificação on-line de eventos com a
ajuda do processamento instantâneo e respondê-los simultaneamente. Um IDS que usa esse tipo de processamento requer mais
RAM e um grande disco rígido devido ao alto armazenamento de dados necessário para rastrear todos os pacotes de rede online.
Módulo 05 Página 292 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Detecção de intrusão usando trilhas de auditoria Detecção de intrusão usando pacotes de rede
ÿ Trilhas de auditoria ajudam o IDS a detectar problemas ÿ Capturar e analisar pacotes de rede ajuda
de desempenho, violações de segurança e falhas em um IDS a detectar ataques conhecidos
aplicativos
Um IDS é classificado com base no tipo de fonte de dados usada para detectar invasões. Um IDS usa fontes de dados como trilha de
auditoria e pacotes de rede para detectar invasões. Dependendo da fonte de dados, um IDS pode ser categorizado em dois tipos:
detecção de intrusão usando trilhas de auditoria e detecção de intrusão usando pacotes de rede.
Uma trilha de auditoria é um conjunto de registros que fornecem evidências documentais da atividade de um sistema usando o
sistema e os processos de aplicativos e a atividade do usuário de sistemas e aplicativos. As trilhas de auditoria ajudam o IDS a
detectar problemas de desempenho, violações de segurança e falhas em aplicativos.
Os administradores devem evitar o armazenamento de relatórios de trilha de auditoria em um único arquivo para evitar que intrusos
acessem os relatórios de auditoria e façam alterações.
o Pesquisar eventos
Módulo 05 Página 293 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um pacote de rede é uma unidade de dados transmitida por uma rede para comunicação. Ele contém informações
de controle em um cabeçalho e dados do usuário. O cabeçalho do pacote contém o endereço da origem do pacote
e seu destino; o payload é o corpo do pacote que armazena o conteúdo original. O cabeçalho e a carga útil de um
pacote podem conter conteúdo malicioso enviado por invasores. Capturar esses pacotes antes de entrarem em seu
destino final é uma maneira eficiente de detectar esses ataques.
Módulo 05 Página 294 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes IDS
Um sistema IDS é construído em vários componentes.
O conhecimento de suas funções e posicionamento
é necessário para uma implementação eficaz do IDS
Componentes IDS
Sensores de rede
Sistemas de Alerta
Console de comando
Sistema de Resposta
Componentes IDS
Um sistema IDS é construído em vários componentes. O conhecimento de suas funções e posicionamento é necessário
para a implementação eficaz do IDS. Esses componentes são usados para coletar informações de uma variedade de
sistemas e fontes de rede e, em seguida, analisar as informações em busca de qualquer anormalidade. Os principais
componentes de um IDS estão listados abaixo.
ÿ Sistema de resposta: Um IDS usa este sistema para iniciar contramedidas em detecção
Atividades.
ÿ Banco de dados de assinaturas ou comportamentos de ataque: Uma lista de assinaturas detectadas anteriormente
armazenados em um banco de dados que auxiliam o IDS na detecção de intrusão.
Módulo 05 Página 295 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sensores de rede
Sensores de rede são componentes de hardware e software que monitoram o tráfego de rede e acionam alarmes
se alguma atividade anormal for detectada
ÿ Gateways de Internet
ÿ Dispositivos VPN
Sensores de rede
Sensores de rede são componentes de hardware e software que monitoram o tráfego de rede e acionam alarmes se
alguma atividade anormal for detectada. É um ponto primário de coleta de dados para o IDS. Os sensores de rede
coletam dados da fonte de dados e os transmitem aos sistemas de alerta.
O sensor integra-se com o componente responsável pela coleta de dados, como um gerador de eventos. Os sensores
de rede determinam a coleta de dados com base na política do gerador de eventos, que define o modo de filtragem
para informações de notificação de eventos.
A função do sensor é filtrar as informações e descartar quaisquer dados irrelevantes obtidos do conjunto de eventos
associado ao sistema protegido, detectando assim atividades suspeitas. Os sensores verificam o tráfego em busca
de pacotes maliciosos, acionam um alarme quando suspeitam que um pacote seja malicioso e então alertam o IDS.
Se um IDS confirmar que o pacote é malicioso, os sensores geram uma resposta automática para bloquear o tráfego
da origem do ataque.
Módulo 05 Página 296 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os sensores de rede devem ser colocados e localizados em pontos de entrada comuns em uma rede, como:
ÿ Portais de Internet
ÿ Entre conexões LAN
ÿ Dispositivos VPN
Módulo 05 Página 297 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Console de comando
ÿ O software do console de comando é instalado e Habilidade do console de comando
executado em um sistema separado dedicado ao IDS
Console de comando
O software do console de comando é instalado e executado em um sistema separado dedicado ao IDS. Ele
fornece uma interface de usuário para um administrador com a finalidade de receber e analisar eventos de
segurança, mensagens de alerta e arquivos de log. O console de comando avalia as informações de eventos de
segurança de diferentes dispositivos de segurança.
O IDS coleta todos os dados dos dispositivos de segurança e os analisa usando o console de comando.
Os administradores usam o console para analisar mensagens de alerta acionadas pelo sistema de alerta e
gerenciar arquivos de log. O console de comando permite que os administradores em grandes redes processem
grandes volumes de atividades e respondam rapidamente.
Um IDS coleta informações de dispositivos de segurança colocados em toda a rede e as envia para o console de
comando para avaliação. A instalação de um console de comando no sistema para outras finalidades, como
backup de arquivos e funções de firewall, tornará a resposta lenta aos eventos.
A instalação do console de comando em um sistema dedicado oferece o benefício de uma resposta rápida.
Cuidado: Se o console de comando estiver instalado em um sistema de computador não dedicado (por exemplo,
firewall, servidor de backup), ele diminuirá drasticamente a resposta a eventos de segurança, pois esses sistemas
podem estar ocupados lidando com outras tarefas.
Módulo 05 Página 298 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 299 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistemas de Alerta
Um sistema de alerta envia uma mensagem de alerta quando qualquer anomalia ou uso indevido é detectado
Sistemas de Alerta
Os sistemas de alerta acionam um alerta sempre que os sensores detectam atividade maliciosa na rede. O alerta
comunica ao IDS sobre o tipo de atividade maliciosa e sua origem. O IDS usa gatilhos para responder ao alerta e
tomar contramedidas. Um IDS pode enviar alertas usando os seguintes métodos:
ÿ Janelas pop-up
ÿ Mensagens de e-mail
ÿ Sons
ÿ Mensagens móveis
ÿ O sensor identificou corretamente um ataque, mas o ataque não atingiu seus objetivos.
Esses alertas são conhecidos como positivos não relevantes ou não contextuais.
ÿ O sensor identificou incorretamente um evento como um ataque. Este alerta representa incorreto
informações e é denominado como um falso positivo.
À medida que mais IDSs são desenvolvidos, os profissionais de segurança enfrentariam a tarefa de analisar um
número crescente de alertas resultantes da análise de diferentes fluxos de eventos. Além disso, os IDSs estão longe
de serem perfeitos e podem produzir falsos positivos e positivos não relevantes.
Módulo 05 Página 300 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 301 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistema de Resposta
Sistema de Resposta
Um sistema de resposta em um IDS é responsável pelas contramedidas quando uma intrusão é detectada. Essas
contramedidas incluem desconectar o usuário, desabilitar uma conta de usuário, bloquear o endereço de origem do
invasor, reiniciar um servidor ou serviço, fechar conexões ou portas e redefinir sessões TCP. Você também precisa
se envolver na decisão durante a resposta ao incidente e deve ter a capacidade de responder por conta própria. Você
precisa tomar decisões sobre como lidar com falsos positivos e quando uma resposta precisa ser escalada.
Os profissionais de segurança podem configurar um IDS para permitir que o sistema de resposta tome ações contra
invasões ou eles podem responder por conta própria. No caso de falsos positivos, os administradores precisam
responder para permitir esse tráfego na rede sem bloqueá-lo. Usando o sistema de resposta, os administradores
também podem definir o nível de contra-ação que um IDS deve tomar para responder à situação, dependendo da
gravidade da intrusão.
Um IDS tem a vantagem de fornecer ação corretiva em tempo real em resposta a um ataque. Ele age automaticamente
em resposta a uma intrusão detectada. A ação exata difere por produto e depende da gravidade e do tipo de ataque
detectado. Uma resposta ativa comum é aumentar o nível de sensibilidade do IDS para coletar informações adicionais
sobre o ataque e o invasor. Outra possível resposta ativa é fazer alterações na configuração de sistemas ou
dispositivos de rede, como roteadores e firewalls, para impedir a invasão e bloquear o invasor. Os profissionais de
segurança são responsáveis por determinar a resposta apropriada e garantir que a resposta seja executada.
Recomendação: Você não deve confiar apenas em um sistema de resposta IDS para uma intrusão
resposta.
Módulo 05 Página 302 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um IDS não tem a capacidade de tomar uma decisão, mas mantém um banco de dados de assinaturas e padrões de
ataque. Os profissionais de segurança devem exercer seu próprio julgamento ao avaliar alertas de segurança porque um
IDS não tem a capacidade de tomar esses tipos de decisões. No entanto, um IDS pode usar uma lista de assinaturas
detectadas anteriormente, que são armazenadas no banco de dados de assinaturas de ataque, para detectar atividades
suspeitas. O IDS compara a assinatura de pacotes no tráfego da rede com o banco de dados de assinaturas de ataques
conhecidos. O IDS bloqueia o tráfego se um pacote corresponder a uma assinatura armazenada no banco de dados.
Mantenha sempre o banco de dados atualizado para detectar novos tipos de ataques.
Um IDS usa logs de tráfego normais para comparar com o tráfego de rede em execução no momento para identificar
atividades suspeitas. Se identificar atividade de tráfego incomum, ele determina que o tráfego é suspeito e o bloqueia
antes que ele entre na rede.
Recomendação: Você precisa atualizar periodicamente o banco de dados de assinatura de ataque IDS.
Módulo 05 Página 303 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Internet Sensor
Firewall
IDS responde
Sensor
Administrador avalia danos
Um IDS opera de maneiras diferentes, dependendo da finalidade da configuração. Existe um processo generalizado para
detecção de intrusão. As etapas envolvidas no processo estão listadas abaixo.
A primeira etapa da detecção de intrusão ocorre antes que qualquer pacote seja detectado na rede e envolve a
instalação do banco de dados de assinaturas ou perfis de usuário junto com o software e hardware IDS. Esse banco
de dados ajuda o IDS a comparar o tráfego que passa pela rede.
Módulo 05 Página 304 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Reunir Dados
O IDS reúne todos os dados que passam pela rede usando sensores de rede. Os sensores monitoram todos
os pacotes permitidos pelo firewall e os repassam para a próxima linha de sensores. Se identificar pacotes
maliciosos, o sensor envia mensagens de alerta ao IDS.
O IDS compara todos os pacotes que entram na rede com as assinaturas armazenadas no banco de dados.
Uma mensagem de alerta é transmitida quando um pacote corresponde a uma assinatura de ataque ou se
desvia do uso normal da rede. A mensagem de alerta vai para o console de comando do IDS, onde o
administrador pode avaliá-la.
ÿ IDS Responde
Quando o console de comando recebe uma mensagem de alerta, ele notifica o administrador do alerta por
meio de uma janela pop-up e/ou mensagem de e-mail, dependendo de como está configurado para alertas.
No entanto, se o administrador o configurou para responder automaticamente, o IDS responde ao alerta e
executa uma ação contrária, como descartar o pacote, reiniciar o tráfego de rede e assim por diante.
O profissional de segurança deve monitorar os alertas de IDS e determinar se deve tomar alguma
contramedida ou não. O IDS envia alertas dependendo das informações do banco de dados e esses alertas
podem incluir falsos positivos. Os administradores precisam atualizar o banco de dados de assinaturas para
eliminar alarmes falsos positivos.
Os profissionais de segurança devem manter um registro de todos os eventos de intrusão detectados e revisá-
los para decidir quais contramedidas devem ser usadas para eventos futuros. Esses logs podem auxiliar o
profissional de segurança na atualização do banco de dados de assinaturas de ataque com novos eventos e
na detecção de futuros ataques.
Módulo 05 Página 305 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Implantação de IDS
baseado em rede e host
Módulo 05 Página 306 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Antes de implantar efetivamente um IDS, os profissionais de segurança devem entender sua infraestrutura de
rede e as políticas de segurança organizacional. Em seguida, planeje uma implantação de IDS em etapas na
rede. Uma implantação em etapas ajudará você a ganhar experiência e descobrir quanto monitoramento e
manutenção dos recursos de rede são realmente necessários. O monitoramento e a manutenção dos recursos
de rede variam de acordo com o tamanho da rede de uma organização.
A organização deve considerar uma implantação em estágios de um IDS. A implantação inicial de um IDS
requer alta manutenção. Então a organização pode pensar em implementar um IDS no próximo estágio. A
implantação em estágios ajuda a organização a descobrir exatamente onde precisa de segurança do IDS. A
implementação de um IDS na rede da organização é aconselhável quando o pessoal é capaz de lidar com os
alertas de IDS de diferentes sensores colocados em vários locais.
A implantação em etapas fornece aos administradores tempo suficiente para pensar e se acostumar com a
nova tecnologia. Essa abordagem em estágios é benéfica para aqueles que avaliam e investigam alertas de
IDS e logs de IDS.
Módulo 05 Página 307 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Localização
Backbones de rede
Localização Localização
Localização
Sub-redes críticas
Módulo 05 Página 308 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Local 1 Local 2
ÿ Coloque um sensor IDS atrás de cada ÿ Coloque um sensor IDS fora de um firewall
firewall externo e na rede externo
DMZ
Vantagens Vantagens
Local 3 Local 4
Vantagens Vantagens
tentativas de fora da
organização
Módulo 05 Página 309 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
sensores. Considere todas as opções possíveis e suas vantagens/desvantagens associadas ao colocar um IDS
baseado em rede.
Os profissionais de segurança precisam implantar sensores IDS de forma incremental em toda a rede.
O profissional de segurança deve considerar vários fatores, como a diferença de tráfego, registro, relatórios e alertas
recebidos ao implantar um novo sensor para um IDS.
O profissional de segurança deve colocar vários sensores de rede em locais estratégicos da rede. O posicionamento
dos sensores dependerá significativamente de qual tipo de recurso de rede precisa ser monitorado para intrusão.
Algumas organizações desejarão usar o IDS para monitorar recursos internos, como uma coleção sensível de máquinas
ou um departamento específico ou local físico. Nesse caso, o local mais lógico para o sensor IDS será no ponto de
estrangulamento entre esses sistemas e o restante da rede interna. Alguns dos pontos de entrada comuns críticos para
colocar sensores estão listados abaixo:
ÿ Em dispositivos VPN que conectam uma LAN interna a uma LAN externa
Se uma organização planeja monitorar invasões direcionadas a servidores internos, como servidores DNS ou servidores
de correio, ela deve colocar um sensor dentro do firewall no segmento que conecta o firewall à rede interna. A lógica
por trás disso é que o firewall impedirá a grande maioria dos ataques direcionados à organização, e o monitoramento
regular dos logs do firewall os identificará. O IDS no segmento interno detectará alguns desses ataques que conseguem
passar pelo firewall.
Se um firewall estiver instalado para proteger a rede, posicionar os sensores dentro do firewall é mais seguro do que
colocar um sensor fora do firewall em uma posição exposta à Internet. Se for colocado fora do firewall, pode se tornar
o principal foco de ataques. Um local mais seguro para colocar um sensor está atrás do firewall na DMZ.
Módulo 05 Página 310 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Local 1: Coloque um sensor IDS atrás de cada firewall externo e na rede DMZ.
O sensor colocado neste local pode detectar ataques de entrada. Também pode ser configurado para detectar
ataques de saída. O sensor é configurado para detectar os ataques menos sensíveis para evitar alarmes falsos.
Esse sensor é configurado para registrar apenas as tentativas de ataque, em vez de enviar alertas para eles.
Vantagens
o Ele pode ver os ataques que visam os servidores web ou FTP localizados na DMZ
Vantagens
Módulo 05 Página 311 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Local 3: Coloque um sensor IDS nos principais backbones da rede. O sensor colocado neste local é usado para
proteger a rede interna da organização. Ele detecta que um ataque pode ter contornado o firewall interno. Um
sensor neste local é capaz de detectar ataques de entrada e saída. Tal sensor é configurado para detectar
ataques de nível de impacto médio a alto.
Vantagens
ÿ Local 4: Coloque um sensor IDS em sub-redes críticas. O sensor neste local é usado para proteger hosts sensíveis
na rede, incluindo servidores críticos. Ele é capaz de detectar ataques de entrada e saída. Tal sensor é
configurado para detectar ataques de alto nível de impacto.
Vantagens
Módulo 05 Página 312 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Este tipo de IDS deve ser instalado e configurado em cada sistema crítico da rede
30
A implantação de um IDS baseado em host fornece uma camada adicional de segurança. Este tipo de IDS deve ser
instalado e configurado em cada sistema crítico da rede. Você deve considerar a instalação de um IDS baseado em host
em cada host da organização. Ao implantar um IDS baseado em host, é recomendável que ele tenha funções
centralizadas de gerenciamento e geração de relatórios, o que reduz a complexidade do gerenciamento de alertas de
um grande número de hosts.
A implantação de IDS baseado em host (HIDS) é feita com planejamento e cuidado adequados, pois a implantação em
um ambiente de grande escala tem o potencial de gerar vários alarmes falsos, que podem ser bastante difíceis de
gerenciar. A implantação inicial de um HIDS é feita apenas em servidores críticos.
Os profissionais de segurança devem considerar a implementação de um console de gerenciamento IDS antes de
adicionar hosts adicionais.
Se o profissional de segurança gerenciar confortavelmente o HIDS em servidores críticos no estágio inicial, então, e
somente então, ele poderá considerar a implantação do HIDS em todos os hosts restantes na rede.
Isso permite que o profissional de segurança forneça segurança no nível do host individual. No entanto, a implantação
do HIDS em todos os hosts da rede é bastante cara e requer software e manutenção adicionais, especialmente no caso
de uma implantação de HIDS em larga escala.
Módulo 05 Página 313 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um alerta é um evento graduado que notifica que um determinado evento (ou série de eventos) atingiu um limite
especificado e precisa de uma ação apropriada por uma parte responsável. Gera incidentes e/ou emite tickets,
indicando que algo está errado e requer atenção e monitoramento imediatos. Esse alerta pode ser feito de várias
maneiras, como envio de e-mails, geração de alertas na área de trabalho etc. Um alerta pode conter detalhes como o
tipo de evento, a duração desse evento, quando ocorreu, onde ocorreu, em qual dispositivo, e em qual sistema
operacional ou versão ele está sendo executado.
Os alertas são o domínio dos dispositivos de segurança e dos sistemas relacionados à segurança. No entanto, isso
não é fixo. Por exemplo, o IDS/IPS analisa todo o tráfego de rede de entrada e decide se uma conexão específica é
permitida ou não, com base no conteúdo do pacote. Se for identificado que uma conexão específica é maliciosa, ele
executará ações predefinidas ou gerará alertas para notificar o
usuários.
Módulo 05 Página 314 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de IDS
Alertas
Verdadeiro Positivo
ÿ Um IDS dispara um alarme quando ocorre um ataque legítimo
(Ataque - Alerta)
Falso positivo
ÿ Um IDS dispara um alarme quando nenhum ataque ocorreu
(Sem Ataque - Alerta)
Falso negativo
ÿ Um IDS não dispara um alarme quando ocorre um ataque legítimo
(Ataque - Sem Alerta)
Verdadeiro Negativo
ÿ Um IDS não dispara um alarme quando um ataque não ocorreu
(Sem Ataque - Sem Alerta)
Um IDS gera quatro tipos de alertas: Verdadeiro Positivo, Falso Positivo, Falso Negativo e Verdadeiro Negativo.
ÿ Verdadeiro Positivo (Ataque - Alerta): Um verdadeiro positivo é uma condição que ocorre quando um
evento aciona um alarme e faz com que o IDS reaja como se um ataque real estivesse em andamento.
O evento pode ser um ataque real, caso em que um invasor tenta comprometer a rede, ou pode ser um
exercício, caso em que o pessoal de segurança usa ferramentas de hacker para testar um segmento de
rede.
ÿ Falso positivo (sem ataque - alerta): um falso positivo ocorre se um evento acionar um alarme quando
nenhum ataque real estiver em andamento. Ocorre quando um IDS trata a atividade regular do sistema
como um ataque. Os falsos positivos tendem a tornar os usuários insensíveis aos alarmes e enfraquecer
suas reações a eventos de intrusão reais. Ao testar a configuração de um IDS, os administradores usam
falsos positivos para determinar se o IDS pode distinguir entre falsos positivos e ataques reais.
ÿ Falso Negativo (Ataque - Sem Alerta): Um falso negativo é uma condição que ocorre quando um IDS não
consegue reagir a um evento de ataque real. Essa condição é a falha mais perigosa, pois o objetivo de
um IDS é detectar e responder a ataques.
ÿ Verdadeiro Negativo (Sem Ataque - Sem Alerta): Um verdadeiro negativo é uma condição que ocorre
quando um IDS identifica uma atividade como um comportamento aceitável e a atividade é aceitável. Um
verdadeiro negativo significa ignorar com sucesso o comportamento aceitável. Não é prejudicial, pois o
IDS funciona conforme o esperado neste caso.
Módulo 05 Página 315 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Características do bem
Soluções IDS
01 Execute continuamente com menos intervenção humana
03 Resistente à subversão
ÿ As organizações devem ter um IDS que possa ser executado sem ou com intervenção humana mínima. A
configuração do sistema monitora e detecta todas as atividades suspeitas no sistema host. No entanto, os
administradores devem ter todos os privilégios de auditoria e monitoramento para que isso funcione.
ÿ Mesmo se o sistema host falhar ou travar, o IDS ainda deve funcionar de forma confiável. É aconselhável
configurar o IDS para que seja tolerante a falhas e não exija reconfiguração ou reinicialização toda vez que o
sistema host falhar. Além disso, deve ser capaz de monitorar a si mesmo para evitar qualquer dano.
ÿ Um IDS deve fornecer recursos para interromper e bloquear ataques. Esses ataques podem ocorrer a partir de
qualquer aplicativo ou software. Isso também envolve alertar o profissional de segurança por meio de
notificações online, móveis ou por e-mail. O método de notificação depende da configuração feita pelo
administrador.
ÿ Por ter recursos de coleta de informações, um IDS ajuda um profissional de segurança a detectar o tipo de
ataque, a origem do ataque e os efeitos que o ataque causou na rede. A coleta de evidências para uma
investigação forense cibernética é uma das características exigidas de um IDS.
ÿ
Em grandes organizações, um IDS é construído com um recurso à prova de falhas para ajudar a se esconder
na rede. Esse recurso ajuda a criar uma rede falsa para atrair intrusos e também para analisar as possibilidades
de diferentes tipos de ataques. Também ajuda na análise de vulnerabilidade da rede.
Módulo 05 Página 316 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Não é facilmente enganado. Um IDS deve ser capaz de detectar mudanças nos arquivos do sistema ou rede. O
recurso de verificação de arquivos em um IDS notifica o profissional de segurança se o intruso fez qualquer
tipo de alteração nos arquivos. O IDS deve relatar todas as atividades ocorridas na rede, pois isso auxilia o
profissional de segurança na hora de analisar as vulnerabilidades e corrigi-las.
ÿ Adaptado às necessidades específicas do sistema. Quando ocorrem mudanças recursivas na rede, um IDS deve
ser adaptável a essas mudanças. Isso também inclui a adaptação de diferentes mecanismos de defesa para
cada sistema diferente na rede.
ÿ Resistente à subversão.
Módulo 05 Página 317 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Compare os diferentes tipos de tecnologia e selecione a tecnologia mais apropriada para atender aos requisitos
ÿ Avalie os requisitos gerais que os produtos IDS terão de atender após a implantação ÿ O tamanho de uma
Capacidade de segurança ÿ A seleção de um IDS depende do ambiente e das políticas de uma organização, bem como da segurança atual
Requisitos e infraestrutura de rede
Requisitos de ÿ Avalie as características gerais de desempenho de um produto IDS avaliando sua capacidade de lidar com a rede
desempenho recursos de monitoramento de tráfego ou pacotes para NIDS e recursos de monitoramento de eventos para HIDS
Requisitos de
ÿ Os produtos precisam estar em conformidade com a política de gestão da organização para serem usados de forma eficaz
gerenciamento
Custos do ciclo de vida ÿ Os custos estimados do ciclo de vida dos produtos devem estar dentro do orçamento disponível
Os produtos IDS devem atender a determinados critérios para serem implantados em uma organização. Uma
organização deve comparar os diferentes tipos de tecnologia e, em seguida, selecionar a tecnologia mais adequada
para atender aos seus requisitos. Os produtos devem ser avaliados com base em requisitos organizacionais, como
os seguintes:
ÿ Requisitos gerais: Uma organização deve ter uma linha de base clara dos requisitos para um produto IDS.
As soluções IDS podem diferir em termos de recursos e serviços. A organização deve determinar qual
produto IDS atenderá melhor aos seus requisitos. Por exemplo, há situações em que um único produto IDS
pode não atender aos requisitos de uma organização. Este cenário incentiva o uso de vários produtos IDS.
Os produtos Wireless IDS têm certos requisitos gerais, como um método de detecção de anomalias e um
processo de conexão a outros componentes, que determinam se o produto pode atender aos requisitos da
empresa. Avalie os requisitos gerais dos produtos IDS para atender à pós-implantação. O número de
produtos IDS necessários também depende do tamanho da organização.
As organizações devem avaliar os requisitos de capacidade de segurança de IDS como uma linha de base
para a criação de um conjunto específico de critérios. Isso é obtido considerando o ambiente da
organização, as políticas de segurança e a infraestrutura de rede. É importante verificar e confirmar os
recursos de segurança de um produto IDS. Um produto IDS que não atenda aos recursos de segurança
necessários não tem utilidade como controle de segurança e um
Módulo 05 Página 318 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
profissional deve selecionar um produto diferente ou usar esse produto em combinação com outro controle de
segurança. O produto IDS deve apresentar recursos de segurança, como coleta de informações, registro,
detecção e prevenção.
ÿ Requisitos de desempenho: Avalie os produtos IDS com base em seu desempenho geral
características.
o IDS baseado em rede (NIDS): Este tipo de IDS tem a capacidade de monitorar e
tráfego de rede.
o IDS baseado em host (HIDS): Este tipo de IDS tem a capacidade de monitorar um determinado número
de eventos por segundo.
ÿ Requisitos de gestão: Os produtos precisam estar em conformidade com a política de gestão da organização
para oferecer desempenho suficiente. Se o produto não estiver em conformidade com a política da empresa,
será difícil manipulá-lo e fazê-lo funcionar de forma eficaz.
ÿ Custos do ciclo de vida: os produtos IDS são específicos do ambiente e pode ser uma tarefa tediosa para as
organizações quantificar o custo das soluções IDS. O custo do produto IDS deve ser proporcional ao orçamento
disponível da organização. Os custos estimados do ciclo de vida dos produtos IDS selecionados devem estar
dentro da faixa de financiamento disponível. Selecionar um IDS com base no custo é difícil, pois o ambiente, a
segurança e outros critérios de rede provavelmente afetarão o custo.
Módulo 05 Página 319 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Snort é um sistema de detecção de intrusão de rede de código aberto capaz de realizar análise de tráfego em tempo
real e registro de pacotes em redes IP. Ele pode executar análise de protocolo e pesquisa/correspondência de conteúdo
e é usado para detectar uma variedade de ataques e sondagens, como estouros de buffer, varreduras de portas furtivas,
ataques CGI, sondagens SMB e tentativas de impressão digital do sistema operacional. Ele usa uma linguagem de
regras flexível para descrever o tráfego que deve coletar ou passar, bem como um mecanismo de detecção que usa
uma arquitetura de plug-in modular.
Usos do Snort:
Módulo 05 Página 320 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 321 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
OSSEC
https:// www.ossec.net
Zeek
https:// zeek.org
https:// suricata-ids.org
As ferramentas de detecção de intrusão detectam anomalias. Essas ferramentas, quando executadas em uma estação
de trabalho dedicada, leem todos os pacotes de rede, reconstroem as sessões do usuário e verificam possíveis invasões
procurando por assinaturas de ataque e anomalias estatísticas de tráfego de rede. Além disso, essas ferramentas
oferecem proteção de dia zero em tempo real contra ataques de rede e tráfego mal-intencionado e impedem que malware,
spyware, verificações de portas, vírus, DoS e DDoS comprometam os hosts.
ÿ Meerkat
O Suricata é um mecanismo robusto de detecção de ameaças de rede capaz de detecção de intrusão em tempo
real (IDS), prevenção de intrusão em linha (IPS), monitoramento de segurança de rede (NSM) e processamento
pcap offline. Ele inspeciona o tráfego de rede usando regras poderosas e extensas e uma linguagem de
assinatura, além de fornecer um poderoso suporte a scripts Lua para a detecção de ameaças complexas. Com
formatos padrão de entrada e saída, como YAML e JSON, as integrações com ferramentas existentes, como
SIEMs, Splunk, Logstash/Elasticsearch, Kibana e outros bancos de dados, tornam-se fáceis.
Módulo 05 Página 322 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 323 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 324 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pote de mel
Um honeypot é um recurso do sistema de informação expressamente configurado para atrair e prender pessoas que tentam
penetrar na rede de uma organização
Ele não tem atividade autorizada, não tem nenhum valor de produção e qualquer tráfego para ele provavelmente será uma investigação,
ataque ou comprometimento
Um honeypot pode registrar tentativas de acesso à porta ou monitorar as teclas digitadas por um invasor. Estes podem ser os primeiros
avisos de um ataque mais concentrado
Pote de mel
DMZ
interno
Rede
Servidor web
Pote de mel
Um honeypot é um sistema de computador na Internet destinado a atrair e prender aqueles que tentam a utilização
não autorizada ou ilícita do sistema host para penetrar na rede de uma organização. É um proxy falso executado
para enquadrar os invasores, registrando o tráfego por meio dele e enviando reclamações aos ISPs das vítimas. Ele
não tem nenhuma atividade autorizada ou valor de produção, e qualquer tráfego para ele provavelmente é uma
investigação, ataque ou comprometimento. Sempre que houver qualquer interação com um honeypot, é mais
provável que seja malicioso. Honeypots são únicos; eles não resolvem um problema específico. Em vez disso, são
ferramentas altamente flexíveis com muitos aplicativos de segurança diferentes.
Honeypots ajudam na prevenção de ataques, na detecção de ataques e na coleta e pesquisa de informações.
Um honeypot pode registrar tentativas de acesso à porta ou monitorar as teclas digitadas por um invasor; esses
podem ser os primeiros avisos de um ataque mais concentrado. Requer uma quantidade considerável de
esforço para manter um honeypot.
Módulo 05 Página 325 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de Honeypots
Classificação de Honeypots com base em seus critérios de design
ÿ São implantados dentro da rede de produção da organização ÿ Os honeypots de alta interação são principalmente
junto com outros servidores de produção implantado por institutos de pesquisa, governos ou
organizações militares para obter conhecimento
ÿ Como são implantados internamente, eles também ajudam
detalhado sobre as ações do intruso
a descobrir falhas internas e invasores dentro de uma
organização
Módulo 05 Página 326 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de Honeypots
(continua)
Classificação de honeypots com base em sua tecnologia de engano
ÿ São usados para interceptar ÿ Empregam bancos de dados falsos que são ÿ Visar especificamente spammers que
campanhas de malware ou tentativas de vulneráveis para executar ataques abusar de recursos vulneráveis, como
malware na infraestrutura de rede relacionados a bancos de dados, como injeção retransmissões de correio aberto e proxies abertos
de SQL e enumeração de banco de dados
ÿ Endereços de e-mail falsos que são Projetado especificamente para capturar ÿ Redes de honeypots que são muito eficazes
usado especificamente para atrair e-mails rastreadores da web e aranhas na determinação de todas as capacidades
falsos e maliciosos de adversários dos adversários
Tipos de Honeypots
Honeypots são classificados nos seguintes tipos com base em seus critérios de design:
Honeypots de média interação simulam um sistema operacional real, bem como aplicativos e
serviços de uma rede de destino. Eles fornecem maior equívoco de um sistema operacional do
que honeypots de baixa interação. Portanto, é possível registrar e analisar ataques mais
complexos. Esses honeypots capturam dados mais úteis do que honeypots de baixa interação.
Eles só podem responder a comandos pré-configurados; portanto, o risco de intrusão aumenta. A
principal desvantagem dos honeypots de média interação é que o invasor pode descobrir
rapidamente que o comportamento do sistema é anormal. Alguns exemplos de honeypots de
média interação incluem HoneyPy, Kojoney2 e Cowrie.
Ao contrário de suas contrapartes de baixa e média interação, honeypots de alta interação não
emulam nada; eles executam serviços ou softwares vulneráveis reais em sistemas de produção
com sistemas operacionais e aplicativos reais. Esses honeypots simulam todos os serviços e
Módulo 05 Página 327 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
aplicações de uma rede de destino. Eles podem ser completamente comprometidos por invasores
para obter acesso total ao sistema em uma área controlada. Eles capturam informações completas
sobre um vetor de ataque, como técnicas de ataque, ferramentas e intenção. O sistema
honeypotizado é mais suscetível à infecção, pois as tentativas de ataque podem ser realizadas
em sistemas de produção reais.
Uma honeynet é um excelente exemplo de um honeypot de alta interação. Não é um produto nem
uma solução de software que um usuário instala. Em vez disso, é uma arquitetura – toda uma
rede de computadores projetada para atacar. A ideia é ter uma arquitetura que crie uma rede
altamente controlada com computadores reais rodando aplicações reais, nas quais todas as
atividades são monitoradas e registradas.
Os “bandidos” encontram, atacam e invadem esses sistemas por iniciativa própria. Quando o
fazem, não percebem que estão em uma honeynet. Sem o conhecimento dos invasores, todas as
suas atividades e ações, desde sessões SSH criptografadas até e-mails e uploads de arquivos,
são capturadas pela inserção de módulos do kernel em seus sistemas.
Ao mesmo tempo, a honeynet controla a atividade do invasor. Honeynets fazem isso usando um
gateway honeywall, que permite o tráfego de entrada para os sistemas da vítima, mas controla o
tráfego de saída usando tecnologias de prevenção de intrusão. Isso dá ao invasor a flexibilidade
de interagir com os sistemas da vítima, mas evita que o invasor danifique outros computadores
não-honeynet.
ÿ Honeypots Puros
Honeypots puros emulam a rede de produção real de uma organização-alvo. Eles fazem com que
os invasores dediquem seu tempo e recursos para atacar o sistema de produção crítico da
empresa. Os invasores descobrem e descobrem as vulnerabilidades e acionam alertas que
ajudam os administradores de rede a fornecer avisos antecipados de ataques e, assim, reduzir o
risco de invasão.
Honeypots são classificados nos seguintes tipos com base em sua estratégia de implantação:
ÿ Honeypots de Produção
Honeypots de produção são implantados dentro da rede de produção da organização junto com
outros servidores de produção. Embora tais honeypots melhorem o estado geral de segurança da
organização, eles efetivamente capturam apenas uma quantidade limitada de informações
relacionadas aos adversários. Esses honeypots se enquadram na categoria de honeypot de baixa
interação e são amplamente empregados por grandes organizações e corporações. Como os
honeypots de produção são implantados internamente, eles também ajudam a descobrir falhas
internas e invasores dentro de uma organização.
ÿ Honeypots de Pesquisa
Honeypots de pesquisa são honeypots de alta interação implantados principalmente por institutos
de pesquisa, governos ou organizações militares para obter conhecimento detalhado sobre as
ações de invasores. Ao usar esses honeypots, os analistas de segurança podem obter informações
detalhadas sobre como um ataque é executado, as vulnerabilidades são exploradas e as técnicas
e métodos de ataque são usados pelos invasores. Esta análise, por sua vez, pode ajudar um
Módulo 05 Página 328 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
organização para melhorar a prevenção de ataques, detecção e mecanismos de segurança e desenvolver uma
infraestrutura de rede mais segura.
A principal desvantagem dos honeypots de pesquisa é que eles não contribuem para a segurança direta da
empresa. Se uma empresa busca melhorar sua infraestrutura de produção, deve optar por honeypots de produção.
Honeypots são classificados nos seguintes tipos com base em sua tecnologia de engano:
ÿ Honeypots de Malware
Honeypots de malware são usados para interceptar campanhas de malware ou tentativas de malware na
infraestrutura de rede. Esses honeypots são simulados com vulnerabilidades conhecidas, como APIs desatualizadas,
protocolos SMBv1 vulneráveis etc. Esses honeypots atraem o invasor ou o malware para realizar ataques, a partir
dos quais o padrão de ataque, as assinaturas de malware e os agentes de ameaças de malware podem ser
identificados de forma eficaz.
Honeypots de banco de dados empregam bancos de dados falsos que são vulneráveis para realizar ataques
relacionados a banco de dados, como injeção de SQL e enumeração de banco de dados. Esses bancos de dados
falsos enganam os invasores, fazendo-os pensar que esses bancos de dados contêm informações confidenciais
cruciais, como detalhes de cartão de crédito de todos os bancos de dados de clientes e funcionários.
No entanto, todas as informações presentes no banco de dados são falsas e simuladas. Esses bancos de dados
atraem o invasor para realizar ataques, com suas vulnerabilidades; dos ataques, o padrão de ataque e os TTPs do
agente da ameaça em relação aos ataques de banco de dados podem ser identificados de forma eficaz.
ÿ Honeypots de Spam
Honeypots de spam visam especificamente spammers que abusam de recursos vulneráveis, como retransmissões
de correio aberto e proxies abertos. Basicamente, os honeypots de spam consistem em servidores de e-mail que
aceitam deliberadamente e-mails de qualquer fonte aleatória da Internet. Eles fornecem informações cruciais sobre
spammers e suas atividades.
ÿ Honeypots de e-mail
Honeypots de e-mail também são chamados de armadilhas de e-mail. Eles nada mais são do que endereços de e-
mail falsos usados especificamente para atrair e-mails falsos e maliciosos de adversários. Esses IDs de e-mail
falsos serão distribuídos pela Internet aberta e pela dark web para atrair os agentes de ameaças a realizar várias
atividades maliciosas para explorar a organização. Ao monitorar constantemente os e-mails recebidos, as técnicas
de dissimulação do adversário podem ser identificadas pelos administradores e os funcionários internos podem ser
alertados para evitar cair nessas armadilhas de e-mail.
ÿ Honeypots de Aranhas
Honeypots de aranha também são chamados de armadilhas de aranha. Esses honeypots são projetados
especificamente para prender web crawlers e spiders. Muitos agentes de ameaças realizam rastreamento na web e
Módulo 05 Página 329 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
spidering para extrair informações importantes de aplicativos da web. Essas informações cruciais
incluem URLs, detalhes de contato, detalhes de diretório, etc. Honeypots de aranha são
empregados para prender esses adversários. Um site falso será emulado e apresentado como
legítimo. Atores de ameaças que tentam realizar rastreamento na web em tais armadilhas serão
identificados e colocados na lista negra.
ÿ Honeynets
Honeynets são redes de honeypots. Eles são muito eficazes em determinar todas as capacidades
dos adversários. As Honeynets são implantadas principalmente em um ambiente virtual isolado
junto com uma combinação de servidores vulneráveis. Os vários TTPs empregados por diferentes
invasores para enumerar e explorar redes serão registrados, e essas informações podem ser
muito eficazes para determinar as capacidades completas do adversário.
Módulo 05 Página 330 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramentas Honeypot
HoneyBOT é um honeypot de média interação para windows. É uma solução fácil de usar,
HoneyBOT
ideal para pesquisas de segurança de rede
KFSensor
http:// www.keyfocus.net
MongoDB-HoneyProxy
https:// github.com
ESPot
https:// github.com
HoneyPy
https:// github.com
https:// www.atomicsoftwaresolutions.com
Ferramentas Honeypot
Honeypots são ferramentas de segurança que permitem que a comunidade de segurança monitore os truques e explorações
dos invasores, registrando todas as suas atividades para que possa responder a tais explorações rapidamente antes que o
invasor possa fazer uso indevido ou comprometer o sistema.
ÿ HoneyBOT
HoneyBOT é um honeypot de média interação para windows. Um honeypot cria um ambiente seguro para capturar
e interagir com tráfego não solicitado em uma rede. HoneyBOT é uma solução fácil de usar que é ideal para
pesquisa de segurança de rede ou como parte de um IDS de alerta precoce.
Módulo 05 Página 331 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 332 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 333 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ele atende às solicitações dos clientes em nome dos servidores reais, evitando assim que os servidores reais se exponham
03 para o mundo exterior
Ele fornece uma camada adicional de defesa para a rede e pode proteger contra certos ataques específicos do sistema operacional
04 (SO) e do servidor da web
Os profissionais de segurança devem implantar um servidor proxy para interceptar conteúdo malicioso e ofensivo da Web, vírus de computador
05 etc., ocultos nas solicitações do cliente
Do utilizador Servidor
Servidor proxy
Um servidor proxy é um aplicativo que pode servir como intermediário na conexão com outros computadores. Os profissionais
de segurança devem implantar um servidor proxy para interceptar conteúdo malicioso e ofensivo da Web, vírus de computador,
etc., ocultos nas solicitações do cliente.
Quando um usuário usa um proxy para solicitar uma determinada página da Web em um servidor real, o servidor proxy a
recebe. Em seguida, ele envia essa solicitação ao servidor real em nome da solicitação do usuário — ele faz a mediação entre
o usuário e o servidor real para enviar e responder à solicitação.
Módulo 05 Página 334 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um servidor proxy melhora a segurança, o controle administrativo e os serviços de cache. Também é usado
para avaliar o tráfego de rede e manter a confidencialidade do usuário.
Módulo 05 Página 335 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3 4
Atua como um Melhora a segurança e a Melhora a Fornece recursos
protetor de segurança entre privacidade dos velocidade de navegação avançados de registro para
os dispositivos do usuário e um dispositivos clientes atividades do usuário
servidor
5 6 7 8
Controla o acesso a Oculta IP interno Reduz as chances Habilita a autenticação
tipos específicos de aborda e filtra solicitações de modificação de cookies para os servidores proxy
serviços restritos de sites externos no navegador antes de lidar com as
configuração solicitações do usuário
ÿ
Ele filtra solicitações de sites externos.
ÿ
Melhora a entrega das páginas da web solicitadas aos usuários.
ÿ
Ele habilita a autenticação para os servidores proxy antes de lidar com solicitações e serviços do usuário.
Módulo 05 Página 336 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O servidor proxy transmite o pacote para o endereço de destino que oculta o usuário final
04 real que fez a solicitação
Se o pacote de dados for retornado, ele será enviado novamente ao servidor proxy para
05 verificação com a base de regras
Servidor proxy
192.168.2.3
3. Interface externa com
4. A resposta é encaminhada
endereço IP registrado pelo proxy ao cliente
24.67.233.7
solicitante
192.168.2.5
ÿ A requisição da página web é repassada ao servidor proxy, que verifica o pacote com seu
conjunto de convenções para este serviço e decide se a requisição deve ser atendida.
Módulo 05 Página 337 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Uma vez que o proxy tomou a decisão de permitir o pedido, um novo pacote é criado
com o endereço IP de origem do servidor proxy.
ÿ Este novo pacote é a solicitação da página da Web do servidor proxy. o servidor web
recebe a solicitação e retorna a página da Web ao host solicitante.
ÿ Ao receber a página web, o proxy verifica suas regras para determinar se esta
página deve ser permitida.
ÿ Uma vez tomada a decisão de prosseguir, o proxy cria um novo pacote com o web
page como carga útil e a envia para o cliente original.
ÿ Este tipo de serviço aumenta significativamente a segurança da rede, pois nenhum pacote pode trafegar
diretamente do cliente para o servidor.
Módulo 05 Página 338 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O servidor proxy examina a carga de dados do pacote ÿ Os filtros de pacotes examinam as informações
de roteamento do pacote
ÿ Cria listagens detalhadas de arquivos de log , pois ÿ Registra apenas as informações do cabeçalho do
eles verificam todos os dados dos pacotes IP pacotes IP
ÿ No caso de falha de um servidor proxy, ÿ No caso de falha de um filtro de pacotes, todos os pacotes
todas as comunicações de rede podem passar pela rede interna
cessar
Servidores proxy e filtros de pacotes são usados juntos em um firewall e funcionam na camada de aplicação do
modelo OSI. Eles diferem principalmente em termos de inspeção de diferentes partes dos pacotes IP e na
maneira como agem sobre eles.
ÿ Um servidor proxy cria listas detalhadas de arquivos de log porque eles varrem toda a parte de dados dos
pacotes IP, enquanto um filtro de pacotes registra apenas informações de cabeçalho dos pacotes IP.
ÿ Um filtro de pacotes simplesmente permite que o pacote de dados passe para o destino se ele corresponder
às regras do filtro de pacotes. Por outro lado, um servidor proxy reestrutura o pacote com novos dados
IP de origem.
ÿ
No caso de falha de um servidor proxy, todas as comunicações de rede cessariam, enquanto no caso
de falha do filtro de pacotes, todos os pacotes podem passar para a rede interna.
Módulo 05 Página 339 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 340 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proxy Transparente
Proxy Transparente
Um proxy transparente é um proxy através do qual um sistema cliente se conecta a um servidor sem seu
conhecimento. Ele é configurado para ser totalmente invisível para um usuário final. Ele é colocado entre
duas redes, semelhante a um roteador. Um firewall rastreia o tráfego de saída e o direciona para um
computador específico, como um servidor proxy. Os administradores de rede não precisam configurar o
software do cliente com proxies transparentes. Com um proxy transparente, todos os clientes web devem
ser configurados manualmente.
Módulo 05 Página 341 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exigir que o software cliente seja configurado para usar o servidor proxy
ÿ Eles são difíceis de configurar, pois cada programa cliente deve ser configurado para rotear
todas as solicitações para uma única porta
01 02 03 04
Anotação de grupo Tipo de mídia Anonimato
Redução de protocolo
Serviços Transformação Filtragem
Os proxies não transparentes também são conhecidos como proxies explícitos e exigem que o software
cliente seja configurado para usar o servidor proxy. Proxies não transparentes são difíceis de configurar,
pois cada programa cliente deve ser configurado para rotear todas as solicitações para uma única porta.
No entanto, esses proxies fornecem um nível maior de segurança do que outros tipos. Um proxy não
transparente é aquele que modifica uma solicitação ou resposta, e o cliente fica ciente da existência do
proxy. Todo o URL solicitado é enviado ao proxy que possui o nome do host. Ele fornece serviços
adicionais ao agente do usuário, como serviços de anotação de grupo, transformação de tipo de mídia,
redução de protocolo e filtragem de anonimato.
Módulo 05 Página 342 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
SOCKS Proxy
ÿ É um servidor proxy que não possui as habilidades especiais de cache de um servidor proxy HTTP de cache
ÿ O servidor proxy SOCKS não permite que componentes externos de rede coletem informações no cliente que
gerou o pedido
SOCKS Proxy
SOCKS, um padrão da Internet Engineering Task Force (IETF), é um servidor proxy que não possui as habilidades especiais
de cache de um servidor proxy HTTP de cache. O protocolo SOCKS usa internamente “soquetes”, que ajudam a rastrear
todas as conexões individuais dos clientes. A função de um servidor SOCKS é tratar todas as requisições dos clientes dentro
do firewall da organização; com base no destino de Internet solicitado ou na identificação do usuário, ele permite ou rejeita
solicitações de conexão. Se a conexão solicitada for válida, ela “vincula” a solicitação e as informações são trocadas com o
protocolo usual (por exemplo, HTTP). O servidor proxy SOCKS não permite que componentes de rede externos coletem
informações sobre o cliente que gerou a solicitação.
Módulo 05 Página 343 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
proxy anônimo
Prós Contras
proxy anônimo
Um proxy anônimo não transfere informações sobre o endereço IP de seu usuário, ocultando assim
informações sobre o usuário e seus interesses de navegação. Um usuário pode navegar na Internet
de forma privada usando um proxy anônimo. Com a ajuda de um servidor proxy anônimo, o usuário
pode acessar até sites censurados. O uso desse tipo de servidor proxy pode diminuir a velocidade de
carregamento de uma página da Web no navegador. Além disso, o uso de servidores proxy anônimos
para contornar a censura na Internet é ilegal em alguns países.
Módulo 05 Página 344 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
proxy reverso
Um proxy reverso geralmente está situado mais perto do(s) servidor(es)
01 e retornará apenas um conjunto configurado de recursos
proxy reverso
Um proxy reverso geralmente está situado mais perto do(s) servidor(es) e retornará apenas um conjunto
configurado de recursos. Ele pode otimizar o conteúdo compactando-o para acelerar o carregamento. O
cliente não está ciente da presença de um proxy reverso. Um servidor proxy reverso é um servidor
intermediário localizado entre um cliente e o servidor da Web real.
Módulo 05 Página 345 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 346 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Passo 1
Abra o navegador Google Chrome e selecione
"Configurações" na barra de ferramentas
Passo 2
etapa 3
Etapa 4
Passo 1 Passo 2
Abra o navegador Microsoft Edge e clique em "Configurações" no Role para baixo na página e clique em “Sistema”
Configurando menu exibido no canto superior direito
Configuração de proxy em
Microsoft borda etapa 3 Passo 4
A janela Sistema é aberta. Clique em “Abrir as A janela de configuração do servidor proxy é aberta. Siga as
configurações de proxy do seu computador” instruções para configurar o servidor proxy
Módulo 05 Página 347 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 3: Uma janela de configuração automática de proxy é aberta. Certifique-se de que a opção “Detectar automaticamente
configurações” está ativado.
Módulo 05 Página 348 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 4: o Windows executa uma verificação automática por padrão para verificar se um
a configuração do servidor proxy foi implementada anteriormente na rede e fornece o nome e
as instruções a seguir.
ÿ Etapa 5: Se o Windows detectar o arquivo Proxy Auto-Configuration (PAC), defina a opção “Usar Configuração
Script” para ativar .
ÿ Etapa 7: Clique em Salvar para implementar as alterações e usar a Internet por meio do proxy.
Módulo 05 Página 349 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 3: A janela de configuração automática do proxy é aberta. Role para baixo até “Configuração manual de proxy” e
defina o botão de alternância “Usar um servidor proxy” como Ativado.
Módulo 05 Página 350 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 5.64: captura de tela mostrando o texto a ser inserido no campo de endereço e porta para configurar a configuração manual do proxy
ÿ Passo 5: Digite *.local no campo abaixo dos campos endereço e porta para dispensar o uso de um
Servidor proxy.
ÿ Etapa 6: Clique em Salvar para implementar as alterações e usar o proxy no Windows 10.
Módulo 05 Página 351 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 3: A janela Sistema é aberta. Clique em “Abrir as configurações de proxy do seu computador”.
Figura 5.66: captura de tela exibindo a opção de abrir as configurações de proxy do computador no Google Chrome
Módulo 05 Página 352 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 4: A janela de configurações do servidor proxy é aberta. Siga as instruções para configurar o
proxy.
Figura 5.67: captura de tela exibindo a configuração do proxy no Windows aberta por meio do Google Chrome
ÿ Passo 1: Abra o navegador Microsoft Edge e clique em Configurações no menu exibido no canto superior direito.
ÿ Etapa 3: A janela Sistema é aberta. Clique em “Abrir as configurações de proxy do seu computador”.
Módulo 05 Página 353 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Etapa 4: A janela de configuração do servidor proxy é aberta. Siga as instruções para configurar o
servidor proxy automaticamente ou manualmente.
Figura 5.69: Captura de tela exibindo a configuração do proxy no Windows aberta por meio do Microsoft Edge
Módulo 05 Página 354 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Aumento da carga de trabalho, pois o proxy deve ser configurado para cada serviço que fornece
2
Se tentarmos alterar as configurações padrão, o servidor proxy pode não funcionar corretamente
3
Os servidores proxy precisam redirecionar as informações, portanto, as páginas da Web às vezes podem carregar
4 lentamente
Se o servidor proxy estiver tentando contornar um software suspeito, alguns elementos de uma página podem não
5 carregar
Um problema com um servidor proxy é a criação de um único ponto de falha. Se toda a organização usa o
mesmo proxy, essa máquina é bastante crítica e deve ser configurada corretamente. Um erro comum é
esquecer que um proxy é inseguro. Embora um servidor proxy proteja a rede interna, qualquer interface
diretamente conectada à Internet está aberta a ataques. As organizações devem garantir que o proxy seja
usado em conjunto com outros mecanismos de segurança, como um filtro de pacotes, para diminuir a
possibilidade de um ataque de intrusão direto no proxy.
O proxy deve ser configurado para cada serviço. Uma rede que permite vários tipos de serviços em ambas
as direções pode gerar um trabalho considerável. Para serviços suplementares, é importante que o servidor
proxy permaneça configurado com segurança. A carga de trabalho é alta porque o proxy deve ser
configurado para cada serviço que fornece.
ÿ Configurações padrão
Ao implementar um proxy, é recomendável evitar o uso das configurações padrão. Reserve um tempo para
seguir as regras e restrições. Se algumas configurações padrão forem alteradas, o servidor proxy pode não
funcionar corretamente.
ÿ Os servidores proxy precisam redirecionar as informações; portanto, as páginas da Web podem ocasionalmente carregar lentamente.
ÿ
Se o servidor proxy estiver tentando contornar um software suspeito, alguns elementos de uma página
podem não carregar.
Módulo 05 Página 355 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Como as informações pessoais são passadas por um servidor externo que pode ser acessado por
intrusos, a segurança dos dados pode ser comprometida.
Módulo 05 Página 356 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Squid é um proxy de cache para a web e suporta HTTP, HTTPS, FTP e muito mais. Ele reduz a largura de
banda e melhora os tempos de resposta armazenando em cache e reutilizando páginas da Web solicitadas
com frequência. O Squid possui amplos controles de acesso e é um ótimo acelerador de servidor. Ele roda
na maioria dos sistemas operacionais disponíveis, incluindo Windows e é licenciado sob a licença pública
geral GNU (GNU GPL).
Módulo 05 Página 357 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 358 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 359 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores
proxy e seus benefícios
6 na rede
Segurança
Módulo 05 Página 360 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquitetura VPN
Escritório Central
Conectividade VPN
VPN Concentrador
roteador com
Módulo VPN
roteador com
3G/CDMA/HSDPA Internet
Módulo VPN
Banda larga móvel
ÿ VPNs são usadas para se comunicar com segurança modem da marca da placa
VPN Concentrador
Teletrabalhador /
com diferentes computadores em canais inseguros Viajando
Pessoal
A maioria das organizações tem escritórios em diferentes locais ao redor do mundo. Consequentemente, existe a
necessidade de estabelecer uma conexão remota entre esses escritórios. Anteriormente, o acesso remoto era
estabelecido por meio de linhas alugadas com a ajuda de links telefônicos dial-up, como ISDN, DSL, modem a cabo,
satélite e banda larga móvel. No entanto, estabelecer conexões remotas com essas linhas alugadas é bastante caro
e os custos aumentam à medida que aumenta a distância entre os escritórios.
Para superar as desvantagens das tecnologias convencionais de acesso remoto, as organizações estão adotando
redes privadas virtuais (VPNs) para fornecer acesso remoto a seus funcionários e escritórios distantes.
Uma VPN oferece uma solução atraente para profissionais de segurança conectarem a rede de sua organização com
segurança pela Internet. A VPN é usada para conectar escritórios distantes ou usuários individuais à rede de sua
organização por meio de um canal seguro.
A VPN usa um processo de tunelamento para transportar dados criptografados pela Internet. IPsec é o protocolo mais
comum usado em VPN no nível IP. A VPN garante a integridade dos dados usando um resumo de mensagem e
protege a transmissão de dados contra adulterações. A VPN garante qualidade de serviço (QoS) por meio de acordos
de nível de serviço (SLAs) com o provedor de serviços.
Módulo 05 Página 361 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o VPN estabelece uma conexão entre um sistema remoto e uma LAN através de um
rede intermediária como a Internet.
o As VPNs permitem conexões de longa distância baratas pela Internet porque ambos os pontos finais
requerem um link de Internet local, que serve como uma operadora gratuita de longa distância.
o VPNs usam criptografia para fornecer uma conexão segura a uma rede remota pela
Internet e protege a comunicação.
Módulo 05 Página 362 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Projetar e implementar uma VPN é uma questão complexa que requer especialistas para
configuração.
ÿ Arquitetura VPN
Um determinado conjunto de protocolos e padrões deve ser seguido ao estabelecer uma arquitetura VPN.
Os profissionais de segurança devem decidir o escopo, implementação e implantação da VPN e realizar
monitoramento de rede contínuo para garantir a segurança de uma VPN. Eles devem estar continuamente
cientes da arquitetura geral e do escopo da VPN.
Para implantar VPNs, existem duas opções principais: IPsec e SSL. Cada protocolo tem suas próprias
vantagens exclusivas e é utilizado dependendo da exigência do usuário ou dos processos de TI da
organização.
ÿ VPN IPsec
A VPN baseada em IPsec é a solução de implantação mais comumente usada pelas organizações. É um
conjunto de protocolos e padrões desenvolvidos pela Internet Engineering Task Force (IETF) para
comunicação segura na camada IP. Ele garante a segurança de cada pacote em comunicação, criptografando-
os e autenticando-os. As conexões IPsec são estabelecidas usando software cliente VPN pré-instalado, que
se concentra principalmente em desktops gerenciados pela empresa.
o Vantagens
• As VPNs IPsec podem oferecer suporte a todos os aplicativos baseados em IP por meio de um produto VPN IPsec.
• Eles garantem a troca segura de pacotes IP entre redes ou hosts remotos e um gateway IPsec
localizado na borda da rede privada da organização.
As três aplicações básicas de VPNs IPsec (associadas aos requisitos de negócios) são as seguintes.
o VPNs de acesso remoto: permitem que usuários individuais, como teletrabalhadores, se conectem a uma
rede corporativa. Este aplicativo cria uma sessão L2TP/PPTP protegida por criptografia IPsec.
Módulo 05 Página 363 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Extranet VPNs: Permitem que as empresas se conectem com seus parceiros de negócios (por
exemplo, fornecedores, clientes e joint ventures).
As VPNs baseadas em SSL fornecem conectividade de acesso remoto usando um navegador da Web e
sua criptografia SSL nativa, independentemente da localização. O SSL não requer nenhum software
cliente especial pré-instalado e é capaz de qualquer tipo de conectividade. A conectividade varia de
desktops gerenciados pela empresa a desktops não gerenciados pela empresa, como PCs de
funcionários, PCs de terceiros ou desktops de parceiros de negócios. Ele ajuda a reduzir a manutenção
do software de desktop, pois baixa o software dinamicamente sempre que necessário.
o Vantagens
• Ele oferece recursos adicionais, como fácil conectividade de desktops gerenciados por terceiros e
requer pouca ou nenhuma manutenção de software de desktop.
• Funciona sempre que o usuário pode obter acesso a sites HTTPS, como Internet
bancos, webmail seguro ou sites de intranet.
Módulo 05 Página 364 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma VPN permite uma conexão segura pela Internet de uma rede pública para uma rede privada localizada
em um local distante. Todo o tráfego de rede em uma VPN é criptografado e passa por um túnel virtual
seguro colocado entre o cliente e o servidor VPN.
Todos os pacotes que passam por uma VPN são criptografados ou descriptografados em relação ao tráfego
de entrada ou saída. Os pacotes são criptografados no lado do cliente e descriptografados no servidor VPN.
Um cliente que deseja se conectar à rede de uma empresa inicialmente se conecta à Internet. Em seguida,
o cliente inicia uma conexão VPN com o servidor da empresa. Antes de estabelecer uma conexão, os
endpoints devem ser autenticados por meio de senhas, biometria, dados pessoais ou qualquer combinação
destes. Uma vez estabelecida a conexão, o cliente pode acessar com segurança a rede da empresa.
Por exemplo, quando um cliente com uma conexão VPN habilitada navega no Youtube.com, o tráfego de
saída é criptografado no lado do cliente. Os dados criptografados são então enviados para o servidor VPN
mais próximo, que passa os dados para o servidor gateway. No servidor gateway, os dados são
descriptografados e enviados ao servidor que hospeda o Youtube.com. Quando o Youtube.com envia uma
solicitação de resposta, o servidor VPN realiza o processo inverso no tráfego de saída.
Uma VPN monitora de perto todas as redes inseguras. Ele cria um novo endereço IP para um pacote
criptografado, ocultando o endereço IP real; isso evita que invasores encontrem o endereço IP real do qual
os pacotes foram enviados.
Módulo 05 Página 365 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 366 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Melhorar a produtividade
A fácil acessibilidade de dados confidenciais pela Internet representa uma séria ameaça à segurança das organizações. Os
invasores facilmente exploram e obtêm acesso a informações confidenciais enviadas por uma rede pública não segura, como a
Internet. Uma VPN garante uma comunicação confiável por meio de um túnel criptografado, impedindo que invasores tenham
acesso às informações da organização. Uma VPN bem projetada e bem implementada pode oferecer os seguintes benefícios:
ÿ
Ele permite uma conexão segura em várias localizações geográficas.
ÿ
Economiza tempo e despesas para os funcionários, pois permite o compartilhamento de informações entre um escritório
corporativo e escritórios regionais.
ÿ
Ele aumenta o nível de saída para usuários remotos.
ÿ
Ele melhora a segurança dos dados ocultando o endereço IP dos invasores.
ÿ
Ele lida com várias conexões simultaneamente e fornece a mesma qualidade de serviço para cada conexão.
ÿ
Tem a capacidade de fornecer uma conexão segura para grandes empresas.
ÿ
Reduz os tempos de trânsito e os custos de viagem para usuários remotos.
ÿ
Melhora a produtividade e simplifica a topologia da rede.
ÿ
Ele oferece oportunidades de networking global e suporte a teletrabalhadores.
ÿ
Tem um retorno sobre o investimento (ROI) mais rápido do que uma WAN convencional.
Módulo 05 Página 367 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esse tráfego criptografado é benéfico quando um usuário conecta seu sistema a redes Wi-Fi em locais
públicos. A criptografia torna difícil para bisbilhoteiros na rede identificar os dados criptografados.
Uma VPN permite que os usuários acessem servidores em todo o mundo, facilitando o acesso a todos os
tipos de conteúdo. Com uma VPN, os usuários não precisam enfrentar restrições como bloqueio geográfico
durante a navegação. Uma VPN permite que o usuário permaneça anônimo sem compartilhar as informações
do dispositivo na rede. Ao ocultar esses dados, uma VPN impede que sites espionem ou monitorem o usuário.
Para evitar o monitoramento excessivo de sites de terceiros ou invasores, os usuários devem instalar uma
VPN para uma navegação segura.
Módulo 05 Página 368 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes VPN
Componentes VPN
ÿ Cliente VPN
Rede Remota
ÿ Protocolo VPN
IP IP
ISP ISP
PSTN
Internet
Camada 3 Camada 3
Cliente VPN
Protocolo Protocolo
VPN
Componentes VPN
ÿ Cliente VPN: É um computador que inicia uma conexão remota segura com um servidor VPN.
ÿ Servidor de acesso à rede (NAS): Também chamado de gateway de mídia ou servidor de acesso remoto
(RAS), o NAS é responsável por configurar e manter cada túnel em uma VPN de acesso remoto. Os usuários
precisam se conectar ao NAS para usar uma VPN.
ÿ Dispositivo de terminação de túnel (ou servidor VPN): É um computador que aceita VPN
conexões de clientes VPN.
ÿ Protocolo VPN: Inclui protocolos específicos de VPN usados para gerenciar túneis e encapsular dados
privados. Inclui o uso dos protocolos PPTP e L2TP, juntamente com o IPsec.
Módulo 05 Página 369 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O diagrama a seguir mostra o uso de vários componentes VPN em uma VPN de acesso remoto:
ÿ O usuário remoto propaga uma conexão PPP com o NAS de um ISP através de um PSTN.
ÿ Os pacotes enviados pelo usuário são enviados para o túnel que conecta o servidor NAS e VPN
depois de autenticar o usuário.
Módulo 05 Página 370 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Concentradores de VPN
ÿ Um VPN Concentrator é um dispositivo de rede usado para criar conexões VPN seguras
ÿ Ele atua como um roteador VPN que geralmente é usado para criar um acesso remoto ou VPN site a site
ÿ Ele usa protocolos de tunelamento para negociar parâmetros de segurança , criar e gerenciar túneis,
encapsular, transmitir ou receber pacotes através do túnel e desencapsula-los
Internet
Acesso VPN via Acesso VPN via
Modem Cabo
Roteador
Segmento público (não confiável)
Segmento de firewall
Segmento privado (confiável) Servidor de arquivos Servidor de Email Servidor de Intranet Servidor de Autenticação
Concentradores de VPN
Os concentradores de VPN normalmente aumentam a segurança das conexões feitas por meio de uma VPN.
Eles geralmente são usados quando um único dispositivo precisa lidar com um grande número de túneis VPN.
Eles são mais bem usados para desenvolver uma VPN de acesso remoto e VPN site a site.
Os concentradores VPN implementam a segurança dos túneis usando protocolos de tunelamento. Esses
protocolos gerenciam o seguinte:
ÿ Criação de túneis
ÿ Recebe pacotes simples em uma extremidade, criptografa na outra extremidade e encaminha o pacote para
o destino final
Módulo 05 Página 371 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Na figura, o concentrador VPN é colocado em paralelo com o firewall suportando dois usuários
remotos que possuem uma velocidade de Internet lenta e rápida, respectivamente. Se a VPN for
colocada atrás do firewall, a implementação exigirá alterações de configuração adicionais e
dependerá do fornecedor.
Os concentradores VPN fornecem um alto nível de segurança para arquiteturas VPN SSL e IPsec.
Um túnel VPN normal requer que o IPsec seja implementado na camada de rede do modelo OSI.
Um grande benefício de usar um concentrador de VPN é que o cliente é considerado fora da rede
e pode acessar a rede como se estivesse conectado.
Módulo 05 Página 372 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografa e descriptografa
dados 01 05 Gerencia chaves de segurança
Gerencia a transferência
de dados pelo túnel 03 07 Atribui endereços de usuário
Gerencia transferências
Negocia os de dados de entrada e saída
parâmetros do túnel
04 08 como um endpoint de túnel
ou roteador
Um VPN Concentrator funciona como um ponto final de túnel bidirecional. Um concentrador de VPN adiciona mais
controles de segurança ao roteador, melhorando a segurança da comunicação. As funções de um concentrador de
VPN são as seguintes.
ÿ Criptografia de dados: O concentrador VPN criptografa os dados. Sendo bidirecional, inicialmente criptografa
os pacotes simples que recebe e depois os descriptografa no final do túnel, antes de enviá-los ao destino.
Ele gerencia as chaves de segurança.
Módulo 05 Página 373 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 374 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
roteador com
Internet Módulo VPN
ÿ A VPN criptografa os pacotes de dados
3G/ CDMA/ HSDPA
que são encaminhados pela Internet Banda larga móvel Modem de Banda Larga VPN Concentrador
do cliente
Escritório em casa
ÿ Um Gateway VPN recebe os pacotes Laptop com cliente VPN Filial
e então fecha a conexão com o
PC com cliente VPN
VPN após a conclusão da transferência
Todo host que usa uma VPN de acesso remoto deve ter o software cliente VPN instalado; esse software
envolve e criptografa os dados antes que o host envie qualquer tráfego pela Internet para um gateway
VPN. Depois de chegar ao gateway, os dados são desempacotados, descriptografados e encaminhados
para o destino final em uma rede privada. O gateway executa o processo inverso para enviar pacotes de
dados de volta ao usuário.
Módulo 05 Página 375 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Servidor de acesso à rede (NAS) ou servidor de acesso remoto (RAS): o NAS é necessário enquanto os
usuários acessam uma VPN. Um processo de autenticação separado está envolvido durante a autenticação
de usuários que acessam uma VPN.
ÿ Software cliente: Os usuários que acessam uma VPN de sua própria rede precisam instalar o software
que ajuda a criar e gerenciar a conexão VPN.
O software cliente VPN e um gateway VPN são necessários para os hosts que suportam uma VPN de acesso remoto.
A maioria dos gateways VPN oferece suporte apenas a IPsec, mantendo os serviços VPN.
Vantagens
ÿ A criptografia de pacotes de dados fornece uma camada de segurança adicional. Isso oculta o endereço IP dos
pacotes e impede que invasores acessem os pacotes.
ÿ As VPNs de acesso remoto podem lidar com um grande número de usuários. A VPN fornece o mesmo serviço
mesmo se mais usuários forem adicionados à rede VPN.
Desvantagens
ÿ Computadores sem nenhum antivírus instalado representam uma ameaça à conexão VPN.
ÿ
É demorado acessar arquivos e aplicativos pela Internet.
Módulo 05 Página 376 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Baseado em extranet: a conectividade VPN é entre diferentes organizações , como parceiros de negócios,
e seus clientes
Internet
ÿ Conecta uma filial ou escritório remoto Filial
Uma VPN site a site ajuda a conectar diferentes redes. Por exemplo, as filiais de uma organização
podem ser conectadas ao campus principal por meio de uma VPN site a site. A principal diferença
entre uma VPN de acesso remoto e uma VPN site a site é que uma VPN site a site não requer
nenhum software cliente. Todo o tráfego é enviado por um gateway VPN que criptografa os
pacotes de dados que passam por ele.
Em uma VPN site a site, o tráfego de saída passa por um túnel para o gateway VPN. Os pacotes
de dados no tráfego de saída são criptografados no gateway e passados para o túnel pela
Internet. O tráfego é enviado para o gateway mais próximo ao local de destino. O gateway mais
próximo descriptografa os pacotes de dados e os encaminha para o destino final.
Módulo 05 Página 377 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Baseado em Intranet: Neste tipo, a conectividade VPN é entre os sites de uma única
organização. Ele cria uma VPN de intranet para conectar cada LAN individual a uma única WAN.
ÿ Baseado em extranet: neste tipo, a conectividade VPN é entre diferentes organizações, como
parceiros de negócios, empresas e clientes. Uma VPN de extranet conecta todas as LANs de
uma organização. A configuração de VPN de extranet impede qualquer acesso a uma VPN de
intranet.
Módulo 05 Página 378 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
E1 E2
Os dispositivos VPN criam uma conexão segura entre duas ou mais LANs
VPNs de hardware
VPNs baseadas em hardware são dispositivos separados que consistem em processadores individuais e firewalls de hardware. Eles
gerenciam facilmente a autenticação e criptografia de pacotes de dados. A principal vantagem de usar uma VPN baseada em
hardware é que ela oferece mais proteção do que a variante de software.
Vantagens
ÿ Uma VPN de hardware fornece balanceamento de carga, especialmente para grandes cargas de cliente.
Desvantagens
ÿ
É mais caro do que um software VPN.
ÿ
É mais útil para grandes organizações empresariais do que para as menores.
ÿ
Tem baixa escalabilidade.
Módulo 05 Página 379 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Concentradores
da série VPN 3000, VPN 3002
Sistemas Cisco Clientes de hardware, roteadores https:// www.cisco.com
da série 7600 e Web VPN
Módulo de serviços
SonicWALL PRO
SonicWALL https:// www.sonicwall.com
5060,4060,3060,2040,1260
Juniper Networks NetScreen série 5000, 500, 200 e ISG https:// www.juniper.net
Módulo 05 Página 380 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
VPNs de software
ÿ O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway
que funciona como uma VPN
VPNs de software
O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway que funciona como uma
VPN. As VPNs baseadas em software são mais adequadas para gerenciamento de tráfego de rede e quando a mesma parte
não gerencia os pontos finais da VPN. O gerenciamento de tráfego é realizado usando um processo de tunelamento
dependendo do protocolo e endereço do tráfego. Aceleradores de criptografia de hardware são usados para melhorar o
desempenho da rede.
Vantagens
Desvantagens
ÿ
Isso causa tarefas de processamento aumentadas para dispositivos que implementam a VPN.
ÿ A segurança é um problema; um software VPN é propenso a ataques, pois eles precisam compartilhar o servidor
com outros servidores e sistemas operacionais.
Módulo 05 Página 381 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 382 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Compatibilidade
Suporte do fornecedor
Escalabilidade e capacidade
Necessidade Segurança
Custo
A seleção de uma VPN apropriada depende de muitos fatores, como custo, protocolos e questões técnicas. A seguir
estão alguns fatores a serem considerados ao selecionar uma VPN.
ÿ Escalabilidade: Aumentar o número de funcionários que trabalham para uma organização é uma tendência
comum. À medida que o número de funcionários aumenta, a VPN configurada precisa acomodar os novos
funcionários. A incapacidade de lidar com um número crescente de usuários afeta negativamente o desempenho
da rede. A organização deve selecionar uma VPN que possa lidar com qualquer número de usuários a qualquer
momento sem afetar o desempenho da rede.
ÿ Segurança: A segurança é um fator importante ao selecionar uma VPN. A seguir estão os dois
principais critérios na seleção de uma VPN.
o Criptografia: As organizações devem estar altamente alertas sobre o processo de criptografia para a VPN
selecionada. Algumas VPNs não fornecem criptografia direta, permitindo que invasores obtenham
informações da rede.
Módulo 05 Página 383 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Custo: Uma organização deve considerar o custo como um fator ao selecionar VPNs.
ÿ Suporte do fornecedor: A seguir estão os dois fatores a serem considerados no suporte do fornecedor.
o O primeiro fator é o número de servidores e sua localização. A VPN deve ser selecionada de acordo com
a localização do servidor do fornecedor e as atividades realizadas.
Módulo 05 Página 384 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ocultar a origem e o destino dos pacotes protege a integridade dos dados enviados ÿ Os protocolos de
Computador
Encapsulamento de de origem 10.0.50.3
dados para ocultar
roteador VPN
informações de origem e destino Pacote
Pacote
(criptografado) 192.168.50.1
O encapsulamento é o método pelo qual os protocolos têm funções separadas para se comunicar entre si,
ocultando os dados. A vulnerabilidade dos dados aumenta se os dados não passarem por um canal seguro.
Quando os dados são transmitidos usando o túnel VPN, os dados são encapsulados para garantir a segurança. O
encapsulamento depende de várias tecnologias e protocolos, como GRE, IPsec, L2F, PPTP e L2TP.
Os pacotes enviados por uma VPN são colocados dentro de outro pacote (encapsulamento), que possui IP de
origem e destino diferentes. Ocultar a origem e o destino dos pacotes protege a integridade dos dados enviados.
O túnel VPN atua como um caminho entre a origem e o destino. Para enviar os dados encapsulados com
segurança, é necessário estabelecer um túnel. Todos os pacotes de dados que trafegam pelo túnel são
encapsulados no ponto de origem e desencapsulados no ponto de destino. Para enviar os dados ao ponto de
destino, um protocolo de dados de túnel é criado. As informações no pacote de dados são chamadas de carga útil.
O protocolo de dados do túnel encapsula a carga dentro do cabeçalho que contém as informações de roteamento.
Depois que o servidor recebe a carga útil, ele descarta o cabeçalho, desencapsula a carga útil e a envia ao destino.
Todos os pacotes de dados transmitidos através de uma rede VPN são encapsulados usando uma base VPN ou
um protocolo de operadora. O pacote de dados encapsulado é então enviado através do túnel e posteriormente
desencapsulado na extremidade do receptor.
Por exemplo, um pacote TCP/IP encapsulado com um quadro ATM está oculto dentro do quadro ATM.
Ao receber o quadro ATM, o pacote encapsulado é desencapsulado para extrair o pacote TCP/IP.
Módulo 05 Página 385 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O objetivo principal é fornecer uma camada extra de segurança a cada pacote que trafega pela Internet. Esses
protocolos definem a forma como os pacotes são enviados e recebidos pelo ISP.
ÿ Túnel voluntário: No túnel voluntário, a máquina cliente estabelece uma conexão virtual com o servidor de
túnel de destino. O tunelamento voluntário pode ser configurado somente quando houver uma conexão
existente entre o cliente e o servidor.
ÿ Túnel obrigatório: No túnel obrigatório, a máquina cliente não é o ponto final do túnel. Um servidor de
acesso remoto configura e cria o túnel. Um servidor de acesso dial-up atua como o ponto final do túnel.
ÿ Point-to-Point Tunneling Protocol (PPTP): Este protocolo permite a criptografia multiprotocolo e encapsula
o cabeçalho IP que é direcionado pela Internet. Usado em conexões VPN remotas e site a site, o PPTP
gerencia o encapsulamento usando uma conexão TCP e encapsula quadros PPP em datagramas IP.
ÿ Layer 2 Tunneling Protocol (L2TP): L2TP permite criptografia multiprotocolo e transferência de dados
através de qualquer meio que suporte entrega ponto a ponto. O L2TP é instalado usando o protocolo TCP/
IP. O encapsulamento usa L2TP e consiste nas duas camadas a seguir.
o Encapsulamento IPsec: A mensagem L2TP após a primeira camada é encapsulada usando IPsec, que
encapsula o cabeçalho de carga útil de segurança, trailer de autenticação IPsec e um cabeçalho IP
final.
Módulo 05 Página 386 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Secure Shell (SSH): SSH é um serviço orientado a conexão que usa criptografia de chave pública para
autenticar um usuário remoto. Ele inclui os dois tipos de recursos a seguir:
o Encaminhamento de porta
o Túneis seguros
ÿ Socket Secure (SOCKS): SOCKS permite que clientes se comuniquem com servidores de Internet
através de firewalls. SOCKS é empregado em servidores proxy.
Módulo 05 Página 387 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Núcleo VPN
Funcionalidade: ÿ Os pacotes enviados por VPN são
criptografados para manter a
confidencialidade das informações
Criptografia
ÿ Os pacotes são lidos descriptografando com
a chave de criptografia do remetente
ÿ VPN Comum
Tecnologias de criptografia Certificado Filial
Autoridade (CA)
gerenciados pelo
ÿ VPN aberta servidor de certificados
Escritório principal
Escritório em casa
Uma VPN usa criptografia para fornecer uma camada adicional de segurança aos dados transmitidos pela
VPN. A criptografia desempenha um papel importante quando dados confidenciais em uma organização
são transferidos pela Internet. Todos os dados que entram no túnel VPN são criptografados e a
descriptografia é realizada assim que os dados chegam ao final do túnel. Uma chave de criptografia é
usada no processo de criptografia e descriptografia. A criptografia desabilita o monitoramento, registro ou
adulteração dos dados em uma organização.
A criptografia ajuda a proteger os dados que passam pela rede. O remetente criptografa os dados que
passam pela rede e o destinatário descriptografa os dados. Nenhuma criptografia é necessária no link de
comunicação entre um cliente dial-up e o provedor de serviços interno, pois o processo de criptografia
ocorre entre o cliente VPN e o servidor VPN.
Módulo 05 Página 388 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Na criptografia VPN, tanto o remetente quanto o destinatário devem ter uma chave de criptografia comum que é enviada
junto com os dados. Se um pacote que trafega pela conexão VPN não tiver as chaves associadas a ele, ele não terá
utilidade para o computador. Existem muitos mecanismos para determinar o comprimento da chave de criptografia. A
criptografia de mensagens usando a mesma chave permite a fácil interpretação dos dados criptografados. O
administrador sempre pode selecionar as chaves de criptografia usadas para uma conexão.
ÿ Um pacote é criptografado usando uma chave de criptografia. A chave é conhecida apenas pelo remetente e
o receptor.
ÿ Algoritmo DES Triplo: É um bloco de dados de 64 bits que processa cada bloco três vezes com uma chave de
56 bits. 3DES elimina as chances de quebrar a chave de criptografia.
ÿ Secure Socket Layer (SSL): SSL é uma tecnologia segura que permite a comunicação entre um servidor e um
cliente. A tecnologia SSL permite a transmissão segura de números de cartão de crédito, credenciais de login,
etc. pela Internet.
ÿ Open VPN: É uma VPN de código aberto e funciona com o protocolo SSL.
Módulo 05 Página 389 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ IPSec
ÿ MS-CHAP
ÿ Kerberos
Internet
Bem sucedido
3. Autorização
solicitada
A autenticação é parte integrante da tecnologia VPN, pois os hosts que recebem a comunicação VPN devem
garantir a autenticidade dos hosts que iniciam e enviam as conexões VPN. Os usuários devem ser autenticados
para acessar a VPN e seus recursos, e a autenticação usa certificados digitais. Uma VPN emprega os três tipos de
autenticação a seguir.
ÿ Autenticação do usuário: Neste tipo de autenticação, a VPN emprega o conceito de autenticação mútua. O
servidor VPN autentica o cliente VPN para verificar se o cliente tem permissão para se conectar. Além
disso, o cliente VPN pode autenticar um servidor VPN para obter as permissões adequadas.
ÿ Autenticação do computador com L2TP/IPsec: Os computadores de acesso remoto são autenticados para
permissões apropriadas usando IPsec e L2TP/IPsec.
ÿ Autenticação e integridade de dados: Todos os pacotes L2TP/IPsec enviados são incluídos com uma soma
de verificação criptográfica baseada na chave de criptografia. Somente o remetente e o destinatário
conhecem essa soma de verificação. Isso é para garantir que os dados enviados não sejam manipulados
durante o trânsito.
ÿ Família IPsec
o Internet Protocol Security (IPsec): Todo o tráfego de aplicativos é protegido usando a rede IP. O IPsec
conduz autenticação de sessão e autenticação de pacote de dados para quaisquer duas entidades
conectadas com segurança. O IPsec garante uma conexão segura entre duas redes ou redes remotas
para a rede principal.
o Layer 2 Tunneling Protocol (L2TP): Este protocolo inicia uma conexão entre duas conexões L2TP.
L2TP é sempre combinado com IPsec para confirmar a segurança.
Módulo 05 Página 390 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Kerberos
O Kerberos consiste em um registro de clientes e suas chaves privadas. Somente o cliente e o Kerberos
conhecem os detalhes da chave privada, e o Kerberos gera chaves de sessão que criptografam as
mensagens entre dois clientes.
O PAP usa um mecanismo de autenticação de texto não criptografado para autenticar usuários. Ele envia
um nome de usuário e senha de acordo com a solicitação do NAS. O NAS recebe o nome de usuário e a
senha em texto não criptografado, o que implica que o NAS recebe os detalhes de forma não criptografada.
Isso torna mais fácil para os invasores estabelecerem uma conexão com o NAS para adquirir todas as
informações.
O SPAP é um mecanismo de criptografia reversível que é mais seguro que o PAP. O SPAP desempenha
seu papel quando um cliente Shiva tenta acessar um servidor. No entanto, esse mecanismo de autenticação
é menos seguro que o CHAP (Challenge Handshake Authentication Protocol) ou o Microsoft CHAP (MS-
CHAP).
O CHAP é mais seguro que o PAP e usa uma técnica de autenticação de criptografia, que transmite uma
representação de senha em vez de uma senha real durante o processo de autenticação. O servidor envia
uma mensagem de desafio ao cliente para autenticar os usuários. Os usuários respondem com um valor de
hash criado usando um algoritmo de hash. O servidor então compara esse valor de hash com seu próprio
cálculo do hash. Se eles corresponderem, a autenticação será confirmada. O cliente remoto cria um hash do
ID da sessão, desafio e senha. Ele usa o algoritmo de hashing unidirecional MD-5.
O MS-CHAP usa um servidor de acesso remoto para enviar um identificador de sessão e uma string de
desafio para o cliente de acesso remoto. O cliente, por sua vez, envia uma forma criptografada do identificador
e da string de desafio para o servidor. Este formulário criptografado é irreversível.
Com o EAP, os dados para autenticação são comparados com um servidor de banco de dados de
autenticação. O protocolo de autenticação EAP permite que novos plug-ins sejam adicionados no cliente e
no servidor.
Módulo 05 Página 391 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tecnologias VPN
01 VPNs confiáveis VPNs seguras 02
ÿ Foram usados antes da Internet se tornar ÿ Usado quando a Internet se tornou um meio de
universal comunicação corporativa
ÿ As organizações conhecem e controlam a via de ÿ O tráfego criptografado age como um túnel entre duas
transmissão redes, mesmo que um invasor veja o tráfego não
será capaz de lê-lo
ÿ Um provedor de comunicação confiável para o cliente
mantém a integridade e a segurança, mas não a ÿ VPNs seguras são redes construídas usando
criptografia, são chamadas de VPNs confiáveis criptografia
VPNs híbridas
VPN segura
VPN segura
ÿ Uma VPN segura faz parte de
uma VPN confiável, criando
VPN confiável
uma VPN híbrida
VPN híbrida que consiste em
uma VPN segura em uma
ÿ A parte segura de uma VPN intermediária confiável
VPN híbrida é
administrada pelo cliente
ou pelo
provedor, que VPN segura
Tecnologias VPN
A tecnologia VPN permite que as organizações conectem usuários móveis e remotos com acesso
à rede e também conectem filiais separadas da mesma organização a uma única rede. A seguir
estão as tecnologias comuns usadas para implantar VPNs para transmissão segura de dados.
Módulo 05 Página 392 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
VPN confiável
Mesmo antes da popularidade da Internet, os provedores de serviços forneciam aos clientes circuitos específicos que
não podiam ser usados por mais ninguém. As empresas alugavam circuitos de um provedor de comunicações e os
usavam da mesma maneira que cabos físicos em uma LAN privada. As organizações conhecem e controlam o caminho
para sua transmissão. Isso deu privacidade aos clientes e a capacidade de ter seus próprios endereços IP e políticas.
Para fornecer medidas de segurança e evitar o sniffing dos dados, os provedores de VPN são encarregados de manter a
integridade do circuito. Esse tipo de VPN é chamado de VPN confiável. As tecnologias usadas para implementar VPNs
confiáveis em uma rede IP são circuitos de modo de transferência assíncrona (ATM), circuitos de frame relay e MLPS.
O ATM e o frame relay operam na camada 2 do modelo OSI, e o MLPS opera entre a camada de enlace de dados e a
camada de rede. Os requisitos para uma VPN confiável são os seguintes:
ÿ Quaisquer alterações no caminho de uma VPN podem ser feitas apenas por uma VPN confiável.
ÿ Todos os métodos de roteamento e endereçamento precisam ser descritos antes de criar uma VPN confiável.
ÿ Somente um provedor de VPN pode injetar, alterar ou excluir os dados no caminho de uma VPN.
VPN segura
VPNs seguras são usadas quando a Internet se tornou um meio de comunicação corporativa. O principal objetivo por
trás da implementação de uma VPN segura é garantir a segurança completa dos dados em trânsito. Em uma VPN
segura, todos os pacotes de dados enviados pelo túnel passam por um processo de criptografia em uma extremidade do
túnel e um processo de descriptografia na outra extremidade. Isso impede qualquer tentativa de um invasor de obter
dados em trânsito. As VPNs seguras protegem a confidencialidade e a integridade dos dados, mas não garantem o
caminho de transmissão. Os principais requisitos para VPNs seguras são os seguintes:
ÿ Todos os pacotes de dados no tráfego são criptografados e autenticados antes de enviar para o
cliente.
VPN híbrida
As VPNs híbridas são aquelas com VPNs confiáveis como parte de VPNs seguras. Eles implementam diferentes
componentes de rede de uma organização simultaneamente para confirmar a segurança a custos muito baixos. Um
profissional de segurança leva mais tempo para diferenciar a transferência de dados entre as VPNs confiáveis que fazem
parte das VPNs seguras. A parte segura de uma VPN híbrida é administrada pelo cliente ou pelo provedor da parte
confiável da VPN híbrida. Os principais requisitos para VPNs híbridas são os seguintes:
ÿ Deve haver uma diferenciação clara entre a VPN confiável e a VPN segura.
Módulo 05 Página 393 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 394 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Topologias VPN
ÿ Uma topologia VPN especifica como os pares e as redes dentro de uma VPN são conectados
Topologia em estrela
Topologias VPN
Uma topologia VPN lida principalmente com as especificações de como os nós em uma rede estão conectados e como eles
se comunicam com os outros nós. Uma VPN permite que empresas em redes diferentes se comuniquem com compartilhamento
de dados. As topologias VPN permitem que uma organização projete a maneira como se comunica com outras redes. A
seguir estão as diferentes topologias VPN:
ÿ Hub-and-spoke
ÿ Ponto a Ponto
ÿ
Malha completa
ÿ Estrela
É importante observar que a seleção de topologias depende dos requisitos da organização. Por exemplo, uma topologia em
estrela é mais adequada em ambientes onde a empresa precisa compartilhar informações com outra empresa localizada em
uma rede diferente. Uma topologia de malha é mais adequada para uma intranet.
Módulo 05 Página 395 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
VPN hub-and-spoke
Topologia Falou
Filial
Falou
Túnel
dispositivo central (hub) CUBO
Internet
Na tecnologia hub-and-spoke, a organização principal é considerada o hub e seus escritórios remotos são
considerados os spokes. Os spokes acessam a VPN por meio do hub. Essa topologia é usada principalmente
em bancos e organizações internacionais. O hub controla os dois tipos de comunicação a seguir:
Essa topologia é usada para representar uma VPN de intranet conectando o escritório principal de uma
organização a seus escritórios regionais. Os hubs facilitam o compartilhamento de grandes quantidades de
dados. Existem túneis separados para transferência de dados entre o hub e um spoke. Todas as transferências
de dados ocorrem por meio do hub. A topologia hub-and-spoke pode se tornar uma topologia multinível,
dependendo do crescimento da rede.
Em uma rede multi-site, o hub central controla a transferência de dados ou é considerado o gateway para os
sites remotos se comunicarem entre si. Por exemplo, uma torre de telefonia celular em uma área é o hub e
todos os dispositivos móveis dentro e ao redor da torre de telefonia celular são os raios. Um profissional de
segurança deve sempre estudar minuciosamente a tecnologia hub-and-spoke em sua rede.
Vantagens
Módulo 05 Página 396 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Essa topologia oferece segurança aprimorada, pois cada dispositivo na rede é separado
outros através de uma única conexão com o hub.
ÿ Essa topologia fornece alto desempenho, centralização e simplicidade.
Desvantagens
ÿ Qualquer problema no hub pode afetar a conexão entre o hub e um spoke e a conexão entre
diferentes spokes.
A figura ilustra claramente a topologia hub-and-spoke. Na figura, cada raio nas filiais estabelece uma
conexão segura com o hub na sede. Essas conexões seguras são estabelecidas pela Internet. O
escritório principal pode ter mais de um hub em
por vez, mas apenas um hub é usado para se conectar a cada spoke. Os outros hubs são mantidos como hubs de
backup para flexibilidade.
Módulo 05 Página 397 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Essa topologia funciona bem se o tráfego estiver entre o hub e o spoke, em vez de entre spokes ou sites remotos.
Isso ocorre porque o tráfego entre dois spokes precisa passar pelo hub antes de ser encaminhado para o respectivo
spoke. Isso aumenta a chance de um gargalo no hub devido ao aumento das conexões spoke-to-spoke. Todas as
tecnologias IPsec podem ser usadas nessa topologia.
Se o hub enfrentar algum problema de conexão, o failover de IPsec transfere a conexão para um hub de backup
para ser usado por todos os spokes. É possível configurar vários hubs como hub principal.
Módulo 05 Página 398 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3
Ao contrário da topologia Hub-and-Spoke, Essa topologia trata dois terminais Somente IPsec regular ou IPsec/GRE
os escritórios em locais diferentes podem como dois dispositivos pares é atribuído ao túnel, pois qualquer
se comunicar diretamente uns com os participando da comunicação um dos dispositivos pares pode
outros sem qualquer failover de IPsec iniciar a comunicação
Seguro
VPN ponto a ponto Túnel
Internet
Topologia
Local 1 Local 2
Em uma topologia ponto a ponto, quaisquer dois pontos finais são considerados como dispositivos pares que podem se
comunicar entre si. Qualquer um dos dispositivos pode ser usado para iniciar a conexão. Ao contrário de uma topologia
hub-and-spoke, os escritórios em locais diferentes podem se comunicar diretamente entre si sem qualquer failover de
IPsec. A tecnologia IPsec atribuída pode ser IPsec ou IPsec/GRE.
As VPNs ponto a ponto IPsec regulares são comumente configuradas e conhecidas como extranets. É aqui que uma
conexão é estabelecida entre um dispositivo em uma rede gerenciada regularmente e um dispositivo não gerenciado na
rede do provedor de serviços.
ÿ Usa um processo de tunelamento para capturar pacotes de dados com pacotes IP normais para encaminhamento
através de redes baseadas em IP
Módulo 05 Página 399 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Internet Seguro
Seguro Túnel
Seguro
ÿ Uma conexão ponto a ponto é Túnel
Túnel
estabelecida entre cada
dispositivo, evitando um Seguro
Túnel
gargalo no gateway VPN e
economizando criptografia/
descriptografia
a sobrecarga Local 3 Local 4
Em uma rede VPN totalmente em malha, todos os pares podem se comunicar entre si, tornando-a uma rede complexa. Essa
topologia é adequada para redes complicadas em que todos os pares se comunicam entre si. Essa topologia permite que
todos os dispositivos da rede se comuniquem diretamente entre si por meio de um túnel IPsec. Uma conexão ponto a ponto é
estabelecida entre cada par de dispositivos, evitando um gargalo no gateway VPN e economizando sobrecarga de criptografia/
descriptografia. Uma VPN totalmente em malha pode implementar tecnologias IPsec, IPsec/GRE e GET VPN normais.
Vantagens
Desvantagens
ÿ
Aumenta o número de dispositivos conectados à rede, dificultando a
gerir.
Módulo 05 Página 400 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 401 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Topologia em estrela
Filial Filial
ÿ Essa topologia permite que filiais remotas se comuniquem com
segurança com a sede corporativa
outra agência
Topologia em estrela
Essa é a topologia mais comumente usada nas organizações. Nesta topologia, todos os escritórios remotos se comunicam
com o escritório corporativo, mas a comunicação entre os escritórios remotos é negada. Cada dispositivo na rede está
conectado a um hub central que gerencia o tráfego pela rede.
Módulo 05 Página 402 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Na figura, todas as filiais podem se comunicar entre si por meio da sede corporativa. Porém, nesta topologia, duas
filiais não podem iniciar uma comunicação separada, pois estas são permitidas apenas através da rede corporativa.
Vantagens
ÿ
É mais adequado para infraestrutura financeira, pois o comprometimento de um sistema não compromete
outra agência sem detecção.
ÿ Qualquer ataque a filiais pode ser realizado apenas por meio da filial principal. Qualquer manipulação na rede
pode ser facilmente detectada pelos profissionais de segurança.
ÿ
É fácil adicionar e remover novas filiais ao escritório principal sem afetar os sites vizinhos. No entanto, é
obrigatório atualizar o site principal quanto à adição ou remoção de sites.
Desvantagens
Módulo 05 Página 403 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// openvpn.net
https:// openvpn.net
O OpenVPN fornece soluções VPN flexíveis para proteger as comunicações de dados para privacidade na Internet,
acesso remoto para funcionários, proteção de IoT ou para centros de dados em nuvem de rede. É uma solução de
software de servidor VPN que pode ser implantada localmente usando servidores padrão ou dispositivos virtuais; ele
também pode ser implantado na nuvem.
Módulo 05 Página 404 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Armazenamento inseguro de
Credenciais de Autenticação 02 06 Falta de bloqueio de conta
Orientação deficiente e
Quebra de senha offline 04 08 Documentação
A técnica de impressão digital VPN permite que o invasor acesse informações úteis, como o tipo de conexões
implementadas, os dispositivos usados e os sistemas operacionais implantados. Alguns sistemas, como Cisco PIX
e Nortel Contivity, podem revelar dados cruciais, como o tipo geral de dispositivos implantados para construir a
rede, enquanto outros sistemas exibem detalhes da versão do software.
Certos problemas de segurança ocorrem se as credenciais não forem armazenadas e protegidas adequadamente.
Esses problemas de segurança são devidos a um método inseguro de armazenamento de credenciais de
autenticação por clientes VPN.
Muitas VPNs de acesso remoto usam o modo IKE agressivo com um método de autenticação de chave pré-
compartilhada. O cliente envia um pacote IKE para o servidor VPN, que
Módulo 05 Página 405 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
responde usando outro pacote IKE. Esses pacotes contêm várias cargas úteis; a carga de identidade contém o
nome de usuário e a carga de hash contém a senha.
Um invasor pode confirmar a diferença entre nomes de usuário válidos e inválidos de seus
diferenças computacionais. Além disso, um invasor pode adivinhar a senha correta usando o modo agressivo
IKE e descobrir facilmente o hash do servidor VPN. Esse hash pode ser usado com um ataque de força bruta
para obter a senha.
A quebra de senha offline é uma das falhas mais comuns de uma VPN. Um invasor pode quebrar uma senha off-
line obtendo acesso aos hashes de senha. Depois que o invasor obtém as credenciais do usuário, ele pode
facilmente obter acesso de hash do servidor VPN.
Senhas simples contendo palavras simples podem aumentar a frequência de quebra de senha.
ÿ Ataques Man-in-the-middle
Os invasores podem usar protocolos de autenticação inseguros, como IKE, para realizar ataques man-in-the-
middle em uma VPN. Nesse tipo de ataque, um invasor intercepta a comunicação entre o cliente e o servidor e
obtém a autenticação do cliente no servidor. Os ataques man-in-the-middle ocorrem durante a transferência de
dados por meio da VPN e permitem que um invasor intercepte, insira, exclua e modifique mensagens; refletir as
mensagens de volta ao remetente; reproduzir mensagens antigas; e redirecionar mensagens.
O principal objetivo de usar o recurso de bloqueio de conta é restringir o número de tentativas de login a um
determinado limite. Se um usuário continuar tentando fazer login além do limite, a conta será bloqueada
automaticamente. Esse recurso evita ataques de quebra de senha, como força bruta e ataques de dicionário. Os
invasores podem aproveitar a falta de um recurso de bloqueio de conta para obter credenciais de conta, e a falta
desse recurso reduz a segurança da conta.
Quase todas as organizações têm uma configuração automatizada. No entanto, se a organização usar a
configuração padrão da VPN, os invasores poderão explorar essas configurações padrão para comprometer a
segurança da VPN. As configurações padrão suportam muitas cifras e modos, ESP e AH. Um invasor com
acesso à máquina cliente pode solicitar ao usuário final que use uma cifra mais fraca, o que facilitará o ataque.
O usuário final pode não perceber que a cifra e a configuração foram alteradas, pois a VPN continuará
funcionando normalmente.
Módulo 05 Página 406 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Usando cifras fracas, como DES de grau de exportação ou único, que podem ser quebradas facilmente
o Usando técnicas de autenticação de chave fraca, como uma chave pré-compartilhada com o modo
agressivo IKE, que envia o nome de usuário e a senha offline vulnerável para quebrar se um nome de
usuário válido for identificado
Módulo 05 Página 407 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Segurança VPN
Segurança VPN
Esta subseção discute várias medidas de segurança VPN.
Módulo 05 Página 408 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
firewalls ÿ Antes de implementar uma VPN, certifique-se de que um bom firewall esteja instalado
Firewall
Rede corporativa
firewalls
Os firewalls estabelecem uma barreira de proteção entre a VPN e a Internet. Antes de implementar
uma VPN, certifique-se de que um bom firewall esteja instalado. Um firewall pode permitir ou negar o
fluxo de dados pela rede. Os firewalls devem ser configurados para restringir as portas abertas, bem
como os tipos de pacotes e protocolos que podem passar para a VPN. Eles também são usados para
encerrar sessões VPN. Os firewalls geralmente ajudam a proteger a rede contra invasores.
Os firewalls podem ser usados das duas maneiras a seguir com uma VPN.
o Aqui, os filtros de pacotes são adicionados para permitir apenas o tráfego VPN de e para o endereço IP do
o servidor VPN.
ÿ Um firewall está conectado à Internet e o servidor VPN está localizado entre o firewall
e intranet.
o Aqui, o firewall possui filtros de entrada e saída na interface da Internet para manter
tráfego e a passagem de tráfego para o servidor VPN.
Módulo 05 Página 409 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 410 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Servidor IPsec
ÿ O servidor IPsec aprimora a segurança VPN por meio do
uso de algoritmos de criptografia fortes e autenticação
modo túnel
Servidor IPsec
ÿ Modo de Transporte
Este é o modo padrão para um servidor IPsec. Eles geralmente são usados para comunicação de
ponta a ponta entre um servidor e um cliente. No modo de transporte, o IPsec criptografa a carga
IP por meio de um cabeçalho de autenticação (AH) ou cabeçalho de carga de segurança
encapsulada (ESP). As cargas IP podem ser segmentos TCP (contendo um cabeçalho TCP e
dados de segmento TCP), mensagens UDP (contendo um cabeçalho UDP e dados de mensagem)
ou mensagens ICMP (contendo um cabeçalho ICMP e dados de mensagem ICMP).
Módulo 05 Página 411 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o ESP no modo de transporte: O cabeçalho IP original é movido para a posição frontal. Colocar o cabeçalho
IP do remetente na posição frontal, fazendo pequenas alterações no ID do protocolo, provará que o modo
de transporte não protegerá ou criptografará o cabeçalho IP original, e o ESP será reconhecido no novo
cabeçalho IP com um ID do protocolo IP de 50.
ÿ Modo túnel
No modo de túnel, o IPsec criptografa a carga IP e o cabeçalho para proteger um pacote IP inteiro,
encapsulando-o com um cabeçalho AH ou ESP e um cabeçalho IP adicional. Este modo é útil para proteger o
tráfego entre redes diferentes e é usado principalmente para interoperabilidade com gateways.
O modo de túnel do IPsec geralmente é implementado em configurações como gateway a gateway, servidor
a gateway e servidor a servidor. O modo de túnel IPsec é útil para proteger o tráfego enquanto ele passa por
redes não confiáveis.
o AH em modo túnel: O cabeçote AH pode ser utilizado individualmente ou em conjunto com o ESP. Ele
defende o pacote inteiro. Porém, o AH não resguarda todos os campos do novo cabeçalho IP caso haja
alguma alteração no trânsito. No entanto, salvaguarda tudo o que não muda no trânsito. AH é reconhecido
no novo cabeçalho IP com um ID de protocolo IP de 51.
Módulo 05 Página 412 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 413 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Servidor AAA
ÿ O servidor AAA é usado para estabelecer acesso seguro em um ambiente VPN de acesso remoto
ÿ Quem é você? ÿ O que você pode fazer? ÿ O que você realmente faz?
Servidor AAA
Autenticação, autorização e contabilidade (AAA) fornecem acesso seguro adicional em um ambiente de acesso remoto. Um
servidor AAA fornece aos usuários uma camada extra de proteção e controle quando comparado a uma lista de controle de
acesso (ACL) sozinha. Uma ACL permite que usuários externos acessem Telnet na rede DMZ. A AAA concede permissões
apenas a alguns usuários para acessar o aplicativo após a ocorrência da autorização e autenticação adequadas. Isso pode ser
implementado usando o seguinte:
ÿ Quem você é (autenticação) é estabelecido pela verificação das credenciais do usuário, como nome de usuário e senha.
ÿ O que você tem permissão para fazer (autorização) é verificado para oferecer controles de acesso, como comandos de
gerenciamento, acesso à rede e acesso VPN.
ÿ O que você realmente faz (contabilidade) refere-se ao tipo de tráfego que os usuários acessam através da VPN. Essa
opção rastreia o tráfego que passa pela VPN e registra todas as atividades do usuário.
ÿ RAIO
ÿ TACACS+
ÿ RSA SecurID
ÿ Windows NT
ÿ Kerberos
ÿ LDAP
Módulo 05 Página 414 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 maneira mais simples de usar a autenticação centralizada 4 por meio de um domínio do Windows usando um nome
em VPNs de usuário e uma senha (normalmente um controlador de
domínio do Windows)
Em um ambiente VPN, o RADIUS gerencia a autenticação O equipamento VPN deve se comunicar com segurança
e a autorização do usuário. Isso reduz o custo total de com o servidor RADIUS e verificar se o usuário atende a
3 propriedade ao gerenciar as credenciais de um local central
6 determinadas condições definidas antes de conceder
permissão para acessar a rede
Internet
VPN
Porta de entrada
DualSheild
Servidor Radius
HTTP
DualSheild Ativo
Autenticação
Diretório
Servidor
O Remote Authentication Dial-In User Service (RADIUS) é o método mais simples para usar autenticação centralizada
em VPNs. RADIUS é um protocolo cliente/servidor que autentica e autoriza os usuários de discagem a acessar o
sistema ou dispositivo. É um aplicativo de software que é executado em um servidor e tem acesso a todos os usuários
do domínio. O RADIUS mantém perfis em seus bancos de dados que permitem que os servidores remotos compartilhem
os dados, bem como uma administração centralizada dos dados.
Módulo 05 Página 415 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As empresas que usam uma rede VPN implementam RADIUS para autenticação de dados. Isso reduz o
custo total de propriedade porque as credenciais são gerenciadas de um local central.
No RADIUS, o servidor VPN interage com o servidor RADIUS assim que o usuário tenta uma conexão. O
servidor RADIUS autentica o usuário com suas credenciais. O acesso é concedido ao usuário se e somente
se ele fornecer as credenciais corretas e tiver acesso discado. O servidor RADIUS envia uma mensagem
RADIUS ao cliente RADIUS em resposta à solicitação de autenticação. O equipamento VPN deve se
comunicar com segurança com o servidor RADIUS e verificar se o usuário atende a determinadas condições
definidas antes de conceder permissão para acessar a rede.
As mensagens RADIUS são enviadas como mensagens UDP (User Datagram Protocol), e a carga UDP de
um pacote RADIUS pode incluir apenas uma mensagem RADIUS.
ÿ Rejeição de acesso: Enviado pelo servidor de acesso ao cliente RADIUS, informando que o
solicitação de conexão é rejeitada
Módulo 05 Página 416 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma mensagem RADIUS consiste em um cabeçalho RADIUS e atributos RADIUS. Os atributos RADIUS fornecem informações
sobre o número de tentativas de conexão, nome de usuário, senha, serviço solicitado pelo usuário etc., cada um com um atributo
RADIUS separado. Os atributos RADIUS são compartilhados entre servidores RADIUS, clientes RADIUS e proxies RADIUS.
ÿ Acessar clientes
ÿ Servidores de acesso
ÿ Proxies RADIUS
ÿ Servidores RADIUS
Módulo 05 Página 417 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Existem inúmeros benefícios na configuração de uma VPN PPP-SSH. É mais simples que os outros tipos de VPN.
PPP e SSH são embutidos na maioria das distribuições, e a maioria dos kernels são pré-configurados para utilizá-
los bem. Se o protocolo SSH atualmente cruzar o firewall da organização, o PPP sobre SSH também cruzará o
firewall. As VPNs PPP-SSH não têm problemas com endereços IP dinâmicos.
Configurar uma VPN em uma conexão discada não será um problema no caso de VPNs PPP-SSH, e vários túneis
para um único computador podem ser configurados. O usuário deve garantir que o endereço IP de cada interface
de rede do túnel seja discreto. Para estabelecer conexões SSH, são necessários um cliente VPN e servidores.
Tanto o cliente quanto o servidor possuem daemons PPP que se comunicam por meio da conexão SSH.
Módulo 05 Página 418 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O protocolo ponto a ponto (PPP) sobre uma conexão Secure Socket Layer (SSL) fornece suporte integrado para
autenticação de host por meio de certificados digitais.
ÿ As mensagens “Hello” estabelecem a versão SSL, suporte para conjuntos de cifras e alguns aleatórios
dados.
Módulo 05 Página 419 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um concentrador de VPN é usado para VPNs de acesso remoto e permite o uso de um túnel criptografado para
acessar com segurança uma rede corporativa ou qualquer outro tipo de rede via Internet. Os modelos de
concentradores diferem dependendo do número de usuários e da taxa de transferência. Um concentrador de VPN
também é usado para criptografar WLAN ou tráfego com fio.
Um concentrador não deve ser confundido com um gateway ou firewall. É um dispositivo especializado que recebe
uma conexão de pares VPN autenticando-os. Ele aplica as políticas de segurança com relação à rede privada virtual.
Ele elimina a sobrecarga de gerenciamento e criptografia de VPN de gateways e hosts locais. Além disso, reduz o
custo operacional de administração da VPN. Para configurar uma conexão de rede, o usuário deve configurar o
concentrador e configurar o software cliente; para usar a VPN, o usuário deve usar o software cliente.
Módulo 05 Página 420 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 421 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O gerenciamento de incidentes e eventos de segurança (SIEM), também conhecido como informações de segurança
e gerenciamento de eventos, executa funções de centro de operações de segurança (SOC) em tempo real, como
identificação, monitoramento, registro, auditoria e análise de incidentes de segurança. Ele executa atividades de
detecção de ameaças e resposta a incidentes de segurança. O SIEM fornece segurança rastreando atividades
suspeitas de comportamento do usuário final em um ambiente de TI em tempo real.
Módulo 05 Página 422 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquitetura SIEM
Entrada do sistema
Dispositivos
Operativo Varreduras de Vulnerabilidade
Saída do sistema
Arquitetura SIEM
A tecnologia SIEM fornece serviços SEM e SIM. O SEM oferece suporte ao gerenciamento de ameaças e tratamento
de incidentes de segurança, coletando e analisando informações de eventos de diferentes fontes de dados em tempo
real. O SIM suporta gerenciamento e análise de log, monitoramento de conformidade e investigação forense de dados
registrados.
O SIEM aplica normalização e agregação a dados de eventos e dados contextuais coletados de diferentes fontes
internas e externas, como aplicativos de negócios, sistemas operacionais, dispositivos de rede, terminais,
gerenciamento de acesso, malware, vulnerabilidades e informações de identidade. As regras de correlação são
aplicadas aos dados normalizados para detectar incidentes de segurança. O SIEM monitora o acesso a servidores e
bancos de dados, realiza o monitoramento da atividade do usuário em vários sistemas e aplicativos em tempo real e
fornece proteção contra várias ameaças internas e externas.
Módulo 05 Página 423 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 424 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Funções SIEM
Correlação de eventos
2 8 Alerta em tempo real
Monitoramento de atividades do
3 Log forense 9 usuário e painéis
Funções SIEM
ÿ Coleta de log: o SIM coleta e registra dados de diferentes fontes, como redes, aplicativos, dispositivos e atividade
do usuário em tempo real em um repositório central para análise e geração de relatórios.
ÿ Análise de Log: SEM realiza monitoramento e análise em tempo real de incidentes de segurança.
O SIEM monitora todas as políticas de segurança, mecanismos (confidencialidade, autenticação, autorização,
etc.) e dispositivos e aplicativos (IDS/IPS, firewall, etc.) em tempo real. Ele detecta atividades maliciosas e
emite alertas sobre eventos relacionados à segurança.
ÿ Correlação de eventos: o SIEM realiza correlação de eventos em tempo real e alerta analistas e administradores
para proteger a rede corporativa contra ameaças internas e externas.
O SIEM usa regras para correlacionar eventos dentro de um período de tempo para entender as inter-relações
entre os eventos e emitir alertas para invasões e ameaças internas.
ÿ Forense de log: o SIEM coleta, registra e rastreia informações de diferentes recursos na rede corporativa. Além
disso, ele realiza análises forenses e gera vários relatórios forenses, como relatórios de atividade do usuário,
relatórios de conformidade e relatórios de auditoria.
ÿ Conformidade e relatórios de TI: o SIEM garante a conformidade em tempo real com vários regulamentos do
setor, como FISMA, PCI/DSS e HIPAA. Ele coleta automaticamente as informações necessárias para o
cumprimento das políticas organizacionais e governamentais e gera relatórios de conformidade.
ÿ Monitoramento de log de aplicativos: SIEM monitora arquivos de log de vários sistemas operacionais,
servidores e aplicativos da web e gera relatórios de análise quando eventos de segurança são detectados.
Módulo 05 Página 425 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Auditoria de acesso a objetos: o SIEM coleta e gerencia com eficácia todos os logs de auditoria de acesso a objetos no
repositório central. Isso ajuda a rastrear tentativas bem-sucedidas e malsucedidas de acessar recursos organizacionais.
ÿ Agregação de dados: Usando a agregação de dados, o SIEM agrega todos os eventos semelhantes em um relatório
resumido. Este relatório ajuda os analistas de segurança a investigar melhor vários eventos relacionados à segurança
de forma eficaz.
ÿ Alerta em tempo real: o SIEM emite notificações em tempo real por meio de métodos como painéis intuitivos, e-mails ou
mensagens de texto para alertar os analistas sobre eventos de segurança.
ÿ Monitoramento da atividade do usuário: o SIEM rastreia o comportamento suspeito do usuário e gera relatórios de
atividade do usuário. Ele fornece monitoramento de atividade de usuário, monitoramento de atividade de usuário
privilegiado e relatórios de auditoria.
ÿ Painéis: SIEM utiliza painéis para informar os analistas e administradores de segurança para tomar ações defensivas
rapidamente e tomar as decisões corretas durante eventos de segurança.
ÿ Monitoramento de log de sistema e dispositivo: o SIEM fornece monitoramento estático e dinâmico de sistemas e
redes empresariais. Ele analisa os dados de log para identificar atividades suspeitas relacionadas ao comprometimento
do sistema. Ele coleta, correlaciona e avalia dinamicamente dados de sistemas e dispositivos heterogêneos na rede
para detectar ataques o mais cedo possível, antes de qualquer dano significativo aos recursos da empresa.
ÿ Retenção de log: o SIEM armazena os dados registrados em um repositório central por longos períodos para atender
aos requisitos regulamentares e de conformidade e para conduzir análises forenses, investigações e auditorias
internas. Os dados de log armazenados no repositório central são geralmente criptografados e com registro de data e
hora para proteger os dados contra adulteração.
Módulo 05 Página 426 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Soluções SIEM
Uma solução SEIM orientada por análises que fornece o que você precisa para detectar
Splunk ES
e responder rapidamente a ataques internos e externos
ArcSight ESM
https:// www.microfocus.com
AlienVault OSSIM
https:// cybersecurity.att.com
FortiSIEM
https:// www.fortinet.com
Soluções SIEM
ÿ Splunk Enterprise
O Splunk Enterprise Security (ES) é uma solução SEIM orientada por análises que fornece as informações
necessárias para detectar e responder rapidamente a ataques internos e externos.
o Ele automatiza a coleta, indexação e alerta de dados de máquina em tempo real que são críticos para as operações
de uma organização.
o Ele aproveita a inteligência artificial alimentada pelo aprendizado de máquina para ações
percepções.
Módulo 05 Página 427 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 428 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 429 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UBA é o processo de rastreamento do comportamento do usuário para detectar ataques mal-intencionados, ameaças
potenciais e fraudes financeiras. Ele fornece detecção avançada de ameaças em uma organização para monitorar
características comportamentais específicas dos funcionários. As tecnologias UBA são projetadas para identificar
quaisquer variações incomuns nos padrões de tráfego causadas por usuários, que podem ser funcionários descontentes
ou invasores mal-intencionados. O UBA é usado como um mecanismo de defesa para lidar com usuários anômalos
comportamento para superar os problemas mais complicados enfrentados pelos profissionais de segurança hoje.
Os funcionários que trabalham em uma empresa acessam diferentes sites, ferramentas e aplicativos. Todas as suas
atividades são registradas e monitoradas. Enquanto esses aplicativos estão em execução, existe a possibilidade de um
intruso obter acesso ao sistema de TI e roubar credenciais sem o conhecimento do usuário. Quando um intruso (atacante
externo ou interno) permanece na rede da empresa como um usuário legítimo, o UBA distingue esse comportamento
incomum da conta comparando as linhas de base de comportamento do usuário e do invasor; em seguida, emite um
alerta em seu banco de dados e destaca as pontuações de risco. Quando um alerta é emitido, uma notificação é enviada
ao dispositivo pessoal do usuário para confirmação. Caso o usuário não confirme esta atividade, ela é considerada uma
falha grave de segurança. Por meio do UBA, a conta do usuário pode ser desativada pelas equipes de segurança,
dependendo da gravidade do incidente e do nível de risco.
Módulo 05 Página 430 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3 4
Detecta internos e Identifica possíveis eventos de Analisa diferentes Monitora a geolocalização
externos maliciosos risco na TI padrões de comportamento para cada tentativa de login
em um estágio inicial a infraestrutura humano e grandes
volumes de dados do usuário
5 6 7 8
Detecta malicioso Monitora contas Fornece insights para as Produz resultados em breve
comportamento e reduz o risco privilegiadas e fornece alertas equipes de segurança após a implantação
em tempo real para
comportamento suspeito
ÿ Monitora contas privilegiadas e emite alertas em tempo real para insights de comportamento suspeito
para equipes de segurança
Módulo 05 Página 431 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramentas UBA/UEBA
(UBA)/Usuário e Entidade
As ferramentas de LogRhythm UEBA
comportamento (UEBA) coletam https:// logrhythm.com
Ferramentas UBA/UEBA
UBA ou ferramentas de análise de comportamento de usuário e entidade (UEBA) coletam detalhes da atividade do usuário
de várias fontes e usam inteligência artificial e algoritmos de aprendizado de máquina para executar o UBA para prevenir
e detectar várias ameaças antes que uma fraude seja perpetrada.
Módulo 05 Página 432 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discuta os fundamentos
Entenda diferente
Entenda diferente da VPN e sua importância
4 Tipos de Honeypots 5 Tipos de servidores 6 na rede
proxy e seus benefícios
Segurança
Módulo 05 Página 433 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Software anti-troiano
Kaspersky O Kaspersky Internet Security oferece proteção
McAfee® LiveSafe
Internet contra cavalos de Tróia, vírus, spyware, ransomware, https:// www.mcafee.com
Segurança phishing e sites perigosos
HitmanPro
https:// www.hitmanpro.com
Malwarebytes
https:// www.malwarebytes.org
Zemana Antimalware
https:// www.zemana.com
https:// www.kaspersky.com
Software anti-troiano
O software anti-Trojan é uma ferramenta ou programa projetado para identificar e impedir que cavalos de Tróia ou
malware maliciosos infectem sistemas de computador ou dispositivos eletrônicos. As ferramentas anti-Trojan podem
empregar estratégias de varredura, bem como freeware ou ferramentas licenciadas para detectar cavalos de Tróia,
rootkits, backdoors e outros tipos de software potencialmente prejudiciais.
O Kaspersky Internet Security protege os dispositivos contra vários tipos de invasões devido a cavalos de
Tróia, vírus, spyware, ransomware, phishing e sites perigosos. Ele armazena senhas com segurança para
facilitar o acesso no PC, Mac e dispositivos móveis. Ele faz cópias de backup de fotos, músicas e arquivos
e também criptografa dados no PC. Além disso, bloqueia automaticamente conteúdos impróprios e ajuda
a gerir a utilização das redes sociais. Além disso, oferece segurança extra quando você faz compras ou
transações bancárias online no PC ou Mac.
Módulo 05 Página 434 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Malwarebytes(https:// www.malwarebytes.org)
Módulo 05 Página 435 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Software antivírus
Bitdefender O Bitdefender Antivirus Plus funciona contra todas as ameaças – de vírus, worms e
Antivirus Plus Trojans, ransomware, explorações de dia zero, rootkits e spyware
ClamWin
http:// www.clamwin.com
Kaspersky Antivírus
https:// www.kaspersky.com
Software antivírus
É uma boa prática para as organizações instalar a versão mais recente do software antivírus e atualizá-lo regularmente
para acompanhar a introdução de novos vírus no mercado. A atualização do software antivírus pelos respectivos
fornecedores é um processo contínuo.
O Bitdefender Antivirus Plus funciona contra todas as ameaças, desde vírus, worms e trojans até ransomware,
exploits de dia zero, rootkits e spyware. Ele usa uma técnica chamada detecção comportamental para
monitorar de perto os aplicativos ativos. Assim que detecta atividades suspeitas, toma medidas decisivas
para prevenir a infecção. Ele detecta e bloqueia sites maliciosos que se disfarçam de sites confiáveis para
roubar dados financeiros, como senhas ou números de cartão de crédito.
Módulo 05 Página 436 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 05 Página 437 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
ÿ Este módulo discutiu a segmentação de rede e seus tipos
Resumo do Módulo
Este módulo discutiu a segmentação de rede e seus tipos. Ele introduziu os diferentes tipos de firewalls e suas
funções. Além disso, discutiu os diferentes tipos de IDS/IPS e suas funções.
Este módulo também explicou em detalhes os diferentes tipos de honeypots. Além disso, explicou os diferentes
tipos de servidores proxy e seus benefícios. Ele também explicou brevemente os fundamentos da VPN e sua
importância na segurança da rede. Além disso, discutiu soluções SIEM e SIEM. Finalmente, este módulo
apresentou uma visão geral de vários softwares antivírus/antimalware.
Módulo 05 Página 438 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 06
Virtualização e C om puta ção em Nuv e m
Machine Translated by Google
Objetivos do módulo
Noções básicas sobre virtualização, seus componentes e virtualização
01 Facilitadores
Objetivos do módulo
Ambientes de TI modernos usam virtualização de servidor, virtualização de rede, virtualização de
armazenamento e virtualização de desktop para provisionamento rápido de ambientes de rede e para
acompanhar as tecnologias modernas. A virtualização vem mudando os conceitos de segurança nos
ambientes modernos de TI, pois os vários desafios de segurança associados à virtualização são únicos e
distintos dos ambientes convencionais.
A computação em nuvem é uma tecnologia emergente que fornece serviços de computação, como aplicativos
de negócios on-line, armazenamento de dados on-line e webmail pela Internet. A implementação da nuvem
permite uma força de trabalho distribuída, reduz as despesas da organização, fornece segurança de dados
etc. Devido a esses benefícios, muitas organizações empresariais recentemente migraram seus dados e
infraestrutura para a nuvem. No entanto, o ambiente de nuvem também apresenta muitas ameaças e riscos
para as organizações.
Este módulo discute conceitos e tecnologias de virtualização, como virtualização de rede, redes definidas por
software e virtualização de função de rede, bem como sua segurança. Este módulo também explica os vários
aspectos da segurança da nuvem corporativa que são importantes para uma organização armazenar ou
processar dados com segurança na nuvem. Além disso, este módulo discute vários elementos de segurança
na nuvem, como identidade do usuário e gerenciamento de acesso (IAM), criptografia e gerenciamento de
chaves, segurança em nível de aplicativo, segurança de armazenamento de dados, monitoramento, registro
e conformidade para proteger dados confidenciais na nuvem.
Módulo 06 Página 440 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 441 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a virtualização
Entenda a Nuvem
2 Fundamentos de computação
Discuta as percepções de
Segurança na nuvem e melhor 3
Práticas
Módulo 06 Página 442 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
virtualização
ÿ A estrutura de virtualização divide os recursos físicos que são
tradicionalmente vinculados ao hardware, em vários ambientes
simulados individuais
Rede
Rede Servidor Armazenar
Servidor Armazenar
Virtualização (continuação)
virtualização
A arquitetura de virtualização pode ser melhor ilustrada comparando-a com a arquitetura tradicional. Na arquitetura
tradicional, a infraestrutura de hardware (máquina hospedeira) roda um único sistema operacional no qual todas as
aplicações são executadas.
Módulo 06 Página 443 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A figura acima ilustra a arquitetura tradicional. Na figura, uma única instância de um sistema operacional,
com um conjunto de aplicativos, utiliza completamente a infraestrutura de hardware de 32 bits disponível. O
sistema operacional host interage diretamente com o hardware para solicitar recursos do sistema.
Por outro lado, na arquitetura de virtualização, a plataforma de hardware (máquina host) é usada para
executar vários conjuntos de sistemas operacionais virtuais (SOs convidados) e seus aplicativos.
A figura acima ilustra a arquitetura de virtualização. Conforme mostrado na figura, a camada de virtualização
atua como middleware entre os sistemas operacionais e o hardware do computador. Ele particiona
logicamente os recursos de hardware com base nas solicitações recebidas do host e dos sistemas
operacionais convidados. O sistema operacional host interage diretamente com o hardware do computador,
mas os sistemas operacionais convidados interagem por meio da camada de virtualização.
Módulo 06 Página 444 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Abordagens de virtualização
Várias abordagens podem ser adotadas para alcançar a virtualização, conforme descrito abaixo:
ÿ Virtualização Completa: Nesse tipo de virtualização, o sistema operacional convidado não sabe que está sendo
executado em um ambiente virtualizado. Ele envia comandos para o gerenciador de máquina virtual (VMM) para
interagir com o hardware do computador. O VMM então traduz os comandos para instruções binárias e os encaminha
para o sistema operacional host. Os recursos são alocados para o sistema operacional convidado por meio do VMM.
ÿ Virtualização assistida por SO ou Paravirtualização: Nesse tipo de virtualização, o SO convidado está ciente do
ambiente virtual em que está sendo executado e se comunica com a máquina host para solicitar recursos. Os comandos
são traduzidos em código binário pelo sistema operacional convidado para o hardware do computador. O VMM não
está envolvido nas operações de solicitação e resposta.
ÿ Virtualização assistida por hardware: Arquiteturas modernas de microprocessadores possuem instruções especiais
para auxiliar na virtualização de hardware. Essas instruções permitem que o sistema operacional convidado execute
instruções privilegiadas diretamente no processador. O sistema operacional trata as chamadas do sistema como
programas do usuário.
ÿ Virtualização Híbrida: Neste tipo de virtualização, o sistema operacional convidado adota a funcionalidade de
paravirtualização e usa o VMM para tradução binária para diferentes tipos de recursos de hardware.
Além disso, o projeto de um ambiente virtual pode incorporar vários níveis de virtualização.
A seguir estão alguns níveis de virtualização que um ambiente virtual pode aproveitar.
ÿ Virtualização do sistema de arquivos: Refere-se à virtualização de dados no nível do sistema de arquivos. Facilita a
conveniência de compartilhamento e proteção de dados dentro do software.
Os pools de dados virtualizados manipulam arquivos e dados com base na demanda do usuário.
ÿ Virtualização do Servidor: A virtualização no nível do servidor permite a partição (ou virtualização) do ambiente do
sistema operacional do servidor. Isso envolve o particionamento lógico do disco rígido do servidor.
ÿ Virtualização de Fabric: Este nível de virtualização torna os dispositivos virtuais independentes do hardware do
computador físico. Ele cria um enorme conjunto de áreas de armazenamento para diferentes máquinas virtuais em
execução no hardware. A tecnologia de rede de área de armazenamento (SAN) é usada para obter a virtualização no
nível da malha.
Tipos de Virtualização
ÿ Virtualização do sistema operacional: esse tipo de virtualização permite que o hardware execute vários sistemas
operacionais simultaneamente, permitindo assim que o usuário execute aplicativos que requerem diferentes sistemas
operacionais em um único sistema. Isso está feito
Módulo 06 Página 445 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
diretamente no kernel do sistema operacional, o que não apenas reduz os custos de hardware, mas
também economiza tempo gasto na atualização de software em várias máquinas.
Módulo 06 Página 446 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes de virtualização
01 Hypervisor / Virtual Machine Monitor ÿ Um
aplicativo ou firmware que permite que vários sistemas
operacionais convidados compartilhem os recursos de hardware de um host Máquina virtual Máquina virtual
H/W Virtual
02 Máquina Convidada / Máquina Virtual
Armazenamento
Virtual
H/W Virtual
aplicativos
aplicativos
ÿ Máquina física real que fornece recursos de computação para dar Rede virtual
suporte a máquinas virtuais
Monitor de máquina virtual (VMM)
04 Management Server
hipervisor
ÿ Componentes da plataforma de virtualização usados para
gerenciar as máquinas virtuais Máquina Física ou Host
05 Console de gerenciamento
ÿ Interface usada para acessar, configurar e gerenciar o
produto de virtualização
Componentes de virtualização
ÿ Host/máquina física: máquina física real que fornece recursos de computação para dar suporte a
máquinas convidadas. É o componente servidor da máquina virtual que suporta a máquina convidada.
ÿ Management Console: Componente usado para acessar, configurar e usar a interface de gerenciamento
do produto de virtualização
ÿ Componentes de Rede: Componentes para criar uma rede virtual para dar suporte a máquinas virtuais.
Firewalls, balanceadores de carga, armazenamento, switches, placas de interface de rede, etc. são
exemplos de componentes de uma rede virtual.
ÿ Armazenamento Virtual: Componentes para abstrair o armazenamento físico em um único dispositivo de armazenamento.
Isso permite que os vários sistemas presentes na máquina host usem o armazenamento disponível
entre si.
Módulo 06 Página 447 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 448 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Habilitadores de virtualização
Programas
Definiram
Rede
(SDN)
Rede
Função
virtualização
Rede
(NFV)
Virtualização (NV)
Habilitadores de virtualização
Alguns exemplos de tecnologias pelas quais a virtualização pode ser realizada são virtualização de rede (NV), rede
definida por software (SDN) e virtualização de função de rede (NFV).
Essas tecnologias são os principais facilitadores responsáveis pela criação de ambientes virtuais. Eles ajudam na
criação de redes lógicas e virtuais desacopladas do hardware de rede subjacente, e essas redes virtuais podem ser
integradas a ambientes virtuais. As redes virtuais podem ser executadas independentemente em uma rede física em
um hypervisor. A rede definida por software (SDN) e a virtualização de funções de rede (NFV) são responsáveis por
desacoplar os planos de controle e encaminhamento. Essas tecnologias combinam hardware e software para criar
uma rede totalmente definida por software que permite provisionamento e gerenciamento mais simples de recursos
de rede e desempenha um papel fundamental na virtualização.
Módulo 06 Página 449 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um hipervisor é um software que executa e gerencia máquinas virtuais. Existem muitos hipervisores populares,
fornecidos por vários fornecedores. Eles incluem,
ÿ VMware ESXi
O VMware ESXi particiona efetivamente o hardware para consolidar aplicativos e cortar custos com acesso
direto e controle dos recursos subjacentes. Ele é instalado diretamente em um servidor físico. O VMware
ESXi permite,
o Minimização dos recursos de hardware necessários para executar o hipervisor, resultando em maior
eficiência.
ÿ Hipervisor Citrix
Módulo 06 Página 450 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ferro Virtual
A Virtual Iron fornece software de classe empresarial para virtualização de servidores e gerenciamento de
infraestrutura virtual. Com recursos avançados fornecidos pelo Virtual Iron, os usuários
posso:
o Melhore a utilização dos sistemas atuais e reduza os problemas de energia, espaço e resfriamento por
meio da consolidação do servidor.
O Hyper-V no Windows Server permite a criação de um ambiente de computação virtualizado para criar e
gerenciar máquinas virtuais. Vários sistemas operacionais podem ser executados em um computador físico
e os sistemas operacionais podem ser isolados uns dos outros.
ÿ VirtualBox
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
O VirtualBox é um produto rico em recursos e de alto desempenho para clientes corporativos e é a única
solução profissional disponível gratuitamente como software de código aberto sob os termos da GNU General
Public License (GPL) versão 2.
Módulo 06 Página 451 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Segurança e Preocupações
Um contêiner é amplamente utilizado para encapsular um aplicativo e suas dependências em seu próprio ambiente
e é executado isoladamente de outros contêineres e aplicativos, utilizando os mesmos recursos e sistema
operacional. Esta seção discute vulnerabilidades, ataques e desafios de segurança associados a contêineres. A
seção também explica vulnerabilidades, ataques e desafios de segurança associados ao Docker e ao Kubernetes,
que são amplamente usados para desenvolver, empacotar, executar e gerenciar aplicativos e todas as suas
dependências na forma de contêineres.
Módulo 06 Página 452 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recipiente
ÿ Virtualização baseada em um sistema operacional, na qual a funcionalidade do sistema operacional do kernel é replicada em várias
instâncias de espaço de usuário isolado, chamadas de contêineres, contêineres de software ou mecanismos de virtualização
ÿ Contêineres como serviço (CaaS) inclui a virtualização de contêineres e o gerenciamento de contêineres por meio de
orquestradores
ÿ Usando CaaS, os assinantes podem desenvolver aplicativos conteinerizados avançados e escaláveis por meio da nuvem ou de dados no local
centros
Orquestração de Contêineres
Motor de contêiner Orquestração de Contêineres
Programas
e sua dinâmica
meio Ambiente
Recipiente
Isso pode ser usado, por exemplo, em um ambiente de hospedagem virtual que requer segmentação dos recursos
físicos entre vários usuários para permitir que cada usuário tenha seu próprio espaço virtual. Os contêineres ajudam
a gerenciar os usuários e seus respectivos recursos, mantendo-os isolados. Os contêineres são monitorados e
gerenciados pelo administrador com direitos totais de administrador para todos os contêineres.
Muitos problemas de virtualização são efetivamente resolvidos com a conteinerização. Na conteinerização, embora
cada instância do espaço do usuário seja executada isoladamente, os recursos não são desperdiçados, pois o
sistema operacional real é executado independentemente dos contêineres. Um contêiner encapsula um aplicativo
e suas dependências em seu próprio ambiente enquanto utiliza os mesmos recursos e sistema operacional de
outros contêineres. Em comparação com as VMs, cada imagem de contêiner é migrada e compartilhada com mais
facilidade por causa de seus tamanhos menores. Como apenas um sistema operacional está envolvido, um
contêiner pode ser facilmente mantido. Os contêineres também minimizam os custos de hardware, pois vários
aplicativos são executados no mesmo hardware, aumentando a utilização do hardware.
A seguir estão alguns serviços e tecnologias que podem ser usados para implantar e gerenciar contêineres.
ÿ Contêineres como serviço (CaaS): Refere-se a serviços que permitem a implantação de contêineres e o
gerenciamento de contêineres por meio de orquestradores. Usando CaaS, os assinantes podem
desenvolver aplicativos conteinerizados avançados e escaláveis por meio da nuvem ou de dados no local
centros.
Módulo 06 Página 453 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Mecanismo de contêiner: um mecanismo de contêiner pode ser usado para criar, adicionar e
remover contêineres de acordo com os requisitos. Ele gerencia o ambiente para implantação de
aplicativos em contêineres.
Módulo 06 Página 454 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Hospede com
Desenvolvedor
Hospede com
Recipientes
Desenvolvedor interno
Teste e Registro
acreditação
Hospede com
Sistemas
Recipientes
Externo orquestrador
Registro
Desenvolvedor
Módulo 06 Página 455 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de Contêineres
ÿ Contêineres usados como um sistema operacional e ÿ Contêineres usados para executar um único aplicativo
executam vários serviços
ÿ Um contêiner contém o aplicativo, seu
ÿ Exemplos: LXC, OpenVZ, Linux Vserver, BDS dependências e arquivo de requisitos de hardware
Prisões, Solaris Zones
ÿ Exemplos: Docker, Rocket
Tipos de Contêineres
ÿ Contêineres do sistema operacional: os contêineres do sistema operacional são ambientes virtuais que
compartilham o kernel do ambiente do host que fornece espaço de usuário isolado. O usuário pode instalar,
configurar e executar diferentes aplicativos, bibliotecas etc. em contêineres do sistema operacional. Os
contêineres do sistema operacional executam vários serviços e processos. Contêineres de SO são adequados
para usuários que precisam de um sistema operacional para instalar várias bibliotecas, bancos de dados, etc.
Exemplos de contêineres de SO são LXC, OpenVZ, Linux Vserver, BSD Jails e Solaris Zones.
ÿ Contêineres de aplicativos: são contêineres usados para executar um único serviço. Eles têm sistemas de
arquivos em camadas e são construídos sobre as tecnologias de contêiner do sistema operacional. Os
contêineres de aplicativos são adequados para usuários que precisam empacotar um aplicativo e seus
componentes juntos para distribuição. Exemplos de contêineres de aplicativos são Docker e Rocket.
Módulo 06 Página 456 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recipientes
Requer menos memória
Aloca a memória necessária App1 App2 App3
espaço
Bins/Libs Bins/Libs Bins/Libs
Totalmente isolado (mais Isolamento em nível de processo
seguro) (menos seguro) Container Engine (Docker)
Espaço de memória Requer menos espaço de memória. Requer mais espaço de memória.
Segurança Isolamento em nível de processo (menos seguro). Totalmente isolado (mais seguro).
Sistema operacional O sistema operacional do host é compartilhado. Cada VM tem seu próprio sistema operacional.
Exemplos: LXC, LXD, CGManager, Docker. Exemplos: VMware, Hyper-V, vSphere, Virtual Box.
Provedores
Módulo 06 Página 457 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 458 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Docker
ÿ Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas
dependências na forma de contêineres, para garantir que o aplicativo funcione em um ambiente integrado ÿ Docker
fornece uma plataforma como serviço (PaaS) por meio da virtualização no nível do sistema operacional e entrega contêineres
pacotes de software
Cliente
Gerencia
Gerencia Docker CLI Host do Docker Registro
Cliente
Recipientes API Rest Imagens
DAEMON
Docker
Construir
Servidor
daemon Docker
Gerencia
Docker Gerencia Puxar
Rede
Dados
Volumes Docker
Corre
Construir
Puxar
Docker
Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as
suas dependências na forma de contêineres, para garantir que cada aplicativo funcione em um ambiente integrado.
O Docker fornece plataforma como serviço (PaaS) por meio da virtualização no nível do sistema operacional e
entrega pacotes de software em contêineres.
Docker Engine: Este é um aplicativo instalado na máquina host e usa os seguintes componentes para desenvolver,
montar, enviar e executar aplicativos.
ÿ Docker Daemon: gerencia as imagens, contêineres, redes e volume de armazenamento do Docker e processa
as solicitações da API do Docker. Ele é responsável pelas ações relacionadas ao contêiner e se comunica
com outros daemons para gerenciar seus serviços.
ÿ API REST do Docker Engine: Esta API é usada por um aplicativo para se comunicar com o
Servidor do Docker.
ÿ Docker CLI: Esta é uma interface de linha de comando usada para interagir com o daemon do Docker.
Usando a CLI, os usuários podem executar comandos (criar, executar e interromper aplicativos) para um
daemon do Docker.
Mecanismo de trabalho dos sistemas Docker: O cliente Docker interage com o daemon Docker usando uma API
REST por meio de soquetes Unix ou uma interface de rede. O cliente Docker e o daemon Docker podem ser
executados no mesmo sistema ou o usuário pode conectar um cliente Docker a um daemon Docker remoto.
Módulo 06 Página 459 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Docker Client: Isso permite que os usuários se comuniquem com o ambiente Docker.
A principal função do cliente Docker é recuperar as imagens do registro e executá-las no host Docker. Alguns
dos comandos comuns do cliente Docker são:
docker build
docker pull
docker run
ÿ Docker Host: fornece ao usuário um ambiente para executar um aplicativo. O host do Docker consiste em
daemon, imagens, contêineres, redes e armazenamento do Docker. Os componentes a seguir são objetos do
host do Docker.
ÿ Imagens: Uma imagem é um modelo binário somente leitura para construir um contêiner. As imagens são
usadas para construir um contêiner ou para configurar o contêiner com recursos adicionais. Os recursos e
requisitos do contêiner dependem dos metadados das imagens. As imagens do Docker são hospedadas pelos
registros do Docker.
ÿ Rede: o Docker possui drivers de rede para oferecer suporte a contêineres de rede. Ele implementa a rede de
maneira orientada a aplicativos.
ÿ Registros do Docker: são serviços que fornecem locais para armazenamento e download
imagens. Ao trabalhar com registros, os comandos usados com frequência são:
docker push
puxador de encaixe
docker run
Módulo 06 Página 460 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 461 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Docker Networking
ÿ O Docker conecta vários contêineres e serviços ou outros
cargas de trabalho não Docker juntas
ÿ A arquitetura de rede Docker é desenvolvida em um conjunto de interfaces
conhecidas como Container Network Model (CNM) ÿ O CNM fornece
portabilidade de aplicativos em redes heterogêneas
infraestruturas
Sandbox de rede Sandbox de rede Sandbox de rede
Rede Rede
Docker Engine
Infraestrutura de rede
Docker Networking
O Docker permite conectar vários contêineres e serviços ou outras cargas de trabalho não Docker. A
arquitetura de rede do Docker é desenvolvida em um conjunto de interfaces conhecido como modelo
de rede de contêiner (CNM). O CNM fornece portabilidade de aplicativos em infraestruturas
heterogêneas. O CNM consiste nos cinco objetos a seguir:
ÿ Rede: Uma rede é uma coleção de terminais que têm conectividade entre eles.
Quando uma rede é criada ou atualizada, o driver correspondente é notificado. Uma rede
CNM pode ser usada para implementar uma ponte Linux, VLAN, etc.
ÿ Interfaces de driver CNM: CNM tem duas interfaces conectáveis e abertas para os usuários,
fornecedores, comunidade, etc. para conduzir funcionalidade adicional, visibilidade e controle
na rede. A seguir estão os drivers no modelo CNM:
o Drivers de Rede: São conectáveis e fornecem a implementação real para o funcionamento
da rede. Vários drivers de rede podem ser usados simultaneamente em um mecanismo
ou cluster Docker, mas cada rede Docker é representada por um único driver.
Módulo 06 Página 462 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
• Driver de Rede Remota: Esses drivers são criados pela comunidade e fornecedores com
base em seus requisitos.
ÿ Drivers de rede nativa do Docker: são drivers nativos no mecanismo do Docker e podem ser
usados por meio de comandos de rede do Docker. A seguir estão os vários drivers de rede
nativos do Docker.
o Host: O driver do host permite que o contêiner use a pilha de rede do host.
o Bridge: Com o driver bridge, é criada uma bridge Linux no host, que é gerenciada pelo Docker.
o Overlay: Uma rede overlay é criada com o driver overlay e permite a comunicação entre
contêineres na infraestrutura de rede física.
o MACVLAN: Com o driver MACVLAN, uma conexão de rede é criada entre as interfaces do
contêiner e sua interface de host pai (ou sub-interfaces).
o Nenhum: O driver nenhum permite que o contêiner implemente sua própria pilha de rede
e está isolado da pilha de rede do host.
Módulo 06 Página 463 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Kubernetes
ÿ Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e
extensível desenvolvida pelo Google para gerenciar aplicativos e microsserviços em contêineres
ÿ O Kubernetes fornece uma estrutura resiliente para gerenciar contêineres distribuídos, gerando implantação
padrões e realizando failover e redundância para os aplicativos
Mestre do Kubernetes
para apiserver
KubeletGenericName KubeletGenericName KubeletGenericName
Era
Agendador
etcd
Nós do Kubernetes
Kubernetes
O Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvida pelo Google para gerenciar aplicativos e microsserviços em contêineres. O Kubernetes fornece uma
estrutura resiliente para gerenciar contêineres distribuídos, gerar padrões de implantação e executar failover e
redundância para os aplicativos.
No cluster do Kubernetes, os nós do Kubernetes são máquinas de trabalho, que executam os aplicativos em
contêineres. Deve haver pelo menos um nó do trabalhador em um cluster. Os nós do trabalhador hospedam os pods,
que se referem a grupos de contêineres que são implementados juntos no mesmo host. Os componentes de um
cluster Kubernetes são os seguintes:
Os componentes do plano de controle executam decisões para o cluster Kubernetes, como agendamento
ou início de um novo pod. A seguir estão os componentes do plano de controle do cluster:
o etcd: Este é um armazenamento de apoio para os dados no cluster Kubernetes. Por exemplo, se o usuário
especificar que três instâncias de um pod específico devem ser executadas, essa informação é
armazenada no etcd. Os dados armazenados no etcd são usados para determinar o número de
instâncias em execução. Se uma instância não estiver funcionando, o Kubernetes cria uma instância
adicional do mesmo pod.
Módulo 06 Página 464 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Kube-scheduler: O kube-scheduler monitora pods recém-criados que não possuem nenhum nó atribuído e
atribui a cada um deles um nó para execução.
ÿ Nó do Kubernetes
Um nó do Kubernetes é uma máquina de trabalho que contém os serviços necessários para executar os pods
e é gerenciado por componentes principais. Os serviços nos nós do Kubernetes são os seguintes:
o Kubelet: Este é um agente de nó que garante que os contêineres estejam rodando em um pod.
Um pod contém um PodSpec, que é um objeto YAML ou JSON. O kubelet garante que os contêineres
mencionados nos PodSpecs estejam em execução e íntegros.
o Kube-proxy: Este é um proxy de rede que executa e mantém regras de rede em cada
nó.
o Container Runtime: É um software que baixa as imagens e executa os containers. O Kubernetes oferece
suporte a tempos de execução de contêiner, como Docker, CRI-O e a interface de tempo de execução de
contêiner (CRI) do Kubernetes.
ÿ Recursos do Kubernetes
o Rollouts e rollbacks automatizados: o Kubernetes permite que o usuário altere o estado real do contêiner
para o estado desejado do contêiner em um local controlado
avaliar.
o Embalagem bin automática: Para utilizar os recursos de forma eficaz, o Kubernetes ajusta os contêineres
em nós, dependendo das especificações fornecidas pelo usuário.
Módulo 06 Página 465 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 466 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3 4 5
6 7 8 9 10
Embora a conteinerização forneça entrega rápida e contínua de aplicativos para desenvolvedores e equipes de
DevOps, existem alguns desafios de segurança associados a ela. Os principais desafios de segurança para contêineres
são os seguintes:
ÿ Entrada de código-fonte vulnerável: como os contêineres são de código aberto, as imagens criadas pelos
desenvolvedores são frequentemente atualizadas, armazenadas e usadas conforme necessário. Isso causa
um influxo de código-fonte que pode abrigar vulnerabilidades e comportamentos inesperados em uma
organização.
ÿ Grande superfície de ataque: Na nuvem ou no local, existem muitos contêineres que são executados em
várias máquinas. Isso fornece uma grande superfície de ataque e, portanto, causa desafios no rastreamento
e detecção de anomalias.
ÿ Velocidade de DevOps: Em média, a vida útil de um contêiner é quatro vezes menor do que as máquinas
virtuais. Os contêineres podem ser criados instantaneamente, executados por um curto período de tempo,
parados e removidos. Devido a essa efemeridade, um invasor pode executar um ataque e desaparecer
rapidamente.
ÿ Quebra de contêiner para o host: os contêineres que são executados como o usuário raiz podem quebrar e
acessar o sistema operacional do host.
Módulo 06 Página 467 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 468 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Vulnerabilidades de aplicativos
ÿ Uso de imagens não
confiáveis ÿ Contêineres não autorizados
ÿ Confiança do nó do orquestrador
ÿ Grande superfície de ataque
ÿ Kernel compartilhado
Os contêineres estão entre as tecnologias mais importantes no DevOps, e muitas organizações estão adotando
essa tecnologia para desenvolver, testar, empacotar e implantar os aplicativos. No entanto. o aumento do uso
de contêineres está expondo as empresas a novas ameaças à segurança. Portanto, há uma necessidade de
proteger os contêineres em todos os pipelines de desenvolvimento dessas ameaças à segurança.
Módulo 06 Página 469 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ameaças de Imagem
o Vulnerabilidades de imagem: Como as imagens são arquivos estáticos que consistem em componentes que
executam um aplicativo, a falta de atualizações nos componentes da imagem ou a falta de atualizações
críticas de segurança tornam a imagem vulnerável. Se a versão da imagem que é utilizada para fazer um
container tiver vulnerabilidades, ela representa um risco para o ambiente conteinerizado.
o Defeitos de Configuração: Além dos defeitos de software, a imagem de um container também está sujeita a
defeitos de configuração. Por exemplo, uma imagem pode não ser configurada com uma conta de usuário
específica e, em vez disso, ser executada com privilégios maiores do que o necessário.
o Malware incorporado: como uma imagem é uma coleção de arquivos compactados, é provável que arquivos
maliciosos sejam incluídos no pacote da imagem intencionalmente ou inadvertidamente. Esse malware
incorporado tem os mesmos privilégios que outros componentes da imagem e pode ser usado para atacar
outros contêineres ou hosts.
o Segredos de texto não criptografado incorporados: a maioria dos aplicativos requer segredos para se
comunicar com segurança com outros componentes. Por exemplo, um aplicativo da web requer um nome
de usuário e senha para se conectar ao banco de dados de back-end. Quando um aplicativo é compactado
em uma imagem, esses segredos são incorporados à imagem. Esse segredo de texto não criptografado
incorporado representa um risco de segurança, pois um usuário com acesso à imagem pode analisar a
imagem para extrair esses segredos.
o Uso de imagem não confiável: O uso de imagens não confiáveis pode introduzir malware, vazar dados ou
introduzir componentes com vulnerabilidades. Recomenda-se evitar a execução de qualquer imagem em
um contêiner de fontes não confiáveis.
ÿ Ameaças de Registro
o Conexões inseguras com registros: as imagens podem conter componentes confidenciais, como software
proprietário e segredos incorporados. Uma conexão insegura com os registros pode permitir um ataque
man-in-the-middle.
o Imagens obsoletas em registros: um registro contém todas as imagens implantadas por uma organização.
Com o tempo, é possível que o registro contenha imagens vulneráveis ou desatualizadas. Essas imagens
vulneráveis não representam uma ameaça durante seu armazenamento no registro, mas podem aumentar
a probabilidade de implantação acidental da imagem vulnerável.
o Restrições de autenticação e autorização insuficientes: como os registros contêm imagens que podem
executar software confidencial ou proprietário, autenticação e autorização insuficientes expõem os detalhes
técnicos do aplicativo ao invasor.
ÿ Riscos do Orquestrador
o Acesso administrativo ilimitado: a maioria dos orquestradores é projetada presumindo que todos os usuários
que estão interagindo com eles são administradores. Na maioria dos casos, um
Módulo 06 Página 470 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
um único orquestrador executa muitos aplicativos, cada um gerenciado por equipes diferentes. Se o acesso
a um usuário ou grupo não estiver de acordo com seus requisitos, um usuário mal-intencionado poderá
afetar a funcionalidade de diferentes contêineres gerenciados pelo orquestrador.
o Acesso não autorizado: Os orquestradores têm seu serviço de diretório de autenticação, que pode ser
separado de outros diretórios de uma organização, levando a contas órfãs no orquestrador. Essas contas
são altamente privilegiadas e seu comprometimento pode subsequentemente levar ao comprometimento
de todo o sistema. Os volumes de armazenamento de dados de um contêiner são gerenciados pela
ferramenta de orquestração. Muitas organizações criptografam os dados armazenados para impedir o
acesso não autorizado.
o Tráfego de rede intercontêiner mal separado: o tráfego de rede entre cada nó é roteado por meio de uma
rede de sobreposição virtual, que é gerenciada pelo orquestrador e é obscura para ferramentas de
gerenciamento e segurança de rede.
ÿ Riscos de Contêineres
o Acesso ilimitado à rede de contêineres: No estado padrão, a maioria dos contêineres durante o tempo de
execução acessa outros contêineres ou o sistema operacional host por meio da rede. No caso de um
contêiner ser comprometido, permitir que ele acesse o tráfego de rede aumenta significativamente o risco
para outros contêineres no ambiente.
Módulo 06 Página 471 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Contêineres não autorizados: contêineres não autorizados são contêineres não planejados ou não sancionados.
Eles se originam no ambiente de desenvolvimento quando o desenvolvedor do aplicativo cria um contêiner para
testar o código. Se esses contêineres não forem configurados corretamente ou não passarem pelos rigores da
verificação de vulnerabilidade, eles poderão ser explorados.
o Grande superfície de ataque: A superfície de ataque do sistema operacional host é a coleção de todos os pontos
possíveis através dos quais o adversário pode tentar obter acesso e explorar as vulnerabilidades do sistema
operacional host. Uma grande superfície de ataque aumenta o potencial de um invasor obter acesso e
comprometer o sistema operacional do host e os contêineres em execução nesse host.
o Kernel Compartilhado: Em comparação com os sistemas operacionais de uso geral, os sistemas operacionais
específicos de contêiner têm uma área de superfície de ataque menor. No entanto, um contêiner possui apenas
isolamento de recursos em nível de software e o uso de um kernel compartilhado aumenta a superfície de ataque
entre objetos.
o Direitos de acesso impróprios do usuário: uma organização pode estar em risco quando os usuários se conectam
diretamente no host para gerenciar contêineres. Direitos de acesso de usuário impróprios não afetam apenas o
sistema host, mas também todos os outros contêineres presentes nele.
o Host OS File System Tampering: Se a configuração de um contêiner não for segura, ela expõe os volumes do host
a um risco significativo de adulteração de arquivos. A adulteração do sistema de arquivos do sistema operacional
do host afeta a estabilidade e a segurança do host e de outros contêineres em execução nele.
Módulo 06 Página 472 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Inter-Contêiner
Ataques Obter acesso não autorizado a um único contêiner
Registro do Docker
Obtendo acesso ao registro do docker
Ataques
Existem partes específicas da infraestrutura do Docker que são vulneráveis a ataques. A seguir estão as ameaças de
segurança comuns do Docker.
ÿ Escaping: Nesta ameaça de segurança específica do Docker, o adversário escapa do contêiner e obtém
acesso root no servidor host. O invasor então tenta comprometer outras máquinas dentro da rede local. Os
seguintes fatores podem facilitar fugas de contêineres:
o Divulgação de informações.
ÿ Ataques entre contêineres: nesse tipo de ataque, o adversário obtém acesso a um contêiner e o utiliza para
atacar outros contêineres do mesmo host ou dentro da rede local.
Os ataques entre contêineres levam a ataques DoS (por exemplo, bombas XML), falsificação de ARP e
roubo de credenciais, comprometimento do contêiner confidencial, etc. As seguintes são causas comuns
para ataques entre contêineres:
Módulo 06 Página 473 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Software ultrapassado.
o Replay Attack: Nesse tipo de ataque, o adversário obtém acesso ao servidor de registro
e fornece conteúdo desatualizado.
Módulo 06 Página 474 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
01 02 03 04
05 06 07 08
O Kubernetes permite que uma organização automatize a implantação de aplicativos, o que leva a um tremendo
crescimento nos negócios. No entanto, essas implantações são vulneráveis a ataques e exploração de adversários.
Assim, a segurança é um componente crítico para todas as implantações do Kubernetes. A conteinerização em nuvens
pode ser direcionada por meio de ataques como ataques de ransomware, criptomineração, roubo de dados e interrupção
de serviço. A natureza hiperdinâmica dos contêineres é responsável pelos seguintes desafios de segurança do
Kubernetes.
ÿ Explosão de tráfego leste-oeste: como os contêineres são implantados dinamicamente em vários hosts ou
nuvens, o tráfego leste-oeste (fluxo de tráfego dentro de um data center) e o tráfego interno devem ser
monitorados quanto a ataques.
ÿ Superfície de Ataque Aumentada: Cada contêiner tem uma superfície de ataque e vulnerabilidades, que podem
ser exploradas por um adversário. Além disso, ferramentas de orquestração de contêineres como Docker e
Kubernetes também aumentam a superfície de ataque do contêiner.
ÿ Automatizando a segurança para manter o ritmo: devido à natureza dinâmica e ao ambiente em constante
mudança do contêiner, modelos antigos e ferramentas de segurança não podem fornecer proteção completa.
Portanto, há uma necessidade de automatizar a segurança para proteger os contêineres.
ÿ Muitos contêineres: os contêineres se comunicam entre si e com pontos de extremidade internos e externos
para funcionamento adequado. No entanto, se um contêiner for explorado, todos os outros contêineres
conectados no ambiente também poderão ser violados.
Módulo 06 Página 475 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Desafios de segurança de tempo de execução: A natureza transitória e rápida do contêiner torna difícil
para um indivíduo monitorar qual processo do contêiner está sendo executado no momento.
Portanto, também torna mais complexo detectar qualquer processo malicioso em execução.
ÿ Questões de conformidade: as organizações devem seguir as técnicas para garantir que o ambiente
Kubernetes obedeça aos controles de segurança, padrões do setor e políticas organizacionais internas
que foram concebidas para arquiteturas de aplicativos convencionais.
Módulo 06 Página 476 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Segurança de Virtualização do SO
Melhores Práticas
Módulo 06 Página 477 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3
Monitore regularmente os CVEs do tempo de Empregue ferramentas com reconhecimento de Configurar aplicativos para serem executados
execução do contêiner e corrija, se alguma aplicativo para monitorar interfaces de rede de como usuários normais para impedir a
vulnerabilidade for detectada contêiner, tráfego de rede e anomalias de rede escalação de privilégios
4 5 6
Configure o sistema de arquivos raiz do host no Empregue ferramentas de verificação de segurança Realize verificações regulares das imagens
modo somente leitura para restringir o acesso de de aplicativos para proteger os contêineres de no repositório para identificar vulnerabilidades ou
gravação software mal -intencionado configurações incorretas
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente de contêiner.
ÿ Empregar ferramentas com reconhecimento de aplicativos para monitorar interfaces de rede de contêineres, tráfego de rede e
anomalias da rede.
ÿ Configure os aplicativos para serem executados como usuários normais para evitar o escalonamento de privilégios.
ÿ Configure o sistema de arquivos raiz do host em modo somente leitura para restringir o acesso de gravação e
prevenir ataques de injeção de malware.
ÿ Evite usar software de terceiros e empregue ferramentas de verificação de segurança de aplicativos para
proteger contêineres de software malicioso.
ÿ Realize verificações regulares das imagens no repositório para identificar vulnerabilidades ou configurações
incorretas.
ÿ Use um banco de dados separado para cada aplicativo para maior visibilidade de
aplicativos e gerenciamento de dados aprimorado.
Módulo 06 Página 478 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Habilite o modo
Limite os recursos permitindo acesso somente leitura em sistemas
Sempre use confiável apenas aos recursos exigidos pelo de arquivos e volumes definindo
Somente imagens do Docker contêiner o sinalizador --read-only
02 04 06
01 03 05
Evite expor o Corrija regularmente o sistema operacional Use módulos de segurança do Linux, como
Soquete do daemon host e o Docker com as atualizações de seccomp, AppArmor e
do Docker segurança mais recentes SELinux para obter controle refinado
sobre os processos
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente Docker.
ÿ Evite expor o soquete do daemon Docker porque é o ponto de entrada básico para o
API Docker.
ÿ Use apenas imagens confiáveis do Docker porque as imagens do Docker criadas por usuários mal-intencionados
podem ser injetadas com backdoors.
ÿ Corrija regularmente o sistema operacional host e o Docker com as atualizações de segurança mais recentes.
ÿ Limite os recursos permitindo acesso apenas aos recursos exigidos pelo contêiner.
ÿ Use os módulos de segurança do Linux, como seccomp, AppArmor e SELinux, para obter controle refinado
sobre os processos.
ÿ Limite recursos como memória, CPU, o número máximo de descritores de arquivo, o número máximo de
processos e reinícios para evitar ataques DoS.
ÿ Habilite o modo somente leitura em sistemas de arquivos e volumes definindo o sinalizador --read-only .
ÿ Defina o nível de registro do daemon do Docker como 'info' e evite executar o daemon do Docker usando o
nível de log 'depurar'.
ÿ A configuração de usuário padrão para a imagem do Docker é root; configure o aplicativo de contêiner
para ser executado como usuário sem privilégios para evitar ataques de escalonamento de privilégios.
Módulo 06 Página 479 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A seguir, são discutidas várias práticas recomendadas para proteger o ambiente Kubernetes.
ÿ Assegure a validação adequada do conteúdo do arquivo e seu caminho em todas as etapas do processamento.
ÿ Use a biblioteca JSON bem testada e estruturas de tipo para construir objetos JSON.
ÿ Nunca use comandos shell compostos sem validações adequadas porque eles afetam
o estado do sistema.
ÿ Use bibliotecas centralizadas para executar tarefas comuns e usar funções de análise comuns,
como ParsePort, em toda a base de código para aumentar a legibilidade do código.
ÿ Use logs persistentes no lugar da rotação de logs, para que os logs possam ser gravados em ordem linear e novos
logs possam ser criados quando a rotação for necessária.
ÿ Use o formato de codificação única para todas as tarefas de configuração porque suporta centralizado
validação.
ÿ Limite o tamanho dos arquivos de manifesto para evitar erros de falta de memória no kubelet.
ÿ Use instâncias kube-apiserver que mantêm CRLs para verificar os certificados apresentados.
ÿ Use serviços de gerenciamento de chaves para habilitar a criptografia de dados secretos e evitar o uso de AES
Modo Galois/Contador ou encadeamento de blocos cifrados para criptografia.
Módulo 06 Página 480 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Twistlock
https:// github.com
Aqua
https:// www.aquasec.com
Anchore
https:// anchore.com
NeuVector
https:// neuvector.com
CloudPassage Halo
https:// www.cloudpassage.com
https:// github.com
O Docker Bench for Security é um script que verifica dezenas de práticas recomendadas comuns sobre a implantação de
contêineres do Docker na produção. É um script que permite verificar:
o Configuração do host
Módulo 06 Página 481 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 482 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a virtualização
Entenda a Nuvem
2 Fundamentos de computação
Discuta as percepções de
Segurança na nuvem e melhor 3
Práticas
Esta seção apresenta a computação em nuvem, os tipos de serviços de computação em nuvem, a separação
de responsabilidades, os modelos de implantação de nuvem, a arquitetura de referência NIST e seus benefícios,
a arquitetura de armazenamento em nuvem e os provedores de serviços em nuvem.
Módulo 06 Página 483 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A computação em nuvem é uma entrega sob demanda de recursos de TI em que uma infraestrutura e aplicativos
de TI são fornecidos aos assinantes como serviços medidos em uma rede. Exemplos de soluções em nuvem
incluem Gmail, Facebook, Dropbox e Salesforce.
As características da computação em nuvem que atraem muitos negócios para adotar a tecnologia em nuvem são
discutidas abaixo.
ÿ Autoatendimento sob demanda: um tipo de serviço prestado por provedores de serviços de nuvem que
fornece recursos de nuvem sob demanda, como capacidade de computação, armazenamento e rede,
sem a necessidade de interação humana com os provedores de serviços.
ÿ Elasticidade rápida: a nuvem oferece provisionamento instantâneo de recursos para aumentar ou diminuir
rapidamente de acordo com a demanda. Os recursos disponíveis para abastecimento aos consumidores
parecem ser ilimitados que podem ser adquiridos invariavelmente na quantidade desejada.
ÿ Amplo acesso à rede: Os recursos da nuvem estão disponíveis na rede e podem ser acessados por meio
de procedimentos padrão por meio de uma ampla variedade de plataformas, incluindo laptops, telefones
celulares e PDAs.
Módulo 06 Página 484 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Pool de recursos: o provedor de serviços em nuvem agrupa todos os recursos para atender a vários clientes em
um ambiente multilocatário, no qual os recursos físicos e virtuais são atribuídos dinamicamente e reatribuídos
sob demanda pelos consumidores.
ÿ Tecnologia de virtualização: permite o rápido escalonamento de recursos de uma forma que não poderia ser
alcançada por ambientes não virtualizados.
ÿ Contratos e lock-ins
Módulo 06 Página 485 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pessoal Segurança ÿ
ÿ Agilizar processos Menos investimento em controles de
segurança ÿ Resposta eficiente, eficaz e rápida a violações
ÿ Uso eficiente de recursos
de segurança
ÿ Económico
o Amigo do ambiente
ÿ Operacional
o Flexibilidade e eficiência
o Resiliência e redundância
Módulo 06 Página 486 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Atualizações automáticas
ÿ Pessoal
o Agilizar processos
o Menos equipe de TI
ÿ Segurança
Módulo 06 Página 487 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Infraestrutura como uma Plataforma como serviço Software como serviço Identidade como serviço
Serviço (IaaS) (PaaS) (SaaS) (IDaaS)
ÿ Fornece máquinas ÿ Oferece ferramentas de ÿ Oferece software para ÿ Oferece serviços IAM,
virtuais e outros hardwares desenvolvimento, assinantes sob demanda pela incluindo SSO, MFA,
abstratos gerenciamento de Internet IGA e coleta de inteligência
e sistemas operacionais que configuração e plataformas ÿ Por exemplo, escritório baseado na web
podem ser controlados por de implantação sob demanda que podem ser
aplicativos como o Google ÿ Por exemplo,
meio de uma API de serviço usado por assinantes para Documentos ou Agenda, OneLogin, Centrify
desenvolver aplicativos Salesforce CRM ou Identity Service,
ÿ
Por exemplo, Amazon personalizados Freshbooks Microsoft Azure Active
EC2, GoGrid, Microsoft ÿ Por exemplo, Google Directory ou Okta
ÿ Fornece testes de penetração, autenticação, detecção de intrusão, anti- ÿ Fornece uma plataforma para desenvolver, executar e
malware, incidente de segurança e serviços de gerenciamento de eventos gerenciar funcionalidades de aplicativos para
microsserviços
ÿ Por exemplo, eSentire MDR, Switchfast Technologies, ÿ Por exemplo, AWS Lambda, Google Cloud Functions,
OneNeck IT Solutions ou McAfee Managed Security Funções do Microsoft Azure ou Oracle Cloud Fn
Services
FIM FIM
ÿ Oferece virtualização de containers engines, ÿ Oferece qualquer coisa como um serviço pela Internet
e gerenciamento de contêineres, aplicativos e clusters, por baseado na demanda do usuário como produtos digitais ,
meio de um portal da Web ou API alimentação, transporte, consultas médicas, etc.
Este serviço de computação em nuvem permite que os assinantes usem recursos de TI fundamentais
sob demanda, como poder de computação, virtualização, armazenamento de dados e rede. Este serviço
fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos
Módulo 06 Página 488 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
(SOs), que podem ser controlados por meio de uma interface de programação de aplicativo (API) de serviço. Como os
provedores de serviços em nuvem são responsáveis pelo gerenciamento da infraestrutura subjacente de computação em
nuvem, os assinantes podem evitar custos de capital humano, hardware e outros (por exemplo, Amazon EC2, Microsoft
OneDrive, Rackspace).
Vantagens:
o Acessibilidade global
Desvantagens:
o A segurança do software está em alto risco (fornecedores terceirizados são mais propensos a ataques)
Esse tipo de serviço de computação em nuvem permite o desenvolvimento de aplicativos e serviços. Os assinantes não
precisam comprar e gerenciar o software e a infraestrutura abaixo dele, mas têm autoridade sobre os aplicativos implantados
e talvez as configurações do ambiente de hospedagem de aplicativos. Isso oferece ferramentas de desenvolvimento,
gerenciamento de configuração e plataformas de implantação sob demanda, que podem ser usadas pelos assinantes para
desenvolver aplicativos personalizados (por exemplo, Google App Engine, Salesforce, Microsoft Azure).
As vantagens de escrever aplicativos no ambiente PaaS incluem escalabilidade dinâmica, backups automatizados e outros
serviços de plataforma, sem a necessidade de codificar explicitamente para eles.
Vantagens:
o Implantação simplificada
o Comunidade instantânea
o Escalabilidade
Desvantagens:
o Bloqueio do fornecedor
Módulo 06 Página 489 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Este serviço de computação em nuvem oferece software aplicativo para assinantes sob demanda pela
Internet. O provedor cobra pelo serviço com base no pagamento por uso, por assinatura, por publicidade ou
por compartilhamento entre vários usuários (por exemplo, aplicativos de escritório baseados na Web, como
Google Docs ou Calendar, Salesforce CRM e Freshbooks).
Vantagens:
o Baixo custo
o Fácil administração
o Acessibilidade global
Desvantagens:
Este serviço de computação em nuvem oferece serviços de autenticação para as empresas assinantes e é
gerenciado por um fornecedor terceirizado para fornecer serviços de gerenciamento de identidade e acesso.
Ele fornece serviços como Single-Sign-On (SSO), Multi-Factor Authentication (MFA), Identity Governance and
Administration (IGA), gerenciamento de acesso e coleta de inteligência. Esses serviços permitem que os
assinantes acessem dados confidenciais com mais segurança dentro e fora do local (por exemplo, OneLogin,
Centrify Identity Service, Microsoft Azure Active Directory, Okta).
Vantagens:
o Baixo custo
o Segurança melhorada
o Simplifique a conformidade
o Tempo reduzido
Desvantagens:
Módulo 06 Página 490 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esse modelo de computação em nuvem integra serviços de segurança à infraestrutura corporativa de maneira
econômica. É desenvolvido com base em SaaS e não requer nenhum hardware ou equipamento físico.
Portanto, reduz drasticamente o custo em comparação com o gasto quando as organizações estabelecem
seus próprios recursos de segurança. Ele fornece serviços como teste de penetração, autenticação, detecção
de intrusão, antimalware, incidente de segurança e gerenciamento de eventos (por exemplo, eSentire MDR,
Switchfast Technologies, OneNeck IT Solutions, McAfee Managed Security Services).
Vantagens:
o Baixo custo
o Complexidade reduzida
o Proteção contínua
o Maior agilidade
Desvantagens:
o APIs inseguras
ÿ Container-as-a-Service (CaaS)
Esse modelo de computação em nuvem fornece contêineres e clusters como um serviço para seus assinantes.
Ele fornece serviços como virtualização de mecanismos de contêineres, gerenciamento de contêineres,
aplicativos e clusters por meio de um portal da Web ou de uma API. Usando esses serviços, os assinantes
podem desenvolver aplicativos em contêineres avançados e escaláveis por meio da nuvem ou de data
centers locais. CaaS herda recursos de IaaS e PaaS (por exemplo, Amazon AWS EC2, Google Kubernetes
Engine (GKE)).
Vantagens:
o Maior qualidade
Módulo 06 Página 491 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Baixo custo
o Poucos recursos
o Segurança melhorada
o Alta escalabilidade
o Desenvolvimento simplificado
Desvantagens:
Este serviço de computação em nuvem fornece uma plataforma para desenvolver, executar e gerenciar
funcionalidades de aplicativos sem a complexidade de construir e manter a infraestrutura necessária (arquitetura
sem servidor). Esse modelo é usado principalmente no desenvolvimento de aplicativos para microsserviços.
Ele fornece funcionalidade sob demanda para os assinantes que desligam a infraestrutura de suporte e não
incorrem em cobranças quando não estão em uso. Ele fornece serviços de processamento de dados, como
serviços de Internet das Coisas (IoT) para dispositivos conectados, aplicativos móveis e web e processamento
em lote e fluxo (por exemplo, AWS Lambda, Google Cloud Functions, Microsoft Azure Functions, Oracle Cloud
Fn).
Vantagens:
o Baixo custo
o Fácil implantação
o Alta escalabilidade
Desvantagens:
o Alta latência
o Limitações de memória
o Bloqueio do fornecedor
Módulo 06 Página 492 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Qualquer coisa como um serviço ou tudo como um serviço (XaaS) é um serviço de computação em nuvem
e acesso remoto que oferece qualquer coisa como um serviço pela Internet com base na demanda do
usuário. O serviço pode incluir produtos digitais, como ferramentas, aplicativos e tecnologias, bem como
outros tipos de serviços, como alimentação, transporte e consultas médicas. O serviço é pago de acordo
com o uso e não pode ser adquirido ou licenciado como produtos regulares. Além dos serviços de nuvem
comuns, como software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço
(IaaS), o XaaS inclui serviços como rede como serviço (NaaS), armazenamento como serviço ( STaaS),
teste como serviço (TaaS), malware como serviço (MaaS) e recuperação de desastres como serviço
(DRaaS). O XaaS oferece serviços seguros, como gerenciamento de relacionamento com o cliente (CRM),
computação em nuvem e serviços de diretório (por exemplo, NetApp, AWS Elastic Beanstalk, Heroku e
Apache Stratos).
Vantagens:
o Altamente escalável
Desvantagens:
Módulo 06 Página 493 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Instalações e Data Centers Instalações e Data Centers Instalações e Data Centers Instalações e Data Centers
Módulo 06 Página 494 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Usuários iniciando
Usuários públicos
Acesso
acessando a nuvem via rede Controlador de limite
provedor de nuvem
Controlador de limite
Fora
Dentro nuvem privada
Acesso
Novo
Usuários que acessam a nuvem dentro
hardware Hardware antigo Usuários acessando a nuvem de dentro
do perímetro de segurança
do perímetro
Fora das instalações do assinante
Organização A Organização A
Organização C Organização C
Módulo 06 Página 495 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Implantação em Nuvem
Modelos (continuação)
ÿ Ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de
Multinuvem
nuvem, gerenciados por meio de uma interface proprietária para atingir metas de negócios de longo prazo
Empresas/usuários que
consomem recursos de nuvem
A seleção do modelo de implementação em nuvem é baseada nos requisitos da empresa. Pode-se implantar serviços em nuvem
de diferentes maneiras, de acordo com os fatores abaixo:
ÿ Requisitos de segurança
ÿ Capacidades de personalização
ÿ Nuvem Pública
Nesse modelo, o provedor disponibiliza serviços como aplicativos, servidores e armazenamento de dados ao público
pela Internet. Portanto, ele é responsável pela criação e manutenção constante da nuvem pública e de seus recursos
de TI. Os serviços de nuvem pública podem ser gratuitos ou baseados em um modelo de pagamento por uso (por
exemplo, Amazon Elastic Compute Cloud (EC2), Google App Engine, Microsoft Azure, IBM Cloud).
Vantagens :
• Simplicidade e eficiência
• Baixo custo
Módulo 06 Página 496 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Desvantagens:
• Velocidade lenta (depende de conexões com a Internet; a taxa de transferência de dados é limitada)
ÿ Nuvem Privada
Uma nuvem privada, também conhecida como nuvem interna ou corporativa, é uma infraestrutura de nuvem
operada por uma única organização e implementada dentro de um firewall corporativo.
As organizações implantam infraestruturas de nuvem privada para manter o controle total sobre os dados
corporativos (por exemplo, BMC Software, VMware vRealize Suite, SAP Cloud Platform).
Vantagens :
• Os dados de conformidade com Sarbanes Oxley, PCI DSS e HIPAA são muito mais fáceis de obter
Módulo 06 Página 497 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Desvantagens:
• Alto custo
• Manutenção no local
ÿ Nuvem Comunitária
É uma infraestrutura multilocatária compartilhada entre organizações de uma comunidade específica com
preocupações comuns de computação, como segurança, conformidade regulamentar, requisitos de desempenho
e jurisdição. A nuvem da comunidade pode ser local ou externo e regida pelas organizações participantes ou
por um provedor de serviços gerenciado terceirizado (por exemplo, Optum Health Cloud, Salesforce Health
Cloud).
Vantagens :
• Alta escalabilidade
o Desvantagens:
Módulo 06 Página 498 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Nuvem Híbrida
É um ambiente de nuvem composto por duas ou mais nuvens (privadas, públicas ou comunitárias) que
permanecem como entidades únicas, mas estão unidas para oferecer os benefícios de vários modelos de
implantação. Nesse modelo, a organização disponibiliza e gerencia alguns recursos internamente e
fornece outros recursos externamente (por exemplo, Microsoft Azure, Zymr, Parangat, Logicalis).
Exemplo: uma organização realiza suas atividades críticas na nuvem privada (por exemplo, dados
operacionais do cliente) e atividades não críticas na nuvem pública.
Vantagens :
o Desvantagens:
Módulo 06 Página 499 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Multinuvem
É um ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem que
são gerenciados por meio de uma interface proprietária para atingir metas de negócios de longo prazo. A
multinuvem usa vários serviços de computação e armazenamento de diferentes fornecedores de nuvem. Ele
distribui ativos de nuvem, software, aplicativos, etc. em vários ambientes de hospedagem em nuvem. Os
ambientes multinuvem são, em sua maioria, totalmente privados, totalmente públicos ou uma combinação de
ambos. As organizações usam ambientes de várias nuvens para distribuir recursos de computação, aumentando
assim o poder de computação e os recursos de armazenamento e limitando a perda de dados e o risco de
tempo de inatividade em grande medida (por exemplo, Microsoft Azure Arc, AWS Kaavo IMOD, Google Cloud
Anthos).
Vantagens :
o Desvantagens:
• Custo operacional
Módulo 06 Página 500 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 501 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Local x Hospedado x
Nuvem
Parâmetros Local Nuvem Hospedado
A organização estabelece a infraestrutura Um terceiro é proprietário da infraestrutura e executa Um terceiro é proprietário da plataforma; a
Propriedade e executa todas as operações de negócios as operações de negócios da organização empresa usa os recursos com base no requisito
O software ou aplicativo está instalado em O provedor de nuvem instala o software ou aplicativo Um terceiro configura todo o centro de
Implantação
servidores físicos internos em servidores virtuais hospedagem em nuvem ou centro de dados
A infraestrutura física e a configuração inicial são A infraestrutura virtual é paga conforme A infraestrutura privada alugada é relativamente cara
Custo
caras uso para a organização
Módulo 06 Página 502 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Mantido por um interno Mantido pelo provedor de nuvem. Mantido por uma agência de
Manutenção
equipe. hospedagem terceirizada.
A escalabilidade depende da
Escalabilidade Oferece escalabilidade limitada. Facilmente e altamente escalável. disponibilidade de aplicativos na
nuvem.
Módulo 06 Página 503 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Consumidor de Nuvem
Provisionamento/
Um intermediário para fornecer conectividade e Serviço
Abstração de Recursos e Configuração
Privacidade
serviços de transporte entre consumidores e provedores
Agregação
Auditoria de impacto Camada de Controle
de nuvem
atuação Portabilidade/
Camada de Recursos Físicos Serviço
Auditor de Nuvem auditoria Interoperabilidade
hardware Arbitragem
Uma parte para fazer avaliações independentes dos
controles do serviço de nuvem e emitir uma opinião sobre isso Instalação
Corretor de Nuvem
Módulo 06 Página 504 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Consumidor Nuvem
Um consumidor de nuvem é uma pessoa ou organização que mantém um relacionamento comercial com os
provedores de serviços de nuvem (CSPs) e utiliza os serviços de computação em nuvem. O consumidor de nuvem
navega nas solicitações do catálogo de serviços do CSP para os serviços desejados, estabelece contratos de
serviço com o CSP (diretamente ou por meio do agente de nuvem) e usa os serviços.
O CSP cobra o consumidor com base nos serviços prestados. O CSP deve cumprir o contrato de nível de serviço
(SLA) no qual o consumidor de nuvem especifica os requisitos técnicos de desempenho, como qualidade de
serviço, segurança e remédios para falha de desempenho. O CSP também pode definir limitações e obrigações,
se houver, que os consumidores de nuvem devem aceitar.
Os serviços disponíveis para um consumidor de nuvem nos modelos PaaS, IaaS e SaaS são os seguintes:
ÿ Provedor de Nuvem
Um provedor de nuvem é uma pessoa ou organização que adquire e gerencia a infraestrutura de computação
destinada a fornecer serviços (diretamente ou por meio de um agente de nuvem) às partes interessadas por meio
de acesso à rede.
ÿ Operador de Nuvem
Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte entre CSPs
e consumidores de nuvem. A operadora de nuvem fornece acesso aos consumidores por meio de uma rede,
telecomunicações ou outros dispositivos de acesso.
ÿ Auditor Nuvem
Um auditor de nuvem é uma parte que realiza um exame independente dos controles do serviço de nuvem para
expressar uma opinião a respeito. As auditorias verificam a adesão aos padrões por meio de uma revisão das
evidências objetivas. Um auditor de nuvem pode avaliar os serviços fornecidos por um CSP em relação aos
controles de segurança (gerenciamento, salvaguardas operacionais e técnicas destinadas a proteger a
confidencialidade, integridade e disponibilidade do sistema e suas informações), impacto na privacidade
(conformidade com as leis e regulamentos de privacidade aplicáveis que regem a privacidade de um indivíduo),
desempenho, etc.
Módulo 06 Página 505 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Agente de nuvem
A integração de serviços em nuvem está se tornando muito complicada para os consumidores gerenciarem. Assim, um
consumidor de nuvem pode solicitar serviços de nuvem de um agente de nuvem, em vez de entrar em contato
diretamente com um CSP. O agente de nuvem é uma entidade que gerencia os serviços de nuvem em relação ao uso,
desempenho e entrega e mantém o relacionamento entre CSPs e consumidores de nuvem.
o Intermediação de Serviços: Melhora uma determinada função por uma capacidade específica e
fornece serviços de valor agregado para consumidores de nuvem.
o Arbitragem de Serviços: Semelhante à agregação de serviços, mas sem a fixação dos serviços agregados (o cloud
broker pode escolher serviços de várias agências).
Módulo 06 Página 506 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
armazenamento de dados
Processo interno
Servidores de armazenamento físico Armazenamento Físico
A camada de back-end é onde o hardware é Servidores
O armazenamento em nuvem é um meio usado para armazenar dados digitais em pools lógicos usando uma rede. O
armazenamento físico é distribuído para vários servidores, que pertencem a uma empresa de hospedagem.
As organizações podem comprar capacidade de armazenamento dos provedores de armazenamento em nuvem para armazenar
dados de usuários, organizações ou aplicativos. Os provedores de armazenamento em nuvem são os únicos responsáveis por
gerenciar os dados e mantê-los disponíveis e acessíveis. Os serviços de armazenamento em nuvem podem ser acessados
usando um serviço de computação em nuvem, uma API de serviço da web ou qualquer aplicativo que use a API, como
armazenamento de desktop em nuvem, gateway de armazenamento em nuvem ou sistemas de gerenciamento de conteúdo baseados na web.
O serviço de armazenamento em nuvem é operado a partir de um serviço externo, como o Amazon S3.
O armazenamento em nuvem é feito de recursos distribuídos. É altamente tolerante a falhas por meio de redundância, consistente
com a replicação de dados e altamente durável. Os serviços de armazenamento de objetos amplamente utilizados incluem
Amazon S3, Oracle Cloud Storage e Microsoft Azure Storage, Open Stack Swift, etc.
Módulo 06 Página 507 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 508 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// aws.amazon.com
https:// azure.microsoft.com
A AWS fornece serviços de computação em nuvem sob demanda para indivíduos, organizações, governo
etc. com base no pagamento conforme o uso. Este serviço fornece a infraestrutura técnica necessária por
meio de ferramentas e computação distribuída. O ambiente virtual fornecido pela AWS inclui CPU, GPU,
RAM, armazenamento em HDD, sistemas operacionais, aplicativos e software de rede, como servidores web,
bancos de dados e CRM.
Módulo 06 Página 509 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿMicrosoft Azure
O Microsoft Azure fornece serviços de computação em nuvem para criar, testar, implantar e gerenciar
aplicativos e serviços por meio de datacenters do Azure. Ele fornece todos os tipos de serviços de computação
em nuvem, como SaaS, PaaS e IaaS. Oferece vários serviços em nuvem, como computação, armazenamento
móvel, gerenciamento de dados, mensagens, mídia, aprendizado de máquina e IoT.
fornece IaaS, PaaS e serviços de computação sem servidor. Isso inclui computação, armazenamento e
análise de dados, aprendizado de máquina, rede, bigdata, IA em nuvem, ferramentas de gerenciamento,
identidade e segurança, IoT e plataformas de API.
Módulo 06 Página 510 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ IBM Nuvem
O IBM Cloud™ é um conjunto robusto de ferramentas avançadas de dados e IA e profundo conhecimento do setor.
Ele fornece vários serviços de nuvem, como IaaS, SaaS e PaaS, por meio de modelos de entrega de nuvem
pública, privada e híbrida. Esses serviços incluem computação, rede, armazenamento, gerenciamento, segurança,
bancos de dados, análises, IA, IoT, dispositivos móveis, ferramentas de desenvolvimento e blockchain.
Módulo 06 Página 511 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a virtualização
Entenda a Nuvem
2 Fundamentos de computação
Discuta as percepções de
Segurança na nuvem e melhor 3
Práticas
Módulo 06 Página 512 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3
Se os consumidores não protegerem suas funções, todo o modelo
Acesso do usuário
Dados
Formulários
Sistema operacional
Tráfego de rede
A infraestrutura
Fisica
Módulo 06 Página 513 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Em comparação com os sistemas de TI tradicionais, nos quais uma única organização tem autoridade sobre
toda a pilha de recursos de computação e todo o ciclo de vida dos sistemas, os provedores de serviços em
nuvem e os consumidores trabalham juntos para projetar, construir, implantar e operar sistemas baseados em
nuvem. Portanto, ambas as partes compartilham responsabilidades para manter a segurança adequada nesses
sistemas. Diferentes modelos de serviços em nuvem (IaaS, PaaS e SaaS) implicam níveis variados de controle
entre os provedores de serviços em nuvem e os consumidores de nuvem.
Módulo 06 Página 514 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
responsabilid
cliente
do ÿ Os consumidores de serviços em nuvem são responsáveis por:
Responsab
provedor
nuvem
de
do Provedores de serviços em nuvem
de carga, firewalls, hipervisores, redes de armazenamento, consoles de Nível de hipervisor/host (firewalls, monitoramento de segurança)
IaaS
Identidade e acesso Ciclo de vida do usuário Aprovar autorizações de usuários com base em funções/regras
Gerenciamento (IAM)
Contrato
Colaboradores,
ÿ IAM é o gerenciamento das Fornecedores, Parceiros,
Clientes, etc.
Modelo de autorização
identidades digitais dos Gerenciamento de usuários
Autoritário
Serviços
usuários e seus direitos de Uso
Origens Estado desejado
Gerenciamento
gerenciamento e remoção Serviços
Módulo 06 Página 515 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observância
ÿ Uma ideia clara sobre os padrões de regulamentação que uma organização deseja
cumprir, juntamente com seus requisitos associados, permite que as organizações
se beneficiem da agilidade e crescimento dos negócios
ÿ Conheça os requisitos que afetam uma organização para saber sobre as jurisdições
de uma organização, setor ou atividades empregadas pela organização para
conduzir negócios
Monitoramento ÿ
Módulo 06 Página 516 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exploração madeireira
Os provedores de serviços em nuvem são responsáveis por proteger a infraestrutura compartilhada, incluindo roteadores, switches,
balanceadores de carga, firewalls, hipervisores, redes de armazenamento, consoles de gerenciamento, DNS, serviços de diretório e API de
nuvem.
Módulo 06 Página 517 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O gerenciamento de identidade e acesso (IAM) oferece controle de acesso baseado em função aos clientes
ou funcionários de uma organização para acessar informações críticas dentro da empresa. Compreende
processos de negócios, políticas e tecnologias que permitem a vigilância de identidades eletrônicas ou
digitais. Os produtos IAM fornecem ferramentas e tecnologias aos administradores do sistema para regular
o acesso do usuário (criar, gerenciar e remover o acesso) a sistemas ou redes com base nas funções de
usuários individuais dentro da empresa. As organizações geralmente preferem a autenticação multifuncional
que pode ser estendida à Federação de Identidade. Porque a Federação de Identidade inclui IAM com logon
único (SSO) e uma conta AD centralizada para gerenciamento seguro. Além disso, o IAM habilita a
autenticação multifator (MFA) para o usuário raiz e suas contas de usuário associadas. O MFA é usado para
controlar o acesso às APIs do serviço em nuvem.
No entanto, a melhor opção é selecionar um MFA virtual ou um dispositivo de hardware.
Módulo 06 Página 518 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observância
Uma compreensão clara dos requisitos de uma organização e como a conformidade é alcançada pode permitir que
as organizações se beneficiem da agilidade e do crescimento dos negócios. A falha de conformidade pode levar a
multas regulatórias, ações judiciais, incidentes de segurança cibernética e danos à reputação.
A seguir estão as considerações de conformidade para uma organização integrar seus programas de conformidade
com seus provedores de nuvem.
ÿ Conhecer os requisitos que impactam uma organização é importante. Esses requisitos são baseados na
jurisdição de uma organização, indústria ou nas atividades empregadas por uma organização para sua
operação.
ÿ Monitorar e auditar o programa de conformidade de uma organização proativamente ou antes que uma
crise ocorra pode ajudar as organizações a encontrar lacunas e melhorar sua posição de conformidade.
Módulo 06 Página 519 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Gerenciamento de chaves: geração, uso, proteção, armazenamento, backup e exclusão de chaves de criptografia.
O gerenciamento de chaves na nuvem garante uma segurança de chave estrita devido à maior possibilidade de
exposição de chaves.
ÿ Backup de dados na nuvem: Fazer backups locais dos dados na nuvem evita possíveis perdas de dados em
a organização.
Segurança de rede
O principal desafio na segurança da rede em nuvem inclui a falta de visibilidade da rede no monitoramento e gerenciamento
de atividades suspeitas do consumidor. A segurança de rede em nuvem requer os seguintes recursos de segurança
adicionais em comparação com os recursos de segurança de rede tradicionais.
ÿ Instalar firewalls
ÿ Usando DMZs
Monitoramento
O monitoramento de nuvem é necessário para gerenciar serviços, aplicativos e infraestrutura baseados em nuvem.
O monitoramento eficaz da nuvem ajuda uma organização a proteger um ambiente de nuvem contra possíveis ameaças,
armazenar e transferir dados na nuvem com facilidade e proteger os dados pessoais de
clientes.
O monitoramento de atividades deve observar as seguintes atividades para monitorar dados não autorizados
Acesso:
ÿ Replicação de dados: desempenha um papel fundamental no gerenciamento de dados, migrando bancos de dados
online e sincronizando os dados em tempo real. O monitoramento da migração deve ser executado durante a
replicação de dados.
Módulo 06 Página 520 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Alterações no nome do arquivo de dados: atividades de manipulação de dados, como alterações no nome do arquivo de dados, devem
ser monitoradas. Os atributos de alteração de arquivo devem ser utilizados para monitorar alterações no sistema de arquivos.
ÿ Alterações na classificação de arquivos: o monitoramento de atividades por meio de alterações na classificação de arquivos ajuda
ÿ Alterações de propriedade de dados: o monitoramento da atividade de dados por meio de alterações de propriedade de dados deve ser
O monitoramento de dados deve definir limites e regras para atividades normais, o que pode ajudar na detecção de atividades incomuns e enviar
alertas aos proprietários de dados se qualquer violação for observada no limite definido.
Exploração madeireira
Os logs de segurança fornecem um registro das atividades no ambiente de TI de uma organização. Eles são usados para detecção de ameaças,
Após a adoção acelerada de plataformas de nuvem, em vez de usar alguns servidores, as empresas agora mantêm milhares de servidores que
desempenham um papel menor na pilha de infraestrutura de aplicativos. Isso complica a agregação de silos de dados.
Para garantir um gerenciamento de log eficiente e seguro na nuvem, as organizações devem seguir as práticas a seguir.
ÿ Escalabilidade do Sistema
Módulo 06 Página 521 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Conta
Grupo: Grupo:
Grupo: Teste
Administradores Desenvolvedores
DevApp1 TestApp1
O gerenciamento de identidade e acesso (IAM) da AWS é um serviço da web que permite ao cliente
controlar com segurança o acesso aos serviços e recursos da AWS. Ele ajuda a estabelecer as regras
de acesso e permissões para usuários e aplicativos específicos. Ele controla quem é autenticado
(conectado) e autorizado (tem permissões) para acesso a recursos.
Módulo 06 Página 522 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recursos IAM
Criar nomes de usuário e senhas para outros usuários/grupos para delegar acesso a recursos e APIs de
serviços específicos da AWS sem compartilhar sua senha ou chave de acesso.
ÿ Permissões granulares
Conceder permissões diferentes a pessoas diferentes para vários recursos para fornecer granularidade para
controlar o acesso do usuário a serviços e recursos específicos da AWS.
ÿ Acesso seguro aos recursos da AWS para aplicativos executados no Amazon EC2
Fornecer credenciais para aplicativos executados em instâncias do EC2 para permitir que os aplicativos
acessem outros recursos da AWS.
ÿ Autenticação multifator
ÿ Federação de Identidade
Permitindo usuários que já possuem senhas em outros lugares e permitindo que os usuários tenham apenas
uma senha para trabalho no ambiente local e na nuvem.
Suporte ao padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) para organizações
que lidam com cartões de crédito de marca dos principais esquemas de cartões.
ÿ Política de Senha
Permitindo redefinir uma senha ou alternar senhas remotamente e definir regras para uso de senha.
ÿ Políticas e Grupos
Use grupos IAM para facilitar o gerenciamento de permissões e seguir as melhores práticas de IAM. O IAM
permite a organização de usuários do IAM em grupos do IAM e aplica uma política a cada grupo; usuários
individuais ainda possuem suas credenciais.
Módulo 06 Página 523 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A chave de acesso (um ID de chave de acesso e uma chave de acesso secreta) é usada para fazer solicitações programáticas à AWS
ÿ A chave de acesso da conta de usuário raiz da AWS fornece acesso total a todos os recursos da AWS
AWS IAM: bloqueie sua conta da AWS Chaves de acesso do usuário raiz A chave de acesso
(um ID de chave de acesso e uma chave de acesso secreta) permite solicitações programáticas para a AWS.
No entanto, não é recomendável usar a chave de acesso do usuário raiz da AWS porque ela pode fornecer acesso completo a todos
os recursos dos serviços da AWS. Deve-se observar que os usuários não podem reduzir as permissões associadas à chave de
acesso do usuário raiz da AWS.
ÿ Uma chave de acesso de usuário raiz da AWS não deve ser criada, a menos que seja necessário. Em vez disso, o
endereço de e-mail e a senha da conta devem ser usados para fazer login no console de gerenciamento da AWS e criar
um usuário IAM administrativo.
ÿ A chave de acesso do usuário raiz da AWS deve ser alterada ou excluída regularmente.
ÿ Nunca compartilhe a senha do usuário root AWS ou chaves de acesso para evitar ter que incorporar
eles em um aplicativo.
Módulo 06 Página 524 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Selecione o nome ou número da conta desejada; em seguida, selecione Minha conta na parte superior
canto direito do console de gerenciamento da AWS.
• A senha deve incluir pelo menos três dos seguintes tipos de caracteres: maiúsculas, minúsculas, números
e ! @ # $ % ^ & * () <> [] {} | _+-= símbolos.
o Adquira qualquer um dos seguintes dispositivos MFA. Observe que apenas um dispositivo MFA pode ser
ativado por conta de usuário raiz da AWS ou usuário IAM.
• Dispositivo U2F
• Celular
• Os usuários do IAM com dispositivos MFA virtuais ou de hardware podem habilitar seus dispositivos
Console de gerenciamento da AWS, AWS CLI ou API do IAM.
• Para usuários IAM com chaves de segurança U2F ou um telefone celular que pode receber textos SMS,
o dispositivo MFA pode ser ativado no console de gerenciamento da AWS.
• Para contas de usuário raiz da AWS com qualquer tipo de dispositivo MFA (exceto SMS MFA), o
dispositivo pode ser habilitado no console de gerenciamento da AWS.
Módulo 06 Página 525 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recomenda-se evitar o uso da conta de usuário raiz da AWS para acessar a AWS. Em vez disso, contas de usuário individuais
devem ser criadas para acessar a AWS. Da mesma forma, um usuário deve criar um usuário IAM para si e habilitá-lo com
permissões administrativas; esta conta deve ser usada para todas as operações. Cada usuário do IAM deve receber um
conjunto exclusivo de credenciais de segurança e diferentes permissões. As permissões de usuário do IAM devem ser
alteradas ou revogadas, se necessário.
ÿ
No campo Nome do usuário , forneça qualquer nome (aqui, Alice).
Módulo 06 Página 526 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para Tipo de acesso, forneça acesso ao Console de gerenciamento da AWS para Alice na
seção Selecionar tipo de acesso da AWS . Selecione o botão de opção Senha personalizada
e insira uma senha no campo Senha . A guia Exigir redefinição de senha é opcional; no entanto,
habilite essa configuração. Em seguida, clique em Próxima permissão.
ÿ Na seção Definir permissões , a opção Adicionar usuário ao grupo é selecionada por padrão.
Verifique o grupo recém-criado (aqui, Training_Group); isso adicionará o usuário ao grupo. Em
seguida, clique em Avançar: Tags.
Módulo 06 Página 527 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ As tags são opcionais; no entanto, a marcação ajuda a procurar chaves de marca facilmente no futuro.
Especifique Departamento como Chave de Tag e Valor-Chave como Treinamento. Clique em Next: Review para
revisar a criação do usuário IAM.
Módulo 06 Página 528 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 529 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens:
AWS IAM: Use grupos para atribuir permissões a usuários do IAM Conceder
permissões a cada usuário do IAM pode ser uma tarefa difícil. Portanto, crie grupos e defina direitos e
permissões específicos para cada grupo. Adicione contas de usuário do IAM a esses grupos com base em
suas funções de trabalho. Isso pode ajudar a modificar os usuários IAM de um grupo específico em um ponto
e reduzir a complexidade do gerenciamento de acesso para organizações com vários usuários e a atribuição
acidental de privilégios mais altos aos usuários. É fácil e consome menos tempo atribuir e reatribuir direitos a
grupos. Se a função de um usuário for alterada, a conta de usuário do IAM poderá ser transferida para o novo
grupo.
Módulo 06 Página 530 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Na seção Definir nome do grupo, digite o nome do grupo no campo Nome do grupo
(aqui, Training_Group) e clique em Next Step.
Módulo 06 Página 531 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ
Na seção Attach Policy , procure por iamuserchangepassword; os registros correspondentes são
filtrados e, em seguida, verifique IAMUserChangePassword.
ÿ Procure por administrador de banco de dados; os registros correspondentes são filtrados, verifique
DatabaseAdministrator e clique em Next.
Módulo 06 Página 532 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ
Na seção Revisão , duas políticas são adicionadas. Clique em Criar grupo.
Módulo 06 Página 533 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Durante a criação de políticas do IAM, as permissões são necessárias apenas para executar as tarefas
necessárias. Assim, as políticas devem ser formuladas de acordo com os papéis dos usuários. Inicialmente,
devem ser fornecidas permissões mínimas para garantir a segurança; as permissões podem ser estendidas
no futuro. Os tipos de ação incluem lista, leitura, gravação, gerenciamento de permissão e marcação. Por
exemplo, se as ações forem selecionadas nos níveis de acesso Lista e Leitura, elas serão usadas para
conceder acesso somente leitura aos usuários. Um exemplo das ações das políticas e suas descrições
são dadas abaixo.
O recurso de dados “service last access” pode ser usado para visualizar os dados na guia Access Advisor
no console do IAM. Os mesmos dados podem ser visualizados na seção AWS Organizations do console
do IAM se o usuário estiver conectado com as credenciais da conta mestra. Essas informações podem ser
usadas para exibir as permissões desnecessárias para refiná-las adequadamente. Os eventos de uma
conta no histórico de eventos do AWS CloudTrail podem ser usados para implementar permissões
granulares adicionais.
Módulo 06 Página 534 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.43: Permissões de serviço concedidas ao usuário e quando um serviço foi acessado pela última vez
Módulo 06 Página 535 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
AWS
Função ThirdPartyAccess
Política AWSCloudTrailReadOnlyAccess
Os administradores precisam de algum tempo para entender as políticas e fornecê-las aos funcionários para que
executem as tarefas necessárias. Eles precisam entender melhor as políticas do IAM e devem testar o IAM antes
da implementação. Os usuários também precisam estar cientes das tarefas que devem executar e entender as
permissões concedidas a eles.
Para melhor compreensão, as políticas gerenciadas pela AWS fornecem permissões aos usuários e os familiarizam
com as tarefas que devem executar com as permissões concedidas. As políticas gerenciadas pela AWS (políticas
independentes criadas e administradas pela AWS) são úteis até o design e a criação de políticas de acesso.
As políticas gerenciadas pela AWS fornecem permissões para muitos casos de uso comuns:
ÿ As políticas gerenciadas da AWS de acesso total definem permissões para administradores de serviço,
concedendo acesso total a um serviço. Por exemplo, AmazonDynamoDBFullAccess e IAMFullAccess.
ÿ As políticas gerenciadas pela AWS para usuários avançados fornecem vários níveis de acesso aos
serviços da AWS sem permitir o gerenciamento de permissões. Por exemplo, AWSCodeCommitPowerUser
e AWSKeyManagementServicePowerUser.
ÿ As políticas gerenciadas pela AWS de acesso parcial fornecem níveis específicos de acesso à AWS e
Serviços. Por exemplo, AmazonMobileAnalyticsWriteOnlyAccess
AmazonEC2ReadOnlyAccess.
Módulo 06 Página 536 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 537 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A seguir, são discutidas várias práticas recomendadas para proteger um ambiente de nuvem:
ÿ Os fornecedores devem passar regularmente por auditorias AICPA SAS 70 Tipo II.
Módulo 06 Página 538 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 539 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recomendações do NIST
para segurança na nuvem
01
Avalie o risco representado aos dados, software e infraestrutura do cliente
05
Estabelecer mecanismos apropriados de detecção e relatório de incidentes
06
Analisar quais são os objetivos de segurança da organização
ÿ Garantir que os procedimentos de auditoria estejam em vigor para proteção de dados e isolamento de software.
ÿ Informe-se sobre quem é o responsável pela privacidade de dados e questões de segurança na nuvem.
Módulo 06 Página 540 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O provedor cumpre todos os padrões relevantes do setor (por exemplo, a Lei de Proteção
de Dados do Reino Unido)?
As tabelas abaixo fornecem listas de verificação para determinar se a equipe de segurança, o restante da organização e qualquer provedor
de nuvem proposto podem garantir a segurança da nuvem.
Listas de verificação para determinar se o CSP está adequado e pronto para a segurança na nuvem:
Equipe de segurança
A adoção da nuvem pela organização estará em conformidade com os padrões de segurança seguidos pela
ÿ
organização?
Tabela 6.3: Lista de verificação para determinar se a equipe de segurança está apta e pronta para a segurança na nuvem
Módulo 06 Página 541 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O CSP tem políticas e procedimentos claros para lidar com evidências digitais
ÿ ÿ
na infraestrutura de nuvem?
O CSP fornece suporte 24 horas por dia, 7 dias por semana, para operações em nuvem e problemas
ÿ ÿ
relacionados à segurança?
Tabela 6.4: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em suas operações
Módulo 06 Página 542 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Existem controles de acesso apropriados (por exemplo, logon único federado) que fornecem
ÿ ÿ
aos usuários acesso controlado a aplicativos em nuvem?
Tabela 6.5: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em sua tecnologia
O provedor cumpre todos os padrões relevantes do setor (por exemplo, a Lei de Proteção
ÿ ÿ
de Dados do Reino Unido)?
Tabela 6.6: Lista de verificação para determinar se a organização/provedor está apto e pronto para a segurança na nuvem com base em seu gerenciamento
Módulo 06 Página 543 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
CloudPassage Halo
https:// www.cloudpassage.com
CipherCloud
https:// www.ciphercloud.com
Prisma Cloud
https:// www.paloaltonetworks.com
https:// www.qualys.com
Qualys Cloud Platform é uma solução de segurança de TI de ponta a ponta que fornece uma avaliação
contínua e sempre ativa da postura global de segurança e conformidade, com visibilidade de todos os
ativos de TI, independentemente de onde residam. Inclui sensores que fornecem visibilidade contínua e
todos os dados da nuvem podem ser analisados em tempo real. Ele responde a ameaças imediatamente,
executa a vulnerabilidade ativa na solicitação de registro de data e hora do protocolo de mensagens de
controle da Internet e visualiza os resultados em um só lugar com o AssetView.
Módulo 06 Página 544 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 545 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
ÿ Este módulo discutiu a virtualização, seus componentes e capacitadores de
virtualização
ÿ Finalmente, este módulo terminou com uma breve discussão sobre a importância
da segurança na nuvem e suas melhores práticas
Resumo do Módulo
Este módulo discutiu a virtualização, seus componentes e ativadores de virtualização. Ele discutiu a segurança e as
preocupações com a virtualização do sistema operacional. Ele também discutiu as práticas recomendadas para
segurança de virtualização de sistema operacional. Além disso, este módulo discutiu a computação em nuvem e seus
benefícios. Ele discutiu diferentes tipos de serviços de computação em nuvem e modelos de implantação em nuvem.
Por fim, este módulo apresentou uma breve discussão sobre a importância da segurança na nuvem e suas melhores práticas.
Módulo 06 Página 546 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 07
Segurança de Rede Wireless
Machine Translated by Google
Objetivos do módulo
Compreendendo a terminologia sem fio, sem fio
1 Redes e padrões sem fio
Noções básicas sobre medidas de segurança de rede sem fio e sem fio
6 Ferramentas de segurança
Objetivos do módulo
Este módulo trata da segurança de rede para redes sem fio em empresas. As redes sem fio são amplamente
utilizadas nas organizações atualmente e são propensas a vários ataques.
Portanto, as organizações precisam se concentrar no planejamento para proteger a rede sem fio em toda a
organização.
ÿ Compreender a terminologia sem fio, redes sem fio e padrões sem fio
ÿ Explicar medidas de segurança de rede sem fio e ferramentas de segurança sem fio
Módulo 07 Página 548 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Entenda a rede sem fio
Fundamentos de rede 01 04 Rede sem fio
Medidas de segurança
Módulo 07 Página 549 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um identificador exclusivo de 32 caracteres alfanuméricos atribuído a uma rede local sem fio (WLAN)
Múltiplas entradas, múltiplas saídas ortogonais de multiplexação por divisão de frequência (MIMO-OFDM)
Um método de transmissão de sinais de rádio comutando rapidamente uma portadora entre muitos canais de frequência
Em uma rede sem fio, os dados são transmitidos por meio de ondas EM que transportam sinais pelo caminho de
comunicação. Os termos associados a redes sem fio incluem o seguinte:
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão de
dados móveis em redes sem fio em todo o mundo.
Módulo 07 Página 550 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão. Normalmente,
a largura de banda refere-se à taxa de transferência de dados e é medida em bits (quantidade de dados) por
segundo (bps).
ÿ Ponto de acesso (AP): Um AP é usado para conectar dispositivos sem fio a uma rede sem fio/com fio. Ele permite
que dispositivos de comunicação sem fio se conectem a uma rede sem fio por meio de padrões sem fio, como
Bluetooth e Wi-Fi. Ele serve como um switch ou hub entre uma LAN com fio e uma rede sem fio.
ÿ Identificador do conjunto de serviço básico (BSSID): É o endereço de controle de acesso à mídia (MAC) de um
ponto de acesso (AP) ou estação base que configurou um conjunto de serviço básico (BSS). Geralmente, os
usuários desconhecem o BSS ao qual pertencem. Quando um usuário move um dispositivo, o BSS usado pelo
dispositivo pode mudar devido a uma variação no alcance coberto pelo AP, mas essa mudança pode não afetar
a conectividade do dispositivo sem fio.
ÿ Banda industrial, científica e médica (ISM): Esta banda é um conjunto de frequências usadas pelas
comunidades industriais, científicas e médicas internacionais.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
Os pontos de acesso referem-se a áreas com disponibilidade de Wi-Fi, onde os usuários podem habilitar o Wi-Fi
em seus dispositivos e conectar-se à Internet.
ÿ Multiplexação por divisão de frequência ortogonal (OFDM): Um OFDM é um método de modulação digital de
dados no qual um sinal, em uma frequência escolhida, é dividido em várias frequências portadoras que são
ortogonais (ocorrendo em ângulos retos) entre si. OFDM mapeia informações sobre as mudanças na fase da
portadora, frequência, amplitude ou uma combinação destes e compartilha a largura de banda com outros canais
independentes. Ele produz um esquema de transmissão que suporta taxas de bits mais altas do que a operação
de canal paralelo. É também um método de codificação de dados digitais em múltiplas frequências portadoras.
ÿ Múltiplas entradas, múltiplas saídas-multiplexação ortogonal por divisão de frequência (MIMO OFDM):
MIMO-OFDM influencia a eficiência espectral dos serviços de comunicação sem fio 4G e 5G. A adoção da
técnica MIMO-OFDM reduz a interferência e aumenta a robustez do canal.
ÿ Espectro de dispersão de seqüência direta (DSSS): DSSS é uma técnica de espectro de dispersão que multiplica
o sinal de dados original com um código de dispersão de ruído pseudo-aleatório. Também conhecida como
esquema de transmissão de dados ou esquema de modulação, a técnica protege os sinais contra interferência
ou bloqueio.
ÿ Frequency-hopping spread spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por divisão de
código com salto de frequência (FH-CDMA), é um método de transmissão de sinais de rádio por
Módulo 07 Página 551 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
comutação rápida de uma portadora entre muitos canais de frequência. Diminui a eficiência de
interceptação não autorizada ou bloqueio de telecomunicações. No FHSS, um transmissor salta
entre as frequências disponíveis usando um algoritmo especificado em uma sequência pseudo-
aleatória conhecida tanto pelo remetente quanto pelo destinatário.
Módulo 07 Página 552 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens
O mundo da informática caminha para uma nova era de evolução tecnológica com o uso de tecnologias
sem fio. A rede sem fio está revolucionando a maneira como as pessoas trabalham e se divertem. Ao
remover a conexão física ou o cabo, os indivíduos podem usar as redes de maneiras mais recentes que
tornam os dados portáteis, móveis e acessíveis.
Um ambiente de rede sem fio abre muitas novas expansões e possibilidades de fluxo de trabalho.
Com a disponibilidade de uma rede sem fio, não há necessidade de se preocupar quando um usuário
deseja mover seu PC de um escritório para outro ou quando deseja trabalhar em um local que não possui
uma porta Ethernet.
A rede sem fio é muito útil em locais públicos, incluindo bibliotecas, cafeterias, hotéis, aeroportos e outros
estabelecimentos que oferecem conexões WLAN.
O aspecto mais importante na rede sem fio é um ponto de acesso através do qual um usuário pode se
comunicar com outro host móvel ou fixo. Um ponto de acesso é um dispositivo que contém um transceptor
de rádio (que envia e recebe sinais) juntamente com uma interface de rede com fio jack 45 (RJ-45)
registrada, que permite ao usuário conectar-se a uma rede com fio padrão usando um cabo.
Módulo 07 Página 553 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Atualizações Wi-Fi podem exigir novas placas wireless e/ou APs ÿ Alguns
Módulo 07 Página 554 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Em uma rede sem fio, a transmissão de dados ocorre por meio de ondas eletromagnéticas que transportam sinais ao
longo do caminho de comunicação.
A fidelidade sem fio (Wi-Fi) faz parte da família 802.11 de padrões de rede sem fio do Institute of Electrical and
Electronics Engineers (IEEE). Essa tecnologia usa ondas de rádio ou micro-ondas para permitir que dispositivos
eletrônicos troquem dados ou se conectem à Internet.
Muitos dispositivos, como computadores pessoais, laptops, câmeras digitais, smartphones, etc., suportam a
tecnologia Wi-Fi. O Wi-Fi opera na faixa de frequência entre 2,4 GHz e 5 GHz. Uma rede Wi-Fi usa ondas de
rádio para transmitir os sinais pela rede. Para isso, um computador deve ter um adaptador sem fio para traduzir
os dados em sinais de rádio e passá-los por uma antena e um roteador. É aqui que a mensagem é decodificada
e os dados são enviados para a internet ou por outra rede. Hotspots são áreas que possuem disponibilidade de
Wi-Fi, onde os usuários podem habilitar o Wi-Fi em seus dispositivos e se conectar à internet por meio de um
hotspot.
ÿBluetooth _
Na tecnologia Bluetooth, os dados são transmitidos entre telefones celulares, computadores e outros dispositivos
de rede em distâncias curtas. Os sinais transmitidos via Bluetooth cobrem distâncias curtas de até 10 m em
comparação com outros modos de comunicação sem fio.
O Bluetooth transfere os dados a uma velocidade inferior a 1 Mbps e opera na faixa de frequência de 2,4 GHz.
Esta tecnologia está sob IEEE 802.15 e usa uma tecnologia de rádio chamada FHSS para transferir dados para
outros dispositivos habilitados para Bluetooth.
Módulo 07 Página 555 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RFID
A tecnologia de identificação por radiofrequência (RFID) usa ondas eletromagnéticas de radiofrequência (RF) para
transferir dados para identificação automática e para rastrear tags anexadas a objetos. Os dispositivos RFID funcionam
dentro de uma pequena faixa de até 20 pés.
ÿ WiMAX
A tecnologia de interoperabilidade mundial para acesso por micro-ondas (WiMAX) usa redes sem fio de longa distância
e Internet de alta velocidade. Pertence à família IEEE 802.16 de padrões de rede sem fio. Os sinais WiMAX podem
funcionar a uma distância de vários quilômetros com taxas de dados de até 75 Mbps. Ele usa um aplicativo sem fio
fixo e estações móveis para fornecer dados de alta velocidade, voz, chamadas de vídeo e conectividade com a Internet
aos usuários. O fórum WiMAX desenvolveu o WiMAX e afirma que cerca de 135 países implantaram mais de 455
redes WiMAX.
Módulo 07 Página 556 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As diferenças entre uma rede com fio e uma sem fio são as seguintes:
Módulo 07 Página 557 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
5 35 120
802.11a 20 6, 9, 12, 18, 24, 36, 48, 54 OFDM
3.7 — 5000
802.11b 2.4
22 1, 2, 5.5, 11 DSSS 35 140
É uma versão aprimorada de 802.11a e 802.11b que permite portabilidade global, permitindo variação de frequências, níveis de
802.11d
potência e largura de banda
802.11e Fornece orientação para priorização de transmissões de dados, voz e vídeo, permitindo qualidade de serviço (QoS)
Este é um padrão para WLANs que fornece criptografia aprimorada para redes que usam os padrões 802.11a, 802.11b e
802.11i
802.11g
Módulo 07 Página 558 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Este padrão define a prioridade de demanda e o protocolo de controle de acesso ao meio para aumentar a taxa de dados
802.12
Ethernet para 100 Mbps
802.15 Este padrão define as especificações de comunicação para redes de área pessoal sem fio (WPANs)
802.15.1
2.4 1-3 Mbps 10
(Bluetooth)
802.15.4
2.4 868, 900
(Zigbee)
802.15.5 Um padrão para redes mesh com confiabilidade aprimorada por meio de redundância de rota
802.16 Um grupo de padrões de comunicação sem fio de banda larga para redes de área metropolitana (MANs)
Os padrões IEEE correspondem aos vários métodos de transmissão de redes sem fio. Eles são os
seguintes:
ÿ 802.11 (Wi-Fi): Este padrão corresponde a WLANs e usa FHSS ou DSSS como espectro de
salto de frequência. Ele permite que um dispositivo eletrônico se conecte à internet usando
uma conexão sem fio estabelecida em qualquer rede.
ÿ 802.11a: Este padrão é a segunda extensão do padrão 802.11 original. Ele opera na banda de
frequência de 5 GHz e suporta uma largura de banda de até 54 Mbps usando OFDM. Tem
uma velocidade máxima rápida, mas é mais sensível a paredes e outros obstáculos.
ÿ 802.11b: IEEE expandiu o padrão 802.11 criando as especificações 802.11b em 1999. Esse
padrão opera na banda de rádio industrial, científica e médica (ISM) de 2,4 GHz e suporta
uma largura de banda de até 11 Mbps usando modulação DSSS.
ÿ 802.11d: Este padrão é uma versão aprimorada dos padrões 802.11a e 802.11b. Ele suporta
os domínios regulatórios. As particularidades deste padrão podem ser definidas na camada
de controle de acesso à mídia (MAC).
ÿ 802.11e: Este padrão define a qualidade de serviço (QoS) para aplicativos sem fio. O serviço
aprimorado é modificado usando a camada MAC. Este padrão mantém a qualidade do
streaming de vídeo e áudio, aplicações online em tempo real, protocolo de voz sobre internet
(VoIP), etc.
Módulo 07 Página 559 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ 802.11g: Este padrão é uma extensão do padrão 802.11. Ele suporta uma largura de banda máxima de 54
Mbps usando a tecnologia OFDM e usa a mesma banda de 2,4 GHz do 802.11b. É compatível com o padrão
802.11b, o que significa que os dispositivos 802.11b podem funcionar diretamente com um ponto de acesso
802.11g.
ÿ 802.11i: Este padrão é usado como padrão para WLANs e fornece criptografia aprimorada para redes. 802.11i
requer novos protocolos como TKIP e padrão de criptografia avançada (AES).
ÿ 802.11n: Este padrão foi desenvolvido em 2009. Visa melhorar o padrão 802.11g em termos de largura de
banda. Ele opera nas bandas de 2,4 e 5 GHz e suporta uma taxa de dados máxima de até 300 Mbps. Ele
usa vários transmissores e antenas receptoras (MIMO) para permitir uma taxa de dados máxima junto com
melhorias de segurança.
ÿ 802.11ac: Este padrão fornece uma rede de alto rendimento na frequência de 5 GHz.
É mais rápido e confiável do que o padrão 802.11n. Envolve rede gigabit que fornece uma experiência
instantânea de transferência de dados.
ÿ 802.11ad: 802.11ad envolve a inclusão de uma nova camada física para redes 802.11.
Este padrão funciona no espectro de 60 GHz. A velocidade de propagação de dados neste padrão é
significativamente diferente das bandas que operam em 2,4 GHz e 5 GHz. Com um espectro de frequência
muito alto, a velocidade de transferência é muito maior que a do 802.11n.
ÿ 802.12: Este padrão domina a utilização de mídia trabalhando no protocolo de prioridade de demanda. Com
base nesse padrão, a velocidade da Ethernet aumenta para 100 Mbps. É compatível com os padrões 802.3
e 802.5. Os usuários atualmente nesses padrões podem atualizar diretamente para o padrão 802.12.
ÿ 802.15: define os padrões para uma rede de área pessoal sem fio (WPAN). Ele descreve a especificação para
conectividade sem fio com dispositivos fixos ou portáteis.
ÿ 802.15.1 (Bluetooth): Bluetooth é usado principalmente para troca de dados entre fixo e
dispositivos móveis em distâncias curtas.
ÿ 802.15.4 (Zigbee): O padrão 802.15.4 possui baixa taxa de dados e complexidade. Zigbee é a especificação
usada no padrão 802.15.4. Ele transmite dados de longa distância através de uma rede mesh. Essa
especificação lida com aplicativos que operam com uma taxa de dados baixa, mas com maior duração da
bateria. Sua taxa de dados é de 250 kbits/s.
ÿ 802.15.5: Este padrão se implanta em uma topologia full mesh ou meia mesh. Inclui
inicialização de rede, endereçamento e unicasting.
ÿ IEEE 802.16: Este padrão também é conhecido como WiMAX e é uma especificação para redes de acesso
metropolitano sem fio de banda larga fixa (MANs) que usam uma arquitetura ponto a multiponto.
Módulo 07 Página 560 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Para planejar e instalar uma rede sem fio, é necessário determinar o tipo de arquitetura que seria
adequado para o ambiente de rede.
O modo ad-hoc também é chamado de modo de conjunto de serviço básico independente (IBSS).
Os dispositivos conectados em uma rede sem fio se comunicam diretamente entre si, de maneira
semelhante ao modo de comunicação ponto a ponto. O modo ad-hoc não implementa um ponto
de acesso sem fio (WAP)/ponto de acesso (AP) para comunicação entre dispositivos. Os
adaptadores sem fio em cada dispositivo são configurados no modo ad-hoc e não no modo de
infraestrutura. Os adaptadores para todos os dispositivos devem usar o mesmo nome de canal e
SSID para estabelecer as conexões de rede com sucesso.
Módulo 07 Página 561 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O modo ad-hoc funciona de forma eficaz para um pequeno grupo de dispositivos e é necessário conectar
todos os dispositivos próximos uns dos outros. O desempenho da rede diminui à medida que o número de
dispositivos aumenta. Torna-se complicado para um administrador de rede gerenciar a rede neste modo,
porque os dispositivos se conectam e desconectam regularmente. Não é possível conectar este modo com
uma rede com fio tradicional e não permite o acesso à Internet até que um gateway especial esteja presente.
O modo ad-hoc funciona melhor em uma área pequena e não requer nenhum ponto de acesso (como roteador
ou switch), minimizando assim o custo. Este modo atua como uma opção de backup e aparece quando há um
problema ou mau funcionamento nos APs ou em uma rede coordenada centralmente (modo infraestrutura).
Este modo usa a funcionalidade de cada adaptador para ativar a autenticação de segurança e usar serviços
sem fio.
Uma arquitetura coordenada centralmente (modo de infraestrutura) ou um modo de conjunto de serviço básico
(BSS) é uma arquitetura em que todos os dispositivos sem fio se conectam entre si por meio de um AP.
Este AP (roteador ou switch) recebe acesso à Internet conectando-se a um modem de banda larga. Este
modo funcionará de forma eficaz quando implantado em grandes organizações. Simplifica o gerenciamento
de rede e ajuda a resolver os problemas operacionais. Ele garante resiliência enquanto permite que vários
sistemas se conectem através da rede.
Este modo fornece opções de segurança aprimoradas, escalabilidade, estabilidade e fácil gerenciamento. A
desvantagem é que é caro, pois é necessário um AP (roteador ou switch) para conectar os dispositivos entre
si.
Módulo 07 Página 562 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 563 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Acesso
Usuários Apontar
Extensão Múltiplo
Acesso Acesso
para um fio Banda larga
Roteador
Usuários Apontar Apontar Usuários Acesso
Rede Extensão
Pontos
Apontar
Banda larga
Internet
Roteador
Usuários
Internet
Internet
E1 E2
Torre de celular
WLAN WPAN
Ele conecta usuários em uma área local Ele interliga dispositivos posicionados ao
com uma rede. A área pode variar de redor de um indivíduo, em que as
uma única sala a um campus inteiro conexões são sem fio. Tem um alcance muito
curto
WWAN WMAN
A WWAN cobre uma área maior que a Ele acessa redes de área de banda larga
WLAN. Pode abranger uma determinada usando uma antena externa. É uma boa
região, nação ou até mesmo o globo alternativa para uma rede fixa
inteiro
As redes sem fio são classificadas com base na conexão utilizada e na área geográfica.
A extensão para uma rede com fio pode ser obtida colocando APs entre uma rede com fio e dispositivos sem
fio.
Módulo 07 Página 564 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Nessa rede, o AP atua como um hub que fornece conectividade para computadores sem fio.
Ele também pode conectar uma LAN sem fio a uma LAN com fio, o que permite aos computadores sem fio o
acesso aos recursos da LAN, como servidores de arquivos ou conectividade existente com a Internet.
Os dois tipos de APs usados neste tipo de rede sem fio são:
o APs de software que podem ser conectados a uma rede com fio e que funcionam em um
computador com uma placa de interface de rede sem fio.
o Hardware APs (HAPs) que fornecem suporte abrangente para a maioria dos recursos sem fio. Com um
suporte de software de rede adequado, os usuários na LAN sem fio podem compartilhar arquivos e
impressoras situados na LAN com fio e vice-versa.
A rede pode ser estendida ainda mais de acordo com o tamanho do local e a interferência de outros
dispositivos. Isso permite uma conexão com fio/sem fio em todo o local para vários usuários.
Computadores sem fio se conectam usando vários APs. Se uma única área grande não for coberta por um
único AP, vários APs ou pontos de extensão serão usados. Os pontos de extensão não são definidos no
padrão sem fio. Ao usar vários APs, cada AP deve cobrir seus vizinhos. Isso permite que os usuários se
movam facilmente usando um recurso chamado roaming. Alguns fabricantes desenvolvem pontos de extensão
que atuam como relés sem fio e, assim, estendem o alcance de um único AP. Múltiplos pontos de extensão
podem ser agrupados para fornecer acesso sem fio a locais distantes do ponto de acesso central.
Módulo 07 Página 565 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os APs fornecem conectividade sem fio para computadores locais e computadores em uma rede diferente.
Todos os HAPs têm a capacidade de se conectar diretamente a outros HAPs. Construir LANs interconectadas
usando conexões sem fio é grande e complexo. Vários PCs habilitados para LAN podem ser conectados a um
AP para comunicação sem fio.
ÿ Hotspot 4G
Um ponto de acesso fornece acesso à Internet por meio de uma WLAN com a ajuda de um roteador conectado
ao provedor de serviços de Internet (ISP). Vários dispositivos podem ser conectados ao mesmo tempo usando
um adaptador de rede Wi-Fi. Os hotspots usam o serviço de operadoras de celular para acesso à internet 4G.
Os computadores geralmente procuram pontos de acesso, identificando assim o SSID (nome da rede) da rede
sem fio.
Módulo 07 Página 566 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As redes sem fio são classificadas em WLAN, rede de área ampla sem fio (WWAN), rede de área pessoal sem fio
(WPAN) e rede de área metropolitana sem fio (WMAN) com base na área que cobrem geograficamente.
ÿ WLAN
o Uma WLAN conecta usuários em uma área local com uma rede. A área pode variar de um
quarto individual para um campus inteiro.
o Em 1990, o IEEE criou um grupo para desenvolver um padrão para equipamentos sem fio.
o No modo ponto a ponto, os dispositivos sem fio dentro do alcance um do outro se comunicam
diretamente entre si sem usar um AP central.
o No modo infra-estrutura, o ponto de acesso é conectado à internet com os usuários sem fio. Um ponto de
acesso funciona como um mediador entre as redes com e sem fio.
Vantagens:
o As redes sem fio são robustas. Se uma estação base estiver inativa, os usuários podem movê-la fisicamente
seus PCs no alcance de outra estação base.
Desvantagem:
o As velocidades de transferência de dados são normalmente mais lentas do que a rede com fio.
Módulo 07 Página 567 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ WWAN
o Lida com tecnologia de rede celular, como acesso múltiplo por divisão de código (CDMA), sistema global
para comunicações móveis (GSM), serviço geral de rádio por pacote (GPRS) e dados por pacote
digital celular (CDPD) para transmissão de dados.
o Esta tecnologia pode abranger uma determinada região, nação ou até mesmo o globo inteiro.
o O sistema possui um rádio celular integrado (GSM/CDMA) que ajuda os usuários a enviar ou
receber dados.
o Em WWAN, os dados sem fio consistem em links de micro-ondas fixos, redes de despacho digital, LANs
sem fio, dados sobre redes celulares, WANs sem fio, links de satélite, redes de paginação unidirecional
e bidirecional, comunicações baseadas em laser, infravermelho difuso, keyless entrada do carro, o
sistema de posicionamento global e muito mais.
ÿ WPAN
o WPAN interconecta dispositivos posicionados ao redor de um indivíduo, em que as conexões são sem
fio.
o WPAN tem um alcance muito curto. Ele pode se comunicar dentro de um alcance de 10 m. Uma WPAN
interconecta os dispositivos de rede móvel que as pessoas carregam consigo ou têm em suas mesas.
o Quando quaisquer dois dispositivos WPAN estiverem dentro de um alcance de alguns metros até o
servidor central, eles se comunicarão entre si, semelhante a uma rede com fio.
o Cada dispositivo em uma WPAN pode se conectar a qualquer outro dispositivo na mesma WPAN.
No entanto, para isso, eles devem estar dentro do alcance físico um do outro.
Bluetooth é o melhor exemplo de WPAN.
ÿ WMAN
O WMAN cobre uma área metropolitana, como uma cidade inteira ou um subúrbio.
o Ele acessa redes de área de banda larga usando uma antena externa.
o Em uma WMAN, as estações assinantes se comunicam com a estação base que está
conectado a uma rede central ou hub.
o Uma WMAN usa uma infraestrutura sem fio ou conexões de fibra ótica para ligar os sites.
Um link WMAN entre as WLANs. O barramento duplo de fila distribuída (DQDB) é o padrão MAN para
comunicações de dados, especificado pelo padrão IEEE 802.6. Com base no DQDB, a rede pode ser
estabelecida em 30 mi com uma velocidade de 34 a 154 Mbits/s.
Módulo 07 Página 568 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ É um dispositivo de hardware que permite que dispositivos de comunicação sem fio se conectem
a uma rede sem fio por meio de padrões sem fio, como Bluetooth, Wi-Fi, etc.
ÿ É um dispositivo que recebe e transmite sinais de rede para outras unidades sem
a necessidade de cabeamento físico
Componentes de um
Rede sem fio
(continua)
Repetidor sem fio roteador sem fio Gateways sem fio Adaptador USB sem fio
Módulo 07 Página 569 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de Antena
ÿ Fornece um padrão de radiação ÿ Uma antena unidirecional comumente ÿ São usados para
horizontal de 360 . É usado usado em comunicações na faixa concentrar a energia
em estações base sem fio. de frequência de 10 MHz a frequência eletromagnética que é irradiada
muito alta (VHF) e frequência ultra alta ou recebida em um ponto focal
(UHF)
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
ÿ Ponto de acesso: Um ponto de acesso (AP) é um dispositivo de hardware que usa o modo de rede de
infraestrutura sem fio para conectar componentes sem fio a uma rede com fio para transmissão de dados.
Ele serve como um switch ou hub entre uma LAN com fio e uma rede sem fio. Ele tem um transmissor
embutido, receptor e uma antena. As portas adicionais no WAP ajudam a expandir o alcance da rede e
fornecem acesso a clientes adicionais.
O número de APs depende do tamanho da rede. No entanto, vários APs fornecem acesso a um número
maior de clientes sem fio e, por sua vez, expandem o alcance da rede sem fio. O alcance de transmissão
e a distância que um cliente deve estar de um AP sem fio é um valor padrão máximo; Os APs transmitem
sinais utilizáveis muito além do intervalo padrão.
A distância à qual um sinal de AP sem fio é transmitido depende dos padrões sem fio, obstruções e
condições ambientais entre os clientes e os APs.
A faixa de transmissão e o número de dispositivos que um WAP pode conectar dependem do padrão sem
fio usado e da interferência de sinal entre os dispositivos. No projeto de rede de infraestrutura sem fio,
vários APs podem ser usados para cobrir uma área extensa, ou um único AP pode ser usado para cobrir
uma pequena área geográfica, como prédios, residências,
etc.
ÿ Placas de rede sem fio (NIC): Placas de rede sem fio ou adaptadores de rede sem fio (placas de interface de
rede sem fio (NICs)) são placas que localizam e se comunicam com um AP com um sinal poderoso, dando
acesso à rede aos usuários. É necessário em cada dispositivo para se conectar à rede sem fio. Laptops ou
computadores de mesa geralmente possuem placas de rede sem fio integradas ou slots para conectá-las.
Estes incluem dois tipos de placas plug-in. Um é chamado de associação internacional de cartão de
memória de computador pessoal
Módulo 07 Página 570 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
(PCMCIA) e a outra é uma interconexão de componentes periféricos (PCI). Os laptops possuem slots
para inserir as placas de plug-in PCMCIA, enquanto os computadores de mesa possuem slots internos
para adicionar placas PCI. A funcionalidade de uma placa de rede com e sem fio é semelhante. A
diferença entre as duas placas é que uma placa de rede com fio possui uma porta para conectar em uma
rede, enquanto uma placa de rede sem fio possui uma antena integrada para conectar em uma rede sem
fio. Normalmente, os computadores com barramento PCI ou portas USB podem se conectar à NIC sem
fio.
o Entrega o pacote.
ÿ Modem sem fio: Um modem sem fio é um dispositivo que permite que os PCs se conectem a uma rede
sem fio e acessem a conexão à Internet diretamente com a ajuda de um ISP. Eles recebem e transmitem
sinais de rede para outras unidades sem um cabo físico. Os roteadores Wi-Fi têm a capacidade de
transmitir um serviço de Internet dentro de um alcance limitado, enquanto os modems sem fio podem ser
usados em praticamente qualquer local onde um telefone celular esteja presente. Dispositivos portáteis,
como laptops, telefones celulares, PDAs, etc., usam modems sem fio para receber sinais pelo ar,
semelhante a uma rede celular. Existem vários tipos de modems sem fio. Os usuários podem escolher
um modem sem fio com base em seus requisitos. Os tipos comuns de modems sem fio incluem:
o Cartões: São a forma mais antiga de conexão sem fio. Existem dois tipos de cartões, ou seja, cartões
de dados e cartões de conexão, que estão disponíveis em operadoras móveis e são usados por
laptops, PCs e roteadores. Eles são pequenos em tamanho e fáceis
usar.
• Pendrives: Eles se conectam rapidamente à internet usando um modem sem fio. Eles se
assemelham a uma unidade flash de barramento serial universal (USB) e se encaixam facilmente
na porta USB de um laptop. Os computadores requerem a instalação de drivers e software
especiais para usá-los. Eles são portáteis.
o Velocidade do modem
o Protocolos que pode suportar, como ethernet, GPRS, rede digital de serviços integrados
(ISDN), dados otimizados para evolução (EVDO), Wi-Fi, CPCD
Módulo 07 Página 571 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ponte sem fio: Uma ponte sem fio conecta várias LANs na camada de controle de acesso ao meio (MAC).
Essas pontes separam as redes lógica ou fisicamente. Eles cobrem distâncias maiores que os APs.
Poucas pontes sem fio suportam conexões ponto a ponto para um AP, enquanto algumas suportam
conexões ponto a multiponto para vários outros APs.
A ponte sem fio ajuda a conectar dois segmentos de LAN por meio de um link sem fio. Dois segmentos
residem na mesma sub-rede e se parecem com dois switches ethernet conectados com um cabo a todos
os computadores dentro da sub-rede. As transmissões atingem todas as máquinas nessa sub-rede,
permitindo que os clientes do protocolo de configuração dinâmica de host (DHCP) em um segmento
obtenham os respectivos endereços de um servidor DHCP de um segmento diferente. Uma ponte sem fio
pode ser usada para conectar computadores em uma sala a computadores em outra sala sem um cabo.
ÿ Repetidor sem fio (expansores de alcance): Este dispositivo retransmite o sinal existente capturado do
roteador sem fio ou um AP para criar uma nova rede. Funciona como um AP e uma estação
simultaneamente. Os clientes que estão muito distantes do roteador ou AP podem se integrar com a
mesma WLAN através de um repetidor. Isso implica que este dispositivo estende o sinal, pegando-o de
um ponto de acesso sem fio e transmitindo-o para a área descoberta. Esses repetidores requerem uma
antena omnidirecional. Eles capturam, aumentam e retransmitem os sinais.
ÿ Roteador sem fio: um roteador sem fio é um dispositivo em uma WLAN que interconecta dois tipos de redes
usando ondas de rádio para os dispositivos sem fio, como computadores, laptops e tablets. Ele funciona
como um roteador na LAN, mas também fornece mobilidade aos usuários. Ele também funciona como um
ponto de acesso sem fio e fornece acesso à Internet para vários dispositivos.
Os roteadores sem fio têm a capacidade de filtrar o tráfego de rede com base no endereço IP do remetente
e do destinatário. Um roteador sem fio fornece criptografia forte, filtra endereços MAC e controla a
autenticação SSID.
ÿ Gateways sem fio: um gateway sem fio é um componente chave de uma rede sem fio. É um dispositivo que
permite que dispositivos habilitados para Internet acessem a rede. Ele combina o
funções de APs e roteadores sem fio. Os gateways sem fio têm o recurso de conversão de endereço de
rede (NAT), que traduz o IP público em um IP privado e DHCP. Uma conexão com a Internet pode ser
compartilhada entre várias estações.
ÿ Adaptador USB sem fio: Um adaptador USB sem fio conecta diferentes dispositivos a uma rede sem fio
para acessar a Internet sem um computador, roteador ou qualquer outro dispositivo de rede. Ele também
suporta links de comunicação e sincroniza entre dois ou mais dispositivos. Existem três variedades
principais de um adaptador sem fio:
o Celular
oBluetooth
Módulo 07 Página 572 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Wi-Fi
ÿ Antena: Uma antena é um dispositivo projetado para transmitir e receber ondas eletromagnéticas em frequências
de rádio. É um conjunto de hastes e fios metálicos que capta as ondas de rádio e as traduz em corrente
elétrica. Ele converte impulsos elétricos em ondas de rádio e vice-versa. O tamanho e a forma de uma antena
são projetados dependendo da frequência do sinal que eles devem receber.
Uma antena que recebe sinais de alta frequência é altamente focada, enquanto uma antena de baixo ganho
recebe ou transmite em um grande ângulo. Um transdutor traduz os campos de RF em uma corrente alternada
(AC) e vice-versa.
o Linha de transmissão: Antenas transmitem ou recebem ondas de rádio de um ponto a outro. Essa
transmissão de energia ocorre no espaço livre através dos meios naturais, como ar, água e terra. As
antenas evitam a transmissão de energia por outros meios.
o Radiador: Um radiador irradia energia poderosamente. Esta energia irradiada é transmitida através do
meio. Um radiador é sempre do tamanho de metade do comprimento de onda.
o Banda de frequência operacional: As antenas operam em uma banda de frequência entre 960
MHz e 1215 MHz.
o Ganho típico: O ganho é a relação entre a potência de entrada da antena e a potência de saída da antena.
É medido em decibéis em relação a uma antena isotrópica (dBi).
O ganho é geralmente de 3,0 dBi.
o Padrão de radiação: O padrão de radiação de uma antena é obtido na forma de um gráfico tridimensional
e geralmente é representado em termos de dois parâmetros, a saber, elevação e azimute.
o Diretividade: O ganho de diretividade de uma antena é o cálculo da potência irradiada em uma determinada
direção. Geralmente é a relação entre a intensidade da radiação em uma determinada direção e a
intensidade média da radiação.
o Polarização: É a orientação das ondas eletromagnéticas da fonte. Existem várias polarizações, como
linear, vertical, horizontal, circular, polarizada circular à esquerda (LHCP) e polarizada circular à direita
(RHCP).
o Antena direcional: Uma antena direcional pode transmitir e receber ondas de rádio
de uma única direção. A fim de melhorar a transmissão e recepção, um
Módulo 07 Página 573 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
antena direcional é projetada para funcionar efetivamente em uma direção especificada. Isso
também ajuda a reduzir a interferência.
Vantagem:
Desvantagens:
• A área de cobertura de uma antena omnidirecional pode ser limitada devido à interferência de
paredes e outros obstáculos no sinal irradiado.
o Antena de grade parabólica: Uma antena de grade parabólica usa o mesmo princípio de uma
antena parabólica, mas não possui uma antena sólida. Consiste em um semi-prato em forma de
grade composta por fios de alumínio. As antenas de grade parabólica podem alcançar
transmissões Wi-Fi de longa distância por meio de feixes de rádio altamente focados. Este tipo
de antena é útil para transmitir sinais de rádio fracos em distâncias muito longas da ordem de 10
milhas. O design desta antena economiza peso e espaço e pode receber sinais Wi-Fi polarizados
horizontal ou verticalmente.
Vantagem:
Desvantagens:
• Esta antena é cara, pois requer um sistema de alimentação para refletir o rádio
sinais.
o Antena Yagi : A antena Yagi, também chamada de antena Yagi-Uda, é uma antena unidirecional
comumente usada em comunicações usando a banda de frequência de 10 MHz a frequência
muito alta (VHF) e frequência ultra alta (UHF). Os principais objetivos desta antena são melhorar
o ganho da antena e reduzir o nível de ruído do sinal de rádio. Possui um padrão de emissão e
resposta de radiação unidirecional e concentra a radiação e a resposta. Consiste em um refletor,
dipolo e diretores. Esta antena gera um padrão de radiação de fogo final.
Módulo 07 Página 574 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens:
Desvantagem:
• A antena é muito grande, especialmente quando construída para altos níveis de ganho.
o Antena dipolo : Uma antena dipolo é um condutor elétrico reto medindo meio comprimento de
onda de ponta a ponta e é conectado no centro da linha de alimentação de radiofrequência
(RF). Também chamada de dupleto, a antena é bilateralmente simétrica; portanto, é
inerentemente uma antena balanceada. Este tipo de antena alimenta uma linha de
transmissão de RF de fio paralelo balanceado. Ele é usado para oferecer suporte a conexões
de cliente em vez de aplicativos site a site.
Vantagens:
• Uma antena dipolo oferece sinais balanceados. Com o design de dois pólos, o dispositivo
recebe sinais de uma variedade de frequências.
Desvantagens:
• Embora uma antena dipolo interna possa ser pequena, uma antena dipolo externa
pode ser muito maior, dificultando o gerenciamento.
• Para atingir a frequência perfeita, as antenas devem passar por múltiplas combinações.
Isso pode ser um aborrecimento, especialmente no caso de antenas externas.
o Antenas refletoras : As antenas refletoras são usadas para concentrar a energia eletromagnética
irradiada ou recebida em um ponto focal. Esses refletores são geralmente parabólicos.
Vantagens:
• Se a superfície da antena parabólica estiver dentro do limite de tolerância, ela pode ser
utilizada como espelho primário para todas as frequências. Isso pode evitar interferência
durante a comunicação com outros satélites.
Desvantagem:
Módulo 07 Página 575 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Entenda a rede sem fio
Fundamentos de rede
01 04 Rede sem fio
Medidas de segurança
Módulo 07 Página 576 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
AES Uma criptografia de chave simétrica, usada em WPA2 como um substituto para TKIP
WPA2
Integra padrões EAP com criptografia WPA2
Empreendimento
Existem vários tipos de algoritmos de criptografia sem fio que podem proteger uma rede sem fio.
Cada algoritmo de criptografia sem fio tem vantagens e desvantagens.
ÿ 802.11i: É uma emenda IEEE que especifica mecanismos de segurança para 802.11 wireless
redes.
Módulo 07 Página 577 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ WEP: WEP é um algoritmo de criptografia para redes sem fio IEEE 802.11. é um velho
padrão de segurança sem fio e pode ser quebrado facilmente.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como
cartões de token, Kerberos e certificados.
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ WPA: É um protocolo avançado de criptografia sem fio que usa TKIP e Message Integrity Check (MIC) para
fornecer criptografia e autenticação fortes. Ele usa um vetor de inicialização de 48 bits (IV), verificação de
redundância cíclica de 32 bits (CRC) e criptografia TKIP para segurança sem fio.
ÿ WPA2: É uma atualização para WPA usando AES e o Protocolo de Código de Autenticação de Mensagem em
Cadeia de Bloco de Cifra de Modo Contador (CCMP) para criptografia de dados sem fio.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de um túnel TLS (Transport Layer Security) criptografado e
autenticado.
ÿ WPA3: É um protocolo de segurança Wi-Fi de terceira geração que oferece novos recursos para uso pessoal e
empresarial. Ele usa Galois/Counter Mode-256 (GCMP-256) para criptografia e o código de autenticação de
mensagem hash de 384 bits com o Secure Hash Algorithm (HMAC-SHA-384) para autenticação.
Módulo 07 Página 578 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O WEP usa um vetor de inicialização de 24 bits (IV) para formar a cifra de fluxo RC4 para confidencialidade e a soma de verificação
CRC-32 para integridade das transmissões sem fio
Ele tem vulnerabilidades significativas e falhas de design e , portanto, pode ser facilmente quebrado
RC4
Cifra --
Semente WEP
Como funciona o WEP XOR Algoritmo X
Chave WEP
4 Keystream 4 PAD KID texto cifrado
O WEP foi uma das primeiras tentativas de proteger as redes sem fio contra violações de segurança, mas conforme a
tecnologia melhorou, tornou-se evidente que as informações criptografadas com WEP são vulneráveis a ataques.
Discutimos o WEP em detalhes aqui.
WEP é um componente dos padrões IEEE 802.11 WLAN. Seu objetivo principal é garantir a confidencialidade dos
dados em redes sem fio em um nível equivalente ao das LANs com fio, que podem usar a segurança física para impedir
o acesso não autorizado a uma rede.
Em uma WLAN, um usuário ou invasor pode acessar a rede sem se conectar fisicamente à LAN. Portanto, o WEP utiliza
um mecanismo de criptografia na camada de enlace de dados para minimizar o acesso não autorizado à WLAN. Isso é
feito criptografando dados com o algoritmo de criptografia simétrico Rivest Cipher 4 (RC4), que é um mecanismo
criptográfico usado para se defender contra ameaças.
Módulo 07 Página 579 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Eficiência
Pontos chave
O WEP foi desenvolvido sem nenhuma revisão acadêmica ou pública. Em particular, não foi revisado por criptologistas durante o
desenvolvimento. Portanto, possui vulnerabilidades significativas e falhas de design.
WEP é uma cifra de fluxo que usa RC4 para produzir um fluxo de bytes que são XORed com texto simples. O comprimento do
WEP e da chave secreta são os seguintes:
Falhas de WEP
As seguintes falhas básicas prejudicam a capacidade do WEP de proteger contra um ataque sério.
o As chaves pré-compartilhadas (PSKs) são definidas uma vez na instalação e raramente (ou nunca) são alteradas.
o É fácil recuperar o número de mensagens de texto simples criptografadas com a mesma chave.
ÿ RC4 foi projetado para ser usado em um ambiente mais aleatório do que o utilizado por
WEP:
o Um invasor monitora o tráfego e encontra diferentes maneiras de trabalhar com o texto simples
mensagem.
o Com conhecimento do texto cifrado e do texto sem formatação, um invasor pode calcular a chave.
ÿ Os invasores analisam o tráfego de capturas passivas de dados e quebram chaves WEP com o
ajuda de ferramentas como AirSnort e WEPCrack.
ÿ A soma de verificação CRC-32 é usada para calcular um valor de verificação de integridade (ICV) de 32 bits para os dados,
que, por sua vez, é adicionado ao quadro de dados.
ÿ Um número arbitrário de 24 bits conhecido como vetor de inicialização (IV) é adicionado à chave WEP; a chave WEP e o IV
são chamados juntos de semente WEP.
Módulo 07 Página 580 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A semente WEP é usada como entrada para o algoritmo RC4 para gerar um fluxo de chaves,
que é XOR bit a bit com uma combinação dos dados e ICV para produzir os dados
criptografados.
ÿ O campo IV (IV + PAD + KID) é adicionado ao texto cifrado para gerar um quadro MAC.
Módulo 07 Página 581 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O WPA usa TKIP para eliminar os pontos fracos do WEP, incluindo funções de mistura por pacote, integridade da mensagem
verificações, vetores de inicialização estendidos e mecanismos de redigitação
Dados a Transmitir
Fragmentação
Como WPA CRC-32
Verificar
Algoritmo XOR x
RC4
Keystream Cabeçalho Mac 4 MIÚDO 4 texto cifrado
Cifra
Pacote para transmitir
Wi-Fi Protected Access (WPA) é um protocolo de segurança definido pelo padrão 802.11i. No passado, o principal mecanismo
de segurança usado entre APs sem fio e clientes sem fio era a criptografia WEP, que tem uma grande desvantagem por usar
uma chave de criptografia estática. Um invasor pode explorar essa fraqueza usando ferramentas disponíveis gratuitamente na
Internet. O IEEE define o WPA como “uma expansão para os protocolos 802.11 que podem permitir maior segurança”. Quase
todos os fabricantes de Wi-Fi fornecem WPA.
WPA tem melhor segurança de criptografia de dados do que WEP porque as mensagens passam por um Message Integrity
Check (MIC) usando o Temporal Key Integrity Protocol (TKIP), que utiliza a criptografia de cifra de fluxo RC4 com chaves de
128 bits e MIC de 64 bits para fornecer criptografia forte e autenticação. O WPA é um exemplo de como o 802.11i fornece
criptografia mais forte e permite autenticação de chave pré-compartilhada (PSK) ou EAP. O WPA usa TKIP para criptografia
de dados, o que elimina os pontos fracos do WEP ao incluir funções de mistura por pacote, MICs, IVs estendidos e mecanismos
de redigitação.
ÿ Um TK, endereço de transmissão e contador de sequência TKIP (TSC) são usados como entrada para o RC4
algoritmo para gerar um fluxo de chaves.
o A sequência IV ou TK, endereço de transmissão ou endereço de destino MAC e TK são combinados com uma
função hash ou função de mistura para gerar uma chave de 128 bits e 104 bits.
o Essa chave é então combinada com RC4 para produzir o keystream, que deve ter o mesmo tamanho da mensagem
original.
Módulo 07 Página 582 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A unidade de dados de serviço MAC (MSDU) e a verificação de integridade de mensagem (MIC) são combinadas
usando o algoritmo de Michael.
ÿ A combinação de MPDU e ICV é XOR bit a bit com o fluxo de chaves para produzir o
dados criptografados.
Módulo 07 Página 583 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia WPA2
O WPA2 é uma atualização para o WPA e inclui suporte obrigatório Como funciona o WPA2
para o modo de contador com o protocolo de código de autenticação
de mensagem de encadeamento de blocos cifrados (CCMP), um
Endereço de destino
modo de criptografia baseado em AES com forte segurança prioritário
Cabeçalho MAC PN Chave Temporal Dados de texto simples
Modos de operação
Nonce
AAD
ÿ Inclui EAP ou RADIUS
ÿ Ele usa uma senha de configuração
para autenticação de
(chave pré-compartilhada, Nonce AES
PSK) para proteger acessos de cliente centralizada
AAD CCMP
rede não autorizados usando vários métodos
de autenticação, como Construir
Criptografia WPA2
Wi-Fi Protected Access 2 (WPA2) é um protocolo de segurança usado para proteger redes sem fio.
O WPA2 substituiu o WPA em 2006. Ele é compatível com o padrão 802.11i e suporta muitos recursos de
segurança que o WPA não oferece. O WPA2 apresenta o uso do algoritmo de criptografia AES compatível
com FIPS 140-2 do Instituto Nacional de Padrões e Tecnologia (NIST), que é um algoritmo de criptografia
sem fio forte, e o protocolo de código de autenticação de mensagem de encadeamento de bloco de cifra de
modo contador (CCMP). Ele fornece proteção de dados mais forte e controle de acesso à rede do que o
WPA. Além disso, oferece um alto nível de segurança às conexões Wi-Fi para que apenas usuários
autorizados possam acessar a rede.
Modos de operação
ÿ WPA2-Pessoal: WPA2-Pessoal usa uma senha definida com antecedência, chamada de chave pré-
compartilhada (PSK), para proteger o acesso não autorizado à rede. Cada dispositivo sem fio usa
a mesma chave de 256 bits gerada a partir de uma senha para autenticar com o AP. No modo PSK,
cada dispositivo de rede sem fio criptografa o tráfego de rede usando uma chave de 128 bits
derivada de uma senha de 8 a 63 caracteres ASCII. O roteador usa a combinação de senha, SSID
de rede e TKIP para gerar uma chave de criptografia exclusiva para cada cliente sem fio. Essas
chaves de criptografia mudam continuamente.
Módulo 07 Página 584 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Durante a implementação do CCMP, dados de autenticação adicionais (AAD) são gerados usando um cabeçalho MAC e
incluídos no processo de criptografia que usa criptografia AES e CCMP.
Consequentemente, a porção não criptografada do quadro é protegida de qualquer alteração ou distorção. O protocolo usa
um número de pacote sequenciado (PN) e uma parte do cabeçalho MAC para gerar um Nonce que ele usa no processo de
criptografia. O protocolo fornece dados de texto simples e chaves temporais, AAD e Nonce são usados como entrada para
o processo de criptografia de dados que usa os algoritmos AES e CCMP.
Um PN está incluído no cabeçalho CCMP para proteção contra ataques de repetição. Os dados resultantes dos algoritmos
AES e CCMP produzem texto criptografado e um valor MIC criptografado.
Finalmente, o cabeçalho MAC montado, o cabeçalho CCMP, os dados criptografados e o MIC criptografado formam o
quadro WPA2 MAC. A figura abaixo mostra o fluxo operacional do WPA2.
Módulo 07 Página 585 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia WPA3
WPA3 é uma implementação avançada de WPA2 que fornece protocolos
pioneiros e usa o algoritmo de criptografia AES-GCMP 256
Modos de operação
Criptografia WPA3
O Wi-Fi Protected Access 3 (WPA3) foi anunciado pela Wi-Fi Alliance em janeiro de 2018 como uma
implementação avançada do WPA2 que fornece protocolos pioneiros. Assim como o WPA2, o protocolo
WPA3 possui duas variantes: WPA3-Personal e WPA3-Enterprise.
O WPA3 fornece recursos de ponta para simplificar a segurança Wi-Fi e fornece os recursos necessários
para oferecer suporte a diferentes implantações de rede, desde redes corporativas até redes domésticas.
Ele também garante consistência criptográfica usando algoritmos de criptografia como AES e TKIP para se
defender contra ataques de rede. Além disso, fornece resiliência de rede por meio de quadros de
gerenciamento protegidos (PMF) que fornecem um alto nível de proteção contra espionagem e ataques
forjados. O WPA3 também não permite protocolos herdados desatualizados.
Modos de operação
ÿ WPA3-Personal: Este modo é usado principalmente para fornecer autenticação baseada em senha.
O WPA3 é mais rígido a ataques do que o WPA2 porque usa um protocolo moderno de
estabelecimento de chaves chamado Simultaneous Authentication of Equals (SAE), também
conhecido como Dragonfly Key Exchange, que substitui o conceito PSK usado no WPA2-Personal.
Alguns dos recursos do WPA3-Personal são descritos abaixo.
Módulo 07 Página 586 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Escolha de senha natural: permite que os usuários escolham frases fracas ou populares como senhas,
que são fáceis de lembrar.
o Fácil acessibilidade: Pode fornecer maior proteção do que o WPA2 sem alterar
os métodos anteriores usados pelos usuários para se conectar a uma rede.
ÿ WPA3-Enterprise: Este modo é baseado em WPA2. Ele oferece melhor segurança do que o WPA2 em toda a
rede e protege dados confidenciais usando muitos conceitos e ferramentas criptográficas. Alguns dos
protocolos de segurança usados pelo WPA3-Enterprise são descritos abaixo.
• Criptografia autenticada: Ajuda a manter a autenticidade e a confidencialidade dos dados. Para esse
propósito, o WPA3 usa o protocolo Galois/Counter Mode de 256 bits (GCMP-256).
• Derivação e validação de chave: Ajuda na geração de uma chave criptográfica a partir de uma senha ou
chave mestra. Ele usa o modo de autenticação de mensagem com hash de 384 bits (HMAC) com o
Algoritmo de hash seguro, denominado HMAC-SHA-384.
• Estabelecimento e verificação de chave: Ajuda na troca de chaves criptográficas entre duas partes. Para
esse propósito, o WPA3 usa a troca Elliptic Curve Diffie-Hellman (ECDH) e o Elliptic Curve Digital
Signature Algorithm (ECDSA) usando uma curva elíptica de 384 bits.
• Proteção de quadro e administração robusta: WPA3 usa 256-bit Broadcast/Multicast Integrity Protocol
Galois Message Authentication Code (BIP GMAC-256) para esta finalidade.
O WPA3 pode ser usado para implementar uma estratégia de segurança em camadas que pode proteger todos os
aspectos de uma rede Wi-Fi. O WPA3 possui um programa de certificação que especifica os padrões vigentes que o
produto deve suportar. O protocolo de handshake/SAE Dragonfly é obrigatório para a certificação WPA3.
1. Handshake seguro: O protocolo Simultaneous Authentication of Equals (SAE), também conhecido como
handshake Dragonfly, pode ser usado para tornar uma senha resistente a ataques de dicionário e de força
bruta, impedindo a descriptografia offline dos dados.
2. Wi-Fi Easy Connect: Este recurso simplifica o processo de configuração de segurança gerenciando diferentes
conexões de interface em uma rede com uma interface usando o Wi Fi Device Provisioning Protocol (DPP).
Isso pode permitir com segurança que uma infinidade de dispositivos inteligentes em uma rede se conectem
a um dispositivo usando um código de resposta rápida (QR) ou senha. Também ajuda a configurar uma
conexão entre diferentes dispositivos IoT.
3. Criptografia não autenticada: Ele usa um novo recurso chamado Opportunistic Wireless Encryption (OWE)
que substitui a autenticação “aberta” 802.11, fornecendo melhor proteção ao usar hotspots públicos e redes
públicas.
Módulo 07 Página 587 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia Atributos
aperto
WPA2 AES-CCMP 48 bits 128 bits de mão de 4 vias CBC-MAC
AES-GCMP Comprimento
WPA3 192 bits ECDH e ECDSA BIP-GMAC-256
256 arbitrário 1 - 2 64
WEP, WPA Deve ser substituído por WPA e WPA2 mais seguros
O WEP fornece confidencialidade de dados em redes sem fio, mas é fraco e falha em atender a qualquer
uma de suas metas de segurança. Enquanto o WPA corrige a maioria dos problemas do WEP, o WPA2
torna as redes sem fio quase tão seguras quanto as redes com fio. Como o WPA2 suporta autenticação,
somente usuários autorizados podem acessar a rede. WEP deve ser substituído por WPA ou WPA2 para
proteger uma rede Wi-Fi. Embora o WPA e o WPA2 incorporem proteções contra ataques de falsificação
e repetição, o WPA3 pode fornecer um mecanismo de proteção por senha mais aprimorado e conexões
IoT seguras; além disso, ele utiliza técnicas de criptografia mais fortes. A tabela abaixo compara WEP,
WPA, WPA2 e WPA3 em termos de algoritmo de criptografia usado, tamanho da chave de criptografia,
vetor de inicialização (IV) que produz, gerenciamento de chave e integridade de dados.
Criptografia Atributos
Algoritmo de Michael e
WPA RC4, TKIP 48 bits 128 bits aperto de mão de 4 vias
CRC-32
Comprimento
WPA3 AES-GCMP 256 64
ECDH e ECDSA de 192 bits BIP-GMAC-256
arbitrário 1 - 2
Módulo 07 Página 588 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A criptografia WEP é insuficiente para proteger redes sem fio devido a certos problemas e anomalias, que incluem
o seguinte.
ÿ IVs são de 24 bits: O IV é um campo de 24 bits, que é muito pequeno para ser seguro e é enviado na
parte de texto não criptografado de uma mensagem. Um AP transmitindo pacotes de 1500 bytes a 11
Mbps esgotaria todo o espaço IV em cinco horas.
ÿ O WEP é vulnerável a ataques de texto simples conhecidos: quando ocorre uma colisão IV, torna-se
possível reconstruir o fluxo de chaves RC4 com base no IV e na carga útil descriptografada do pacote.
ÿ O WEP é vulnerável a ataques de dicionário: Como o WEP é baseado em uma senha, ele está sujeito a
ataques de quebra de senha. O pequeno espaço IV permite que o invasor crie uma tabela de
descriptografia, que é um ataque de dicionário.
ÿ WEP é vulnerável a ataques DoS: Isso ocorre porque associa e desassocia mensagens
não são autenticados.
ÿ A falta de gerenciamento centralizado de chaves torna difícil alterar as chaves WEP regularmente.
Módulo 07 Página 589 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ IV é um valor usado para randomizar o valor do fluxo de chaves e cada pacote tem um valor IV: O IV padrão permite
apenas um campo de 24 bits, que é muito pequeno para ser seguro e é enviado na parte de texto não criptografado de
uma mensagem. Todos os valores IV disponíveis podem ser usados em horas em um AP ocupado. IV faz parte da
chave de criptografia RC4 e é vulnerável a um ataque analítico que recupera a chave após interceptar e analisar uma
quantidade relativamente pequena de tráfego. Keystreams idênticos são produzidos com a reutilização do IV para
proteção de dados porque os keystreams IV curtos são repetidos em um curto período de tempo. Além disso, todos os
adaptadores sem fio do mesmo fornecedor podem gerar a mesma sequência IV. Isso permite que os invasores
determinem o fluxo de chaves e descriptografem o texto cifrado.
ÿ O padrão não exige que cada pacote tenha um único IV: os fornecedores usam apenas uma pequena parte das
possibilidades de 24 bits disponíveis. Consequentemente, um mecanismo que depende da aleatoriedade não é nada
aleatório e os invasores podem determinar facilmente o fluxo de chaves e descriptografar outras mensagens.
ÿ O uso de RC4 foi projetado para ser uma cifra única e não para uso com várias mensagens.
Problemas no WPA
O WPA é uma melhoria em relação ao WEP de várias maneiras porque usa TKIP para criptografia de dados e ajuda na
transferência segura de dados. No entanto, o WPA também tem muitos problemas de segurança.
ÿ Falta de sigilo de encaminhamento: Se um invasor capturar um PSK, ele pode descriptografar todos os pacotes
criptografados com essa chave (ou seja, todos os pacotes transmitidos ou sendo transmitidos podem ser
descriptografados).
ÿ Vulnerabilidade à falsificação e descriptografia de pacotes: os clientes que usam WPA-TKIP são vulneráveis a ataques
de injeção de pacotes e ataques de descriptografia, o que permite ainda que invasores sequestrem conexões TCP
(Transmission Control Protocol).
ÿ Previsibilidade da chave temporal do grupo (GTK): Um gerador de números aleatórios (RNG) inseguro no WPA permite
que invasores descubram o GTK gerado pelo AP. Isso permite ainda que os invasores injetem tráfego malicioso na rede
e descriptografem todas as transmissões em andamento pela Internet.
ÿ Adivinhação de endereços IP: as vulnerabilidades TKIP permitem que os invasores adivinhem o endereço IP da sub-rede
e injetem pequenos pacotes na rede para diminuir o desempenho da rede.
Problemas no WPA2
Embora o WPA2 seja mais seguro que o WPA, ele também apresenta alguns problemas de segurança, discutidos a seguir.
ÿ Senhas fracas: Se os usuários dependem de senhas fracas, o WPA2 PSK fica vulnerável a vários ataques, como
espionagem, dicionário e ataques de quebra de senha.
Módulo 07 Página 590 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Falta de sigilo de encaminhamento: Se um invasor capturar um PSK, ele pode descriptografar todos os
pacotes criptografados com essa chave (ou seja, todos os pacotes transmitidos ou sendo transmitidos podem
ser descriptografados).
ÿ Previsibilidade do GTK: Um gerador de números aleatórios inseguro (RNG) no WPA2 permite que invasores
descubram o GTK gerado pelo AP. Isso permite ainda que os invasores injetem tráfego malicioso na rede e
descriptografem todas as transmissões em andamento pela Internet.
ÿ Vulnerabilidades KRACK: WPA2 tem uma vulnerabilidade significativa para uma exploração conhecida como
ataque de reinstalação de chave (KRACK). Essa exploração pode permitir que invasores farejem pacotes,
sequestrem conexões, injetem malware e descriptografem pacotes.
ÿ Vulnerabilidade a ataques DoS sem fio: Os invasores podem explorar o recurso de detecção de ataque de
replay WPA2 para enviar quadros de dados endereçados a grupos forjados com um grande PN para realizar
um ataque DoS.
ÿ Recuperação insegura de PIN WPS: Em alguns casos, desabilitar WPA2 e WPS pode ser um processo
demorado, no qual o invasor precisa controlar o WPA2 PSK usado pelos clientes. Quando WPA2 e WPS
estão ativados, o invasor pode divulgar a chave WPA2 determinando o número de identificação pessoal (PIN)
WPS por meio de etapas simples.
Módulo 07 Página 591 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Entenda a rede sem fio
Fundamentos de rede 01 04 Rede sem fio
Medidas de segurança
Módulo 07 Página 592 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Qualquer dispositivo sem fio pode ser autenticado com o AP, permitindo assim que o dispositivo
transmita dados apenas quando sua chave WEP corresponder à do AP
Solicitação de sondagem
Interruptor ou Cabo
Solicitação de associação (parâmetros de segurança)
Ponto de acesso
Modem
(AP)
Resposta da associação Internet
Cliente tentando
conectar
Os métodos usados para executar a autenticação Wi-Fi incluem autenticação de sistema aberto e autenticação de
chave compartilhada.
Módulo 07 Página 593 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
associar a um AP. Na ausência de criptografia, o dispositivo pode usar o SSID de uma WLAN disponível para
obter acesso a uma rede sem fio. A chave WEP habilitada no AP atua como um controle de acesso para
entrar na rede. Qualquer usuário digitando a chave WEP errada não pode transmitir mensagens via AP,
mesmo que a autenticação seja bem-sucedida. O dispositivo só pode transmitir mensagens quando sua chave
WEP corresponder à chave WEP do AP. Este mecanismo de autenticação não depende de um servidor
RADIUS na rede.
No processo de autenticação de sistema aberto, qualquer cliente sem fio que deseja acessar uma rede Wi-Fi
envia uma solicitação ao AP sem fio para autenticação. Nesse processo, a estação envia um quadro de
gerenciamento de autenticação contendo a identidade da estação transmissora para autenticação e conexão
com as demais estações sem fio. O AP então retorna um quadro de autenticação para confirmar o acesso à
estação solicitada e conclui o processo de autenticação.
Vantagem
o Este mecanismo pode ser usado com dispositivos sem fio que não suportam
algoritmos de autenticação.
Desvantagem
ÿ Processo de autenticação de chave compartilhada: Nesse processo, cada estação sem fio recebe uma chave
secreta compartilhada por um canal seguro distinto dos canais de comunicação da rede sem fio 802.11. As
etapas a seguir ilustram o estabelecimento de uma conexão de rede usando o processo de autenticação de
chave compartilhada:
o A estação criptografa o texto de desafio usando sua chave configurada de 64 bits ou 128 bits e envia o texto
criptografado para o AP.
o O AP usa sua chave Wired Equivalent Privacy (WEP) configurada para descriptografar o texto criptografado.
O AP compara o texto descriptografado com o texto de desafio original.
Se forem iguais, o AP autentica a estação.
Módulo 07 Página 594 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 595 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ponto de acesso
Cliente Cliente solicita conexão RAIO
Servidor
Módulo 07 Página 596 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Entenda a rede sem fio
Fundamentos de rede
01 04 Rede sem fio
Medidas de segurança
Módulo 07 Página 597 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma rede sem fio pode ser insegura se não forem tomados os devidos cuidados ao configurá-la.
Configurações inseguras podem representar um grande risco para as redes sem fio. Assim, uma rede sem fio deve ser
configurada de acordo com a política de segurança sem fio da organização.
Os seguintes pontos devem ser claramente declarados na política de segurança sem fio da organização:
ÿ Defina claramente quem pode e quem não pode instalar os APs e outros dispositivos sem fio no
empreendimento
ÿ Forneça limitações aos APs, como localização, tamanho da célula, frequência, etc., a fim de
superar os riscos de segurança sem fio
Além disso, uma implementação de segurança sem fio bem-sucedida e eficaz deve envolver o seguinte:
Módulo 07 Página 598 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Gerenciamento e controle de configuração para garantir que os patches e recursos de segurança mais recentes
estejam disponíveis em dispositivos sem fio.
As seguintes atividades ajudam a defender e manter a segurança de uma rede sem fio:
Módulo 07 Página 599 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
janelas
B Símbolo 9090G WPA2/802.1x 5.1.70 a/b/g 20 dBm
Móvel
locutor Proprietário
C Vocollect WPA-PSK 4.20 b apenas 12 dBm
T5 Voz
Xybernaut
E S310LX Windows XP WPA2/802.1x 5.0 a/b/g 20 dBm
Atigo
https:// www.acrylicwifi.com
O uso de dispositivos sem fio em várias organizações está crescendo continuamente. Portanto, torna-se cada vez
mais importante para as organizações rastrear e gerenciar seus ativos sem fio para fins de segurança. Manter um
inventário preciso e atualizado de dispositivos sem fio é necessário para a segurança adequada.
Um inventário de dispositivos de rede ajuda a consolidar todos os dados e dispositivos de rede atualizados.
O inventário pode ajudar a identificar rapidamente os dispositivos que não funcionam, bem como os dispositivos de
rede não autorizados que estão presentes na rede. Uma lista de dispositivos que não estão conectados à rede
também deve ser adicionada à lista. Isso ajuda a detectar dispositivos desconhecidos na rede. Uma verificação
regular do inventário é importante. Através da varredura, os administradores podem determinar os dispositivos de
rede não autorizados, dispositivos problemáticos, vulnerabilidades potenciais, dispositivos que precisam de um
patch/atualização, etc., em uma rede. Uma rede é tão segura quanto seu elo mais fraco. As informações sobre
todos os dispositivos devem ser mantidas independentemente de suas definições de configuração ou do fornecedor.
Um inventário deve ser mantido manualmente ou com a ajuda de uma solução eficaz de rastreamento de inventário.
Às vezes, uma ferramenta de inventário pode não atualizar automaticamente o dispositivo de rede. Nesses cenários,
as informações de um dispositivo devem ser adicionadas manualmente na lista de inventário.
Módulo 07 Página 600 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
janelas
B Símbolo 9090G WPA2/802.1x 5.1.70 a/b/g 20 dBm
Móvel
locutor Proprietário
C Vocollect WPA-PSK 4.20 b apenas 12 dBm
T5 Voz
Módulo 07 Página 601 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Instale um AP no teto
A escolha de um local apropriado para um AP é muito importante, pois desempenha um papel vital na obtenção de alto
desempenho, cobertura e velocidade de rede. Muitas organizações têm seus APs colocados em seus espaços internos.
Cada AP requer instalação em um local e ângulo específicos, pois sua instalação em locais aleatórios restringirá o
desempenho da rede. Além disso, a área de cobertura precisa ser planejada com sabedoria. A sobreposição é boa.
Deve-se tomar cuidado para não criar zonas mortas.
Módulo 07 Página 602 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As diretrizes a seguir ajudam a escolher os locais apropriados para os APs e a obter o máximo de cobertura,
desempenho e velocidade:
ÿ Instalar um AP no teto
ÿ Evite montar um AP em uma parede, pois pode restringir sua cobertura de 360°
Módulo 07 Página 603 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Colocação de um Wireless
Antena
ÿ Use antenas omnidirecionais apontando para baixo para atenuar os sinais trafegando
até o AP
Módulo 07 Página 604 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 605 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um SSID de rede sem fio pode ser transmitido ou oculto. Ao transmitir o SSID, qualquer pessoa pode encontrá-lo e
acessá-lo. Se o SSID estiver oculto, o usuário deverá saber o SSID exato para se conectar à rede sem fio. Os
profissionais de segurança devem sempre desabilitar a transmissão SSID em seus dispositivos.
Ao ativar a transmissão SSID, o roteador sem fio transmitirá sua presença e nome. Ao procurar conexões sem
fio disponíveis, se o SSID for transmitido, o nome e a presença da rede serão identificados. Pode ser bloqueado
com uma senha, mas qualquer pessoa poderá vê-lo.
Se a transmissão SSID estiver desativada, o roteador sem fio transmitirá sua presença, mas não exibirá o
nome. Em vez disso, “rede sem nome” será exibida como uma conexão presente dentro do alcance de um
usuário. O usuário pode se conectar à rede sem fio após nomeá-la e fornecer as credenciais de autenticação
corretas.
Módulo 07 Página 606 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 607 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
03 WPA2 Enterprise
04 WPA2PSK
05 WPA Enterprise
06 WPA
07 WEP
Módulo 07 Página 608 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3. WPA2 Empresarial
4. WPA2PSK
5. WPA Empresarial
6. WPA
7. WEP
2. WPA2 + AES
3. WPA + AES
4. WPA + TKIP/AES
5. WPA + TKIP
6. WEP
Módulo 07 Página 609 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Use uma rede privada virtual (VPN) , como uma VPN de acesso remoto, VPN Extranet, VPN
Intranet, etc.
A única maneira de quebrar o WPA é farejar a chave mestra emparelhada de senha (PMK) associada ao processo de
autenticação de “aperto de mão”. Se essa senha for extremamente complicada, pode ser quase impossível decifrá-la.
ÿ Selecione uma senha aleatória que não seja composta de palavras do dicionário.
ÿ Defina as configurações do cliente corretamente (por exemplo, valide o servidor, especifique o endereço do servidor,
não solicita novos servidores, etc.)
ÿ Use uma rede privada virtual (VPN), como uma VPN de acesso remoto, VPN Extranet, Intranet
VPN, etc
ÿ Implementar uma solução de controle de acesso à rede (NAC) ou proteção de acesso à rede (NAP)
para controle adicional sobre a conectividade do usuário final
Módulo 07 Página 610 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma senha WPA deve ser construída de acordo com as seguintes regras:
ÿ
Deve ter uma senha aleatória.
ÿ
Deve ter pelo menos 12 caracteres de comprimento.
ÿ
Deve conter pelo menos uma letra maiúscula.
ÿ
Deve conter pelo menos uma letra minúscula.
ÿ
Ele deve conter pelo menos um caractere especial, como @ ou !
Módulo 07 Página 611 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Executa uma rede sem fio ÿ Use scanners de rede como o Nmap ÿ Use o SNMP para identificar o IP
digitalização para detectar a presença para identificar APs na rede. Isso dispositivos conectados à rede com
de APs sem fio nas proximidades ajudará a localizar dispositivos não fio
autorizados na rede com fio
ÿ A descoberta de um AP não listado no ÿ Use os utilitários de detecção de SNMP,
inventário de dispositivos sem fio como scanner SolarWinds SNMP,
indica a presença de um invasor scanner Lansweeper SNMP , etc., para
PA identificar os dispositivos habilitados
para SNMP na rede
ÿ Use ferramentas de descoberta sem fio ,
como inSSIDer, NetSurveyor,
NetStumbler, Vistumbler, Kismet, etc.,
para detectar redes sem fio
Nota: Para usar o polling SNMP, o serviço SNMP em todos os dispositivos IP na rede deve estar habilitado.
Um AP sem fio é denominado AP não autorizado quando é instalado em uma rede confiável sem autorização. Um invasor
interno ou externo pode instalar APs não autorizados em uma rede confiável para fins maliciosos.
2. Roteador sem fio conectado por meio de uma interface “não confiável”
3. Instalar uma placa sem fio em um dispositivo que já esteja em uma LAN confiável
4. Ativar a conexão sem fio em um dispositivo que já esteja em uma LAN confiável
Os métodos mencionados abaixo devem ser usados para detectar redes sem fio nas proximidades da rede e os APs sem
fio detectados devem ser comparados com o inventário de dispositivos sem fio para o ambiente. Se um AP que não está
listado no inventário for encontrado, geralmente pode ser considerado um AP não autorizado.
ÿ Varredura sem fio: realiza uma varredura de rede sem fio ativa para detectar a presença de APs sem fio nas
proximidades. Ele ajuda a detectar APs sem fio não autorizados ou ocultos que podem ser maliciosos. A
descoberta de um AP não listado no inventário de dispositivos sem fio indica a presença de um AP não
autorizado. Você pode usar ferramentas de descoberta sem fio, como inSSIDer, NetSurveyor, NetStumbler,
Vistumbler, Kismet, etc., para detectar redes sem fio.
ÿ Varredura de rede com fio: Scanners de rede com fio, como o Nmap, são usados para identificar um grande
número de dispositivos em uma rede enviando TCP especialmente criado
Módulo 07 Página 612 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
pacotes para o dispositivo (impressão digital Nmap-TCP). Ele ajuda a localizar APs não autorizados conectados
a uma rede com fio.
Nota: Para usar o polling SNMP, o serviço SNMP em todos os dispositivos IP na rede deve estar habilitado.
Módulo 07 Página 613 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ele fornece detecção e mitigação de ameaças de rede sem fio contra AirMagnet WiFi Analyzer PRO https://
www.netally.com
ataques maliciosos e vulnerabilidades de segurança
RFProtect
https:// www.arubanetworks.com
OR-Assistant http://
securitystartshere.org
BoopSuite
https:// github.com
https:// sourceforge.net
https:// www.cisco.com
O Cisco Adaptive Wireless Intrusion Prevention System (IPS) oferece segurança de rede avançada para
monitoramento dedicado e detecção de anomalias de rede sem fio, acesso não autorizado e ataques de RF.
Totalmente integrada à Cisco Unified Wireless Network, esta solução oferece visibilidade e controle
integrados em toda a rede, sem a necessidade de uma solução de sobreposição. O Adaptive WIPS fornece
detecção e mitigação de ameaças à rede sem fio contra ataques mal-intencionados e vulnerabilidades de
segurança. Ele também oferece aos profissionais de segurança a capacidade de detectar, analisar e
identificar ameaças sem fio.
Módulo 07 Página 614 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 615 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ativar registro
Módulo 07 Página 616 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 617 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 618 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 07 Página 619 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes sem fio e padrões
1 sem fio
Também discutiu as topologias de rede sem fio e classificação de redes sem fio
2
Por fim, este módulo terminou com uma visão geral sobre várias medidas
5 de segurança de rede sem fio e ferramentas de segurança sem fio
Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes sem fio e padrões sem fio. Também discutiu as topologias de rede
sem fio e a classificação das redes sem fio. Além disso, este módulo explicou os componentes de uma rede sem fio e
vários mecanismos de criptografia de rede sem fio. Além disso, discutiu os diferentes tipos de métodos de autenticação
de rede sem fio. Por fim, este módulo apresentou uma visão geral sobre várias medidas de segurança de rede sem fio
e ferramentas de segurança sem fio.
Módulo 07 Página 620 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 08
Segur anç a de Disp os it ivo s M óv e is
Machine Translated by Google
Objetivos do módulo
1 Compreendendo os vários métodos de conexão de dispositivos móveis
Objetivos do módulo
Com a introdução de telefones celulares nas empresas, a segurança corporativa tornou-se mais complexa. A segurança
móvel corporativa tornou-se um grande desafio para as organizações. Portanto, é importante que as organizações
abordem essas preocupações de segurança para gerenciar com eficácia a segurança dos dispositivos móveis.
Módulo 08 Página 622 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Para proteger os dispositivos móveis de vários ataques cibernéticos, os profissionais de segurança devem
estar cientes dos diferentes métodos de conexão envolvidos nas comunicações móveis. Eles também
devem entender como os dispositivos obtêm acesso à rede e compartilham seus recursos com outros
dispositivos. Existem muitas maneiras pelas quais as redes móveis podem ser conectadas; portanto, é
importante que os profissionais de segurança estejam cientes das preocupações de segurança associadas
a cada método de conexão e como proteger as redes móveis de intenções maliciosas. Esta seção discute
vários métodos de conexão de dispositivos móveis.
Módulo 08 Página 623 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comunicação Celular
Ele permite a comunicação com fio para dispositivos. Ele pode ser usado para
fonte de alimentação e transmissão serial de dados entre dispositivos
Infravermelho (IR)
É uma tecnologia sem fio para transferência de dados entre dois dispositivos no formato
digital em um curto alcance de até 5 m
Módulo 08 Página 624 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dispositivo móvel
Conexão
Métodos (continuação)
Celular 5G (Móvel)
Wi-fi Bluetooth Comunicação
É um sem fio comum É uma tecnologia sem fio de curto É um celular de banda larga
tecnologia usada em residências alcance, alta velocidade e baixa rede que opera em alta largura
e prédios de escritórios para potência que permite a comunicação de banda com baixa latência e
conectar dispositivos locais entre dispositivos conectados dentro do fornece downloads de dados em
alta velocidade
Alcance do Bluetooth
Ponto a
ÿ Permite conexões um-para-muitos , fornecendo
multiponto
Conexão vários caminhos de um único local para vários outros locais
Frequência de rádio
Identificação ÿ Funciona com tecnologia de radiofrequência, que
identifica uma pessoa ou objeto usando suas tags (rótulos
(RFID)
exclusivos)
ÿ Comunicação de campo próximo (NFC): NFC cobre distâncias muito curtas. Emprega indução eletromagnética
para permitir a comunicação entre dispositivos conectados dentro de 10 cm. Embora permita um alcance
muito estreito de comunicação, um invasor com uma antena especializada pode interceptar e capturar os
dados bloqueando o tráfego. Esse
Módulo 08 Página 625 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
problema de segurança pode resultar da configuração inadequada de NFC e transmissão de dados não
criptografados.
ÿ Comunicação por satélite (Satcom): Satcom é um satélite geoestacionário artificial que fornece serviços
em todo o mundo, mas é muito mais lento e mais caro do que outras tecnologias. Existem muitas
tecnologias que utilizam tecnologia de satélite; alguns empregam uma conexão com satélites
geoestacionários, enquanto outros se conectam a satélites que giram em torno da Terra em órbita baixa,
por meio dos quais voz e dados podem ser transmitidos. A tecnologia também tem problemas de segurança,
como execução remota de código e vulnerabilidades do sistema operacional.
ÿ Comunicação celular: A comunicação celular é baseada em uma única torre de rede que atende dispositivos
localizados em um raio específico. Eles estão instalados em áreas urbanas, suburbanas e rurais e cobrem
uma grande distância. Os dispositivos móveis contêm antenas integradas, que permitem que o dispositivo
se comunique por meio de uma rede celular. As preocupações de segurança com redes celulares incluem
rastreamento de localização, monitoramento de tráfego, ataques de negação de serviço (DoS), ataques de
bloqueio de canal e acesso ilegítimo.
ÿ ANT: ANT é um protocolo de sensor sem fio que permite a comunicação entre sensores e seus controladores.
Essa tecnologia é usada em dispositivos de Internet das Coisas (IoT), como equipamentos de monitoramento
de frequência cardíaca ou condicionamento físico. Não é uma tecnologia sem fio Bluetooth ou 802.11 e
possui seu próprio conjunto de protocolos desenvolvidos para dispositivos de baixa potência. É suscetível
a DoS ou ataques de interferência, e os invasores podem capturar dados em trânsito.
ÿ Universal Serial Bus (USB): USB permite comunicação com fio para dispositivos. Pode ser usado para
fornecimento de energia e transmissão serial de dados entre dispositivos. Ele também foi projetado para
permitir hot-swapping e melhorar os recursos plug-and-play. As portas USB são comumente usadas em
dispositivos móveis para transmissão de dados e fonte de alimentação. É relativamente mais seguro do
que outros métodos de conexão, mas funcionários insatisfeitos podem usar um dispositivo USB para extrair
dados da rede local da organização.
ÿ Infravermelho (IR): IR é uma tecnologia sem fio para transferência de dados entre dois dispositivos no
formato digital em um curto alcance de até 5 m. Funciona apenas quando não há bloqueio físico ou
obstáculo entre os dois dispositivos. É um tipo de recurso de rede integrado a dispositivos como tablets e
smartphones que permite gerenciar dispositivos infravermelhos. Também pode ser usado para transferir
arquivos entre dispositivos. Qualquer dispositivo com acessibilidade por infravermelho pode ser gerenciado
usando o recurso de infravermelho de um dispositivo móvel.
Módulo 08 Página 626 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Wi-Fi: Uma rede Wi-Fi conecta dispositivos dentro de uma área limitada (Wi-Fi habilitado) com alta largura de
banda. Cobre uma distância menor do que uma rede celular. É uma tecnologia sem fio comum usada em
residências e prédios de escritórios para conectar dispositivos locais. Além disso, um dispositivo móvel
pode compartilhar seu serviço de Internet com outros dispositivos usando o recurso de tethering de ponto
de acesso baseado na tecnologia Wi-Fi. Se os clientes não usarem um canal criptografado ou o canal não
usar um protocolo apropriado, os clientes poderão ser alvo de ataques MITM (main-in-the-middle), por meio
dos quais os invasores podem farejar o tráfego entre dois dispositivos de comunicação. Como a tecnologia
usa um conjunto de frequências de 5 ou 2,5 GHz, ela também pode ser vulnerável a ataques DoS e
interferências de frequência.
ÿ Bluetooth: a tecnologia Bluetooth cobre uma distância maior do que a NFC. É uma tecnologia sem fio de
curto alcance, alta velocidade e baixa potência que permite a comunicação entre dispositivos conectados
dentro do alcance do Bluetooth. Quando um dispositivo ativa uma conexão Bluetooth, ele envia solicitações
de “emparelhamento” para um determinado número de dispositivos localizados dentro do alcance, após o
que o dispositivo correspondente emparelha com ele usando o nome e a ID do dispositivo. As preocupações
de segurança com a tecnologia Bluetooth incluem interceptação, espionagem, ataques DoS, transmissão
de vírus ou worms, Bluesnarfing e Bluejacking.
ÿ Comunicação celular (móvel) 5G: 5G ou tecnologia de comunicação de quinta geração é uma rede celular
de banda larga que opera em alta largura de banda com baixa latência e fornece downloads de dados em
alta velocidade. Algumas das aplicações do 5G incluem a indústria automobilística, segurança pública e
acesso sem fio fixo. A tecnologia foi projetada para suportar dispositivos IoT. As preocupações de
segurança com essa tecnologia estão associadas à sua complexidade de gerenciamento. Os invasores
podem tentar aproveitar o aumento do número de dispositivos conectados a uma rede 5G para comprometê-
los e usá-los como botnets para paralisar a rede por meio de ataques DDoS.
ÿ Conexão ponto a ponto (P2P): Uma conexão P2P permite a comunicação segura entre dois dispositivos
móveis sem criptografia de dados porque eles são conectados por caminhos fixos sem a interferência de
outros dispositivos. Por exemplo, em um cenário de comunicação móvel entre duas pessoas, apenas o
dispositivo em questão pode ouvir a voz do dispositivo discado. Os dispositivos de roteamento também
podem usar esse método para se conectarem adotando a técnica de criptografia over-the-air, que reduz o
risco de espionagem.
ÿ Conexão ponto-a-multiponto: Uma conexão ponto-a-multiponto (P2MP, PTMP e PMP) permite conexões
um-para-muitos fornecendo vários caminhos de um único local para vários outros locais. Neste método de
conexão, uma antena central transmite sinais para várias antenas e dispositivos receptores por meio de
multiplexação por divisão de tempo (TDM) ou multiplexação por divisão de frequência (FDM) para
transmissão de dados bidirecional. Uma tecnologia que usa conexões PMP é o Bluetooth, que pode usar o
método PMP para conectar um dispositivo a vários dispositivos, como fones de ouvido e reprodutores de
mídia. Este tipo de conexão não oferece alta segurança ou privacidade, pois o canal de comunicação é
transmitido e compartilhado.
ÿ Identificação por radiofrequência (RFID): o RFID funciona com tecnologia de radiofrequência, que identifica
uma pessoa ou objeto por meio de suas tags (etiquetas exclusivas). A RFID opera no
Módulo 08 Página 627 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
bandas de baixa frequência (LF), alta frequência (HF) e ultra-alta frequência (UHF). O HF-RFID
com um dispositivo móvel é comunicado por meio de servidores, fornecendo histórico de dados,
persistência de dados e gerenciamento de dados. Os sistemas RFID podem ser suscetíveis a
ataques como análise de energia, engenharia reversa, ataques de repetição, spoofing, sniffing,
DoS e clonagem.
Módulo 08 Página 628 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Módulo 08 Página 629 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Um software que é mais usado por TI ÿ Um software que oferece soluções para ÿ Ele usa as informações contextuais de um
administradores para controlar e proteger o conteúdo ou dados nos dispositivos usuário, como geolocalização, identidade e
proteger os dados organizacionais. Oferece móveis. Ele fornece recursos para armazenar comportamento para aprimorar as decisões
funcionalidades como ativação ou desativação e entregar dados, oferecer os serviços de segurança de dados
remota de dispositivos, limpeza remota em caso necessários e permitir que os funcionários
de roubo ou perda, etc. acessem os dados organizacionais remotamente
Consiste em ferramentas e tecnologias usadas É uma técnica usada para garantir e proteger
em uma organização para proteger os dados nos dados de criminosos se um dispositivo móvel
dispositivos pessoais (BYOD) e organizacionais dos usado por um funcionário for perdido. Este
funcionários recurso permite que o administrador envie
um comando
que pode apagar todos os dados do dispositivo
Módulo 08 Página 630 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O MDM fornece plataformas para distribuição com ou sem fio de aplicativos, dados e definições de
configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones,
tablets e assim por diante. Ele ajuda na implementação de políticas em toda a empresa para reduzir
custos de suporte, descontinuidade de negócios e riscos de segurança. Ele ajuda os administradores de
sistema a implantar e gerenciar aplicativos de software em todos os dispositivos móveis corporativos para proteger,
Módulo 08 Página 631 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
monitorar, gerenciar e dar suporte a esses dispositivos. Ele pode ser usado para gerenciar dispositivos de propriedade
da empresa e de propriedade do funcionário (BYOD) em toda a empresa.
Gerenciamento de conteúdo móvel (MCM) é um software que faz parte do gerenciamento de dispositivo móvel
(MDM). A MCM oferece soluções para proteger o conteúdo ou dados nos dispositivos móveis usados em uma
organização. Ele fornece recursos para armazenar e entregar dados, oferecer os serviços necessários e permitir
que os funcionários acessem os dados organizacionais remotamente e a qualquer momento necessário. O MCM
garante que o acesso não autorizado aos dados seja restrito ou bloqueado, protegendo assim os dados
confidenciais da organização. Ele supervisiona o gerenciamento de dados críticos, acesso a documentos de
trabalho, gerenciamento de e-mail e gerenciamento de ativos digitais. Ele também pode criptografar dados
confidenciais e usar qualquer técnica de senha forte para transmissão e armazenamento de dados.
A autenticação baseada no contexto é um tipo de técnica de segurança aprimorada que usa as informações
contextuais de um usuário, como geolocalização, identidade e comportamento para aprimorar as decisões de
segurança de dados. Ele também usa os dados sobre o usuário, solicitações feitas, conexão e localização.
Todos esses dados ajudam a impedir que usuários mal-intencionados acessem os dados organizacionais. Essa
técnica também permite que os funcionários acessem a rede organizacional dentro do perímetro do escritório e
nega o acesso quando um dispositivo está conectado a uma rede Wi-Fi pública.
Módulo 08 Página 632 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O gerenciamento de e-mail móvel (MEM) oferece acesso seguro à infraestrutura de e-mail organizacional e
aos dados nos dispositivos móveis de um funcionário. Ele ajuda na pré-configuração remota e na pré-
configuração de contas de e-mail organizacionais para funcionários. O MEM pode reforçar a conformidade e
impedir o acesso não autorizado, permitindo que apenas dispositivos e aplicativos aprovados e autorizados
acessem o e-mail.
O gerenciamento de segurança móvel envolve ações e medidas preventivas para proteger os dados
organizacionais e os dispositivos móveis usados pelos funcionários. Ele pode proteger o acesso à rede da
organização, ajuda na segurança de dispositivos e aplicativos e permite acesso seguro aos e-mails da
organização.
o Gera contêineres lógicos separados em dispositivos móveis para impedir que aplicativos privados acessem
os dados da organização
Módulo 08 Página 633 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Limpeza remota
A limpeza remota é uma técnica usada para proteger e proteger dados de malfeitores se um dispositivo móvel
usado por um funcionário for roubado ou perdido. Esse recurso permite que o proprietário do dispositivo ou o
administrador da organização envie um comando que pode excluir ou apagar todos os dados do dispositivo. Isso
ajuda a evitar que criminosos comprometam dados pessoais confidenciais ou ativos organizacionais confidenciais.
ÿ Bloqueio de tela
O bloqueio de tela é um recurso em dispositivos móveis usado para proteger os dados e impedir o acesso ilegal
de criminosos. Ativar o bloqueio de tela em um dispositivo móvel pode impedir o acesso a dados privados no
dispositivo móvel, mesmo que tenha sido perdido ou roubado. O bloqueio de tela pode ser definido em um
dispositivo móvel usando técnicas de proteção, como senha, bloqueio facial, bloqueio de impressão digital,
padrão ou PIN. Desbloquear a tela envolve um conjunto de ações que precisam ser executadas corretamente,
caso contrário, o dispositivo pode bloquear após um determinado número de tentativas malsucedidas.
ÿ Senhas e PINs
Senhas e PINs são recursos básicos de segurança usados em todos os dispositivos móveis. O uso de um PIN
seguro e senha complexa pode proteger dados privados do funcionário e informações confidenciais da
organização armazenadas em um dispositivo móvel. Uma senha ou PIN atua como uma defesa simples, mas
eficaz, para impedir que os dados sejam acessados por qualquer usuário mal-intencionado. Um PIN consiste em
uma sequência de números, sem letras ou caracteres especiais.
Por outro lado, uma senha compreende letras maiúsculas e minúsculas, numerais e caracteres especiais e
geralmente é mais longa que um PIN.
ÿ Biometria
A biometria é uma tecnologia de segurança avançada e exclusiva que utiliza os atributos físicos de um indivíduo,
como impressão digital, íris, face, voz e comportamento para verificar sua identidade. Esses dados são
armazenados em um banco de dados, e sempre que o dispositivo móvel precisa ser acessado, os dados
fornecidos pelo usuário são comparados com os dados armazenados; o acesso é permitido somente se houver
uma correspondência. A biometria pode ser usada para autenticar um usuário com muita facilidade, rapidez e
segurança. Também evita a necessidade de lembrar senhas complexas.
Um serviço de notificação por push é um recurso de mensagens que se origina de um servidor e permite a
entrega de dados ou uma mensagem de um aplicativo para um dispositivo móvel sem nenhuma solicitação
explícita do usuário. É uma ótima ferramenta de marketing para manter contato com os usuários. Este serviço
não requer a abertura de nenhum aplicativo para receber a notificação, e a mensagem de texto na notificação
será exibida no dispositivo móvel mesmo que o aplicativo esteja fechado ou a tela bloqueada.
ÿ Geolocalização
A geolocalização é uma tecnologia que pode identificar a localização geográfica do mundo real de usuários ou
dispositivos quando conectados à Internet. Funciona em dispositivos móveis através
Módulo 08 Página 634 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o sistema GPS e é preciso ao nível de aproximadamente um pé. A implantação de geolocalização em aplicativos ajuda
os profissionais de marketing a implementar facilmente seus negócios e técnicas de marketing. A geolocalização também
é famosa por oferecer uma experiência de usuário rica para navegação por meio de mapas e para rastreamento de
pessoas, dispositivos ou veículos com recurso de GPS. A geolocalização também é usada na previsão do tempo. ÿ
Geofencing Geofencing é uma técnica através da qual os profissionais de marketing de aplicativos móveis utilizam a
localização do usuário para coletar informações. Essa técnica pode determinar o quão perto o dispositivo móvel do usuário
está de um local exato usando o recurso de GPS. Uma geofence é uma cerca virtual que é posicionada em um local e
interage com os usuários móveis sempre que eles cruzam a cerca. Isso ajuda os profissionais de marketing a coletar
dados confidenciais e saber sobre as atividades off-line dos usuários a partir dos dados de localização. Ele usa
triangulação celular para localizar o dispositivo do usuário com um nível de precisão de 50 a 50.000 m.
de segurança que pode criptografar todas as informações armazenadas em qualquer meio de armazenamento em um
dispositivo móvel. Essa técnica codifica as informações do usuário armazenadas no dispositivo móvel usando uma chave
de criptografia. É útil para criptografar dados automaticamente, que podem ser descriptografados usando a chave. Ele
emprega algoritmos de criptografia, como o padrão de criptografia avançada (AES) de 128 bits com encadeamento de
blocos cifrados (CBC).
ÿ Conteinerização
A conteinerização é uma técnica na qual todos os dados pessoais e organizacionais são segregados no dispositivo
móvel de um funcionário. Com a crescente adoção de políticas BYOD, o uso dessa técnica ajuda substancialmente a
melhorar a segurança dos dados organizacionais. Também melhora a produtividade e facilita o uso dos recursos e
aplicativos da empresa. Esses aplicativos não têm nenhum controle ou comunicação com os aplicativos ou dados
privados dos funcionários, pois existem fora do contêiner.
Módulo 08 Página 635 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Módulo 08 Página 636 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2
BYOD (traga seu COPE (propriedade da empresa,
Próprio Dispositivo) Habilitado Pessoalmente)
3 4
COBO (Empresa CYOD (Escolha o seu
Própria, Somente Comercial) Próprio Dispositivo)
Uma organização pode implementar qualquer uma das políticas a seguir com base em seus requisitos, bem como na
função e responsabilidades de seus funcionários para permitir que eles usem dispositivos móveis para fins comerciais.
As perguntas a seguir podem ajudar uma organização a determinar qual abordagem seguir:
ÿ Dispositivo Específico
ÿ Gestão e Apoio
Módulo 08 Página 637 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Traga seu próprio dispositivo (BYOD) refere-se a uma política que permite que os funcionários tragam seus
dispositivos pessoais , como laptops, smartphones e tablets, para o local de trabalho e os usem para
acessar os recursos organizacionais com base em seus privilégios de acesso
Traga o seu
Ter ÿ A política BYOD permite que os funcionários usem os dispositivos com os quais se sentem confortáveis
e que melhor se adaptam às suas preferências e propósitos de trabalho
Dispositivo
(BYOD)
Benefícios BYOD
Traga seu próprio dispositivo (BYOD)/Traga sua própria tecnologia (BYOT)/Traga seu próprio telefone (BYOP)/Traga seu próprio
PC (BYOPC) refere-se a uma política que permite que os funcionários tragam seus dispositivos, como laptops, smartphones e
tablets para o local de trabalho e usá-los para acessar os recursos organizacionais com base em seus privilégios de acesso.
A política BYOD permite que os funcionários usem os dispositivos com os quais se sentem confortáveis e que melhor se adaptam
às suas preferências e objetivos de trabalho. Com a estratégia “trabalhar em qualquer lugar, a qualquer hora”, a tendência BYOD
encontra desafios para proteger os dados da empresa e atender aos requisitos de conformidade.
Vantagens BYOD
A adoção do BYOD é vantajosa para a empresa e também para seus funcionários. Suas vantagens incluem:
Desvantagens BYOD
ÿ Escalabilidade reduzida
Módulo 08 Página 638 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
requisitos
1 2 dispositivos dos funcionários e
seu acesso aos dados
3 Desenvolver políticas
Apoio, suporte 5
Segurança
4
Para a implementação da política de BYOD, os dispositivos dos funcionários devem ser introduzidos no ambiente
corporativo para minimizar os riscos associados à segurança e privacidade dos dados.
ÿ Definir os requisitos
Nem todos os requisitos do usuário são semelhantes. Assim, os funcionários devem ser agrupados em
segmentos considerando a criticidade do trabalho, sensibilidade do tempo, valor derivado da mobilidade,
acesso a dados e acesso ao sistema. Além disso, os segmentos de usuários finais devem ser definidos com
base na localização/tipo de trabalhador (por exemplo, um funcionário que trabalha em casa, remoto em tempo
integral, prolongador do dia, remoto em meio período) e um portfólio de tecnologia deve ser atribuído para
cada segmento com base nas necessidades do usuário.
A avaliação do impacto na privacidade (PIA) também deve ser realizada no início de cada projeto BYOD na
presença de todas as equipes relevantes após atribuir as responsabilidades e coletar os requisitos. Ele fornece
um procedimento organizado para documentar os fatos, objetivos, riscos de privacidade e abordagens e
decisões de mitigação de riscos ao longo do ciclo de vida do projeto. Deve ser uma atividade central realizada
pelo comitê de governança móvel (usuários finais de cada segmento/linha de negócios e gestão de TI).
Além do sistema de gerenciamento de dispositivos móveis (MDM) que fornece um nível mínimo de controle,
outras opções, como desktops virtuais ou software no dispositivo, podem ser usadas para melhorar a segurança
e a privacidade dos dados. Além disso, deve garantir que o ambiente corporativo suporte conectividade e
gerenciamento de dispositivos WLAN.
Módulo 08 Página 639 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Desenvolver políticas
o Uma delegação de recursos da empresa deve desenvolver as políticas, em vez de apenas TI. Deve incluir os
principais participantes, como RH, jurídico, segurança e privacidade.
o Cada dispositivo (smartphone, PC, laptop, tablet ou mesmo smartwatch) e sistema operacional na política de BYOD
de uma empresa deve ser listado; dispositivos com um histórico de segurança insatisfatório não devem ser
permitidos. Isso envolve apenas permitir dispositivos com sistemas operacionais ou fabricantes específicos.
o Estabeleça uma política para determinar uma política razoável e obrigatória em relação ao BYOD para proteger
empresas e funcionários.
o A equipe de TI de uma organização deve ser treinada sobre as várias plataformas, dispositivos e sistemas
operacionais para familiarizá-los com os riscos associados ao manuseio incorreto do dispositivo ou para evitar as
ameaças à segurança impostas por um ambiente de trabalho BYOD.
o A política BYOD também deve garantir que os dispositivos sejam devidamente copiados para
evitar a perda de dados críticos em circunstâncias imprevistas.
ÿ Segurança
A tecnologia de gerenciamento móvel é eficaz apenas quando políticas adequadas são estabelecidas, implementadas
e suportadas. As organizações devem garantir segurança suficiente no ecossistema móvel para fazer os programas
BYOD funcionarem. Isso requer uma avaliação completa do ambiente operacional e o desenvolvimento de uma
solução que forneça o seguinte.
ÿ Suporte
A natureza inconsistente dos usuários BYOD aumentará a frequência das chamadas de suporte.
Portanto, as organizações devem estabelecer processos e capacidades adequados nos estágios iniciais para garantir
o sucesso. Os comitês móveis devem reavaliar frequentemente os níveis de suporte e garantir a produtividade de
seus funcionários móveis.
Módulo 08 Página 640 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Benefícios CYOD
Choose Your Own Device (CYOD) refere-se a uma política em que os funcionários selecionam seu dispositivo de escolha
em um conjunto pré-aprovado de dispositivos (laptops, smartphones e tablets) para acessar dados da empresa de acordo
com os privilégios de acesso de uma organização. Por exemplo, permitir que os funcionários selecionem um dispositivo
Apple em vez de dispositivos Android. Recentemente, o CYOD atraiu mais atenção do que o BYOD no mundo dos
negócios porque proteger os sistemas BYOD pode ser difícil, considerando os vários dispositivos disponíveis no mercado,
e os funcionários armazenam dados pessoais e profissionais, independentemente de o dispositivo ser pessoal ou pertencer
ao empregador.
Vantagens CYOD
ÿ Cada dispositivo de segurança é pré-instalado com uma solução de segurança e firewall predefinido e
configurações de rede de um administrador dedicado.
Módulo 08 Página 641 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
CYOD Desvantagens
ÿ
Envolve um processo de aquisição mais complexo do que BYOD ou COPE.
ÿ
Precisa ser atualizado com a tecnologia móvel/aplicativos utilizados pelas organizações.
ÿ
Compreende um cronograma de implantação mais lento.
Módulo 08 Página 642 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3 Desenvolver políticas
4 Segurança
5 Apoio, suporte
ÿ Definir um conjunto aprovado de dispositivos: as organizações devem formular uma lista de dispositivos e planos
corporativos sancionados para que seus funcionários acessem os dados da empresa de acordo com seus
privilégios de acesso.
ÿ Permita que os funcionários trabalhem com dispositivos de propriedade da empresa (incluindo trabalho
pessoal) e criem um portfólio de tecnologia: permita que os funcionários selecionem dispositivos (laptops,
smartphones e tablets) e planos de catálogos corporativos baseados em funções. Antes da entrega, configure os
dispositivos com aplicativos, software e configurações exigidas por cada funcionário, permitindo que eles operem
os aplicativos imediatamente. Por exemplo, configure dispositivos com Outlook com as credenciais do funcionário.
ÿ Desenvolva políticas e segurança de dispositivos: estabeleça políticas para garantir que os funcionários entendam
as responsabilidades que acompanham o acesso à rede. Quanto mais granulares forem as políticas organizacionais
em termos de tipos de dispositivos, diferentes versões de sistemas operacionais e número do modelo do dispositivo,
mais recursos precisarão ser testados para dar suporte a esses dispositivos. Por exemplo, permitir apenas um
modelo de celular Android específico ou uma versão específica de um sistema operacional móvel.
Implemente o seguinte:
o Criptografia
Módulo 08 Página 643 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Treine os funcionários para informá-los sobre suas responsabilidades móveis, incluindo como os dados são acessados,
usados e armazenados e como usar aplicativos e serviços.
ÿ Suporte: Implantar soluções especializadas (helpdesk dedicado que conhece as políticas e necessidades da organização) para
resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
o Dispositivos de ativação
o Desativação de dispositivos
Módulo 08 Página 644 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Benefícios COPE
1 2 3 4
Maior controle e Mantém a propriedade Mais barato que Evita que o funcionário
autoridade para dos dispositivos BOYD carregue vários
a organização dispositivos (telefones)
Corporate Owned, Personally Enabled (COPE) refere-se a uma política que permite que os funcionários usem e gerenciem os
dispositivos adquiridos pelas organizações. Os dispositivos incluem laptops, notebooks, smartphones, tablets e/ou serviços
de software. Empresas maiores são mais propensas a empregar o modelo COPE.
O COPE é uma opção mais barata do que o BYOD porque as empresas compram dispositivos a um custo menor do que o
preço de varejo. O COPE reduz os riscos associados ao BYOD implementando políticas rigorosas e protegendo os dispositivos.
Vantagens do COPE
ÿ Aplicativos pessoais
ÿ Permite que as organizações instalem livremente software de gerenciamento e/ou integrem dispositivos em
sistemas MDM
Módulo 08 Página 645 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desvantagens do COPE
Módulo 08 Página 646 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3
Adquira recursos de Permita que os funcionários trabalhem Desenvolver políticas
computação e com o dispositivo da empresa
dispositivos (incluindo trabalho pessoal) e criem
um portfólio de tecnologia
4 5
Segurança Apoio, suporte
ÿ Permita que os funcionários trabalhem com dispositivos de propriedade da empresa e criem um portfólio de tecnologia:
esses dispositivos de propriedade da organização permitem que os funcionários tenham o conservadorismo do COBO e a
liberdade do BYOD. Os dispositivos são projetados para trabalhos de escritório e pessoais.
ÿ Desenvolver políticas
o Certifique-se de que os funcionários entendam e aprovem completamente a política relacionada à saída deles da empresa.
o Decida se os funcionários terão permissão para adquirir ou manter o dispositivo após deixar a empresa e crie um
procedimento para remover todos os dados e ativos corporativos do dispositivo.
ÿ Segurança: para garantir a segurança do dispositivo, as organizações aplicam controles de segurança, restringem determinados
recursos para proteger contra malware e vazamentos de dados e monitoram os dispositivos quanto a violações de dados ou
jailbreak.
ÿ Suporte: Implantar soluções especializadas (helpdesk dedicado que conhece as políticas e necessidades da organização) para
resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
o Dispositivos de ativação
Módulo 08 Página 647 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Benefícios COBO
Propriedade da empresa, somente negócios (COBO) refere-se a uma política que permite que os funcionários usem e
gerenciem os dispositivos adquiridos pela organização, mas restringem o uso do dispositivo apenas para uso comercial.
COBO é usado para descrever um dispositivo que executa um único aplicativo. Por exemplo,
Vantagens COBO
ÿ A empresa mantém controle total sobre todos os aplicativos no dispositivo e seus dados.
Desvantagens COBO
ÿ Os funcionários realmente não gostam de trabalhar com pelo menos dois dispositivos em seus bolsos.
Módulo 08 Página 648 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desenvolver políticas 03
Segurança 04
Apoio, suporte 05
ÿ Proibir o uso pessoal de dispositivos: As empresas proíbem o uso de dispositivos móveis como
parte de sua política de design com base na abordagem COBO.
ÿ Permita que os funcionários trabalhem com dispositivos que executam um único aplicativo e criem um
portfólio de tecnologia: as empresas permitem que os funcionários trabalhem com um dispositivo que executa
um único aplicativo; por exemplo, um sistema de inventário com um leitor de código de barras embutido. Caso
contrário, podem permitir o uso de smartphones com uso pessoal proibido. Além disso, eles devem implementar
dispositivos altamente granulares, bem como gerenciamento de aplicativos e dados para permitir a conformidade.
ÿ Desenvolver políticas: Garantir que as soluções de gerenciamento de dispositivos móveis (MDM) e gerenciamento
de aplicativos móveis (MAM) atendam totalmente aos requisitos do conceito da empresa.
ÿ Segurança
o Garantir dispositivos totalmente bloqueados para manter o controle sobre políticas granulares e controlar o uso
do dispositivo
ÿ Suporte
Implante sistemas especializados (helpdesk dedicado que conhece as políticas e necessidades da organização)
para resolver rapidamente quaisquer problemas de mobilidade. Eles devem abordar
Módulo 08 Página 649 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Dispositivos de ativação
o Desativação de dispositivos
Módulo 08 Página 650 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Módulo 08 Página 651 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O uso de dispositivos móveis em um ambiente de trabalho mudou a ÿ Os dispositivos móveis são mais difíceis de rastrear e proteger
ÿ Portanto, a segurança de dispositivos móveis corporativos ÿ É difícil garantir que os patches de software móvel e as
encontra desafios de segurança adicionais além dos configurações de segurança sejam atualizados
riscos de segurança no nível do dispositivo móvel,
que incluem sistemas de segurança fracos e configuração
insuficiente de dispositivos e plataformas móveis
Isso inclui a perda ou roubo de um dispositivo móvel devido à sua portabilidade e leveza. Os
invasores podem executar ações maliciosas se obtiverem acesso físico a um dispositivo, como
atualizar o dispositivo com uma imagem de sistema maliciosa conectada a um computador para
instalar um aplicativo mal-intencionado ou conduzir a extração de dados.
Portanto, os dispositivos não devem ser deixados sem vigilância. Medidas de segurança, como
autenticação e criptografia do dispositivo, devem ser aplicadas. Em vez de usar uma senha
simples, imponha várias formas de autenticação para impedir o acesso não autorizado a
dispositivos móveis.
Dispositivos móveis que usam interfaces de rede sem fio comuns (Wi-Fi, Bluetooth) para
conectividade são vulneráveis a tentativas de espionagem sem fio.
Módulo 08 Página 652 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Portanto, os funcionários devem se conectar a redes confiáveis usando WPA21 ou usar protocolos de rede
seguros (IPSec, SSL, SSH, HTTPS, Kerberos etc.) Além disso, eles podem usar gateways especiais com
firewalls personalizados e controles de segurança para direcionar o tráfego móvel. Por exemplo, filtragem de
conteúdo e ferramentas de prevenção contra perda de dados.
Os fornecedores podem não lançar atualizações de aplicativos oportunas e suporte para versões mais antigas
do sistema operacional ou os usuários podem não atualizar seus aplicativos regularmente. Os invasores podem
explorar as vulnerabilidades nos aplicativos e tentar roubar dados, baixar outros malwares ou controlar o
dispositivo remotamente, resultando em perdas financeiras e colocando em risco a reputação de uma organização.
Portanto, controles rígidos devem ser aplicados em relação ao download e instalação de aplicativos em um
dispositivo e ao uso de antivírus móvel. Além disso, políticas fortes devem ser estabelecidas para limitar ou
bloquear o uso de aplicativos de terceiros nos dispositivos.
Módulo 08 Página 653 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os funcionários que se conectam a uma rede corporativa ou acessam dados corporativos usando seus próprios
dispositivos móveis representam riscos de segurança para uma organização. A seguir estão alguns riscos de
segurança associados às políticas BYOD, CYOD, COPE e COBO:
ÿ Compartilhamento de dados confidenciais em uma rede não segura: os funcionários podem acessar
dados corporativos por meio de uma rede pública. Essas conexões podem não ser criptografadas e
compartilhar dados confidenciais por meio de uma rede não segura pode levar ao vazamento de dados.
ÿ Descarte inadequado de dispositivos: Um dispositivo descartado incorretamente pode conter uma grande
quantidade de informações, como informações financeiras, detalhes de cartão de crédito, números de
contato e dados corporativos. Portanto, é importante garantir que os dispositivos não contenham nenhum
dado antes de serem descartados ou repassados a terceiros.
ÿ Suporte de muitos dispositivos diferentes: as organizações permitem que os funcionários acessem seus
recursos de qualquer lugar do mundo, aumentando assim a produtividade e aumentando a satisfação dos
funcionários. O suporte para diferentes dispositivos e processos pode aumentar o custo. Os dispositivos de
propriedade dos funcionários têm segurança limitada que operam em diferentes plataformas. Isso impede
as capacidades do departamento de TI de gerenciar e controlar dispositivos em uma empresa.
Módulo 08 Página 654 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Misturar dados pessoais e privados: É difícil controlar o isolamento do uso comercial do uso pessoal. Por exemplo,
gerenciar funcionários que compram em sites comprometidos, usam conexões Wi-Fi públicas ou fornecem seus
dispositivos a outras pessoas.
ÿ Dispositivos perdidos ou roubados: devido ao seu pequeno tamanho, os dispositivos móveis são frequentemente perdidos ou roubados.
Quando um funcionário perde seu dispositivo móvel usado para fins pessoais e oficiais, a organização pode enfrentar
um risco de segurança porque os dados corporativos no dispositivo perdido podem ser comprometidos.
ÿ Capacidade de ignorar regras de política de rede organizacional: de acordo com os requisitos, as políticas impostas
podem diferir para redes com e sem fio. Os dispositivos conectados a redes sem fio podem ignorar as políticas de rede
aplicadas apenas em LANs com fio.
ÿ Questões de infraestrutura: essas políticas envolvem lidar com várias plataformas e tecnologias. Nem todos os
funcionários carregam o mesmo dispositivo. Diferentes dispositivos, cada um executando diferentes sistemas
operacionais e programas, possuem brechas de segurança. Isso pode ser problemático para um departamento de TI
configurar e manter uma infraestrutura que suporte os requisitos de diferentes dispositivos, como gerenciamento de
dados, segurança, backup e compatibilidade entre dispositivos.
ÿ Funcionários insatisfeitos : funcionários insatisfeitos em uma organização podem fazer uso indevido dos dados corporativos
armazenados em seus dispositivos móveis. Eles também podem vazar informações confidenciais para os concorrentes.
Módulo 08 Página 655 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Centros de dados organizacionais seguros com sistemas ÿ Use o mecanismo de criptografia para armazenar dados
de proteção multicamada
ÿ Manter uma separação clara entre dados comerciais e pessoais
ÿ Esclarecer quais aplicativos são permitidos ou proibidos ÿ Use soluções antivírus e de prevenção contra perda de dados (DLP)
ÿ Controle o acesso com base na necessidade de conhecimento ÿ Defina uma senha forte para o dispositivo e altere-a
frequentemente
ÿ Certifique-se de que os funcionários entendam e ÿ Definir senhas para aplicativos para restringir outros de
aprovem completamente as políticas acessando eles
A seguir estão algumas das diretrizes de segurança a serem seguidas pelo defensor da rede e funcionários quando as
políticas BYOD, CYOD, COPE e COBO são implementadas.
Com o aumento do uso de tablets, smartphones e outros dispositivos no trabalho, a segurança móvel tornou-se
uma grande preocupação. Abaixo estão listadas as diretrizes de segurança que devem ser implementadas para
garantir a segurança da rede e dos dados de uma organização.
o Garantir que as soluções MDM e MAM da empresa correspondam aos seus requisitos.
Módulo 08 Página 656 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para Empregados
o Certifique-se de que os dispositivos móveis sejam registrados e autenticados antes de permitir o acesso
para a rede organizacional.
o Faça com que os usuários concordem e assinem as políticas antes que possam acessar os
sistema de informação.
o Quando um funcionário deixar a organização, indique se a limpeza total do dispositivo ou a limpeza seletiva de
determinados aplicativos e dados é necessária e certifique-se de que a organização e os dados pessoais sejam
mantidos separadamente.
o Implementar algoritmos fortes para criptografar os dados da organização armazenados nos dispositivos;
também usam um canal criptografado para transferência de dados.
o Se um dispositivo for perdido ou roubado, redefina ou limpe remotamente as senhas do dispositivo para evitar
acesso não autorizado aos dados confidenciais de uma organização.
o Implemente uma VPN baseada em SSL, que fornece acesso remoto seguro.
o Certifique-se de que os dispositivos do usuário sejam atualizados regularmente com os sistemas operacionais e outros
softwares mais recentes, o que pode evitar e, às vezes, até corrigir quaisquer vulnerabilidades de segurança.
o Defina senhas para aplicativos para impedir que outras pessoas os acessem.
Módulo 08 Página 657 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Módulo 08 Página 658 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dispositivo móvel
Soluções de Gestão
Na premissa
Rede
Os profissionais de segurança usam o console de Agente MDM
Defensor
Microsoft Intune
https:// www.microsoft.com
IBM MaaS360
https:// www.ibm.com
XenMobile
https:// www.citrix.com
https:// www.miradore.com
O gerenciamento de dispositivos móveis (MDM) está ganhando importância significativa com a adoção de
políticas como BYOD nas organizações. O aumento de diferentes tipos de dispositivos móveis, como
smartphones, laptops e tablets, tornou difícil para as empresas fazer políticas e gerenciar os dispositivos
com segurança. O MDM é uma política que ajuda a gerenciar dispositivos com cuidado, reduzindo os
custos de suporte, mitigando os riscos de segurança e reduzindo a descontinuidade dos negócios.
Módulo 08 Página 659 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As soluções de gerenciamento de dispositivos móveis (MDM) são usadas para implantar, proteger, monitorar e gerenciar os
dispositivos da empresa e dos funcionários. Os defensores da rede usam o console de gerenciamento do servidor MDM
para configurar remotamente os agentes MDM instalados nos dispositivos.
ÿ Gestão de Segurança
o Aplicação de senha
ÿ Miradouro
O Miradore ajuda a garantir a segurança do dispositivo e dos dados, bem como a conformidade dos dados em
toda a organização. Ele pode criptografar facilmente todos os dados confidenciais, separar o uso comercial do
pessoal, impor senhas seguras e bloqueios de tela e impedir o uso de aplicativos indesejados.
Módulo 08 Página 660 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Restringir
acesso ao aplicativo
dados
organizacionais
Consola de
administração do MAM
Gerenciamento de licenças
Dados pessoais
Funcionário
Administrador de TI
Instalar/desinstalar
aplicativo remotamente
Microsoft Intune
https:// www.microsoft.com
ÿMAM da AppStation ÿAplicação de fusão de escala ÿManageEngine Mobile ÿApriorit Enterprise Mobile Device ÿAppaloosa
https:// www.mobileiron.com Gestão https:// Gerenciador de dispositivos e gerenciamento de aplicativos https:// https:// www.appaloosa.io
scalefusion.com Plus https:// www.manageengine.com www.apriorit.com
Módulo 08 Página 662 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ativação do dispositivo
ÿ Licenciamento de Software
ÿ Configuração de aplicativos
ÿ Autorização de candidatura
ÿ Atualização de aplicativos
ÿ Autenticação do usuário
ÿ Serviços de push
ÿ Relatórios e acompanhamento
ÿ Análise de uso
ÿ Gestão de eventos
ÿ Empacotamento de aplicativos
Módulo 08 Página 663 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Microsoft Intune
O Intune MAM é um conjunto de recursos de gerenciamento do Intune que permite que as organizações publiquem,
enviem, configurem, protejam, monitorem e atualizem aplicativos móveis para usuários.
o Intune MDM + MAM: os aplicativos são gerenciados usando MAM e políticas de proteção de aplicativos em
dispositivos registrados no Intune MDM.
o MAM sem registro de dispositivo (MAM-WE): os aplicativos são gerenciados usando MAM e políticas de
proteção de aplicativos em dispositivos que não estão registrados no Intune MDM.
Módulo 08 Página 664 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Vaultize
Implante conteúdo em
https:// www.vaultize.com dispositivos usando o
Configurar aplicativos
armário de conteúdo
ÿ MobileIron
Soluções MCM
https:// www.mobileiron.com
ÿ AppTec360°
Funcionário
https:// www.apptec360.com Adicionar
Módulo 08 Página 665 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O MCM permite:
o Autorização
o Autenticação
o Controle de download
ÿ Sistema de modelagem especializado: Existem duas abordagens para adaptação ao CMS móvel
modelos.
o A abordagem multicliente permite visualizar diferentes versões de um site no mesmo domínio e apresenta
modelos adequados com base nos dispositivos usados pelos clientes para visualizar o site.
ÿ A entrega de conteúdo baseada em localização fornece conteúdo para dispositivos móveis com base em sua
localização física atual.
Módulo 08 Página 666 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A defesa contra ameaças móveis (MTD)/gerenciamento de ameaças móveis (MTM)/prevenção contra ameaças móveis
(MTP) protege as organizações e seus funcionários contra ameaças em celulares iOS e Android usando diferentes
tecnologias de segurança. Os agentes instalados nos dispositivos os verificam em busca de vários ataques móveis
usando inteligência avançada contra ameaças. Ele usa aprendizado de máquina e análise em tempo real para proteger
endpoints móveis. O MTD gera alertas para que as soluções de gerenciamento de mobilidade empresarial (EMM)
executem as ações apropriadas (colocar os celulares no estado de quarentena).
As ferramentas de gerenciamento MDM e MAM permitem apenas definir perfis de gerenciamento de linha de base para
dispositivos móveis e aplicativos usados nas organizações. Essas duas ferramentas de gerenciamento carecem de
informações relacionadas às características do aplicativo, proteção contra ameaças e comportamentos do usuário,
reagindo a ameaças dinamicamente e fornecendo visibilidade contínua da integridade e confiança do dispositivo. O MTD
estende o EMM/MDM com recursos de segurança adicionais porque funciona com dispositivos e os protege contra os
seguintes ataques.
ÿ
Ele protege contra ameaças de dispositivos/físicas adicionando detecção ativa de ameaças e gerenciamento
móvel baseado em riscos para uma aplicação de políticas mais educada.
ÿ
Ele protege contra malware.
ÿ
Ele protege contra phishing.
ÿ
Ele protege contra ataques de rede.
Módulo 08 Página 667 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplos de MTD:
Módulo 08 Página 668 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
anexos
As soluções de gerenciamento de e-mail móvel (MEM) garantem a segurança da infraestrutura de e-mail corporativo e dos dados
em dispositivos móveis. MEM permite
o Criação de contas de e-mail associando uma política de e-mail aos dispositivos dos funcionários.
o Configurar a assinatura de e-mail e configurar uma conta de e-mail padrão para os usuários.
ÿ Certifique-se de que apenas aplicativos e dispositivos aprovados possam acessar e-mail: usando o MDM, o MEM fornece
ÿ Impedir o acesso não autorizado de anexos de e-mail: Usando o MDM, o MEM garante
Módulo 08 Página 669 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Restringir o compartilhamento de documentos a outros dispositivos ou serviços em nuvem para evitar a segurança
violações.
ÿ Pré-instalação do cliente de e-mail a ser usado para acesso ao e-mail: o aplicativo gerenciado
configurações de MDM permitem
Módulo 08 Página 670 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Aplicativo móvel
Gerenciamento
Kit de ferramentas Zebra Enterprise Mobility
(EU TENHO)
Management (EMM) https:// www.zebra.com
O Enterprise Mobility Management (EMM) é uma solução abrangente responsável por MDM, MAM, MTM, MCM e
MEM. Ele protege os dados corporativos acessados e usados pelos dispositivos móveis dos funcionários.
o Permitir que os funcionários sejam produtivos nos dispositivos móveis que gostam de usar
Módulo 08 Página 671 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Proteger e gerenciar dispositivos móveis em vários sistemas operacionais (Android, iOS, macOS e Windows
10)
ÿ Gestão de conteúdos
o Proteja a distribuição de dados corporativos para dispositivos móveis aplicando políticas de nível de conteúdo (por
exemplo, chaves de criptografia independentes de dispositivo, autenticação e compartilhamento de arquivos)
ÿ Gestão de aplicações
o Proteja as organizações e seus funcionários contra ameaças em celulares iOS e Android usando diferentes
tecnologias de segurança
ÿ MEM
Módulo 08 Página 672 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Mobileiron UEM
https:// www.mobileiron.com
As soluções de gerenciamento de endpoint unificado (UEM) garantem o
provisionamento remoto, gerenciamento, controle e proteção de dispositivos
habilitados para Internet a partir de uma única interface
Ivanti Unified Endpoint Manager https://
www.ivanti.com
Features of UEM
As soluções de gerenciamento de endpoint unificado (UEM) ajudam no gerenciamento e controle de dispositivos móveis
habilitados para Internet, desktops, aplicativos e conteúdo em toda a organização a partir de uma única interface. Ele fornece
segurança, gerenciamento e provisionamento de dispositivos móveis. As soluções UEM abordam os problemas dos gerentes
de TI estendendo as soluções MDM e EMM.
As soluções UEM lidam com os requisitos de segurança exclusivos em empresas móveis, fornecendo:
ÿ Containerização de aplicativos
ÿ Ambiente multi-SO
ÿ Proteja perfis multiusuário para permitir com segurança que os usuários compartilhem um único dispositivo
ÿ Medidas de segurança altamente eficazes que são invisíveis para os usuários finais
ÿ Tecnologia VPN por aplicativo que fornece acesso à rede corporativa para aplicativos autorizados
só
Módulo 08 Página 673 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Permita que os usuários encontrem e instalem aplicativos corporativos essenciais (e-mail corporativo, calendário, etc.)
Componentes UEM
ÿ CMT
A CMT fornece infra-estrutura de TI para garantir o funcionamento eficiente das empresas móveis e, ao mesmo tempo,
aprimorar o serviço aos usuários finais.
ÿ MDM
O MDM fornece uma base para soluções de UEM, permitindo que a equipe de TI
o Permita que os funcionários sejam produtivos nos dispositivos móveis que eles gostam de usar
o Proteja e gerencie dispositivos móveis em vários sistemas operacionais (Android, iOS, macOS e
Windows 10)
ÿ EU TENHO
Módulo 08 Página 674 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ MCM
o Proteja a distribuição de dados corporativos para dispositivos móveis aplicando políticas de nível de conteúdo
(chaves de criptografia independentes de dispositivo, autenticação e compartilhamento de arquivos)
Módulo 08 Página 675 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Discutir e Implementar
Discutir dispositivo móvel
2 Conceitos de Gestão
5 Segurança móvel de nível empresarial
Soluções de Gestão
Módulo 08 Página 676 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Garantir que os funcionários baixem aplicativos confiáveis das lojas de aplicativos da empresa
Módulo 08 Página 677 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Use centros de dados privados para armazenar dados e implementar autenticação de dispositivos
ÿ Garantir que os usuários possam acessar os dados corporativos de um local central seguro
ÿ Treine funcionários para criptografar discos rígidos e USBs antes de armazenar quaisquer dados relacionados ao trabalho
neles
Módulo 08 Página 678 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Desativar interfaces como Bluetooth, infravermelho e Wi-Fi quando não estiver em uso
ÿ Evite conectar-se a redes Wi-Fi desconhecidas e usar pontos de acesso Wi-Fi públicos
ÿ Isolar um grupo de usuários usando diferentes SSIDs e segmentar o tráfego para esses grupos para
diferentes VLANS
ÿ Aplicar diferentes regras de firewall e filtros para diferentes combinações de grupos de usuários ou
dispositivos
Módulo 08 Página 679 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Abaixo estão várias diretrizes que podem ajudar os usuários a proteger seus dispositivos móveis.
ÿ Não instale muitos aplicativos e evite o upload automático de fotos para redes sociais
ÿ Não compartilhe nenhuma informação em aplicativos habilitados para GPS, a menos que seja necessário
ÿ Desative o acesso sem fio, como Wi-Fi e Bluetooth, se não estiver em uso
ÿ Use serviços de limpeza remota, como Find My Device (Android) e Find My iPhone ou Find
My (Apple iOS) para localizar seu dispositivo em caso de perda ou roubo
Módulo 08 Página 680 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Pressione o botão liga/desliga para bloquear o dispositivo quando não estiver em uso
Módulo 08 Página 681 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Kaspersky Internet Security for Android bloqueia aplicativos, sites e arquivos suspeitos. Ele permite que
você controle o acesso a aplicativos específicos e interrompa chamadas de monitoramento de spyware,
textos e localização. Inclui ferramentas antifurto para proteger celulares e dados. Ele usa aprendizado de
máquina para combater novas ameaças.
Módulo 08 Página 682 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 683 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Essa ferramenta fornece recursos como proteção na Web e proteção de identidade, identifica
Avira Mobile
sites de phishing direcionados a você pessoalmente, protege e-mails, rastreia seu dispositivo,
Segurança
identifica atividades suspeitas, organiza a memória do dispositivo e faz backup de todos os contatos
Fonte: https://www.avira.com
O Avira Mobile Security oferece recursos como proteção na Web e proteção de identidade,
identifica sites de phishing direcionados a um usuário específico, rastreia um dispositivo,
organiza a memória do dispositivo e faz backup de todos os contatos e outros dados de todos
os dispositivos iOS.
Módulo 08 Página 684 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 685 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
ÿ Este módulo discutiu os vários dispositivos móveis
métodos de conexão
Resumo do Módulo
Este módulo discutiu vários métodos de conexão de dispositivos móveis. Ele discutiu os conceitos de gerenciamento de
dispositivos móveis, bem como as abordagens comuns de uso móvel nas empresas.
Além disso, discutiu o risco de segurança e as diretrizes associadas às políticas corporativas de uso móvel. Este módulo
também apresentou soluções de gerenciamento de segurança móvel de nível empresarial. Finalmente, este módulo apresentou
uma visão geral das diretrizes gerais de segurança e melhores práticas para plataformas móveis.
Módulo 08 Página 686 Network Defense Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 09
Seguranç a de dis po si tiv os IoT
Machine Translated by Google
Objetivos do módulo
Compreendendo a IoT e por que as organizações optam por
1
ambientes habilitados para IoT
Objetivos do módulo
O uso de dispositivos da Internet das Coisas (IoT) na infraestrutura corporativa de TI criou um vasto perímetro de
segurança. Os dispositivos IoT usam redes e a nuvem. No entanto, eles são altamente vulneráveis a ataques de
malware, ransomware e botnet. Os invasores podem facilmente comprometer os endpoints de IoT. Compreender as
medidas de segurança ajudará na proteção de ambientes habilitados para IoT.
ÿ Entenda a IoT e por que as organizações optam por ambientes habilitados para IoT
Módulo 09 Página 688 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a IoT Discutir o
Dispositivos, Aplicativo segurança em
Áreas, e habilitado para IoT
Comunicação ambientes
modelos
Módulo 09 Página 689 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O que é IoT?
ÿ Internet of Things (IoT), também conhecida como Internet of Everything (IoE), refere-se à rede
de dispositivos com endereços IP e a capacidade de detectar, coletar e enviar dados usando
sensores embutidos, hardware de comunicação e processadores
ÿ Em IoT, o termo coisa é usado para se referir a um dispositivo que é implantado em objetos
naturais, feitos pelo homem ou feitos por máquinas e tem a funcionalidade de se comunicar pela rede
Ver
Manufatura Vestível
Transporte televisões
IoT
Saúde Monitoramento
Checar
Dispositivos
Termostato
Drogas Energia
Dispositivos de saúde Dispositivos domésticos
O que é IoT?
A Internet das Coisas (IoT), também conhecida como Internet de Todas as Coisas (IoE), refere-se a dispositivos de
computação habilitados para a Web e com capacidade de detectar, coletar e enviar dados usando sensores, hardware
de comunicação e processadores que estão embutidos no dispositivo. Na IoT, uma “coisa” refere-se a um dispositivo
que é implantado em um objeto natural, feito pelo homem ou feito por uma máquina e tem a funcionalidade de se
comunicar por meio de uma rede. A IoT utiliza a tecnologia emergente existente para detecção, rede e robótica,
permitindo, portanto, que o usuário obtenha análise, automação e integração mais profundas em um sistema.
Com o aumento dos recursos de rede de máquinas e aparelhos usados em diferentes setores, como escritórios,
residências, indústria, transporte, edifícios e dispositivos vestíveis, eles abrem um mundo de oportunidades para
melhorar os negócios e a satisfação do cliente. Alguns dos principais recursos da IoT são conectividade, sensores,
inteligência artificial, pequenos dispositivos e engajamento ativo.
Módulo 09 Página 690 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exterior e interior ÿ
Conecte-se a qualquer hora
Dia ÿ Noite
ÿ Em movimento ÿ
Interior (longe do PC) ÿ
Exterior ÿ No PC
ÿ Entre PCs ÿ
Humano para humano (H2H), sem
Conecte qualquer coisa Conecte qualquer lugar
usar um PC ÿ Humano para
coisas (H2T), usando equipamentos
genéricos
ÿ Coisas para coisas (T2T)
Por que as organizações estão optando por ambientes habilitados para IoT
As organizações estão optando por ambientes habilitados para IoT porque os dispositivos IoT funcionam
em um plano tridimensional e fornecem conectividade para qualquer pessoa, a qualquer momento, para
qualquer coisa e de qualquer lugar. Os dispositivos IoT facilitam a conexão com vários objetos; os exemplos
incluem interações Human-to-Thing (H2T) usando equipamentos genéricos, interações Thing-to-Thing (T2T)
entre PCs e interações Human-to-Human (H2H) sem usar um PC. O usuário pode se conectar a dispositivos
IoT em qualquer lugar, independentemente de estarem em movimento, em ambientes fechados (longe do
PC), ao ar livre ou no PC. O mecanismo de trabalho dos dispositivos IoT no plano tridimensional permite ao
usuário monitorar continuamente seus negócios, resolver preocupações instantaneamente, aumentar a
eficiência do negócio, aumentar o crescimento da organização, aumentar a segurança, etc.
Alguns dos principais recursos da IoT são conectividade, sensores, inteligência artificial, pequenos dispositivos
e engajamento ativo. A tecnologia IoT inclui quatro sistemas principais: dispositivos IoT, sistemas de gateway,
sistemas de armazenamento de dados baseados na nuvem e controle remoto usando aplicativos móveis.
Esses sistemas juntos permitem a comunicação entre dois terminais. Discutidos abaixo estão alguns dos
componentes importantes da tecnologia IoT que desempenham um papel essencial no funcionamento de um
dispositivo IoT.
ÿ Gateways IoT: Gateways são usados para preencher a lacuna entre um dispositivo IoT (rede interna)
e o usuário final (rede externa), permitindo assim que eles se conectem e se comuniquem entre si.
Os dados coletados pelos sensores nos dispositivos IoT são coletados e enviados para o usuário ou
nuvem em questão através do gateway.
Módulo 09 Página 691 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Controle remoto usando aplicativos móveis: o usuário final utiliza dispositivos de controle remoto, como
telefones celulares, tablets e laptops instalados com um aplicativo móvel para monitorar, controlar, recuperar
dados e executar ações em dispositivos IoT a partir de um local remoto.
Exemplo:
1. Um sistema de segurança inteligente é integrado a um gateway, que por sua vez ajuda a conectar o
dispositivo para a infraestrutura de Internet e nuvem.
4. O usuário do outro lado, que possui o aplicativo necessário para acessar um dispositivo remotamente em seu
celular, interage com o aplicativo e, por sua vez, com o dispositivo. Antes de acessar o dispositivo, eles são
solicitados a se autenticar. Se as credenciais enviadas corresponderem às salvas na nuvem, o usuário
obtém acesso. Caso contrário, o acesso é negado, garantindo a segurança. O servidor em nuvem identifica
o ID do dispositivo e envia uma solicitação associada a esse dispositivo usando gateways.
5. Se o sistema de segurança que está gravando imagens detecta qualquer atividade incomum, ele envia um
alerta para a nuvem por meio do gateway, que corresponde ao ID do dispositivo e ao usuário associado a
ele. Finalmente, o usuário final recebe um alerta.
Módulo 09 Página 692 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Veículos Consumidor, Comercial, Construção, Fora de Estrada Veículos, Luzes, Navios, Aviões, Sinalização, Pedágios, etc.
Transporte
Sistemas Trans Portagens, gestão de trânsito, navegação
Fluido/Processos Petroquímica, Hidro, Carbonos, Alimentos, Bebidas Bombas, Válvulas, Cubas, Transportadores,
Industrial Metais, Papéis, Borracha/Plástico, Eletrônica metalúrgica, Fabricação, Montagem/Embalagem, Vasos/
Conversão/Discreta Tanques, etc.
Montagem/Teste
Isso e Público Serviços, comércio eletrônico, data centers, operadoras de celular, ISPs Servidores, Armazenamento, PCs,
Redes Empresa privada Escritório de TI/Data Center, redes de privacidade Roteadores, Switches, PBXs, etc.
http:// www.beechamresearch.com
Os dispositivos IoT têm uma ampla gama de aplicações. Eles são usados em quase todos os setores da
sociedade para auxiliar de várias maneiras a simplificar a rotina de trabalho e tarefas pessoais e, assim,
melhorar o padrão de vida. A tecnologia IoT está incluída em casas e edifícios inteligentes, dispositivos de
saúde, aparelhos industriais, transporte, dispositivos de segurança, setor de varejo, etc.
Módulo 09 Página 693 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Dispositivos inteligentes que estão conectados à Internet, fornecendo diferentes serviços aos usuários
finais, incluem termostatos, sistemas de iluminação e sistemas de segurança e vários outros sistemas
que residem em edifícios.
ÿ
Nos setores de saúde e ciências da vida, os dispositivos incluem dispositivos vestíveis, dispositivos de
monitoramento de saúde, como marcapassos cardíacos implantados, ECG, EKG, equipamentos
cirúrgicos, telemedicina, etc.
ÿ A Internet Industrial das Coisas (IIoT) está atraindo crescimento por meio de três abordagens: aumento da
produção para aumentar a receita, usando tecnologia inteligente que está mudando totalmente a forma
como os produtos são feitos e a criação de novos modelos de negócios híbridos.
ÿ Da mesma forma, o uso da tecnologia IoT no setor de transporte segue o conceito de comunicação veículo-
veículo, veículo-via e veículo-pedestre, melhorando assim as condições de tráfego, sistemas de
navegação e esquemas de estacionamento.
Inscrição
Setores de serviço Localizações Dispositivos
Grupos
Comercial/ Escritório, Educação, Varejo, Hotelaria, Aquecimento, Ventilação e Ar
Institucional Saúde, Aeroportos, Estádios Condicionado (AVAC),
Edifícios Transportes, Incêndio e
Industrial Processo, Sala Limpa, Campus Segurança, Iluminação,
Segurança, Acessos, etc.
Módulo 09 Página 694 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Transporte etc.
Portagens, Gestão de Tráfego, Navegação
Sistemas
Módulo 09 Página 695 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquitetura IoT
servidor de nuvem
O processamento final, armazenamento de
Temperatura Enviar dados
dados e fornecimento de feedback para os
dispositivos de ponta são realizados na nuvem
receber comando
Gateway IoT
Pressão
Internet
Som/Vibração
Dispositivos IoT
Controle remoto
Arquitetura IoT
A arquitetura IoT inclui várias camadas. Essas camadas são projetadas de forma que possam atender aos requisitos
de vários setores, como sociedades, indústrias, empresas e governos. As camadas da arquitetura IoT estão
conectadas para coletar, salvar e processar dados. As funções executadas por vários blocos de construção são as
seguintes.
ÿ Gateways são dispositivos através dos quais os dados são transmitidos das coisas para a nuvem e
vice-versa. Eles fornecem as seguintes funções:
Módulo 09 Página 696 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Enviando comandos de controle da nuvem para as coisas para permitir que as coisas executem o
comandos usando seus atuadores
o Compressão de dados
o Comunicação com gateways de campo através de vários protocolos baseados no protocolo suportado por
gateways
ÿ Os processadores de dados de streaming garantem que nenhum dado seja perdido ou corrompido, fornecendo
as seguintes características:
o Controle de aplicativos
ÿ Os data lakes armazenam os dados produzidos pelos dispositivos conectados no formato natural. Se os dados
forem necessários para insights significativos, os dados serão extraídos de um data lake e carregados em um
big data warehouse.
ÿ Os armazéns de big data contêm apenas dados limpos, estruturados e combinados. Eles podem armazenar o
seguinte:
ÿ A análise de dados ajuda os analistas de dados a encontrar tendências e obter insights acionáveis usando os
dados do big data warehouse. A análise dos dados na forma de esquemas, diagramas e infográficos revela o
seguinte:
o Desempenho do dispositivo
Além disso, correlações e padrões encontrados manualmente ajudam a criar algoritmos para aplicações de
controle.
ÿ O aprendizado de máquina permite que os analistas de dados criem modelos para aplicativos de controle. Esses
modelos são atualizados regularmente, dependendo dos dados em um big data warehouse. Os exemplos
incluem modelos para reconhecer os padrões de comportamento dos funcionários de uma organização em
termos de quando eles saem e retornam à organização e ajustam as luzes nas instalações de acordo. Depois
de concluída a fase de testes de aplicabilidade e eficiência desses modelos, eles passam a ser utilizados por
aplicações de controle.
ÿ Aplicativos de controle enviam comandos e alertas automáticos aos atuadores. Por exemplo, se surgir uma
situação de pré-falha nos equipamentos/dispositivos de uma organização, os sensores
Módulo 09 Página 697 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
monitore o estado dos dispositivos e o sistema IoT envia notificações automáticas aos engenheiros do sistema.
Os comandos armazenados em um big data warehouse enviados por aplicativos de controle para atuadores
ajudam no seguinte:
o Aplicativos de controle baseados em regras que operam com base nas regras definidas por especialistas
o Aplicativos de controle baseados em aprendizado de máquina que usam modelos, que podem ser atualizados
regularmente com os dados armazenados em um big data warehouse
ÿ Aplicativos de usuário (web ou aplicativos móveis) ajudam a alterar o comportamento dos controles do aplicativo.
Por exemplo, se um sistema de IoT executar mal determinadas ações, os aplicativos do usuário permitirão que
os usuários façam o seguinte:
o Monitore e controle (enviando comandos para controlar aplicativos e definindo opções para comportamento
automático) coisas inteligentes enquanto elas estão conectadas a uma rede de coisas semelhantes.
Módulo 09 Página 698 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Camadas do
Arquitetura IoT
Plataforma
Análise
Um ecossistema IoT é uma combinação de várias camadas IoT e compreende os componentes que permitem que as
organizações se conectem a seus dispositivos IoT. Especificamente, um ecossistema inclui painéis, controles remotos,
gateways, análises, redes, armazenamento de dados e segurança. A arquitetura geral de um ecossistema IoT é diferente
para diferentes organizações. O modelo de ecossistema ao qual muitas organizações se referem ao tentar entender a
arquitetura de IoT inclui as camadas de IoT.
A camada de dispositivo ou coisa da IoT inclui o hardware que constitui os dispositivos IoT. Todos os dispositivos
conectados são o ponto final de um ecossistema IoT e adquirem dados com base em um caso de uso específico. Os
dispositivos incluem o seguinte:
ÿ Sensores (temperatura, giroscópio, pressão, sensores de luz, Sistema de Posicionamento Global (GPS),
eletroquímico, identificação por radiofrequência (RFID), etc.)
ÿ Unidades microcontroladoras
Módulo 09 Página 699 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Equipamento de rede
ÿ Protocolos: Para aplicativos IoT baseados na Internet, uma arquitetura baseada em Protocolo de Controle de
Transmissão (TCP)/Protocolo de Internet (IP) é usada. Os casos de uso de IoT baseados em intranet
utilizam LAN, RF, Wi-Fi, Li-Fi, etc.
ÿ Gateway: Gateways ajudam a gerenciar o tráfego entre dispositivos IoT e redes conectadas.
Para manter e monitorar o tráfego, os gateways de nível 5 são úteis.
Os servidores hospedados na nuvem aceitam, armazenam e processam os dados do sensor recebidos dos gateways
IoT. Muitas soluções IoT são integradas com serviços em nuvem. Com um conjunto abrangente de serviços e
soluções integrados, a nuvem IoT fornece os insights e perspectivas necessários para os clientes. Ele fornece painéis
para monitorar, analisar e implementar decisões proativas.
ÿ Pessoas
ÿ Negócios
ÿ Colaborações
ÿ Tomada de decisão com base nas informações derivadas de políticas e procedimentos de IoT
Informática.
Módulo 09 Página 700 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Inscrição
Provedor de serviço
ÿ HTTP ÿ CoAP
ÿ TLS ÿ ÿ DTLS
Lâmpada do Rede sem fio Interruptor de luz do
TCP ÿ IP ÿ UDP ÿ
fabricante A fabricante B
ÿ Bluetooth ÿ IP
Dispositivo com
Onda Z ÿ Dispositivo com
Temperatura
Zigbee Monóxido de carbono
Sensor
Sensor
03 Modelo de dispositivo para gateway 04 Nuvem para nuvem (modelo de compartilhamento de dados de back-end)
A tecnologia IoT utiliza vários modelos técnicos de comunicação, cada um com suas características.
Esses modelos destacam a flexibilidade com que os dispositivos IoT podem se comunicar entre si ou com o cliente.
Discutidos abaixo estão quatro modelos de comunicação e as principais características associadas a cada modelo:
Nesse tipo de comunicação, dispositivos interconectados interagem entre si por meio da Internet, mas utilizam
predominantemente protocolos como ZigBee, Z-Wave ou Bluetooth. A comunicação dispositivo a dispositivo é
mais comumente usada em dispositivos domésticos inteligentes, como termostatos, lâmpadas, fechaduras,
câmeras CCTV e geladeiras, que transferem pequenos pacotes de dados entre si a uma taxa de dados baixa.
Este modelo também é popular na comunicação entre dispositivos vestíveis. Por exemplo, um dispositivo de
ECG/EKG conectado ao corpo de um paciente será emparelhado com seu smartphone e enviará notificações
durante uma emergência.
Módulo 09 Página 701 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Nesse tipo de comunicação, os dispositivos se comunicam diretamente com a nuvem, ao invés de se comunicar
diretamente com o cliente para enviar ou receber dados ou comandos. Ele usa protocolos de comunicação
como Wi-Fi ou Ethernet e, às vezes, também usa celular.
Um exemplo de comunicação de dispositivo para nuvem baseada em Wi-Fi é uma câmera CCTV que pode ser
acessada em um smartphone a partir de um local remoto. Nesse cenário, o dispositivo (aqui, a câmera CCTV)
não pode se comunicar diretamente com o cliente; em vez disso, ele primeiro envia dados para a nuvem e, em
seguida, se o cliente inserir as credenciais corretas, ele poderá acessar a nuvem, que por sua vez permite que
ele acesse o dispositivo em sua casa.
Se o gateway da camada de aplicativo for um smartphone, ele poderá assumir a forma de um aplicativo que
interage com o dispositivo IoT e com a nuvem. Este dispositivo pode ser uma smart TV que se conecta ao
serviço de nuvem por meio de um aplicativo de celular.
Módulo 09 Página 702 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 09 Página 703 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Internet
A análise em tempo real envolve a análise de coisas da IoT e a adoção de medidas adequadas
A segurança multicamada envolve a prevenção de acesso não autorizado a coisas IoT usando
autenticação multifator (MFA), Transport Layer Security (TLS), gerenciamento de identidade de
dispositivo, etc.
A coleta de dados envolve a troca de dados entre organizações habilitadas para IoT usando diferentes
protocolos de comunicação
A comunicação entre vários dispositivos envolve a configuração de vários dispositivos para acessar
as coisas da IoT, mesmo remotamente, a qualquer momento e de qualquer lugar
Um ambiente de TI habilitado para IoT típico compreende dispositivos/coisas que usam um gateway para
comunicação em uma rede para acessar os servidores back-end de uma organização que executam uma plataforma
de nuvem IoT. Esta plataforma IoT permite integrar a informação IoT na organização.
Módulo 09 Página 704 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Camada de coisas/dispositivos
A camada coisas/dispositivos inclui smartphones, dispositivos vestíveis, máquinas autônomas e tags (RFID, NFC, códigos
QR) que podem coletar dados usando seus sensores incorporados, que podem rastrear os principais parâmetros
relacionados ao ambiente físico. Alguns exemplos desses parâmetros são qualidade do ar, umidade, luz e pressão. Para
transferir essas solicitações de dados/comando e controle de telemetria de dispositivos IoT por meio de um gateway para
a nuvem, são usados protocolos baseados em padrões de rede com e sem fio.
Além disso, os dados de comando e controle são transferidos da nuvem através do gateway para os dispositivos. Esses
dispositivos podem controlar o estado de outro dispositivo. Por exemplo, eles podem desligar dispositivos defeituosos ou
disparar um alarme sobre eles. Assim, esses dispositivos IoT permitem o controle remoto.
ÿ Gateway/Camada de controle
Uma camada de controle típica facilita a comunicação eficiente através de uma rede de área pessoal (PAN), uma rede de
área local (LAN), Bluetooth, Zigbee, Message Queuing Telemetry Transport (MQTT)/TCP, etc., e microcomputação (micro-
multi core salgadinhos).
o Armazenamento de dados
Módulo 09 Página 705 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma camada de nuvem típica compreende software como serviço (SaaS), análise de dados de negócios, controles de
acesso do usuário, servidores Web remotos etc. e sistemas operacionais (SOs) abertos/pequenos, como o Linux.
Na figura, a camada de coisas/dispositivos IoT se comunica com um gateway de nuvem. Aqui, o gateway autentica e autoriza os
dispositivos a participar do fluxo de trabalho e, assim, garante uma comunicação segura entre os dispositivos e o centro de comando
centralizado.
Além disso, o gateway pode lidar com diferentes protocolos e formatos de dados. Os dispositivos e gateways locais com diferentes
protocolos (SOAP, REST, AMQP, etc.) se registram no gateway de nuvem. Aqui, sem considerar o protocolo de entrada, o gateway
de nuvem pode fornecer uma visão da camada do dispositivo para os componentes IoT restantes.
Os seguintes recursos das plataformas IoT ajudam um ambiente de TI a atingir seus objetivos rapidamente:
ÿ O monitoramento em tempo real envolve o monitoramento de ativos de IoT, processamento de produtos, manutenção de um
fluxo, ajudando a detectar problemas e tomando ações imediatamente.
ÿ A análise em tempo real envolve analisar as coisas da IoT e tomar as medidas necessárias. Por exemplo, ele fornece
gráficos e análises de streaming em tempo real, permitindo que a empresa tenha uma visão geral de seu desempenho e
produção.
ÿ A segurança multicamada envolve a prevenção de acesso não autorizado a coisas IoT usando autenticação multifator (MFA),
Transport Layer Security (TLS), gerenciamento de identidade de dispositivo, etc.
ÿ A coleta de dados envolve a troca de dados entre organizações habilitadas para IoT usando diferentes protocolos de
comunicação. Esses protocolos devem ser leves e fornecer funcionalidade de baixa largura de banda de rede.
ÿ A comunicação entre vários dispositivos envolve a configuração de vários dispositivos para acessar as coisas da IoT, mesmo
remotamente, a qualquer momento e de qualquer lugar.
Módulo 09 Página 706 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a IoT Discutir o
Dispositivos, Aplicativo segurança em
habilitado para IoT
Áreas, e
Comunicação ambientes
modelos
Módulo 09 Página 707 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Como os dispositivos IoT são muito diferentes uns dos outros, a segurança dos dispositivos depende de seu tipo
e modelo. Com foco inexistente ou inadequado na segurança de dispositivos IoT pelos fabricantes, as medidas
de segurança usadas para dispositivos IoT geralmente ficam aquém. Portanto, uma organização deve se
concentrar em proteger dispositivos IoT e combater cenários de ataque em ambientes habilitados para IoT.
Uma organização pode proteger dispositivos IoT alterando as senhas padrão, desativando recursos não utilizados,
atualizando firmware e aplicativos e usando um aplicativo legítimo desenvolvido por um fornecedor confiável no
caso de dispositivos IoT que dependem de aplicativos de terceiros.
Um adversário usa um dispositivo IoT comprometido como ponto de entrada para uma rede e executa um ataque
de movimento lateral. Por exemplo, uma impressora inteligente comprometida pode infectar outros sistemas e
dispositivos conectados à mesma rede. Um roteador comprometido pode espalhar malware para todos os
dispositivos IoT conectados a ele. Portanto, as organizações devem se concentrar em proteger dispositivos de
rede e roteadores em um ambiente habilitado para IoT.
Para proteger uma rede e roteador IoT, o usuário deve mapear e monitorar todos os dispositivos, aplicar
segmentação de rede, garantir uma arquitetura de rede segura, usar roteadores com firewalls embutidos e
desabilitar serviços desnecessários, como Universal Plug and Play (UPnP). Isso ajuda a impedir que o invasor
acesse outras partes da rede e execute ataques direcionados.
Uma organização deve usar gerenciamento em várias camadas. Para proteger todos os diferentes dispositivos
IoT, é necessário um plano de segurança multicamada abrangente e manutenção constante. A organização deve
aplicar soluções de segurança que protegem os dispositivos IoT e detectam malware no nível do endpoint.
Também deve usar software de segurança que verifique o tráfego de rede entre roteadores e dispositivos
conectados para proteger os dispositivos IoT. Além disso, deve
Módulo 09 Página 708 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
utilize dispositivos de rede para monitorar todas as portas e protocolos de rede para detectar ameaças
avançadas e proteger os dispositivos IoT contra ataques direcionados. A colaboração e a sincronização em
toda a empresa são necessárias para proteger um ambiente habilitado para IoT.
Módulo 09 Página 709 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Garantir a transmissão segura de dados ÿ Fornecer controle sobre os usuários ÿ Para lidar com brechas de segurança em
para facilitar a interação fina que têm acesso a um sistema IoT. estágios iniciais e prevenir ataques
entre dispositivos e garantir o bom O gerenciamento de usuários mal-intencionados em uma IoT
funcionamento dos dispositivos em um inclui identificar usuários, definir sistema, executar as atividades
sistema IoT funções de usuário e níveis de como registrar e analisar comandos
acesso, controlar acesso, etc. enviados por aplicativos de controle
para as coisas, monitorar e armazenar
todas as ações dos usuários, identificar
os padrões de comportamento malicioso,
etc.
ÿ Gerenciamento de dispositivos
Garanta a transmissão segura de dados para facilitar a interação fina entre os dispositivos e garantir o funcionamento
o Identifique a identidade dos dispositivos para garantir um dispositivo confiável com software genuíno transmitindo
dados confiáveis.
ÿ Gestão de utilizadores
Forneça controle sobre os usuários que têm acesso a um sistema IoT. O gerenciamento de usuários inclui o seguinte:
o Identificar usuários.
Módulo 09 Página 710 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Permitir permissões para executar determinadas operações em um sistema IoT (por exemplo, controlar e
registrar atividades do usuário).
ÿ Vigilância de segurança
Para lidar com violações de segurança nos estágios iniciais e evitar ataques mal-intencionados em um sistema
IoT, o seguinte deve ser realizado:
Módulo 09 Página 711 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processos, Práticas e
Formulários
Do utilizador Dispositivos) Porta de entrada Conexão Nuvem (CRM, ERP, SCM, PLM) Políticas
Plataforma
Análise
Camada de dispositivo seguro Comunicação segura Camada de nuvem segura Processo seguro
Camada Camada
Vários dispositivos IoT estão conectados à rede e eventualmente à nuvem, o que causa vulnerabilidade a muitos vetores de
ameaças. Para desenvolver soluções de IoT de ponta a ponta (E2E), as camadas de dispositivo, comunicação, nuvem e
processo devem ser protegidas. Para esse fim, os seguintes princípios de segurança de IoT em pilha devem ser implementados.
ÿ Necessidade de inteligência do dispositivo para lidar com tarefas de segurança complexas: a maioria dos
dispositivos IoT se comunica com serviços, nuvem, servidores, etc., por meio da Internet ou Wi-Fi. Como esses
dispositivos são alimentados por microprocessadores, eles são incapazes de lidar com a complexidade da
conectividade com a Internet e não devem ser utilizados para tarefas de linha de frente em aplicativos de IoT.
Dispositivos inteligentes são seguros e robustos. Eles têm recursos de segurança incorporados e podem lidar com
segurança, criptografia, autenticação, etc. Portanto, os dispositivos inteligentes devem ser usados para tarefas de
linha de frente em aplicativos de IoT.
Módulo 09 Página 712 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Iniciar uma conexão com a nuvem, mas não da nuvem: Em vez de conectar os dispositivos IoT com a
Internet, eles devem estar conectados à nuvem. Conexões de entrada devem ser proibidas. A conexão
com a nuvem estabelece um canal bidirecional, através do qual o usuário pode controlar o dispositivo IoT
remotamente.
ÿ Segurança inerente de uma mensagem: todas as comunicações com dispositivos IoT devem ser tratadas
com cuidado. O usuário deve impor protocolos leves baseados em mensagens para dispositivos IoT que
consistem em opções para criptografia dupla, filtragem, enfileiramento, etc. Com a rotulagem adequada,
as mensagens serão tratadas com segurança. Por exemplo, a criptografia dupla protege os dados do
cliente quando os dados passam pelo comutador de mensagens.
ÿ Segurança de controle remoto e atualizações: O controle remoto de um dispositivo IoT permite ao usuário
realizar diagnósticos remotos do dispositivo, definir novas configurações, recuperar arquivos, etc. o
dispositivo não é permitido; no entanto, o dispositivo deve estabelecer uma conexão bidirecional segura
com a nuvem e utilizar um comutador de mensagens como canal de comunicação.
Módulo 09 Página 713 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
IoT
Estrutura
Segurança
Considerações
Para projetar dispositivos IoT seguros e protegidos, as questões de segurança devem ser devidamente consideradas.
Uma das considerações mais importantes é o desenvolvimento de uma estrutura IoT segura para construir o
dispositivo. Idealmente, uma estrutura deve ser projetada de forma a fornecer segurança padrão, para que os
desenvolvedores não tenham que considerá-la posteriormente.
Os critérios de avaliação de segurança para a estrutura IoT são divididos em quatro partes. Cada parte tem suas
próprias preocupações relacionadas à segurança que são discutidas nos critérios de avaliação de cada parte.
Os critérios de avaliação de segurança para os dispositivos IoT são discutidos abaixo:
ÿ Borda
A borda é o principal dispositivo físico no ecossistema IoT que interage com seu entorno e contém vários
componentes como sensores, atuadores, sistemas operacionais, hardware e rede e recursos de
comunicação. É heterogêneo e pode ser implantado em qualquer lugar e em qualquer condição. Portanto,
uma estrutura ideal para um edge seria tal que fornecesse componentes multiplataforma para que pudesse
ser implantado e funcionar em qualquer condição física possível.
Outras considerações de estrutura para uma borda seriam comunicações adequadas e criptografia de
armazenamento, sem credenciais padrão, senhas fortes, uso dos componentes atualizados mais recentes,
etc.
ÿ Portal
O gateway atua como o primeiro passo para uma vantagem no mundo da Internet, pois conecta dispositivos
inteligentes a componentes de nuvem. É referido como um agregador de comunicação que permite a
comunicação com uma rede local segura e confiável, bem como
Módulo 09 Página 714 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
como uma conexão segura com uma rede pública não confiável. Ele também fornece uma camada de
segurança para todos os dispositivos conectados a ele. O gateway serve como um ponto de agregação para a
borda; portanto, tem um papel de segurança crucial no ecossistema.
Uma estrutura ideal para o gateway deve incorporar técnicas de criptografia fortes para comunicações seguras
entre terminais. Além disso, o mecanismo de autenticação para os componentes de borda deve ser tão forte
quanto qualquer outro componente da estrutura. Sempre que possível, o gateway deve ser projetado de forma
que seja autenticado multidirecionalmente para realizar uma comunicação confiável entre a borda e a nuvem.
Atualizações automáticas também devem ser fornecidas ao dispositivo para combater vulnerabilidades.
ÿ Plataforma Cloud
Uma estrutura segura para o componente de nuvem deve incluir comunicações criptografadas, credenciais de
autenticação fortes, uma interface web segura, armazenamento criptografado, atualizações automáticas, etc.
ÿ Móvel
Em um ecossistema IoT, a interface móvel desempenha um papel importante, principalmente onde os dados
precisam ser coletados e gerenciados. Usando interfaces móveis, os usuários podem acessar e interagir com
o edge em sua casa ou local de trabalho a quilômetros de distância. Alguns aplicativos móveis fornecem aos
usuários apenas dados limitados de dispositivos de borda específicos, enquanto outros permitem a manipulação
completa dos componentes de borda. A devida atenção deve ser dada à interface móvel, pois eles são
propensos a vários ataques cibernéticos.
Uma estrutura ideal para a interface móvel deve incluir um mecanismo de autenticação adequado para o
usuário, um mecanismo de bloqueio de conta após um determinado número de tentativas malsucedidas,
segurança de armazenamento local, canais de comunicação criptografados e segurança dos dados transmitidos
pelo canal.
Módulo 09 Página 715 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O gerenciamento de dispositivos IoT ajuda no suporte a soluções IoT usando quaisquer ferramentas e
processos de software e ajuda na integração de dispositivos mais recentes com segurança e rapidez
ÿ Predix
https:// www.ge.com
O gerenciamento de dispositivos IoT ajuda os profissionais de segurança a rastrear, monitorar e gerenciar dispositivos IoT físicos a
partir de um local remoto. Os profissionais de segurança podem usar soluções como Azure IoT Central, Oracle IoT Asset Monitoring
Cloud e Predix para realizar o gerenciamento de dispositivos IoT.
Essas soluções permitem que os profissionais de segurança atualizem o firmware remotamente. Além disso, o gerenciamento de
dispositivos IoT ajuda a fornecer permissões e aprimorar os recursos de segurança para garantir a proteção contra várias vulnerabilidades.
O gerenciamento de dispositivos IoT pode ser muito útil na prevenção de ataques de IoT, pois pode fornecer:
ÿ Autenticação adequada, pois apenas dispositivos confiáveis e seguros com credenciais adequadas são
matriculado
ÿ Configuração precisa, dispositivos de controle para garantir a funcionalidade adequada e desempenho aprimorado. Ele também
pode redefinir as configurações de fábrica durante a desativação do dispositivo.
ÿ Monitoramento adequado para detectar falhas e diagnosticar problemas operacionais e bugs de software
através de logs de programa
Módulo 09 Página 716 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As soluções de gerenciamento de dispositivos IoT são usadas por profissionais de segurança, administradores de TI ou
administradores de IoT para integração, organização, monitoramento e gerenciamento de dispositivos IoT. Discutidos
abaixo estão algumas soluções de gerenciamento de dispositivos IoT:
O Azure IoT Central é uma plataforma de software como serviço (SaaS) hospedada e extensível que simplifica a
configuração de soluções de IoT. Ele ajuda a conectar, monitorar e gerenciar facilmente ativos de IoT em escala.
O Azure IoT Central pode simplificar a configuração inicial de uma solução de IoT e pode reduzir a carga de
gerenciamento, os custos operacionais e as despesas gerais de um projeto típico de IoT.
Listadas abaixo estão algumas das soluções adicionais para gerenciamento de dispositivos IoT:
Módulo 09 Página 717 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3 4
Desative as contas de Use o recurso Implemente Localize redes e
usuário “convidado” e "Bloquear" para mecanismos de dispositivos do sistema de controle
“demo” se habilitadas bloquear contas para autenticação fortes atrás de firewalls e isolá-
tentativas de login inválidas excessivas los do
Rede de negócios
5 6 7 8
Implementar IPS e Implementar criptografia Usar arquitetura VPN Implante a segurança
IDS na rede de ponta a ponta e usar para seguro como um sistema
Chave pública comunicação unificado e integrado
Infraestrutura (PKI)
ÿ Use o recurso “Bloquear” para bloquear contas para tentativas de login inválidas excessivas
ÿ Monitore o tráfego na porta 48101, pois os dispositivos infectados tentam espalhar o arquivo malicioso
usando a porta 48101
ÿ A posição dos nós móveis deve ser verificada com o objetivo de referir um nó físico com uma identidade de veículo
apenas, o que significa que um veículo não pode ter duas ou mais identidades
Módulo 09 Página 718 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A privacidade de dados deve ser implementada; portanto, a conta ou identidade do usuário deve ser
mantidos protegidos e escondidos de outros usuários
ÿ A autenticação dos dados deve ser realizada para confirmar a identidade da fonte original
nó
ÿ Implemente uma política de senha forte que exija uma senha de pelo menos 8 a 10 caracteres
com uma combinação de letras, números e caracteres especiais
ÿ Use CAPTCHA e métodos de política de bloqueio de conta para evitar ataques de força bruta
Módulo 09 Página 719 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Bevywise IoT Bevywise IoT Simulator é uma ferramenta de simulação inteligível para simular
Simulador dezenas de milhares de clientes MQTT em uma única caixa
SeaCat.io
https:// teskalabs.com
FortiNAC
https:// www.fortinet.com
Darktrace
https:// www.darktrace.com
https:// www.bevywise.com
A IoT não é a única gama de dispositivos conectados à Internet, mas também é uma tecnologia muito complexa e
em rápido crescimento. Para entender e analisar vários fatores de risco, soluções de segurança adequadas devem
ser incorporadas para proteger os dispositivos IoT. O uso de ferramentas de segurança IoT ajuda as organizações a
limitar significativamente as vulnerabilidades de segurança, protegendo assim os dispositivos e redes IoT de
diferentes tipos de ataques.
Bevywise IoT Simulator é uma ferramenta de simulação inteligível para simular dezenas de milhares de
clientes MQTT em uma única caixa. Ele pode ser usado para desenvolver, testar e demonstrar servidores e
gerenciadores de IoT. O IoT Simulator pode ser configurado para enviar mensagens em tempo real dentro
de um intervalo ou a partir de um conjunto aleatório de valores com base na hora e no cliente. Além disso,
ele pode simular mensagens dinâmicas em dois formatos de mensagem, ou seja, TXT e JSON, como
dispositivos IoT do mundo real. Para variar de forma flexível os dados publicados em cada sequência e para
sincronizar os dados com o dispositivo real, o IoT Simulator suporta quatro tipos de valores dinâmicos a
serem enviados como parte das mensagens: registro de data e hora da variável do sistema e identificador
do cliente, aleatório, intervalo, linear , e constante. Os eventos IoT podem ser configurados com um conjunto
de dados predefinido carregando um arquivo CSV.
Módulo 09 Página 720 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Listadas abaixo estão algumas das ferramentas e soluções adicionais de segurança IoT:
Módulo 09 Página 721 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu os conceitos de IoT e por que as organizações optam por
1
ambientes habilitados para IoT
Finalmente, este módulo terminou com uma discussão detalhada sobre as melhores
6
práticas e ferramentas para segurança IoT
Resumo do Módulo
Este módulo discutiu os conceitos de IoT e por que as organizações optam por ambientes habilitados para IoT.
Ele discutiu áreas de aplicação IoT, dispositivos IoT, arquiteturas IoT e modelos de comunicação IoT.
Além disso, este módulo discutiu a segurança em ambientes habilitados para IoT e os princípios de segurança
de IoT empilhados. Ele também discutiu brevemente as considerações de segurança da estrutura IoT e do
gerenciamento de dispositivos IoT. Finalmente, este módulo apresentou uma discussão detalhada sobre as
melhores práticas e ferramentas para segurança IoT.
Módulo 09 Página 722 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 10
Criptografia e PKI
Machine Translated by Google
Objetivos do módulo
1 Noções básicas sobre técnicas criptográficas
Objetivos do módulo
Com a crescente adoção da Internet (World Wide Web) para comunicação empresarial e pessoal, proteger
informações confidenciais, como detalhes de cartão de crédito, PINs, números de contas bancárias e mensagens
privadas, está se tornando cada vez mais importante, embora mais difícil de conseguir. As organizações baseadas
em informações de hoje usam extensivamente a Internet para comércio eletrônico, pesquisa de mercado, suporte
ao cliente e uma variedade de outras atividades. A segurança dos dados é fundamental para os negócios online e
a privacidade das comunicações.
Módulo 10 Página 724 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 10 Página 725 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia
ÿ Criptografia é a conversão de dados em um código embaralhado que é criptografado e enviado através de um
rede privada ou pública
ÿ A criptografia é usada para proteger dados confidenciais, como mensagens de e-mail, sessões de bate-papo,
transações, dados pessoais, dados corporativos e aplicativos de comércio eletrônico
Objetivos da Criptografia
ÿ Confidencialidade ÿ Autenticação
Criptografia Descriptografia
Criptografia
“Criptografia” vem das palavras gregas kryptos, que significa “oculto, oculto, velado, secreto ou misterioso” e
graphia, que significa “escrita”; assim, a criptografia é “a arte da escrita secreta”.
Criptografia é a prática de ocultar informações convertendo texto simples (formato legível) em texto cifrado (formato
ilegível) usando uma chave ou esquema de criptografia. É o processo de conversão de dados em um código
codificado que é criptografado e enviado por uma rede privada ou pública. A criptografia protege dados
confidenciais, como mensagens de e-mail, sessões de bate-papo, transações na web, dados pessoais, dados
corporativos, aplicativos de comércio eletrônico e muitos outros tipos de comunicação. As mensagens criptografadas
podem, às vezes, ser descriptografadas por criptoanálise (quebra de código), embora as técnicas modernas de
criptografia sejam virtualmente inquebráveis.
Objetivos da Criptografia
ÿ Não repúdio: Garantia de que o remetente de uma mensagem não pode negar posteriormente ter enviado
a mensagem e que o destinatário não pode negar ter recebido a mensagem.
Módulo 10 Página 726 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processo de Criptografia
O texto simples (formato legível) é criptografado por meio de algoritmos de criptografia como RSA, DES e
AES, resultando em um texto cifrado (formato ilegível) que, ao chegar ao destino, é descriptografado em
texto simples legível.
Módulo 10 Página 727 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia
ÿ Criptografia é uma forma de proteger a informação , transformando-a de tal
forma que a forma transformada resultante seja ilegível para uma parte não
autorizada
ÿ Criptografia Simétrica
Cabeçalho
Criptografia
FEK criptografado
Criptografia
O algoritmo de criptografia criptografa o texto simples com a ajuda de uma chave de criptografia. O
processo de criptografia cria um texto cifrado que precisa ser descriptografado com a ajuda de uma
chave. O processo de descriptografia envolve as mesmas etapas, exceto pelo uso de chaves na ordem inversa.
Módulo 10 Página 728 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O processo de criptografia geralmente é aplicado durante a transmissão de dados por meio de uma rede,
telefones celulares, transmissão sem fio e em dispositivos Bluetooth.
Tipos de Criptografia
ÿ Criptografia Simétrica
ÿ Criptografia assimétrica
Módulo 10 Página 729 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia Simétrica
ÿ Criptografia simétrica é a técnica criptográfica mais antiga usada para criptografar dados digitais para
garantir a confidencialidade dos dados
ÿ É chamada de criptografia simétrica, pois uma única chave é usada para criptografar e descriptografar os dados
Remetente Receptor
Criptografia Simétrica
A criptografia simétrica requer que tanto o remetente quanto o destinatário da mensagem possuam a mesma
chave de criptografia. O remetente usa uma chave para criptografar o texto simples e envia o texto cifrado
resultante para o destinatário, que usa a mesma chave para descriptografar o texto cifrado em texto simples.
A criptografia simétrica também é conhecida como criptografia de chave secreta, pois usa apenas uma chave
secreta para criptografar e descriptografar os dados. Esse tipo de criptografia funciona bem quando se está
se comunicando com apenas algumas pessoas.
Como o remetente e o destinatário devem compartilhar a chave antes de enviar qualquer mensagem, essa
técnica é de uso limitado na Internet no caso em que indivíduos que não tiveram contato prévio frequentemente
precisam de um meio seguro de comunicação. A solução para este problema é a criptografia de chave pública.
A criptografia de chave simétrica pode usar cifras de fluxo ou cifras de bloco. As cifras de fluxo criptografam
os bits de uma mensagem um por vez, enquanto as cifras de bloco criptografam blocos de bits.
Módulo 10 Página 730 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens:
ÿ
É fácil criptografar e descriptografar uma mensagem
ÿ
É mais rápido que a criptografia assimétrica
ÿ
É usado para criptografar grandes quantidades de dados
Desvantagens:
ÿ O acesso não autorizado a uma chave simétrica leva ao comprometimento dos dados em ambas as extremidades
Módulo 10 Página 731 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia assimétrica
ÿ Ao contrário da criptografia simétrica, a criptografia assimétrica usa duas chaves separadas para
criptografia e descriptografia; uma chave, chamada chave pública, é usada para criptografar mensagens, enquanto a
segunda chave, chamada chave privada, é usada para descriptografar mensagens
ÿ Também é chamada de criptografia de chave pública e é usada para criptografar pequenas quantidades de dados
Remetente Receptor
Criptografia assimétrica
A criptografia assimétrica foi introduzida para resolver problemas de gerenciamento de chaves. A criptografia
assimétrica envolve uma chave pública e uma chave privada. A chave pública está disponível publicamente, enquanto
o remetente mantém a chave privada em segredo. Também é chamada de criptografia de chave pública e é usada
para criptografar pequenas quantidades de dados.
2. Essa chave pública é usada para criptografar uma mensagem enviada ao destinatário pretendido.
Ninguém, exceto o detentor da chave privada, pode descriptografar uma mensagem composta com a chave pública
correspondente. Isso aumenta a segurança das informações porque todas as comunicações envolvem apenas chaves
públicas; o remetente da mensagem nunca transmite ou compartilha as chaves privadas. O remetente deve vincular
as chaves públicas aos nomes de usuário em um método seguro para garantir que indivíduos não autorizados,
alegando ser o destinatário pretendido, não interceptem as informações. Para atender ao requisito de autenticação,
pode-se usar assinaturas digitais.
Módulo 10 Página 732 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens:
ÿ
É mais seguro do que a criptografia simétrica.
Desvantagens:
ÿ
Leva um tempo de processamento mais longo do que a criptografia simétrica, pois envolve várias
combinações de chaves secretas e chaves públicas.
ÿ Vários algoritmos complexos envolvidos no processo de criptografia assimétrica também aumentam o tempo
necessário para implementá-lo.
Módulo 10 Página 733 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Chave criptográfica
Government Access to Keys (GAK) refere-se à obrigação estatutária de indivíduos e organizações de divulgar
suas chaves criptográficas a agências governamentais. Isso significa que as empresas de software fornecerão
cópias de todas as chaves (ou pelo menos o suficiente da chave para que o restante possa ser quebrado) ao
governo. Agências de aplicação da lei em todo o mundo adquirem e usam essas chaves criptográficas para
monitorar comunicações suspeitas e coletar evidências de crimes cibernéticos no interesse da segurança
nacional. O governo promete que manterá as chaves de maneira segura e só as usará quando um tribunal
emitir um mandado para fazê-lo. Para o governo, essa questão é semelhante à capacidade de grampear
telefones.
As agências governamentais costumam usar o depósito de chaves para acesso ininterrupto às chaves. O
depósito de chaves é um acordo de troca de chaves no qual as chaves criptográficas essenciais são
armazenadas com um terceiro em depósito. O terceiro pode usar ou permitir que outros usem as chaves de
criptografia sob certas circunstâncias predefinidas. O terceiro, no que diz respeito ao GAK, geralmente é uma
agência governamental que pode usar as chaves de criptografia para decifrar evidências digitais sob
autorização ou mandado de um tribunal. No entanto, há uma preocupação crescente com a privacidade e a
segurança das chaves e informações criptográficas. As agências governamentais são responsáveis por
proteger essas chaves. Essas agências geralmente usam uma única chave para proteger outras chaves, o que
não é uma boa ideia, pois revelar uma única chave pode expor as outras chaves.
Essas agências não estão cientes de quão confidenciais são as informações protegidas pelas chaves, o que
torna difícil julgar quanta proteção é necessária. Nos casos em que as chaves apreendidas também protegem
outras informações às quais essas agências não têm direito de acesso, as consequências da revelação da
chave não podem ser determinadas, porque as agências governamentais não têm conhecimento das
informações que as chaves protegem. Nesses casos, o proprietário da chave é responsável pelas consequências
da revelação da chave. Antes que os proprietários entreguem suas chaves às agências governamentais, eles precisam ser
Módulo 10 Página 734 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
assegurado de que as agências governamentais protegerão essas chaves de acordo com um padrão
suficientemente forte para proteger seus interesses.
Módulo 10 Página 735 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 10 Página 736 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
cifras
Tipos de cifras
Criptografa blocos de
cifra de transposição Chave pública dados de tamanho fixo
cifras
Na criptografia, uma cifra é um algoritmo (uma série de etapas bem definidas) para executar criptografia
e descriptografia. Codificação é o processo de conversão de texto sem formatação em uma cifra ou
código; o processo inverso é chamado de decifração. Uma mensagem criptografada usando uma cifra
torna-se ilegível, a menos que seu destinatário conheça a chave secreta necessária para descriptografá-la.
As tecnologias de comunicação (por exemplo, Internet, telefones celulares) dependem de cifras para manter
a segurança e a privacidade. Os algoritmos de cifra podem ser de código aberto (o processo algorítmico é
de domínio público enquanto a chave é selecionada por um usuário e é privada) ou de código fechado (o
processo é desenvolvido para uso em domínios específicos, como o militar e o algoritmo em si não é de
domínio público). Além disso, as cifras podem ser gratuitas para uso público ou licenciadas.
Módulo 10 Página 737 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de cifras
ÿ Cifras Clássicas
Cifras clássicas são o tipo mais básico de cifras, que operam em letras do alfabeto (A-Z). Essas cifras
são geralmente implementadas manualmente ou com dispositivos mecânicos simples. Como essas cifras
são facilmente decifradas, geralmente não são confiáveis.
o Cifra de substituição: O usuário substitui unidades de texto claro por texto cifrado de acordo com um
sistema regular. As unidades podem ser letras isoladas, pares de letras ou combinações delas, e
assim por diante. O destinatário realiza a substituição inversa para decifrar o texto.
Exemplos incluem a cifra de Beale, a cifra de chave automática, a cifra de Gronsfeld e a cifra de Hill.
Por exemplo, “HELLO WORLD” pode ser criptografado como “PSTER HGFST” (isto é, H=P, E=S,
etc.).
o Cifra de transposição: Aqui, as letras do texto simples são reorganizadas de acordo com um sistema
regular para produzir o texto cifrado. Por exemplo, “CRYPTOGRAPHY” quando criptografado torna
-se “AOYCRGPTYRHP”. Exemplos incluem a cifra de cerca ferroviária, cifra de rota e transposição
de Myszkowski.
ÿ Cifras Modernas
As cifras modernas são projetadas para resistir a uma ampla gama de ataques. Eles fornecem sigilo de
mensagem, integridade e autenticação do remetente. Um usuário pode calcular uma cifra moderna
usando uma função matemática unidirecional capaz de fatorar grandes números primos.
Módulo 10 Página 738 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
• Algoritmos de chave simétrica (criptografia de chave privada): Use a mesma chave para
criptografia e descriptografia.
• Algoritmos de chave assimétrica (criptografia de chave pública): Use duas chaves diferentes
para criptografia e descriptografia.
• Block cipher: Algoritmos determinísticos operando em um bloco (um grupo de bits) de tamanho fixo
com uma transformação invariável especificada por uma chave simétrica. A maioria das cifras
modernas são cifras de bloco. Eles são amplamente usados para criptografar dados em massa.
Os exemplos incluem DES, AES, IDEA, etc. Quando o tamanho do bloco é menor que o usado
pela cifra, o preenchimento é empregado para atingir um tamanho de bloco fixo.
• Cifra de fluxo: cifras de chave simétrica são dígitos de texto simples combinados com um fluxo de
chave (fluxo de dígitos de cifra pseudo-aleatória). Aqui, o usuário aplica a chave a cada bit, um de
cada vez. Exemplos incluem RC4, SEAL, etc.
Módulo 10 Página 739 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia de dados
Padrão (DES)
DES é projetado para cifrar e decifrar blocos de dados que consistem em 64 bits sob o controle de uma chave de 56 bits
DES é a cifra de bloco arquetípica - um algoritmo que pega uma string de tamanho fixo de bits de texto simples e a transforma
em uma string de bits de texto cifrado do mesmo tamanho
Devido à fraqueza inerente do DES com as tecnologias atuais, algumas organizações repetem o processo três vezes
(3DES) para maior resistência até que eles possam atualizar seus equipamentos para recursos AES
DES é um padrão para criptografia de dados que usa uma chave secreta para criptografar e descriptografar
(sistema criptográfico simétrico). O DES usa uma chave secreta de 64 bits, dos quais 56 bits são gerados
aleatoriamente e os outros 8 bits são usados para detecção de erros. Ele usa um algoritmo de criptografia de
dados (DEA), uma cifra de bloco de chave secreta que emprega uma chave de 56 bits operando em blocos de
64 bits. DES é a cifra de bloco arquetípica - um algoritmo que pega uma string de tamanho fixo de bits de texto
simples e a transforma em uma string de bits de texto cifrado do mesmo tamanho. O design do DES permite aos
usuários implementá-lo em hardware e usá-lo para criptografia de usuário único, como armazenar arquivos em
um disco rígido em formato criptografado.
O DES fornece 72 quatrilhões ou mais chaves de criptografia possíveis e escolhe uma chave aleatória para a
criptografia de cada mensagem. Devido à fraqueza inerente do DES em relação às tecnologias de hoje, algumas
organizações usam DES triplo (3DES), no qual repetem o processo três vezes para aumentar a força até que
possam atualizar seus equipamentos para os recursos do AES.
Módulo 10 Página 740 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ AES é uma chave simétrica ÿ AES é uma cifra de bloco iterada ÿ Tem um tamanho de bloco de 128 bits
algoritmo usado pelas agências do que funciona repetindo a mesma com tamanhos de chave de 128, 192
governo dos EUA para proteger informações operação várias vezes e 256 bits para AES-128,
confidenciais, mas não classificadas AES-192 e AES-256,
material respectivamente
O padrão de criptografia avançada (AES) é uma especificação do Instituto Nacional de Padrões e Tecnologia (NIST)
para a criptografia de dados eletrônicos. Também ajuda a criptografar informações digitais, como dados de
telecomunicações, financeiros e governamentais. Agências do governo dos EUA têm usado para proteger material
sensível, mas não classificado.
Um AES consiste em um algoritmo de chave simétrica no qual a criptografia e a descriptografia são realizadas
usando a mesma chave. É uma cifra de bloco iterada que funciona repetindo as etapas definidas várias vezes. Ele
tem um tamanho de bloco de 128 bits, com tamanhos de chave de 128, 192 e 256 bits, respectivamente, para
AES-128, AES-192 e AES-256. O design do AES torna seu uso eficiente tanto em software quanto em hardware.
Funciona em várias camadas de rede simultaneamente.
Módulo 10 Página 741 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os algoritmos de criptografia simétrica desenvolvidos pela RSA Security são discutidos abaixo.
ÿ RC4
RC4 é uma cifra de fluxo de chave simétrica de tamanho de chave variável com operações orientadas a byte e é
baseada no uso de uma permutação aleatória. De acordo com algumas análises, é provável que o período da cifra
seja superior a 10.100. Cada byte de saída usa de 8 a 16 operações do sistema; assim, a cifra pode ser executada
rapidamente quando usada em software. O RC4 permite comunicações seguras, como para criptografia de tráfego
(que protege sites) e para sites que usam o protocolo SSL.
ÿ RC5
RC5 é uma cifra de bloco de chave simétrica rápida projetada por Ronald Rivest para RSA Data Security (agora RSA
Security). O algoritmo é um algoritmo parametrizado com um tamanho de bloco variável, um tamanho de chave
variável e um número variável de rodadas. Os tamanhos de bloco podem ser 32, 64 ou 128 bits. O intervalo das
rodadas pode variar de 0 a 255, e o tamanho da chave pode variar de 0 a 2.040 bits. Essa variabilidade integrada
pode oferecer flexibilidade em todos os níveis de segurança. As rotinas usadas no RC5 são expansão de chave,
criptografia e descriptografia.
Na rotina de expansão de chaves, a chave secreta que um usuário fornece é expandida para preencher a tabela de
chaves (cujo tamanho depende do número de rodadas). O RC5 usa uma tabela de chaves para criptografia e
descriptografia. A rotina de criptografia possui três operações fundamentais: adição de inteiros, XOR bit a bit e rotação
de variáveis. O uso intensivo de rotação dependente de dados e a combinação de diferentes operações tornam o RC5
um algoritmo de criptografia seguro.
Módulo 10 Página 742 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RC6
RC6 é uma cifra de bloco de chave simétrica derivada de RC5. É um algoritmo parametrizado com tamanho de bloco,
tamanho de chave e número de rodadas variáveis. Dois recursos que diferenciam o RC6 do RC5 são a multiplicação
inteira (que é usada para aumentar a difusão, alcançada em menos rodadas com maior velocidade da cifra) e o uso
de quatro registradores de trabalho de 4 bits em vez de dois registradores de 2 bits. O RC6 usa quatro registradores
de 4 bits em vez de dois registradores de 2 bits porque o tamanho do bloco do AES é de 128 bits.
Módulo 10 Página 743 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O algoritmo de assinatura digital (DSA) é um padrão de processamento de informações federais (FIPS) para
assinaturas digitais. O NIST propôs o DSA para utilizá-lo no padrão de assinatura digital (DSS), adotado como FIPS
186. O DSA auxilia na geração e verificação de assinaturas digitais em aplicações sensíveis e não classificadas. Ele
cria uma assinatura digital de 320 bits com segurança de 512–1024 bits.
Uma assinatura digital é um esquema matemático usado para autenticar mensagens digitais.
O cálculo de uma assinatura digital usa um conjunto de regras (ou seja, o DSA) e um conjunto de parâmetros, com
os quais um usuário pode verificar a identidade do signatário e a integridade dos dados.
ÿ Processo de geração de assinatura: Uma chave privada é usada para assinar a mensagem digital.
ÿ Processo de verificação de assinatura: Uma chave pública é usada para verificar se a assinatura digital
fornecida é genuína.
O DSA é um sistema criptográfico de chave pública, pois envolve o uso de chaves públicas e privadas.
Benefícios do DSA:
Módulo 10 Página 744 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ron Rivest, Adi Shamir e Leonard Adleman formularam o RSA, um sistema criptográfico de chave pública para criptografia
e autenticação na Internet. O RSA usa uma aritmética modular e uma teoria elementar dos números para realizar cálculos
usando dois grandes números primos. O sistema RSA é amplamente utilizado em uma variedade de produtos, plataformas
e setores e é um dos padrões de criptografia de fato. Empresas como Microsoft, Apple, Sun e Novell incorporam o algoritmo
RSA em seus sistemas operacionais. O RSA também pode ser encontrado em telefones protegidos por hardware, placas
de rede ethernet e cartões inteligentes.
A sequência a seguir é um exemplo de como a criptografia usa o algoritmo RSA em uma troca prática:
ÿ O remetente criptografa uma mensagem usando uma chave simétrica DES escolhida aleatoriamente. O DES é um
sistema de chave simétrica relativamente inseguro que usa criptografia de 64 bits (56 bits para comprimento de
chave, 8 bits para verificação de redundância cíclica) para criptografar dados.
ÿ O remetente então procura a chave pública do destinatário e a usa para criptografar a chave DES
utilizando o sistema RSA.
ÿ O remetente transmite um envelope digital RSA, consistindo em uma mensagem criptografada por DES
e uma chave DES criptografada com RSA para o destinatário.
ÿ O destinatário descriptografa a chave DES usando sua chave privada RSA e a usa para descriptografar a própria
mensagem.
Esse sistema combina a alta velocidade do DES com a conveniência do gerenciamento de chaves do sistema RSA.
Módulo 10 Página 745 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MD5 e MD6
ÿ O algoritmo MD5 recebe uma mensagem de comprimento arbitrário como entrada e, em seguida, gera uma impressão digital de 128 bits ou
resumo da mensagem da entrada
ÿ MD5 não é resistente a colisões; o uso dos algoritmos mais recentes, como MD6, SHA-2 e SHA-3, é recomendado ÿ O MD6 usa uma
estrutura tipo árvore Merkle para permitir imensa computação paralela de hashes para entradas muito longas.
É resistente a ataques de criptoanálise diferencial ÿ MD5 e
MD6 são implantados para aplicativos de assinatura digital, verificação de integridade de arquivo e armazenamento de senhas
Remetente
Receptor
http:// onlinemd5.com
Algoritmo MD5
MD5 e MD6
MD2, MD4, MD5 e MD6 são algoritmos de compilação de mensagens usados em aplicativos de assinatura digital
para compactar um documento com segurança antes que o sistema o assine com uma chave privada. Os algoritmos
podem ter comprimento variável, mas o resumo da mensagem resultante sempre tem um tamanho de 128 bits.
As estruturas de todos os três algoritmos (MD2, MD4 e MD5) parecem semelhantes, embora o projeto de MD2 seja
razoavelmente diferente do de MD4 e MD5. MD2 suporta máquinas de 8 bits, enquanto MD4 e MD5 suportam
máquinas de 32 bits. O algoritmo preenche a mensagem com bits extras para garantir que o número de bits seja
divisível por 512. Os bits extras podem incluir uma mensagem binária de 64 bits.
Os ataques às versões do MD4 tornaram-se cada vez mais bem-sucedidos. A pesquisa mostrou como um invasor
lança ataques de colisão na versão completa do MD4 em um minuto em um PC típico.
O MD5 é um pouco mais seguro, mas é mais lento que o MD4. No entanto, o tamanho do resumo da mensagem e os
requisitos de preenchimento permanecem os mesmos.
MD5 é uma função hash criptográfica amplamente usada que recebe uma mensagem de comprimento arbitrário como
entrada e gera uma impressão digital de 128 bits (16 bytes) ou resumo de mensagem da entrada. O MD5 pode ser
usado em uma ampla variedade de aplicativos criptográficos e é útil para aplicativos de assinatura digital, verificação
de integridade de arquivos e armazenamento de senhas. No entanto, o MD5 não é resistente a colisões; portanto, é
melhor usar os algoritmos mais recentes, como MD6, SHA-2 e SHA-3.
O MD6 usa uma estrutura semelhante à Merkle-tree para permitir a computação paralela em larga escala de hashes
para entradas muito longas. É resistente a ataques de criptoanálise diferencial.
Para calcular a eficácia das funções de hash, verifique a saída produzida quando o algoritmo randomiza uma
mensagem de entrada arbitrária.
Módulo 10 Página 746 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 10 Página 747 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
SHA-1
ÿ Produz um resumo de 160 bits de uma mensagem com comprimento máximo de
(264 ÿ 1) bits, e se assemelha ao algoritmo MD5
BEBER SHA-2
ÿ É uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou seja,
SHA-256, que usa palavras de 32 bits e SHA-512, que usa palavras de 64 bits
SHA-3
ÿ SHA-3 usa a construção de esponja, na qual os blocos de mensagem são XORed nos bits
iniciais do estado, que é então permutado invertidamente
O NIST desenvolveu o Secure Hash Algorithm (SHA), especificado no Secure Hash Standard (SHS) e publicado
como um padrão federal de processamento de informações (FIPS PUB 180). Ele gera um hash unidirecional
criptograficamente seguro. Rivest desenvolveu o SHA, que é semelhante à família de algoritmos de compilação de
mensagens de funções de hash. É um pouco mais lento que o MD5, mas seu resumo de mensagem maior o torna
mais seguro contra colisões de força bruta e ataques de inversão.
A criptografia SHA é uma série de cinco funções criptográficas diferentes e atualmente possui três gerações:
SHA-1, SHA-2 e SHA-3.
ÿ SHA-0: Retrônimo aplicado à versão original da função hash de 160 bits publicada em 1993 sob o nome de
SHA, que foi retirada do mercado devido a uma “falha significativa” não revelada . Ele foi substituído
por uma versão ligeiramente revisada, ou seja, SHA-1.
ÿ SHA-1: É uma função hash de 160 bits que se assemelha ao antigo algoritmo MD5 desenvolvido por Ron
Rivest. Ele produz um resumo de 160 bits de uma mensagem com um comprimento máximo de (264 - 1)
bits. Ele foi projetado pela Agência de Segurança Nacional (NSA) para fazer parte do Algoritmo de
Assinatura Digital (DSA). É mais comumente usado em protocolos de segurança como PGP, TLS, SSH e
SSL. A partir de 2010, SHA-1 não é mais aprovado para uso criptográfico por causa de suas fraquezas
criptográficas.
ÿ SHA-2: SHA2 é uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou
seja, SHA-256, que usa palavras de 32 bits, e SHA-512, que usa palavras de 64 bits. As versões truncadas
de cada padrão são SHA-224 e SHA-384.
ÿ SHA-3: SHA-3 usa construção de esponja na qual os blocos de mensagem são XORed nos bits iniciais do
estado, que o algoritmo então permuta de forma invertida. Ele suporta o
Módulo 10 Página 748 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
mesmos comprimentos de hash do SHA-2, mas difere consideravelmente em sua estrutura interna
do restante da família SHA.
interno
Bloquear Máximo
Tamanho de Estado
Algoritmo e variante Tamanho tamanho da Rodadas Operações Segurança (bits)
saída (bits)
(bits) mensagem (bits)
tamanho (bits)
32
128 Adicionar modo 2 ,
64 <=18 (colisões
MD5 (como referência) 128 512 2 -1 64 e, ou, xor,
(4*32) encontradas)
podridão
32
160 Adicionar mod ,
64 <34 (colisões
SHA-0 160 512 2 -1 80 2 e, ou, xor, rot
(5*32) encontradas)
32
160 Adicionar modo 2 ,
64 <63 (colisões
SHA-1 160 512 2 -1 80 e, ou, xor,
(5*32) encontradas)
podridão
32
SHA-224 224 256 64
Adicione mod , 112
512 2 -1 64 2 e, ou, xor,
SHA-256 256 (8*32) 128
shr, rot
Módulo 10 Página 749 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
HMAC
O código de autenticação de mensagem baseado em hash (HMAC) é um
tipo de código de autenticação de mensagem (MAC) que faz uso de uma chave
criptográfica em combinação com uma função hash criptográfica
Como o HMAC executa a função de hash subjacente duas vezes, ele protege os
dados de vários ataques de extensão de comprimento
HMAC
O HMAC inclui dois estágios para calcular o hash. A chave de entrada é processada para produzir duas chaves,
ou seja, a chave interna e a chave externa. O primeiro estágio do algoritmo insere a chave interna e a mensagem
para produzir um hash interno. O segundo estágio do algoritmo insere a saída do primeiro estágio e a chave
externa e produz o código HMAC final.
Como o HMAC executa a função de hash subjacente duas vezes, ele oferece proteção contra vários ataques de
extensão de comprimento. O tamanho da chave e a saída dependem da função hash incorporada, por exemplo,
128 ou 160 bits no caso de MD5 ou SHA-1, respectivamente.
Módulo 10 Página 750 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 10 Página 751 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Todos os geradores de
hash https:// www.browserling.com
https:// www.bullzip.com
HashCalc
https:// www.slavasoft.com
https:// www.nirsoft.net
As calculadoras de hash MD5 e MD6 que usam diferentes algoritmos de hash para converter texto sem formatação em
seu valor de hash equivalente são discutidas abaixo.
ÿ Calculadora MD5
MD5 Calculator é um aplicativo simples que calcula o hash MD5 de um determinado arquivo. Ele pode ser usado
com arquivos grandes (por exemplo, vários gigabytes de tamanho). Possui um contador de progresso e um
campo de texto do qual o hash MD5 final pode ser facilmente copiado para a área de transferência.
MD5 Calculator pode ser usado para verificar a integridade de um arquivo.
Ele permite que você calcule o valor de hash MD5 do arquivo selecionado. Clique com o botão direito do mouse
no arquivo e escolha "Calculadora MD5;" o programa calculará o hash MD5. O campo MD5 Digest contém o
valor calculado. Para comparar este resumo MD5 com outro, pode-se colar o outro valor no campo Compare To.
Obviamente, um sinal de igual (“=”) aparece entre os dois valores se forem iguais; caso contrário, o sinal de
menor que (“<”) ou maior que (“>”) indicará que os valores são diferentes.
Módulo 10 Página 752 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ HashMyFiles
HashMyFiles é um utilitário que permite calcular os hashes MD5 e SHA1 de um ou mais arquivos no sistema.
Ele permite que você copie a lista de hash MD5/SHA1 para a área de transferência ou salve-a em um
arquivo text/html/xml. Você pode iniciar HashMyFiles no menu de contexto do Windows Explorer e exibir os
hashes MD5/SHA1 dos arquivos ou pastas selecionados.
Módulo 10 Página 753 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Hash Calc
https:// play.google.com
Verificador inteligente de
https:// play.google.com
hash https:// play.google.com
https:// play.google.com
ÿ Ferramentas de Hash
Hash Tools é um utilitário para calcular um hash de um determinado texto ou descriptografar um hash para seu texto
original. Neste aplicativo, as funções hash disponíveis são MD5, SHA-1, SHA-256, SHA-384 e SHA-512.
Módulo 10 Página 754 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Hash Droid
O utilitário Hash Droid ajuda a calcular um hash de um determinado texto ou arquivo armazenado no
dispositivo. Neste aplicativo, as funções hash disponíveis são Adler-32, CRC-32, Haval-128, MD2, MD4,
MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA-256, SHA-384, SHA-512 , Tiger e Whirlpool.
Módulo 10 Página 755 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramentas de Criptografia
BCTextEncoder
AxCrypt
ÿ Criptografa texto confidencial em sua https:// axcrypt.net
mensagem ÿ Usa fortes algoritmos simétricos e de chave pública para criptografia de dados
Ferramentas de criptografia da
Microsoft https:// docs.microsoft.com
Corretivo
https:// www.belightsoft.com
CryptoForge
https:// www.cryptoforge.com
Cyphertop
https:// cyphertop.com
https:// www.jetico.com
Ferramentas de Criptografia
Você pode usar várias ferramentas criptográficas para criptografar e descriptografar suas informações, arquivos etc.
Essas ferramentas implementam diferentes tipos de algoritmos de criptografia.
ÿ BCTextEncoder
O utilitário BCTextEncoder simplifica a codificação e decodificação de dados de texto. Ele compacta, criptografa
e converte dados de texto simples em formato de texto, que o usuário pode copiar para a área de transferência
ou salvar como um arquivo de texto. Ele usa métodos de criptografia de chave pública, bem como criptografia
baseada em senha. Além disso, ele usa algoritmos simétricos e de chave pública fortes e aprovados para
criptografia de dados.
Módulo 10 Página 756 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 10 Página 757 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Módulo 10 Página 758 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Assinatura digital
O remetente usa a chave privada Chave privada
ÿ As assinaturas digitais usam os algoritmos de chave assimétrica para
para "assinar" a mensagem e envia
fornecer integridade de dados a mensagem e a assinatura para
um destinatário Confidencial
Mensagem
ÿ Uma função de assinatura específica é adicionada ao assimétrico
algoritmo no lado do remetente para assinar digitalmente a mensagem
Remetente 10010010
e uma função de verificação específica é adicionada para verificar a
código hash
assinatura para garantir a integridade da mensagem no lado do destinatário
ÿ A assinatura digital de mensagens diminui o desempenho durante chave pública e privada e envia
a chave pública para o destinatário
verificação; o valor de hash da mensagem é usado em vez da própria
mensagem para melhor desempenho
Chave pública
ÿ Uma assinatura digital é criada usando o código hash do
mensagem, a chave privada do remetente e a função de assinatura Confidencial
Mensagem
Chave privada
Mensagem contendo o
Criando uma Confidencial
Assinatura digital
Chave pública
Mensagem contendo o
Verificando uma Assinatura digital
Assinatura digital
Uma assinatura digital é um meio criptográfico de autenticação. A criptografia de chave pública usa criptografia
assimétrica e ajuda o usuário a criar uma assinatura digital.
Uma função de assinatura específica é adicionada ao algoritmo assimétrico no lado do remetente para assinar
digitalmente a mensagem e uma função de verificação específica é adicionada para verificar a assinatura para
Módulo 10 Página 759 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
garantir a integridade da mensagem no lado do destinatário. Os algoritmos assimétricos que suportam essas
duas funções são chamados de algoritmos de assinatura digital.
Uma função hash é um algoritmo que ajuda os usuários a criar e verificar assinaturas digitais. Esse algoritmo
cria uma representação digital, também conhecida como impressão digital de mensagem. Essa impressão digital
tem um valor de hash muito menor que a mensagem, mas único. Se um invasor alterar a mensagem, a função
de hash produzirá automaticamente um valor de hash diferente.
Para verificar uma assinatura digital, é necessário o valor hash da mensagem original e a função hash usada
para criar a assinatura digital. Com a ajuda da chave pública e do novo resultado, o verificador verifica se a
assinatura digital foi criada com a chave privada relacionada e se o novo valor de hash é igual ao original ou
não. A assinatura digital de mensagens diminui o desempenho durante a verificação; o valor de hash da
mensagem é usado em vez da própria mensagem para melhor desempenho.
Módulo 10 Página 760 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 10 Página 761 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os certificados digitais são usados para lidar com as questões de segurança relacionadas à
transmissão segura de chaves públicas ao destinatário na assinatura digital
Digital ÿ Uma solução intermediária confiável é usada para proteger as chaves públicas, onde a chave
pública é vinculada ao nome de seu proprietário
certificados ÿ Os proprietários da chave pública precisam adquirir suas chaves públicas certificadas pelo
intermediário; o intermediário então emite certificados chamados certificados digitais para os
proprietários, que podem usar para enviar a chave pública a vários usuários
Chave privada
Remetente Receptor
Assunto: Representa o proprietário do certificado que Válido a partir de: Denota a data a partir da qual o
pode ser uma pessoa ou uma organização certificado é válido
Algoritmo de assinatura: indica o nome do Válido até: Denota a data até a qual o
algoritmo usado para criar a assinatura certificado é válido
Certificados Digitais
Os certificados digitais permitem uma troca segura de informações entre um remetente e um destinatário.
Isso permite o uso de uma chave pública pelo remetente para o destinatário. Uma solução intermediária
confiável é usada para proteger as chaves públicas, onde a chave pública é vinculada ao nome de seu
proprietário. Os proprietários da chave pública precisam adquirir suas chaves públicas certificadas do
intermediário; o intermediário então emite certificados chamados certificados digitais para os proprietários,
que podem usar para enviar a chave pública a vários usuários.
Módulo 10 Página 762 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O remetente solicita um certificado digital da autoridade de certificação (CA). Juntamente com a mensagem
criptografada e a chave pública, a CA fornece outras informações de validação de identidade.
O destinatário aceita a mensagem criptografada e usa a chave pública da CA para decodificar o certificado digital.
Isso permite que o destinatário identifique a assinatura digital e obtenha a chave pública do remetente e outros
detalhes de identificação.
Um certificado digital pode conter informações como o nome do remetente que solicitou o certificado, data de validade
e uma cópia da assinatura digital da chave pública do remetente da CA. Os destinatários que recebem o certificado
digital podem verificar a validade do certificado usando a assinatura anexada das autoridades aprovadas usando a
chave privada da autoridade. Cada sistema operacional e navegador da web carrega certificados autorizados da CA,
o que permite fácil validação.
O principal objetivo da implementação de um certificado digital é garantir o não repúdio.
A maioria dos protocolos Secure Sockets Layer (SSL)/Transport Layer Security (TLS) usa certificados para impedir
que invasores alterem ou modifiquem os dados. Os certificados digitais são usados em servidores de e-mail e
assinatura de código.
ÿ Uso da chave: especifica a finalidade da chave pública, se ela deve ser usada para criptografia, verificação de
assinatura ou ambos.
ÿ Chave pública: Usada para criptografar uma mensagem ou verificar a assinatura do proprietário.
ÿ Algoritmo de impressão digital: especifica o algoritmo de hash usado para assinaturas digitais.
ÿ Thumbprint: Especifica o valor de hash para o certificado, que é usado para verificar o
integridade do certificado.
Módulo 10 Página 763 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma autoridade certificadora (CA) que emite e verifica Um sistema de gerenciamento de certificados para
certificados digitais geração, distribuição, armazenamento e verificação de certificados
Uma autoridade de registro (RA) que atua como Um ou mais diretórios onde os certificados
o verificador da CA (juntamente com suas chaves públicas) são armazenados
Certificação
Atualiza informações
Autoridade (CA)
Solicitação Validação
de emissão de certidão
Autoridade (VA)
Cadastro
Autoridade (RA)
O usuário solicita
a emissão do certificado
Chave pública
Validação de assinatura eletrônica
Chave privada
Pergunta sobre a validade do certificado de
chave pública para a autoridade de validação
Módulo 10 Página 764 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
PKI é um sistema abrangente que permite o uso de criptografia de chave pública e serviços de assinatura
digital em uma ampla variedade de aplicativos. A autenticação PKI depende de certificados digitais (também
conhecidos como certificados de chave pública) que as CAs assinam e fornecem. Um certificado digital é uma
declaração assinada digitalmente com uma chave pública e o nome do sujeito (ou seja, um usuário, empresa
ou sistema).
ÿ Um ou mais diretórios onde os certificados (juntamente com suas chaves públicas) são armazenados.
A PKI é amplamente reconhecida como uma prática recomendada para garantir a verificação digital de
transações eletrônicas. Esses são os métodos mais eficazes para fornecer verificação durante transações
eletrônicas. As assinaturas digitais suportadas pela PKI incluem o seguinte:
Módulo 10 Página 765 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Usos de PKI
A PKI não serve apenas como uma função comercial; ele fornece a base para outros serviços de segurança. A principal
utilização da PKI é permitir a distribuição e utilização de chaves públicas e certificados com segurança. Os mecanismos de
segurança baseados em PKI incluem e-mail, aplicação de cartão com chip, troca de valores com e-commerce, homebanking
e correio eletrônico. A PKI permite serviços básicos de segurança para uma variedade de sistemas, conforme listado abaixo:
ÿ
Ele usa os protocolos SSL, protocolo de segurança da Internet (IPsec) e protocolo seguro de transferência de
hipertexto (HTTPS) para segurança de comunicação.
ÿ
Ele usa as extensões de correio da Internet seguras/multiuso (S/MIME) e protocolos de privacidade (PGP) muito
bons para segurança de e-mail.
ÿ
Ele usa o protocolo de transação eletrônica segura (SET) para troca de valor.
ÿ
Melhora a eficiência e o desempenho de sistemas e redes.
ÿ
Reduz a dificuldade dos sistemas de segurança com métodos simétricos binários.
Módulo 10 Página 766 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Autoridades de Certificação
https:// www.digicert.com
https:// www.comodoca.com
Autoridades de Certificação
Autoridades de certificação (CAs) são entidades confiáveis que emitem certificados digitais. O certificado digital atesta a
posse da chave pública pelo sujeito (usuário, empresa ou sistema) especificado no certificado. Isso ajuda outras pessoas
a confiar em assinaturas ou declarações feitas pela chave privada associada à chave pública certificada.
ÿ Conveniente
A Comodo oferece uma variedade de certificados digitais PKI com forte criptografia SSL (128/256 disponível)
com Server-Gated Cryptography (SGC). Ele garante padrões de confidencialidade, confiabilidade do sistema e
práticas comerciais pertinentes, conforme julgado por auditorias independentes qualificadas. Oferece soluções
de gerenciamento de PKI, como Comodo Certificate Manager e Comodo EPKI Manager.
Módulo 10 Página 767 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ IdenTrust
IdenTrust é um terceiro confiável que fornece serviços de CA para muitos setores, como bancos, empresas,
governos e saúde. Ele fornece soluções como assinatura e selagem digital, conformidade com NIST SP
800-171, redes de identidade global e serviços gerenciados de hospedagem de PKI.
Módulo 10 Página 768 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ DigiCert CertCentral
Fonte: https:// www.digicert.com
A CertCentral simplifica todo o ciclo de vida consolidando tarefas para emissão, instalação,
inspeção, correção e renovação de certificados TLS/SSL. Ele gerencia a emissão de
certificados TLS/SSL de alto volume para vários indivíduos e equipes.
ÿ GoDaddy
Fonte: https:// www.godaddy.com
Os Certificados SSL da GoDaddy oferecem uma gama completa de certificados que atendem
às diretrizes do CA/Browser Forum. Eles fornecem o algoritmo de hash SHA-2 e criptografia
de 2048 bits, proteção de servidores ilimitados, etc.
Módulo 10 Página 769 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu técnicas criptográficas, diferentes
algoritmos de criptografia e algoritmos de hash
Resumo do Módulo
Este módulo discutiu técnicas criptográficas, diferentes algoritmos de criptografia e algoritmos de hash. Ele discutiu
diferentes ferramentas de criptografia e calculadoras de hash. Além disso, explicou conceitos relacionados à
infraestrutura de chave pública (PKI). Finalmente, este módulo apresentou uma visão geral sobre assinaturas digitais
e certificados digitais.
Módulo 10 Página 770 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 11
Segurança de Dados
Machine Translated by Google
Objetivos do módulo
Ideia criativa
1 Entendendo a segurança de dados e sua importância
Objetivos do módulo
As violações de dados podem custar caro para as organizações. Portanto, é importante manter os dados da
organização protegidos de olhares indiscretos. Este módulo explica a importância dos dados e várias técnicas para
protegê-los.
ÿ Use diferentes ferramentas de criptografia de disco, criptografia de arquivo e criptografia de mídia removível
Módulo 11 Página 772 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
04
03 Discutir a perda de dados
Conceitos de Prevenção
02 Discutir backup e retenção
de dados
01 Discutir várias seguranças
Controles para criptografia de dados
Entenda a segurança de dados e
sua importância
Módulo 11 Página 773 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dados críticos contêm informações que são importantes para a operação de negócios ÿ A
Documentos de escritório
1 arquivos de contabilidade
importantes, planilhas, etc. 4
Os dados são o coração de qualquer organização. Os dados críticos contêm informações importantes para a operação
comercial. A identificação e classificação de dados críticos para os negócios é a primeira etapa para proteger os dados
de uma organização. Toda organização tem uma abundância de dados. Uma organização deve identificar seus dados
ou arquivos críticos. A criticidade dos dados é baseada em sua importância para a organização. Isso requer analisar e
decidir quais informações são mais importantes para o bom funcionamento da organização. Dados críticos podem
consistir em receita, tendências emergentes, planos de mercado, banco de dados, arquivos incluindo documentos,
planilhas, e-mails, etc. A perda desses dados críticos pode afetar significativamente a organização.
ÿ Realizar uma análise de impacto nos negócios para determinar as funções e os dados críticos em uma organização.
Identifique processos e funções que dependem e coexistem com os dados críticos.
Módulo 11 Página 774 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
os dados de uma organização forem expostos ou perdidos por qualquer meio, isso pode prejudicar gravemente os negócios
e reputação
Causa Efeito
Categorização imprópria
Perda de participação de mercado
de dados confidenciais Dados comerciais
Os dados são um ativo importante para uma organização e é essencial protegê-los dos cibercriminosos. Se os dados de uma
organização forem expostos ou perdidos por qualquer meio, isso poderá prejudicar consideravelmente os negócios e a reputação da
organização.
ÿ Perda de clientes
ÿ Contencioso/ações legais
ÿ Multas/Sanções Regulamentares
Módulo 11 Página 775 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A perda de dados resultante leva à perda de lealdade e confiança à marca, diminui o número de clientes e afeta a
participação de mercado e o valor do acionista, multas regulatórias, processos legais, etc. Violações de dados e
ataques cibernéticos aumentaram devido à expansão das redes de computadores; portanto, a segurança dos dados é
necessária para proteger os dados em uma organização.
Módulo 11 Página 776 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Segurança de dados
A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional
ou não intencional de uso indevido de dados, destruição de dados e modificação de dados
Dados em
Transito
2 Dados em uso
Bancos de Dados/Repositórios
3 Dados em trânsito
Firewall
Estações de trabalho
Internet
Dados em Repouso
Segurança de dados
A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional
ou não intencional de uso indevido de dados, destruição de dados e modificação de dados.
Os dados de uma organização são considerados protegidos quando eles têm provisões suficientes para:
ÿ Dados em repouso: Esses dados estão inativos e são armazenados em um dispositivo ou meio de backup, como
discos rígidos, laptops, fitas de backup, dispositivos móveis ou no backup externo na nuvem. Os dados em
repouso permanecem em um estado estável. Os dados em repouso não se moverão ativamente em um sistema
ou rede e não podem ser acessados por um aplicativo ou programa.
ÿ Dados em uso: Esses dados são armazenados ou processados por RAM, CPUs ou bancos de dados. Ele não é
armazenado passivamente no sistema, mas se move ativamente pela infraestrutura de TI. Ele é atualizado,
apagado, processado, acessado e/ou lido pelo sistema.
ÿ Dados em trânsito: Esses dados se movem ativamente de um local para outro na rede ou são criptografados
antes de serem movidos e/ou transmitidos por meio de conexões criptografadas, como HTTPS, SSL, segurança
da camada de transporte (TLS), FTPS, etc.
Módulo 11 Página 777 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 778 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Técnicas de autenticação
ÿ Criptografia de dados ÿ SSL e TLS
ÿ Controlo rigoroso na acessibilidade
Segurança ÿ Proteção por senha ÿ Ferramentas de criptografia de e-mail, como
destes dados
Controles ÿ Tokenização PGP ou S/MIME
ÿ Criptografia de memória completa
ÿ Federação de dados ÿ Controles de firewall
ÿ Forte gestão de identidade
Uma implementação adequada de medidas de segurança é necessária em cada estado para aprimorar proativamente
a segurança dos dados. A tabela a seguir descreve os vários estados de dados, seus exemplos específicos e controles
de segurança para proteção contra ataques.
ÿ Técnicas de
autenticação ÿ
ÿ SSL e TLS
ÿ Criptografia de dados ÿ Controle rígido sobre a
ÿ Ferramentas de criptografia de e-mail
Segurança Proteção por senha acessibilidade desses
como PGP ou
Controles ÿ Tokenização dados ÿ Criptografia de memória
S/MIME
ÿ Federação de dados total ÿ Forte gerenciamento
ÿ Controles de firewall
de identidade
Módulo 11 Página 779 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fazendo uma cópia duplicada de dados críticos que podem ser usados
Resiliência e backup
para fins de restauração e recuperação quando uma cópia principal é
de dados
perdida ou corrompida acidentalmente ou de propósito
Destruir dados, para que não possam ser recuperados e usados para
Destruição de dados
motivos errados
Retenção de dados Armazenar dados com segurança para conformidade ou requisitos de negócios
Os controles de acesso a dados permitem autenticação e autorização de usuários para acessar os dados. É um
componente importante dos programas de conformidade de segurança que protegem o acesso não autorizado a
informações confidenciais.
ÿ Criptografia de Dados
Proteger as informações, transformando-as de modo que se tornem ilegíveis para uma parte não autorizada. Ele
protege os segredos corporativos, informações classificadas e informações pessoais. Os dados criptografados
não podem ser lidos por pessoas ou entidades não autorizadas.
ÿ Mascaramento de Dados
Proteger informações obscurecendo áreas específicas de dados com caracteres ou códigos aleatórios. O
mascaramento de dados protege dados confidenciais, como informações de identificação pessoal, informações
de saúde protegidas, informações de cartão de pagamento, propriedade intelectual, etc.
Além disso, o mascaramento de dados também protege contra uma ameaça interna. A implementação do
mascaramento de dados reforçará as estratégias de segurança de uma organização.
Fazer uma cópia duplicada de dados críticos a serem usados para fins de restauração e recuperação quando a
cópia principal for perdida ou corrompida, acidentalmente ou de propósito. A resiliência de dados permite que os
dados permaneçam disponíveis para os aplicativos caso haja alguma falha nos dados hospedados. Manter várias
cópias de um backup de dados ajuda a restaurar os dados com facilidade e reduz os riscos de corrupção de
dados ou ataques mal-intencionados.
Módulo 11 Página 780 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Destruição de Dados
Envolve a destruição dos dados para que não possam ser recuperados e usados para um motivo errado. A
destruição de discos rígidos antigos ou dispositivos eletrônicos deve ser feita de forma segura e segura. A
destruição de dados ajuda a destruir fisicamente as informações antigas de clientes e funcionários.
ÿ Retenção de Dados
Armazenar dados com segurança para conformidade ou requisitos de negócios. Uma organização deve ter
políticas e processos para retenção e remoção de dados. Os programas de retenção de dados têm um tremendo
impacto na segurança dos dados e podem atender às expectativas de clientes e governos quanto à proteção da
privacidade.
Módulo 11 Página 781 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
04
03 Discutir a perda de dados
Conceitos de Prevenção
02 Discutir backup e retenção
de dados
01 Discutir várias seguranças
Controles para criptografia de dados
Entenda a segurança de dados e
sua importância
Módulo 11 Página 782 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia de dados
Técnicas
ÿ Criptografia de disco: Criptografia de dados armazenados em um disco físico ou lógico. A criptografia de disco
completo é a criptografia de todos os dados em um disco, exceto o registro mestre de inicialização (MBR).
Os dados são convertidos automaticamente em um formato que não pode ser facilmente decifrado por um
usuário não autorizado. Na criptografia de disco completo, os dados são criptografados enquanto são gravados
no disco e descriptografados quando o usuário lê os dados do disco. Os benefícios da criptografia de disco
completo são
ÿ Criptografia de mídia removível: A criptografia de mídia removível evita que dispositivos de mídia removível,
como unidades flash USB, discos rígidos portáteis, câmeras digitais, smartphones, tablets, etc., tenham acesso
não autorizado.
Módulo 11 Página 783 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Vá para Iniciar ÿ Configurações ÿ Atualização e Segurança ÿ ÿ Entre com uma conta de administrador. Selecione o botão Iniciar ,
Criptografia do dispositivo escolha Painel de controle e clique em Sistema e segurança
ÿ Em BitLocker Drive Encryption, escolha Gerenciar BitLocker
ÿ Ative a opção de criptografia do dispositivo
ÿ Selecione Ativar BitLocker
O Windows 10 possui métodos de criptografia de disco integrados para criptografar discos rígidos e proteger os dados do
usuário. Por padrão, a criptografia de disco está habilitada em todos os dispositivos que usam o Windows 10. Existem dois
métodos de criptografia de disco no Windows 10: criptografia de dispositivo e BitLocker. Se os usuários não tiverem
criptografia de dispositivo, eles poderão habilitar a criptografia BitLocker padrão; no entanto, o BitLocker não está disponível
na edição Windows 10 Home.
Criptografia do dispositivo
É o método de criptografia mais simples e está disponível em todas as edições do Windows 10. Se um usuário perder o
dispositivo, a criptografia do dispositivo pode proteger os dados contra acesso não autorizado. Esse recurso embaralha toda
a unidade do sistema e as unidades secundárias conectadas ao dispositivo e permite que apenas o usuário acesse o
dispositivo.
ÿ Pesquise informações do sistema, clique com o botão direito do mouse no resultado superior e escolha Executar como
administrador.
Módulo 11 Página 784 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Suporte para criptografia de dispositivo de pesquisa; o dispositivo do usuário oferece suporte à criptografia de dispositivo se
for exibido Atende aos pré-requisitos.
Siga estas etapas para habilitar o chip TPM no dispositivo do usuário se ele estiver desabilitado.
ÿ Abra Configurações.
ÿ Selecione Recuperação.
Módulo 11 Página 785 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 786 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 787 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Clique em Reiniciar.
Módulo 11 Página 788 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Criptografia do BitLocker
Isso protege os dados criptografando todo o volume de dados usando o algoritmo de criptografia de padrão avançado
de criptografia (AES) no encadeamento de blocos cifrados (CBC) ou no modo XTS com uma chave de 128 ou 256 bits.
O BitLocker está disponível nas edições Windows 10 Pro, Enterprise ou Education.
Módulo 11 Página 789 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
FinalCrypt
https:// www.finalcrypt.org
FileVault
https:// support.apple.com
https:// www.veracrypt.fr
O objetivo comum das ferramentas de criptografia de disco é criptografar uma partição de disco para fornecer confidencialidade às
informações armazenadas nela. Algumas ferramentas de criptografia de disco são discutidas abaixo.
ÿ VeraCrypt
VeraCrypt é um software para estabelecer e manter um volume criptografado on-the-fly (dispositivo de armazenamento de
dados). A criptografia instantânea significa que os dados são criptografados automaticamente logo antes de serem salvos
e descriptografados logo após serem carregados sem qualquer intervenção do usuário.
Nenhum dado armazenado em um volume criptografado pode ser lido (descriptografado) sem usar a senha/arquivo(s) de
chave corretos ou as chaves de criptografia corretas. Todo o sistema de arquivos é criptografado (por exemplo, nomes de
arquivos, nomes de pastas, espaço livre, metadados, etc.).
Os arquivos podem ser copiados de e para um volume VeraCrypt montado da mesma forma que são copiados de/para
qualquer disco normal (por exemplo, por simples operações de arrastar e soltar). Os arquivos são descriptografados
automaticamente em tempo real (na memória/RAM) enquanto são lidos ou copiados de um volume VeraCrypt criptografado.
Da mesma forma, os arquivos que são gravados ou copiados no volume VeraCrypt são criptografados automaticamente
em tempo real (pouco antes de serem gravados no disco) na RAM.
Módulo 11 Página 790 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 791 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Encrypting File System (EFS) fornece criptografia no nível do sistema de arquivos no Windows (a partir do Windows
2000), exceto a versão inicial. O usuário precisa habilitar esse recurso em um arquivo, diretório ou unidade específica. O
EFS protege as informações confidenciais de usuários não autorizados que tenham acesso físico a um computador.
ÿ Clique com o botão direito do mouse no botão Iniciar e selecione Prompt de Comando (Admin).
cipher /e “<CAMINHO>”
Módulo 11 Página 792 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Clique em Avançado
Módulo 11 Página 793 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Clique em Aplicar. Uma caixa aparecerá com a opção de criptografar apenas o arquivo ou criptografar o arquivo
e sua pasta pai. Selecione de acordo com os requisitos e clique em OK
Módulo 11 Página 794 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
AxCrypt
https:// www.axcrypt.net
Criptografia de arquivo
idoo https:// www.idooencryption.com
Criptomator
https:// cryptomator.org
Criptografia
https:// macpaw.com
Criptografia
AES https:// www.aescrypt.com
http:// www.aeppro.com
Módulo 11 Página 795 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 796 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vá para Iniciar ÿ Painel de Controle ÿ Sistema e Segurança ÿ Criptografia de Unidade de Disco BitLocker (Gerenciar BitLocker)
Mídias removíveis, como unidades flash USB, iPods, smartphones, tablets, câmeras digitais, discos rígidos portáteis,
etc., prevalecem em um local de trabalho e representam uma ameaça real para uma organização.
Com esses dispositivos, os invasores podem introduzir facilmente um código malicioso em uma rede ou transportar
dados confidenciais para fora de uma organização. Portanto, a criptografia é a melhor maneira de proteger dados
confidenciais de serem retirados de uma organização.
A criptografia pode ser aplicada à mídia removível para impedir o acesso não autorizado em caso de perda ou
roubo. Isso adicionará uma camada extra de segurança às informações confidenciais. Várias soluções de criptografia
estão disponíveis no mercado com diferentes recursos. Algumas soluções de criptografia criptografam os dados
armazenados em uma unidade local, mas não em dispositivos USB, enquanto algumas soluções de criptografia
criptografam automaticamente os dados armazenados em mídia removível. Ao selecionar uma solução de
criptografia de mídia removível, é importante verificar como ela está configurada para restringir o acesso a
dispositivos usando uma lista autorizada, dispositivos pessoais, uma cópia de arquivo autorizada e chaves de
criptografia.
Sistemas operacionais como Windows, Linux e Mac usam alguns métodos para criptografar mídias removíveis,
como unidades USB. Eles usam recursos integrados ou soluções de criptografia de terceiros para criptografar
mídias removíveis.
Módulo 11 Página 797 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 798 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O processo de inicialização do BitLocker será iniciado. Aguarde algum tempo para finalizar a inicialização
processar.
ÿ
Na janela Escolha como você deseja desbloquear esta unidade , marque a caixa de seleção Usar uma senha
para desbloquear a unidade , insira uma senha forte e clique em Avançar.
Módulo 11 Página 799 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ
Em Como você deseja fazer backup de sua chave de recuperação? janela, escolha Salvar em um
arquivo ou Imprimir a chave de recuperação e clique em Avançar.
ÿ
Na janela Escolher a quantidade da unidade a ser criptografada , selecione Criptografar o espaço em
disco usado somente se a unidade for nova ou selecione Criptografar a unidade inteira se a unidade
contiver dados e clique em Avançar.
Módulo 11 Página 800 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ
Na janela Escolha qual modo de criptografia usar , selecione Modo compatível se o usuário quiser usar a
unidade criptografada em versões mais antigas do Windows ou selecione Novo modo de criptografia se o usuário
quiser usar a unidade criptografada apenas no Windows 10.
Em seguida, clique em Avançar.
Módulo 11 Página 801 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Nota: Sempre que o usuário tentar conectar a unidade criptografada, ele deverá fornecer a senha para desbloqueá-
la.
Módulo 11 Página 802 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
GiliSoft USB Encryption é uma solução para segurança USB que suporta a criptografia de dispositivos
de armazenamento portáteis (unidades externas) e pode dividir uma unidade externa em duas partes
após a criptografia: uma área segura e uma área pública. Ele converte uma unidade flash USB comum
em uma unidade segura em menos de um minuto, e os dados na área protegida (área segura) são
criptografados por uma criptografia instantânea AES de 256 bits.
Módulo 11 Página 803 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 804 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
04
03 Discutir a perda de dados
Conceitos de Prevenção
02 Discutir backup e retenção
de dados
01 Discutir várias seguranças
Controles para criptografia de dados
Entenda a segurança de dados e
sua importância
Módulo 11 Página 805 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O backup de dados é o processo de copiar ou armazenar dados importantes. Uma cópia de backup ajudará você a restaurar
os dados originais quando os dados forem perdidos ou corrompidos. O backup é um processo obrigatório para todas as
organizações. O processo de recuperação de arquivos perdidos de um backup é conhecido como restauração ou recuperação
de arquivos.
A ideia principal por trás do backup de dados é proteger dados e informações e recuperá-los após a perda de dados. O
backup de dados é usado principalmente para duas finalidades: restabelecer um sistema ao seu estado de funcionamento
normal após danos ou recuperar dados e informações após perda ou corrupção de dados.
A perda de dados em uma organização afeta suas finanças, relacionamento com clientes e dados da empresa. A perda de
dados em computadores pessoais pode levar à perda de arquivos pessoais, imagens e outros documentos importantes
salvos no sistema.
ÿ
Ele oferece acesso a dados críticos mesmo em caso de desastre, garantindo tranquilidade no local de trabalho.
Módulo 11 Página 806 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O backup de dados críticos evita que uma organização perca seus negócios. Também ajuda
eles recuperam dados a qualquer momento.
ÿ A recuperação de dados ajuda as organizações a recuperar dados perdidos e garantir a continuidade dos negócios.
Recomenda-se que toda organização realize um backup de dados regularmente para executar seus negócios com sucesso e
eficiência.
Para evitar danos graves aos ativos de uma organização, é importante projetar uma estratégia para um processo de backup de
dados bem-sucedido. No futuro, essa estratégia de backup de dados pode atuar como um projeto enquanto trabalha no processo
de backup de dados para toda a organização. Algumas empresas também criam uma política de backup de dados que é
necessária ao implementar uma estratégia de backup.
Módulo 11 Página 807 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 2 3 4
Identificando os dados Selecionando a mídia de Selecionando uma Selecionando os
críticos de negócios backup tecnologia de backup níveis de RAID apropriados
5 6 7 8
Selecionando um Selecionando os tipos de Escolhendo a solução de Conduzindo um
Uma estratégia de backup ideal inclui etapas que vão desde a seleção dos dados corretos até a realização de uma simulação
de restauração de dados de teste. Embora a estratégia de backup possa diferir entre organizações, é importante considerar os
seguintes recursos antes de elaborar uma estratégia de backup:
ÿ A estratégia de backup deve ter um recurso de recuperação de dados de qualquer dispositivo externo.
Esses dispositivos podem incluir servidores, máquinas host, laptops, etc.
ÿ
Se a perda de dados for causada por um desastre natural, a estratégia de backup não deve se restringir a apenas um
determinado número de incidentes. A estratégia também deve abranger os métodos de recuperação dos dados após
um desastre natural.
ÿ A estratégia deve incluir as etapas para recuperar os dados o mais cedo possível.
ÿ Quanto menor o custo da recuperação de dados, maior o benefício financeiro para a organização.
ÿ As opções de recuperação automática também devem ser incluídas na estratégia de backup, pois reduzem as chances
de erro humano durante o processo de recuperação.
Módulo 11 Página 808 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Escolha
sua mídia de backup
com base nesses
fatores
Velocidade
Escolher a melhor mídia de backup é uma preocupação comum na maioria das organizações. A seleção de um
dispositivo de mídia errado pode levar a uma segregação de dados em diferentes dispositivos de mídia. Com um
plano cuidadosamente considerado, selecionar uma mídia apropriada permitirá um melhor nível de backup de dados.
Uma vez identificados os dados, é importante escolher uma mídia de backup apropriada para armazenar os dados.
A seleção da mídia de backup depende do tipo e quantidade de dados no backup. Às vezes, o backup de dados
consome uma grande quantidade de espaço; conseqüentemente, uma atenção redobrada é necessária para
selecionar a melhor mídia de backup para uma situação e atender às necessidades organizacionais.
a organização deve ter mídias de armazenamento de backup que melhor se encaixem em seu orçamento. A
mídia de backup deve ter mais espaço de armazenamento do que os dados que ela conterá.
ÿ Confiabilidade: As organizações devem poder confiar nos dados armazenados na mídia de backup sem
falhas. As organizações devem selecionar uma mídia confiável e não suscetível a danos ou perdas.
ÿ Velocidade: As organizações devem selecionar mídias de backup que exijam um número reduzido de
interações humanas durante o processo de backup. A velocidade se torna uma preocupação se o processo
de backup não puder ser concluído quando uma máquina estiver ociosa.
ÿ Disponibilidade: A indisponibilidade da mídia de backup pode ser um problema após a perda ou corrupção
de dados. As organizações devem decidir sobre um meio que esteja sempre disponível.
ÿ Usabilidade: As organizações devem selecionar uma mídia que seja fácil de usar. Um tipo de mídia fácil
tem uma maior flexibilidade durante o processo de backup.
Módulo 11 Página 809 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Discos rígidos capacidade do que discos ópticos ÿ Mais caro que os backups em DVD
portáteis/unidades sem limite ÿ Ideal para o lar ou pequenos ÿ Menos recomendado para pequenos
flash USB escritórios
cópias de segurança
Os discos graváveis de DVD podem armazenar até ~200 GB de dados e estão prontamente disponíveis. Os
DVDs armazenam mais dados e estão disponíveis a preços acessíveis, em massa, se necessário. No entanto,
eles não são tão usados como no passado, pois os discos rígidos externos estão disponíveis a preços
razoáveis e podem armazenar mais dados do que os DVDs.
Vantagem :
o Desvantagem:
• Várias trocas manuais de disco podem ser necessárias devido à capacidade limitada de dados
Os discos rígidos portáteis são considerados um meio melhor para backup de dados do que um DVD. Eles estão
disponíveis em altas capacidades e também podem ser usados para backups menores. As unidades flash estão
disponíveis em tamanhos diferentes e têm a capacidade de armazenar grandes arquivos de backup.
RAID é outra opção de disco rígido disponível. Ele contém dois ou mais discos rígidos. A segunda unidade
pode ser usada para copiar dados armazenados na primeira unidade. Este processo permite que dados
importantes sejam preservados. Qualquer alteração nos dados também será refletida automaticamente em
todas as outras unidades.
Vantagens :
Módulo 11 Página 810 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Desvantagens:
ÿ Unidades de Fita
Uma unidade de fita é considerada a melhor mídia para backup de dados. Ele facilita o backup de dados em
nível empresarial. As unidades de fita são usadas para armazenar programas e dados. Não há limite na
capacidade de armazenamento e pode ser usado para armazenar grandes quantidades de dados.
Vantagens :
o Desvantagens:
Módulo 11 Página 811 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
01 unidades de disco, oferecendo tolerância a falhas (se uma unidade falhar, o sistema pode continuar
operando)
RAID representa uma parte do armazenamento do computador que pode dividir e replicar
03 dados entre várias unidades, funcionando como armazenamento secundário
O RAID tem seis níveis: RAID 0, RAID 1, RAID 3, RAID 5, RAID 10 e RAID 50, para funcionar
04 de forma eficaz. Todos os níveis de RAID dependem das seguintes técnicas de armazenamento:
Muitas organizações dependem da tecnologia RAID para lidar com suas necessidades críticas de backup,
especialmente com o aumento do fluxo e volume de dados. As organizações estão expandindo suas redes
para melhorar sua produtividade. No entanto, esse aumento adicional pode causar gargalos na rede. A
probabilidade de perda de dados devido a desastres, ameaças, erros e falhas de hardware prejudica a
capacidade de crescimento de uma organização. A tecnologia RAID supera essas situações, oferecendo
uma opção de disponibilidade de dados, alto desempenho, opções de recuperação eficientes e acessíveis
sem perda de dados.
A tecnologia RAID é usada para armazenar dados em locais diferentes em vários discos. Armazenar os
dados em vários discos melhora o desempenho das operações de E/S. A tecnologia RAID funciona
implementando vários discos rígidos como um único disco lógico. Ele permite um armazenamento mais
equilibrado dos mesmos dados em uma matriz de discos. Uma implementação eficaz dessa tecnologia ajuda
a resolver os problemas complexos de tolerância a falhas. Os dados organizados em níveis RAID dependem
das técnicas de armazenamento RAID e métodos de instalação. Normalmente, a implementação do RAID é
feita em um servidor. Embora os computadores pessoais não precisem necessariamente dessa tecnologia,
eles ainda podem configurá-la e utilizá-la em um ambiente menor do que uma empresa.
O RAID tem seis níveis para funcionar de forma eficaz: RAID 0, RAID 1, RAID 3, RAID 5, RAID 10 e RAID
50. Cada nível tem os seguintes recursos:
ÿ Tolerância a falhas: Mesmo que um disco não funcione, outros discos continuarão funcionando
normalmente.
Módulo 11 Página 812 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Competência: É definida pela quantidade de dados armazenados. A capacidade de armazenamento dos discos
depende do nível de RAID escolhido. A capacidade de armazenamento não precisa ser igual ao tamanho dos
discos RAID individuais.
ÿ Striping: Striping divide os dados em vários blocos. Esses blocos são posteriormente gravados no sistema RAID.
Striping melhora o desempenho do armazenamento de dados.
ÿ Espelhamento: O espelhamento de dados faz cópias de imagem dos dados e armazena simultaneamente esses
dados no RAID. Isso afeta a tolerância a falhas e o desempenho dos dados.
ÿ Paridade: Paridade usa um método de distribuição para calcular a função de paridade de um bloco de dados.
Durante uma falha de unidade, a paridade recalcula a função usando um método de soma de verificação.
Módulo 11 Página 813 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens Desvantagens
ÿ RAID oferece hot-swap ou hot plugging, ou seja, substituição de ÿ RAID não é compatível com alguns componentes de hardware
componentes do sistema (caso uma unidade falhe) sem afetar e sistemas de software , por exemplo, programas de
a funcionalidade da rede imagem do sistema
ÿ A verificação de paridade RAID aumentada evita uma falha do ÿ O RAID não pode proteger os dados e oferecer um
sistema ou perda de dados aumento de desempenho para todos os aplicativos
Antes da introdução da tecnologia RAID, muitas organizações usavam uma única unidade para armazenar dados.
A tecnologia RAID agora é encontrada em todos os dispositivos de armazenamento de uma organização. Vantagens e
desvantagens do RAID dependem do nível implementado.
ÿ Verificação de paridade : A verificação de paridade é um processo em que o sistema RAID compara os dados
armazenados em um sistema travado com os dados armazenados em outros discos. Este processo de verificação
é realizado em todas as unidades. A verificação de paridade é realizada após o espelhamento dos dados.
As verificações regulares de paridade detectam a probabilidade de falha do sistema, evitando assim a perda de
dados.
ÿ Redundância de dados: Um disco pode falhar a qualquer momento. Portanto, a redundância de dados é importante
para uma organização. O RAID fornece redundância de dados aprimorada em caso de falha de hardware.
ÿ Distribuição de disco: A distribuição de disco melhora o desempenho de leitura/gravação dos dados. Os dados são
divididos em pequenos pedaços e distribuídos em vários discos. Dependendo do
Módulo 11 Página 814 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
nível de RAID implementado, os dados são divididos em bytes, bits ou blocos. A leitura e gravação de dados podem
ser feitas simultaneamente em um sistema RAID.
ÿ Tempo de atividade do sistema: essa métrica detecta a confiabilidade e a estabilidade de um computador. O tempo
de atividade do sistema define o tempo até o qual um sistema pode ser deixado desacompanhado sem qualquer
assistência. A configuração do RAID em um sistema ajuda a aumentar o tempo de atividade do sistema. Um alto
tempo de atividade do sistema em uma organização significa uma alta produtividade.
ÿ Gravando drivers de rede: a tecnologia RAID foi projetada para ser amplamente utilizada em servidores. Uma grande
desvantagem da tecnologia RAID é a gravação de todos os drivers de rede. A tecnologia RAID é complexa e esse
processo pode ser demorado.
ÿ Incompatibilidade: Diferentes sistemas suportam diferentes tipos de drives RAID. Certos componentes de hardware ou
software podem não ser compatíveis com a unidade RAID configurada em um servidor. Esta incompatibilidade pode
fazer com que o RAID não funcione corretamente. A compatibilidade entre unidades RAID, hardware e software deve
ser verificada antes de configurar um sistema. O RAID pode proteger os dados de todos os aplicativos disponíveis na
rede. Por exemplo, o RAID não é compatível com a imagem do sistema
programas.
ÿ Perda de dados: Todas as unidades RAID funcionam no mesmo ambiente. Eles podem se tornar não funcionais devido
a problemas mecânicos. Assim, a potencial perda de dados aumenta se os discos falharem um após o outro. Quando
duas unidades falham ao mesmo tempo, a recuperação dos dados do disco torna-se difícil. Por exemplo, RAID 5,
onde uma unidade usada exclusivamente para paridade não pode recriar a primeira unidade se uma segunda unidade
também falhar.
ÿ Tempo consumido na reconstrução: O aumento da capacidade do drive foi muito maior do que o aumento da
velocidade de transferência. A recuperação de dados de unidades com grande capacidade de armazenamento pode
ser demorada. Nesses cenários, a reconstrução de um disco com falha também pode ser demorada. Aumentar o
número de unidades não ajuda a aumentar a velocidade de transferência de dados.
ÿ Custo: A implementação da tecnologia RAID pode ser cara. As organizações precisam contratar consultores para
sustentar seu desempenho. Ele também requer controladores RAID externos e discos rígidos para funcionar
corretamente, e isso aumenta o custo geral.
ÿ O RAID não pode proteger os dados e oferecer um aumento de desempenho para todos os aplicativos.
Módulo 11 Página 815 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Configuração
Conexão de rede ao host
Dados
ATAQUE
Diário de RAID, SDRAM
Log de
Controlador DIMM
SAN/NAS/Host transações e erros
firmware
Interface Arquivo
multiportas
Controle de backup
Memória
Processador
Controlador
INSTANTÂNEO
Expansor SATA/SAS
Cache de memória RAID primário
Controlador RAID
1
Gerencia uma matriz de unidades de disco físicas e as apresenta ao
computador como unidades lógicas
4 SDRAM
Memória dinâmica de acesso aleatório (DRAM) sincronizada com a
velocidade do clock da CPU
Módulo 11 Página 816 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Armazenamento RAID
Arquitetura (continuação)
RAID Primário
nvSRAM Memória Flash NAND Disco
Cache de Memória
ÿ Cache é usado para escrever ÿ nvSRAM é o mais rápido ÿ Fornece um armazenamento ÿ O hardware apresenta o RAID
os dados em transição. RAM não volátil na não volátil para o cache ao sistema host como um
Um sistema RAID usa um indústria com tempo de principal do sistema RAID disco único e grande
cache para acelerar o acesso de leitura e
desempenho de E/S no gravação de 20 ns
sistema de armazenamento
A arquitetura RAID depende de dois princípios: redundância e paralelismo, proporcionando uma ampla gama
de opções de armazenamento com melhor desempenho e livre de falhas de disco. A pegada cada vez maior
da Internet levou a um aumento no uso de sistemas RAID por causa de suas altas capacidades de
armazenamento de dados e sistemas de gerenciamento. Muitas implementações de RAID disponíveis
dependem dos seguintes fatores: paralelismo, duplicação e redundância.
Em uma arquitetura RAID, um switch recebe os dados dos servidores conectados à rede. O switch então envia
os dados para o processador em um estágio posterior. O processador transfere os dados recebidos para um
controlador RAID. O controlador RAID pode ser implementado como um hardware usando um RAID-on-Chip
(ROC) ou em um software. O ROC pode conter as interfaces de E/S, um processador, uma interface de host e
um controlador de memória. O ROC é instalado diretamente em uma placa-mãe usando uma placa de
expansão ou em um gabinete de drive externo.
Módulo 11 Página 817 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A arquitetura de armazenamento RAID descreve como o servidor RAID funciona. O processador controla todo
o funcionamento das matrizes e interfaces do drive. Ele fornece funções flexíveis e de alto desempenho. A
arquitetura na figura acima mostra que um sistema RAID pode depender de unidades de disco rígido (HDDs)
e também de SSDs. O processador requer memória flash DRAM e NAND. A memória flash NAND fornece um
armazenamento não volátil para o cache de memória RAID primário.
Um backup de bateria ou uma unidade ultracapacitor no cache de memória RAID primário é útil quando o
processador de controle RAID sofre uma falha de energia. Nesse cenário, o backup da bateria copia
independentemente o conteúdo da DRAM para a memória flash NAND. Um backup de bateria é uma
alternativa barata durante uma perda de energia. A arquitetura mostra o requisito de uma memória não volátil
no firmware do controlador RAID, no diário RAID e nos arquivos de log de transações e erros.
Módulo 11 Página 818 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Cache de memória RAID primário: O controlador RAID tem acesso direto à memória cache, permitindo
acesso mais rápido de leitura e gravação ao sistema de armazenamento. O cache é usado para
armazenar os dados alterados. A memória cache é maior em tamanho e usa SDRAMs de alta
velocidade. Uma memória cache normal possui um cache de gravação e um cache de leitura
separado. O cache de leitura diminui a latência do processo de leitura. Existem dois tipos de memórias
cache de gravação:
o Modo write-through: ignora a memória cache e grava os dados diretamente no disco depois que o
host os envia. O host envia o próximo item de dados após receber uma confirmação de que o
processo de gravação foi concluído.
o Modo write-back: os dados enviados do host são gravados na memória cache. O host pode
executar outras ações enquanto o controlador RAID transfere dados do cache para a unidade de
disco. O controlador RAID reconhece o processo de gravação no host logo após gravar os dados
no cache. Podem surgir problemas se um controlador RAID enviar uma confirmação antes que
os dados tenham sido completamente gravados no disco.
ÿ Interfaces IDE, SATA ou SCSI: IDE, SATA ou SCSI são cabos de dispositivo que transmitem sinais de
leitura/gravação de e para a unidade. Estes são usados principalmente para conectar as unidades
internamente. Além disso, os servidores são conectados usando essas interfaces.
o IDE: Integrated drive electronics (IDE) permite a conexão de dois dispositivos por canal. Normalmente
é usado para dispositivos internos, pois os cabos são grandes e planos.
o SATA: Serial ATA lida com hot plugging e conectividade serial. A técnica de hot plugging pode ser
usada para substituir componentes do computador sem desligar o sistema. O SATA permite
apenas uma conexão por conector e não é flexível para fins industriais.
o SCSI: Small computer system interface (SCSI) permite que vários dispositivos sejam conectados a
uma única porta ao mesmo tempo. O SCSI usa um cabo paralelo para conectar dispositivos
internos e externos.
ÿ nvSRAM: SRAM não volátil, ou nvSRAM, tem um processo de leitura e gravação mais rápido (tempo
de acesso de leitura e gravação de 20 ns) devido à presença de uma interface SRAM assíncrona
padrão. A nvSRAM garante recursos adequados de armazenamento de dados sem a necessidade de
bateria durante um desligamento. A nvSRAM é melhor usada em aplicações que requerem alta
velocidade e armazenamento não volátil a baixo custo, como na indústria médica. nvSRAM faz backup
dos dados mesmo em caso de falha de energia.
ÿ Controlador de memória multiporta: Um MPMC fornece acesso à memória para até oito portas. Um
controlador de memória pode estar presente como um chip separado ou como uma memória integrada.
Ele fornece acesso a um banco de memória e ajuda a obter uma alta eficiência com acessos aleatórios
a endereços.
ÿ Memória flash NAND: A memória flash é um meio de armazenamento projetado a partir da memória
somente leitura programável apagável eletricamente (EEPROM). NAND e NOR são dois tipos de
memórias flash. Ele fornece um armazenamento não volátil para o cache principal do sistema RAID.
Módulo 11 Página 819 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Seu principal objetivo é reduzir custos e aumentar a capacidade. Não requer energia para reter os
dados. Ele pode melhorar seus ciclos de leitura e gravação com demandas de tensão reduzidas.
ÿ SDRAM: Synchronous dynamic random access memory ou DRAM síncrona (sDRAM) é uma memória
sincronizada com a velocidade do clock do processador. Isso aumenta o número de instruções que
o processador pode processar. A velocidade da SDRAM é medida em Mega Hertz (MHz). Ele é
dividido em várias seções chamadas de bancos que permitem ao dispositivo operar em vários
comandos de acesso à memória simultaneamente.
ÿ Disco: O hardware apresenta o RAID para o sistema host como um disco único e grande.
Módulo 11 Página 820 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Melhora o desempenho de E/S distribuindo a carga de E/S por vários canais e unidades de disco
RAID 0
UMA B
C D
E F
G H
Disco 0 Disco 1
Dependendo do requisito de sua organização, você pode escolher qualquer nível de RAID. Os níveis de RAID são
baseados em desempenho, tolerância a falhas ou ambos.
O RAID 0 lida com o desempenho dos dados. Nesse nível, os dados são divididos em seções e gravados em várias
unidades. A capacidade de armazenamento do RAID 0 é igual à soma das capacidades dos discos do conjunto. O
RAID 0 não fornece tolerância a falhas. Requer um mínimo de duas unidades. Não fornece redundância de dados. A
falha de um disco pode levar à falha de todos os discos em um volume de nível 0. A probabilidade de recuperar dados
de um RAID nível 0 é mínima.
A distribuição de dados em um RAID nível 0 é igual entre todos os conjuntos de discos, resultando em alto
desempenho. Com alto desempenho simultâneo, a taxa de transferência das operações de leitura e gravação em
vários discos é igual à taxa de transferência da matriz de discos. O aumento da taxa de transferência é uma vantagem
do RAID 0, considerando que a recuperação de dados não está disponível. Os controladores RAID de software e
hardware suportam RAID 0, ajudando a aumentar o desempenho do servidor.
Exemplo: Suponha que a infraestrutura de TI possua um disco rígido de alto desempenho. Os dados no disco rígido
são transferidos a uma velocidade notavelmente alta. Todos os arquivos grandes e críticos são armazenados neste
disco. No entanto, se este disco falhar, todo o conteúdo dos arquivos será afetado, levando à indisponibilidade dos
dados. É aconselhável não armazenar nenhum dado crítico em um RAID nível 0.
ÿ Desempenho de leitura e gravação: RAID nível 0 tem um bom desempenho de leitura e gravação. O
desempenho é ainda melhor quando o controlador suporta leituras e gravações independentes em diferentes
discos no array.
Módulo 11 Página 821 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Dados não críticos : Os dados que não são críticos para a organização podem ser armazenados no RAID
nível 0. Este nível não usa espelhamento. A recuperação não é possível se dados críticos forem perdidos
no nível 0 do RAID.
Módulo 11 Página 822 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
RAID 1
UMA UMA
B B
C C
D D
Disco 0 Disco 1
Um típico RAID 1 contém uma cópia exata dos dados em dois ou mais discos. O RAID 1 grava dados em várias unidades e
em várias unidades espelhadas ao mesmo tempo. A falha de uma unidade não afeta os dados em outras unidades. Isso
permite a recuperação de dados da unidade de espelhamento. Semelhante ao RAID
0, o RAID 1 não fornece paridade, remoção ou expansão de espaço em disco em vários discos. O RAID 1 pode ser usado
em contabilidade, folha de pagamento e outros aplicativos financeiros.
O RAID 1 é adequado para ambientes em que o desempenho de leitura é mais importante do que o desempenho de
gravação. O RAID 1 melhorou o desempenho de leitura porque os dados em um disco podem ser lidos simultaneamente.
O RAID nível 1 fornece confiabilidade de dados em caso de falha de disco, pois ainda pode fornecer acesso aos mesmos
dados espelhados em outros discos. Em uma implementação de hardware RAID 1, são necessários no mínimo dois discos.
Em um software RAID 1, os dados podem ser copiados para um volume de disco. O RAID 1 reduz a capacidade total do
disco pela metade.
Exemplo: Se um servidor RAID 1 estiver configurado com dois drives de 4 TB, a capacidade de armazenamento será de 4
TB e não de 8 TB.
A unidade que acessar os dados primeiro atenderá à solicitação. A taxa de transferência de gravação no RAID 1 é sempre
mais lenta porque cada unidade precisa ser atualizada. Assim, seu desempenho é limitado pela unidade mais lenta. É tão
rápido quanto sua unidade mais lenta. O RAID 1 continuará funcionando enquanto houver pelo menos uma unidade
funcionando.
ÿ Alto desempenho de leitura: como há dois discos, o desempenho de leitura é maior em um sistema RAID nível 1.
Os dados podem ser lidos simultaneamente enquanto são gravados no outro disco. Assim, a redundância é
excelente.
Módulo 11 Página 823 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Compatibilidade: RAID 1 é compatível com sistemas RAID de hardware e software, incluindo controladores.
ÿ Confiabilidade: O recurso de espelhamento em um RAID 1 garante que os dados estarão disponíveis, tornando
é mais confiável do que um RAID nível 0.
ÿ Capacidade: RAID nível 1 sofre duplexação, que precisa do dobro da quantidade de disco
espaço para armazenamento.
ÿ Hot swapping indisponível: Se um disco não for executado, ele não poderá ser substituído enquanto o
servidor ainda estiver em operação. Isso é chamado de troca a quente. RAID nível 1 não suporta hot swap.
Módulo 11 Página 824 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Paridade
Geração
A0 A1 A2 A3
B0 B1 B2 B3
C0 C1 C2 C3
D0 D1 D2 D3
Disco 4
Disco 0 Disco 1 Disco 2 Disco 3
O nível 3 do RAID é a distribuição de disco com paridade. Ele usa striping e paridade como seus principais recursos para
armazenar dados. Para implementar um sistema RAID nível 3, são necessários no mínimo três discos. Os dados são
armazenados em várias unidades no nível de byte. Este nível de RAID dedica uma unidade para armazenar as informações de
paridade. A divisão em nível de byte permite que os drives funcionem simultaneamente. A qualquer momento, uma operação de
leitura ou gravação pode ocorrer. O RAID 3 é uma boa escolha para bancos de dados especializados ou sistemas de usuário
único.
O nível 3 do RAID possui uma alta taxa de transferência de dados junto com a segurança dos dados. Ele pode executar
recuperação de dados e correção de erros calculando um OR (XOR) exclusivo das informações gravadas na unidade de
paridade.
ÿ Alta taxa de transferência: RAID nível 3 fornece alta taxa de transferência para operações de leitura e gravação
para grandes transferências de dados.
Módulo 11 Página 825 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 826 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
RAID 5
A1 A2 PA
B1 PA B2
CP C1 C2
D1 D2 DP
Disco 0 Disco 1 Disco 2
RAID nível 5 envolve uma paridade distribuída intercalada por bloco; ele inclui um striping em nível de bloco com uma paridade
distribuída. As informações de paridade são distribuídas entre todas as unidades, exceto uma. Os fragmentos de dados em um
sistema RAID nível 5 são maiores que o tamanho normal de E/S, mas podem ser redimensionados. Para evitar a perda de dados
após uma falha de unidade, os dados podem ser calculados a partir da paridade distribuída.
O RAID 5 precisa de pelo menos três discos; no entanto, mais de três discos podem ser usados para um melhor desempenho. O
RAID 5 não é uma boa escolha para operações de gravação no sistema. Reconstruir a matriz RAID 5 após uma falha de disco
leva muito tempo. O desempenho pode ser prejudicado quando o array está sendo reconstruído, tornando-o vulnerável a falhas
de disco adicionais. Esse nível oferece desempenho de leitura significativamente melhor, pois os discos processam
independentemente as solicitações de dados.
O RAID 5 é encontrado com mais frequência em servidores de arquivos e aplicativos, servidores de banco de dados, além de
servidores da Web, de e-mail e de notícias.
ÿ Dados de leitura: Entre todos os níveis de RAID, o nível 5 possui as taxas de transação de dados de leitura mais altas.
ÿ Resistir a falhas: o RAID 5 pode suportar a falha de uma única unidade e não é afetado pela perda de dados.
ÿ Hot swapping: Em caso de falha de disco, o disco com falha pode ser substituído por um novo, sem desligamento do
servidor.
ÿ Operação de gravação lenta: servidores construídos usando RAID 5 sofrem de problemas de desempenho com
operações de gravação e, eventualmente, podem resultar em velocidades reduzidas.
Módulo 11 Página 827 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 828 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
RAID 1+0
RAID 10 é uma combinação de RAID 0 (distribuição de dados RAID 0
01 de volume) e RAID 1 (espelhamento de disco), e sua implementação
RAID 1 RAID 1
requer pelo menos quatro unidades
A5 A5 A6 A6
Ele distribui os dados em pares espelhados. O espelhamento fornece
A7 A7 A8 A8
03 redundância e melhora o desempenho. A distribuição de dados fornece
Disco 0 Disco 1 Disco 2 Disco 3
desempenho máximo
O nível 10 do RAID inclui distribuição e espelhamento de disco em um nível de RAID híbrido aninhado. É uma
combinação de RAID nível 1 e RAID nível 0. Também é chamado de “faixa de espelhos”. Este nível pode ser
representado simbolicamente como RAID 1+0 ou RAID 10. O RAID 10 inclui o espelhamento do RAID 1 sem paridade
e o striping do RAID 0. O desempenho do RAID 10 é superior ao do RAID 1.
O RAID nível 10 tem a mesma tolerância a falhas que o RAID nível 1. Requer um mínimo de quatro unidades para
sua operação. O RAID 10 é uma ótima opção para servidores de banco de dados, servidores web, servidores de e-
mail, etc., e pode ser implementado em hardware ou software. O espelhamento fornece redundância e melhora o
desempenho. A distribuição de dados fornece desempenho máximo.
ÿ Operações de E/S aprimoradas: Com uma combinação dos níveis de RAID 1 e 0, ele fornece operações de
E/S aprimoradas.
ÿ Melhor throughput: Comparado com outros níveis de RAID, o RAID 10 oferece melhor
throughput e maior latência.
ÿ Operações de gravação eficientes: As operações de gravação são eficientes neste nível. Portanto, o RAID
10 geralmente é implementado em servidores de banco de dados e outros servidores que executam
operações de gravação.
ÿ Caro: o RAID 10 é caro do que outros níveis de RAID, pois requer o dobro
discos.
Módulo 11 Página 829 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 830 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ É mais tolerante a falhas do que um RAID 5, mas usa o dobro da sobrecarga de paridade
ÿ Um mínimo de seis drives são necessários para a configuração. Uma unidade de cada segmento pode
falhar e o array irá se recuperar. Se mais de uma unidade falhar em um segmento, o array deixará de
funcionar.
ÿ Este nível de RAID oferece melhores leituras e gravações do que um RAID 5 e os níveis mais altos
de redundância e desempenho
RAID 5+0
RAID 0
RAID 5 RAID 5
A1 A2 PA A3 A4 Ap
B1 PA B2 B3 PA B4
CP C1 C2 CP C3 C4
D1 D2 DP D3 D4 DP
Disco 0 Disco 1 Disco 2 Disco 3 Disco 4 Disco 5
O RAID nível 50 inclui espelhamento e distribuição em vários níveis de RAID. Este nível é uma combinação de um
striping de nível de bloco de nível 0 e uma paridade distribuída de nível 5. A configuração do RAID nível 50 requer um
mínimo de seis unidades. Este nível passa por um processo de hot swap quando um disco falha. Uma unidade de cada
segmento pode falhar e a matriz será recuperada. Se mais de uma unidade falhar em um segmento, o array deixará de
funcionar.
O RAID 50 é uma melhoria em relação ao RAID 5, especificamente por sua operação de gravação e tolerância a falhas.
O RAID nível 50 pode ser implementado em servidores que executam aplicativos que exigem maior tolerância a falhas,
capacidade e desempenho de acesso aleatório. Este nível oferece proteção de dados e reconstruções mais rápidas do
que um sistema RAID 5. Um disco com falha em um segmento afeta apenas esse segmento e não toda a matriz.
Apenas esse segmento é então reconstruído. O restante do array funciona normalmente.
Vantagens
ÿ Não degradável: Com o uso de no mínimo seis drives na configuração, a falha de um disco não impacta a função
do servidor neste nível.
Desvantagens
ÿ Controlador: Somente um controlador sofisticado pode lidar com RAID nível 50.
Módulo 11 Página 831 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 832 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma SAN é uma rede especializada, dedicada e discreta de alta velocidade que conecta
clientes clientes
dispositivos de armazenamento (discos, matrizes de discos, fitas, servidores, etc.) com uma
interconexão de E/S de alta velocidade (Fiber Channel, SAS, Ethernet, etc.)
E Comunicação
Camada de infraestrutura
As SANs são preferidas em grandes empresas devido à transferência de dados confiável e
escalabilidade flexível
Fibra Gerenciamento
Comutadores SAN
Canal Camada
Uma rede de área de armazenamento (SAN) é uma rede de alto desempenho que interconecta dispositivos de
armazenamento com vários servidores. A função de uma SAN é transferir os recursos armazenados disponíveis na
rede comum e reorganizá-los em uma rede independente e de alto desempenho. Isso ajuda os servidores a
compartilhar seu armazenamento na rede. Principalmente, uma SAN aprimora os dispositivos de armazenamento,
como unidades de fita, unidades de disco, servidores de arquivos, RAID, etc. Uma implementação de SAN torna a
manutenção do disco controlável e mais fácil. A implementação precisa de um cabo, um switch e adaptadores de
barramento de host. Cada sistema de armazenamento na SAN deve estar interconectado e, no caso de uma
interconexão física, a largura de banda deve suportar atividades extremas de dados.
Sabemos que os sistemas em uma rede se conectam a dispositivos de armazenamento. No entanto, uma
implementação de SAN é necessária para garantir que todos os sistemas em uma rede estejam conectados a cada
dispositivo de armazenamento disponível na rede. A SAN permite que esses sistemas assumam a propriedade dos
dispositivos de armazenamento; os sistemas podem trocar a propriedade dos dispositivos de armazenamento entre si.
O funcionamento de uma SAN depende da comunicação cliente-servidor. Cada organização tem vários servidores
conectados aos sistemas.
Exemplo: Se o computador A precisar de alguns dados do computador B, ele precisará de uma cópia dos dados do
servidor ao qual o computador B está conectado. Isso pode ser feito por meio de transferência de arquivos,
comunicação entre processos e backup. Embora os dados sejam transferidos do computador B para o computador
A, é possível que o computador A encontre erros inoportunos de dados, uma transferência dispendiosa entre os dois
servidores ou outros processos operacionais. A arquitetura SAN é a solução perfeita para esse problema. Na
arquitetura SAN, todos os servidores são conectados a dispositivos de armazenamento, como unidades de fita,
RAIDs, sistemas de disco, etc. por meio de um canal de fibra. Assim, ao invés de
Módulo 11 Página 833 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
comunicando-se com o computador B para os dados, o computador A pode obter diretamente uma cópia dos dados dos dispositivos de
armazenamento conectados aos servidores. Para que esse processo seja bem-sucedido, os dispositivos de armazenamento de dados atuam
como um ponto de acesso comum para todos os servidores.
O compartilhamento de armazenamento SAN elimina o agendamento de transferências de dados entre servidores. Reduz o custo de
transferência de dados entre servidores. Os dispositivos de armazenamento ajudam na transferência oportuna de dados. O armazenamento
SAN oferece apenas operações em nível de bloco que não fornecem abstração de arquivo.
No entanto, se os sistemas de arquivos forem estruturados na parte superior da SAN, o acesso ao arquivo será fornecido, o que é conhecido
como sistema de arquivos SAN.
Hoje em dia, em grandes organizações, SAN é um pool de armazenamento para servidores conectados por meio de uma rede. O canal de
fibra agora foi substituído pelo iSCSI, que se tornou a escolha de muitas organizações tradicionais. Seja qual for o tamanho da organização,
SAN tornou-se uma consolidação de cargas de trabalho na rede.
Uma SAN suporta arquivamento, backup, restauração, transferência, recuperação, migração e espelhamento de dados de um dispositivo de
armazenamento para outro. A camada de infraestrutura de comunicação fornece as conexões físicas para os dispositivos de rede. A camada
de gerenciamento organiza as conexões, elementos de armazenamento e sistemas de computador. A camada de armazenamento hospeda os
dispositivos de armazenamento.
Módulo 11 Página 834 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens do SAN
Movimentação de dados sem LAN e sem
Consolidação de armazenamento
servidor
Vantagens do SAN
Com tecnologias em rápido desenvolvimento e volumes de dados crescentes, as organizações precisam de um dispositivo de
armazenamento que possa atender e lidar com suas necessidades. As vantagens da SAN mencionadas abaixo ajudam na
sua implantação em uma infraestrutura de TI.
Vantagens
ÿ Capacidade: o desempenho da SAN é diretamente proporcional ao tipo de rede. Uma SAN permite o compartilhamento
ilimitado de dados, independentemente da capacidade de armazenamento. Sua capacidade pode ser estendida
ilimitadamente para milhares de terabytes.
ÿ Fácil compartilhamento: os dados SAN são facilmente compartilhados entre os sistemas, pois mantém um tráfego
isolado. O tráfego não interfere no tráfego normal do usuário, aumentando assim o desempenho da transferência de
dados.
ÿ Backup rápido: Uma cópia espelhada de dados pode ser criada instantaneamente. Essas imagens espelhadas podem
ser usadas como backup sempre que necessário.
ÿ Confiabilidade e Segurança: Se uma SAN for configurada corretamente, os dados estarão protegidos. chances de
a intrusão do dispositivo é mínima. Armazenamento de dados centralizado confiável e seguro.
ÿ Produtivo: Uma SAN é escalável; adicionar um novo disco à rede não interrompe a produtividade da SAN. Ao adicionar
um novo disco rígido, não é necessário reiniciar ou desligar.
ÿ Disponibilidade de aplicativos: os algoritmos em uma matriz de armazenamento SAN oferecem proteção de dados.
Isso resulta na disponibilidade de aplicativos em todos os momentos.
ÿ Inicializável: uma SAN pode executar um servidor sem um disco físico e pode ser inicializada pela SAN. Este recurso
permite o acesso a todos os arquivos de página e aplicativos.
Módulo 11 Página 835 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Conectividade à distância: Para maior segurança, os dispositivos de armazenamento podem ser mantidos em um
local isolado. Uma das características de uma SAN é que ela pode se conectar com dispositivos de até dez
quilômetros de distância.
ÿ Recuperação: Uma SAN é a opção de recuperação de dados mais confiável. Mesmo quando os servidores estão
offline, uma SAN permanece disponível.
ÿ Utilização efetiva: Uma SAN é uma opção apropriada para espaço de armazenamento do que discos locais. Se
um sistema requer mais armazenamento, uma SAN aloca dinamicamente o espaço necessário. Esse processo é
semelhante às máquinas virtuais.
A implementação de uma SAN é benéfica para uma organização, especialmente quando se considera restrições
orçamentárias, disponibilidade e experiência do funcionário.
Desvantagem
ÿ Muito caro: O custo de implementação de uma SAN pode exceder significativamente o orçamento disponível. Uma
SAN é um investimento e só deve ser implementada se atender aos objetivos da organização.
Módulo 11 Página 836 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens Desvantagens
ÿ Usuários com diferentes sistemas operacionais podem ÿ Aplicativos que usam a maioria dos dados
compartilhar arquivos sem problemas de compatibilidade largura de banda de transferência reduzirá significativamente
o desempenho da rede
de arquivos Unix ou NT
NAS é um dispositivo de armazenamento conectado a uma rede. Ele armazena e recupera dados de um local
centralizado. O NAS fornece um espaço de armazenamento compartilhado dedicado para uma rede local. A
implementação de um NAS erradica o processo de compartilhamento de arquivos do servidor na rede. O NAS contém
um ou mais dispositivos de armazenamento organizados logicamente. O NAS oferece armazenamento de arquivos por
meio de uma conexão Ethernet padrão.
Os dispositivos NAS não usam um gerenciamento de dispositivo externo e são operados por meio de um utilitário
baseado na web. Como reside em cada nó da LAN, ele possui seu próprio endereço IP. NAS é semelhante a um servidor
de arquivos. Os dispositivos NAS são escaláveis, verticalmente e horizontalmente. Uma implementação NAS é realizada
usando discos grandes e agrupados.
O NAS evoluiu do suporte à virtualização para a replicação de dados e acesso multiprotocolo. Um NAS em cluster é um
exemplo da evolução do NAS. Em uma infraestrutura NAS em cluster, o acesso é fornecido a todos os arquivos,
independentemente de sua localização física. Não requer um sistema operacional de código fechado, como o Windows.
Certos dispositivos são executados em um sistema operacional simplificado, como FreeNAS ou qualquer outra solução
de código aberto.
Os dispositivos NAS estão em alta demanda em pequenas empresas devido à sua eficácia, baixo custo e capacidade
de armazenamento escalável. Eles são classificados em três tipos com base no número de unidades, capacidade da
unidade e escalabilidade.
Vantagens
ÿ Acessibilidade: Um sistema NAS armazena dados como arquivos e é compatível com os protocolos CIFS e NFS.
Vários usuários podem acessar os arquivos simultaneamente usando uma rede Ethernet.
Os computadores em uma rede compartilhada podem acessar os dados por meio de uma conexão sem fio ou
com fio.
Módulo 11 Página 837 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Armazenamento: a implantação do NAS em uma rede aumenta a quantidade de armazenamento disponível para os
outros sistemas. Um sistema NAS pode armazenar até 8 TB de dados. Um NAS é mais apropriado para armazenar
grandes aplicativos ou arquivos de vídeo.
ÿ Eficiente e confiável: o NAS garante uma transferência eficiente de dados e acesso confiável à rede. Se um sistema
em uma rede falhar, o funcionamento de outros sistemas não é afetado. Um servidor NAS também pode ser criado
para dar aos usuários a capacidade de acessar arquivos ou aplicativos grandes.
ÿ Backup automático: Certos dispositivos NAS são configurados com um recurso de backup automático. Os dados estão
disponíveis no sistema do usuário, bem como no disco rígido do servidor.
As alterações feitas no sistema do usuário também são refletidas no disco rígido do servidor.
O backup automático não é demorado e garante a segurança dos dados.
ÿ Compatibilidade: usuários com diferentes sistemas operacionais podem compartilhar arquivos sem problemas de
compatibilidade.
ÿ Um NAS pode ser conectado a uma LAN usando o recurso plug and play.
Desvantagens
ÿ Consumo: o NAS compartilha a rede com outras máquinas host, e isso tende a consumir uma quantidade maior de
largura de banda da rede. Para sistemas NAS remotos, o desempenho da transferência de dados dependerá da
largura de banda disponível. É aconselhável evitar o armazenamento de bancos de dados em um NAS, pois o tempo
de resposta do servidor varia dependendo da largura de banda. Os aplicativos que usam a maior parte da largura de
banda de transferência de dados reduzirão significativamente o desempenho da rede.
ÿ Congestão de rede: Um grande processo de backup pode afetar a função de uma rede IP e pode levar ao
congestionamento da rede.
ÿ A transferência de dados é ineficiente, pois usa TCP/IP em vez de uma transferência de dados especializada
protocolo.
Módulo 11 Página 838 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Faça backup dos dados quando o aplicativo, banco ÿ Faça backup dos dados quando o aplicativo, banco de ÿ Uma combinação de backups quentes e
de dados ou sistema estiver em execução e dados ou sistema não estiver em execução frios
disponível para os usuários (desligamento) e não estiver disponível para os usuários
ÿ Usado quando um tempo de inatividade do nível de serviço é ÿ Usado quando um tempo de inatividade do nível de Vantagens:
não permitido serviço é permitido e um backup completo é necessário
ÿ Mais barato do que um backup
Vantagem: Vantagem: dinâmico ÿ Alternando o backup de dados
leva menos tempo que um backup frio,
ÿ Possibilidade de troca imediata de backup ÿ Mais barato mas mais tempo que um backup quente
de dados
ÿ Muito caro ÿ Mudar o backup de dados requer ÿ É menos acessível que o hot backup
tempo adicional
As organizações podem escolher qualquer método de backup, dependendo do orçamento e da infraestrutura de TI.
Os diferentes tipos de métodos de backup de dados são:
ÿ Hot Backup
Um backup dinâmico é um método popular de backup. Também é chamado de backup dinâmico ou backup
ativo. Em um hot backup, o sistema continua realizando o backup mesmo quando o usuário está acessando
o sistema. A implementação de um hot backup em uma organização evita o tempo de inatividade. No
entanto, as alterações feitas nos dados durante o processo de backup não são refletidas no arquivo de
backup final. Além disso, enquanto o backup está em andamento, os usuários podem achar o sistema
lento. Um backup dinâmico é um processo caro. É usado quando não é permitido um tempo de inatividade
do nível de serviço.
Vantagem:
Desvantagem:
o Muito caro
ÿ Backup frio
Um backup frio também é chamado de backup offline. Um backup a frio pode ocorrer quando o sistema não
está funcionando ou não está acessível aos usuários. Um backup a frio é o método de backup mais seguro,
pois evita o risco de copiar os dados. Um backup a frio envolve tempo de inatividade, pois os usuários não
podem usar a máquina até que o processo esteja online novamente. Um backup frio não é tão caro quanto
um backup quente. Ele é usado quando um tempo de inatividade do nível de serviço é permitido e um
backup completo é necessário.
Módulo 11 Página 839 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagem:
o Menos caro
Desvantagem:
ÿ Backup quente
Um backup morno também é chamado de backup nearline. Ele terá uma conectividade com a rede. Em um
backup morno, as atualizações do sistema são ativadas para receber atualizações periódicas. É benéfico
ao espelhar ou duplicar os dados. O processo de backup morno pode levar muito tempo e pode ser
realizado em intervalos que podem durar de dias a semanas. É uma combinação de backups quentes e
frios.
Vantagem: o
Alternar o backup de dados leva menos tempo do que um backup a frio, mas mais tempo do que um
backup a quente
Desvantagem:
Módulo 11 Página 840 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Backup de dados no local Backup de dados fora do local Backup de dados na nuvem
ÿ Os dados de backup no local podem ser ÿ Os dados são protegidos de ÿ Os dados são criptografados e livres
facilmente acessado e restaurado ameaças de segurança física , de ameaças de segurança física
como incêndios, inundações, etc.
ÿ Mais barato
ÿ Os dados podem ser acessados
de qualquer lugar
ÿ O risco de perda de dados é maior ÿ Problemas com um cronograma ÿ Sem controle direto dos dados de
Esse tipo de backup é realizado dentro de uma organização. O backup no local usa dispositivos externos, como uma
unidade de fita, DVD, disco rígido, etc. A escolha do armazenamento externo dependerá da quantidade de dados a serem
copiados. ÿ Vantagens:
o Mais barato.
o A mídia usada para backup no local está prontamente disponível e custa menos.
o Escalabilidade aprimorada.
ÿ Desvantagens: o
Em um backup externo, o backup é feito em um local remoto em cofres à prova de fogo e indestrutíveis.
Ele armazena os dados em unidades físicas, online ou em um serviço de backup de terceiros. Armazenar os dados online
ajuda a ter um backup de dados atualizado disponível.
Módulo 11 Página 841 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Vantagens:
o A implementação de backup externo cria várias cópias que podem ser armazenadas em vários
Localizações.
o Os dados são protegidos contra ameaças de segurança física, como incêndios, inundações, etc.
ÿ Desvantagens:
Um backup em nuvem também é conhecido como backup online. Envolve armazenar o backup em uma rede pública ou em
um servidor proprietário. Normalmente, um provedor de serviços terceirizado hospeda o servidor proprietário. O processo
de backup de dados em nuvem funciona de acordo com os requisitos da organização.
Se a organização precisar de um backup diário, o servidor proprietário executará um backup diário. Normalmente, todos os
dados não críticos são arquivados usando um backup de dados na nuvem.
ÿ Vantagens:
o O backup de dados em nuvem é eficiente, pois usa tecnologias como backup baseado em disco,
virtualização, criptografia, etc.
ÿ Desvantagens:
o Os proprietários de backup de dados em nuvem não dão garantias ou garantias na conclusão de um backup. A
organização é responsável por verificar se o processo de backup foi bem-sucedido.
Módulo 11 Página 842 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de backup
Completo/Normal
ÿ Todos os dados do sistema são copiados para a mídia de backup
Backup de dados
Dados Diferenciais ÿ Todos os dados que foram alterados desde o último backup completo são copiados para
Cópia de segurança a mídia de backup
Dados Incrementais ÿ Apenas os arquivos que foram alterados ou criados após o último backup são copiados para a mídia de backup
Cópia de segurança
Incremental 3
300MB
Cópia de segurança Diferencial 3
Diferencial 2 Incremental 2
100MB
Diferencial 1 Incremental 1
Tipos de backup
Um tipo de backup apropriado é aquele que não causa grande impacto na largura de banda, custo, tempo necessário
e recursos da organização. Os três tipos de backup mais comuns são completo, diferencial e incremental.
ÿ Backup completo: também chamado de backup normal. Um backup completo ocorre automaticamente de
acordo com uma programação definida. Ele copia todos os arquivos e os compacta para economizar espaço.
Um backup completo fornece proteção de dados eficiente para os dados copiados.
Exemplo: Considerando o exemplo acima, suponha que um backup completo está agendado para domingo
e, em seguida, um backup diferencial está agendado para ser executado até sábado. Assim que o backup
completo for concluído no domingo, o backup diferencial ocorrerá na segunda-feira e os dados que foram
alterados serão copiados. Na terça-feira, o backup será para as alterações feitas no domingo e na segunda-
feira. Então, na quarta-feira, incluirá as mudanças de domingo, segunda e terça-feira.
ÿ Backup incremental: Faz backup apenas dos arquivos que foram alterados ou criados após o último backup
são copiados para a mídia de backup. O último backup pode ser de qualquer tipo. Antes de executar um
backup incremental, o backup do sistema deve ser feito usando um backup completo ou normal.
Exemplo: suponha que um backup completo do sistema seja agendado para domingo e um backup
incremental seja agendado de terça a sábado. Uma vez que o backup completo é
Módulo 11 Página 843 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 844 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
tipos de backup
Compare as vantagens e desvantagens de cada tipo de backup e selecione aquele que é mais adequado para a
organização.
Backup Completo
ÿ Vantagens:
ÿ Desvantagens:
o Um processo demorado porque cada arquivo é copiado toda vez que um backup completo é
realizada.
Backup incremental
ÿ Vantagens:
ÿ Desvantagens:
Módulo 11 Página 845 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
backup diferencial
ÿ Vantagens:
o Usa o espaço de armazenamento de forma mais eficiente do que um backup completo; o backup contém apenas as
alterações feitas em intervalos regulares.
ÿ Desvantagens:
Módulo 11 Página 846 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
BullGuard Backup
https:// www.bullguard.com
Power2Go 13
https:// www.cyberlink.com
Backup4all
https:// www.backup4all.com
Use o histórico de arquivos para fazer backup e restaurar no Windows. Por padrão, ele faz backup da unidade do sistema.
Outras unidades podem ser selecionadas para backup, se necessário. O backup regular de dados e configurações é recomendado para evitar a perda
de dados.
ÿ Selecione Iniciar ÿ Configurações ÿ Atualização e segurança ÿ Backup ÿ Adicionar uma unidade + e selecione uma unidade externa ou
Módulo 11 Página 847 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Selecione uma unidade externa. O histórico de arquivos agora está arquivando dados. Um controle deslizante liga/desliga aparece
sob um novo título Fazer backup automático dos meus arquivos.
ÿ Por padrão, o Histórico de arquivos do Windows 10 fará backup de todas as pastas na pasta do usuário, fará backup dos arquivos
a cada hora, desde que a unidade de backup esteja disponível e manterá as cópias anteriores dos arquivos para sempre. Para
alterar qualquer uma dessas configurações, clique em Mais opções no controle deslizante liga/desliga.
Módulo 11 Página 848 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 849 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Política de retenção de dados é um conjunto de regras para preservar e manter dados para fins operacionais ou regulatórios
Retenção de dados requisitos de conformidade
Política ÿ A política define os períodos de retenção necessários para diferentes tipos de dados e define os padrões mínimos para destruir certas
informações
A retenção de dados é o processo de armazenamento e manutenção de informações importantes para atender aos requisitos de
conformidade e arquivamento de dados corporativos. Ele ajuda as organizações a recuperar dados críticos para os negócios em
caso de perda de dados.
Toda organização deve desenvolver uma política de retenção de dados para garantir que todos os dados importantes sejam
armazenados satisfatoriamente. A política de retenção de dados é um conjunto de regras para preservar e manter dados para
requisitos de conformidade operacional ou regulamentar. A política define os períodos de retenção necessários para diferentes tipos
de dados e também define os padrões mínimos para a destruição de determinadas informações.
Uma política de retenção de dados é aplicada a todas as unidades de negócios, processos e sistemas em todos os países onde uma
organização opera. É aplicado a executivos, diretores, funcionários, agentes, afiliados, contratados, consultores, conselheiros ou
prestadores de serviços de uma organização que podem coletar, processar ou ter acesso a diferentes tipos de dados. Além disso, é
aplicado a todos os documentos, como e-mails, documentos impressos, documentos eletrônicos, arquivos de áudio e vídeo, etc.
As etapas a seguir são usadas para criar uma política de retenção de dados:
Você deve criar uma equipe de desenvolvimento de política de retenção de dados que inclua membros como:
Módulo 11 Página 850 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o GDPR da UE
o Documentos
o Registros do cliente
o Informações transacionais
o Planilhas
o Contratos
o Registros de funcionários
o Registros do cliente
o Relatórios financeiros
o Outras informações produzidas, coletadas e mantidas para satisfazer atividades comerciais regulares
Módulo 11 Página 851 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Finalidade
o Plano de litígio
Todos os funcionários devem estar cientes e compreender de forma abrangente os diferentes aspectos da política de
retenção de dados. Forneça a cada funcionário uma cópia da política de retenção de dados e também crie sessões de
treinamento e revisão para mantê-los atualizados.
Módulo 11 Página 852 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Crie uma política simples que seja fácil para Classifique os dados e decida se eles devem
os funcionários implementarem 04 08 ser arquivados ou excluídos
As seguintes práticas recomendadas de retenção de dados para uma organização podem ajudar a estabelecer e aplicar uma
política de retenção de dados mais compatível e útil adequada às suas necessidades:
ÿ Crie uma política de retenção de dados que atenda aos requisitos legais e comerciais
ÿ Comece a criar uma política com requisitos mínimos e adicione novos requisitos conforme e
quando requisitado
ÿ Crie uma política simples que seja fácil para os funcionários implementarem
ÿ Criar diferentes políticas de retenção de dados para diferentes tipos de dados, de acordo com seus requisitos legais e
impactos nos negócios
ÿ Reter informações de clientes, assinantes e usuários apenas até que sejam necessárias
ÿ Arquivos que não são acessados com frequência devem ser movidos para um arquivo de nível inferior
Módulo 11 Página 853 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
EaseUS Data O software de recuperação de dados EaseUS pode recuperar rapidamente arquivos perdidos
Assistente de Recuperação após a exclusão ou esvaziamento da lixeira
Recuva®
https:// www.ccleaner.com
Glary Undelete
https:// www.glarysoft.com
O software de recuperação de dados da EaseUS pode recuperar rapidamente arquivos perdidos após a exclusão ou
esvaziamento da lixeira. Ele verifica todos os arquivos recuperáveis de qualquer dispositivo de armazenamento inacessível e
conclui a recuperação de arquivos com segurança e eficiência. Ele é usado não apenas para a recuperação de arquivos
excluídos e unidades formatadas, mas também para superar outros problemas de perda de dados, como ataques de vírus,
erros humanos, falhas de energia, falhas do sistema, reinstalação/atualização do sistema operacional, falhas no disco rígido e
falhas de software.
Módulo 11 Página 854 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 855 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
04
03 Discutir a perda de dados
Conceitos de Prevenção
02 Discutir backup e retenção
de dados
01 Discutir várias seguranças
Controles para criptografia de dados
Entenda a segurança de dados e
sua importância
O objetivo desta seção é explicar a importância da prevenção de perda de dados (DLP) na segurança
de dados.
Módulo 11 Página 856 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A prevenção contra perda de dados (DLP) inclui um conjunto de produtos e processos de software que não permitem que os
usuários enviem dados corporativos confidenciais para fora da organização. Esses produtos de software ajudam os profissionais
de segurança a controlar quais dados os usuários finais podem transferir. As regras DLP bloqueiam a transferência de qualquer
informação confidencial em redes externas. Eles controlam qualquer acesso não autorizado às informações da empresa e
impedem que alguém envie programas maliciosos para a organização.
O software DLP é implementado de acordo com as regras organizacionais definidas pela administração.
Isso evita vazamentos e perdas acidentais/maliciosas de dados. Se um funcionário tentar encaminhar ou mesmo fazer upload de
dados da empresa em armazenamento em nuvem ou em um blog, o acesso será negado pelo sistema. Uma política de DLP é
adotada pela administração quando são detectadas ameaças internas a uma empresa. Uma política DLP garante que nenhum
de seus funcionários envie informações confidenciais para fora da organização. Novas ferramentas DLP emergentes não apenas
evitam a perda de dados, mas também monitoram e controlam a ocorrência de atividades irregulares no sistema.
Diferentes produtos DLP estão disponíveis para ajudar os profissionais de segurança a determinar quais dados os usuários
podem transferir. Os produtos DLP também são conhecidos como produtos de prevenção de vazamento de dados, prevenção
de perda de informações ou prevenção de extrusão.
Módulo 11 Página 857 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Uma solução que monitora e protege sistemas baseados em PC , como tablets, laptops, etc.
ÿ
Ele é usado para evitar vazamento de dados por meio de pranchetas, dispositivos removíveis e aplicativos de compartilhamento
Rede DLP
ÿ Uma solução que monitora, protege e relata todos os dados em trânsito
ÿ
É instalado no “perímetro” da rede de uma organização
ÿ
Ele ajuda os profissionais de segurança a verificar todos os dados que passam pelas portas e protocolos dentro da organização
Armazenamento DLP
ÿ Uma solução que monitora e protege os dados em repouso, ou seja, os dados armazenados na infraestrutura de data center de uma organização
como servidores de arquivos, SharePoint e bancos de dados
ÿ
Ele identifica o local onde as informações confidenciais são armazenadas e ajuda os usuários a determinar se elas estão armazenadas com segurança
Existem vários tipos de soluções DLP que funcionam de forma diferente com o mesmo objetivo, ou seja, evitar o
vazamento de dados.
ÿ Endpoint DLP: Endpoint DLP é uma solução que monitora e protege sistemas baseados em PC, como tablets,
laptops, etc. É usado para evitar vazamento de dados por meio de pranchetas, dispositivos removíveis e
aplicativos de compartilhamento. A solução inclui um agente que monitora operações específicas do usuário,
como enviar um e-mail, copiar um arquivo para dispositivos de mídia removível, imprimir um arquivo, etc.
Endpoint DLP protege os dados em uso.
ÿ Network DLP: Network DLP é uma solução que monitora, protege e relata todos os dados em trânsito. Ele é
instalado no “perímetro” da rede de uma organização. Ele ajuda o profissional de segurança a verificar todos
os dados que passam pelas portas e protocolos dentro da organização. Ele pode analisar tráfego de e-mail,
interações de mídia social, tráfego SSL, mensagens instantâneas, etc. A solução mantém relatórios contendo
informações como quais dados são usados, quem está usando os dados e para onde os dados são enviados.
Assim, auxilia no controle do fluxo de dados pela rede da organização e atende à conformidade regulatória.
Os dados coletados por um Network DLP são armazenados em um banco de dados para recuperação posterior.
ÿ DLP de armazenamento: O DLP de armazenamento é uma solução que monitora e protege os dados em
repouso, ou seja, os dados armazenados na infraestrutura do data center de uma organização, como
servidores de arquivos, SharePoint e bancos de dados. Ele identifica o local onde as informações confidenciais
são armazenadas e ajuda os usuários a determinar se elas estão armazenadas com segurança. Ele permite
que usuários autorizados visualizem e compartilhem arquivos confidenciais na rede da organização.
Módulo 11 Página 858 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O WIP pode ser configurado para armazenar dados de negócios apenas em dispositivos aprovados/dentro de aplicativos aprovados
A Proteção de Informações do Windows (WIP) tem um recurso DLP de ponto de extremidade que pode ser útil para proteger
dados locais em repouso em dispositivos de ponto de extremidade. O WIP pode ser configurado para armazenar dados de
negócios apenas em dispositivos aprovados/dentro de aplicativos aprovados.
Se o usuário criar um arquivo em um dispositivo Windows 10, o Windows Defender ATP avaliará seu conteúdo em busca de
informações confidenciais ou personalizadas. No caso de correspondências de arquivo, o Windows Defender ATP aplica DLP
em seus pontos de extremidade. Para descoberta de dados, o Windows Defender ATP se integra à Proteção de Informações
do Azure (AIP) e relata os dados confidenciais detectados. Arquivos com informações confidenciais e rótulos de
confidencialidade são agregados pelo AIP.
Vantagens do WIP:
ÿ Como o WIP separa dados corporativos e pessoais, não há necessidade de um funcionário alternar os aplicativos ou
ambientes.
ÿ
Ele reforça a proteção de dados para aplicativos de linha de negócios existentes.
ÿ O WIP pode remover os dados corporativos dos dispositivos inscritos no Intune MDM.
ÿ Para configuração, implantação e gerenciamento, o WIP integra-se ao Microsoft Intune, System Center Configuration
Manager ou ao gerenciamento atual de dispositivos móveis.
Módulo 11 Página 859 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 860 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Soluções DLP
MyDLP permite que o usuário monitore, inspecione e impeça a saída de
MyDLP
todos os dados confidenciais sem problemas
Soluções DLP
ÿ MyDLP
MyDLP é uma solução gratuita e de código aberto que permite que as organizações protejam dados
confidenciais. Os canais de inspeção de dados suportados incluem web, e-mail, mensagens instantâneas,
impressoras, dispositivos de armazenamento removíveis, capturas de tela, etc. O MyDLP permite que o usuário
monitore, inspecione e impeça a saída de todos os dados confidenciais sem problemas.
Com sua implantação e configuração simples, uma interface de política fácil de usar e ótimo desempenho, os
administradores de TI e os responsáveis pela segurança podem combater com eficácia o vazamento de dados.
Módulo 11 Página 861 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 11 Página 862 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Implementar DLP com uma base mínima para reduzir falsos positivos e aprimorar a base
gradualmente identificando dados confidenciais
ÿ Aprimorar as políticas DLP para dar suporte a operações DLP eficazes e eliminar
falso-positivo
O DLP protege informações confidenciais em uma organização. A implementação do DLP não apenas evita o
vazamento de dados confidenciais, mas também permite que o profissional de segurança monitore e controle os dados
acessados e compartilhados por um usuário final.
Algumas práticas recomendadas para uma implementação de DLP bem-sucedida são as seguintes:
ÿ Certifique-se de que o produto DLP selecionado seja compatível e ofereça suporte aos tipos de dados e
armazenamentos de dados necessários da organização.
ÿ Implementar DLP com uma base mínima para reduzir falsos positivos e aprimorar a base gradualmente
identificando dados confidenciais.
ÿ Aprimorar as políticas DLP para dar suporte a operações DLP eficazes e eliminar falsos
positivos.
Módulo 11 Página 863 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu a segurança de dados e sua importância
Por fim, este módulo terminou com uma visão geral das soluções de
prevenção contra perda de dados (DLP) e DLP
Resumo do Módulo
Este módulo discutiu a segurança de dados e sua importância. Ele discutiu as diferentes tecnologias de segurança de
dados, bem como vários controles de segurança para criptografia de dados. Além disso, demonstrou várias
ferramentas de criptografia de disco, criptografia de arquivo e criptografia de mídia removível.
Este módulo também discutiu métodos e ferramentas para backup e retenção de dados. Por fim, este módulo
apresentou uma visão geral das soluções de prevenção contra perda de dados (DLP) e DLP.
Módulo 11 Página 864 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
ND
Network
E
Defense Essentials
Rede Fundamentos de Defesa
Módulo 12
Monitoramento de Tráfego de Rede
Machine Translated by Google
Objetivos do módulo
Compreendendo a necessidade e as vantagens da rede
1 Monitoramento de Tráfego
Objetivos do módulo
As organizações precisam realizar monitoramento de rede e analisar o tráfego de rede para identificar atividades
suspeitas em suas redes. Este módulo abrange o conceito de monitoramento de tráfego de rede.
Módulo 12 Página 866 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a necessidade e
1 Vantagens do tráfego de rede
Monitoramento
Execute o monitoramento de
3 rede para tráfego suspeito
Módulo 12 Página 867 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Rede
Tráfego
Monitoramento
O monitoramento de rede é uma abordagem de segurança retrospectiva que envolve o monitoramento de uma rede em busca
de atividades anormais, problemas de desempenho, problemas de largura de banda, etc.
O monitoramento de rede é parte integrante da segurança de rede e é uma tarefa exigente dentro das operações de segurança de rede
das organizações
O monitoramento e a análise contínuos do tráfego de rede são necessários para uma detecção eficaz de ameaças
O monitoramento do tráfego de rede é o processo de capturar o tráfego de rede e inspecioná-lo de perto para
determinar o que está acontecendo na rede. O monitoramento de rede é uma abordagem de segurança retrospectiva
que envolve o monitoramento de uma rede em busca de atividades anormais, problemas de desempenho, problemas
de largura de banda, etc. É parte integrante da segurança de rede e é uma tarefa exigente nas operações de
segurança de rede das organizações. O monitoramento e a análise contínuos do tráfego de rede são necessários
para a detecção eficaz de ameaças. O Profissional de Segurança deve se esforçar constantemente para manter
uma operação de rede sem problemas. Se uma rede ficar inativa, mesmo que por um curto período, a produtividade
da empresa pode diminuir. Para ser proativo em vez de reativo, o movimento e o desempenho do tráfego devem
ser monitorados para garantir que nenhuma violação de segurança ocorra na rede.
O processo de monitoramento de rede envolve a detecção do tráfego que flui pela rede. Para isso, os pacotes de
rede devem ser capturados e uma análise de assinatura deve ser realizada para identificar qualquer atividade
maliciosa.
Os operadores de rede usam ferramentas de análise de tráfego de rede para identificar pacotes maliciosos ou
suspeitos ocultos no tráfego. Eles monitoram as velocidades de download/upload, taxa de transferência, conteúdo,
comportamentos de tráfego etc. para entender o status das operações da rede.
Módulo 12 Página 868 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Necessidade de rede
Monitoramento
O monitoramento de rede ajuda os profissionais de segurança a identificar possíveis problemas antes que eles
afetem a continuidade dos negócios. Se ocorrer um problema na rede, a causa raiz pode ser determinada facilmente
com o monitoramento de rede e, com ferramentas de automação de rede, o problema pode ser corrigido
automaticamente. O monitoramento de rede não apenas evita interrupções, mas também dá visibilidade a possíveis
problemas. O monitoramento contínuo da rede minimiza o tempo de inatividade e aumenta o desempenho da rede.
Mesmo quando as ferramentas de segurança estão instaladas, os invasores podem encontrar maneiras de contornar
esses mecanismos de segurança para entrar na rede. As ferramentas de segurança geralmente usam técnicas de
detecção baseadas em assinaturas e é difícil identificar assinaturas/padrões de ataque que mudam continuamente.
Essas ferramentas não são projetadas para identificar anomalias comportamentais e não são capazes de detectar
as atividades dos invasores que são iniciadas antes e durante os ataques.
As ferramentas de monitoramento de rede fornecem o primeiro nível de segurança e ajudam a identificar condições
anômalas na rede, que indicam atividade do invasor.
Módulo 12 Página 869 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Vantagens da Rede
Monitoramento
Entendendo como os dados fluem em uma rede
Monitorar o tráfego
de rede ajuda a
Detecção de sinais de atividade maliciosa
A análise do tráfego de rede é realizada para obter informações detalhadas sobre os tipos de pacotes de rede
ou dados que fluem por uma rede. Normalmente, é executado por meio de monitoramento de rede ou utilitários
de monitoramento de largura de banda de rede. As estatísticas de tráfego da análise de tráfego de rede ajudam
no seguinte:
Módulo 12 Página 870 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Utilização: É importante entender a necessidade de utilização da rede, especialmente com toda a tecnologia
nova e em evolução. O monitoramento de rede fornece detalhes completos sobre a infraestrutura. Ele
fornece uma ideia sobre a quantidade de carga que uma rede pode suportar durante períodos de tráfego
intenso, permitindo a utilização eficiente do espaço na rede.
ÿ Minimização de riscos: técnicas de monitoramento de rede são necessárias para estabelecer acordos de
nível de serviço (SLAs) e conformidade aplicáveis a usuários ou consumidores. Informações completas de
infraestrutura são necessárias ao elaborar SLAs. O monitoramento em tempo real das topologias e canais
de rede auxilia na criação dos SLAs.
Técnicas de monitoramento de rede são benéficas para profissionais de segurança. São muito fáceis de configurar
e implementar, considerando a complexidade das redes.
Módulo 12 Página 871 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a necessidade e
1 Vantagens do tráfego de rede
Monitoramento
Execute o monitoramento de
3 rede para tráfego suspeito
O objetivo desta seção é explicar os vários tipos de assinaturas de tráfego de rede e o conceito de
linha de base de assinaturas de tráfego normais. Ele descreve as categorias de assinaturas de
tráfego de rede suspeitas e técnicas de análise de assinatura de ataque.
Módulo 12 Página 872 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de assinaturas
Uma assinatura é um conjunto de caracteres que definem a atividade da rede, incluindo endereços IP, sinalizadores
TCP (Transmission Control Protocol) e números de porta. Ele inclui um conjunto de regras usadas para detectar o
tráfego malicioso que entra na rede. As assinaturas são usadas para executar o seguinte:
ÿ Adquirir conhecimento sobre um ataque específico que ocorreu ou uma vulnerabilidade que pode ser
explorado.
Tipo de assinaturas
As assinaturas são classificadas em duas categorias principais, dependendo de seu comportamento, conforme descrito
abaixo.
ÿ Assinaturas de tráfego normal: incluem o tráfego de rede normal na rede e são definidas com base em uma
linha de base de tráfego normal para a organização. Essas assinaturas não contêm nenhum padrão malicioso
e podem entrar na rede.
ÿ Assinaturas de ataque: padrões de tráfego que parecem suspeitos são geralmente tratados como assinaturas
de ataque. Essas assinaturas não devem ter permissão para entrar na rede. Se permitido, eles geralmente
causam uma violação de segurança de rede. Essas assinaturas se desviam do comportamento normal de
assinatura e devem ser analisadas.
Módulo 12 Página 873 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Algumas considerações para criar uma linha de base para o tráfego normal:
ÿ Qualquer tráfego que viole as políticas de rede é tráfego malicioso; por exemplo, a
existência de tráfego de protocolo de transferência de arquivos (FTP) quando esse
tipo é restrito indica um possível problema
Uma linha de base do tráfego de rede ajuda a entender os padrões de comportamento de uma rede. É uma referência
para diferenciar entre tráfego normal e suspeito. A linha de base permite um conjunto de métricas para monitorar o
desempenho da rede. Essas métricas definem a condição normal de trabalho do tráfego de rede de uma empresa. O
tráfego de rede é comparado com métricas para detectar quaisquer alterações no tráfego que possam indicar um
problema de segurança na rede. Uma linha de base do tráfego de rede estabelece os pacotes aceitos que são seguros
para a organização. A linha de base do tráfego facilita a detecção de atividades suspeitas na rede. Qualquer desvio da
linha de base do tráfego normal pode ser considerado uma assinatura de tráfego suspeita. O profissional de segurança
deve definir uma linha de base de rede para sua organização e validar o tráfego nela. A linha de base é mais eficaz se
funcionar em paralelo com a política da organização. Com a ajuda da linha de base do tráfego normal, o profissional de
segurança pode avaliar os requisitos para proteger a rede. As linhas de base do tráfego de rede diferem entre as
organizações e mudam ao longo do tempo de acordo com o ambiente operacional e o cenário de ameaça predominante.
Embora não haja um padrão da indústria para medir as linhas de base de desempenho do tráfego de rede, existem
ferramentas de monitoramento de rede que fornecem estimativas de que tipo de tráfego é normal. Uma linha de base de
tráfego de rede deve ser definida para todo o tráfego de entrada e saída da Internet e links de rede de longa distância
(WAN). A linha de base do tráfego de rede também deve conter o tráfego para dados críticos de negócios e sistemas de
backup.
ÿ De acordo com uma linha de base de tráfego de rede, as assinaturas de tráfego normais para pacotes TCP devem
têm as seguintes características:
o Para estabelecer um handshake de três vias, o TCP usa os bits SYN, SYN ACK e ACK em cada
sessão.
Módulo 12 Página 874 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o O bit ACK deve ser definido em todos os pacotes, exceto no pacote inicial, no qual o
O bit SYN está definido.
o FIN ACK e ACK são usados para encerrar uma conexão. PSH FIN e ACK também podem ser
utilizados inicialmente no mesmo processo.
o RST e RST ACK são usados para encerrar rapidamente uma conexão em andamento.
o Durante uma conversa (após um aperto de mão e antes do término), os pacotes contêm apenas um bit ACK por
padrão. Ocasionalmente, eles também podem ter um conjunto de bits PSH ou URG.
o SYN FIN PSH, SYN FIN RST e SIN FIN PSH RST são variantes de SIN FIN. Um
o invasor define esses bits adicionais para evitar a detecção.
o Um pacote com apenas um sinalizador FIN é ilegal, pois FIN pode ser usado em mapeamento de rede, varredura de
portas e outras atividades furtivas.
o Alguns pacotes têm todos os seis sinalizadores desativados; estes são conhecidos como flags NULL e são ilegais.
o Se o sinalizador ACK estiver definido, o número de confirmação não deve ser zero.
o Se um pacote tiver apenas o bit SYN, que é definido no início para estabelecer uma conexão, e quaisquer outros
dados estiverem presentes, então é um pacote ilegal.
o Todo pacote TCP tem dois bits reservados para uso futuro. Se um ou ambos estiverem definidos, o pacote é ilegal.
ÿ Todas as conversas originadas dentro da zona desmilitarizada (DMZ) são tráfego confiável
Itens.
ÿ Qualquer tráfego que viole as políticas de rede é tráfego mal-intencionado, por exemplo, a existência de tráfego FTP (File
Transfer Protocol) quando esse tipo é restrito indica um possível problema.
ÿ Qualquer tráfego de Protocolo de Configuração de Host Dinâmico (DHCP) de servidores DHCP desconhecidos
indica um servidor DHCP não autorizado.
ÿ O tráfego de correio originado na rede, mas não enviado a um servidor de correio, é suspeito.
ÿ Qualquer tráfego de saída com endereços internos que não correspondam ao endereço da organização
space pode ser malicioso.
Módulo 12 Página 875 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Informativo Reconhecimento
Tráfego contendo certas assinaturas que Tráfego contendo certas assinaturas que
podem parecer suspeitas, mas indicam uma tentativa de obter
podem não ser maliciosas informações
Tráfego contendo certas assinaturas que Tráfego contendo certas assinaturas que
indicam uma tentativa de obter indicam uma tentativa de DoS que inunda
acesso não autorizado um servidor com um grande número de
solicitações
O tráfego de rede que se desvia do comportamento normal é classificado como uma assinatura de tráfego suspeita.
É classificado em quatro categorias como segue.
ÿ Reconhecimento: O tráfego de reconhecimento consiste em assinaturas que indicam uma tentativa de escanear a rede em
busca de possíveis pontos fracos. O reconhecimento é uma descoberta não autorizada de vulnerabilidades, que mapeia
sistemas e serviços. O reconhecimento também é conhecido como coleta de informações e precede um ataque de rede
na maioria dos casos. Por exemplo, assinaturas de tráfego de reconhecimento podem incluir o seguinte:
ÿ Acesso não autorizado: o tráfego pode conter sinais de alguém tentando obter acesso não autorizado, recuperação de
dados não autorizada, acesso ao sistema ou escalonamento de privilégios, etc. Um invasor que não tem privilégios para
acessar a rede de uma organização
Módulo 12 Página 876 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
geralmente gera esse tipo de tráfego com a intenção de capturar dados sensíveis. Por exemplo, as assinaturas de
tráfego de acesso não autorizado podem incluir o seguinte:
o Tentativas de detecção
ÿ Negação de serviço (DoS): Esse tipo de tráfego pode conter um grande número de solicitações de uma única fonte ou
de várias fontes, que são enviadas como uma tentativa de realizar um ataque DoS. Esse tipo de ataque é realizado
para interromper o serviço da organização alvo.
Por exemplo, as assinaturas de tráfego DoS podem incluir o seguinte:
Módulo 12 Página 877 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ As assinaturas de ataque estão contidas em cargas úteis de pacotes ÿ As assinaturas de ataque estão contidas nos cabeçalhos dos pacotes
CABEÇALHO PAYLOAD
CABEÇALHO PAYLOAD
ÿ A análise de pacote único é suficiente para detectar assinaturas de ÿ A análise de vários pacotes é necessária para detectar assinaturas de
ataque ataque
As técnicas de análise de assinatura de ataque são classificadas em quatro categorias diferentes, conforme a seguir.
ÿ Análise de assinatura baseada em conteúdo: As assinaturas baseadas em conteúdo são detectadas analisando os
dados na carga útil e combinando uma sequência de texto com um conjunto específico de caracteres. Se não forem
detectadas, essas assinaturas podem abrir backdoors em um sistema, fornecendo controles administrativos para um
estranho.
ÿ Análise de assinatura baseada em contexto: Os pacotes geralmente são alterados usando as informações do
cabeçalho. Assinaturas suspeitas no cabeçalho podem incluir dados maliciosos que podem afetar o seguinte:
o Opções de IP
o Protocolos IP
ÿ Análise baseada em assinatura atômica: Para detectar uma assinatura atômica, os profissionais de segurança
precisam analisar um único pacote para determinar se a assinatura inclui padrões maliciosos. Os profissionais de
segurança não exigem nenhum conhecimento de atividades passadas ou futuras para detectar esses padrões de
assinatura.
ÿ Análise baseada em assinatura composta: Ao contrário das assinaturas atômicas, os profissionais de segurança
precisam analisar uma série de pacotes durante um longo período de tempo para detectar
Módulo 12 Página 878 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 879 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Entenda a necessidade e
1 Vantagens do tráfego de rede
Monitoramento
Execute o monitoramento de
3 rede para tráfego suspeito
Módulo 12 Página 880 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Wireshark
Componentes do Wireshark
ÿ Barra de menu: hospeda os recursos do Wireshark
Wireshark
O Wireshark é um farejador de pacotes que pode ser usado para solução de problemas de rede para investigar problemas de
segurança e para analisar e entender os protocolos de rede. Ele pode explorar informações passadas em texto simples.
ÿ Características
Configurar o Wireshark para capturar pacotes pela primeira vez pode ser complicado. A seguir estão alguns problemas
comuns encontrados durante a captura de pacotes com o Wireshark pela primeira vez:
Módulo 12 Página 881 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o A interface de rede correta deve ser escolhida para capturar os dados do pacote.
o Os pacotes de rede devem ser capturados no local correto na rede para visualizar o tráfego desejado.
Capturar dados de rede ao vivo é um dos principais recursos do Wireshark. O mecanismo de captura do
Wireshark permite que os defensores da rede executem o seguinte:
o Interrompa a captura com base em diferentes acionadores, como quantidade de dados capturados, tempo
decorrido ou número de pacotes.
Para capturar pacotes usando o Wireshark, primeiro instale e inicie a ferramenta na rede de destino. Selecione
a interface de rede apropriada para capturar o tráfego. A seguir estão as etapas para iniciar a captura de
pacotes com o Wireshark:
2. Uma visão geral das interfaces disponíveis pode ser obtida usando a interface de captura
caixa de diálogo.
3. Inicie uma captura a partir desta caixa de diálogo usando o botão Iniciar.
4. Uma captura pode ser iniciada imediatamente usando as configurações atuais selecionando Capturar
ÿ Iniciar ou clicando no primeiro botão da barra de ferramentas.
5. Se o nome da interface de captura for conhecido, o Wireshark pode ser iniciado a partir da linha de comando
através do seguinte comando: $ wireshark -i eth0 –k
Módulo 12 Página 882 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 883 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes do Wireshark
ÿ Arquivo: Este menu contém itens para abrir e mesclar, capturar arquivos, salvar, imprimir, importar e
exportar arquivos de captura no todo ou em parte e sair do aplicativo Wireshark.
ÿ Editar: Este menu contém itens para encontrar um pacote, referência de tempo e marcar um ou mais
pacotes. Ele lida com perfis de configuração e define preferências.
ÿ Exibir: Este menu controla a exibição dos dados capturados, incluindo a coloração de pacotes, zoom de
fonte, exibição de um pacote em uma janela separada e expansão e redução dos detalhes da árvore de
pacotes.
o Colorize packet list: Esta opção permite que os defensores da rede controlem se o Wireshark deve
colorir a lista de pacotes. Habilitar a colorização retarda a exibição de novos pacotes durante a
captura e carregamento de arquivos de captura.
o Regras de coloração: Esta opção permite aos defensores da rede colorir os pacotes no painel da
lista de pacotes de acordo com as expressões de filtro de sua escolha. Pode ser muito útil para
detectar certos tipos de pacotes.
o Colorir conversa: Este item de menu traz um submenu que permite que a cor dos pacotes seja
alterada no painel de lista de pacotes com base nos endereços do pacote atualmente selecionado.
Isso facilita a distinção de pacotes pertencentes a diferentes conversas.
ÿ Ir: Este menu contém opções para navegar para um pacote específico, incluindo um pacote anterior, o
próximo pacote, o pacote correspondente, o primeiro pacote e o último pacote.
Módulo 12 Página 884 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Captura: Este menu permite que os defensores da rede iniciem, parem e reiniciem a captura e
para editar filtros de captura.
o Filtros de captura: Esta opção permite que os defensores da rede criem e editem
filtros. Os filtros podem ser nomeados e salvos para uso futuro.
ÿ Analisar: Este menu contém itens para manipular, exibir e aplicar filtros, ativar ou desativar a dissecação de protocolos,
configurar decodificações especificadas pelo usuário e seguir um fluxo diferente, incluindo TCP, UDP e Secure
Sockets Layer (SSL).
o Follow TCP stream: Esta opção exibe todos os segmentos TCP capturados que estão
a mesma conexão TCP como um pacote selecionado.
o Follow UDP stream: Esta opção exibe todos os segmentos UDP capturados que estão
a mesma conexão UDP como um pacote selecionado.
o Follow SSL stream: Esta opção exibe todos os segmentos SSL capturados que estão
a mesma conexão SSL como um pacote selecionado.
ÿ Estatísticas: Este menu contém opções para exibir várias janelas de estatísticas, incluindo um resumo dos pacotes
que foram capturados, exibir estatísticas de hierarquia de protocolo, gráficos IO e gráficos de fluxo.
ÿ Telefonia: Este menu contém opções para exibir várias janelas de estatísticas relacionadas à telefonia, incluindo uma
análise de mídia, diagramas de fluxo e exibição de estatísticas de hierarquia de protocolo.
ÿ Sem fio: Este menu mostra estatísticas sem fio Bluetooth e IEEE 802.11.
ÿ Ferramentas: Este menu contém várias ferramentas disponíveis no Wireshark incluindo a criação de
regras de lista de controle de acesso (ACL) do firewall e uso do interpretador Lua.
o Regras ACL de firewall: Esta ferramenta pode ser usada para criar regras ACL de linha de comando para vários
produtos de firewall diferentes, incluindo Cisco IOS, Linux Netfilter, OpenBSD e Windows Firewall. Regras para
endereços MAC, endereços IPv4, portas TCP e UDP e combinações de portas IPv4+ são suportadas. Assume-
se que as regras serão aplicadas a uma interface externa.
o Lua: Esta ferramenta inclui opções que permitem que os defensores da rede trabalhem com o interpretador Lua
integrado do Wireshark. O Wireshark usa Lua para escrever dissecadores de protocolo.
ÿ Ajuda: Este menu contém itens para ajudar o usuário, incluindo acesso a páginas de manual de ajuda básicas para
várias ferramentas de linha de comando, acesso online a algumas páginas da Web e à caixa de diálogo Sobre o
Wireshark.
ÿ Barra de ferramentas principal: A barra de ferramentas principal oferece acesso rápido a itens do menu usados com
frequência. Esta barra de ferramentas não pode ser personalizada pelo usuário. Se o espaço na tela for necessário
para mostrar mais dados do pacote, a barra de ferramentas pode ser ocultada usando o menu Exibir. Como no
menu, apenas os itens que podem ser usados no estado atual do programa estarão disponíveis. As outras ficarão
acinzentadas.
Módulo 12 Página 885 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Barra de ferramentas do filtro: A barra de ferramentas do filtro permite que os defensores da rede editem e apliquem rapidamente
filtros de exibição.
ÿ Painel de lista de pacotes: Este painel exibe uma lista de pacotes no arquivo de captura atual. Ele colore os pacotes
com base no protocolo. Cada linha na lista de pacotes corresponde a um pacote no arquivo de captura. Se uma
linha neste painel for selecionada, mais detalhes serão exibidos nos painéis Packet Details e Packet Bytes.
o Não: Esta coluna mostra o número de pacotes no arquivo de captura. Este número
não muda, mesmo se um filtro de exibição for usado.
ÿ Painel de detalhes do pacote: Este painel exibe os detalhes do pacote selecionado. Inclui os diferentes protocolos
que compõem as camadas de dados deste pacote. Os protocolos e campos do pacote são exibidos por meio de
uma árvore, que pode ser expandida e recolhida.
As camadas incluem o quadro, Ethernet, IP, TCP, UDP, ICMP e protocolos de aplicação, como
como HTTP.
ÿ Painel de bytes de pacote: Este painel exibe os bytes de pacote em um despejo hexadecimal e as codificações ASCII
(American Standard Code for Information Interchange). Para um despejo hexadecimal, o lado esquerdo mostra o
deslocamento nos dados do pacote e o meio dos dados do pacote é mostrado em uma representação hexadecimal.
À direita, os caracteres ASCII correspondentes são exibidos.
ÿ Barra de status: A barra de status exibe mensagens informativas. Em geral, o lado esquerdo mostra informações
relacionadas ao contexto, a parte do meio mostra o número atual de pacotes e o lado direito mostra o perfil de
configuração selecionado. O usuário pode arrastar as alças entre as áreas de texto para alterar o tamanho.
Módulo 12 Página 886 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Senha revelada em
um fluxo TCP
O Wireshark exibe dados da porta TCP com um recurso conhecido como “Follow TCP stream”. A ferramenta vê os
dados TCP da mesma forma que a camada de aplicativo. Use esta ferramenta para localizar senhas em uma sessão
telnet ou para interpretar um fluxo de dados.
Para ver o fluxo TCP, selecione um pacote TCP na lista de pacotes de um fluxo/conexão e, em seguida, selecione o
item de menu Follow TCP Stream no menu Wireshark Tools . O Wireshark exibe todos os dados do fluxo TCP
definindo um filtro de exibição apropriado. A ferramenta exibe o conteúdo de streaming na mesma sequência em que
apareceu na rede. Ele exibe os dados capturados em formatos ASCII, EBCDIC, hex dump, C array ou raw.
Conforme mostrado na captura de tela, você pode capturar o tráfego de rede e obter as credenciais de uma máquina
de destino. Você pode tentar capturar sua interface remota e monitorar o tráfego gerado pelas atividades de navegação
de um usuário para extrair informações confidenciais do usuário.
Módulo 12 Página 887 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 888 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ tcp.port==23
Monitorando o
2 Portas Específicas
ÿ ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port=23
Filtragem por IP
4 Endereço
ip.addr == 10.0.0.4
ÿ ip.src==205.153.63.30 ou ip.dst==205.153.63.30
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
https:// wiki.wireshark.org
Os recursos do Wireshark exibem filtros que filtram o tráfego na rede de destino por tipo de protocolo, endereço
IP, porta, etc. Os filtros de exibição são usados para alterar a visualização dos pacotes nos arquivos capturados.
Para configurar um filtro, digite o nome do protocolo, como arp, http, tcp, udp, dns e ip, na caixa de filtro do
Wireshark. O Wireshark pode usar vários filtros ao mesmo tempo.
Exemplo: Digite o protocolo na caixa de filtro: arp, http, tcp, udp, dns, ip
o tcp.port==23
o ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port==23
o ip.addr == 10.0.0.4
ÿ Outros Filtros
o ip.src==205.153.63.30 ou ip.dst==205.153.63.30
Módulo 12 Página 889 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
qualquer deslocamento
07 um filtro para qualquer pacote TCP com 4000
como porta de origem ou destino
ip.src==192.168.0.0/16 e
tcp.analysis. Retransmissão Exibe todas ip.dst==192.168.0.0/16 Exibe apenas o
04 as retransmissões no rastreamento 09 tráfego na LAN (192.168.xx), entre estações de
trabalho e servidores — sem Internet
ÿ tcp.flags.reset==1
Define um filtro para os valores hexadecimais de 0×33 0×27 0×58 em qualquer deslocamento
ÿ http.request
ÿ tcp.analysis.retransmission
Mascara arp, icmp, dns ou outros protocolos e permite visualizar o tráfego de seu interesse
ÿ tcp.port == 4000
Define um filtro para qualquer pacote TCP com 4000 como porta de origem ou destino
Módulo 12 Página 890 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ tcp.port eq 25 ou icmp
Exibe apenas o tráfego na LAN (192.168.xx), entre estações de trabalho e servidores — não
Internet
Módulo 12 Página 891 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Wireshark fornece informações completas sobre o tráfego FTP em uma rede para monitoramento.
A aplicação de um filtro FTP ajuda a detectar sessões não autorizadas em execução no servidor. Além de
monitorar o tráfego no servidor FTP, o conteúdo do arquivo existente e o tamanho do arquivo no servidor
devem ser monitorados.
Módulo 12 Página 892 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Telnet pode fornecer acesso a hosts remotos, incluindo a maioria dos equipamentos
de rede e sistemas operacionais
Telnet não é criptografado; a senha e todos os outros dados são transmitidos como texto
não criptografado
ÿ O tráfego Telnet e o
credenciais serão visíveis
em texto claro
O protocolo Telnet funciona em um modelo cliente-servidor. Ele fornece acesso a equipamentos de rede
e sistemas operacionais remotos. Os dados transferidos por Telnet não são criptografados, facilitando a
espionagem por intrusos. Se uma pessoa tiver acesso a um dispositivo de rede com Telnet configurado,
ela poderá obter acesso à rede e às informações da conta do usuário. Geralmente, o Telnet deve ser
desabilitado em uma organização.
Módulo 12 Página 893 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Telnet é um protocolo orientado a sessão, o que implica que a conexão deve estar aberta durante toda a
sessão. Os invasores podem usar sessões abertas de Telnet para realizar uma violação de segurança de rede.
Portanto, os profissionais de segurança devem monitorar as sessões Telnet (se houver) em execução em
sua rede. O monitoramento oportuno de sessões Telnet por meio do Wireshark pode minimizar bastante o
risco de invasão de rede.
Módulo 12 Página 894 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 895 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os aplicativos que implementam HTTP enviam dados em texto não criptografado. A implementação de HTTP
pode representar riscos de segurança para a organização, pois informações confidenciais, como nomes de
usuário e senhas, são enviadas como solicitações HTTP. O invasor pode facilmente farejar o tráfego e roubar
informações confidenciais para uso malicioso. Portanto, os profissionais de segurança devem garantir que
seu tráfego HTTP seja enviado por um protocolo criptografado, como HTTP Secure (HTTPS). Simultaneamente,
eles devem monitorar os aplicativos e garantir que eles não enviem dados por HTTP. Monitorar o tráfego
HTTP também ajuda a detectar o volume de tráfego HTTP na rede. Também ajuda a detectar tráfego
malicioso, tentativas de violação de política, aplicativos que usam serviços desnecessários/restritos.
Módulo 12 Página 896 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 897 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
OmniPeek
https:// www.liveaction.com
Observador Analyzer
https:// www.viavisolutions.com
Xplico
https:// www.xplico.org
https:// www.tcpdump.org
Módulo 12 Página 898 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 899 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ManageEngine OpManager
https:// www.manageengine.com
Solução de Monitoramento de
Rede Monitis https://
www.monitis.com
https:// www.paessler.com
O PRTG Network Monitor é um software de monitoramento de rede que suporta gerenciamento remoto
usando qualquer navegador da web ou smartphone, vários métodos de notificação e monitoramento de vários
locais. O Network Defender pode usar esse utilitário para monitoramento de disponibilidade, uso e atividade,
e abrange toda a gama, desde o monitoramento do site até o monitoramento do desempenho do banco de
dados.
Ajuda no seguinte:
O PRTG pode coletar dados para quase tudo de interesse na rede. Ele suporta vários protocolos para coleta
de dados:
o Packet sniffing
Módulo 12 Página 900 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 901 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu a necessidade e as vantagens do monitoramento de
tráfego de rede
Resumo do Módulo
Este módulo discutiu a necessidade e as vantagens do monitoramento do tráfego de rede. Ele discutiu
as assinaturas de tráfego de rede, bem como as categorias de assinaturas de tráfego suspeitas.
Além disso, este módulo discutiu técnicas de análise de assinatura de ataque e monitoramento de rede
para tráfego suspeito. Finalmente, este módulo apresentou uma visão geral de várias ferramentas de
monitoramento de rede.
Módulo 12 Página 902 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UMA
Glossário
ÿ
Disponibilidade: garante que as informações estejam disponíveis para as partes autorizadas sem qualquer interrupção.
ÿ Autenticação: Garante que a identidade de um indivíduo seja verificada pelo sistema ou serviço.
ÿ Contabilidade: Contabilidade é um método de acompanhar as ações do usuário na rede. Ele rastreia quem, quando e como os usuários acessam
a rede.
ÿ Gateways de nível de aplicativo: os gateways de nível de aplicativo podem filtrar pacotes na camada de aplicativo do OSI
modelo.
ÿ Proxy de Aplicativo: Um proxy em nível de aplicativo funciona como um servidor proxy e filtra conexões para
Serviços.
ÿ Proxy Anônimo: Um proxy anônimo não transfere informações sobre o endereço IP de seu usuário, ocultando assim informações sobre o usuário
e seus interesses de navegação.
ÿ Detecção de Anomalias: Detecta a intrusão com base nas características comportamentais fixas dos usuários e
componentes de um sistema de computador.
ÿ Controles administrativos de segurança: Os controles administrativos de segurança são limitações de gerenciamento, procedimentos operacionais
e de responsabilidade e outros controles que garantem a segurança de uma organização.
ÿ
Alerta: um alerta é um evento graduado que notifica que um determinado evento (ou série de eventos) atingiu um limite especificado e precisa
de uma ação apropriada por uma parte responsável.
ÿ Sistemas de Alerta: Um sistema de alerta envia uma mensagem de alerta quando qualquer anomalia ou uso indevido é detectado.
ÿ Sistema de Alarme: Os alarmes são utilizados para chamar a atenção quando há uma violação ou durante uma tentativa de violação.
ÿ Ponto de acesso (AP): Usado para conectar dispositivos sem fio a uma rede sem fio/com fio.
ÿ Detecção baseada em anomalia: O processo de detecção baseada em anomalia depende da observação e comparação
eventos observados com o comportamento normal e, em seguida, detectando qualquer desvio dele.
ÿ Servidor AAA: O servidor AAA é usado para estabelecer acesso seguro em um ambiente VPN de acesso remoto.
ÿ Anything-as-a-Service (XaaS): Anything-as-a-service (XaaS) é um serviço de computação em nuvem e acesso remoto que oferece qualquer coisa
como um serviço pela Internet com base na demanda do usuário.
ÿ Criptografia assimétrica: a criptografia assimétrica usa duas chaves separadas para realizar a criptografia e
descriptografia.
ÿ Padrão Avançado de Criptografia (AES): O AES é uma especificação do Instituto Nacional de Padrões e Tecnologia (NIST) para a criptografia de
dados eletrônicos.
ÿ Trilhas de auditoria: Uma trilha de auditoria é um conjunto de registros que fornecem evidências documentais da atividade de um sistema.
Glossário página 903 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Contêineres de aplicativos: são contêineres usados para executar um único serviço. Eles têm sistemas de arquivos em camadas e são construídos
sobre as tecnologias de contêiner do sistema operacional.
ÿ ANT: É um protocolo de sensor sem fio que permite a comunicação entre os sensores e seus controladores.
B
ÿ Autenticação biométrica: A biometria é uma tecnologia que identifica características humanas para autenticar pessoas.
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e restringe os veículos motorizados às
áreas de estacionamento, escritórios, etc.
ÿ Bastion Host: Um bastion host é um sistema de computador projetado e configurado para proteger os recursos da rede
de ataques.
ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão.
ÿ Identificador do Conjunto de Serviços Básicos (BSSID): É o endereço de controle de acesso à mídia (MAC) de um ponto de acesso (AP) ou
estação base que configurou um conjunto de serviços básicos (BSS).
ÿ Postes de amarração: Um poste de amarração pode ser definido como um poste vertical curto que controla e restringe os veículos motorizados a
as áreas de estacionamento, escritórios etc.
ÿ IDS baseado em comportamento: As técnicas de detecção de intrusão baseadas em comportamento assumem que uma intrusão pode ser detectada
observando um desvio do comportamento normal ou esperado do sistema ou usuários.
ÿ Bluetooth: Na tecnologia Bluetooth, os dados são transmitidos entre celulares, computadores e outros
dispositivos de rede em distâncias curtas.
ÿ Biometria: A biometria é uma tecnologia de segurança avançada e única que utiliza o físico de um indivíduo
atributos como impressão digital, íris, rosto, voz e comportamento para verificar sua identidade.
ÿ Traga seu próprio dispositivo (BYOD): BYOD refere-se a uma política que permite que os funcionários tragam seus dispositivos, como
como laptops, smartphones e tablets para o local de trabalho.
ÿ Dados Críticos de Negócios: Os dados críticos de negócios contêm informações que são importantes para a operação de negócios.
C
ÿ Confidencialidade: Garante que as informações não sejam divulgadas a partes não autorizadas
ÿ Controles de compensação: Esses controles são usados como um controle alternativo quando os controles pretendidos falham
ou não pode ser usado.
ÿ Fechaduras Combinadas: Possui combinação de números e letras. O usuário precisa fornecer a combinação para abrir a fechadura.
ÿ Lei de Abuso e Fraude Informática: estabelece que, quem acessar intencionalmente um computador sem autorização ou exceder o acesso
autorizado, e assim obter informações de qualquer computador protegido, e se a conduta envolver uma comunicação interestadual ou estrangeira,
será punido nos termos da Lei.
ÿ Gateway de Nível de Circuito: Os gateways de nível de circuito funcionam na camada de sessão do modelo OSI ou na camada TCP
de TCP/IP.
ÿ VPNs de cliente para site (acesso remoto): As VPNs de acesso remoto permitem que hosts ou clientes individuais, como teletrabalhadores e
usuários móveis, estabeleçam conexões seguras com a rede de uma empresa pela Internet.
ÿ Contêiner: Os contêineres referem-se à virtualização baseada em um sistema operacional, no qual a funcionalidade do sistema operacional do
kernel é replicada em várias instâncias de espaço de usuário isolado.
ÿ Computação em nuvem: A computação em nuvem é uma entrega sob demanda de capacidades de TI onde a infraestrutura de TI e
os aplicativos são fornecidos aos assinantes como um serviço medido em uma rede.
Glossário Página 904 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Cloud Storage: armazenamento em nuvem é um meio de armazenamento de dados usado para armazenar dados digitais em pools lógicos usando um
rede.
ÿ Modelo de comunicação nuvem-para-nuvem (compartilhamento de dados de back-end): esse tipo de modelo de comunicação estende o
tipo de comunicação dispositivo-para-nuvem de forma que os dados dos dispositivos IoT possam ser acessados por terceiros autorizados.
ÿ Plataforma de Nuvem: Em um ecossistema de IoT, o componente de nuvem é referido como o ponto central de agregação e gerenciamento
de dados.
ÿ Cloud Data Backup: Armazenamento de dados de backup no armazenamento fornecido por um provedor de backup online.
ÿ Container-as-a-Service (CaaS): Este modelo de computação em nuvem fornece contêineres e clusters como um serviço para
seus assinantes.
ÿ Community Cloud: Infraestrutura compartilhada entre diversas organizações de uma comunidade específica com
preocupações comuns (segurança, conformidade, jurisdição, etc.).
ÿ Consumidor de nuvem: uma pessoa ou organização que usa serviços de computação em nuvem.
ÿ Provedor de Nuvem: Uma pessoa ou organização que fornece serviços às partes interessadas por meio de acesso à rede.
ÿ Cloud Carrier: Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte
entre CSPs e consumidores de nuvem.
ÿ Cloud Auditor: Um auditor de nuvem é uma parte que realiza um exame independente do serviço de nuvem
controles para expressar uma opinião sobre eles.
ÿ Cloud Broker: Uma entidade que gerencia serviços de nuvem em termos de uso, desempenho e entrega, e mantém o relacionamento entre
provedores de nuvem e consumidores.
ÿ Comunicação Celular: A comunicação celular é baseada em uma única torre de rede que atende dispositivos localizados em um raio
específico.
ÿ Ataques entre contêineres: obter acesso a um contêiner e utilizá-lo para atacar outros contêineres do mesmo
host ou dentro da rede local.
ÿ Camada de Nuvem: Servidores hospedados na nuvem aceitam, armazenam e processam os dados do sensor recebidos da IoT
entradas.
ÿ Contrabando: O contrabando inclui materiais proibidos de entrar no ambiente, como explosivos, bombas, armas, etc.
ÿ Comunicação Celular (Móvel) 5G: É uma rede celular de banda larga que opera em alta largura de banda
com baixa latência e fornece downloads de dados em alta velocidade.
ÿ IDS Centralizado: Em um sistema centralizado, os dados são coletados de diferentes sites para um site central.
ÿ Autenticação baseada no contexto: A autenticação baseada no contexto é um tipo de técnica de segurança aprimorada
que usa as informações contextuais de um usuário para aprimorar as decisões de segurança de dados.
ÿ Containerização: Containerização é uma técnica na qual todos os dados pessoais e organizacionais são
segregados no dispositivo móvel de um funcionário.
ÿ Escolha seu próprio dispositivo (CYOD): CYOD refere-se a uma política em que os funcionários selecionam seu dispositivo de escolha em
um conjunto pré-aprovado de dispositivos (laptops, smartphones e tablets) para acessar dados da empresa de acordo com os privilégios
de acesso de uma organização.
ÿ Propriedade da empresa, habilitada pessoalmente (COPE): Propriedade da empresa, habilitada pessoalmente (COPE) refere-se a uma
política que permite que os funcionários usem e gerenciem os dispositivos adquiridos pelas organizações.
Glossário Página 905 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Propriedade da Empresa, Somente Comercial (COBO): Propriedade da Empresa, Somente Comercial (COBO) refere-se a uma
política que permite que os funcionários usem e gerenciem os dispositivos adquiridos pela organização, mas restringem o uso do
dispositivo apenas para uso comercial.
ÿ Criptografia: Criptografia é a prática de ocultar informações convertendo texto simples (formato legível) em texto cifrado (formato
ilegível) usando uma chave ou esquema de criptografia.
ÿ CCMP: Um protocolo de criptografia usado em WPA2 para criptografia e autenticação mais fortes.
ÿ Autoridades de certificação: Autoridades de certificação (CAs) são entidades confiáveis que emitem certificados digitais.
ÿ Autorização Centralizada: Mantém um único banco de dados para autorizar todos os recursos da rede ou
formulários.
ÿ Console de Comando: Fornece uma interface de usuário para um administrador com a finalidade de receber e
analisando eventos de segurança, mensagens de alerta e arquivos de log.
D
ÿ Controles de Dissuasão: São usados para desencorajar a violação das políticas de segurança.
ÿ Controles de Detecção: São utilizados para detectar tentativas de acesso não autorizado.
ÿ Controle de Acesso Discricionário (DAC): DAC determina o controle de acesso tomado por qualquer possuidor de um objeto
para decidir o controle de acesso de um sujeito a esse objeto.
ÿ Controles de Detetive: Esses controles detectam violações de segurança e registram qualquer tentativa de invasão.
ÿ
Fechaduras Digitais: As fechaduras digitais usam impressão digital, cartão inteligente ou um PIN no teclado para desbloquear.
ÿ Zona Desmilitarizada (DMZ): Uma sub-rede de computador é colocada entre a rede privada da organização, como uma LAN, e
uma rede pública externa, como a Internet, e atua como uma camada de segurança adicional.
ÿ DMZ de firewall duplo: A abordagem de firewall duplo usa dois firewalls para criar uma DMZ.
ÿ IDS Distribuído: Um sistema de detecção de intrusão distribuído (dIDS) consiste em vários IDSs em um grande
rede.
ÿ Honeypots de banco de dados: honeypots de banco de dados empregam bancos de dados falsos que são vulneráveis a
ataques relacionados a banco de dados, como injeção de SQL e enumeração de banco de dados.
ÿ Docker: Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas
dependências na forma de contêineres, para garantir que o aplicativo funcione em um ambiente contínuo.
ÿ Rede Docker: A arquitetura de rede Docker é desenvolvida em um conjunto de interfaces conhecido como modelo de rede de
contêiner (CNM). O CNM fornece portabilidade de aplicativos em infraestruturas heterogêneas.
ÿ Camada de Dispositivo: A camada de dispositivo ou coisa da IoT inclui o hardware que constitui os dispositivos IoT.
ÿ Comunicação Device-to-Device: Neste tipo de comunicação, dispositivos interconectados interagem entre si através da Internet,
mas utilizam predominantemente protocolos como ZigBee, Z-Wave ou Bluetooth.
ÿ Comunicação dispositivo-para-nuvem: neste tipo de comunicação, os dispositivos se comunicam diretamente com a nuvem, em
vez de se comunicar diretamente com o cliente para enviar ou receber dados ou comandos.
Glossário Página 906 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Comunicação de dispositivo para gateway: No modelo de comunicação de dispositivo para gateway, o dispositivo IoT se comunica com um dispositivo
intermediário chamado gateway, que por sua vez se comunica com o serviço de nuvem.
ÿ Autorização Descentralizada: Uma autorização descentralizada mantém um banco de dados separado para cada
recurso.
ÿ Estratégia de backup de dados: Uma estratégia de backup ideal inclui etapas que vão desde a seleção dos dados corretos até
conduzir uma broca de restauração de dados de teste.
ÿ Espalhamento espectral de sequência direta (DSSS): DSSS é uma técnica de espalhamento espectral que multiplica o original
sinal de dados com um código de espalhamento de ruído pseudo-aleatório.
ÿ Antena Direcional: Uma antena direcional pode transmitir e receber ondas de rádio de uma única direção.
ÿ Antena dipolo: Uma antena dipolo é um condutor elétrico reto medindo meio comprimento de onda de ponta a ponta e é conectado no centro da linha
de alimentação de radiofrequência (RF).
ÿ Data Encryption Standard (DES): DES é projetado para cifrar e decifrar blocos de dados que consistem em 64
bits sob controle de uma chave de 56 bits.
ÿ
Algoritmo de Assinatura Digital (DSA): O algoritmo de assinatura digital (DSA) é um Padrão Federal de Processamento de Informações (FIPS)
para assinaturas digitais.
ÿ
Assinatura digital: As assinaturas digitais usam os algoritmos de chave assimétrica para fornecer integridade de dados.
ÿ
Certificados Digitais: Os certificados digitais permitem uma troca segura de informações entre um remetente e um destinatário.
ÿ Segurança de dados: A segurança de dados envolve a aplicação de vários controles de segurança de dados para evitar qualquer ato intencional ou não
intencional de uso indevido de dados, destruição de dados e modificação de dados.
ÿ Data Protection Act 2018 (DPA): A DPA é uma lei que prevê a regulamentação do processamento
de informações relativas a pessoas físicas.
ÿ Controle de Acesso a Dados: Os controles de acesso a dados permitem autenticação e autorização de usuários para acessar o
dados.
ÿ Criptografia de Dados: Proteger as informações transformando-as de forma que se tornem ilegíveis para um
parte não autorizada.
ÿ Mascaramento de Dados: Proteção de informações obscurecendo áreas específicas de dados com caracteres ou códigos aleatórios.
ÿ Resiliência de Dados e Backup: Fazendo uma cópia duplicada de dados críticos a serem usados para restauração e recuperação
propósitos.
ÿ Destruição de Dados: Envolve a destruição dos dados para que não possam ser recuperados e usados para um erro
motivo.
ÿ Retenção de dados: armazenar dados com segurança para conformidade ou requisitos de negócios.
ÿ Backup de dados: o backup de dados é o processo de fazer uma cópia duplicada de dados críticos, como registros físicos (papel) e de computador.
ÿ Backup de Dados Diferenciais: Todos os dados que foram alterados desde o último backup completo são copiados para o backup
meios de comunicação.
ÿ Retenção de Dados : Retenção de Dados é o processo de armazenar e manter informações importantes para
atendendo aos requisitos de conformidade e arquivamento de dados de negócios.
ÿ Data Loss Prevention (DLP): DLP inclui um conjunto de produtos e processos de software que não permitem aos usuários
enviar dados corporativos confidenciais para fora da organização.
Glossário Página 907 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Assinaturas de Tráfego de Negação de Serviço: Tráfego contendo certas assinaturas que indicam uma tentativa de DoS que
inunda um servidor com um grande número de solicitações.
ÿ Política de Segurança da Informação Corporativa (EISP): O EISP orienta o escopo de uma organização e fornece orientação para
suas políticas de segurança.
ÿ Interferência Eletromagnética (EMI): EMI ocorre quando o desempenho do dispositivo eletrônico é interrompido ou
degradado devido à radiação ou condução eletromagnética.
ÿ Honeypots de e-mail : Honeypots de e- mail também são chamados de armadilhas de e-mail. Eles nada mais são do que endereços
de e-mail falsos usados especificamente para atrair e-mails falsos e maliciosos de adversários.
ÿ Encapsulamento: O encapsulamento é o método no qual os protocolos têm funções separadas para se comunicar
entre si, ocultando os dados.
ÿ Enterprise Mobility Management (EMM): EMM consiste em ferramentas e tecnologias usadas em uma organização para proteger
os dados nos dispositivos pessoais (BYOD) e organizacionais dos funcionários.
ÿ EDGE: A borda é o principal dispositivo físico no ecossistema IoT que interage com seu entorno e contém vários componentes
como sensores, atuadores, sistemas operacionais, hardware e rede e recursos de comunicação.
ÿ Criptografia: Criptografia é a prática de ocultar informações convertendo um texto simples (formato legível)
em um texto cifrado (formato ilegível) usando uma chave ou um esquema de criptografia.
ÿ
Autorização explícita: uma autorização explícita mantém detalhes de autorização separados para cada solicitação de recurso.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como token
cartões, Kerberos e certificados.
F
ÿ
Firewall: Firewall é um software ou hardware, ou uma combinação de ambos, que geralmente é usado para separar uma rede
protegida de uma rede pública desprotegida.
ÿ Lei de Liberdade de Informação (FOIA): A Lei de Liberdade de Informação (FOIA) forneceu ao público a
direito de solicitar acesso aos registros de qualquer agência federal.
ÿ Falso Positivo (Sem ataque – Alerta): Um falso positivo ocorre se um evento acionar um alarme quando nenhum ataque real
está em andamento.
ÿ Falso Negativo (Ataque – Sem Alerta): Um falso negativo é uma condição que ocorre quando um IDS não consegue reagir a um
evento de ataque real.
ÿ Function-as-a-Service (FaaS): Este serviço de computação em nuvem fornece uma plataforma para desenvolver, executar e
gerenciar funcionalidades de aplicativos sem a complexidade de construir e manter a infraestrutura necessária.
ÿ Frequency-Hopping Spread Spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por divisão de código com salto
de frequência (FH-CDMA), é um método de transmissão de sinais de rádio comutando rapidamente uma portadora entre muitos
canais de frequência.
ÿ Digitalização de impressão digital: compara duas impressões digitais para verificação e identificação com base nos padrões do
dedo.
Glossário Página 908 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Reconhecimento facial: Compara e identifica uma pessoa com base nas características faciais de uma imagem ou
fonte de vídeo.
ÿ Cercas/Cercas Elétricas/Trilhos Metálicos: Cercas/Cercas Metálicas/Cercas Elétricas geralmente marcam as áreas restritas, áreas controladas e
impedem o acesso não autorizado.
ÿ
Topologia VPN Full Mesh: Em uma rede VPN totalmente mesh, todos os pares podem se comunicar uns com os outros, tornando-a uma rede
complexa.
ÿ
Virtualização completa: neste tipo de virtualização, o sistema operacional convidado não sabe que está sendo executado em um ambiente
virtualizado.
ÿ
Virtualização do sistema de arquivos: Refere-se à virtualização de dados no nível do sistema de arquivos.
ÿ Fabric Virtualization: Este nível de virtualização torna os dispositivos virtuais independentes do físico
hardware de computador.
ÿ
Backup de dados completo: também chamado de backup normal. Ele copia todos os arquivos e os compacta para economizar espaço.
ÿ
Criptografia completa do dispositivo: a criptografia completa do disco é um recurso de segurança que pode criptografar todas as informações
armazenadas em qualquer meio de armazenamento em um dispositivo móvel.
G
ÿ Lei Gramm-Leach-Bliley (GLBA): A Lei Gramm-Leach-Bliley (GLB Act ou GLBA) é uma lei federal dos Estados Unidos que exige que as instituições
financeiras expliquem como compartilham e protegem as informações privadas de seus clientes.
ÿ Regulamento Geral de Proteção de Dados (RGPD): O RGPD aplicará multas severas a quem violar os seus
normas de privacidade e segurança, com multas que chegam a dezenas de milhões de euros.
ÿ Máquina Convidada: Instância independente de um sistema operacional criada pelo monitor da máquina virtual.
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão de dados móveis em redes sem fio em todo
o mundo.
ÿ Sistema de Posicionamento Global (GPS): GPS é um sistema de navegação e posicionamento de rádio baseado em satélite
comunicação.
ÿ Geolocalização: Geolocalização é uma tecnologia que pode identificar a localização geográfica do mundo real de usuários ou
dispositivos quando conectados à Internet.
ÿ Geofencing: Geofencing é uma técnica através da qual os profissionais de marketing de aplicativos móveis utilizam a localização do usuário para
coletar informações.
ÿ Acesso do Governo às Chaves (GAK): GAK refere-se à obrigação estatutária de indivíduos e organizações
divulgar suas chaves criptográficas para agências governamentais.
H
ÿ Hypertext Transfer Protocol Secure (HTTPS): HTTPS garante uma comunicação segura entre dois
computadores via HTTP.
ÿ Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA): A Regra de Privacidade HIPAA fornece proteções federais para as
informações de saúde individualmente identificáveis mantidas por entidades cobertas e seus parceiros de negócios e dá aos pacientes uma
série de direitos a essas informações.
ÿ Firewalls de hardware: Um firewall de hardware é um dispositivo de hardware autônomo dedicado ou vem como
parte de um roteador.
ÿ Firewalls baseados em host: O firewall baseado em host é usado para filtrar o tráfego de entrada/saída de um computador individual no qual está
instalado.
Glossário página 909 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Honeypot: Um honeypot é um recurso do sistema de informação expressamente configurado para atrair e prender pessoas
que tentam penetrar na rede de uma organização.
ÿ Honeynets: Honeynets são redes de honeypots. Eles são muito eficazes em determinar todas as capacidades dos adversários.
ÿ VPNs de hardware: um dispositivo VPN de hardware dedicado é usado para conectar roteadores e gateways para garantir
comunicação através de um canal inseguro.
ÿ Hypervisor: Um aplicativo ou firmware que permite que vários sistemas operacionais convidados compartilhem
recursos de hardware.
ÿ Máquina Host: Máquina física real que fornece recursos de computação para dar suporte a máquinas virtuais.
ÿ Nuvem Híbrida: Combinação de duas ou mais nuvens (privadas, comunitárias ou públicas) que permanecem entidades únicas, mas
estão unidas, oferecendo assim os benefícios de vários modelos de implantação.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
ÿ Host Intrusion Detection Systems (HIDS): O HIDS é instalado em um host específico e é usado para monitorar, detectar,
e analisar os eventos que ocorrem nesse host.
ÿ Sistemas híbridos de detecção de intrusão (IDS híbrido): Um IDS híbrido é uma combinação de HIDS e NIDS.
ÿ Honeypots de alta interação : Honeypots de alta interação não emulam nada; eles correm de verdade
serviços ou software vulneráveis em sistemas de produção com sistemas operacionais e aplicativos reais
ÿ VPNs híbridas : VPNs híbridas são aquelas com VPNs confiáveis como parte das VPNs seguras. Eles implementam diferentes
componentes de rede de uma organização ao mesmo tempo para confirmar a segurança em níveis muito baixos.
custos.
ÿ Topologia VPN hub-and-spoke: Na tecnologia hub-and-spoke, a organização principal é considerada o hub e seus escritórios remotos
são considerados os spokes.
ÿ Virtualização Híbrida: Neste tipo de virtualização, o sistema operacional convidado adota a funcionalidade de paravirtualização e usa o
VMM para tradução binária para diferentes tipos de recursos de hardware.
ÿ Hot Backup (Online): Também é chamado de backup dinâmico ou backup ativo. Em um backup dinâmico, o sistema
continua realizando o backup mesmo quando o usuário está acessando o sistema.
ÿ Código de autenticação de mensagem baseado em hash (HMAC): HMAC é um tipo de código de autenticação de mensagem (MAC)
que usa uma chave criptográfica juntamente com uma função hash criptográfica.
EU
ÿ
Integridade: Garante que as informações não sejam modificadas ou adulteradas por pessoas não autorizadas.
ÿ Internet Protocol Security (IPsec): IPsec é um protocolo de camada de rede que garante um nível de IP seguro
comunicação.
ÿ Gerenciamento de identidade e acesso (IAM): O gerenciamento de identidade e acesso (IAM) é responsável por fornecer ao indivíduo
certo o acesso certo no momento certo.
ÿ Issue Specific Security Policy (ISSP): ISSP direciona o público sobre o uso de sistemas baseados em tecnologia
com a ajuda de guias.
ÿ Sistema de detecção e prevenção de intrusão (IDS/IPS): Um sistema de detecção e prevenção de intrusão (IDS/IPS) é um dispositivo
de segurança de rede que inspeciona todo o tráfego de entrada e saída da rede em busca de padrões suspeitos que possam indicar
uma violação de segurança na rede ou no sistema.
ÿ
Varredura de íris: analisa a parte colorida do olho suspensa atrás da córnea.
Glossário página 910 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ IDS baseado em intervalo: A análise offline ou baseada em intervalo refere-se ao armazenamento das informações relacionadas à
intrusão para análise posterior.
ÿ Servidor IPsec: O servidor IPsec aprimora a segurança VPN por meio do uso de algoritmos de criptografia fortes e
autenticação.
ÿ Infrastructure-as-a-Service (IaaS): Fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos
sistemas que podem ser controlados por meio de uma API de serviço.
ÿ Identity-as-a-Service (IdaaS): Este serviço de computação em nuvem oferece serviços de autenticação para empresas assinantes e é
gerenciado por um fornecedor terceirizado para fornecer serviços de gerenciamento de identidade e acesso.
ÿ Identity and Access Management (IAM): IAM é o gerenciamento das identidades digitais dos usuários e seus
direitos de acesso a recursos.
ÿ Princípios de Garantia de Informação (IA): Os princípios de garantia de informação (IA) atuam como facilitadores para uma
atividades de segurança da organização para proteger e defender sua rede contra ataques de segurança.
ÿ Banda ISM: Um conjunto de frequências para as comunidades industriais, científicas e médicas internacionais.
ÿ
Banda Industrial, Científica e Médica (ISM): Esta banda é um conjunto de frequências usadas pelas comunidades industriais,
científicas e médicas internacionais.
ÿ Infravermelho (IR): IR é uma tecnologia sem fio para transferência de dados entre dois dispositivos no formato digital dentro
um curto alcance de até 5 m.
ÿ Internet das Coisas (IoT): IoT também conhecida como Internet de Todas as Coisas (IoE), refere-se a dispositivos de computação
habilitados para a Web e com capacidade de detectar, coletar e enviar dados usando sensores, hardware de comunicação e
processadores .
ÿ Topologia de Rede de Infraestrutura: Os dispositivos da rede wireless são conectados através de um AP.
ÿ Gerenciamento de usuários IoT: fornece controle sobre os usuários que têm acesso a um sistema IoT.
ÿ Gerenciamento de dispositivos IoT: o gerenciamento de dispositivos IoT ajuda os profissionais de segurança a rastrear, monitorar e
gerencie dispositivos IoT físicos a partir de um local remoto.
ÿ Backup de Dados Incremental: Apenas os arquivos que foram alterados ou criados após o último backup são copiados para
a mídia de backup.
ÿ
IDE: A unidade eletrônica integrada (IDE) permite a conexão de dois dispositivos por canal. Normalmente é usado para dispositivos
internos, pois os cabos são grandes e planos.
ÿ Assinatura Informativa de Tráfego: Tráfego contendo certas assinaturas que podem parecer suspeitas, mas podem
não seja malicioso.
k
ÿ Kerberos: Kerberos é um protocolo de autenticação de rede implementado para autenticar solicitações em redes de computadores.
ÿ Kubernetes: Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvido pelo Google para gerenciar aplicativos em contêineres e microsserviços.
eu
ÿ Sistema de Iluminação: Iluminação adequada deve ser fornecida dentro, fora e na entrada do edifício
o que ajuda a ver longas distâncias durante as patrulhas de segurança.
ÿ Segmentação Lógica: A segmentação lógica utiliza VLANs, que são isoladas logicamente sem considerar
as localizações físicas dos dispositivos.
Glossário Página 911 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ Honeypots de baixa interação: Honeypots de baixa interação emulam apenas um número limitado de serviços e
aplicativos de um sistema ou rede de destino.
M
ÿ Controle de acesso obrigatório (MAC): O MAC determina as políticas de uso e acesso para os usuários.
ÿ Bloqueios mecânicos: fornecem um método fácil para restringir o acesso não autorizado em uma organização.
ÿ Mantrap: É um sistema de segurança que possui uma porta de entrada e saída em lados opostos, separando área não segura
da área segura.
ÿ Honeypots de malware: honeypots de malware são usados para interceptar campanhas de malware ou tentativas de malware
a infraestrutura de rede.
ÿ Honeypots de média interação: Honeypots de média interação simulam um sistema operacional real, bem como aplicativos e serviços de
uma rede de destino.
ÿ Management Server: Componentes da plataforma de virtualização usados para gerenciar diretamente as máquinas virtuais e
para simplificar a administração dos recursos.
ÿ Segurança multicamada: envolve a prevenção de acesso não autorizado a coisas IoT usando multifator
autenticação (MFA), Transport Layer Security (TLS), gerenciamento de identidade do dispositivo, etc.
ÿ Controlador de memória multiporta: Um MPMC fornece acesso à memória para até oito portas. Uma memoria
o controlador pode estar presente como um chip separado ou como uma memória integrada.
ÿ Multi Cloud: É um ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem que são gerenciados
por meio de uma interface proprietária para atingir metas de negócios de longo prazo.
ÿ Management Console: Interface usada para acessar, configurar e gerenciar o produto de virtualização.
ÿ Bastion Host Multi-homed: Um dispositivo de firewall com pelo menos duas interfaces de rede.
ÿ Multiple Input, Multiple output Multiplexação Ortogonal por Divisão de Frequência (MIMO-OFDM) :
interface para comunicações sem fio de banda larga 4G e 5G.
ÿ Gerenciamento de dispositivo móvel (MDM): o MDM fornece plataformas para distribuição por ar ou com fio de aplicativos, dados e
definições de configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones e tablets.
ÿ Gerenciamento de aplicativos móveis (MAM): O gerenciamento de aplicativos móveis (MAM) é um software ou serviço que permite que os
defensores da rede protejam, gerenciem e distribuam aplicativos corporativos em dispositivos móveis de funcionários.
ÿ Gerenciamento de conteúdo móvel (MCM): soluções de gerenciamento de conteúdo móvel (MCM) ou gerenciamento de informações
móveis (MIM) fornecem acesso seguro a dados corporativos em smartphones, tablets e outros dispositivos móveis.
ÿ Gerenciamento de e-mail móvel (MEM): As soluções de gerenciamento de e-mail móvel (MEM) garantem a segurança de
a infra-estrutura de e-mail corporativo e dados.
ÿ Gerenciamento de segurança móvel: o gerenciamento de segurança móvel envolve ações e medidas de precaução para
proteger os dados organizacionais e os dispositivos móveis usados pelos funcionários.
ÿ MD5: O algoritmo MD5 recebe uma mensagem de comprimento arbitrário como entrada e, em seguida, gera uma mensagem de 128 bits
impressão digital ou resumo de mensagem da entrada.
ÿ MD6: MD6 usa uma estrutura semelhante à árvore Merkle para permitir computação paralela em larga escala de hashes para muito
entradas longas.
Glossário Página 912 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
N
ÿ Não repúdio: garante que uma parte em uma comunicação não possa negar o envio da mensagem.
ÿ Segmentação de rede: a segmentação de rede é a prática de dividir uma rede em redes menores
segmentos e separando grupos de sistemas ou aplicativos uns dos outros.
ÿ Network Defense Essentials (NDE): Network Defense Essentials (NDE) é um programa de segurança que cobre o
conceitos fundamentais de segurança de rede.
ÿ Virtualização de rede: A virtualização de rede é um processo de combinar todos os recursos de rede disponíveis e permitir que os
profissionais de segurança compartilhem esses recursos entre os usuários da rede usando uma única unidade administrativa.
ÿ Controles de segurança de rede: Os controles de segurança de rede são os recursos de segurança que devem ser
configurado e implementado para garantir a segurança da rede.
ÿ Protocolos de segurança de rede: os protocolos de segurança de rede implementam operações relacionadas à segurança para garantir
a segurança e a integridade dos dados em trânsito.
ÿ Dispositivos de segurança de rede : Dispositivos de segurança de rede são dispositivos implantados para proteger o computador
redes contra tráfego indesejado e ameaças.
ÿ Network Intrusion Detection System (NIDS): O NIDS é usado para observar o tráfego de qualquer segmento ou dispositivo específico
e reconhecer a ocorrência de qualquer atividade suspeita na rede e nos protocolos de aplicação.
ÿ Pacotes de rede: Um pacote de rede é uma unidade de dados transmitida por uma rede para comunicação.
ÿ Servidor de Acesso à Rede (NAS): Também é chamado de gateway de mídia ou servidor de acesso remoto (RAS). Ele é responsável
por configurar e manter cada túnel em uma VPN de acesso remoto.
ÿ Rede: Uma rede é uma coleção de terminais que têm conectividade entre eles.
ÿ Defesa de Rede: O objetivo final da defesa de rede é proteger as informações, sistemas e infraestrutura de rede de uma organização
contra acesso não autorizado, uso indevido, modificação, negação de serviço ou qualquer degradação e interrupções.
ÿ Controles de acesso à rede: Os controles de acesso à rede oferecem vários mecanismos de controle de acesso à rede
dispositivos como roteadores e switches.
ÿ Hosts dual-homed sem roteamento: esse tipo de host é totalmente um firewall ou pode ser um componente
de um firewall multifacetado.
ÿ Firewalls baseados em rede: O firewall baseado em rede é usado para filtrar o tráfego de entrada/saída de
LAN interna.
ÿ Tradução de endereços de rede (NAT): A tradução de endereços de rede separa os endereços IP em dois conjuntos e
permite que a LAN use esses endereços para tráfego interno e externo, respectivamente.
ÿ Next Generation Firewall (NGFW): A tecnologia de firewall NGFW é uma tecnologia de firewall de terceira geração que
vai além da inspeção de porta/protocolo.
ÿ nvSRAM: nvSRAM é a RAM não volátil mais rápida do setor, com tempo de acesso de leitura e gravação de 20 ns.
ÿ Memória Flash NAND: Fornece um armazenamento não volátil para o cache principal do sistema RAID.
ÿ Sensores de rede: sensores de rede são componentes de hardware e software que monitoram o tráfego de rede
e disparar alarmes se qualquer atividade anormal for detectada.
ÿ Proxy não transparente: os proxies não transparentes também são conhecidos como proxies explícitos e exigem que o software cliente
seja configurado para usar o servidor proxy.
Glossário Página 913 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Near-field Communication (NFC): NFC cobre distâncias muito curtas. Ele emprega indução eletromagnética para
permitem a comunicação entre dispositivos conectados dentro de 10 cm.
ÿ Network Attached Storage (NAS): NAS é um serviço de armazenamento de dados baseado em arquivo e um computador dedicado
aparelho compartilhado na rede.
ÿ Monitoramento de tráfego de rede: o monitoramento de rede é uma abordagem de segurança retrospectiva que envolve o monitoramento
de uma rede em busca de atividades anormais, problemas de desempenho, problemas de largura de banda, etc.
ÿ Assinaturas de tráfego de rede: uma assinatura é um conjunto de características de tráfego, como endereço IP de origem/destino,
portas, sinalizadores TCP (Transmission Control Protocol), tamanho do pacote, tempo de vida (TTL) e protocolos.
As assinaturas são usadas para definir o tipo de atividade em uma rede.
ÿ Assinaturas de Tráfego Normal: Padrões de tráfego aceitáveis permitidos para entrar na rede.
ÿ Contêineres de SO: Contêineres de SO são ambientes virtuais que compartilham o kernel do ambiente host que
fornece-lhes espaço de usuário isolado.
ÿ Multiplexação Ortogonal por Divisão de Frequência (OFDM): Método de codificação de dados digitais em múltiplas portadoras
frequências.
ÿ Antena Omnidirecional: Antenas omnidirecionais irradiam energia eletromagnética (EM) em todas as direções.
ÿ Backup de dados no local: Armazenar dados de backup apenas no armazenamento de dados no local.
ÿ Backup de dados fora do local: armazenamento de dados de backup em locais remotos em cofres indestrutíveis à prova de fogo.
ÿ Autenticação de sistema aberto: A autenticação de sistema aberto é um algoritmo de autenticação nulo que não verifica se é um usuário
ou uma máquina solicitando acesso à rede.
ÿ Virtualização Assistida por SO ou Para Virtualização: Nesse tipo de virtualização, o SO convidado está ciente do ambiente virtual em
que está sendo executado e se comunica com a máquina host para solicitar
Recursos.
ÿ Virtualização do Sistema Operacional: Este tipo de virtualização permite que o hardware execute vários
sistemas operacionais simultaneamente.
P
ÿ Abordagem Preventiva: Consiste em métodos ou técnicas que são utilizadas para evitar ameaças ou ataques ao
rede alvo.
ÿ Abordagens Proativas: Consistem em métodos ou técnicas que são usadas para tomar decisões informadas sobre
ataques potenciais no futuro na rede de destino.
ÿ Controles de prevenção: são usados para impedir o acesso indesejado ou não autorizado aos recursos.
ÿ Princípio do Menor Privilégio (POLP): O princípio do menor privilégio (POLP) estende a necessidade de saber
princípio ao fornecer acesso a um sistema.
ÿ Autenticação de senha: A autenticação de senha usa uma combinação de um nome de usuário e uma senha para autenticar os usuários
da rede.
ÿ
Políticas: Políticas são declarações de alto nível que lidam com a segurança da rede administrativa de uma organização.
ÿ Política promíscua: Esta política não impõe nenhuma restrição ao uso de recursos do sistema.
Glossário Página 914 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Política Permissiva: Esta política é totalmente aberta, e apenas serviços/ataques ou comportamentos perigosos conhecidos são
bloqueado.
ÿ Política paranóica: Uma política paranóica proíbe tudo. Há uma restrição estrita em todos os computadores da empresa,
seja o uso do sistema ou da rede.
ÿ Política Prudente: Uma política prudente começa com todos os serviços bloqueados. O Network Defender possibilita atendimentos seguros e
necessários individualmente.
ÿ Lista negra de senhas: Uma lista negra de senhas contém uma lista de palavras cujo uso é proibido como senhas
por causa de sua familiaridade.
ÿ Segurança Física: Trata-se de restringir o acesso físico não autorizado à infraestrutura, escritório
instalações, estações de trabalho e funcionários da organização.
ÿ Política de segurança física: A política de segurança física define diretrizes para garantir que medidas de segurança física adequadas sejam
implementadas.
ÿ Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS): PCI-DSS é um padrão de segurança de informações
proprietárias para organizações que lidam com informações de titulares de cartão para cartões de débito, crédito, pré-pagos, e-purse, ATM e
POS.
ÿ Política de Senha: A política de senha fornece diretrizes para o uso de senhas fortes para
Recursos.
ÿ Controles Preventivos: Esses controles evitam violações de segurança e reforçam vários controles de acesso
mecanismos.
ÿ Barreiras Físicas: Barreiras físicas restringem a entrada de pessoas não autorizadas no edifício; use sempre um
combinação de barreiras para impedir a entrada não autorizada.
ÿ Segmentação física: a segmentação física é um processo de divisão de uma rede maior em redes físicas menores
componentes.
ÿ Firewall de filtragem de pacotes: Os firewalls de filtragem de pacotes funcionam no nível de rede do modelo OSI (ou IP
camada de TCP/IP).
ÿ Detecção de anomalia de protocolo: A detecção de anomalia de protocolo depende das anomalias específicas de um protocolo.
ÿ Servidores Proxy: Um servidor proxy é um aplicativo que pode servir como intermediário ao se conectar com
outros computadores.
ÿ Platform-as-a-Service (PaaS): Este serviço de computação em nuvem oferece ferramentas de desenvolvimento, gerenciamento de configuração
e plataformas de implantação sob demanda que podem ser usadas pelos assinantes para desenvolver aplicativos personalizados.
ÿ Nuvem pública: o provedor disponibiliza serviços como aplicativos, servidores e armazenamento de dados ao público pela Internet.
ÿ Nuvem Privada: Uma nuvem privada é uma infraestrutura de nuvem operada por uma única organização e implementada
dentro de um firewall corporativo.
ÿ Antena de grade parabólica: Uma antena de grade parabólica usa o mesmo princípio de uma antena parabólica, mas não possui uma antena
sólida. Consiste em um semi-prato em forma de grade composta por fios de alumínio.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de uma Camada de Transporte criptografada e autenticada
Túnel de segurança (TLS).
ÿ Conexão ponto a ponto (P2P): Uma conexão P2P permite a comunicação segura entre dois
dispositivos sem criptografia de dados.
Glossário Página 915 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Honeypots puros: Honeypots puros emulam a rede de produção real de uma organização-alvo.
ÿ Topologia VPN ponto a ponto: Em uma topologia ponto a ponto, quaisquer dois terminais são considerados como dispositivos pares que
podem se comunicar entre si. Qualquer um dos dispositivos pode ser usado para iniciar a conexão.
ÿ Conexão ponto-a-multiponto: Uma conexão ponto-a-multiponto (P2MP, PTMP e PMP) permite conexões de um para muitos fornecendo
vários caminhos de um único local para vários outros locais.
ÿ Senhas e PINs: Senhas e PINs são recursos básicos de segurança usados em todos os dispositivos móveis.
ÿ Push Notification Services: É um recurso de mensagens que se origina de um servidor e permite a entrega de dados ou uma mensagem de
um aplicativo para um dispositivo móvel sem nenhuma solicitação explícita do usuário.
ÿ Public Key Infrastructure (PKI): Uma infraestrutura de chave pública (PKI) é uma arquitetura de segurança desenvolvida para aumentar a
confidencialidade das informações trocadas pela Internet.
ÿ Controles de segurança física: os controles de segurança física fornecem proteção física das informações,
edifícios e todos os outros ativos físicos de uma organização.
ÿ Pretty Good Privacy (PGP): Pretty Good Privacy (PGP) é um protocolo de camada de aplicação que fornece
privacidade criptográfica e autenticação para comunicação de rede.
ÿ Cache de memória RAID primária: Cache é usado para gravar os dados em transição. Um sistema RAID usa um cache para acelerar o
desempenho de E/S no sistema de armazenamento.
R
ÿ Abordagem Reativa: Consiste em métodos ou técnicas que são usadas para detectar ataques na rede de destino.
ÿ Abordagens retrospectivas: consistem em métodos ou técnicas que examinam as causas dos ataques e contêm, remediam, erradicam e
recuperam os danos causados pelo ataque na rede alvo.
ÿ Monitor de Referência: Um monitor de referência monitora as restrições impostas com base em determinados acessos
regras de controle.
ÿ Controle de acesso baseado em função (RBAC): Em um controle de acesso baseado em função, as permissões de acesso estão disponíveis
com base nas políticas de acesso determinadas pelo sistema.
ÿ Controle de acesso baseado em regras (RB-RBAC): As permissões são atribuídas a uma função de usuário dinamicamente com base em um conjunto
de regras definidas pelo administrador.
ÿ Controles de recuperação: Esses controles são usados em uma condição mais grave para se recuperar de violação de segurança
e restaurar informações e sistemas para um estado persistente.
ÿ Honeypots de pesquisa: Honeypots de pesquisa são honeypots de alta interação implantados principalmente por institutos de pesquisa,
governos ou organizações militares para obter conhecimento detalhado sobre as ações de invasores.
ÿ Proxy Reverso: Um proxy reverso geralmente está situado mais perto do(s) servidor(es) e retornará apenas um
conjunto de recursos.
ÿ RFID: A tecnologia de identificação por radiofrequência (RFID) usa ondas eletromagnéticas de radiofrequência (RF) para transferir dados para
identificação automática e para rastrear tags anexadas a objetos.
ÿ Antenas Refletoras: As antenas refletoras são usadas para concentrar a energia eletromagnética que é irradiada
ou recebido em um ponto focal.
ÿ RADIUS: O serviço de usuário dial-in de autenticação remota (RADIUS) é um protocolo de autenticação que fornece autenticação centralizada,
autorização e contabilidade (AAA) para servidores de acesso remoto se comunicarem com um servidor central.
Glossário Página 916 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Varredura de retina: analisa a camada de vasos sanguíneos na parte de trás dos olhos para identificar uma pessoa.
ÿ Estruturas regulatórias: as estruturas regulatórias de segurança de TI contêm um conjunto de diretrizes e práticas recomendadas.
ÿ IDS baseado em tempo real : IDS baseado em tempo real reúne e monitora informações de fluxos de tráfego de rede
regularmente.
ÿ Sistema de Resposta: O sistema de resposta emite contramedidas contra qualquer intrusão que seja detectada.
ÿ Monitoramento em tempo real: o monitoramento em tempo real envolve o monitoramento de ativos de IoT, processamento de produtos,
manter um fluxo, ajudar a detectar problemas e agir imediatamente.
ÿ Análise em tempo real: A análise em tempo real envolve a análise de coisas da IoT e a tomada de medidas adequadas.
ÿ Tecnologia Redundant Array of Independent Disks (RAID): Um método de combinação de vários discos rígidos
em uma única unidade e gravar dados em várias unidades de disco, oferecendo tolerância a falhas.
ÿ Controlador RAID: gerencia uma matriz de unidades de disco físicas e as apresenta ao computador como lógicas
unidades.
ÿ RAID Nível 0: Disk Striping: RAID 0 lida com desempenho de dados. Neste nível, os dados são divididos em seções
e gravados em várias unidades.
ÿ RAID Nível 1: Espelhamento de Disco: Várias cópias de dados são gravadas em várias unidades ao mesmo tempo.
ÿ RAID Nível 3: Divisão de Disco com Paridade: Os dados são distribuídos no nível de byte em várias unidades. Uma unidade
por conjunto é usado para informações de paridade.
ÿ RAID nível 5: Paridade distribuída intercalada em bloco: os dados são divididos no nível de byte em várias unidades e as informações
de paridade são distribuídas entre todas as unidades membros.
ÿ RAID Nível 10: Blocos distribuídos e espelhados: RAID 10 é uma combinação de RAID 0 (dados de volume de distribuição) e
RAID 1 (espelhamento de disco) e sua implementação requer pelo menos quatro unidades.
ÿ RAID nível 50: Espelhamento e divisão em vários níveis de RAID: RAID nível 50 inclui espelhamento e
distribuição em vários níveis de RAID.
ÿ Limpeza Remota: A limpeza remota é uma técnica usada para assegurar e proteger dados de malfeitores se um
dispositivo móvel usado por um funcionário foi roubado ou perdido.
ÿ RC4: RC4 é uma cifra de fluxo de chave simétrica de tamanho de chave variável com operações orientadas a byte e é baseada
no uso de uma permutação aleatória.
ÿ RC5: É um algoritmo parametrizado com tamanho de bloco variável, tamanho de chave variável e número de rodadas variável. O tamanho
da chave é de 128 bits.
ÿ RC6: É um algoritmo parametrizado com tamanho de bloco, tamanho de chave e número de rodadas variáveis.
ÿ Criptografia de mídia removível: A criptografia de mídia removível impede que dispositivos de mídia removível
acesso não autorizado.
ÿ Assinaturas de tráfego de reconhecimento: O tráfego de reconhecimento consiste em assinaturas que indicam uma tentativa de escanear
a rede em busca de possíveis pontos fracos.
ÿ Secure/Multipurpose Internet Mail Extensions (S/MIME): S/MIME é um protocolo de camada de aplicação que
é usado para enviar mensagens de e-mail criptografadas e assinadas digitalmente.
Glossário Página 917 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Secure Sockets Layer (SSL): A Secure Sockets Layer (SSL) é um protocolo usado para fornecer um mecanismo de autenticação seguro
entre dois aplicativos de comunicação, como um cliente e um servidor.
ÿ Assunto: Um assunto pode ser definido como um usuário ou um processo que tenta acessar os objetos.
ÿ Separação de Tarefas (SoD): Isso envolve uma divisão do processo de autorização em várias etapas.
ÿ Autenticação de Smart Card: Um smart card consiste em um pequeno chip de computador que armazena informações pessoais
do usuário para identificação.
ÿ Autenticação Single Sign-on (SSO): Permite que os usuários acessem vários aplicativos usando um único
usuário e senha.
ÿ Lei Sarbanes Oxley (SOX): A Lei Sarbanes-Oxley foi criada para proteger os investidores e o público ao
aumentando a precisão e confiabilidade das divulgações corporativas:
ÿ Política de segurança: Uma política de segurança é um conjunto bem documentado de planos, processos, procedimentos, padrões e
diretrizes necessárias para estabelecer um status ideal de segurança da informação de uma organização.
ÿ Política de segurança específica do sistema (SSSP): SSSP direciona os usuários durante a configuração ou manutenção de um sistema.
ÿ Firewalls de software: Um firewall de software é um programa de software instalado em um computador, como normal
Programas.
ÿ Firewall Stateful Multilayer Inspection: Um firewall Stateful Multilayer Inspection combina os aspectos dos outros três tipos.
ÿ Reconhecimento de assinatura: O reconhecimento de assinatura, também conhecido como detecção de uso indevido, tenta identificar
eventos que indicam um abuso de um sistema ou recurso de rede.
ÿ Protocolo seguro de transferência de hipertexto (S-HTTP): O protocolo seguro de transferência de hipertexto (S-HTTP) é um protocolo
de camada de aplicativo usado para criptografar comunicações da Web transmitidas por HTTP.
ÿ Padrões: Os padrões compreendem controles obrigatórios específicos de baixo nível ou controles relacionados ao
implementação de uma tecnologia específica.
ÿ Bastion Host de hospedagem única: Um dispositivo de firewall com apenas uma interface de rede.
ÿ Firewall Único DMZ: Neste modelo, a arquitetura de rede contendo o DMZ consiste em três redes
interfaces.
ÿ Honeypots de Spam: Honeypots de Spam visam especificamente spammers que abusam de recursos vulneráveis, como
retransmissores de correio aberto e proxies abertos.
ÿ Honeypots de aranha: Honeypots de aranha também são chamados de armadilhas de aranha. Esses honeypots são projetados
especificamente para prender web crawlers e spiders.
ÿ Proxy SOCKS: SOCKS, um padrão da Internet Engineering Task Force (IETF), é um servidor proxy que não
têm as habilidades especiais de cache de um servidor proxy HTTP de cache.
ÿ Site-to-Site VPNs: Site-to-site VPN estende a rede da empresa, permite o acesso de uma organização
recursos de rede de diferentes locais.
ÿ Software VPNs: O software VPN é instalado e configurado em roteadores, servidores e firewalls ou como um gateway que funciona como
uma VPN.
ÿ Topologia em Estrela: Cada dispositivo da rede é conectado a um hub central que gerencia o tráfego através
a rede.
ÿ Virtualização de dispositivo de armazenamento: é a virtualização de dispositivos de armazenamento usando técnicas como dados
striping e espelhamento de dados.
Glossário Página 918 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Sandbox: contém a configuração da pilha de rede de um contêiner, como tabela de roteamento, gerenciamento
das interfaces do contêiner e configurações de DNS.
ÿ Gerenciamento de Incidentes e Eventos de Segurança (SIEM): SIEM executa SOC (Operações de Segurança) em tempo real
Center) funções como identificação, monitoramento, registro, auditoria e análise de incidentes de segurança.
ÿ Software-as-a-Service (SaaS): Este serviço de computação em nuvem oferece software para assinantes sob demanda em
a Internet.
ÿ Identificador de Conjunto de Serviços (SSID): Um SSID é um identificador exclusivo de 32 caracteres alfanuméricos dado a uma WLAN que
atua como um identificador sem fio da rede.
ÿ Responsabilidade Compartilhada: A segurança é uma responsabilidade compartilhada em sistemas de nuvem, em que os consumidores de
nuvem e os provedores de serviços de nuvem têm níveis variados de controle sobre os recursos de computação disponíveis.
ÿ Autenticação de Chave Compartilhada: Neste processo, cada estação wireless recebe uma chave secreta compartilhada através de um
canal distinto dos canais de comunicação da rede sem fio 802.11.
ÿ Sondagem de protocolo de gerenciamento de rede simples (SNMP): protocolo de gerenciamento de rede simples (SNMP)
O polling é usado para identificar os dispositivos IP conectados a uma rede com fio.
ÿ SDRAM: Memória de Acesso Aleatório Dinâmico (DRAM) que é sincronizada com a velocidade do clock da CPU.
ÿ Storage Area Network (SAN): Uma SAN é uma rede especializada, dedicada e discreta de alta velocidade que
conecta dispositivos de armazenamento com uma interconexão de E/S de alta velocidade.
ÿ Controles de acesso ao sistema: Os controles de acesso ao sistema são usados para restringir o acesso aos dados de acordo com
sensibilidade dos dados, nível de liberação dos usuários, direitos do usuário e permissões.
ÿ Monitoramento de segurança: Para lidar com brechas de segurança em estágios iniciais e prevenir ataques mal-intencionados em um
sistema IoT.
ÿ SATA: Serial ATA lida com hot plugging e conectividade serial. A técnica de hot plugging pode ser usada para substituir componentes do
computador sem desligar o sistema.
ÿ SCSI: Small computer system interface (SCSI) permite que vários dispositivos sejam conectados a uma única porta no
mesmo tempo.
ÿ
Comunicação por satélite (Satcom): Satcom é um satélite geoestacionário artificial que fornece serviços em todo o mundo, mas é muito mais
lento.
ÿ Bloqueio de tela: o bloqueio de tela é um recurso em dispositivos móveis usado para proteger os dados e impedir o acesso ilegal
por criminosos.
ÿ Criptografia Simétrica: A criptografia simétrica requer que tanto o remetente quanto o destinatário do
mensagem possui a mesma chave de criptografia.
ÿ Secure Hashing Algorithm (SHA): Este algoritmo gera um hash unidirecional criptograficamente seguro; foi publicado pelo Instituto Nacional de
Padrões e Tecnologia como um Padrão Federal de Processamento de Informações dos EUA.
ÿ SHA-1: Produz um resumo de 160 bits de uma mensagem com comprimento máximo de (264 ÿ 1) bits e se assemelha ao algoritmo MD5.
ÿ SHA-2: É uma família de duas funções de hash semelhantes com tamanhos de bloco diferentes, ou seja, SHA-256, que usa
palavras de 32 bits e SHA-512, que usa palavras de 64 bits.
Glossário Página 919 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ SHA-3: SHA-3 usa a construção de esponja, na qual os blocos de mensagens são XORed nos bits iniciais do
estado, que é então permutado invertidamente.
ÿ Transport Layer Security (TLS): TLS garante uma comunicação segura entre aplicativos cliente-servidor
na internet.
ÿ Autenticação de dois fatores: A autenticação de dois fatores é um processo em que um sistema confirma o usuário
identificação em duas etapas.
ÿ A Lei de Direitos Autorais do Milênio Digital (DMCA): A DMCA é uma lei de direitos autorais dos Estados Unidos que implementa
dois tratados de 1996 da Organização Mundial da Propriedade Intelectual (WIPO).
ÿ A Lei Federal de Gerenciamento de Segurança da Informação (FISMA): A FISMA fornece uma estrutura abrangente para
garantir a eficácia dos controles de segurança da informação sobre recursos de informação que suportam operações e ativos
federais.
ÿ A Lei de Privacidade das Comunicações Eletrônicas: A Lei de Privacidade das Comunicações Eletrônicas e a Lei de
Comunicações Eletrônicas por Fios Armazenados são comumente chamadas de Lei de Privacidade das Comunicações
Eletrônicas (ECPA) de 1986.
ÿ A Lei dos Direitos Humanos de 1998: Esta Lei reforça os direitos e liberdades garantidos pela Convenção Europeia dos Direitos
Humanos.
ÿ A Lei de Liberdade de Informação de 2000: Esta Lei prevê a divulgação de informações mantidas por autoridades públicas ou por
pessoas que lhes prestem serviços e altera a Lei de Proteção de Dados de 1998 e a Lei de Registros Públicos de 1958.
ÿ TACACS+: TACACS+ fornece serviços de autenticação, autorização e contabilidade (AAA) para rede
comunicação.
ÿ Verdadeiro Positivo (Ataque - Alerta): Um verdadeiro positivo é uma condição que ocorre quando um evento aciona um alarme e
faz com que o IDS reaja como se um ataque real estivesse em andamento.
ÿ Verdadeiro Negativo (Sem Ataque - Sem Alerta): Um Verdadeiro Negativo é uma condição que ocorre quando um IDS identifica um
atividade como comportamento aceitável, e a atividade é aceitável.
ÿ Proxy Transparente: Um proxy transparente é um proxy através do qual um sistema cliente se conecta a um servidor sem seu
conhecimento.
ÿ Controles técnicos de segurança: Os controles técnicos de segurança são usados para restringir o acesso a dispositivos em um
organização para proteger a integridade de dados confidenciais.
ÿ Catracas: Este tipo de barreira física permite a entrada de apenas uma pessoa por vez.
NO
ÿ User Identity Management (IDM): Lida com a confirmação da identidade de um usuário, processo ou dispositivo acessando
a rede.
ÿ User Behavior Analytics (UBA): UBA é o processo de rastreamento do comportamento do usuário para detectar ataques maliciosos,
ameaças potenciais e fraude financeira.
ÿ Universal Serial Bus (USB): USB permite comunicação com fio para dispositivos. Pode ser usado para fornecimento de energia e
transmissão serial de dados entre dispositivos.
ÿ USA Patriot Act 2001: O objetivo do USA PATRIOT Act é deter e punir atos terroristas nos EUA
e em todo o mundo e aprimorar as ferramentas de investigação de aplicação da lei.
Glossário Página 920 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Assinaturas de Tráfego de Acesso Não Autorizado: Tráfego contendo determinadas assinaturas que indicam tentativa de
obter acesso não autorizado.
NO
ÿ Vigilância por vídeo: Vigilância por vídeo refere-se ao monitoramento de atividades dentro e ao redor das instalações usando CCTV
(circuito fechado de televisão).
ÿ Reconhecimento da estrutura da veia: analisa a espessura e a localização das veias para identificar uma pessoa.
ÿ Reconhecimento de Voz: Compara e identifica uma pessoa com base nos padrões de voz ou fala.
ÿ Virtual Private Network: Uma VPN é uma rede privada construída usando redes públicas, como a
Internet.
ÿ Topologias VPN: Uma topologia VPN especifica como os pares e as redes dentro de uma VPN são conectados.
ÿ Virtualização: Virtualização refere-se a uma representação virtual baseada em software de uma infraestrutura de TI que inclui rede,
dispositivos, aplicativos, armazenamento, etc.
ÿ VPN Concentrators: Um VPN Concentrator é um dispositivo de rede usado para criar conexões VPN seguras.
No
ÿ Sinais de alerta: Os sinais de alerta são usados para garantir que alguém não se intrometa inadvertidamente em qualquer área restrita
áreas.
ÿ Wi-Fi: Utiliza ondas de rádio ou micro-ondas para permitir que dispositivos eletrônicos troquem dados ou se conectem ao
Internet.
ÿ WiMAX: A tecnologia de interoperabilidade mundial para acesso por micro-ondas (WiMAX) usa rede sem fio de longa distância e
Internet de alta velocidade.
ÿ WLAN: Conecta usuários em uma área local com uma rede. A área pode variar de um único cômodo a um
campus.
ÿ WWAN: WWAN cobre uma área maior que a WLAN. Pode abranger uma determinada região, nação ou mesmo o
globo inteiro.
ÿ WPAN: Interconecta dispositivos posicionados ao redor de um indivíduo, em que as conexões são sem fio. Tem um alcance muito curto.
ÿ WMAN: Acede a redes de área de banda larga através de uma antena exterior. É uma boa alternativa para um
rede fixa.
ÿ Redes sem fio: as redes sem fio usam sinais de radiofrequência (RF) para conectar dispositivos habilitados para conexão sem fio
em uma rede.
ÿ Varredura de rede com fio: Scanners de rede com fio, como o Nmap, são usados para identificar um grande número de dispositivos em
uma rede enviando pacotes TCP especialmente criados para o dispositivo (impressão digital Nmap-TCP).
ÿ Placas de rede sem fio (NIC): placas de interface de rede sem fio (NICs) são placas que localizam e
comunicar-se com um AP com um sinal potente, dando acesso à rede aos usuários.
ÿ Modem sem fio: Um modem sem fio é um dispositivo que permite que os PCs se conectem a uma rede sem fio e acessem
a ligação à Internet directamente com a ajuda de um ISP.
ÿ Ponte sem fio: Uma ponte sem fio conecta várias LANs na camada de controle de acesso ao meio (MAC).
ÿ Repetidor Wireless (expansores de alcance): Este dispositivo retransmite o sinal existente captado do wireless
roteador ou um AP para criar uma nova rede.
ÿ Roteador sem fio: Um roteador sem fio é um dispositivo em uma WLAN que interconecta dois tipos de redes usando
ondas de rádio para os dispositivos sem fio, como computadores, laptops e tablets.
Glossário página 921 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Gateways sem fio: um gateway sem fio é um componente chave de uma rede sem fio. É um dispositivo que permite que
dispositivos habilitados para Internet acessem a rede.
ÿ Varredura sem fio: realiza uma varredura de rede sem fio ativa para detectar a presença de APs sem fio
na proximidade.
ÿ Adaptador USB sem fio: Um adaptador USB sem fio conecta diferentes dispositivos a uma rede sem fio para acessar a Internet
sem um computador, roteador ou qualquer outro dispositivo de rede.
ÿ Wired Equivalent Privacy (WEP): WEP é um protocolo de segurança definido pelo padrão 802.11b; ele foi projetado para fornecer
uma LAN sem fio com um nível de segurança e privacidade comparável ao de uma LAN com fio.
ÿ Wi-Fi Protected Access (WPA): É um protocolo avançado de criptografia sem fio usando TKIP e Message
Verificação de integridade (MIC) para fornecer criptografia e autenticação fortes.
ÿ WPA2: WPA2 é uma atualização para WPA e inclui suporte obrigatório para o modo de contador com protocolo de código de
autenticação de mensagem de encadeamento de blocos cifrados (CCMP), um modo de criptografia baseado em AES com forte
segurança.
ÿ WPA3: WPA3 é uma implementação avançada de WPA2 que fornece protocolos pioneiros e usa o algoritmo de criptografia AES
GCMP 256.
ÿ Proteção de informações do Windows (WIP): WIP tem um recurso de prevenção de perda de dados (DLP) de endpoint que pode
ser útil na proteção de dados locais em repouso em dispositivos endpoint.
ÿ Warm Backup (Nearline): Um backup morno também é chamado de backup nearline. Em um backup morno, as atualizações do
sistema são ativadas para receber atualizações periódicas.
Y
ÿ Antena Yagi : A antena Yagi, também chamada de antena Yagi-Uda, é uma antena unidirecional comumente usada em
comunicações usando a banda de frequência de 10 MHz a frequência muito alta (VHF) e frequência ultra alta (UHF).
Glossário página 922 Network Defense Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Referências
Módulo 01: Fundamentos de Segurança de Rede
1. Segurança de rede, em www.njcpu.net/security.htm.
15. GH Admin, (2017), What is Secure Sockets Layer (SSL) and How it Works, em https://www.gohacking.com/secure-sockets
layer-ssl/.
19. Andrew Froehlich, Kevin Beaver, Michael Cobb, segurança da camada de transporte (TLS), em
https://searchsecurity.techtarget.com/definition/Transport-Layer-Security-TLS.
21. Zeus Kerravala, (2018), What is Transport Layer Security (TLS)?, de https://www.networkworld.com/article/2303073/lan wan-what-is-transport-
layer-security-protocol.html .
Referências Página 923 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
32. (2016), Controle de acesso baseado em atributo (ABAC) - Visão geral, de https://csrc.nist.gov/projects/attribute-based-access
ao controle.
37. Stephen J. Bigelow, (2008), implemente sistemas de controle de acesso com sucesso em sua organização, em
https://searchitchannel.techtarget.com/feature/The-importance-of-access-control.
39. Vincent C. Hu, David F. Ferraiolo, D. Rick Kuhn, (2006), Avaliação de Sistemas de Controle de Acesso, de http://
csrc.nist.gov/publications/nistir/7316/NISTIR-7316.pdf.
42. Andrew Plato, Implementando produtos de controle de acesso à rede: Como preparar seus clientes, de
https://searchitchannel.techtarget.com/tip/Implementing-network-access-control-products-How-to-prep-your-clients.
44. Linda Rosencrance, Peter Loshin e Michael Cobb, Autenticação de dois fatores (2FA), em https://
searchsecurity.techtarget.com/definition/two-factor-authentication.
Referências Página 924 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
56. Wolfgang Sommergut, (2019), Windows Admin Center: controle de acesso baseado em função, em https://
4sysops.com/archives/windows-admin-center-role-based-access-control/.
57. (2019), Opções de acesso do usuário com o Windows Admin Center, em https://docs.microsoft.com/en-us/windows server/manage/
windows-admin-center/plan/user-access-options.
58. Sandra Gittlen, O que é gerenciamento de identidade e acesso? Guia para IAM, de
https://searchsecurity.techtarget.com/definition/identity-access-management-IAM-system.
59. (2021), David Strom, What is IAM? Gerenciamento de identidade e acesso explicado, de
https://www.csoonline.com/article/2120384/what-is-iam-identity-and-access-management-explained.html.
72. (2012), Sistema de Gerenciamento de Segurança da Informação ISO/IEC 27001:205 Introdução e Requisitos, de https://
www.slideshare.net/ControlCase/isms-presentation-oct-202012?qid=b5f12936-0a7d-4dad-9e6e
2b68c654397b&v=&b=&from_search=9.
73. ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gerenciamento de segurança da informação, de
https://www.iso27001security.com/html/27001.html.
78. Jonathan Gana KOLO, Umar Suleiman DAUDA, Network Security: Policies and Guidelines for Effective Network Management, de
http://ljs.academicdirect.org/A13/007_021.htm.
79. Seu guia para o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS), de
https://www.westpac.com.au/docs/pdf/bb/Guide_to_payment_card_indus1.pdf.
81. FISA 101: Por que as alterações de modernização da FISA devem ser tornadas permanentes, em https://www.justice.gov/archive/ll/.
Referências Página 925 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
85. Conformidade de segurança da informação: quais regulamentos se relacionam comigo?, em https://www.tcdi.com/information-security compliance-
which-regulations/.
88. Jeff Battaglino, 7 Hidden Benefits of IT Security Compliance for Your Business, em https://
www.cherwell.com/library/blog/it-security-compliance/.
89. Becky Metivier, (2017), Cybersecurity Compliance Assessments: It's All About Interpretation, de
https://www.tylercybersecurity.com/blog/cybersecurity-compliance-assessments-its-all-about-interpretation.
94. Nehemiah Mavetera, Investigando Política de Segurança do Sistema de Informação e Programas de Treinamento de Conscientização na África do Sul
Organizações, de https://
www.academia.edu/2409019/Investigating_Information_System_Security_Policy_and_Awareness_Training_Progra ms_in_South_African_Organizations.
101. Lisa Phifer, (2010), Segurança e controle de endpoint de dispositivo de armazenamento removível, de
https://searchsecurity.techtarget.com/magazineContent/Removable-storage-device-endpoint-security-and-control.
103. Tom Rubenoff, (2021), How to Create a Basic Mantrap System, em https://turbofuture.com/industrial/How-to-Create-a
Basic-Mantrap-System.
107. Jeff A Sandine, (2009), What is the Difference Between Tailgating and Piggybacking Through an Access Controlled Secure Door?, de http://
ezinearticles.com/?What-is-the-Difference-Between-Tailgating-and- Pegando carona por meio de uma porta segura controlada por acesso?
&id=1902821.
Referências Página 926 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
109. Deb Shinder, (2007), 10 medidas de segurança física que toda organização deve adotar, desde
https://www.techrepublic.com/blog/10-things/10-physical-security-measures-every-organization-should-take/.
116. Vijay Luiz, (2015), desafios de segurança física quando os fornecedores estão no local, em https://www.linkedin.com/pulse/physical
security-challenges-when-vendors-site-vijay-luiz.
120. Professor Messer, (2018), Network Segmentation – CompTIA Network+ N10-007 – 4.6, de https://
www.professormesser.com/network-plus/n10-007/network-segmentation-3/.
122. Tom Olzak, (2021), VLAN Network Segmentation and Security- Chapter 5, from https://
resources.infosecinstitute.com/topic/vlan-network-chapter-5/.
127. Donald Stoddard, Thomas M. Thomas, (2012), Network Security First-Step: Firewalls, em https://
www.ciscopress.com/articles/article.asp?p=1823359&seqNum=7.
134. Firewall, Internet Security, Anti Virus Protection - BullGuard, em https://www.bullguard.com/bullguard-security center/pc-security/
computer-security-resources/firewall-protection.aspx.
Referências Página 927 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
141. Karen Scarfone, Paul Hoffman, (2009), Guidelines on Firewalls and Firewall Policy, from
http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf.
147. Amy Larsen DeCarlo, Robert G. Ferrell, Os 5 tipos diferentes de firewalls explicados, em https://
searchsecurity.techtarget.com/feature/The-five-different-types-of-firewalls.
156. Deb Shinder, (2004), Application Layer Filtering (ALF): O que é e como se encaixa em seu plano de segurança?, de
https://techgenix.com/Application_Layer_Filtering/.
157. Rajesh K, (2009), O que são: filtragem de pacotes, nível de circuito, nível de aplicativo e firewalls de inspeção multicamadas com estado, de
http://www.excitingip.com/205/what-are-packet-filtering-circuit-level -firewalls de inspeção multicamadas em nível de aplicativo e estado/.
166. John R. Vacca, Scott Ellis, Firewalls: Jumpstart for Network and Systems Administrators, de https://
books.google.co.in/books?id=ipvoml8c9zcC&pg=PA25&lpg=PA25&dq=Multi
homed+firewall+architecture&source=bl&ots =3E
Q8RRoS9&sig=KbpZfz1RrZmRAn3a5_Qt1QB6CJ4&hl=en&sa=X&ei=Zf0XVM
cEMeTuAT8yILgDg&ved=0CF8Q6AEwCg#v=onepage&q=Multi-homed%20firewall%20architecture&f=false.
Referências Página 928 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
174. Laura Pelkey, (2012), Implementação de firewall: 3 etapas para segurança de rede, em https://blog.icorps.com/bid/138231/3-
Etapas para uma implementação bem-sucedida de firewall.
176. Przemyslaw Kazienko, Piotr Dorosz, (2003), Intrusion Detection Systems (IDS) Part I, de http://
googleweblight.com/?lite_url=http://www.windowsecurity.com/articles tutorials/intrusion_detection/
Intrusion_Detection_Systems_IDS_Part_I__network_intrusions_attack_symptoms_IDS_tasks _and_IDS_architecture .html&ei=wjgGk8gA&lc=en-
IN&geid=7&s=1&m=328&ts=1443607601&sig=APONPFmMHyzAy 6SXYxgKzR70YUCJw_ing.
179. K. Rajasekhar, B. Sekhar Babu , P.Lakshmi Prasanna, DRLavanya, T.Vamsi Krishna, (2011), Uma visão geral das estratégias e
problemas do sistema de detecção de intrusão, em http://www.ijcst.com/vol24/1/krajasekhar.pdf.
184. Deb Shinder, (2005), SolutionBase: Entendendo como um sistema de detecção de intrusão (IDS) funciona, de
https://www.techrepublic.com/article/solutionbase-understanding-how-an-intrusion-detection-system-ids-works/.
185. J. Forlanda, (2010), Intrusion Detection Systems: How They Work, em https://www.brighthub.com/computing/smb security/articles/
65416/.
188. Fredrik Valeur, Giovanni Vigna, Christopher Kruegel e Richard A. Kemmerer, (2004), Uma abordagem abrangente para
Correlação de alerta de detecção de intrusão,
em https://sites.cs.ucsb.edu/~vigna/publications/2004_valeur_vigna_kruegel_kemmerer_TDSC_Correlation.pdf.
190. Karen Scarfone e Peter Mell, (2007), Guide to Intrusion Detection and Prevention Systems, from
https://csrc.nist.gov/publications/detail/sp/800-94/final.
191. Przemyslaw Kazienko, Piotr Dorosz, (2004), Sistemas de Detecção de Intrusão (IDS) Parte 2 – Classificação, de
https://techgenix.com/IDS-Part2-Classification-methods-techniques/.
193. Kanika, Urmila, (2013), Security of Network Using Ids and Firewall, de http://www.ijsrp.org/research-paper-0613/ijsrp
p18150.pdf.
Referências Página 929 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
194. Shiv Shakti Srivastava, Nitin Gupta, Saurabh Chaturvedi, Saugata Ghosh, (2011), A Survey on Mobile Agent based Intrusion
Sistema de detecção, de https://www.ijcaonline.org/isdmisc/number6/isdm137.pdf.
195. Saidat Adebukola Onashoga, Adebayo D. Akinde e Adesina Simon Sodiya, (2009), A Strategic Review of Existing Mobile Agent Based
Intrusion Detection Systems, de http://iisit.org/Vol6/IISITv6p669-682Onashoga623.pdf.
196. Nathan Einwechter, (2001), uma introdução aos sistemas de detecção de intrusão distribuídos, de
https://community.broadcom.com/symantecenterprise/communities/community home/
librarydocuments/viewdocument?DocumentKey=d4dcda2e-19b7-414d-826a
cfbcbfdc9353&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.
201. Kevin Timm, (2001), Strategies to Reduce False Positives and False Negatives in NIDS, de https://
community.broadcom.com/symantecenterprise/communities/community home/librarydocuments/
viewdocument?DocumentKey=56b0f35a-f1ed-480b- 9fe9- 16c0687435cd&CommunityKey=1ecf5f55-9545-44d6-
b0f4-4e4a7f5f5e68&tab=librarydocuments.
204. Vangie Beal (15-7-2005), Sistemas de detecção de intrusão (IDS) e prevenção (IPS), em https://
www.webopedia.com/insights/intrusion-detection-prevention/.
206. (2013), How Intrusion Prevention Systems (IPS) Work in firewall?, em https://community.spiceworks.com/topic/362007-
como-sistemas-de-prevenção-de-intrusão-ips-funcionam-no-firewall.
207. Ron Lepofsky, (2011), Detecção de intrusão: Por que preciso de IDS, IPS ou HIDS, de
https://www.networkworld.com/article/2228598/intrusion-detection--why-do-i-need-ids--ips--or-hids-.html.
209. Jennifer J. Minella, DS vs. IPS: Como saber quando você precisa da tecnologia, de
https://searchsecurity.techtarget.com/tip/IDS-vs-IPS-How-to-know-when-you-need-the-technology.
211. Jonathan Lister, Quais são as vantagens e desvantagens de um sistema de detecção de intrusão?, de
https://www.hunker.com/12288156/what-are-the-advantages-disadvantages-of-an-intrusion-detection-system.
212. Brad Reese, (2008), Sistemas de detecção de intrusão versus análise de comportamento de rede: Qual você precisa?, de
https://www.networkworld.com/article/2346145/intrusion-detection-systems-vs--network-behavior-analysis--which-do you-need-.html.
214. Rebecca Bace e Peter Mell, (2001), Intrusion Detection Systems, de https://cryptome.org/sp800-31.htm.
219. Eric Peter e Todd Schiller, (2008), A Practical Guide to Honeypots, de https://www.cse.wustl.edu/~jain/cse571-09/ftp/honey/
index.html#sec1.4.
220. Krishna Prasad P, (2017), Capturing Attacks on IoT Devices with a multi-purpose IoT Honeypot, em https://
security.cse.iitk.ac.in/sites/default/files/15111021.pdf.
Referências Página 930 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
221. Nishit Majitha, (2017), Honey-System: Design, Implementation, & Attack Analysis, em https://
security.cse.iitk.ac.in/sites/default/files/15111024.pdf.
226. Steven J. Vaughan-Nichols, (2021), Como configurar um servidor proxy em seu PC, Mac ou navegador da Web, de
https://www.avast.com/c-how-to-set-up-a-proxy#topic-1.
232. Jeff Tyson, Chris Pollette e Stephanie Crawford, (2021), How a VPN (Virtual Private Network) Works, de
https://computer.howstuffworks.com/vpn.htm.
233. Como funcionam as redes privadas virtuais, de https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation
ike-protocols/14106-how-vpn-works.html.
235. SSL VPN (rede privada virtual Secure Sockets Layer), em https://searchsecurity.techtarget.com/definition/SSL-VPN.
236. Pradosh Kumar Mohapatra e Mohan Dattatreya, (2008), IPSec VPN Fundamentals, em https://
www.eetimes.com/ipsec-vpn-fundamentals/#.
237. Paul Williams, O que é uma VPN? Um guia para redes privadas virtuais, de https://www.bandwidthplace.com/virtual-private
network-the-vantages-of-the-vpn-article/.
240. Terry Slattery, How does the VPN concentrator work?, em https://searchnetworking.techtarget.com/answer/How-does
o-concentrador-VPN-trabalho.
241. Configuração do túnel VPN IPsec Site to Site entre roteadores Cisco, em http://www.firewall.cx/cisco-technical
Knowledgebase/cisco-routers/867-cisco-router-site-to-site-ipsec-vpn.html.
243. Andrew Tarantola, (2013), VPNs: O que eles fazem, como funcionam e por que você é burro por não usar um, em https://
gizmodo.com/vpns-what-they-do-how-they -trabalho-e-porque-você-é-burro-f-5990192.
244. Andy Maxwell, (2012), Como tornar as VPNs ainda mais seguras, em https://torrentfreak.com/how-to-make-vpns-even
mais-seguro-120419/.
246. Usman Javaid, (2011), O que é VPN e encapsulamento; Como criar e conectar-se à rede VPN [Guia do iniciante], de
https://www.addictivetips.com/windows-tips/what-is-vpn-how-to-create-and-connect-to-vpn-network/.
Referências Página 931 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
254. (2008), Layer Two Tunneling Protocol and Internet Protocol Security, de https://docs.microsoft.com/en-us/previousversions/windows/it-pro/
windows-2000-server/cc958047(v=technet .10)?redirecionado de=MSDN.
257. Penna Sparrow, Mesh Topology: Advantages and Disadvantages, em https://www.ianswer4u.com/2011/05/mesh topology-advantages-
and.html#axzz3ElkXi5M9.
260. Salvatore Salamone, (2002), Get IT Done: VPN confiabilidade e escalabilidade, de https://www.techrepublic.com/article/get-it
done-vpn-reliability-and-scalability/.
266. Bip Khanal, (2015), Security Information and Event Management (SIEM), em https://www.linkedin.com/pulse/security information-event-management-
siem-bip-khanal.
267. Rajesh K, (2010), An Introduction to SIEM – Security Information & Event Management, de
http://www.excitingip.com/920/an-introduction-to-siem-security-information-and-event-management/.
274. Idan Tendler, (2016), A análise do comportamento do usuário é a chave para identificar o uso nefasto de credenciais internas, desde
https://www.networkworld.com/article/3027168/security/user-behavior-analytics-is-key-to-identifying-nefarious-use-of insider-credentials.html.
Referências Página 932 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
280. Namrata Bisht, (2021), Virtualization in Cloud Computing and Types, em https://www.geeksforgeeks.org/virtualization cloud-computing-
types/.
281. Shaikh Abdul Azeem, Satyendra Kumar Sharma, (2017), Role of Network Virtualization in Cloud Computing and Network Convergence,
de http://www.iraj.in/journal/journal_file/journal_pdf/3-400-1512365019136-140. pdf.
282. Gabor Nagy, (2015), Operating System Containers vs. Application Containers, de https://blog.risingstack.com/operating
system-containers-vs-application-containers/.
283. Murugiah Souppaya, John Morello, Karen Scarfone, (2017), Application Container Security Guide, de https://
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf.
288. Amir Jerbi, (2017), 8 Docker security rules to live by, de https://www.infoworld.com/article/3154711/8-docker-security
regras para viver por.html.
291. (2019), Container Security: Examining Potential Threats to the Container Environment, em https://
www.trendmicro.com/vinfo/us/security/news/security-technology/container-security-examining-potential-threats para -o-ambiente-
contêiner.
292. Shira Caldie, (2017), Usando contêineres do Docker? Cuidado com esses riscos de segurança, de https://www.ontrack.com/uk/blog/the
world-of-data/using-docker-containers-beware-of-these-security-risks/.
293. Chuck Hegarty, (2018), Understanding Container Security: Kernel Exploits, DDoS Attacks & Poisoned Images, em https://
www.siriuscom.com/2018/08/understanding-container-security/
294. Patrick Kleindienst, (2016), Explorando a segurança do Docker – Parte 2: falhas de contêiner, de https://blog.mi.hdm
stuttgart.de/index.php/2016/08/16/exploring-docker-security-part -2-container-falhas/.
297. Jack Wallen, (2017), 5 dicas para proteger seus contêineres do Docker, em https://www.techrepublic.com/article/5-tips-forsecurity-
your-docker-containers/.
Referências Página 933 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
311. Uma ameaça de segurança adormecida: como se proteger contra o comprometimento do contêiner,
em https://www.scmagazine.com/home/opinion/executive-insight/a-sleeping-security-threat-how-to-protect-against container- compromisso/.
314. Devdatta Mulgund, (2019), Best Practices for Application Container Security, em https://securityintelligence.com/posts/8-best-practices-for-application-
container-security/.
316. Connor Gilbert, (2019), 9 práticas recomendadas de segurança do Kubernetes que todos devem seguir, de
https://www.cncf.io/blog/2019/01/14/9-kubernetes-security-best-practices-everyone-must-follow/.
317. Chris Cooney, (2019), Security as Standard in the Land of Kubernetes, em https://www.freecodecamp.org/news/security as-standard-in-the-land-of-
kubernetes-50bfad74ca16/.
318. (2019), 15 práticas recomendadas de segurança do Kubernetes para proteger seu cluster, em https://www.mobilise.cloud/15-kubernetes security-
best-practice-to-secure-your-cluster/.
319. Ajmal Kohgadai, (2019), Docker Container Security 101: Risks and 33 Best Practices, em https://
www.stackrox.com/post/2019/09/docker-security-101/.
321. Ajmal Kohgadai, (2020), Kubernetes Security 101: Risks and 29 Best Practices, de
https://www.stackrox.com/post/2020/05/kubernetes-security-101/.
323. Anastasios Arampatzis, (2020), Quais são os 5 principais desafios e riscos de segurança do Kubernetes?, de
https://informationsecuritybuzz.com/articles/what-are-the-top-5-kubernetes-security-challenges-and-risks/.
324. Arunvignesh Venkatesh, (2017), Cloud Computing Security: Provider & Consumer Responsibilities, em https://www.mindtree.com/
blog/cloud-computing-security-provider-consumer- Responsibility.
325. Stratoscale, (2016), Security in Cloud Networking: FW, ACLs and More, em https://www.stratoscale.com/blog/data
center/security-cloud-networking-fw-acls/.
327. (2018), Top 6 Methods to Protect Your Cloud Data from Hackers, em https://www.idexcel.com/blog/top-6-methods-to
proteja-sua-nuvem-dados-de-hackers/.
328. Naomi Assaraf, (2015), 5 preocupações de segurança com armazenamento de dados em nuvem, respondidas, de https://blog.cloudhq.net/5-safety
preocupações-com-cloud-data-storage-answered/.
329. (2017), 7 dicas eficazes para proteger seus dados na nuvem, em https://hackernoon.com/7-effective-tips-to-secure-your
dados-na-nuvem-820bfe438d2.
331. Mike Mason, (2018), Key Considerations for Compliance in the Cloud, de
https://www.corporatecomplianceinsights.com/key-considerations-compliance-cloud/.
Referências Página 934 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
336. Rich Caldwell, (2019), Pros and Cons of a Multi-Cloud Strategy, em https://centricconsulting.com/blog/pros-and-cons-of a-multi-cloud-strategy/.
337. Jignesh Solanki, 6 projetos de arquitetura multi-nuvem para uma estratégia de nuvem eficaz, em https://www.simform.com/multi
nuvem-arquitetura/.
339. Laxmi Ashrit, What is Cloud Storage – Architecture, Types, Advantages & Disadvantages, em https://
electricalfundablog.com/cloud-storage-architecture-types/.
340. Ensaio básico de tecnologia da informação sobre arquitetura de armazenamento em nuvem, de https://www.uniassignment.com/
essay samples/information-technology/basic-cloud-storage-architecture-information-technology-essay.php.
342. Usando uma função do IAM para conceder permissões a aplicativos executados em instâncias do Amazon EC2, em
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html.
344. Stuart Scott, (2015), AWS Security: Identity and Access Management (IAM), em https://cloudacademy.com/blog/aws security-identity-and-
access-management-iam/.
351. Rob Moncur, agora crie e gerencie usuários com mais facilidade com o AWS IAM Console, de
https://aws.amazon.com/blogs/security/now-create-and-manage-users-more-easily-with-the-aws-iam-console/.
352. Jeff Barr, IAM: Gerenciamento de identidade e acesso da AWS – agora disponível ao público,
https://aws.amazon.com/blogs/aws/iam-identity-access-management/.
359. Abhishek Pandey, apresentando uma maneira mais fácil de delegar permissões aos serviços da AWS: funções vinculadas a serviços, de
https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service linked-roles/.
Referências Página 935 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
366. Ryan Squires, (2018), Everything-as-a-Service (XaaS): From Software to Property, em https://jumpcloud.com/blog/xaas.
367. (2018), Everything-as-a-Service: Have Federal CIOs Found Their Holy Grail?, de
https://www.eglobaltech.com/post/everything-as-a-service-have-federal-cios-found-their-holy-grail.
368. Brett Mundell, (2019), On-premise vs Cloud vs Hosted: What's the difference?, de https://
www.leveragetech.com.au/blog/on-premise-vs-cloud-vs-hosted/.
370. Susan Meyer, Understanding the Differences Between On-Premise vs Hosted vs SaaS + How to Pick the Right Choice for Your
Ecommerce, from https://www.bigcommerce.com/blog/on-prem-vs-hosted-vs- saas/#pros-and-contras-of-on-prem-hosted-and-
saas.
380. Agustina, JV Peng Zhang e Kantola, (2003), Avaliação de desempenho do tráfego de transferência GSM em uma rede GPRS/
GSM, em https://ieeexplore.ieee.org/document/1214113?isnumber=27298&arnumber=1214113&count=217&index =21.
381. Peter Loshin, (2019), Defending against the most common wireless network attack, em https://
searchsecurity.techtarget.com/feature/A-list-of-wireless-network-attacks.
382. Chris Weber e Gary Bahadu, (2009), Wireless Networking Security, de https://docs.microsoft.com/en-us/previousversions/
windows/it-pro/windows-xp/bb457019(v=technet. 10)?redirecionado de=MSDN.
387. Bradley Mitchell, (2019), Wireless Standards - 802.11b 802.11a 802.11ge 802.11n, em https://
www.lifewire.com/wireless-standards-802-11a-802-11b-gn-and-802 -11ac-816553.
Referências Página 936 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
390. Paul Arana, (2006), Benefícios e Vulnerabilidades do Wi-Fi Protected Access 2 (WPA2), de
https://cs.gmu.edu/~yhwang1/INFS612/Sample_Projects/Fall_06_GPN_6_Final_Report.pdf.
394. Protocolos de segurança sem fio: WEP, WPA, WPA2 e WPA3, de https://www.cyberpunk.rs/wireless-security-protocols
wep-wpa-wpa2-e-wpa3.
395. Penny Hoelscher, (2018), O que é WPA3, é seguro e devo usá-lo?, em https://
www.comparitech.com/blog/information-security/what-is-wpa3/.
400. Eric Geier, (2011), o que fazer e o que não fazer em segurança Wi-Fi, em https://www.networkworld.com/article/2182865/wi-fi-security-do
s-and-don-ts.html.
401. Pablo Estrada, (2011), 10 melhores práticas para projetar sua implantação de Wi-Fi para eventos, de
https://meraki.cisco.com/blog/2011/06/10-best-practices-for-designing-your-event-wi-fi-deployment/.
408. Jerry Hildenbrand, (2020), Como funciona o GPS no meu telefone?, em https://www.androidcentral.com/how-does-gps-work
meu telefone.
409. Suzanne Smiley, (2016), 7 Types of Security Attacks on RFID Systems, em https://www.atlasrfidstore.com/rfid-insider/7-types-security-attacks-rfid-
systems.
413. Mykhayl Tserr, Eugene Koshel, (2020), Como construir um sistema de gerenciamento de dispositivos móveis (MDM)?, de
https://www.apriorit.com/dev-blog/473-how-to-build-an-mdm-system.
414. Muhammad Raza, (2019), Mobile Device Management (MDM): An Introduction, de https://www.bmc.com/blogs/mdm
gerenciamento de dispositivo móvel/.
Referências Página 937 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
419. Forrest Stroud, (2021), MCM – Mobile Content Management , em https://www.webopedia.com/definitions/mcm-mobile content-management/.
421. Joel Snyder, (2021), 3 coisas que você deve saber sobre a limpeza remota, em https://insights.samsung.com/2020/05/28/3- coisas que você
deve saber sobre a limpeza remota -2/.
422. Cliff White, Remote Wipe: a Must for Mobile Security, em https://www.accellion.com/blog/remote-wipe-must-for
segurança para celulares/.
424. Aasif, (2021), A Simple Guide to Geofencing for Mobile App Marketing, em https://www.appypie.com/geofencing-app
marketing.
425. Rahul Singh, (2018), Compreendendo a geolocalização em aplicativos móveis: como os serviços baseados em localização em aplicativos aprimoram
seu apelo?, em https://www.promaticsindia.com/blog/understanding-geolocation-in-mobile-apps-how -location-based-services-in apps-enhance-
their-appeal/.
427. Amer Owaida, (2020), Quão segura é a tela de bloqueio do seu telefone?, em https://www.welivesecurity.com/2020/06/05/how secure-is-your-
phone-lock-screen/.
428. Maud Panier, (2021), Before We Start: What Are Mobile Push Notifications And How To Us Us, from
https://thetool.io/2020/top-push-notifications-tools
services#:~:text=A%20Push%20Notification%20(também%20chamado,a%20request%20from%20the%20user.&text=Eles% 20são%
20o%20oposto%20lado,Notificações%20origem%20de%20a%20servidor..
429. Ian Blair, O que é uma notificação push? E por que importa?, de https://buildfire.com/what-is-a-push-notification/.
433. Leonardo Sam Waterson, (2019), Why Biometrics is a Must for Mobile App Security, em https://
www.m2sys.com/blog/guest-blog-posts/biometrics-mobile-app-security/.
434. KamalBenzekkia, AbdeslamEl Fergouguia, AbdelbakiElBelrhiti ElAlaoui, (2018), A Context-Aware Authentication System for Mobile Cloud Computing,
em https://www.sciencedirect.com/science/article/pii/S1877050918301479.
435. Ben Kepes, (2016), Esqueça a autenticação de dois fatores, aqui vem a autenticação com reconhecimento de contexto, de
https://www.computerworld.com/article/3105866/forget-two-factor-authentication-here-comes-context-aware authentication.html.
438. Alma Evans, (2018), O que é Containerização e por que é importante para o seu negócio?, de
https://www.hexnode.com/blogs/what-is-containerization-and-why-is-it-important-for-your-business/.
440. Joel Snyder, (2021), BYOD, CYOD, COPE, COBO — O que eles realmente significam?, de
https://insights.samsung.com/2018/05/09/byod-cyod-cope-cobo-what-do-they-really-mean/.
Referências Página 938 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
445. (2021), BYOD vs. CYOD vs. COBO vs. COPE: Como saber quando mudar ou ajustar sua estratégia móvel, em https://
blog.caleromdsl.com/byod-vs-cyod-vs-cope- escolha-direita-empresa-mobilidade-estratégia/.
446. TRAGA SEU PRÓPRIO DISPOSITIVO (BYOD) VS. ESCOLHA SEU PRÓPRIO DISPOSITIVO (CYOD), em https://www.utgjiu.ro/rev_ing/pdf/2018-
4/18_S.%20Iovan,%20C.%20Ivanus%20-
BRING%20YOUR%20OWN%20DEVICE%20(BYOD)%20VS.%20CHOOSE%20YOUR%20OWN%20DEVICE%20(CYOD).pdf.
447. Josh Bouk, (2018), Josh Bouk, CYOD vs BYOD: A Comparative Analysis, de https://www.cassinfo.com/telecom-expense management-blog/cyod-
vs-byod-a-comparative-analysis.
448. Melhores práticas para tornar BYOD, CYOD e COPE simples e seguro, em https://www.citrix.com/en-in/products/citrix endpoint-management/
byod-best-practices.html.
449. Liarna La Porta, (2018), Qual é o melhor modelo de propriedade de dispositivo móvel para o seu negócio?, em https://
www.wandera.com/cope-byod-cyod/.
450. Iskren Tairov, (2016), Enterprise Mobility – Uma solução para aumentar a eficiência dos negócios, de
https://www.researchgate.net/profile/Iskren_Tairov/publication/314286291_ENTERPRISE_MOBILITY_-
_A_SOLUTION_FOR_INCREASED_BUSINESS_EFFICIENCY/links/58bfe640458515bc83906d6e/ENTERPRISE-MOBILITY-A SOLUTION-
FOR-INCREASED-BUSINESS-EFFICIENCY.pdf.
451. Corporativo, Pessoalmente Capacitado: Quando o COPE é o Modelo de Mobilidade Certo para Agências?, de https://
www.accenture.com/t20150523T024231__w__/gr-en/_acnmedia/Accenture/Conversion Assets/DotCom/Documents/
Global /PDF/Dualpub_14/Accenture-Corporately-Owned-Personally-Enabled-When-COPE Right-Mobility-Model-Agencies.pdf.
452. BYOD, CYOD, COPE, COBO — What Do They Really Mean?, em https://www.wired.com/brandlab/2018/06/byod-cyod cope-cobo-really-mean/.
453. Ines Reinhardt, (2019), Mobility Basics Part III: What's The Difference Between Byod, Cobo And Cope?, de https://blog.cortado.com/
mobility-basics-whats-the-difference-between-byod- e-cobo/.
454. Sunil Lalvani, (2014), Transição de BYOD para COBO, de https://cio.economictimes.indiatimes.com/tech-talk/transition from-byod-to-cobo/325.
457. Gerenciamento de dispositivos móveis (MDM) para dispositivos iOS, Android e Windows., de
https://www.manageengine.com/products/desktop-central/mobile-device-management-mdm.html.
458. Bocholt, (2019), Tudo sob controle TISLOG MDM - gerenciamento centralizado para seu hardware, de
https://www.tis-gmbh.de/en/tislog-mdm-mobile-device-management/.
Referências Página 939 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
468. Scott King, (2017), Gartner Mobile Threat Defense and Enterprise Mobile Security Guide, em https://blog.zimperium.com/
your-guide-to-mobile-threat-defense/.
472. KC Karnes, (2020), Mobile App Security Threats and Secure Best Practices, em https://clevertap.com/blog/mobile-app
segurança/.
473. David Oragui, (2018), 7 etapas que você deve seguir para melhorar a segurança de aplicativos móveis, em https://themanifest.com/mobile
apps/7-passos-que-você-deve-tomar-melhorar-aplicativo-móvel-segurança.
474. 5 práticas recomendadas de segurança de aplicativos móveis que você não pode ignorar!, em https://www.preludesys.com/mobile-app-security-best
práticas/.
475. Vijay Singh, (2020), Lista de verificação de segurança para desenvolvimento móvel, em https://hackr.io/blog/mobile-app-security-standards
lista de controle.
476. Daniel Hein, (2019), Mobile Data Security: How to Protect Corporate Data on Mobile Devices, from
https://solutionsreview.com/mobile-device-management/mobile-data-security-how-to-protect-corporate-data-on-mobile devices/.
480. Gamal H. Eladl, Technical Requirements for the Application of Internet of Things, de http://ijcsn.org/IJCSN-2017/6-4/Technical-Requirements-for-the-
Application-of-Internet-of- Coisas.pdf.
482. Ronak Patel, (2019), IoT for Business Enterprises: Everything You Need to Know, em https://dzone.com/articles/iot-for
negócios-empresas-atributos-desafios.
483. Jonathan Greig, (2020), IoT device security: 5 tips for enterprise, from https://www.techrepublic.com/article/iot-device security-5-tips-for-enterprises/.
485. Steven Lerner, (2019), 12 IoT Security Challenges And How to Address Them in the Enterprise, de
https://www.enterprisedigi.com/iot/articles/iot-security-challenges.
487. Nick Carstensen, (2019), Improving IOT Security With Log Management, em https://www.graylog.org/post/improving-iot
segurança com gerenciamento de log.
488. David Strom, (2017), 9 maneiras de melhorar a segurança do dispositivo IoT, em https://www.hpe.com/us/en/insights/articles/9-ways-to
make-iot-devices-more-secure-1701.html.
489. Alex Grizhnevich, (2018), arquitetura IoT: blocos de construção e como eles funcionam, em https://www.scnsoft.com/blog/iot
arquitetura-em-uma-casca-de-noz-e-como-funciona.
Referências Página 940 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
492. Uwazie Emmanuel Chinanu, Onoja Emmanuel Oche, Joy O. Okah-Edemoh, (2018), Architectural Layers of Internet of
Things: Analysis of Security Threats and Their Countermeasures, em https://arpgweb.com/pdf-files/sr4(10)80-89.pdf.
493. Murat Aydos, Yÿlmaz Vural, Adem Tekerek, (2019), Avaliando riscos e ameaças com abordagem em camadas da Internet das Coisas
security, em https://journals.sagepub.com/doi/full/10.1177/0020294019837991.
494. Hezam Akram Abdul-Ghani, Dimitri Konstantas, Mohammed Mahyoub, (2018), A Comprehensive IoT Attacks Survey based on a Building-blocked
Reference Model, de https://thesai.org/Downloads/Volume9No3/Paper_49-A_Comprehensive_IoT_Attacks_Survey.pdf .
495. Ehsan ul Haq, Tariq Aziz Rao, (2018), Security Challenges Facing IoT Layers and its Protective Measures, de
https://www.researchgate.net/publication/323892938_Security_Challenges_Facing_IoT_Layers_and_its_Protective_Meas
ures.
496. (2016), Princípios Estratégicos para Proteger a Internet das Coisas (IoT), de
https://www.dhs.gov/sites/default/files/publications/Strategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINAL....pdf.
498. (2019), IoT Security Guidelines for Network Operators, em https://www.gsma.com/iot/wp content/uploads/
2019/10/CLP.14-v2.1.pdf.
499. (2019), Segurança da Internet das Coisas (IoT): 9 maneiras de ajudar a se proteger, em https://us.norton.com/internetsecurity
iot-segurando-a-internet-das-coisas.html.
500. (2019), 12 dicas para ajudar a proteger sua casa inteligente e dispositivos IoT, em https://us.norton.com/internetsecurity-iot-smart home-
security-core.html.
501. Jacob Arellano, (2019), Best Practices for Securing IoT Devices, em https://www.verypossible.com/blog/best-practices for-securing-iot-devices.
502. Dean Hamilton, (2018), Melhores práticas para segurança de IoT, em https://www.networkworld.com/article/3266375/best practices-for-
iot-security.html.
503. George Corser, Melhores Práticas de Segurança da Internet das Coisas (IOT), de
https://internetinitiative.ieee.org/images/files/resources/white_papers/internet_of_things_feb2017.pdf.
504. Conner Forrest, (2017), Dez melhores práticas para proteger a Internet das Coisas em sua organização, de
https://www.zdnet.com/article/ten-best-practices-for-securing-the-internet-of-things-in-your-organization/.
509. Ben Lutkevich, Vicki-Lynn Brunskill, Peter Loshin, Digital Signature, de https://
searchsecurity.techtarget.com/definition/digital-signature.
Referências Página 941 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
515. John Talbot e Dominic Welsh, (2006), Complexidade e Criptografia uma introdução, de
https://www.cambridge.org/gb/academic/subjects/mathematics/discrete-mathematics-information-theory-and coding/complexity-and-
cryptography-introduction?format=PB&isbn=9780521617710.
521. Krishna Gehlot, (2015), Message Authentication Code & HMAC, de,
https://www.slideshare.net/PRINCEOFSUNCITY/message-authentication-code-hmac.
526. Ayush, (2018), Como criptografar arquivos com criptografia EFS no Windows 10, em https://www.thewindowsclub.com/encrypt files-efs-encryption-
windows-10.
527. Por que fazer backup? A importância de proteger seus dados , a partir de
http://static.highspeedbackbone.net/pdf/hp_why_backup.pdf.
528. (2010), Escolher mídia de backup é fácil quando você sabe como, graças a este guia prático, de https://www.top-windows
tutoriais.com/backup-media/.
537. Kris Bushover, Eric Osterholm, (2008), Estratégias de recuperação de desastres e backup de dados, de
https://www.slideshare.net/spiceworks/disaster-recovery-data-backup-strategies-presentation.
538. Com que frequência você precisa fazer backup de seus arquivos?, em https://www.allbusiness.com/how-often-do-you-need-to-back-up
seus-arquivos-1202-1.html.
539. Com que frequência você deve fazer backup de seus arquivos?, em https://www.datarecoverylabs.com/company/resources/how-often
você deve fazer backup de seus arquivos.
Referências Página 942 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
548. Ankur Niyogi, (2005), RAID Redundant Array of Independent Disks, de https://www.slideshare.net/raid
recuperação/entendimento-raid-levels-raid-0-raid-1-raid-2-raid-3-raid-4-raid-5?qid=18a133f3-4e28-4e69-aa94-
2029a17dae35&v=qf1&b=&from_search=11.
549. Antony Adshead, (2009), RAID de software vs RAID de hardware: prós e contras , de
https://www.computerweekly.com/news/1367590/Software-RAID-vs-hardware-RAID-Pros-and-cons.
550. Brien Posey, (2011), Melhores práticas para configurar grupos de RAID, em https://searchdatacenter.techtarget.com/tip/Best
práticas para configurar grupos RAID.
551. Scott Lowe, (2010), Escolha um nível de RAID que funcione para você, em https://www.techrepublic.com/blog/the-enterprise cloud/choose-a-
raid-level-that-works-for- tu/.
554. Sarath Pillai, (2014), SAN vs NAS - Diferença entre uma rede de área de armazenamento e armazenamento conectado à rede, em https://
www.slashroot.in/san-vs-nas-difference-between-storage-area-network -and-network-attached-storage.
555. Brien Posey, Vantagens e desvantagens de usar uma SAN, em https://searchstorage.techtarget.com/tip/Advantages and-disadvantages-of-using-a-
SAN.
556. Syed Ubaid Ali Jafri, (2013), Storage Area Network, de https://www.slideshare.net/masterubaid/storage-area-network
25251039.
562. Garry Kranz, What is network-attached storage (NAS) and how does it work?, em https://
searchstorage.techtarget.com/definition/network-attached-storage.
563. Revisão do armazenamento conectado à rede (NAS): prós e contras, em https://www.bffnas.com/network-attached-storage-nas overview-on-its-
pros-and-cons/.
564. Rajesh K, (2010), NAS – Advantages, Limitations & Recommendations for Ethernet Storage over TCP/IP Networks, em http://www.excitingip.com/
819/network-attached-storage-advantages-limitations-ethernet- melhores práticas de armazenamento-ip-rede/.
568. Erin Sullivan, Brien Posey, (2020), tipos de backup de dados explicados: backup completo, incremental, diferencial e incremental para sempre,
em https://searchdatabackup.techtarget.com/tip/Data-backup-types-explained-Full -incremental-diferencial e-incremental-forever-backup.
Referências Página 943 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
572. Brien Posey, Paul Crocetti, Andrew Burton, Política de Retenção de Dados, de
https://searchdatabackup.techtarget.com/definition/data-retention-policy.
573. Mike Mariano, (2018), 5 etapas principais para desenvolver uma política sólida de retenção de dados, em https://www.ispartnersllc.com/blog/5-
etapas-desenvolvimento-política de retenção de dados/.
576. Chris Sanders, Practical Packet Analysis Using Wireshark To Solve Real-World Network Problems, from
http://repository.root-me.org/R%C3%A9seau/EN%20-%20Practical%20packet%20analysis%20-%20Wireshark.pdf.
581. Alisha Cecil, A Summary of Network Traffic Monitoring and Analysis Techniques, em https://
www.cse.wustl.edu/~jain/cse567-06/ftp/net_monitoring.pdf.
584. Randy Weaver, Dawn Weaver, Dean Farwood, (2013), Guide to Network Defense and Countermeasures, de
https://books.google.co.in/books?id=qbwuj_Umh9YC&pg=PA83&lpg=PA83&dq=Normal+traffic+signatures&source=bl&ots
=WfHdWGSJS0&sig=5MKhVDfvmYh9N0Q6hbVf1- IFhD0&hl=en&sa=X&ved=0ahUKEwi1wtXk57XKAhWUj44KHQoXCv4Q6AEIbzAQ%
%onepage&%q#v=Normal 20assinaturas de tráfego&f=false.
590. Chris Hoffman, (2017), Como usar o Wireshark para capturar, filtrar e inspecionar pacotes, de
http://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/.
Referências Página 944 Network Defense Essentials Copyright © por EC-Council Todos
os direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
CE-Conselho
EC-Council
ND E
Rede Fundamentos de Defesa
ec-council
currículos oficiais do ec-conselho