Baixe o app para aproveitar ainda mais
Prévia do material em texto
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 1/10 * Algumas perguntas ainda não avaliadas Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 31 minutos 40 de 60 * As respostas corretas estarão disponíveis em 27 nov em 0:00. Pontuação deste teste: 40 de 60 * Enviado 20 nov em 15:53 Esta tentativa levou 31 minutos. 5 / 5 ptsPergunta 1 Os ataques na rede LAN serão realizados através de uma conexão local, realizada através da conexão do equipamento do atacante em uma porta do switch de acesso. Assim, a medida básica de segurança será: Desabilitar todas as portas do Switch localmente, no modo de configuração global, e identificar as portas que efetivamente não estão sendo utilizadas. Habilitar o modo de rastreamento de portas, identificando as portas que possuem tráfego, desabilitando todas as demais portas. Desabilitar as portas não utilizadas do Switch, de acordo com a documentação da rede, identificando as portas que efetivamente não estão sendo utilizadas. Desabilitar as portas não utilizadas do Switch, de acordo com as informações fornecidas pelos usuários, habilitando apenas as portas reportadas. https://dombosco.instructure.com/courses/3064/quizzes/14609/history?version=1 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 2/10 Desabilitar todas as portas do Switch através do acesso remoto, no modo de configuração global, para identificar as portas que efetivamente não estão sendo utilizadas. 5 / 5 ptsPergunta 2 O ataque de man-in-the-middle é um ataque ativo na internet, que tenta interceptar, ler e alterar as informações que trafegam na rede pública, entre o usuário e qualquer site acessado. O atacante utiliza as informações obtidas ilegalmente para roubo de identidade e outros tipos de fraude. E esse ataque é classificado como sendo um ataque de: Fabricação, pois a única intenção do atacante é a alteração dos dados, utilizando as técnicas de mascaramento. Replay, utilizada pelo atacante para se passar por pessoa autorizada a fim de obter acesso de informações confidenciais de forma ilegal. Interrupção, pois o atacante irá interromper a conexão, de forma que o usuário não tenha mais acesso aos sistemas. Modificação, causa perdas no princípio da integridade, e permitindo que o ataque realize a alteração dos dados. Mascaramento, no qual uma transmissão de dados válida é maliciosamente repetida ou atrasada. 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 3/10 5 / 5 ptsPergunta 3 Uma das primeiras organizações de segurança foi o CERT (Computer Security Response Teams), que é formado por um grupo de pesquisadores, engenheiros de software, analistas de segurança e especialistas em inteligência digital que trabalham para pesquisar vulnerabilidades de segurança. E o CERT fica alocado no: Instituto de engenharia do MIT, que mantém os bancos de dados utilizados pelo NIST para mapeamento de novas vulnerabilidades. CVE (Common Vulnerabilities and Exposures), fornecendo os dados de novas vulnerabilidades que são atualizados pelo CVE. Instituto de engenharia de Software (SEI), que é um departamento da Universidade de Carnegie Mellow nos EUA. NIST (National Institue of Standards and Technology), fornecendo os dados para a formação do NVD (National Vulnerability Database). Provedor de serviços de nuvem da Amazon, conhecido por AWS, para o mapeamento de vulnerabilidades na nuvem. 5 / 5 ptsPergunta 4 Na rede LAN, o ataque de falsificação de serviço de DNS é realizado, através do ataque de 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 4/10 falsificação de DHCP, fornecendo o endereço do servidor de DNS não legítimo. Já a partir da rede WAN, o ataque é realizado através de um ataque de acesso, onde o atacante realizará a seguinte ação: Realizando a alteração das configurações do servidor DHCP da rede LAN, direcionando-o para o DNS do atacante, que também estará na rede LAN. Realizando a alteração das configurações do Switch da rede LAN, encaminhando todo o tráfego de DNS para o endereço do atacante. Realizando a alteração das configurações IP do host, direcionando-o para o DHCP do atacante, que estará na rede LAN. Realizando a alteração das configurações do servidor DHCP da rede LAN, alterando o endereço do Gateway da rede para o endereço do atacante. Realizando a alteração das configurações IP do host, direcionando-o para o DNS do atacante, que também estará na rede WAN. 5 / 5 ptsPergunta 5 A etapa designada como ataque, de acordo com a taxonomia de Howard e Longstaff, consiste: Na utilização de ferramentas, que explorarão uma vulnerabilidade, obtendo o resultado desejado, que será um evento não autorizado. Porém, dentro do processo de implantação do ataque temos uma outra etapa, que é o: 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 5/10 Incidente, que inclui os elementos identificados como atacante e também os objetivos do ataque. Incidente, que inclui a etapa definida como evento, que por sua vez contém os dois elementos identificados como alvo e resultado. Alvo, que em conjunto com o resultado, formará a etapa chamada de evento, realizada após a identificação da vulnerabilidade. Evento, que inclui dois elementos, que são o atacante e o objetivo, para garantir a ação que definirá o alvo. Evento, que inclui dois elementos, que são a ação e o alvo, sendo implementado para efetivamente atingir resultado. 5 / 5 ptsPergunta 6 Na utilização do Metasploit para a realização do teste de penetração, que permite encontrar, explorar e validar vulnerabilidades, temos a execução do teste em diversas etapas, com a utilização de recursos distintos. Assim, para a execução da coleta de dados temos: Engenharia social, Pivotamento de VPN, Varredura de descoberta (Discovery Scans) e MetaModules. Guia de Phishing, Importação e varredura de dados, e a integração com o Nexpose Scan. 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 6/10 A Importação e varredura de dados, Varredura de descoberta (Discovery Scans), MetaModules e a integração com o Nexpose Scan. Pivô de Proxy, Importação e varredura de dados, Varredura de descoberta (Discovery Scans), MetaModules. Pivotamento de VPN, Varredura de descoberta (Discovery Scans), MetaModules e a integração com o Nexpose Scan. 5 / 5 ptsPergunta 7 Uma das classificações empregadas para os testes de invasão, que considera o método de realização do teste, define quatro tipos de teste, que são o teste interno, externo, teste cego e duplamente cego. Assim, a principal característica do teste classificado como duplamente cego inclui: A equipe de segurança da empresa não tem conhecimento sobre a realização do teste, bem como o executor do teste não tem conhecimento sobre a rede. A equipe de segurança da empresa não tem conhecimento sobre a realização do teste, sendo que apenas o executor do teste tem os detalhes sobre a rede. A empresa não tem conhecimento sobre a realização do teste, sendo realizado à revelia da empresa. O atacante não tem conhecimento sobre qual rede irá realizar a invasão e também não possui dados sobre a rede. 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 7/10 A equipe de segurança da empresa não tem conhecimento sobre a rede, pois está assumindo a gestão de uma nova rede. 5 / 5 ptsPergunta 8 Para mitigar o ataque de tabela CAM, o método de prevenção em switches Cisco é a ativação da segurançada porta, que irá limitar o número de endereços MAC válidos permitidos em uma porta. Assim, ao receber um quadro em uma porta configurada com segurança de porta, o endereço MAC de origem do quadro é comparado com a lista de endereços MAC de origem segura, e, caso não pertença ao endereço seguro: O switch sempre incrementará o contador de violação, bloqueando a porta por onde o quadro foi recebido de acordo com a configuração do modo de violação. O switch sempre descartará o quadro, enviando uma mensagem de syslog, mas não bloqueando a porta por onde o quadro foi recebido. O switch executará a ação de segurança, conforme a configuração realizada para o modo de violação, descartando o quadro. O switch sempre enviará uma mensagem de syslog, bloqueando a porta por onde o quadro foi recebido de acordo com a configuração do modo de violação. O switch sempre descartará o quadro, bloqueando a porta por onde o quadro foi recebido, necessitando ser desbloqueada manualmente. 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 8/10 Não avaliado ainda / 10 ptsPergunta 9 Sua Resposta: O Protocolo DTP (Dynamic Trunking Protocol) é o protocolo utilizado pelos switches que permite a negociação de configuração das conexões de trunk entre os switches, definindo as configurações das portas. Este protocolo irá auxiliar o processo de configuração da rede, porém apresenta uma vulnerabilidade, permitindo que uma porta seja indevidamente configurada como Trunk. E esta configuração permitirá o atacante implementar qual tipo de ataque? E como este ataque é implementado? Permitirá um ataque de acesso, que pode ser feito de três maneiras: Falsificação de mensagem DTP, Introdução de um switch na rede e dupla marcação. Ele é implementado fazendo a conexão à uma porta do switch e enviando uma mensagem DTP, falsificada, para o switch, negociando a porta aonde está conectado como sendo uma porta trunk, como se o equipamento do atacante fosse efetivamente outro switch. Isto faz com que a porta do switch aonde atacante está conectado entre no modo de trunking. E como uma porta trunk permite o tráfego de todas as VLANs, o invasor poderá enviar os quadros, marcados com a VLAN de destino desejado, obtendo acesso à todas as VLANs da rede. 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 9/10 O ataque implementado será o ataque de acesso, permitindo também um ataque de Man-in-the-middle, de modo que o atacante tenha acesso ao tráfego de todas as VLANs. E o atacante fará isto enviando uma mensagem DTP, falsificada, para o switch, negociando a porta aonde está conectado como sendo uma porta trunk, como se o equipamento do atacante fosse efetivamente outro switch. Isto faz com que a porta do switch aonde atacante está conectado entre no modo de trunking. E como uma porta trunk permite o tráfego de todas as VLANs, o invasor poderá enviar os quadros, marcados com a VLAN de destino desejado, obtendo acesso à todas as VLANs da rede. Não avaliado ainda / 10 ptsPergunta 10 Sua Resposta: Para implementar um ataque de falsificação de DHCP, que irá permitir ao atacante implementar uma ataque de man-in-the-middle, basta que o atacante obtenha o acesso à um ponto da rede, que esteja conectado à uma porta ativa do switch, independente da VLAN à que ela esteja associada. Assim, para mitigar este acesso, que funcionalidade de segurança é necessária no switch para mitigar este tipo de ataque? Como deverá ser configurado o switch? Para mitigar este tipo de ataque o mecanismo que pode ser empregado é o rastreamento de DHCP e os switchs deverão ser configurados da seguinte forma: comando de configuração global #ip dhcp snooping Para limitar o número de mensagens descobertas, que podem ser recebidas, por segundo, em portas não confiáveis, deverá ser utilizado o comando de configuração de interface: #ip dhcp snooping limit rate 20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos https://dombosco.instructure.com/courses/3064/quizzes/14609 10/10 E, finalmente, para habilitar o rastreamento DHCP pela VLAN, ou pela variação de VLANs, utiliza-se o comando de configuração global #ip dhcp snooping vlan A funcionalidade de segurança necessária é que o switch realize a inspeção dos pacotes associados ao protocolo DHCP, identificando as requisições e respostas encaminhadas através das portas do switch. E o switch deverá ser configurado para permitir o encaminhamento das respostas do protocolo DHCP apenas para as portas que realmente sejam o caminho para o servidor legítimo da rede. E as mensagens de ofertas de DHCP recebidas através das demais portas, que não são as portas seguras, deverão ser descartadas.
Compartilhar