Análise de Metodologias de Ataques Cibernéticos - 03

Prévia do material em texto

20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 1/10
* Algumas perguntas ainda não avaliadas
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 31 minutos 40 de 60 *
 As respostas corretas estarão disponíveis em 27 nov em 0:00.
Pontuação deste teste: 40 de 60 *
Enviado 20 nov em 15:53
Esta tentativa levou 31 minutos.
5 / 5 ptsPergunta 1
Os ataques na rede LAN serão realizados
através de uma conexão local, realizada através
da conexão do equipamento do atacante em
uma porta do switch de acesso. Assim, a medida
básica de segurança será:
 
Desabilitar todas as portas do Switch localmente, no modo de
configuração global, e identificar as portas que efetivamente não estão
sendo utilizadas.
 
Habilitar o modo de rastreamento de portas, identificando as portas que
possuem tráfego, desabilitando todas as demais portas.
 
Desabilitar as portas não utilizadas do Switch, de acordo com a
documentação da rede, identificando as portas que efetivamente não
estão sendo utilizadas.
 
Desabilitar as portas não utilizadas do Switch, de acordo com as
informações fornecidas pelos usuários, habilitando apenas as portas
reportadas.
https://dombosco.instructure.com/courses/3064/quizzes/14609/history?version=1
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 2/10
 
Desabilitar todas as portas do Switch através do acesso remoto, no modo
de configuração global, para identificar as portas que efetivamente não
estão sendo utilizadas.
5 / 5 ptsPergunta 2
O ataque de man-in-the-middle é um ataque
ativo na internet, que tenta interceptar, ler e
alterar as informações que trafegam na rede
pública, entre o usuário e qualquer site
acessado. O atacante utiliza as informações
obtidas ilegalmente para roubo de identidade e
outros tipos de fraude. E esse ataque é
classificado como sendo um ataque de:
 
Fabricação, pois a única intenção do atacante é a alteração dos dados,
utilizando as técnicas de mascaramento.
 
Replay, utilizada pelo atacante para se passar por pessoa autorizada a fim
de obter acesso de informações confidenciais de forma ilegal.
 
Interrupção, pois o atacante irá interromper a conexão, de forma que o
usuário não tenha mais acesso aos sistemas.
 
Modificação, causa perdas no princípio da integridade, e permitindo que o
ataque realize a alteração dos dados.
 
Mascaramento, no qual uma transmissão de dados válida é
maliciosamente repetida ou atrasada.
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 3/10
5 / 5 ptsPergunta 3
Uma das primeiras organizações de segurança
foi o CERT (Computer Security
Response Teams), que é formado por um grupo
de pesquisadores, engenheiros de software,
analistas de segurança e especialistas em
inteligência digital que trabalham para pesquisar
vulnerabilidades de segurança. E o CERT fica
alocado no:
 
Instituto de engenharia do MIT, que mantém os bancos de dados
utilizados pelo NIST para mapeamento de novas vulnerabilidades.
 
CVE (Common Vulnerabilities and Exposures), fornecendo os dados de
novas vulnerabilidades que são atualizados pelo CVE.
 
Instituto de engenharia de Software (SEI), que é um departamento da
Universidade de Carnegie Mellow nos EUA.
 
NIST (National Institue of Standards and Technology), fornecendo os
dados para a formação do NVD (National Vulnerability Database).
 
Provedor de serviços de nuvem da Amazon, conhecido por AWS, para o
mapeamento de vulnerabilidades na nuvem.
5 / 5 ptsPergunta 4
Na rede LAN, o ataque de falsificação de serviço
de DNS é realizado, através do ataque de
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 4/10
falsificação de DHCP, fornecendo o endereço do
servidor de DNS não legítimo. Já a partir da rede
WAN, o ataque é realizado através de um ataque
de acesso, onde o atacante realizará a seguinte
ação:
 
Realizando a alteração das configurações do servidor DHCP da rede LAN,
direcionando-o para o DNS do atacante, que também estará na rede LAN.
 
Realizando a alteração das configurações do Switch da rede LAN,
encaminhando todo o tráfego de DNS para o endereço do atacante.
 
Realizando a alteração das configurações IP do host, direcionando-o para
o DHCP do atacante, que estará na rede LAN.
 
Realizando a alteração das configurações do servidor DHCP da rede LAN,
alterando o endereço do Gateway da rede para o endereço do atacante.
 
Realizando a alteração das configurações IP do host, direcionando-o para
o DNS do atacante, que também estará na rede WAN.
5 / 5 ptsPergunta 5
A etapa designada como ataque, de acordo
com a taxonomia de Howard e Longstaff,
consiste: 
Na utilização de ferramentas, que explorarão
uma vulnerabilidade, obtendo o resultado
desejado, que será um evento não autorizado.
Porém, dentro do processo de implantação do
ataque temos uma outra etapa, que é o: 
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 5/10
 
Incidente, que inclui os elementos identificados como atacante e também
os objetivos do ataque.
 
Incidente, que inclui a etapa definida como evento, que por sua vez
contém os dois elementos identificados como alvo e resultado.
 
Alvo, que em conjunto com o resultado, formará a etapa chamada de
evento, realizada após a identificação da vulnerabilidade.
 
Evento, que inclui dois elementos, que são o atacante e o objetivo, para
garantir a ação que definirá o alvo.
 
Evento, que inclui dois elementos, que são a ação e o alvo, sendo
implementado para efetivamente atingir resultado.
5 / 5 ptsPergunta 6
Na utilização do Metasploit para a realização
do teste de penetração, que permite encontrar,
explorar e validar vulnerabilidades, temos a
execução do teste em diversas etapas, com a
utilização de recursos distintos. Assim, para a
execução da coleta de dados temos:
 
Engenharia social, Pivotamento de VPN, Varredura de descoberta
(Discovery Scans) e MetaModules.
 
Guia de Phishing, Importação e varredura de dados, e a integração com o
Nexpose Scan.
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 6/10
 
A Importação e varredura de dados, Varredura de descoberta (Discovery
Scans), MetaModules e a integração com o Nexpose Scan.
 
Pivô de Proxy, Importação e varredura de dados, Varredura de descoberta
(Discovery Scans), MetaModules.
 
Pivotamento de VPN, Varredura de descoberta (Discovery Scans),
MetaModules e a integração com o Nexpose Scan.
5 / 5 ptsPergunta 7
Uma das classificações empregadas para os
testes de invasão, que considera o método de
realização do teste, define quatro tipos de teste,
que são o teste interno, externo, teste cego e
duplamente cego. Assim, a principal
característica do teste classificado como
duplamente cego inclui:
 
A equipe de segurança da empresa não tem conhecimento sobre a
realização do teste, bem como o executor do teste não tem conhecimento
sobre a rede.
 
A equipe de segurança da empresa não tem conhecimento sobre a
realização do teste, sendo que apenas o executor do teste tem os
detalhes sobre a rede.
 
A empresa não tem conhecimento sobre a realização do teste, sendo
realizado à revelia da empresa.
 
O atacante não tem conhecimento sobre qual rede irá realizar a invasão e
também não possui dados sobre a rede.
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 7/10
 
A equipe de segurança da empresa não tem conhecimento sobre a rede,
pois está assumindo a gestão de uma nova rede.
5 / 5 ptsPergunta 8
Para mitigar o ataque de tabela CAM, o método
de prevenção em switches Cisco é a ativação da
segurançada porta, que irá limitar o número de
endereços MAC válidos permitidos em uma
porta. Assim, ao receber um quadro em uma
porta configurada com segurança de porta, o
endereço MAC de origem do quadro é
comparado com a lista de endereços MAC de
origem segura, e, caso não pertença ao
endereço seguro: 
 
O switch sempre incrementará o contador de violação, bloqueando a porta
por onde o quadro foi recebido de acordo com a configuração do modo de
violação.
 
O switch sempre descartará o quadro, enviando uma mensagem de
syslog, mas não bloqueando a porta por onde o quadro foi recebido.
 
O switch executará a ação de segurança, conforme a configuração
realizada para o modo de violação, descartando o quadro.
 
O switch sempre enviará uma mensagem de syslog, bloqueando a porta
por onde o quadro foi recebido de acordo com a configuração do modo de
violação.
 
O switch sempre descartará o quadro, bloqueando a porta por onde o
quadro foi recebido, necessitando ser desbloqueada manualmente.
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 8/10
Não avaliado ainda / 10 ptsPergunta 9
Sua Resposta:
O Protocolo DTP (Dynamic Trunking Protocol) é
o protocolo utilizado pelos switches que permite
a negociação de configuração das conexões
de trunk entre os switches, definindo as
configurações das portas. Este protocolo irá
auxiliar o processo de configuração da rede,
porém apresenta uma vulnerabilidade,
permitindo que uma porta seja indevidamente
configurada como Trunk. E esta configuração
permitirá o atacante implementar qual tipo de
ataque? E como este ataque é implementado? 
Permitirá um ataque de acesso, que pode ser feito de três maneiras:
Falsificação de mensagem DTP, Introdução de um switch na rede e dupla
marcação. Ele é implementado fazendo a conexão à uma porta do switch
e enviando uma mensagem DTP, falsificada, para o switch, negociando a
porta aonde está conectado como sendo uma porta trunk, como se o
equipamento do atacante fosse efetivamente outro switch. Isto faz com
que a porta do switch aonde atacante está conectado entre no modo de
trunking. E como uma porta trunk permite o tráfego de todas as VLANs, o
invasor poderá enviar os quadros, marcados com a VLAN de destino
desejado, obtendo acesso à todas as VLANs da rede.
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 9/10
O ataque implementado será o ataque de acesso, permitindo
também um ataque de Man-in-the-middle, de modo que o
atacante tenha acesso ao tráfego de todas as VLANs. E o
atacante fará isto enviando uma mensagem DTP, falsificada, para
o switch, negociando a porta aonde está conectado como sendo
uma porta trunk, como se o equipamento do atacante fosse
efetivamente outro switch. Isto faz com que a porta do switch
aonde atacante está conectado entre no modo de trunking. E
como uma porta trunk permite o tráfego de todas as VLANs, o
invasor poderá enviar os quadros, marcados com a VLAN de
destino desejado, obtendo acesso à todas as VLANs da rede.
Não avaliado ainda / 10 ptsPergunta 10
Sua Resposta:
Para implementar um ataque de falsificação de
DHCP, que irá permitir ao atacante
implementar uma ataque de man-in-the-middle,
basta que o atacante obtenha o acesso à um
ponto da rede, que esteja conectado à uma porta
ativa do switch, independente da VLAN à que ela
esteja associada. Assim, para mitigar este
acesso, que funcionalidade de segurança é
necessária no switch para mitigar este tipo de
ataque? Como deverá ser configurado o switch? 
Para mitigar este tipo de ataque o mecanismo que pode ser empregado é
o rastreamento de DHCP e os switchs deverão ser configurados da
seguinte forma:
comando de configuração global
#ip dhcp snooping
Para limitar o número de mensagens descobertas, que podem ser
recebidas, por segundo, em portas não confiáveis, deverá ser utilizado o
comando de configuração de interface:
#ip dhcp snooping limit rate
20/11/2020 Prova Presencial: Análise de Metodologias de Ataques Cibernéticos
https://dombosco.instructure.com/courses/3064/quizzes/14609 10/10
E, finalmente, para habilitar o rastreamento DHCP pela VLAN, ou pela
variação de VLANs, utiliza-se o comando de configuração global
#ip dhcp snooping vlan
A funcionalidade de segurança necessária é que o switch realize a
inspeção dos pacotes associados ao protocolo DHCP,
identificando as requisições e respostas encaminhadas através
das portas do switch. E o switch deverá ser configurado para
permitir o encaminhamento das respostas do protocolo DHCP
apenas para as portas que realmente sejam o caminho para o
servidor legítimo da rede. E as mensagens de ofertas de DHCP
recebidas através das demais portas, que não são as portas
seguras, deverão ser descartadas.