Baixe o app para aproveitar ainda mais
Prévia do material em texto
��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 3 de 136 .�� ����� Ataques em redes e aplicações corporativas: DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear phishing; Malwares; ���� � �� ����� Sistemas de Criptografia: Criptografia simétrica e assimétrica. Certificação Digital e assinatura digital; Funções HASH; � �� � �� ����� Cluster, GRID e Balanceamento de Carga; Cloud Computing: IaaS, PaaS, SaaS, outros; ���� � �� ����� Redes de Armazenamento: SAN, NAS, DAS. Tecnologias, estratégias e Ferramentas de Backup; Tipos de Armazenamento; Deduplicação; ILM ���� � 1. Firewall / Iptables Falaremos agora de um componente de rede extremamente importante sob a ótica da segurança das redes de comunicação, que é o firewall. Esse assunto geralmente é abordado na disciplina de segurança, porém, trataremos dele aqui em nosso curso. A tradução pura do termo Firewall é parede de fogo. Em um cenário natural, temos que ele é o responsável por não deixar o incêndio ser propagado para dentro da rede a qual ele serve como elemento de proteção. Por esse motivo, dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada . A partir desse ponto é possível realizar a monitoração do tráfego, controle, autenticação além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria. A figura abaixo nos traz uma representação de um possível arranjo de topologia de rede: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 4 de 136 Aproveitando a imagem, gostaria de definir outro conceito extremamente importante em uma topologia de rede segura. É a tão conhecida DMZ (Demilitarized Zone) . A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos usuários e serviços internos. Uma evolução desse modelo é através da utilização de 2 (dois) firewalls conforme arranjo na imagem a seguir: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 5 de 136 Reparem que para um atacante conseguir penetrar na rede através dos servidores da DMZ deverá passar por uma segunda camada de segurança. Esse é um conceito de defesa em profundidade muito utilizado. Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em prova. São elas: dual-homed host, Screened host, Screened Subnet host. • Dual-homed host: É formado por um elemento que atua como firewall e possui duas interfaces, sendo uma para a rede externa e uma para a rede interna. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 6 de 136 • Screened host: Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente. Especificamente customizado para acessos externos a serviços de forma segura. • Screened-subnet host: Tem-se o modelo específico de criação de uma subrede de segurança (DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces físicas distintas que isolam complemente as redes. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 7 de 136 Retomando então a nossa discussão a respeito do firewall, temos que este deverá ser capaz então de interpretar o tráfego que passa por ele e avaliar se a informação é legítima ou maliciosa. Desse modo, os administradores configuram diversas regras que retratam a política de segurança e acesso da rede corporativa. Existem diversos tipos de firewalls no mercado com as mais diversas características e capacidades. Existe ainda a implementação de firewall em servidores Unix ou Linux. No caso do Linux, temos que o firewall é conhecido como NetFilter e a sua configuração se dá pela ferramenta Iptables. Entretanto, no jargão técnico, diz-se que o firewall do Linux é o próprio Iptables. Veremos algumas características a respeito dele a seguir. ���������� � ����� ����������� � ����� ����������� � ����� ����������� � ����� � Veremos a seguir diversos conceitos que relacionam os ambientes de segurança e as capacidades dos firewalls. Vamos comentá-las a seguir: • Filtros Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 8 de 136 É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica nativa de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo. • Proxies São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas perspectivas. • Bastion hosts É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de vulnerabilidades. • HoneyPot É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição. Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes! • DMZ Conforme já vimos. Também é conhecido como rede de perímetro. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ������ ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 9 de 136 • NAT Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado por essa rede. • VPN A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede. Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos. É importante mencionarmos ainda alguns tipos de defesa que não são realizados pelo firewall. Dessa forma, um firewall não é um antivírus ou AntiSpam. Caso haja alguma assinatura específica no conteúdo e o firewall possua o recurso DEEP INSPECTION, que veremos mais à frente, pode ser que seja identificado alguns aspectos. Porém, a regra é distinguirmos muito bem esses papéis. • Autenticação/certificação Diversos são os requisitos que podem ser considerados para uma autenticação de usuários ou dispositivos. Como exemplo, podemos citar as senhas, certificados digitais, tokens, smartcards ou biometria. Para o caso de certificados digitais pode-se inclusive utiliza a infraestrutura de chaves pública (PKI). É importante mencionar também a importância de se ter uma camada de segurança (firewall) de alta disponibilidade, pois caso esse equipamento dê problema, todo o acesso externo da rede corporativa poderá ser comprometido. Assim, deve-se implementar técnicas de balanceamento de carga e redundância . 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 10 de 136 ����������� � � ��������� ����������� � � ��������� ����������� � � ��������� ����������� � � ��������� Como eu disse antes, os firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual camada o firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das camadas inferiores. Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”. Portanto, vamos conhecê-los: • Firewall Bridge Esse tipo de firewall atua na camada de enlace do mod elo OSI. Justamente por atuar na camada de enlace, temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá diretamente no dispositivo, através de uma interface de conexão física ou através do seu endereço MAC estando no mesmo domínio de Broadcast. Algo semelhante acontece quando se deseja acessar um switch L2 para configuração. Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa frente a sua falta de endereçamento IP, incorrendo em mais uma cada de segurança. Entretanto, perceba que este firewall possui certas limitações a respeito do tipo de informação que ele é capaz de filtrar. • Firewall – Filtro de Pacotes Este é o tipo mais primitivo de implementação de firewalls. Também conhecido como Firewall estático. Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte. A sua capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de origem e destino . Desse modo, podemos definir os serviços que serão permitidos a partir das portas de operação. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 11 de 136 Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o fluxo de entrada e saída da rede. Entretanto, os filtros de pacotes atuais são capazes de identificar outros parâmetros dos cabeçalhos conforme as figuras a seguir. Os campos escurecidos são aqueles que o firewall do tipo filtro de pacotes considera na sua filtragem. Para o protocolo IP tem-se: Para o protocolo TCP: Para o protocolo UDP: Para o protocolo ICMP: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 12 de 136 Essas características permitem que seja um modelo simples de ser implementado em que os elementos de borda atuais, todos eles já implementam esses recursos do firewall. Veremos que os modelos mais atuais implementam o tipo de firewall statefull. • Filtros de Pacotes Baseados em Estados Também conhecidos como filtro de pacotes dinâmicos ou Statefull. Esse tipo de firewall não se restringe à análise dos cabeçalhos conforme vimos anteriormente. Entretanto, é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall. Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme evolução da comunicação. Importante lembrar que quando falamos de conexão estabelecida, estamos falando do protocolo TCP. Entretanto, o firewall statefull utiliza um conceito baseado em contextos que permite a criação de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP que fazem parte de um mesmo serviço. • Proxies Os proxies também fazem parte da classificação de firewalls. Estes possuem a capacidade de atuar a nível da camada de aplicação averiguando as informações dos cabeçalhos que fazem parte dessa camada. Um ponto importante é que os firewalls do tipo filtro de pacotes permitem a comunicação direta entre cliente e servidor. Fato que não acontece com o proxy que faz com que sejam estabelecidas duas conexões. Do cliente com o proxy e do proxy com o servidor. Entretanto é importante mencionarmos que o proxy não verifica o conteúdo dos pacotes. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 13 de 136 Tal regra não se aplica às soluções de proxies e firewalls mais modernas. Estes implementam o conceito do DEEP INSPECTION, ou inspeção profunda. Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos pacotes trafegados . O proxy mais utilizado e criado em Linux é o SQUID. Pos sui os principais recursos de funcionamento, como regras de filtragem baseados nos endereços URL’s e listas de acesso. ��������������������������������Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end que implementa o firewall NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico. O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall. São elas: • INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração. • OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall. • FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD. Assim, cada regra criada deverá ser inserida em alguma das três cadeias apresentadas. Além disso, o IPTABLES trabalha também com três tabelas básicas para armazenamento das informações e operações a serem realizadas pelo firewall, quais sejam: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 14 de 136 • Tabela Filter – Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem. • Tabela Nat – Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de entrar e saída. • Tabela Mangle – Armazena informações a respeito da manipulação de pacotes, isto é, caso se deseja alterar alguma flag ou parâmetros dos cabeçalhos. Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o parâmetro “-t”. Caso não seja inserido, utiliza-se a tabela padrão Filter. Algumas questões têm cobrado de forma mais detalhada a utilização e configuração do NAT. Para tanto, é importante entendermos os pontos abaixo. Na maioria dos casos de implementação, tem-se um NAT de diversos IP’s internos utilizando um único IP de saída, podendo este ser dinâmico ou não. Algo semelhante ao que temos em nossas residências com o compartilhamento de diversos dispositivos para acesso à Internet. Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”. Assim, tem-se o exemplo abaixo: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Esse comando nos diz que deverá ser inserida a regra acima na tabela NAT ( -t nat). Deve-se utilizar o conceito POSTROUTING, ou seja, aplica- se o NAT após o processamento das regras de filtragem e verificação de regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da interface de saída ppp0 (-o ppp0 –j masquerade). Desse modo, vamos esclarecer o conceito de POSTROUTING e PREROUTING. Como o Iptables possui a capacidade de modificar a conexão, ou seja, mudar as portas através do NAT, deve-se informar ao KERNEL o momento em que tais mudanças devem ser efetuadas. Existem três Chains: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 15 de 136 • PREROUTING - utilizada para manipular endereço e porta de destino para os pacotes de entrada na rede. • POSTROUTING – Utilizada para manipular o endereço e porta de origem para os pacotes que saem da rede. • OUTPUT – Utilizado para manipular o endereço e porta de destino para os pacotes gerado localmente pelo próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de tráfego verificado anteriormente, entretanto, aqui, estamos falando de regras de NAT. Desse modo, pode-se utilizar a “manha” para decorar a regra acima de que SNAT (source NAT) começa com a letra “S”, logo, deve-se utilizar o POSTROUTING, pois este possui a letra “S”. Meio forçado, certo? Logo vamos tentar entender para facilitar as coisas. Quando um pacote chega no firewall, ele deve passar pelas fases constantes no diagrama abaixo: Desse modo, segundo as regras de NAT, se vamos acessar serviços externos a partir de endereços internos, devemos manipular os endereços e portas de origem. Assim, para sabermos se um host interno pode ou não acessar determinado recurso, devemos verificar as 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 16 de 136 informações originais, antes de aplicar o NAT. Por esse motivo, para essa manipulação, deve-se realizar o NAT apenas no POSTROUTING para tratar esses endereços, ou seja, após verificação de regras de filtragem e roteamento. Agora o cenário inverso. Assumindo que algum host externo pretenda acessar algum serviço interno escondido atrás de um NAT. Nesse caso, ele vai apontar para um IP e porta de destino que não correspondem a informações diretas e reais dos servidores, pois estão atrás do NAT. Nesse sentido, deve-se converter esses endereços e portas para posterior análise das regras de filtragem e roteamento, ou seja, deve-se utilizar o PREROUTING para manipular as informações de destino. Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse trecho com mais cautela. Vamos então verificar alguns exemplos de utilização dessas CHAINS. Muita atenção nas interfaces utilizadas em cada uma das CHAINS. Primeiro, vamos verificar a utilização do POSTROUTING para manipulação do SNAT: ## Mudando o endereço de origem para 1.2.3.4 em todos os pacotes que saiam pela interface de saída eth0 # iptables -t nat -A POSTROUTING -o eth0 -j SNAT -- to 1.2.3.4 ## Mudando o endereço de origem para 1.2.3.4, 1.2.3.5 ou 1.2.3.6. Nesse caso, tem-se disponível vários endereços na interface de saída. # iptables -t nat -A POSTROUTING -o eth0 -j SNAT -- to 1.2.3.4-1.2.3.6 ## Mudando o endereço de origem para 1.2.3.4, portas 1-1023 # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023 Agora, vamos verificar a utilização do PREROUTING para manipulação do DNAT: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 17 de 136 ## Mudando destino para 5.6.7.8. Utiliza-se a interface de entrada. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8 ## Mudando destino para 5.6.7.8, 5.6.7.9 ou 5.6.7.10. Caso de utilização de um cluster interno que responda por diversos endereços. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10 ## Mudando destino do tráfego web para 5.6.7.8, porta 8080. # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080 ## Redirecionar pacotes locais com destino a 1.2.3.4 para loopback. # iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1 Há um caso especializado de Destination NAT chamado redirecionamento. É uma simples conveniência, a qual equivale a fazer DNAT para o endereço da própria interface de entrada. ## Mandando tráfego web da porta-80 para um proxy interno transparente na porta 3128 # iptables -t nat -A PREROUTING -i eth1 -p tcp -- dport 80 -j REDIRECT --to-port 3128 Veremos algumas questões que dizem respeito ao código de execução dos comandos para criação, alteração ou exclusão das regras de firewall. Complementarei o aprendizado na resolução das questões que abordem esse assunto. Para os alunos que têm disponibilidade para aprofundar o conhecimento, sugiro a leitura do artigo publicado no link a seguir: http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do-Iptables 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 18 de 136 �� � � � � ���� � � � � ���� � � � � ���� � � � � �� O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado no HTTP. Desse modo, possui as características de ser simples e leve como o HTTP. Ele foi criado originalmente para efetuar chamadas remotas em mensagens HTTP. É baseado em uma estrutura de servidores que permitem a alteração dinâmica do tráfego em cada um desses servidores. Estes são mantidos por diversas empresas, fabricantes e provedores com vistas a criar uma estrutura de troca de informações e adaptação de tráfego para sistemas mais seguros. Este protocolo permite que clientes ICAP enviem requisições para os servidores ICAP objetivando a “adaptação do conteúdo”, ou seja, pode- se verificar a existência de um vírus em um dado arquivo a partir de uma consulta a um servidor ICAP. Geralmente é implementado em servidores que pertencem à DMZ. Permite a criação de uma infraestrutura na Internet única de comunicação, integrando diferentes fabricantes e possibilitando a gerência do conteúdo do tráfego entre diferentes serviços. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 20 de 136 2. Metodologias de Detecção Conversando um pouco mais sobre segurança, abordaremos um tópico que recorrentemente tem sido cobrado em provas, que são as metodologias de detecção/prevenção, bem como suas principais ferramentas. Quando falamos de metodologia, logo nos remetemos ao seu significado de definir método, princípios ou regras que serão a base para determinados procedimentos. Trazendo esse conceito para a área de segurança, nada mais é do que se definir regras que permitirão a detecção de possíveis ataques e invasões não autorizadas. Nesse sentido, vamos definir de imediato duas bases de conhecimento que são utilizados como parâmetro para nossa conversa ao longo desse capítulo: • Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-se comparar determinados acessos ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é, caso as informações estejam nessa lista, o equipamento poderá tomar alguma atitude. • Base de Comportamento – Nesse perfil, temos a análise das características e comportamento dos pacotes ou acessos. A partir de um histórico, pode-se determinar um comportamento considerado normal ou padrão. Caso haja algum acesso ou tráfego de pacote que fuja desse comportamento, considera-se um acesso indevido ou anômalo, cabendo ao equipamento tomar alguma atitude. Para exemplificarmos os conceitos acima, imaginemos que estamos indo a uma festa da elite da sociedade. Assim, trazendo a analogia da “Base de Conhecimento”, teríamos uma lista de nomes e placas de carros que estariam proibidos de entrar na festa. Já com “Base no Comportamento”, a partir do histórico analisado, percebeu-se que todos os convidados chegam com carros importados e com motoristas particulares. Caso cheguemos dirigindo nosso carro popular por conta própria, há uma grande probabilidade de sermos barrados! 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 21 de 136 Já trazendo a associação de equipamentos para os conceitos apresentados, temos que o IDS (Intrusion Detection System) atuará na maioria das vezes com “Base de Conhecimento”, enquanto o IPS (Intrusion Prevent System) atuará na maioria das vezes com “Base de Comportamento”. Veremos algumas outras diferenças desses dois posteriormente. Lembremos sempre que o modelo “Base de Conhecimento” se assemelha ao funcionamento de um antivírus. Percebamos que a eficiência desse modelo depende de uma atualização constante da base de assinaturas. Ainda no nosso campo de conceitos, temos alguns termos muito utilizados referenciando a atuação dos equipamentos após análise das informações. São eles: • Tráfego Suspeito Detectado – Funcionamento normal do equipamento, onde o tráfego suspeito de fato foi detectado. • Tráfego Suspeito não Detectado – Conhecido como “Falso Negativo ”. Ou seja, era para ser acusado como um tráfego suspeito, porém, não foi acusado. Em termos de analogia, imaginem que um penetra tenha entrado na festa sem ser percebido. • Tráfego Legítimo que o Equipamento acusa como suspeito – Também conhecido como “Falso Positivo”. Percebam que agora, na nossa analogia, um convidado legítimo foi considerado penetra. Em condições normais e corretas, ele deveria ser capaz de passar sem problemas. • Tráfego Legítimo que o Equipamento considera legítimo – E para finalizar, temos o comportamento normal de um tráfego legítimo, passando sem nenhum problema pela linha de defesa do sistema. Vamos discutir agora sobre algumas vantagens e desvantagens de cada modelo. Para o modelo “Base de Conhecimento”. Como pontos positivos, podemos citar a baixa taxa de falsos positivos e o tempo de resposta na análise. Como pontos negativos, podemos citar a dependência da base atualizada, dificultando a detecção de novos tipos de ataques; apesar de ter um bom desempenho, pode ser degradado à medida que se aumenta o número de regras para análise. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 22 de 136 Já o modelo de “Base de Comportamento” que busca desvios de comportamento dos usuários, sistemas e tráfego, foca na análise estatística e heurística. Como ponto positivo podemos citar a capacidade de se detectar novos tipos de ataques, independência de plataforma de Sistema Operacional e/ou arquitetura. Como lado negativo, podemos citar a possibilidade de se gerar muitos falsos positivos com regras mais rígidas de desvios, além de falsos negativos, quando ataques não geram grandes mudanças ou alterações no comportamento. ������������ Conforme seu próprio nome diz, é um sistema de detecção de intrusão. Logo, em termos de analogia, devemos sempre lembrar de um alarme. Quando algo acontece, ele acusa a ocorrência, porém, em regra, não atua diretamente. Um dos principais IDS’s utilizados é o SNORT, que acaba funcionando também como um IPS. O IDS pode ser categorizado ainda em três tipos: • NIDS (Network-Based Intrusion Detecction System) – Esses sistemas buscam atuar a nível da rede, analisando o tráfego de entrada e saída. É o tipo mais utilizado. Como vantagens, podemos citar: o Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e aumentando o grau de defesa; o Atuando em modo passivo, não impactam no desempenho da rede; o Difíceis de serem detectados por atacantes; Como desvantagens, podemos citar: o Diante de tráfego intenso, pode não ser muito eficiente; o Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; o Incapacidade de analisar informações criptografadas; o Incapacidade de bloquear o ataque, restando apenas a detecção; • HIDS (Host-Based Intrusion Detecction System) – Atuar a nível de um host específico (servidor ou máquina de usuário) buscando 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 23 de 136analisar características de acesso indevido da máquina, como tentativas de mudanças de perfil, variações dos componentes físicos, entre outros. Como vantagens, citamos: o Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS. o Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação. o Não são afetados por elementos de rede como switches ou roteadores. Como desvantagens, podemos citar: o Difícil configuração pois se deve considerar as características de cada estação; o Podem ser derrubados por DoS; o Degradação de desempenho na estação; • IDS baseado em pilhas – É um modelo novo de implementação com grande dependência dos fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada superior, buscando evitar que chega até a aplicação ou Sistema Operacional. Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS. Esses são chamados de Hybrid IDS ou IDS híbrido. Além disso das classificações acima, podemos classificar o IDS em categorias conforme seu posicionamento na rede e modo de ação. Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego, conforme verificamos na imagem abaixo: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 24 de 136 Ainda assim, podemos classifica-lo em modo passivo ou reativo. O primeiro, simplesmente identificará o ataque, gerará logs e alertas acusando o acontecido. Caberá então ao administrador de rede atuar para bloquear o ataque. Já em modo reativo, também será capaz de identificar, gerar log e alerta, entretanto, será capaz de enviar comandos para o firewall ou outros sistemas para alterar suas regras de funcionamento de forma automática para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já ocorreu. Bloqueou-se ataques futuros com a mesma característica, porém, algo danoso já poderá ter ocorrido. Por esse motivo, chamamos de modo reativo. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 26 de 136 Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a diferença do modo ativo do IDS (IPS) com o modo reativo do IDS, pessoal? No primeiro, busca-se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe agora bloquear posteriormente. Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 29 de 136 ������������ Falando agora especificamente das características do SSL, é importante destacarmos que ele permite o envio de informações de forma segura até um destino específico, agregando ainda recursos de autenticidade, integridade e confidencialidade. O intuito de sua criação, era criar uma cada de segurança para que as aplicações como HTTP, POP3 e SMTP pudessem ter tais recursos. Assim, criou-se o SSL de tal modo que fosse independentemente do tipo de protocolo utilizado na camada da aplicação e que pudesse rodar sobre as camadas mais inferiores. Por esse motivo, temos que o SSL se posiciona em uma camada intermediária entre as camadas de aplicações e transporte da arquitetura TCP/IP conforme imagem abaixo: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 30 de 136 O desenvolvimento original foi realizado pela Netscape, chegando a desenvolver três versões do protocolo. Assim, um exemplo de utilização de protocolo é através das comunicações WEB via HTTP de modo seguro, utilizando o SSL. Essas comunicações passam a funcionar em uma porta diferente e são chamadas de HTTPS. Uma característica do SSL é ser transparente ao usuário. Ao trazermos os principais objetivos a serem alcançados pelo SSL, podemos listar: • Autenticação entre clientes e servidores; • Garantia da Integridade dos dados (caso estes sejam alterados, pode-se detectar facilmente); • Garantia da Confidencialidade: As informações transmitidas não podem ser interceptadas e interpretadas devido ao uso da criptografia, devendo ser lida apenas pelo destinatário que possui a chave de sessão. Desse modo, diz-se que o SSL não é um protocolo simples e único, mas sim um conjunto de protocolos auxiliares que atuam em conjunto em prol dos objetivos acima. Esse conjunto de protocolos pode ser dividido em duas camadas: • Camada de segurança e integridade dos dados: SSL Record; • Camada de conexão SSL: SSL Handshake protocol, SSL ChangeCipher SpecProtocol e SSL Alert Protocol. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 31 de 136 Assim, para termos um aspecto visual da estrutura do protocolo, podemos analisar a imagem a seguir: Falando um pouco sobre cada um dos protocolos: • Handshake Protocol – Responsável pelo estabelecimento da comunicação segura e autenticação das partes, com a escolha dos algoritmos de criptografia. Falaremos mais detalhadamente a seguir. • Alert Protocol – É o protocolo responsável pelo controle do protocolo através da troca de mensagens vinculadas ao funcionamento e transmissão de dados na conexão. Faz algo semelhante ao protocolo ICMP em relação ao IP. Possui duas identificações clássicas: “Warning” e “Fatal”. Ao ser enviado uma mensagem do tipo FATAL, a transmissão é interrompida imediatamente. Possui uma estrutura de dois bytes em que o primeiro é o tipo da falha e o segundo diz respeito ao alerta ou erro ocorrido. • Change Cipher Spec – É constituído por um tipo de mensagem que caracteriza um marco onde, a partir dessa mensagem, toda comunicação será criptografada conforme negociações feitas no estabelecimento da comunicação. É uma mensagem de duas vias, onde ambas as partes precisam emitir essa mensagem. Assim, 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 32 de 136 diz-se que a sessão SSL de fato está aberta e será utilizado o RECORD PROTOCOL. • Record Protocol – Protocolo responsável pelo encapsulamento dos dados. Esse protocolo recebe os dados abertos da camada superior, encapsula, encripta e/ou adiciona o Message Authentication Codes (MACs) para garantir a segurança. É nessa fase que percebemos a total independência dos protocolos. Importante mencionar que o algoritmo aqui utilizado é simétrico, conforme princípios de criptografia, além da capacidade de se comprimir as mensagens. O estabelecimento de uma conexão SSL sedá em etapas. Toda comunicação começa com o HANDSHAKE PROTOCOL. Detalhando um pouco mais essa fase, temos que essas etapas permitem a definição de algoritmos para geração de chaves de sessão. As etapas são: 1. Negociação dos Algoritmos – Busca-se definir qual algoritmo é suportado por ambos e será utilizado. A tendência é escolher sempre o algoritmo mais robusto. O cliente faz a requisição da comunicação segura e o servidor responde com uma lista de algoritmos suportados. 2. Troca de Chaves e Autenticação – Após a ciência e definição pelo servidor do algoritmo, ambos trocam chaves para e realizam a autenticação entre si. Nesse primeiro momento, utiliza-se algoritmos de criptografia assimétrica como RSA, Diffie-Hellman, entre outros. Aplica-se aqui o conceito de certificado digital por parte do servidor com todas as informações inerentes a essa tecnologia. 3. Encriptação simétrica e autenticação das mensagens – A partir de então as mensagens utilizam funções HASH para autenticação, garantindo assim a integridade, segurança e autenticação. ������������ Conforme vimos anteriormente, o SSL foi desenvolvido pela Netscape. Trazendo o desenvolvimento dessa solução de modo independente de 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 33 de 136 plataforma, o IETF assumir tal responsabilidade, renomeando, assim, para TLS. Este foi baseado na versão 3.0 do protocolo SSL. Atualmente não se faz tanto essa distinção, sempre nos referenciando ao conjunto de ambos: SSL/TLS. Isso se deve por não haver uma distinção substancial destes protocolos. Agora um fato muito importante para prova. Estes dois protocolos não são compatíveis, isto é, eles não interoperam entre si. Abordando então as diferenças entre esses protocolos, podemos citar: • O TLS tem a capacidade de trabalhar em portas diferentes e usa algoritmos de criptografia mais robustos como o HMAC, enquanto o SSL suporta apenas o MAC. • O TLS, quando utilizado em infraestrutura de chaves públicas, pode ser utilizado por uma autoridade intermediária, não necessitando recorrer à raiz de um Autoridade de Certificação como o SSL. ���������������������������� O OpenSSL é a implementação em código aberto dos padrões estudados anteriormente. Muita atenção, pois, apesar do nome, o OpenSSL também suporta o TLS. A sua codificação é escrita em linguagem C. Por ser um código aberto, visando sempre integrar os mais diversos protocolos e linguagens, pode- se utilizar o Wrapper que permite a integração com várias outras linguagens. Atualmente se encontra na versão 1.0.2. Possui suporte a uma game de algoritmos de criptografia, conforme listagem abaixo: - Algoritmos simétricos: AES (128,192 e 256), Blowfish, Camellia, SEED, CAST128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 - Algoritmos assimétricos: RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 34 de 136 - Funções HASH: MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC- 2, GOST R 34.11-94 Suporta ainda outros protocolos agregados como o S/MIME, bastante utilizado para assinatura e cifragem de mensagens de e-mail. 4. IPSeC Dando continuidade à nossa discussão a respeito de implementações de segurança com o propósito de tornar a comunicação na rede cada vez mais segura, falaremos do IPSec.- IP Security Protocol. Já tivemos alguma introdução a respeito desse assunto nos capítulos anteriores pois ele é uma implementação utilizada por diversos protocolos e serviços. Vale lembrar que o IPSec é implementado de forma nativa no protocolo IPv6, enquanto no IPv4 é opcional. O IPSec nada mais é do que uma extensão do próprio protocolo IP (vale para as duas versões). É importante mencionar também que este independe das versões, ou seja, é o mesmo para ambos. O IPSec visa garantir os princípios de segurança da autenticidade, integridade e confidencialidade, a depender da sua forma de utilização. Veremos que é uma implementação extremamente versátil e por esse motivo é utilizado para muitas finalidades. A RFC 6071 define o IPSec como um conjunto de protocolos que provê essa camada de segurança a nível da cada de rede do modelo OSI. E aqui temos uma primeira diferença do SSL/TLS, pois este último, conforme vimos, atua em uma cada intermediária entre a camada de transporte e aplicação da arquitetura TCP/IP. A figura nos traz essa representação: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 35 de 136 Ou seja pessoal, o IPSec pode ser utilizado para prover segurança para a camada de transporte (incluindo os protocolo TCP e UDP) e, também, poderá ser utilizado para prover segurança ao próprio protocolo IP. Veremos em mais detalhes a frente. O IPSec utiliza diversos recursos no que concerne a aspectos de criptografia. Utiliza chaves assimétricas e/ou certificados digitais para garantir a autenticidade e integridade das partes envolvidas, utiliza também chaves simétricas para a confidencialidade dos dados, além de funções HASH para integridade dos dados. Todos esses parâmetros podem ser definidos a partir de políticas com vistas a determinar o nível de segurança a ser aplicado pelo IPSec, considerando aspectos de desempenho da comunicação. A implementação do IPSec não requer nenhuma alteração nos aplicativos ou sistemas operacionais existentes, basta a configuração das diretivas de segurança, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados no computador, passarão a utilizar o IPSec para troca de informações com outros computadores também habilitados ao IPSec. Isso é bem mais fácil de implementar e de administrar do que ter que configurar a criptografia e segurança em cada aplicativo ou serviço. ������� � � ������������ � � ������������ � � ������������ � � ����� O IPSec possui elementos básicos que são utilizados em seu funcionamento, quais sejam; 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 36 de 136 • Cabeçalho de Autenticação – AH (Authentication Header) O AH é aplicado para finalidade de autenticidade e integridade, mas não de confidencialidade! Assim, ele fornece a integridade dos pacotes e a garantia de sua origem. A autenticidade do AH abrange tanto o cabeçalho IP quanto os dados. Outro ponto a ser mencionado é em relação ao acréscimo de elementos na estrutura do pacote original. Para o AH, é suficiente o acréscimo de um cabeçalho posicionado no meio do pacote IP. Uma vantagem de se utilizar o AH de forma obrigatória é a capacidade de se exigir parâmetros do AH específicos que impossibilitam ataques do tipo DoS ou DDoS, uma vez que esses pacotes gerados para o ataque não atenderão aos requisitos estabelecidos e serão descartados. • Cabeçalho de Encapsulamento do payload – ESP (Encapsulation Securty Payload) O ESP é aplicado para suprir as três necessidades: confidencialidade, integridade e autenticidade. Em relação à autenticidade, temos uma diferença em relação ao AH, pois no ESP, ela só se aplica aos dados, não contemplando, portanto, o cabeçalho IP. Outro ponto de diferença é que, enquanto o AH apenas acrescenta um cabeçalho no pacote original, o ESPse utiliza de três partes: cabeçalho ESP, ESP Trailer e ESP Authentication. Os dois últimos são acrescentados após o payload do pacote IP. Veremos essa organização de forma visual logo mais. Em regra, os dois elementos (AH e ESP) são usados isoladamente, entretanto, há pleno suporte em sua utilização conjunta. Um ponto comum em ambos é a existência do campo NÚMERO DE SEQUÊNCIA, que é um número crescente utilizado para evitar ataques repetitivos, ou conhecido como REPLAY PEVENTION. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 38 de 136 básica de 4 formas de utilização do IPSec considerando apenas os elementos e seus modos. Vamos conhecê-los: • Modo Transporte Esse é o modo nativo de implementação do IPSec. Nesse caso, tem-se uma transmissão direta dos dados protegidos entre os hosts. Toda a manipulação dos dados acontece sobre os dados, ou seja, sobre o payload do pacote IP, não contemplando, assim, o cabeçalho. Outra característica é que o modo transporte é incorporado diretamente na pilha de protocolos TCP/IP pelos hosts envolvidos, conforme imagem a seguir: • Modo Túnel O modo túnel é implementado por elementos intermediários na comunicação, não sendo, portanto, host a host diretamente. A ideia aqui é possibilitar que redes ou hosts utilizem a comunicação segura sem que necessitem ter o devido suporte ou configuração. A figura abaixo nos traz essa representação: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 39 de 136 Como o próprio nome sugere, a ideia é que todo o tráfego que passe por esse túnel criado usufrua dos recursos do IPSec. Desse modo, os elementos intermediários que implementam o IPSec realizam o encapsulamento de todo o pacote IP original. Além disso, acrescenta-se um novo cabeçalho IP no pacote para trafegar pelo túnel. Esse novo pacote deve ser retirado pelo outro elemento intermediário que implementa a outra ponta do túnel do IPSec, fazendo-o retornar a sua estrutura original. Avaliando ainda algumas capacidades de segurança embutidas nesse processo, temos que o fato de se gerar um novo cabeçalho, gera-se um novo número de sequência, possibilitando então aos elementos controlar até certo ponto ataques do tipo DoS e DDoS. A figura abaixo nos apresenta as principais características de cada uma das formas de utilização do AH e ESP nos modos Túnel e Transporte. Avaliem com cautela a figura para verificar os principais pontos que conversamos neste capítulo. Prestem atenção nas parcelas do cabeçalho que são criptografadas e autenticadas em cada uma das combinações: 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 40 de 136 Reparem que o AH sempre contempla os cabeçalhos IP, enquanto o ESP não. Reparem também que no modo túnel, em ambos os casos, são gerados novos cabeçalhos IP. Percebam ainda a inserção dos trechos ESP Trailler e ESP Auth ao final do pacote. 5. VPN - Virtual Private Network As redes privadas virtuais foram criadas para atender as necessidades de acesso a ambientes privados e internos (intranets) passando por ambientes inseguros ou públicos (Internet). Tal característica é fundamental para acesso a serviços internos à rede por parte de usuários externos à rede. Dessa forma, caso o usuário queira consultar uma base de dados do setor de RH armazenado em um servidor de arquivos do setor de RH, este usuário poderá utilizar a técnica apresentada. Vale ressaltar, que, antes da criação das VPN’s, caso uma empresa quisesse fornecer acesso a uma filial por exemplo, era necessário a 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 41 de 136 contratação de enlaces lógicos dedicados das operadoras, o que gerava alto custo de operação e manutenção do serviço. A rede virtual privada (VPN) cria um túnel seguro com implementações de algoritmos de criptografia para que o referido tráfego não seja visualizado na rede pública. Para tanto, na criação do túnel, o usuário deve se autenticar para validar que é um usuário externo com vínculo à instituição. Desse modo, tem-se os principais requisitos de segurança garantidos como a confidencialidade, autenticidade e integridade. O conceito acima pode ser aplicado de três formas: • Interligação entre pontos da instituição em regiões geográficas distintas - Dessa forma, pode-se ter o setor financeiro em um estado e o setor de administração em outro estado compartilhando recursos entre si através da Intranet VPN , ou ainda, um funcionário da empresa fazendo uso dessa conexão dedicada de forma remota. Ou seja, só envolve o acesso remoto de funcionários da empresa. Esse modelo depende de configuração ou responsabilidade por parte do usuário, uma vez que o túnel é estabelecido diretamente entre os equipamentos de borda ou gateways. Também é chamado de VPN SITE-TO-SITE. Vale lembrar que o tráfego interno não depende de implementação de VPN, por teoricamente estar em um meio isolado e seguro. • Acesso Remoto VPN – Um funcionário da empresa, através de um equipamento fora da rede da empresa, deseja acessar seus arquivos corporativos para trabalhar externamente à empresa. Nesse sentido, ele cria o túnel e possui acesso aos seus arquivos. • Permissão de acesso para usuário externo à empresa a recursos internos da empresa - Um exemplo seria uma empresa de transporte que precisa acessar algumas informações pessoas dos funcionários da empresa, dessa forma, pode-se liberar um acesso via VPN para a empresa de transporte ter acesso apenas a essas informações. Chama-se tal recurso de Extranet VPN , dado que só permite acesso aos usuários externos à empresa. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 42 de 136 A imagem abaixo ilustra os três cenários: Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT (Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a origem até o destino final. Este mecanismo é chamado de NAT Transversal. Tal nomenclatura também pode ser referenciada como UDP Encapsulation. ������ � �� ��! ����������� � �� ��! ����������� � �� ��! ����������� � �� ��! ����� A criptografia exerce papel fundamental no processo de criação da VPN, assim como o princípio do tunelamento. O primeiro visa garantir a autenticidade, o sigilo e a integridade dos dados. Já o tunelamento, permite a criação de túneis que sejam seguros (podendo ser utilizados em ambientes inseguros) e independente de protocolos (é capaz de trafegar qualquer tipo de protocolo, até mesmo diferentes ao IP), sendo considerado, portanto independente de rede e aplicação. Diversas são as técnicas, recursos e aplicações utilizadas para a criação de um túnel seguro em um ambiente inseguro. Podem atuar inclusive em diferentes camadas do modelo OSI, como é o caso do PPTP (camada 2) e o IPSec (camada 3). Para o acesso de um cliente remoto, geralmente se utiliza de um software no lado do cliente que permite a criação do túnel para posterior tráfegodos dados. Esse software é baseado no protocolo IPSec (Padrão de fato para criação de VPN’s). Pode-se utilizar apenas chaves para 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 43 de 136 autenticação e criptografia, bem como certificados digitais autenticação e troca de chaves. A seguir, veremos os principais protocolos de tunelamento. • PPTP - Baseado no protocolo PPP. Opera na camada de enlace. É um protocolo puramente desenvolvido para VPN. Possui recursos de autenticação de usuário dependendo, portanto, da inicialização por parte deste . É suportado pelas mais diversas plataformas. É considerado leve, rápido e de fácil implementação. Porém, por se basear em chaves de 128 bits, não é considerado seguro. Critérios mais robustos de autenticidade, bem como qualquer implementação de integridade e confidencialidade dependem do IPSec, ou seja, protocolos de camada superiores. • L2TP - É um protocolo puramente desenvolvido na camada de enlace para criação de túneis VPN baseado no protocolo L2F (Layer 2 Forwarding) e PPTP, porém sem técnicas de segurança para garantir a confidencialidade. Por esse motivo, utiliza o IPSEC na camada superior . Utiliza a porta UDP 500, o que pode gerar problemas de liberação de portas em firewalls. É considerado rápido, leve e multiplataforma bem como o PPTP. Possui a capacidade de realizar a autenticação entre os dispositivos através da utilização de PAP ou CHAP. Por esse motivo, é muito utilizado para o encapsulamento de pacotes PPP. Diferentemente do PPTP, pode ser transparente ao usuári o, sendo o túnel criado diretamente nos equipamentos de borda ou gateways . • OpenVPN - É um cliente que utiliza protocolo de código aberto que utiliza a biblioteca OpenSSL e os protocolos SSLv3/TLSv1 (Cria- se uma camada segura entre a camada de aplicação e transporte . Possui grande versatilidade de configuração e implementação. Por padrão, roda sobre UDP, porém pode rodar em qualquer porta do TCP, como a 443. Possui suporte a diversos 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 44 de 136 algoritmos criptográficos devido o OpenSSL. Geralmente é mais rápido que o IPSEC. Percebam que essa é uma implementação aberta de VPN com SSL. Porém, existem outras implementações utilizando o mesmo modelo. • SSTP - Protocolo proprietário da MICROSOFT. Utiliza SSLv3, dessa forma pode atuar na porta TCP 443, a mesma do HTTPS, evitando problemas de abertura de portas em firewalls. Possui integração completa com WINDOWS, sendo de fácil instalação e utilização. • IPSec – Implementação a nível da camada de rede que utiliza os conceitos de operação em modo transporte ou tunelamento com a capacidade de acrescentar cabeçalhos AH e ESP. Para efeitos de filtragem em firewall, deve-se liberar a porta UDP/500 para troca de chaves. Além disso, deve-se liberar a identificação do protocolo IP 50 e 51. O primeiro é utilizado para o encaminhamento do ESP e o segundo para tráfego AH. • MPLS - É possível criar túneis VPN em uma rede MPLS com o mapeamento de determinado cliente ou rede para um rótulo específico. Dessa forma, somente o tráfego de determinada fonte com determinado destino possuirá a referida identificação, criando- se assim um túnel na rede. Tal característica permite apenas o isolamento de tráfego, não havendo implementação de técnicas de criptografia. Importante mencionar que este modelo é diferenciado uma vez que não há orientação à conexão, mas tão somente a marcação dos pacotes, tal qual ocorre com o IPSec. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 46 de 136 LISTA DE EXERCÍCIOS COMENTADOS 1. CESPE – CGE-PI/Auditor Governamental/2015 ����������� �� ��������������������������������������������������� �������������������������������������������������� ������������������������� �������������������������������������������������������� ! ∀� � ������� ���� �������� � � ��� ������ �� ��������� ��� ���������� �� ��� �� �� ���� � � � ����!���������∀����� ������ ��� ��#∃%���� ������������������� ��&��� ∋� ��(��� ������ �� �� � ��� ∋� � ��� ∋���∋���)���∋��� ��� ����� ������� ��� ��∋������ ���∋� � �������� � ∋�������������∗��������+��� ���,�� ��� ������ 2. CESPE – ANTT/Analista Administrativo – Infraestrutura de TI/2013 #�����������∃������%��&��������������������������������������∋�������� ������������������%���������(�����������(���������������������������∃��� ��)���������������������������� ��������������������∗����∀� � ������� ���� −����� ���� � �� �������� ��� ������ ��� ���� ��(��� .��� ��� �� /���!���� ��� ��0������∋���∋� � ��� ��∋� �����������∋�.���� ���01���������� ������ ���������(� ������ ����.��������������������������� � ��������∋� �����2� ��3���� ������4���� ��� ������ � � 3. CESPE – FUB/Técnico de TI/2014 �����������������������(�������������������∋����������+������������� ����������������,∗����������������������������������(����������������� �����(�������������,∗���������)���∀� 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 47 de 136 � ������� ���� Lembrando sempre que o Firewall não possui a função de substituir softwares antivírus. Além do mais, o firewall não protege contra ataques internos. Nesse sentido, o antivírus é imprescindível. ��� ������ 4. CESPE – ICMBIO/Nível Médio/2014 #����������������������+��(�����������������∗���������������������������� �������∀� � ������� ���� Forma bem simplista de se definir a capacidade de um firewall. ��� ������ � 5. CESPE – TCU/Técnico Federal de Controle Externo/2015 �����������������−���������(����������������������������∃���� �������.����∃������������∃�������,∗���∀� � ������� ���� E aqui temos uma questão que gerou polêmica. Vimos que o Firewall de fato não é um antivírus. Entretanto, a palavra “capaz” aqui deu margem para muitos entendimentos. Além disso, não delimitou fronteiras, se é interno ou externo, enfim, questão totalmente aberta. Trazendo uma possibilidade para validar a questão, temos a possibilidade de se utilizar um firewall do tipo Deep Inspection que seja capaz de averiguar o conteúdo das aplicações e detectar conteúdos maliciosos como vírus. Entretanto, em minha opinião, essa questão deveria ser anulada. Mas como não foi, vamos ficar com mais um entendimento da banca CESPE. ��� ������� ��� ������� ������ ������������ 6. CESPE – Polícia Federal/Agende de Polícia Federal/2014 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 48 de 136 ��%�������������������)����∃�����������������������������−�������� �����������������������������������������∋�������(���������������� ����������∃������������∀� ������� ���� �� ��� ���� ����∋� ����/���!���� �� ������� � ������ ��������������� (���� � ���� �� ��� ������ � ���� ������ ����� ����� ��� ��� ��� � � ������� � ��� ������������������1��(�� � �∋0�(��������������������!����� ��� ������ 7. CESPE – UNIPAMPA/Analista de Tecnologia da Informação/2013 �����,������������������������������−������������������������������������ �������,����������������������������������������������������������������∀� ������� ���� �� ��∋���������.�� ��∋�������� ������������∋)��∋��������5���∋���� � ��� � ������� ������ ��∋������� �� � ��� ∋� ������� �� �∋����� �� ����� ����� �� ��� ������(� ������������� ��� ������ 8. CESPE – ANTT/Analista Administrativo/2013 ��������� ∃���� ��� ��� ���,����� ���� ���,���� ������������&�%�������� �� ��� ������������������������������������������&��,����������∃���������������� ��+��(�� ������(���/0� ��� ���������� � �� ���� ∃��� ������� �� �������� ������(�� 1� ��� &���� �� ∃��� ���� ���������� �����(��/0∀� 0����� ������∋��� �� ����∗,��� ∃��� ��(���� ����������������)��� ������������ ��� �������� ��� �%���������������∋�∀� ������� ���� �������� ����� � � ��� ������ ����� ������� ���� �������� �∗�(�� ���� ��� ��� ���� ����� �� ���� ���∋� � ��� ��� � �� ∋� �∗���� �����1� ���� ��������25!�650� ��0�7��� � 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 49 de 136 #��∋�������������������∋� � �������01���∋������8#���� ��������������� ��&������� ������� ����������������.������1������ ��������9��������������� ���� ������(��������)�����������8#����1�0� ���������#������� �����0������� ����� �� ����� ����� ���� ∋� � � � ��∋���� ��� ����� �8#:��;�� #����� ∋����� ����5����������� � ���∋� ��(�����������!��������� ����������∋������8#���� � ��������∋���� ��������∋����������∋������� ������ ��� ��������������� � ����������∋� �∗������������0����� ��� ������ 9. CESPE – TRT 17ª Região (ES)/Técnico Judiciário – Tecnologia da Informação �������������������������������������∃���������+�������������������������� ��������∃������������������∗�����������������∀� ������� ���� �� ���������� ��������������∀�.��������� ���� �����!������( � �� ���2� ��( � ���� ��� ����� <� ��� ���� =−>� �� � ��� ��?�� �� �������� ��� =−>� �� ��� � ��� ��� � &���� � �������� ��� ���� ���∋��� �� �������� ∋� ��� .��� �����.��� �����������=−>����1��∋��������∗��� � � ����� ��� ������ ��� ��� ���� ��� ������ 10. CESPE – CNJ/Analista Judiciário – Análise de Sistemas/2013 ��������∃������,∗���������������������������������� ���������(������� ��+��(��������������������23345�����∋��������∗,���∃������������������� 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 50 de 136 ����%���������������������������������������������)������−���� (�������(����������+��(�∀� ������� ���� −�����∋�������∋� ���� ��������.�������∋� � ������ � � 0� � � � ��� �� �������� ���� �� ���� �� ����!���� �����1� ∋� �� � � � ���)����� ��� ���� �� � ��� ���� ����� ���1� ∋���∀� ��� (����� ��(� ��� ��1��(��� ����� ������ ����� � ����������������������∗�� ��������� ����������� ����∀����������������� ��1��(�� �∋� 0�∋����� ��� ������ 11. CESPE – SERPRO/Analista – Redes/2013 ��1�������������������,���∋��6∀4��������������������������,��������� ��������������������������������� ! ������������������������ 0#7∀� ������� ���� Conforme vimos, o SELinux não deve ser confundido com o filtro de pacotes IPTables do Linux.� � ��� ������ 12. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 8���������∃��������−�����������������������������������∋��,����������������� 9����������������������������∋��(��������������������������������∃��� �������������∃�����)�������������������−��∀� ������� ���� Os firewalls do tipo filtro de pacotes atuam basicamente na inspeção das informações de camada 3 e algumas informações de camada 4. Entretanto, tais informações não são suficientes para se monitorar o estado das conexões. Esta capacidade surge a partir do firewall do tipo statefull com a capacidade de inspecionar todo o cabeçalho dos segmento (camada 4).� Desse modo, como a inspeção é limitada, possíveis ataques que extrapolem a capacidade de inspeção não serão identificados e assim, não serão totalmente eficazes.� 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 51 de 136 ��� ������ 13. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 ����������:�������;���&�����������<������������������=�����������������>� ��������(�����∃���������(�������∋�����������������(������������������������ �∋��(������?� �������,������∃���������(�������∋��������,������������(����� ��������������������∋��(������?���≅���%��������∃���������(�����������(�� ���∋�������������������,����∀� ������� ���� Conforme vimos na teoria, certo pessoal? � ��� ������ 14. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) �������������������������������������������������∃�������������%������� ������(���%����������������������������������������������%����&������ �����������������������������∃���������������,������������������∀� � ������� ���� ∃ �� (� �����∀�.��� � ������� �� ��������� ��� ����!����� 4� ������� ��� ��∋����� ���� ���� ��������� �������������!������� ����� ������ ����������� � ��� ������ � 15. CESPE – TRE/RS / Técnico Judiciário/2015 (ADAPTADA) ������������������������������(����������������������������(��������������� ��������∃����&�(���Α�������� �ΒΧ�:∆�� <�������%����������������−��∋����� �����������∗,�������������∋�∀� ������� ���� 4� ������������∋������ ∋� ��� �������� �� ��� �� �������� ��� ���� �� ������� ������������∋���∋���������������∋���� ��� �.≅������∋� �����������∋�.��� � ��� ������ 16. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 52 de 136 0�� ����� �������,��� �� �������� �����+� &�%��������� ���� ������� (���� ������������(���������������������∀� ������� ���� �� ��� �� �� ���� �� ���� ��� �������� ��� ������ ∋� �� ���� ��� �.≅��� ����� ���� ������������� � ��� ������ 17. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 ��������������������������������(��∃����∋����������∋����������������(�� �������������������������������(����������������−���������������∀� ������� ���� 4� ����������� ������ ������� �������� ��.���=����#��� ��� ����� ���� � ���∋� (� � ������� ��� ������ ��.≅��� Α�=� Β���� ����� ������ � � ��� �� �� ����� �� � � ∋������ � ����� ���� �� ��(� ��� ���∋���� � ������� ��� ��������� ��� ������� ��� ����∀������� ����� ���∋� (� ��������������� ���� � ���� ��� ������ 18. CESPE – TJ-SE/Analista Judiciário – Redes/2014 �����������������������������������������+∃������������,�������%� ����&���������,�����≅0����������,�����8� ��������������������������∀��� ��������������������������+∃������������������������� �� �����∃�������� ����∋�����(������∀��� �������,��������∃����∋������������,������� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0�� ��8� �����,��������������∀� � ���%����������������∋��&�����������)��(����������������(���∀� � ��������������%����Φ �8�ΓΗ�Γ≅�Φ��ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ�Φ������ΙΙ������52�Φ)� ≅�0/����+�∃�������+��(����)��������������(�����≅0����)����(���� ������� ���� Analisando os parâmetros, temos: -I : Insere nova regra dentro das existentes no firewall. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 53 de 136 FORWARD : Utiliza a chain Forward (regra para encaminhamento) -s : Define um host como origem de tráfego -p : Define um protocolo da camada de rede ou transporte --sport : Define a porta de origem. -j: Procedimento a ser executado no caso de ocorrência da regra. =����� ������� �����������(���� ��������� ��∋�� �(���<=�#8?�����1��(�� ���� ������ ����� ����!���� </4ΑΧ�Α=?� �� ������� ��� � � 0���� ��� ���(� � <∆Ε�∆Ε�∆Ε�∆Ε?�� ∋� ������� ��� ���(� � <Φ2?� �� �����∋���� <∃=�?��#����� ∋����� �� ��������������.�����������∀���������∋����∃=�� ��������Φ2� ���=#��� � ��� ������ 19. CESPE – TJ-SE/Analista Judiciário – Redes/2014 ��� ���� ����� ������ ���� ����������� ��� ���� �+∃������ ��� ���,����� ��%� ����&���������,�����≅0����������,�����8� ��������������������������∀��� ��������������������������+∃������������������������� �� �����∃�������� ����∋��� ��(�� ����∀� �� � ��� ���,����� ��� ∃����∋�� ���� ��� ���,����� �� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0�� ��8� �����,��������������∀�� � ��� %���� ������ ������∋�� &����������� )��(��� ��� ������ �� ��(���∀� � �� ������������%���� Φ � 8�ΓΗ�Γ≅� Φ�� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ� Φ�� ���� ΙΙ������ 66� Φ)� � � �����+�∃�������+��(����)���������������������8� ���)��������∀� ������� ���� Analisando os parâmetros, temos: -I : Insere nova regra dentro das existentes no firewall. FORWARD : Utiliza a chain Forward (regra para encaminhamento) -d : Define um host como destino do tráfego -p : Define um protocolo da camada de rede ou transporte --dport : Define a porta de destino. -j : Procedimento a ser executado no caso de ocorrência da regra. =����� ����� �� ��� ���� �� ��(��� � � �������� ��∋�� ��� ����� <������?� �� ��1��(�� ���� ������ ����� ����!���� </4ΑΧ�Α=?� �� ����� � � 0���� ��� ����� �� <∆Ε�∆Ε�∆Ε�∆Ε?�� ∋� ������� ��� ����� �� <ΓΓ?� �� �����∋���� <���?�� #����� ∋����� 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 54 de 136 �� ��������������.�����������∀���������∋�������� ��������ΓΓ� �����Β��� ��� ��/���� � ��� ������ 20. CESPE – TJ-SE/Analista Judiciário – Redes/2014 ��� ���� ����� ������ ���� ����������� ��� ���� �+∃������ ��� ���,����� ��%� ����&���������,�����≅0����������,�����8� ��������������������������∀��� ��������������������������+∃������������������������� �� �����∃�������� ����∋��� ��(�� ����∀� �� � ��� ���,����� ��� ∃����∋�� ���� ��� ���,����� �� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ∀�8������������������%����∋�����������������������,�������%��≅0�� ��8� �����,��������������∀�� � ��� %���� ������ ������∋�� &����������� )��(��� ��� ������ �� ��(���∀� � �� ������������%���� Φ � 8�ΓΗ�Γ≅� Φ�� ΕΧ∀ΕΧ∀ΕΧ∀ΕΧ� Φ�� ���� ΙΙ������ ΒΧ� Φ)� � � �����+�∃�������+��(����)��������������(�����∆�� ���)�����������∀� ������� ���� Mesmos parâmetros da questão anterior. =����� ����� �� ��� ���� �� ��(��� � � �������� ��∋�� ��� ����� <������?� �� ��1��(�� ���� ������ ����� ����!���� </4ΑΧ�Α=?� ����� � � 0���� ��� ����� �� <∆Ε�∆Ε�∆Ε�∆Ε?�� ∋� ������� ��� ����� �� <ΗΕ?� �� �����∋���� <���?�� #����� ∋����� �� ��������� ��1��(��∋�&���������������� �� �Β����� ��&����� �������� ��� ������������(� �� � ��� ������ 21. CESPE – STF/Analista Judiciário – Suporte em TI/2015 ��������������%����Ι������Ι�� ���Γ�#� 0ϑ�Ι�����Χ�Ι)�Κ��Λ#�Γ�≅����,�� ���������−�����������∃����������������������� ����+�������� ����������������Ι��Ι�����∀� ������� ���� Analisando os parâmetros, temos: -t: Define o tipo de tabela que será utilizada. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 55 de 136 -A : Insere a regra no final da tabela. POSTROUTING : Tipo de Nat -o : interface de saída -j : Operação a ser executada na ocorrência da regra. =����� ����� �� ��� ���� �� ��(��� � � �������� ��∋�� ��� ����� �����∀��� �� ��∋��� � ���<−���∃�Α�=�?��������������� ����.�����∋0�(����������� � ����.���Ι ��∋�������)������� �����∋�����Ε�<#���=�#ϑ−��4� ��� �����∋�� ��� �5��5��� �?��� � ������������������� ��������������� ��Κ� � � ��� ��� 5� ∋� ����������� ��������∋��������∋��� ����� �����∋�������� ∋0�(��� � ������� 5�∋� ����������� ��������∋�����(���������∋�� � ������∋��� ����� �����∋������ ����������� ���������� ���� ��� ��� 5� ∋� �������� ��� ��� ��� ��∋����� ���∋��� � ���� �����∋����� ��9������� � ����������� � ��� � ��� ������ 22. CESPE – STF/Analista Judiciário – Suporte em TI/2015 �� ������������%���� Ι�� ���� Ι�� ���Γ�#� 0ϑ� Ι�� ��&Χ� Ι)� �0��� ΙΙ��� 6ΧΧ∀ΕΧ∀ΕΧ∀Ε����+����������������������������−���������∋������������������� ���(���∃���������������&Χ�������� �6ΧΧ∀ΕΧ∀ΕΧ∀Ε∀� ������� ���� Analisando os parâmetros, temos: -t: Define o tipo de tabela que será utilizada. -A : Insere a regra no final da tabela. POSTROUTING : Tipo de NAT -o : interface de saída -j : Operação a ser executada na ocorrência da regra. SNAT : Define um IP fixo de saída (Nat estático) =����� ������� �����������(���� ��������� ��∋�������∀�����#������1��∋�� ��� �����∋����0Ε��=����� ������ ���� �� ���������������(� �����∋0�(��� �������!����������������� �����∋����0Ε������������ �������1����������������� ���ΓΕΕ�∆Ε�∆Ε�∆��� 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 56 de 136 � ��� ������ � 23. CESPE – STJ/Analista Judiciário – Suporte em TI/2015 0�� �� �������%������∋��������������������������������−���������&������� �����(���∀������%�����������∗,������� �� �����∋�������������������(����∃��� ���������������������������������∋��Ι����%���∀� � ������� ���� De fato o IPTABLES trabalha com três tipos de tabelas: filter, nat e mangle. A tabela filter tem como fim armazenar as regras de filtragem do firewall e é a referência padrão do IPTABLES, não necessitando ser explicitada através do parâmetro "-t" no comando.� A tabela NAT armazena informações de mapeamento e tradução de endereços IP. E a tabela MANGLE armazena informações a respeito da manipulação dos pacotes, isto é, caso se deseje alterar alguma flag ou parâmetro destes. ��� ������ 24. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 ��������∋������Μ��(���������������(�������,����+���%��∃����������+��(�� �����∗������ Κ �����������&�Ι��∃����∀� � ����%����Ι���#� #��Ι�������ΙΙ����Ι�;�����&�Ι��∃�����Ι)�≅Γ� � ������� ���� 4���� �� ����������1� ���Β��#�4∃��∃���4�����!�������� ������� ��0��∋� � ����Β��#������(���Κ� � INPUT – Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração. 11576980693 ��������� � �� ��� ��� – ����� �� ������ ����� ����� �� ����� � ���������� ��� � André Castro � ��� � Prof. André Castro www.estrategiaconcursos.com.br Pág. 57 de 136 � OUTPUT – Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall. � FORWARD – Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD. =����� ����� �� ∋� � ��� �� ��(���� ���1� ������ ��� ��� ��� �� ��1��(�� ��� ��)��� (������ ����� ��9����� ����!���� �� ��� �������� ����� �� ���� ��� ����� � ��� �������� � ���Λ����� Λ����������!������������ ���������������������� ���Β��#�/4ΑΧ�Α=�� � �� ��������� ����������� � ∋���������&��� ∋� ���������� ���� ��∋������ ����� ��������������)���� ����∀����� ����������∋���∋���� ����������)������ ��(�����(� ���������������������������� ��� ������� ��� ������� ������ ����� 25. CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 �� �������� ��������� ��
Compartilhar