Baixe o app para aproveitar ainda mais
Prévia do material em texto
Livro Eletrônico Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital André Castro Inserir aqui o nome do Curso www.estrategiaconcursos.com.br 1 94 X.500 e LDAP ..................................................................................................................... 2 X.500 ........................................................................................................................................... 3 LDAP ............................................................................................................................................ 4 Active Directory – AD ....................................................................................................... 11 Serviços de Autenticação ................................................................................................. 15 RADIUS ...................................................................................................................................... 16 TACACS ...................................................................................................................................... 16 Kerberos .................................................................................................................................... 17 NFS, SAMBA e CIFS .......................................................................................................... 19 NFS (Network File System) ........................................................................................................ 19 CIFS (Common Internet File System) ......................................................................................... 21 SAMBA ...................................................................................................................................... 22 EXERCÍCIOS COMENTADOS .............................................................................................. 27 X.500 e LDAP ................................................................................................................................... 27 Active Directory ............................................................................................................................... 36 NFS ................................................................................................................................................... 37 Samba .............................................................................................................................................. 39 CUPS ................................................................................................................................................ 43 EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 44 X.500 e LDAP ................................................................................................................................... 44 Active Directory ............................................................................................................................... 54 NFS/CIFS/SAMBA ............................................................................................................................. 61 LISTA DE EXERCÍCIOS ....................................................................................................... 69 X.500 e LDAP ................................................................................................................................... 69 Active Directory ............................................................................................................................... 73 NFS ................................................................................................................................................... 73 Samba .............................................................................................................................................. 74 CUPS ................................................................................................................................................ 76 LISTA DE EXERCÍCIOS COMPLEMENTARES ........................................................................ 77 X.500 e LDAP ................................................................................................................................... 77 Active Directory ............................................................................................................................... 82 NFS/CIFS/SAMBA ............................................................................................................................. 86 André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 2 94 GABARITO ....................................................................................................................... 90 Gabarito – Questões CESPE ............................................................................................................. 90 Gabarito – Questões FCC ................................................................................................................. 92 X.500 E LDAP Vamos comentar agora a respeito de um conceito muito presente no nosso dia a dia que é o serviço de diretório. É um conteúdo que tem caído nas provas de maneira simples e objetiva, como veremos nas questões. Antes de entendermos o serviço de diretório, temos que saber que podemos administrar os recursos de uma rede de duas formas: descentralizada ou centralizada. Uma forma de administração descentralizada é o Grupo de Trabalho, ou Workgroup. Como a figura exemplifica, nele cada máquina é administrada localmente (ponto a ponto), ou seja, para um usuário utilizar os recursos (arquivos, impressoras, etc.) terá que possuir uma conta na base de dados local (SAM) Esse modelo de administração descentralizada pode ser interessante para redes de pequeno porte. À medida que se cresce o número de recursos, a complexidade de administração também cresce, e em uma relação exponencial. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 3 94 Então, chegamos à nossa questão: o que é serviço de diretórios? Nada mais é do que um serviço de criação e manutenção de um repositório (base de dados) de informações sobre os diversos objetos de uma rede, organizados segundo um critério que facilite sua consulta. Entende-se por objeto quaisquer recursos presentes na rede como usuários, dispositivos, serviços, grupos, entre outros. Essas informações podem constar nomes de usuários, senhas, e-mails, descrições, dados auxiliares, entre outros. O diretório em questão pode ser tanto um banco de dados relacional, como um arquivo de texto ou até mesmo um diretório no conceito de “pasta” de um Sistema Operacional. Uma característica importante do diretório é que este foi constituído para suportar um grande volume de consultas, porém um baixo volume de inserções e modificações. X.500 O X.500 é um protocolo extremamente pesado que trata do acesso aos serviços de diretórios por ser modelado e adequado ao modelo OSI. Assim, já adianto que o X.500 não é o protocolo responsável pela definição do serviço de diretórios, mas tão somente do acesso a essas informações. Veremos que o LDAP segue o mesmo princípio. Podemos dizer, portanto, que o X.500 define a forma de conexão, acesso e integração de diversos sistemas e servidores locais com as informações de diretórios, formando um grande sistema global distribuído, permitindo consulta pelos demais elementosde rede à sua base de dados dos objetos da rede. Esses objetos referenciam os próprios equipamentos, os usuários da rede e serviços de uma forma geral, contemplando serviços de hardware, software e de rede. Pode-se vincular ainda questões de autorização e privilégios associados a estes objetos frente aos recursos disponíveis. Algumas bancas tentam confundir o candidato apresentando o protocolo X.509. Este protocolo faz parte da família do X.500, porém com uma atuação bem específica voltado para a segurança. Trata da infraestrutura de chaves pública (ICP ou PKI). Este modelo de segurança pode ser devidamente incorporado na implementação do X.500. Outros conceitos que são abordados pelas bancas são os agentes e processos. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 4 94 O agente de usuário é o processo responsável por promover a interação do usuário com o diretório. Este se responsabiliza por formatar as consultas e requisições, bem como visualizar as respostas às consultas realizadas aos agentes do sistema de diretório. O agente de sistema de diretório, é responsável por fornecer as respostas às requisições feitas pelos agentes de usuário de diretórios. Pode atuar de forma recursiva ou iterativa como o protocolo DNS nos casos de não saber a resposta. Esses conceitos se aplicam tanto ao padrão X.500 quanto ao protocolo LDAP. LDAP O LDAP (Lightweight Directory Access Protocol) é um protocolo de acesso ao serviço de diretório otimizado para leituras e buscas. Atualmente se encontra em sua terceira versão – LDAPv3 e atua na porta 389/TCP. Logo, utilizando o protocolo TCP, temos que o cliente e servidor estabelecem uma conexão e abrem uma sessão entre eles antes da troca das mensagens. Pode-se implementar o LDAP também em modo seguro através da utilização do protocolo SSL. Mesmo raciocínio do HTTPS. No caso do LDAP, ao ser utilizado no modo seguro, chamamos de LDAPS. Nesse caso, passa-se a utilizar a porta 636. Importante mencionar que o servidor pode ser configurado para suportar tanto o modo padrão quanto o modo seguro, cabendo ao cliente escolher a porta e o método a ser utilizado. O LDAPv3 já é projetado para uma quantidade maior de leituras do que escritas. Utiliza a estrutura em árvore de domínios relacionais (DIT – Directory Information Tree) baseada no protocolo X.500. É um protocolo simplificado desenvolvido para operar na arquitetura TCP/IP no modelo cliente/servidor. Importante mencionar que não há perda de funcionalidades na prática por ele ser simplificado quando comparamos com o X.500. Assim, podemos dizer que o LDAP é um protocolo simples e leve que visa amenizar a estrutura rígida e burocrática definida pelo padrão X.500, este acaba por exigir uma maior capacidade de processamento dos servidores e gera maior overhead na rede. Os objetos e diretórios a serem mapeados na estrutura do LDAP podem se utilizar do protocolo DNS para registro de domínios. A figura a seguir nos traz uma representação gráfica dos dois padrões em relação às camadas do modelo OSI e arquitetura TCP/IP: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 5 94 Os pontos elencados acima resolvem diversas questões a respeito do LDAP. Portanto, atentem-se ao que acabamos de comentar. O LDAP também possui recursos de autenticação e autorização, além da capacidade de tratar critérios de confiabilidade e integridade das informações. É um protocolo que utiliza o conceito de comunicação assíncrona, sendo multiplataforma. Lembrando que é baseado na arquitetura TCP/IP, temos que é um protocolo ou padrão aberto. Por manter uma base de informações centralizadas em servidores (sejam eles únicos ou hierárquicos/compartilhados) com as informações de usuários e senhas, o LDAP permite o armazenamento seguro dessas informações, de tal modo que, caso o arquivo seja violado, essas informações não sejam acessadas facilmente. Assim, pode-se armazenar as senhas em texto claro, criptografadas ou em algoritmos HASH, permitindo a interoperabilidade entre diversos sistemas. O padrão utilizado para o algoritmo HASH é o MD5. Outro ponto a respeito do protocolo LDAP é que este possibilita a um mesmo usuário possuir mais de uma senha em diferentes formatos. No momento de autenticação, será verificado todas as possibilidades das senhas armazenadas para determinado usuário. Caso haja o "match" ou o “batimento” em alguma delas, considera-se o usuário autenticado e autorizado a utilizar determinados recursos. É importante ressaltar que o LDAP não define a estrutura em si do serviço de diretório. Como a tradução de seu mnemônico nos traz, é um protocolo que vai tratar do acesso à essa base de dados. Ainda assim, diversas bancas apresentam em seus enunciados o seguinte trecho: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 6 94 “ O LDAP é um protocolo de serviços de diretórios ...” Logo, estejamos atentos que na maioria absoluta dos casos, não é esse o ponto chave em que o examinador espera que você avalie a questão. O protocolo LDAP possui plena integração com o Active Directory – AD - da MICROSOFT, até porque, o próprio AD utiliza o protocolo LDAP em sua implementação. A implementação em código aberto do LDAP se dá através do serviço OpenLDAP. O OpenLDAP possui bancos de dados próprios desenvolvidos especificamente para sua aplicação, a saber: LDBM e BerkeleyDB. Entretanto, há o suporte a banco de dados relacional, porém, não existe uma restrição ou obrigatoriedade no uso de apenas um deles. O OpenLDAP suporta diversos tipos de autenticação, dentre eles, podemos citar os tipos: Anônimo, Simples e SASL. Outra característica do LDAP é o fato deste ser multiplataforma. A sua configuração se dá a partir do arquivo slapd.conf, sob o diretório padrão: /usr/local/etc/OpenLDAP/slapd.conf No lado do cliente, configura-se o arquivo ldap.conf no diretório: /usr/local/etc/OpenLDAP/ldap.conf Comentando um pouco mais a respeito da estrutura hierárquica do LDAP, é importante mencionar que uma árvore é composta por vários domínios, isto é, as árvores compartilham as funções que são distribuídas entre os diversos domínios. Dentro dos domínios, pode-se ter ainda subdomínios, bem como unidades organizacionais. E na ponta desses domínios ou subdomínios ou unidades organizacionais, tem-se os objetos a serem acessados. Na imagem a seguir temos uma representação de uma possível distribuição e organização da árvore em seus domínios até se chegar no objeto. Percebam a semelhança na estruturação em relação ao DNS. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 7 94 Dessa forma, podemos apresentar o seguinte trecho resumo: A estruturação das informações dos objetos em uma base de dados segue a definição do serviço de diretório de determinado ambiente. Após essa definição, a disponibilização dessas informações e como elas serão fornecidas ou acessadas, bem como atualizadas, é papel do LDAP. Uma vez que esta estrutura está definida e implementada no servidor, bem como a forma de acesso através do LDAP, cabe ao cliente simplesmente mapear esta unidade em sua estação ou sistema e realizar as consultas ou requisiçõesconforme definição do protocolo LDAP e não conforme a implementação do serviço de diretórios do servidor. Temos aqui a descrição constada na introdução da RFC 2251 que especifica o LDAP: “This document describes a directory access protocol that provides both read and update access.” Avançando ainda a respeito de alguns pontos sobre o LDAP, temos os parâmetros comuns ou tipos de atributos definidos na RFC 2256 que compõem o nome de domínio de cada objeto em sua estrutura hierárquica. São os principais: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 8 94 • ObjectClass – Parâmetro presente em todo registro. Descreve a classe ou tipo de objeto registrado, como sendo um host, dispositivos, serviços, entre outros. • AliasObjectName – É um nome de referência (apelido) para o objeto. • CN (Common Name) – É um atributo proveniente do X.500. Contém efetivamente o nome do objeto, podendo ser complementado por outros nomes, como o SN a seguir. Se corresponder a um host ou pessoa, esse campo pode ser preenchido com o nome completo ou parcial da pessoa. Caso seja um serviço, pode-se ter o nome completo ou parcial do serviço. • SN (Sur Name) – Mais um atributo proveniente do X.500. Pode representar um nome de família que complemente o campo CN visto anteriormente para o caso de usuários. De maneira prática, diz-se que é um sobrenome. • C (Country Code) – Um valor de dois dígitos que representa o número de localização do país. • O (Organization Name) – Este atributo contém o nome da Organização. • OU (Organization Unit Name) – Contém o nome da unidade organizacional a qual o objeto pertence dentro da organização. Algo semelhante a um departamento financeiro ou de RH. • DC (Domain Component) – Podem ser utilizados vários DC’s em um mesmo nome. O objetivo aqui é definir as raízes dos nomes na falta ou não utilização dos demais parâmetros. Pode-se utilizar nomes de empresas, departamentos, domínios DNS, entre outros, para complementação. Uma lista completa pode ser obtida no link: http://www.ietf.org/rfc/rfc2256.txt. O sequenciamento desses parâmetros define o nome completo de registro de qualquer objeto, também conhecido como DN (Distinguished Name). Segue sempre a regra, da esquerda para a direita, dos parâmetros mais restritivos para os mais genéricos. Cada DN possui uma identificação única de modo totalmente qualificado a ser identificado na estrutura da árvore. Desse modo, dizemos que as entradas na árvore DIT é organizada segundo cada DN. Vale mencionar que algumas bancas gostam de referenciar à estrutura do LDAP como árvore invertida, estando devidamente correto no sentido de que a raiz de uma árvore de verdade em regra vai de baixo para cima, enquanto o LDAP, vai de cima para baixo. Outro conceito é o de RDN (Relative Distinguished NAME) que podemos entender como ramos dessa árvore. Logo, o DN pode ser composto por diversos RDN’s. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 9 94 Como todo serviço ou protocolo baseado na arquitetura cliente-servidor, temos uma lista de possíveis mensagens e suas funções que são padronizadas pelo protocolo. No LDAP não é diferente e algumas bancas exploram o conhecimento desses pontos. Portanto, vamos conhecer os principais: BIND (Autenticar) - Utilizado para autenticar o cliente no servidor através de seu DN (Distinguished Name). Deve ser uma conexão segura para que possa ser enviado o nome do domínio, nome de usuário e password. É informado também a versão do protocolo LDAP que será utilizado. UNBIND (Encerramento) - Encerra uma sessão LDAP. SEARCH (Busca) - Comando para que o servidor busque e responda com as entradas dos diretórios que atendem aos critérios definidos na busca. COMPARE (Comparação) - Faz a validação através de teste de um atributo e o valor referente ao domínio informado. ADD (Adicionar) - Adiciona uma nova entrada no diretório. MODIFY (Modificar) - Altera uma entrada existente. DELETE (Apagar) - Exclui uma entrada existente. MODRDN (Modificar RDN) - Renomeia uma entrada existente. O servidor recebe o nome de domínio e o novo RDN a ser definido. StartTLS – Comando que inicia a criação de um túnel seguro (TLS/SSL) no qual trafegarão as informações criptografadas. Vale mencionar que o servidor LDAP processará cada mensagem ou requisição individualmente. Algo semelhante ao protocolo HTTP. Em servidores UNIX-LIKE, temos o pacote SLAPD com seu arquivo de configuração no diretório /ETC/LDAP/SLAPD.confi. Este pacote contém uma estrutura padrão do LDAP armazenada no arquivo core.schema. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 10 94 Algumas questões abordam de forma mais detalhada a estrutura de pesquisa do LDAP. Desse modo temos os seguintes conceitos: 1. WhitePages: Sabendo o nome do objeto que será requisitado determinado acesso de escrita ou leitura, pode-se buscar exatamente pelo conteúdo. (Analogia à uma lista telefônica em que se busca pelo nome para obter demais informações de contatos). 2. YellowPages: Caso não seja conhecido o nome do objeto, pode-se utilizar de características ou informações a respeito do objeto desejado. Assim, realiza-se uma busca com esses parâmetros. (Analogia à uma consulta no caderno de plano de saúdo para se obter informações de um médico em determinada área de especialização). André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 11 94 ACTIVE DIRECTORY – AD Sendo adotado um modelo de administração centralizado em redes com sistemas Microsoft, surgem diversos conceitos, muitos deles semelhantes ao que já vimos. Desse modo, se faz necessária a instalação de um servidor de domínio como o Windows 2008 Server neste ambiente. Mas o que vem a ser esses conceitos? • Domínio é uma estrutura (container) lógica para facilitar a gestão dos recursos da organização. Um domínio pode conter usuários, grupos, computadores e outras unidades organizacionais. O domínio se aplicaria em um escopo como uma organização ou a um setor, por exemplo. O domínio é um limite administrativo estruturado de forma hierárquica em que todos os seus objetos compartilham um mesmo espaço de nomes (name space – podemos usar como Um outro ponto que pode vir a ser cobrado em prova são os tipos de armazenamento, também conhecidos como modelos de armazenamento das informações nos diretórios, derivados do padrão X.500. São eles: - Modelo de Nomes: Este modelo é o responsável por tratar a organização da árvore DIT, como os RDN’s e DN’s. - Modelo de Informações: Este modelo é responsável por tratar aspectos informacionais dos objetivos, como atributos, schemas, classes, entre outros. - Modelo de Segurança: Aqui são abordados os pontos de segurança como autenticação e autorização de acesso. - Modelo Funcional: Aqui se definem os métodos ou ações que serão permitidas em cada diretório, bem como as ferramentas que poderão ser utilizadas. Define-se, portanto, como as informações serão acessadas e o que poderá ser feito com elas. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André CastroAula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 12 94 analogia um domínio de internet, no qual todos os domínios filhos compartilham um determinado sufixo). • Uma Unidade Organizacional também é um container utilizado com a mesma finalidade que o domínio, porém se aplica em um escopo menor. Uma Unidade Organizacional pode ser criada dentro de um domínio ou dentro de outra OU, e seu uso é facultativo. Em uma OU podemos ter usuários, grupos, computadores e outras unidades organizacionais. As Unidades Organizacionais (OU) são uma forma de controle administrativo. Distribuir os objetos em Unidades Organizacionais permite o controle de administração em vários níveis e facilita a administração. Atentem que as Unidades Organizacionais não guardam necessariamente relação com a estrutura organizacional. • Uma árvore é uma estrutura lógica mais abrangente que o domínio. A árvore é criada quando é criado um domínio. Todos os domínios da mesma árvore compartilham informações e recursos. Os domínios em uma árvore são unidos através de relações de confiança transitiva bidirecional. Uma relação de confiança significa que o Domínio A confia em B, e o domínio B confia em A. • Floresta é um grupo de uma ou mais árvores. A floresta fornece recursos de segurança, convenções, confianças e GLOBAL CATALOG. Criar uma floresta é a maneira de organizar as árvores e manter os esquemas separados O GLOBAL CATALOG tem como objetivo integrar e concentrar informações dos objetos entre domínios diferentes em sistemas multidomínios. Ele possui informações parciais ou totais de cada domínio o que permite buscas interdomínios sem as informações de toda a hierarquia dos dados que se busca. • Os grupos são os tipos de objetos que podem conter computadores, usuários ou outros grupos, e permitem atribuir permissões aos recursos. A figura abaixo traz mais informações sobre grupos. • Já o Group Policy Object (GPO) contém regras e diretivas que são aplicadas a usuários, domínio e unidades organizacionais. Nessas regras pode-se ter aspectos de segurança e controle através do permissionamento de acesso e direito de conta. O Active Directory (AD) é um serviço de diretório para sistemas operacionais Microsoft Windows Server, posteriores à versão 2000, incluindo o Windows Server 2008. Vale mencionar que existem módulos de compatibilidade para recursos de segurança das versões anteriores. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 13 94 Nem todas as versões do Windows Server 2008 podem ser controladores de domínio, por exemplo a versão Web Server. Outro importante ponto é que o Active Directory depende totalmente do serviço DNS para a resolução de nomes dos objetos do domínio. O Active Directory é criado quando criamos um Domínio. Não é possível criar um domínio antes de instalar o AD. Após a criação do domínio, o servidor no qual é criado o domínio passa a ser chamado de Controlador de Domínio. O Active Directory mantém dados como contas de usuários, impressoras, grupos, computadores, servidores, recursos de rede, etc. Cada recurso é chamado de objeto, ou seja, no AD, objeto é todo recurso da rede representado no AD. Cada objeto possui propriedades ou atributos dos objetos. Cada objeto também possui um nome de identificação único conhecido como CN – Canonical Name, semelhante ao conceito de DN (Distinguished Name) do LDAP. Um ponto a se esclarecer é que podemos ter o mesmo nome de objeto em domínios diferentes, isto é, posso ter um professor André Castro em uma OU = Engenharia e outro professor André Castro em uma OU = Saúde. Quando for formado o CN a partir da junção dos diversos parâmetros, teremos, nomes únicos e exclusivos. A base de dados de objetos do AD é armazenada em um arquivo chamado NTDS.dit, localizado no diretório padrão %SystemRoot%\NTDS\ntds.dib , onde todos os recursos são armazenados. Os computadores clientes do Active Directory fazem buscas na base de dados do AD utilizando o protocolo Lightweight Directory Access Protocol (LDAP). Um ponto que chama a atenção é a diferença entre AD e Domains Controller. O primeiro diz respeito à organização lógica, enquanto o segundo, à organização física. A figura abaixo nos dá uma ideia dessa representação A estrutura física do AD consiste em Domain Controllers – DC - e Sites. A estrutura física do AD é totalmente independente da estrutura lógica do AD. A estrutura física é responsável por otimizar o tráfego de rede e manter segurança em locais físicos distintos. Os DC’s mantêm uma cópia da biblioteca NTDS.dit de tal modo que a falha de um DC não compromete a estrutura, conforme imagem abaixo: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 14 94 A estrutura lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de Domínio e Floresta. Utilizamos a estrutura lógica do AD para podermos gerenciar os objetos dentro da organização. O Active Directory integra a segurança e o controle de acesso a objetos no diretório. A administração centralizada facilita o gerenciamento nas redes maiores e mais complexas. A administração centralizada é realizada por meio de um conjunto de regras chamado de esquema que determina inclusive quais padrões de nomes e escritas serão permitidos, como os tipos de arquivos e dados, para cada objeto ou classe. Todo novo objeto é validado de acordo com as regras existentes no esquema. O esquema de objetos é modelado de acordo com o padrão X.500 da International Standards Organization (ISO) para serviços de diretório. Outro conceito que aparece em provas em relação a uma estrutura redundante de alta disponibilidade para o AD. Desse modo, teremos um servidor AD como Controlador de Domínio central e outro servidor redundante conhecido como RODC (Read Only Domain Controller). Dessa forma, todas as informações gravadas do Controlador de Domínio são replicadas para o RODC. Este arranjo permite um alto grau de segurança. É importante mencionar que o fluxo é sempre unidirecional, ou seja, sempre do Controlador principal para o RODC, não havendo fluxo no sentido contrário. Essa característica agrega uma camada de segurança no seguinte sentido: caso o servidor RODC seja comprometido por um MALWARE, este não poderá divulgar informações falsas para o controlador de domínio. Para os critérios de autenticação, o Controlador de Domínio utiliza o protocolo KERBEROS. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 15 94 SERVIÇOS DE AUTENTICAÇÃO A autenticação é um dos princípios de segurança que são fundamentais em qualquer ambiente que zele controle de seus dados e aplicações. Diversos serviços utilizam ferramentas que possibilitam a implementação dos recursos de autenticação em corporações. A autenticação está presente até mesmo no nosso simples acesso aos dispositivos pessoais, como computadores, celulares, entre outros. Entretanto, quando falamos de ambientes corporativos, devemos considerar diversos aspectos que possibilitam a implementação de uma solução automatizada e versátil frente às necessidades dos diferentes serviços que necessitam desse recurso. Podemos citar alguns serviços presentes no nosso dia a dia que dependem da autenticação, quais sejam: acesso a rede sem fio, acesso remoto à rede corporativa (VPN), entre outros. Entretanto, o serviço de autenticaçãotraz agregado consigo outras funções e recursos muito importantes, como a autorização e a auditabilidade. O primeiro corresponde ao fato de que determinado usuário ou serviço dependerá da devida validação de suas credenciais para verificar se este pode ou não acessar determinado recurso. Ou seja, agora, não basta simplesmente ser um usuário válido no sentido de autenticação, mas deve-se ter autorização para tal recurso. Como exemplo, podemos citar o fato de se ter permissão para ler informações de um diretório, porém, não há permissão para modificar ou criar informações em um diretório. Conforme mencionamos, temos ainda o aspecto da auditabilidade que permite o registro das ações dos usuários de tal forma que permita o rastreamento para identificação de falhas ou atos indevidos com seus respectivos responsáveis. O conjunto dessas três características conceitua o termo AAA (authentication, authorization e accounting). A seguir, discutiremos alguns serviços de autenticação que são bastante utilizados nos diversos ambientes de rede das corporações. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 16 94 RADIUS O RADIUS (Remote Authentication Dial in User Service) foi um dos primeiros serviços de autenticação remota criado. É um protocolo de rede baseado na arquitetura cliente-servidor. Provê serviços e recursos de AAA para usuários e dispositivos em uma rede. Roda basicamente sobre o protocolo UDP no sistema de requisições e respostas. Usa a porta 1812 para tratar autenticação e autorização e a 1813 para comunicação de mensagens de auditoria. O fluxograma funciona basicamente da seguinte forma: 1. O usuário faz a requisição a determinado recurso na rede que está em um servidor de serviços. 2. Esse servidor de serviço faz uma consulta ao servidor RADIUS para autenticar, autorizar e gerar registros daquele usuário para o serviço específico. Desse modo, a ideia é que o servidor de determinado serviço passe a funcionar como cliente em uma consulta ao servidor RADIUS. A figura abaixo traz uma visão bem simplista do arranjo desse protocolo: TACACS André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 17 94 O TACACS possui os mesmos princípios de funcionamento do RADIUS. Foi criado incialmente para prover um meio de autenticação para acesso a linhas dial-up (discada). Em sua versão original e padrão o TACACS provia apenas recursos de autenticação. Como o TACACS em sua versão nativa era um tanto limitado, a empresa CISCO desenvolveu então padrão XTACAS, incorporando recursos de auditoria e logs detalhados de acesso. Ainda seguindo o avanço desse padrão, foi criada a versão mais atual e usada até hoje, conhecida como TACACS+. Também é uma versão proprietária da CISCO, com um pequeno detalhe, esta versão não é compatível com as demais versões devido a formatação das mensagens trocadas. Este incorpora códigos adicionais de requisição e resposta. Um detalhe importante é que o TACACS roda sob o TCP em sua porta 49. KERBEROS Esse protocolo é baseado em uma estrutura de troca de chaves a partir de um modelo de concessão de tickets para se utilizar recursos na rede após sua autorização em ambientes com arquitetura cliente/servidor. É a base de autorização de ambientes que trabalham com Active Directory e controladores de domínio. Também é utilizado em ambientes UNIX. Foi criado pelo MIT no início da década 80 e tinha como foco a criação de um ambiente computacional distribuído para uso educacional. Atualmente é padronizado pela RFC 4120, sendo então de código aberto. Uma característica presente no protocolo Kerberos é que este trabalha com autenticação única, ou seja, uma vez autenticado, pode-se utilizar recursos diferentes sem que seja necessária uma nova autenticação. Tal condição é possível pois o Kerberos utiliza um mecanismo de confiança estabelecido pelo servido de autenticação da rede. Outra característica extremamente importante é que a autenticação realizada é mútua. Temos então que tanto o cliente quanto o servidor devem fornecer credenciais para validarem suas identidades, evitando, assim, ataques do tipo Man in the Middle. A sua arquitetura básica utiliza três componentes, quais sejam: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 18 94 • Centro de distribuição de Chaves (KDC) – Emite tickets que provam a identidade do usuário. Utiliza as portas TCP 88 ou UDP 88. • Serviço de Autenticação (AS) – Responsável pelo processo de autenticação do usuário. • Serviço de Emissão de Ticket (TGS) – Emite tickets de acesso aos recursos e serviços a serem utilizados pelo usuário. A ideia básica de funcionamento segue os passos abaixo: 1. O usuário autentica-se no AS. O AS envia tais informações para o KDC que emite um Ticket (TGT) que possui estampado a data e hora da requisição e permissão, com o devido prazo de validade. 2. Envia-se esse Ticket para o usuário dando-o permissão para acessar os serviços. 3. Em seguida, o usuário envia o TGT ao TGS para validação, requisitando uma chave de sessão para determinados serviços. 4. O TGS emite o ticket de acesso (chave de sessão ou ST) e envia tanto para o usuário quanto para o servidor, sempre criptografados. É importante ressaltar que o servidor Kerberos conhece as chaves públicas de todos os usuários e serviços de tal forma que é possível enviar a informação de um modo seguro. 5. O usuário apresenta a ST ao servidor de aplicação, que, após validar com a sua chave de sessão recebida no passo 4, permite acesso ao serviço. O procedimento acima está representado na figura abaixo: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 19 94 Adicionalmente, o Kerberos também poder fornecer recursos que visem garantir a integridade e confidencialidade dos dados trocados entre cliente e servidor. NFS, SAMBA E CIFS Falaremos agora de algumas aplicações que servem como base para o gerenciamento e compartilhamento de arquivos em uma rede de computadores. A necessidade de se manter um ambiente de dados compartilhados é imensa. Isso nos possibilita a concentrar recursos em grandes servidores de armazenamento de dados, nos possibilita trabalhar com controles de versionamento dos arquivos, trabalhar com restrição de acesso centralizado a determinados dados e principalmente, nos auxilia a concentrar o ponto de atenção para a realização de backups dos dados armazenados. NFS (NETWORK FILE SYSTEM) Como o próprio nome já diz, o NFS permite a montagem de uma estrutura completa de sistemas de arquivos remotos ou distribuídos sobre uma rede com arquitetura TCP/IP. Foi desenvolvido originalmente pela empresa SUN Microsystems. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 20 94 A ideia básica é permitir um cliente remoto acessar o sistema de arquivos de um servidor qualquer como se estivesse em sua própria máquina local. Creio que muitos de nós utilizamos esse recurso em nossos ambientes corporativos, onde geralmenteo nosso chefe sempre fala: “Já colocou a minuta do documento no nosso sistema de arquivos? ” Bom, o NFS permite tal implementação. O NFS foi construído sobre o RPC (Remote Procedure Call), sendo assim um padrão aberto definido em RFC. Atualmente o NFS se encontra em sua versão 4: NFSv4. Alguns comentários breves a respeito da evolução do NFS. Em sua versão 2, o NFS apresentava uma série de limitações. Entre elas, podemos citar o suporte apenas de sistemas de arquivos em 32 bits, implicando em um tamanho máximo de arquivo para leitura de 2 GB. Operava apenas sobre o protocolo UDP, ou seja, era um sistema sem estado de conexão. Já em sua versão 3, o NFS apresentava suporte a sistemas de 64 bits. Logo, suportava arquivos maiores do que 2 GB. Possui a capacidade de se realizar escritas de forma assíncrona ampliando o desempenho do sistema. Surgiu ainda o suporte ao protocolo TCP como protocolo da camada de transporte. E por fim, em sua versão 4, de fato o IETF assumiu a responsabilidade do padrão NFS. Critérios de segurança foram implementados e a utilização do TCP passou a ser mandatória, sendo chamado agora de um protocolo statefull. Algumas extensões continuam a ser desenvolvidas para o NFS. Como exemplo podemos citar a versão 4.1 que incluiu recursos para trabalhar com servidores em cluster, aumentado o desempenho em consultas através da paralelização das respostas (pNFS), permitindo acesso distribuído entre os servidores. NFSv2 NFSv3 NFSv4 Sistema de Arquivos 32 bits 64 bits 64 bits Tamanho máximo Até 2 GB >2GB >2GB Protocolo de Transporte UDP TCP/UDP TCP O NFS foi desenvolvido para operar em ambientes UNIX-LIKE. Desse modo, alguns protocolos complementares, como o SMB, podem ser utilizados para prover a integração com outros sistemas. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 21 94 Na prática, tem-se que o SMB é mais amplamente utilizado do que o NFS justamente por suportar uma gama de opções de sistemas. Em termos operacionais, deve-se configurar o servidor NFS para compartilhar seus diretórios na rede com as regras de permissionamento bem definidas. Essas configurações são feitas nos arquivos de configuração do servidor NFS, informando quais diretórios deverão ser exportados e visualizados. Isso se dá através do arquivo /etc/exports. Aqui temos um exemplo de um arquivo de exportação com a permissão de leitura e escrita (RW) nos dois primeiros diretórios e de apenas leitura (RO) no terceiro diretório. Reparem que o termo “cliente” deverá ser substituído pelo nome do host ou IP, podendo ser inclusive um faixa de endereço IP ou domínio DNS: /home/trabalhos cliente (rw) /home/músicas andre.castro(rw) /home/vídeos 192.168.1.0/255.255.255.0(ro) Uma vez que se tem os diretórios mapeados e sendo exportados na rede, o cliente precisa realizar também a sua configuração para passar a enxergar esse diretório como se fosse local. Dizemos então que o cliente deverá “montar” o diretório em seu sistema. Esse procedimento pode ser feito de forma permanente no arquivo /etc/fstab. Alguns parâmetros são bastante utilizados para configuração no lado do servidor. Vamos conhecer alguns deles: - secure: Exige que os pedidos se originem em porta menor que 1024. - noaccess: Tudo que se encontra abaixo do diretório estará inacessível. CIFS (COMMON INTERNET FILE SYSTEM) Seguindo a mesma linha do NFS, foi criado o CIFS. O CIFS foi criado para gerenciamento e compartilhamento de arquivos e diretórios em ambientes WINDOWS. Segue a mesma estrutura de cliente/servidor do NFS. O CIFS é um padrão aberto e público que foi criado a partir da implementação do SMB (Server Message Block Protocol), este desenvolvido pela própria Microsoft. Destaque para a porta 445 utilizada pelo protocolo. O CIFS e o NFS são a base dos sistemas de arquivos utilizados pelo dispositivo NAS de armazenamento em rede. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 22 94 Como protocolos da camada de transporte, diz-se que o CIFS utiliza o NetBIOS do Windows sobre o TCP, conhecido como (NBT) – portas 137 a 139. Vale lembrar que o NetBIOS era o modelo de identificação dos dispositivos WINDOWS na rede a partir de nomes e não de números. SAMBA O SAMBA nada mais é do que a implementação do protocolo SMB/CIFS para sistemas UNIX-LIKE. Desse modo, sistemas UNIX podem enxergar e fazer parte do compartilhamento de arquivos feitos em sistemas WINDOWS. Assim, pode-se incluir um servidor UNIX para compartilhamento e gerenciamento de arquivos em uma rede formada por dispositivos MICROSOFT, uma vez que o SAMBA permite a interpretação e envio de mensagens SMB. Vale inclusive mencionar que os controladores de domínio do Windows (Active Directory) e do Linux (Samba) possuem interoperabilidade, podendo integra-se com o Windows Server Domain, tanto no modo controlador primário como membro de domínio. Algumas questões têm abordado alguns aspectos de instalação, configuração e comandos do SAMBA. Desse modo, vamos comentar a respeito. O samba é encontrado nos repositórios de ambientes UNIX sob o daemon smbd. Para se verificar a versão do SAMBA instalado, pode-se utilizar o comando “smbd –V”. O arquivo de configuração padrão do SAMBA e seu caminho é: /etc/samba/smb.conf A seguir temos um exemplo de um arquivo de configuração do: #==================== Global Settings ======================= [global] workgroup = COMPUTACAO server string = Samba Server %v NetBIOS name = samba security = user map to guest = bad user dns proxy = no #==================== Diretório Publico ====================== [aula] path = /home/aula valid users = @publico browsable =yes writable = yes guest ok = yes read only = no #==================== Diretório Restrito ===================== André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 23 94 [install] path = /home/install valid users = @administrador guest ok = no writable = yes browsable = yes Os principais parâmetros que merecem destaque nesse arquivo é a configuração global através do mapeamento do servidor na rede e principalmente da configuração dos diretórios nos dois blocos a seguir. Analisando a sessão de DIRETORIO PUBLICO, podemos ver a identificação do mapeamento [aula] será como o mapeamento será identificado e mostrado na rede, sendo que o diretório a ser mapeado está no parâmetro “path = /home/aula/”. No campo “Valid Users” pode-se definir quais usuários ou grupos poderão ter acesso ao diretório em questão. Outra possibilidade de restrição é através do parâmetro “hosts allow” em que se pode definir endereços IP que serão permitidos o acesso. Já o parâmetro “guest ok = yes”, permite que qualquer um tenha acesso ao diretório. Este é muito utilizado para distribuição de arquivos de atualização para os usuários. O parâmetro “available=yes” é um valor padrão e por isso não aparece. Caso ele seja mudado para “no”, tem-se que o diretório ficará congelado e não acessível, apesar de estar todo configurado. O parâmetro “Browsable=yes” define que o mapeamento estará disponível na rede sendo visível. Caso se mude para “no”, será um mapeamento oculto e deverá ser mapeado pelo cliente de forma manual. O parâmetro “Writable=yes” permite a leitura e escrita no diretório. Caso seja mudado para “no”, será permitido apenas a leitura.Falando ainda sobre algumas características e implementações no arquivo de configuração, temos a possibilidade de se utilizar variáveis de substituição, que nada mais são do que expressões regulares que possibilitam a recuperação de informações em relação a diversos aspectos. Como exemplo, podemos citar a configuração do path da seguinte forma: “path = /tmp/%u”. Nesse caso, interpreta-se como a variável %u como o usuário conectado. Caso o usuário seja andre, teríamos o arquivo como /tmp/andre. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 24 94 Assim, listo abaixo as principais variáveis: Lista de variáveis %u Nome de sessão do usuário %g Nome do grupo primário do usuário %u %h O hostname na Internet do servidor onde está rodando o samba %a A arquitetura da máquina remota que está conectando. %i Endereço IP do cliente %T A data e horário corrente %m O nome NETBIOS da máquina do cliente Como há uma série de parâmetros e configurações a serem respeitadas no arquivo de configuração, foi desenvolvido uma aplicação capaz de validar essas configurações, chamado de TESTPARM. Como todo serviço implementado em Unix, temos os daemons que são os programas que de fato se mantêm operacional como forma de processos nos hosts disponibilizando assim os serviços. No caso do SAMBA, temos dois daemons que são os mais utilizados em termos dos recursos que eles fornecem. O primeiro é o SMBD, responsável por fornecer a maior parte das funcionalidades do SAMBA. Dessas, listamos o compartilhamento de arquivos e impressoras, autenticação e autorização de usuários e fornecimento de serviços de horário. O segundo é o NMDB, cujo funcionamento básico reside em tarefas relacionas a nomes. Dessas citamos a capacidade de responder transmissões de nomes, registrar nomes de NETBIOS, entre outros. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 25 94 Continuando a nossa discussão a respeito do SAMBA, vamos verificar os cinco modos de segurança que podem ser utilizados pelo SAMBA. Reparem que o modo é definido através do parâmetro “security” que consta no contexto GLOBAL do nosso exemplo acima. Os cinco modos são: • USER – Segurança a nível de usuário. Sob essa perspectiva, o servidor se aterá a avaliar um nome de usuário e senha fornecido pelo cliente. Em nenhum momento será considerado as raízes de diretórios para efeitos de autenticação por compartilhamento. Pode-se utilizar também o nome da máquina para efeito desse modo de autenticação. Este é o modo padrão de configuração do SAMBA. • SHARE – Segurança a nível de compartilhamento. Nesse caso, utiliza-se autenticação isolada para cada tipo de compartilhamento fornecido. Nesse caso, o usuário se autentica para ter acesso a um ramo da árvore de compartilhamento. Caso deseje acessar outro ramo, deverá realizar uma nova autenticação. E aqui já temos a organização de domínios no próprio servidor. • DOMAIN – Segurança baseada na autenticação de um controlador de domínio. Aqui, o servidor SAMBA se torna uma entidade confiável de um controlador de domínio. Todas as requisições de autenticação serão encaminhadas ao controlador. Nesse modo deve ser incluído na configuração o grupo no qual será inserido o servidor Samba. “workgroup = nomedogrupo”. • ADS – Modo utilizado para que o SAMBA faça parte de um domínio de um Active Directory. Desse modo, ele irá utilizar a estrutura de autenticação do AD através do protocolo KERBEROS. • SERVER – Modo em desuso. Era utilizado quando o servidor SAMBA não podia atuar como um membro de algum domínio. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 26 94 Um outro ponto que já tem aparecido em provas são os comandos do próprio SAMBA. Dessa forma, apresento a vocês uma lista dos principais comandos: Smbclient: acessa recursos SMB/CIFS em um servidor de forma parecida com ftp (ftp-like); Smbprint: utilizado para o unix acessar impressoras em um ambiente SMB/CIFS; Smbprint.sysv: o mesmo anterior, mas para system V; Smbstatus: mostra as conexões SMB; Smbrun: permite executar comandos de shell para o smbd (“programa de interface entre o smbd e programas externos”); Smbmount (descontinuado): montagem de compartilhamentos. Atualmente se utiliza o mount.cifs ou mount -t cifs; Swat: interface web para configuração do samba (Samba Web Administration Tool); Smbpasswd: altera a senha SMB de um usuário; Testparm: verifica o arquivo de configuração do samba. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Segurança de Redes de Computadores www.estrategiaconcursos.com.br 27 94 EXERCÍCIOS COMENTADOS X.500 E LDAP 1. CESPE – TCE-SC/AFCE – Área TI/2016 O método de autenticação básico no LDAP implementa criptografia AES para proteger o tráfego da senha entre o cliente e o servidor LDAP no momento em que a conexão TCP é estabelecida. Comentários: O LDAP nativo roda na porta 389/TCP e não implementa recursos de segurança. Entretanto, pode-se utilizar recursos de segurança de maneira estendida, como pela criação de túneis TLS para tal finalidade. Nesse caso, muda-se inclusive, a porta de operação do protocolo, também conhecido como LDAPS – 636/TCP. Pode-se verificar tais informações diretamente nas RFCs do LDAP: 4511 – Definição do protocolo e 4513 – Mecanismos de autenticação. Desse modo, ainda considerando o termo “básico” da assertiva, temos que o gabarito deveria ser INCORRETO. Gabarito: E 2. CESPE – MS/Analista Administrativo/2013 O uso do LDAP (lightweight directory access protocol) permite que colaboradores, aplicativos e recursos de rede utilizem informações armazenadas em um repositório central. Comentários: Questão bem tranquila para iniciarmos nossos exercícios, certo pessoal? Vimos que o LDAP permite o acesso às informações dos objetos e recursos na rede a partir de um repositório central. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 28 94 Gabarito: C 3. CESPE – SERPRO/Analista de Redes/2013 O protocolo LDAP foi desenvolvido para ser executado sobre uma camada de transporte confiável, orientada a conexões. Dessa forma, é adequado o uso do protocolo de camada de transporte UDP para implementações do LDAP. Comentários: De fato, o LDAP foi desenvolvido para ser executado sobre uma camada de transporte confiável, orientado a conexões. Entretanto, o protocolo que executa tais funções é o TCP. Mas especificamente, para o LDAP, temos a utilização da porta 389/TCP. Gabarito: E 4. CESPE – CGE-PI/Auditor Governamental/2015 Durante um teste de varredura de rede para auditoria de segurança, constatou-se o uso de serviço LDAP com autenticação simples. O servidor LDAP em uso era o OpenLDAP na versão 2.4. Considerando essa situação hipotética, julgue o próximo item. Na situação em apreço, a técnica de autenticação com DIGEST-MD5 pode ser utilizada, já que o CRAM-MD5 está depreciado em versões 2.4 do OpenLDAP. Comentários: Atualmente, a função HASH utilizadapelo LDAPv3 é de fato o MD5. A questão apresenta ainda a função anterior que era utilizada e que atualmente está depreciada conforme especificação da ferramenta openLDAP. Vale mencionar que esta não é a única forma de armazenamento dos dados do LDAPv3, conforme vimos na parte teórica. Pode ser considerado ainda o armazenamento em texto em claro ou em um arquivo criptografado. Gabarito: C 5. CESPE – SERPRO/Técnico – Operação de Redes/2013 André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 29 94 Todo serviço de diretório do tipo LDAP emprega uma estrutura hierárquica que armazena informações sobre objetos na rede. O que diferencia as diversas implementações são os tipos de objetos rastreados. Comentários: Essa estrutura hierárquica é que permite a identificação e rastreamento dos objetos na rede. Gabarito: C 6. CESPE – SERPRO/Técnico – Operação de Redes/2013 O LDAP, dada sua complexa organização em árvore, não permite a localização rápida e precisa de complementos e, consequentemente, de informações e arquivos disponibilizados na rede. Comentários: Não né pessoal? Justamente devido à organização hierárquica em árvore, o LDAP identifica de forma rápida e precisa dos objetos na rede. Vale sempre lembrar que ele foi desenvolvido e customizado para otimização dos recursos de leitura de informações dos objetos na rede. Gabarito: E 7. CESPE – SERPRO/Técnico – Operação de Redes/2013 O LDAP, serviço utilizado para acessar um serviço de diretório, é executado sobre o protocolo SSH, com o cliente dedicado. Comentários: Detalhe para o posicionamento do CESPE preciso em relação ao LDAP ser um serviço ou protocolo para acesso de serviço de diretório. Entretanto, não há a utilização do protocolo SSH em sua implementação. Gabarito: E 8. CESPE – TRE-RJ/Analista Judiciário – Análise de Sistemas/2012 André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 30 94 O LDAP é um protocolo executado sobre TCP/IP e exclusivo para redes Unix que permite organizar recursos de forma hierárquica, tais como árvores de diretório. Comentários: O LDAP é um protocolo da camada de aplicação que não se restringe a redes UNIX. Conforme comentamos, o próprio AD da Microsoft utiliza o protocolo LDAP. Gabarito: E 9. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012 O servidor de arquivos Samba, utilizado no sistema operacional Linux, permite o compartilhamento de arquivos, diretórios e impressoras. Comentários: Faltou o complemento da questão para que ela ficasse mais precisa. Entretanto, usou-se o termo “permite” o que deixou a questão totalmente correta. O mais preciso seria dizer que realiza o compartilhamento entre Windows e Linux. Gabarito: C 10. CESPE – Banco da Amazônia/Técnico Científico – Suporte Técnico/2012 É possível integrar a autenticação do servidor de arquivos Samba a um serviço de diretório já instalado, como o Active Directory da Microsoft, desde que o arquivo de configuração smb.conf contenha a opção security=share e configure o Kerberos. Comentários: Conforme vimos, o modo que permite a integração em domínio AD é o ADS. Gabarito: E 11. CESPE – MEC/Administrador de Redes/2011 A versão 3 do protocolo LDAP não suporta servidores hierárquicos; assim, consultas feitas a um servidor para um bloco de dados não resultam em referências recursivas para outros servidores. Comentários: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 31 94 O modelo de consultas recursivas segue a mesma estrutura do protocolo DNS. Caso se faça uma consulta a um servidor e este não saiba a resposta à consulta, esse servidor repassa a consulta a outro servidor em uma hierarquia superior. Sob a perspectiva do cliente, faz-se sempre apenas uma consulta, sendo transparente o modo recursivo. Gabarito: E 12. CESPE – Correios/Analista de Correios – Analista de Sistemas/2011 O protocolo LDAP (lightweight directory access protocol) não possui utilidade em uma infraestrutura de chave pública. Comentários: O padrão de infraestrutura de chave pública X.509 faz parte da família X.500. Uma vez que o LDAP é a sua implementação em redes TCP/IP, o X.509 também faz uso do protocolo LDAP para a implementação prática de seu modelo hierárquico e referência de nomes para acesso aos objetos da árvore. Dessa forma, dizemos que o LDAP é totalmente integrado com o sistema de certificados digitais. Gabarito: E 13. CESPE – TJ-ES/Analista Judiciário – Análise de Suporte/2011 - ADAPTADA Para a disponibilização de um serviço de diretórios na rede interna do tribunal, é adequada a implantação de serviços que utilizem o protocolo LDAP, que, a partir do armazenamento das informações na forma de árvore, é capaz de organizar e localizar permissões, recursos e usuários de rede. Comentários: Questão bem tranquila que apresenta uma recomendação de utilização do LDAP para os propósitos apresentados. Gabarito: C 14. CESPE – ABIN/Agente Técnico de Inteligência/2010 Se um servidor de autenticação de usuário embasado em servidor do tipo LDAP for utilizado na rede, o operador deverá interromper o serviço do LDAP, uma vez ao dia, para realizar as cópias dos dados do LDAP. Isso se deve ao fato que o serviço LDAP trava, por André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 32 94 padrão, a base e nega acesso a qualquer outro dispositivo ou usuário do sistema para realizar backup. Comentários: Não né pessoal? Se um serviço totalmente embasado nas informações de armazenamento de informações dos objetos e recursos da rede não possibilitar a realização de backup, seria um protocolo de alto risco em relação à perda dos dados. Gabarito: E 15. CESPE – ABIN/Agente Técnico de Inteligência/2010 O LDAP permite que a estrutura hierárquica da organização esteja representada no serviço de diretório e que o processo de autenticação de usuários seja distribuído entre um servidor mestre e vários servidores escravos. Comentários: Não só permite esse modelo como é bastante utilizado em organizações de médio e grande porte. Gabarito: C 16. CESPE – ABIN/Agente Técnico de Inteligência/2010 O LDAP versão 3 suporta tanto a autenticação por meio de certificados quanto o uso de TLS. Comentários: Conforme comentamos nas questões anteriores, o LDAP é plenamente integrado ao sistema de certificados digitais. Além disso, vimos que o estabelecimento de um túnel TLS se dá a partir do comando STARTTLS. Gabarito: C 17. CESPE – ABIN/Agente Técnico de Inteligência/2010 André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 33 94 O DN (distinguished name) do usuário denominado BABS, que faz parte da estrutura organizacional hipotética apresentada, é d a d o p o r : dc=com, dc=example, ou=people, uid=babs,dn=person. Comentários: Pessoal, vimos que o arranjo e combinação do DN é do mais específico para o mais geral. Nesse sentido,o correto seria: uid=babs, ou=people, dc=example, dc=com Vale ressaltar que o parâmetro PERSON não faz parte da estrutura, mas tão somente a identificação do tipo de objeto. Gabarito: E 18. CESPE – ABIN/Agente Técnico de Inteligência/2010 Um serviço de diretório embasado no LDAP possibilita que haja um controle centralizado de usuários e que seja armazenado e acessível por métodos padronizados. Comentários: Mais uma questão abordando o conceito de utilização do LDAP. Gabarito: C André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 34 94 19. CESPE – MPU/Analista de Informática/2010 O acesso aos serviços de diretórios no padrão X.500, que devem estar organizados em forma de tabela, é feito por intermédio do LDAP, o qual atua na camada de aplicação. Comentários: Nada de estruturação em tabela. Como vimos, o X.500 e o LDAP utiliza uma organização hierárquica em árvore (DIT). Gabarito: E 20. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 No LDAP, os dados são relacionados entre si por meio de uma estrutura hierárquica arborescente. Comentários: Uma forma diferente de dizer o que comentamos na questão anterior. Gabarito: C 21. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 A utilização do LDAP é conveniente para dados sobre os quais a operação de leitura é mais frequente do que a operação de gravação. Comentários: Vimos que o LDAP foi criado com base nessa característica. Nesses ambientes o volume de requisições de leitura é muito maior do que as requisições de escrita. Gabarito: C 22. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 Com o active directory implantado, perde-se a possibilidade de utilização de strings LDAP em linha de comando. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 35 94 Comentários: Vimos que o AD utiliza o protocolo LDAP em sua implementação. Nesse sentido, não há limitações da forma de utilização desse protocolo, podendo ser feito inclusive em linha de comando. Gabarito: E 23. CESPE – TRE-BA/Analista Judiciário – Análise de Sistemas/2010 Active Directory implementa o conceito de LDAP (lightweight directory access protocol) reunindo, em um único local, as bases de dados de usuários, de permissões e de recursos. Comentários: Pessoal, a dúvida nessa questão fica no termo “único local”. Devemos entender esse termo em seu sentido lógico, isto é, uma base centralizada dessas informações, ainda que estes dados estejam replicados ou organizados hierarquicamente em um conceito físico. Gabarito: C 24. CESPE – INMETRO/Analista Executivo/2009 As opções de autenticação no LDAP se restringem a autenticação simples com SSL/TLS e com Security Layer. Comentários: Vimos que o LDAP suporta diversos modos de autenticação, entre eles o SSL/TLS. Portanto, não há exclusividade desse modo. Gabarito: E 25. CESPE – DEPEN/Agente Penitenciário – Área 7/2015 O software OpenLDAP permite ao usuário fazer pesquisa no serviço Active Directory da Microsoft. Para possibilitar esse procedimento, o Active Directory deve suportar o protocolo HTTPS, uma vez que o OpenLDAP transfere dados por meio desse protocolo. Comentários: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 36 94 Pessoal, vimos que o AD implementa o LDAP nativamente. Desse modo, não há necessidade de suporte do HTTPS para tal procedimento. Gabarito: E 26. CESPE – DEPEN/Agente Penitenciário – Área 7/2015 O padrão LDAP é uma derivação do serviço de diretórios X.500. Em ambientes Linux, o sistema OpenLDAP é considerado a principal implementação aberta desse padrão. Comentários: Reforçando a questão anterior, temos ainda que o openLDAP, conforme vimos, é a implementação em código aberto do LDAP, sendo amplamente utilizado em ambientes LINUX. Gabarito: C 27. CESPE – TJ-SE/Analista Judiciário – Redes/2014 No modo SSL, o servidor LDAP atende, além da porta padrão de serviço (389), uma porta para conexões criptografadas (ldaps, a porta padrão 636), de modo que clientes que desejarem conexões criptografadas devem usar a porta 636. Comentários: Questão bem tranquila, porém, exigia o conhecimento das portas padrões utilizados pelo serviço LDAP no modo padrão e modo seguro, com SSL. Gabarito: C ACTIVE DIRECTORY 28. CESPE – SERPRO/Analista de Redes/2013 Na estrutura do Microsoft Active Directory, cada objeto é associado a um LDAP distinguished name (DN), que é sua representação LDAP completa, ou seja, totalmente qualificada. Comentários: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 37 94 Conforme vimos na nossa teoria, o DN (distinguished name) é uma combinação de parâmetros de identificação que torna cada objeto único, com uma representação completa do seu nome a partir da raiz da estrutura. Vale lembrar que é o mesmo padrão utilizado pelo FQDN do DNS. Lembramos ainda que o RDN (relative distinguished name) provê uma identificação parcial, ou seja, um ramo da árvore de diretórios. Gabarito: C NFS 29. CESPE – TCU/Analista de Controle Externo – TI/2009 Ao averiguar o comportamento da rede TCP/IP dessa organização, um analista constatou que um dos protocolos de sistema de arquivos distribuídos empregado nessa rede usa External Data Representation (XDR) e Remote Procedure Call (RPC). Analisando detalhadamente o funcionamento dos processos servidores de arquivos que implementam esse protocolo, o analista constatou, ainda, que informações sobre o estado dos arquivos abertos são mantidas pelo servidor. Nessa situação, em razão dessas características, o analista pode afirmar corretamente que o protocolo empregado é o Network File System (NFS) e que esse protocolo é implementado na camada de transporte. Comentários: Sem entrar nas demais características, verificamos o erro na questão ao afirmar que o NFS pertence à camada de transporte, quando, na verdade, pertence à camada de aplicação. Gabarito: E 30. CESPE – MEC/Gerente de Segurança/2011 O serviço de compartilhamento de arquivos via NFS (Network File System) é uma tecnologia padrão da Microsoft. No caso de redes Unix, o cliente NFS se conecta nativamente a um compartilhamento de rede Microsoft e apresenta suas credenciais de acesso. Comentários: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 38 94 Tranquilo, certo pessoal? NFS não é padrão da Microsoft, mas sim Unix. Detalhe que o fato de não ser padrão não implica em não ser suportado, são coisas distintas. Na parte final, para o cliente da rede Unix, esse pode utilizar o protocolo SAMBA para tal. Gabarito: E 31. CESPE – MEC/Administrador de Redes/2011 No Linux, o arquivo /etc/exports enumera os sistemas de arquivos exportados por meio do NFS e os clientes que podem acessar cada um deles. Comentários: Vimos que a configuração de permissionamento e quais diretórios serão visualizados se dá através do arquivo de configuração/etc/exports. Gabarito: C 32. CESPE – HEMOBRÁS/Técnico de Informática/2008 O compartilhamento de arquivos entre uma plataforma Linux e uma Windows é possível mediante o NFS (network file system) que é nativo no Windows. Comentários: Não né pessoal? Essa integração se dá por intermédio do SAMBA. Gabarito: E 33. CESPE – INPI/Analista de Planejamento – Infraestrutura de TI/2013 O procedimento de criar discos virtuais em dispositivos remotos e operá-los como se fossem dispositivos físicos locais, empregado pelo protocolo NFS, pode ser executado pela versão 4 do protocolo TCP. Comentários: Versão 4 do TCP? Não sei se o examinador tinha o objetivo de confundir com o suporte à versão 4 do próprio protocolo NFS ou a versão 4 do protocolo IP, no caso, ambos estariam corretas, mas não no protocolo TCP. Gabarito: E André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 39 94 SAMBA 34. CESPE – TJ-RO/Analista Judiciário – Analista de Sistemas/2012 Determinado servidor de arquivos de endereço IP 192.168.1.5, utilizando Samba, disponibiliza um compartilhamento de nome FINANCEIRO mediante dispositivo ISCSI, para ser montado a partir de uma estação de trabalho Linux no ponto de montagem /mnt/samba. Para que o compartilhamento seja montado automaticamente sempre que a estação de trabalho Linux se iniciar, a linha que deve ser adicionada ao arquivo /etc/fstab, para o sucesso da operação, é a) //192.168.1.5/FINANCEIRO /mnt/samba xfs defaults 0 0. b) //192.168.1.5/FINANCEIRO /mnt/samba nfs _netdev,defaults 0 0. c) //192.168.1.5/FINANCEIRO /mnt/samba ntfs_netdev,defaults 0 0. d) //192.168.1.5/FINANCEIRO /mnt/samba fat32_netdev,defaults 0 0. e) //192.168.1.5/FINANCEIRO /mnt/samba cifs_netdev 0 0. Comentários: Temos aí uma questão bem técnica a respeito do SAMBA. Esse é o tipo de questão que raramente estuda-se a fundo para chegar com todo certeza em uma prova. Porém, os conceitos atrelados aos protocolos são extremamente importantes e teríamos condições de resolver a questão facilmente. Vimos que o SAMBA é um protocolo que permite a visibilidade de servidores LINUX em ambientes de rede WINDOWS que utilizam o protocolo CIFS. Esse já é um grande indício da questão a ser marcada. Em nenhum momento entramos no mérito do sistema de arquivos dos servidores em relação à disponibilização dos recursos na rede. Desse modo, descartaríamos as alternativas A, C e D. A letra B nos mostra uma configuração de NFS. Entretanto, como vimos, precisamos de um mapeamento em CIFS por se tratar do protocolo SAMBA e de sua visibilidade em redes WINDOWS. Logo, nos restaria a alternativa E. Gabarito: E André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 40 94 35. CESPE – INMETRO/Analista Executivo/2009 Os modos de segurança user, ads e domain são implementados pelo SAMBA. Comentários: Além desses três, temos os modos SHARE e SERVER Gabarito: C 36. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 As configurações do Samba são armazenadas em um arquivo denominado , que pode ser dividido em várias seções, e cada seção possui seu nome entre colchetes. Comentários: Vimos um exemplo na parte teórica que representa exatamente essa organização. Gabarito: C 37. CESPE – SERPRO/Analista – Redes/2008 O arquivo de configuração padrão do Samba, smb.conf, permite especificar o endereço IP dos hospedeiros que poderão acessar os serviços disponibilizados pelo Samba. Comentários: Conforme vimos, uma das possibilidades do Samba é exatamente controlar o acesso a nível de usuário ou IP para o acesso aos serviços. Gabarito: C 38. CESPE – Banco da Amazônia/Técnico Científico – TI/2010 Para validar o arquivo de configuração do Samba, pode ser utilizado o programa testparm. Comentários: André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 41 94 Vimos que essa é exatamente a função do TESTPARM. Gabarito: C 39. CESPE – TJ-SE/Analista Judiciário – Redes/2014 O comando smbcontrol do SAMBA pode ser empregado para mostrar as conexões atualmente ativas e os arquivos bloqueados, informações que podem ser especialmente úteis na monitoração dos problemas de bloqueio. Comentários: Vimos uma lista dos principais comandos e funções utilizados no SAMBA. Nesse contexto, vimos que o comando SMBSTATUS é responsável por mostrar as conexões SMB ativas. Gabarito: E 40. CESPE – CPRM/Analista em Geociências – Sistemas/2013 Além de poder ser membro de um domínio Active Directory executado no Windows, o servidor de arquivos Samba executado no sistema operacional Linux tem a capacidade de compartilhar arquivos e diretórios e autenticar os usuários utilizadores do servidor de arquivos Samba no Active Directory. Comentários: Como vimos, atualmente há uma grande interoperabilidade entre o SAMBA e o AD, possibilitando a implementação dos recursos acima. Vimos ainda que o SAMBA pode inclusive exercer papel de controlador de domínio. Gabarito: C 41. CESPE – TJ-AC/Analista Judiciário – Analista de Suporte/2012 No Samba, podem-se gerar logs customizados, incluindo-se variáveis na opção log file do arquivo de configuração (smb.conf). Para que seja possível separar os logs por nomes de hosts, utiliza-se a variável %T. André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 42 94 Comentários: Vimos que a variável de substituição %T é responsável por coletar a data e horário corrente. A variável muito utilizada e que busca o nome NETBIOS dos hosts é o %m. Gabarito: E 42. CESPE – TJ-AC/Analista Judiciário – Analista de Suporte/2012 O serviço Samba, que pode ser utilizado como um servidor de arquivos, tem a capacidade de compartilhar arquivos em uma rede com clientes que consigam montar compartilhamentos utilizando CIFS (Common Internet File System). Comentários: Tranquilo, certo pessoal? Esse é o princípio básico do SAMBA. Gabarito: C 43. CESPE – ANAC/Analista Administrativo – Área 5/2012 No Samba, para especificar os diretórios e impressoras que devem ser compartilhados, bem como os direitos de acesso e parâmetros operacionais genéricos, é necessário editar o arquivo smb.conf. Comentários: Pessoal, toda a configuração de acesso e compartilhamento é feita no smb.conf. Gabarito: C 44. CESPE – TJ-SE/Analista Judiciário – Redes/2014 A maior parte das funcionalidades do SAMBA é implementada por dois daemons: smbd e nmbd. O smbd destina-se a implementar serviços de arquivos, serviços de impressão, conversão de nomes e anúncio de serviços. O nmbd fornece os outros principais serviços: autenticação e autorização. Comentários: Temos aqui uma inversão das características dos daemons em relação à conversão de nomes e a parte de autenticação e autorização. O primeiro está atrelado ao NMBD, enquanto o segundo, ao SMBD. Gabarito: E André Castro Aula 09 Segurança da Informação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 10 Redes de Computadores www.estrategiaconcursos.com.br 43 94 CUPS 45. CESPE
Compartilhar