SlideShare a Scribd company logo

Segurança de Redes

Cassio Ramos
Cassio Ramos

Aula de Segurança de Redes da Pós da Estácio

Technology
1 of 57
Download to read offline
Segurança de Redes- Arquitetura Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com
Sumário Introdução Requisitos Básicos e Projeto de Defesa Ameaças e Tipos de Ataques Segurança de Perímetro Segurança de Backbone Segurança de Desktop e Rede Local Metodologia de Ataque 27/12/11 2
Introdução Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação A Internet é vulnerável – foi concebida utilizando protocolos inseguros Segurança não está somente relacionada com invasão de sistemas 27/12/11 3
Pesquisa Nacional de Segurança da Informação [Modulo 2004]: •  42% das empresas tiveram problemas com a Segurança da Informação; •  35% das empresas reconhecem perdas financeiras. 65% das empresas não conseguiram quantificar essas perdas; •  Vírus, Spam, acessos indevidos e vazamento de informações foram apontados como as principais ameaças à segurança das informações nas empresas; •  O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%; •  26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e •  58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico. 27/12/11 4
Requisitos Básicos da Segurança -  Confidencialidade -  Integridade -  Disponibilidade Confidencialidade Integridade Disponibilidade 27/12/11 5
Requisitos Básicos da Segurança Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários 27/12/11 6
Requisitos Básicos da Segurança "   Elementos Utilizados para Garantir a Confidencialidade "   Criptografia dos dados "   Controle de acesso " Elementos para garantir a Integridade   "   Assinatura digital "   MD5- hash "   Elementos para garantir a Disponibilidade "   Backup "   Tolerância a falhas "   Redundância 27/12/11 7
Projeto de Defesa Como se Defender? Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques Detecção – como detectar os ataques. Como saber se estão acontecendo Resposta – como responder aos ataques Política de Segurança – formalização e sistemas que implementam a política 27/12/11 8
Projeto de Defesa Defesa em Profundidade Múltiplas barreiras entre quem ataca e o recurso que se quer proteger Quanto mais fundo o atacante quer chegar, mais difícil será Aumentar o custo do ataque O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro Principio do Menor Privilégio 27/12/11 9
Ameaças e Tipos de Ataque Ameaças Backdoors, bots, exploits, Trojans, malwares etc Virus, Worms, Spams, Hoax, fishing scam etc Hackers, Crackers, Defacers, spammers, funcionários, ex- funcionários Falhas (vulnerabilidades) em S.O, aplicativos e protocolos 27/12/11 10
Ameaças e Tipos de Ataque Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc. 27/12/11 11
Ameaças e Tipos de Ataque Tipos de Ataques DOS e DDOS Engenharia Social- Kevin Mitnick 27/12/11 12
Segurança de Perímetro Perímetro "   Fronteira fortificada da sua rede de dados "   Deve incluir alguns elementos de proteção 27/12/11 13
Elementos de Segurança de Perímetro Elementos de Segurança de Perímetro "   Firewall "   VPN "   Zona Desmilitarizada (DMZ) "  Host Hardening "  Intrusion Detection System (IDS) "  Network Address Translation (NAT) "  Analisadores de Conteúdo "  Analisadores de Logs 27/12/11 14
Firewall •  Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico •  Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados •  Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados •  Estático: Filtro de pacotes •  Stateful: memoriza as conexões para uma melhor análise •  Proxy de Aplicação e Proxy Reverso 27/12/11 15
Filtro de Pacotes Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo Amplamente usado nos roteadores de borda ou de perímetro 27/12/11 16
Stateful Firewall Filtro de Pacotes Statefull Examina o cabeçalho dos pacotes Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado A partir daí todas as comunicações naquela sessão são permitidas 27/12/11 17
Usando filtros de pacote IP Cliente Servidor Web HTTP Outros Protocolos 27/12/11 18
Firewall LAN Endereço/Serviço Autorizado LAN Internet Firewall Endereço/Serviço não Autorizado LAN 27/12/11 19
Proxy de Aplicação Proxy Web Cache Server O que é? "  Procurador "  Atua no nível da aplicação- orientado a aplicação "  Geralmente, o cliente precisa ser modificado- não é transparente "  Funciona como acelerador 27/12/11 20
Proxy de Aplicação Proxy Web Cache Server Por que usar? "  Autenticação de usuário "  Inspeção de Conteúdo "  Cache "  Registro de Acessos "  Esconde detalhes da rede interna 27/12/11 21
Proxy de Aplicação Verifica … User autorizado? 3 Protocolo permitido? Destino autorizado? 6 1 5 2 4 Web Proxy Server 27/12/11 22
Hierarquia de Proxies Internet 4 2 5 3 LAN1 LAN2 Matriz 1 6 27/12/11 23
Registro de Acessos Registra o uso da Internet por usuário Registro em texto bruto pode ser analizado Pode ser utilizado para detectar alguns tipos de vírus e adwares 27/12/11 24
Analisador de Logs Perfil de Acesso 27/12/11 25
Proxy Reverso Verifica … Request é permitido? Protocolo permitido? Destino permitido? Web Server 3 DNS Server 4 5 2 1 Proxy R 6 27/12/11 26
Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 LAN3 Firewall Firewall Internet Proxy Router B LAN4 LAN5 27/12/11 27
VPN – Virtual Private Network •  A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa •  Canal protegido que cruza um canal desprotegido Ex. Internet •  Permite que usuários externos acessem a rede interna com segurança 27/12/11 28
VPN – Virtual Private Network ISDN Cable Site Site central DSL Usuário Remoto Server remoto Internet Site Remoto 27/12/11 29
VPN – Virtual Private Network Tipos de VPN n LAN to LAN n  Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública n Acesso Remoto n  Interliga com segurança usuários remotos à intranet corporativa Site Remoto 27/12/11 30
VPN – Virtual Private Network Servidor VPN Internet Servidor VPN 27/12/11 31
VPN – Virtual Private Network Vantagens Desvantagens l  Escalável l  Não é utilizada quando o l  Baixo custo de link desempenho é fundamental l  Transparente para o usuário l  Configuração complexa IPSEC Pacote de dados Servidor VPN Servidor VPN 27/12/11 32
Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 FILIAL LAN5 27/12/11 33
DMZ e Bastion Host DMZ: Zona Desmilitarizada l  Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização Bastion Host l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada l Deve ser feito o hardening do host 27/12/11 34
DMZ e Bastion Host Hardening Desabilitar serviços que não estão sendo utilizados Utilizar sistemas operacionais e softwares sempre atualizados Desabilitar usuários e senhas default. Estabelecer política rígida de senhas Utilizar sistemas de arquivos robusto Servidor deve estar configurado de acordo com as boas práticas de segurança 27/12/11 35
DMZ e Rede Protegida Servidor Web Cliente Intranet Internet Firewall 27/12/11 36
Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server 27/12/11 37
IDS – Intrusion Detection System IDS Utilizado para detectar e alertar eventos maliciosos Antecipar possíveis invasões aos sistemas O sistema de defesa deverá dispor de vários agentes IDS pela rede Tipos: NIDS, HIDS e IPS Normalmente verifica assinaturas pré-definidas e eventos maliciosos 27/12/11 38
IDS – Intrusion Detection System Arquitetura Genérica 27/12/11 39
IDS – Intrusion Detection System Host Intrusion Detection System (HIDS) Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilização de recursos do host 27/12/11 40
IDS – Intrusion Detection System HDIS (Cont.) "   Exemplos de componentes monitorados "   Memória "   Arquivos executáveis "   Espaço em disco "   Kernel 27/12/11 41
IDS – Intrusion Detection System Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura é detectada um evento é disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o tráfego de rede em tempo real Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura 27/12/11 42
IDS – Intrusion Detection System NDIS (Cont.) "  Sensor de Rede "   Posicionamento em função do conhecimento da topologia "  Em ambientes com switch - Espelhamento de porta "  Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo 27/12/11 43
Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server 27/12/11 44
Network Address Translation NAT Técnica utilizada por um dispositivo para a tradução de endereços IP Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno Converte os endereços IP particulares em endereços IP públicos Aumenta a segurança ocultando endereços IP Internos Permite que uma organização economize endereços IP públicos 27/12/11 45
NAT 131.107.0.9 131.107.0.9 10.10.10.6 10.10.10.10 10.10.10.7 Tabela NAT "  10.10.10.0 mapeia para 131.107.0.9 27/12/11 46
Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 NAT Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server 27/12/11 47
Analisador de Conteúdo Web Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não Política diferente de acordo com dias da semana e horários Utilizado para evitar a navegação anônima Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço 27/12/11 48
Soluções de Antivírus e Anti-Spam Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc Possibilita análise gráfica e alarmes em tempo real 27/12/11 49
Segurança de Backbone Segurança de Backbone Vendas Só trafegam no backbone Engenharia Finanças aplicações autorizadas Hardening nos equipamentos de conectividade WAN Protocolos de roteamento- Campus Logística seguros e com autenticação backbone Monitoramento do backbone e links- criptografia Contabilidade Segurança física dos Intranet servers equipamentos 27/12/11 50
Segurança de Desktop e Rede Local Desktop Usuário recebe máquina pronta- firewall, IDS, antivírus etc. S.O atualizado, serviços desnecessários desabilitados Utilizar somente software autorizado e não receber e-mail de procedência duvidosa 27/12/11 51
Segurança de Desktop e Rede Local Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc Implementar rigida política de senhas Utilizar área de rede para arquivos importantes 27/12/11 52
Segurança de Desktop e Rede Local Rede Local Utilizar switches e monitorar tráfego Administração de Políticas centralizada Autenticação nos dispositivos de rede Segurança física dos dispositivos, política de backup, tolerância a falhas etc. Implementar segurança de layer 2 27/12/11 53
Metodologia de Ataque Coletando Informações "   Footprinting "   nome de domínio, "   endereços IP de servidores "   arquitetura de rede e serviços "   mecanismos de segurança, "   protocolos de rede "   endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com 27/12/11 54
Metodologia de Ataque Coletando Informações "   Varredura de rede "  Verificar sistemas operacionais de servidores Port Service alvo 20?… closed 21?… FTP "   Verificar que serviços estão ativos, 22?… closed 23?… closed "   Consultas icmp ou varredura de portas TCP/UDP 24?… closed 25?… SMTP 27/12/11 55
Metodologia de Ataque Coletando Informações "   Procura de Vulnerabilidades "   Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard "   Verificar a necessidade de utilização de exploit- www.securityfocus.com "   Utilização de ferramentas para apagar rastros – root kits 27/12/11 56
Dúvidas?????? 27/12/11 57

Recommended

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Alcyon Ferreira de Souza Junior, MSc
 

Recommended

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Alcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Re-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no ADRe-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no ADRafael Tosetto Pimentel
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftUilson Souza
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebMatheus Fidelis
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
RFID - Parte 2
RFID - Parte 2RFID - Parte 2
RFID - Parte 2Cassio Ramos
 
RFID - Parte 1
RFID - Parte 1RFID - Parte 1
RFID - Parte 1Cassio Ramos
 

More Related Content

What's hot

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftUilson Souza
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebMatheus Fidelis
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 

What's hot (20)

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Re-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no ADRe-autorizar Proxy do Endian no AD
Re-autorizar Proxy do Endian no AD
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma Microsoft
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerce
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação Web
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 

Viewers also liked

Segurança de dados em redes slide
Segurança de dados em redes slideSegurança de dados em redes slide
Segurança de dados em redes slideNatan Lara
 
Avaliação das fontes de informação na internet
Avaliação das fontes de informação na internetAvaliação das fontes de informação na internet
Avaliação das fontes de informação na internetElianerodrigues2001
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoDaianeMarques01
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoGleicaa
 
Indicadores de qualidade de fontes de informação na Internet
Indicadores de qualidade de fontes de informação na InternetIndicadores de qualidade de fontes de informação na Internet
Indicadores de qualidade de fontes de informação na Internetjanaroza
 
Critérios de qualidade de fontes de informação
Critérios de qualidade de fontes de informaçãoCritérios de qualidade de fontes de informação
Critérios de qualidade de fontes de informaçãoBustamantebio
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoGleicaa
 
Avaliação da credibilidade da informação WEB: competências e desafios no 3...
Avaliação da credibilidade da informação WEB: competências e desafios no 3...Avaliação da credibilidade da informação WEB: competências e desafios no 3...
Avaliação da credibilidade da informação WEB: competências e desafios no 3...António Pires
 
Fonte de Informação - A Internet
Fonte de Informação - A InternetFonte de Informação - A Internet
Fonte de Informação - A InternetMarcos Teruo Ouchi
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Segurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slidesSegurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slidesAna Lúcia Albano
 
Produkte und services für das corporate treasury
Produkte und services für das corporate treasuryProdukte und services für das corporate treasury
Produkte und services für das corporate treasuryfranck_brision
 
Boletim kids verso outubro
Boletim kids verso outubroBoletim kids verso outubro
Boletim kids verso outubromarciamanga
 

Viewers also liked (20)

RFID - Parte 2
RFID - Parte 2RFID - Parte 2
RFID - Parte 2
 
RFID - Parte 1
RFID - Parte 1RFID - Parte 1
RFID - Parte 1
 
Topologia lab
Topologia labTopologia lab
Topologia lab
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Tunneling
TunnelingTunneling
Tunneling
 
Segurança de dados em redes slide
Segurança de dados em redes slideSegurança de dados em redes slide
Segurança de dados em redes slide
 
Avaliação das fontes de informação na internet
Avaliação das fontes de informação na internetAvaliação das fontes de informação na internet
Avaliação das fontes de informação na internet
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informação
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informação
 
Indicadores de qualidade de fontes de informação na Internet
Indicadores de qualidade de fontes de informação na InternetIndicadores de qualidade de fontes de informação na Internet
Indicadores de qualidade de fontes de informação na Internet
 
Critérios de qualidade de fontes de informação
Critérios de qualidade de fontes de informaçãoCritérios de qualidade de fontes de informação
Critérios de qualidade de fontes de informação
 
Critérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informaçãoCritérios de qualidade para avaliar fontes de informação
Critérios de qualidade para avaliar fontes de informação
 
Avaliação da credibilidade da informação WEB: competências e desafios no 3...
Avaliação da credibilidade da informação WEB: competências e desafios no 3...Avaliação da credibilidade da informação WEB: competências e desafios no 3...
Avaliação da credibilidade da informação WEB: competências e desafios no 3...
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Fonte de Informação - A Internet
Fonte de Informação - A InternetFonte de Informação - A Internet
Fonte de Informação - A Internet
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Segurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slidesSegurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slides
 
FONTES DE INFORMAÇÃO ELETRÔNICAS
FONTES DE INFORMAÇÃO ELETRÔNICASFONTES DE INFORMAÇÃO ELETRÔNICAS
FONTES DE INFORMAÇÃO ELETRÔNICAS
 
Produkte und services für das corporate treasury
Produkte und services für das corporate treasuryProdukte und services für das corporate treasury
Produkte und services für das corporate treasury
 
Boletim kids verso outubro
Boletim kids verso outubroBoletim kids verso outubro
Boletim kids verso outubro
 

Similar to Segurança de Redes

FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitAmazon Web Services
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 

Similar to Segurança de Redes (20)

FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Firewall
FirewallFirewall
Firewall
 
Filtro de conteúdo Proxy
Filtro de conteúdo ProxyFiltro de conteúdo Proxy
Filtro de conteúdo Proxy
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 

More from Cassio Ramos

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pubCassio Ramos
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda LargaCassio Ramos
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saidaCassio Ramos
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecryptCassio Ramos
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script IptablesCassio Ramos
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5Cassio Ramos
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de VulnerabilidadeCassio Ramos
 

More from Cassio Ramos (20)

3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub3 scanning-ger paoctes-pub
3 scanning-ger paoctes-pub
 
2 netcat enum-pub
2 netcat enum-pub2 netcat enum-pub
2 netcat enum-pub
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula Inaugural
 
Redes de Banda Larga
Redes de Banda LargaRedes de Banda Larga
Redes de Banda Larga
 
Block disp-entrada e saida
Block disp-entrada e saidaBlock disp-entrada e saida
Block disp-entrada e saida
 
Trabalho sobre truecrypt
Trabalho sobre truecryptTrabalho sobre truecrypt
Trabalho sobre truecrypt
 
Gpo
GpoGpo
Gpo
 
Truecrypt
TruecryptTruecrypt
Truecrypt
 
Endian firewall
Endian firewallEndian firewall
Endian firewall
 
GnuPG
GnuPGGnuPG
GnuPG
 
Exemplo de Script Iptables
Exemplo de Script IptablesExemplo de Script Iptables
Exemplo de Script Iptables
 
Segurança Linux
Segurança LinuxSegurança Linux
Segurança Linux
 
Anonimato na Web
Anonimato na Web Anonimato na Web
Anonimato na Web
 
Tutorial Maltego
Tutorial MaltegoTutorial Maltego
Tutorial Maltego
 
Curso hacking com BT5
Curso hacking com BT5Curso hacking com BT5
Curso hacking com BT5
 
Redes - Aula 2
Redes - Aula 2Redes - Aula 2
Redes - Aula 2
 
Redes - Aula 1
Redes - Aula 1Redes - Aula 1
Redes - Aula 1
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Artigo anonymous
Artigo anonymousArtigo anonymous
Artigo anonymous
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de Vulnerabilidade
 

Segurança de Redes

  • 1. Segurança de Redes- Arquitetura Cássio Alexandre Ramos cassioaramos (at) gmail (dot) com http://www.facebook.com/cassioaramos http://cassioaramos.blogspot.com
  • 2. Sumário Introdução Requisitos Básicos e Projeto de Defesa Ameaças e Tipos de Ataques Segurança de Perímetro Segurança de Backbone Segurança de Desktop e Rede Local Metodologia de Ataque 27/12/11 2
  • 3. Introdução Por que Segurança? Estamos cada vez mais dependentes dos sistemas de informação A Internet é vulnerável – foi concebida utilizando protocolos inseguros Segurança não está somente relacionada com invasão de sistemas 27/12/11 3
  • 4. Pesquisa Nacional de Segurança da Informação [Modulo 2004]: •  42% das empresas tiveram problemas com a Segurança da Informação; •  35% das empresas reconhecem perdas financeiras. 65% das empresas não conseguiram quantificar essas perdas; •  Vírus, Spam, acessos indevidos e vazamento de informações foram apontados como as principais ameaças à segurança das informações nas empresas; •  O percentual de empresas que afirmam ter sofrido ataques e invasões é de 77%; •  26% das empresas não conseguem sequer identificar os responsáveis pelos ataques; e •  58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico. 27/12/11 4
  • 5. Requisitos Básicos da Segurança -  Confidencialidade -  Integridade -  Disponibilidade Confidencialidade Integridade Disponibilidade 27/12/11 5
  • 6. Requisitos Básicos da Segurança Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los Integridade: Certeza que os dados não foram alterados - por acidente ou intencionalmente Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários 27/12/11 6
  • 7. Requisitos Básicos da Segurança "   Elementos Utilizados para Garantir a Confidencialidade "   Criptografia dos dados "   Controle de acesso " Elementos para garantir a Integridade   "   Assinatura digital "   MD5- hash "   Elementos para garantir a Disponibilidade "   Backup "   Tolerância a falhas "   Redundância 27/12/11 7
  • 8. Projeto de Defesa Como se Defender? Prevenção – mecanismos que devem ser instalados no sistema para evitar ataques Detecção – como detectar os ataques. Como saber se estão acontecendo Resposta – como responder aos ataques Política de Segurança – formalização e sistemas que implementam a política 27/12/11 8
  • 9. Projeto de Defesa Defesa em Profundidade Múltiplas barreiras entre quem ataca e o recurso que se quer proteger Quanto mais fundo o atacante quer chegar, mais difícil será Aumentar o custo do ataque O principal da defesa em camadas é que um componente complemente o outro formando um sistema mais seguro Principio do Menor Privilégio 27/12/11 9
  • 10. Ameaças e Tipos de Ataque Ameaças Backdoors, bots, exploits, Trojans, malwares etc Virus, Worms, Spams, Hoax, fishing scam etc Hackers, Crackers, Defacers, spammers, funcionários, ex- funcionários Falhas (vulnerabilidades) em S.O, aplicativos e protocolos 27/12/11 10
  • 11. Ameaças e Tipos de Ataque Tipos de Ataques Hijacking, cracking, scanning, sniffing, spoofing, buffer overflow, defacing etc. 27/12/11 11
  • 12. Ameaças e Tipos de Ataque Tipos de Ataques DOS e DDOS Engenharia Social- Kevin Mitnick 27/12/11 12
  • 13. Segurança de Perímetro Perímetro "   Fronteira fortificada da sua rede de dados "   Deve incluir alguns elementos de proteção 27/12/11 13
  • 14. Elementos de Segurança de Perímetro Elementos de Segurança de Perímetro "   Firewall "   VPN "   Zona Desmilitarizada (DMZ) "  Host Hardening "  Intrusion Detection System (IDS) "  Network Address Translation (NAT) "  Analisadores de Conteúdo "  Analisadores de Logs 27/12/11 14
  • 15. Firewall •  Dispositivo (hardware + software) que possui regras específicas que permitem ou bloqueiam o tráfico •  Barreiras de segurança entre a intranet e a Internet para proteger a rede interna contra acessos não autorizados •  Mensagens que entram ou saem da rede devem ser examinadas pelo firewall, que toma ações de acordo com critérios de segurança especificados •  Estático: Filtro de pacotes •  Stateful: memoriza as conexões para uma melhor análise •  Proxy de Aplicação e Proxy Reverso 27/12/11 15
  • 16. Filtro de Pacotes Filtro de Pacotes Determina se o pacote tem permissão para entrar ou sair da rede de acordo com informações localizadas no cabeçalho do pacote Cabeçalho de pacote é um pequeno segmento de informação que é colocado no início do pacote para indentificá-lo Amplamente usado nos roteadores de borda ou de perímetro 27/12/11 16
  • 17. Stateful Firewall Filtro de Pacotes Statefull Examina o cabeçalho dos pacotes Se pacote é permitido pelas regras- informações são armazenadas em uma tabela de estado A partir daí todas as comunicações naquela sessão são permitidas 27/12/11 17
  • 18. Usando filtros de pacote IP Cliente Servidor Web HTTP Outros Protocolos 27/12/11 18
  • 19. Firewall LAN Endereço/Serviço Autorizado LAN Internet Firewall Endereço/Serviço não Autorizado LAN 27/12/11 19
  • 20. Proxy de Aplicação Proxy Web Cache Server O que é? "  Procurador "  Atua no nível da aplicação- orientado a aplicação "  Geralmente, o cliente precisa ser modificado- não é transparente "  Funciona como acelerador 27/12/11 20
  • 21. Proxy de Aplicação Proxy Web Cache Server Por que usar? "  Autenticação de usuário "  Inspeção de Conteúdo "  Cache "  Registro de Acessos "  Esconde detalhes da rede interna 27/12/11 21
  • 22. Proxy de Aplicação Verifica … User autorizado? 3 Protocolo permitido? Destino autorizado? 6 1 5 2 4 Web Proxy Server 27/12/11 22
  • 23. Hierarquia de Proxies Internet 4 2 5 3 LAN1 LAN2 Matriz 1 6 27/12/11 23
  • 24. Registro de Acessos Registra o uso da Internet por usuário Registro em texto bruto pode ser analizado Pode ser utilizado para detectar alguns tipos de vírus e adwares 27/12/11 24
  • 25. Analisador de Logs Perfil de Acesso 27/12/11 25
  • 26. Proxy Reverso Verifica … Request é permitido? Protocolo permitido? Destino permitido? Web Server 3 DNS Server 4 5 2 1 Proxy R 6 27/12/11 26
  • 27. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 LAN3 Firewall Firewall Internet Proxy Router B LAN4 LAN5 27/12/11 27
  • 28. VPN – Virtual Private Network •  A idéia é utilizar a estrutura pública, com as mesmas facilidades de uma rede privativa •  Canal protegido que cruza um canal desprotegido Ex. Internet •  Permite que usuários externos acessem a rede interna com segurança 27/12/11 28
  • 29. VPN – Virtual Private Network ISDN Cable Site Site central DSL Usuário Remoto Server remoto Internet Site Remoto 27/12/11 29
  • 30. VPN – Virtual Private Network Tipos de VPN n LAN to LAN n  Extranet VPNs – interligam escritórios remotos, clientes, fornecedores e parceiros utilizando a estrutura pública n Acesso Remoto n  Interliga com segurança usuários remotos à intranet corporativa Site Remoto 27/12/11 30
  • 31. VPN – Virtual Private Network Servidor VPN Internet Servidor VPN 27/12/11 31
  • 32. VPN – Virtual Private Network Vantagens Desvantagens l  Escalável l  Não é utilizada quando o l  Baixo custo de link desempenho é fundamental l  Transparente para o usuário l  Configuração complexa IPSEC Pacote de dados Servidor VPN Servidor VPN 27/12/11 32
  • 33. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 FILIAL LAN5 27/12/11 33
  • 34. DMZ e Bastion Host DMZ: Zona Desmilitarizada l  Utilizada para separar os servidores que precisam ser acessados pela Internet dos que apenas serão acessados pelo pessoal interno da organização Bastion Host l Bastião, Baluarte. Fortaleza inexpugnável. É uma posição bem fortificada l Deve ser feito o hardening do host 27/12/11 34
  • 35. DMZ e Bastion Host Hardening Desabilitar serviços que não estão sendo utilizados Utilizar sistemas operacionais e softwares sempre atualizados Desabilitar usuários e senhas default. Estabelecer política rígida de senhas Utilizar sistemas de arquivos robusto Servidor deve estar configurado de acordo com as boas práticas de segurança 27/12/11 35
  • 36. DMZ e Rede Protegida Servidor Web Cliente Intranet Internet Firewall 27/12/11 36
  • 37. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 LAN2 VPN LAN3 Firewall/ Firewall Internet Router B Proxy LAN4 DMZ FILIAL Hardened Server WEB LAN5 Server DNS Server Proxy R. Mail Server 27/12/11 37
  • 38. IDS – Intrusion Detection System IDS Utilizado para detectar e alertar eventos maliciosos Antecipar possíveis invasões aos sistemas O sistema de defesa deverá dispor de vários agentes IDS pela rede Tipos: NIDS, HIDS e IPS Normalmente verifica assinaturas pré-definidas e eventos maliciosos 27/12/11 38
  • 39. IDS – Intrusion Detection System Arquitetura Genérica 27/12/11 39
  • 40. IDS – Intrusion Detection System Host Intrusion Detection System (HIDS) Esse tipo de IDS reside em um único “host” e monitora atividades específicas do mesmo Pode ser baseado em assinaturas Verifica a integridade dos arquivos do SO Monitora utilização de recursos do host 27/12/11 40
  • 41. IDS – Intrusion Detection System HDIS (Cont.) "   Exemplos de componentes monitorados "   Memória "   Arquivos executáveis "   Espaço em disco "   Kernel 27/12/11 41
  • 42. IDS – Intrusion Detection System Network Intrusion Detection System (NDIS) Monitora todo o tráfego da rede e compara este a um banco de dados com assinaturas de ataque Quando uma assinatura é detectada um evento é disparado pelo IDS Sistema utilizado para detectar e/ou reagir a uma assinatura de ataque na rede Utilizado para analisar o tráfego de rede em tempo real Equipamento dedicado com processamento compatível com o tamanho da infra-estrutura 27/12/11 42
  • 43. IDS – Intrusion Detection System NDIS (Cont.) "  Sensor de Rede "   Posicionamento em função do conhecimento da topologia "  Em ambientes com switch - Espelhamento de porta "  Configuração stealth recomendada - Interface de captura sem endereçamento e capturando tráfego de rede em modo promíscuo 27/12/11 43
  • 44. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server 27/12/11 44
  • 45. Network Address Translation NAT Técnica utilizada por um dispositivo para a tradução de endereços IP Permite que uma rede use um conjunto de endereços IP particulares para tráfego interno Converte os endereços IP particulares em endereços IP públicos Aumenta a segurança ocultando endereços IP Internos Permite que uma organização economize endereços IP públicos 27/12/11 45
  • 46. NAT 131.107.0.9 131.107.0.9 10.10.10.6 10.10.10.10 10.10.10.7 Tabela NAT "  10.10.10.0 mapeia para 131.107.0.9 27/12/11 46
  • 47. Intranet INTRANET Parceiro1 Parceiro2 Parceiro3 LAN1 NIDS NIDS NIDS LAN2 VPN NIDS NIDS LAN3 NAT Internet LAN4 DMZ FILIAL Hardened HIDS Server WEB LAN5 Server NDIS Proxy R. Mail Server 27/12/11 47
  • 48. Analisador de Conteúdo Web Analisador de Conteúdo Analisa as solicitações de acesso a Internet autorizando-as ou não Política diferente de acordo com dias da semana e horários Utilizado para evitar a navegação anônima Otimiza o uso do link de Internet, priorizando acesso relacionado ao serviço 27/12/11 48
  • 49. Soluções de Antivírus e Anti-Spam Soluções Antivirus/ Anti-Spam Distribuidos em Gateways, Proxies, Servidores de Arquivos, Servidores de Correio e desktops Administração Centralizada- firewall pessoal, IDS, anti-spyware, atualização de vacinas, assinaturas e políticas Filtra conteúdo de e-mail, por tamanho, nº de destinatários, tipos de anexos etc Possibilita análise gráfica e alarmes em tempo real 27/12/11 49
  • 50. Segurança de Backbone Segurança de Backbone Vendas Só trafegam no backbone Engenharia Finanças aplicações autorizadas Hardening nos equipamentos de conectividade WAN Protocolos de roteamento- Campus Logística seguros e com autenticação backbone Monitoramento do backbone e links- criptografia Contabilidade Segurança física dos Intranet servers equipamentos 27/12/11 50
  • 51. Segurança de Desktop e Rede Local Desktop Usuário recebe máquina pronta- firewall, IDS, antivírus etc. S.O atualizado, serviços desnecessários desabilitados Utilizar somente software autorizado e não receber e-mail de procedência duvidosa 27/12/11 51
  • 52. Segurança de Desktop e Rede Local Desktop Segurança física- fogo, calor, poeira, magnetismo, explosão, vandalismo, roubo etc Implementar rigida política de senhas Utilizar área de rede para arquivos importantes 27/12/11 52
  • 53. Segurança de Desktop e Rede Local Rede Local Utilizar switches e monitorar tráfego Administração de Políticas centralizada Autenticação nos dispositivos de rede Segurança física dos dispositivos, política de backup, tolerância a falhas etc. Implementar segurança de layer 2 27/12/11 53
  • 54. Metodologia de Ataque Coletando Informações "   Footprinting "   nome de domínio, "   endereços IP de servidores "   arquitetura de rede e serviços "   mecanismos de segurança, "   protocolos de rede "   endereço, telefones de contato, e-mails etc. www.arin.net, registro.br, www.netcraft.com, whois.com 27/12/11 54
  • 55. Metodologia de Ataque Coletando Informações "   Varredura de rede "  Verificar sistemas operacionais de servidores Port Service alvo 20?… closed 21?… FTP "   Verificar que serviços estão ativos, 22?… closed 23?… closed "   Consultas icmp ou varredura de portas TCP/UDP 24?… closed 25?… SMTP 27/12/11 55
  • 56. Metodologia de Ataque Coletando Informações "   Procura de Vulnerabilidades "   Procura por serviços vulneráveis- Ferramentas: Nessus, Nmap, Languard "   Verificar a necessidade de utilização de exploit- www.securityfocus.com "   Utilização de ferramentas para apagar rastros – root kits 27/12/11 56