SecureDefense Parte1

Secure Defense
Prof: Daniel Martins

dmouraomartins@gmail.com
Curso: SEGURANÇA DA INFORMAÇÃO

Disciplina: SECURE DEFENSE
1
Quem sou?
●
Daniel Mourão Martins
– Titulação
●
Mestre em Ciência da Computação pela UFC
●
Engenheiro de Computação pelo IME
– Algumas Certificações
●
Certified Information Systems Security Professional (CISSP)
●
Certified Ethical Hacker (C|EH)
●
Offensive Security Certified Professional (OSCP)
●
Auditor Líder ISO 27001
– Alguns Cursos
●
Engenharia Reversa de Código Malicioso ( RNP )
●
Extensão universitária em Perícia Computacional e Software Livre ( Atenas - BSB )
●
Auditoria de Segurança em Aplicações WEB ( Strong Security )
●
Advanced Incident Handling for Technical Staff – AIH ( CERT.br )

2
Conteúdos da Disciplina
●
Introdução
●
Boas Práticas de Segurança
●
Defesa em Profundidade
●
Gerenciamento dos Serviços de TI
●
Firewalls
●
Sistemas de Detecção e Prevenção de Intrusão
●
Hardening
●
Gerenciamento e Correlação de Eventos de Segurança (SIEM)
●
Virtualização e Computação nas Nuvens

3
Referências
Netfilter/iptables project homepage. <https://www.netfilter.org/>

ModSecurity: Open Source Web Application Firewall. <https://www.modsecurity.org>
Suricata | Open Source IDS / IPS / NSM engine.<https://suricata-ids.org/>
Home — OSSEC. <https://www.ossec.net>

4
Introdução
●
É preciso treinar e motivar todas as pessoas para que se
integrem e compreendam os processos e suas
responsabilidades, fazendo uso da tecnologia adequada
para garantir a gestão da segurança da informação
Foco desta disciplina
Tripé indissociável com bases igualmente importantes

5
Conceitos de Segurança da Informação
●
A segurança da informação é obtida a partir da implementação de uma série de
controles de segurança, que podem ser políticas, práticas, procedimentos,
estruturas organizacionais, hardwares e softwares.
– Estes controles visam, basicamente, garantir os seguintes princípios de
segurança:
●
Confidencialidade
– Garantir que a informação é acessível somente
por pessoas autorizadas;
●
Integridade
– Garantir que as informações e métodos de
processamento são alterados somente através de
ações planejadas e autorizadas;
●
Disponibilidade
– Garantir que os usuários autorizados têm acesso
à informação e aos ativos correspondentes
sempre que necessário;

6
Alguns Princípios de Segurança
●
Minimizar a superfície de ataque
– Elimine funcionalidades e serviços desnecessários
●
Estabelecer padrões seguros
– Por exemplo: o uso e senhas fortes
●
Princípio do menor privilégio
– As permissões de acesso dos usuários devem ser o mínimo suficiente para que
exerça suas funções
●
Falhas seguras
– As falhas no sistemas, exceções por exemplo, devem ser pensadas para manter
seguras as aplicações
●
Não confie em serviços terceirizados
– A confiança implícita de sistemas executados externamente não é garantida.
Todos os sistemas externos devem ser tratados de maneira semelhante.
https://www.owasp.org/index.php/Security_by_Design_Principles
7
Alguns Princípios de Segurança
●
Segregação de funções
– Maior proteção contra fraudes e erros, por exemplo, que solicita uma
compra não deve ser a mesma pessoa a autorizá-la.
●
Evite a segurança por obscuridade
– A segurança por obscuridade é um controle de segurança fraco e quase
sempre falha quando é o único controle. A segurança de sistemas-chave
não deve depender de manter os detalhes ocultos.
●
Mantenha a segurança simples
– Valoriza a simplicidade e defende que toda a complexidade administrativa
desnecessária seja descartada
●
Princípio da Defesa em profundidade
– Sugere que, onde um controle seria razoável, mais controles que abordam
riscos de diferentes maneiras são melhores
https://www.owasp.org/index.php/Security_by_Design_Principles
8
●
De maneira geral, ao se conectar a rede de sua
empresa à Internet, você já não deve se perguntar se
irá sofrer ameaças. Em vez disso, você deve assumir
que irá vivenciar um problema de segurança e se
preparar adequadamente para isso.
●
Uma das formas mais adequadas de se proteger é
utilizando uma estratégia de segurança multicamadas,
que protege com diferentes tecnologias de segurança
os principais pontos de entrada de ameaças.

9
●
Defesa em Profundidade consiste em aplicar vários
controles (lógicos, físicos ou humanos) aninhados, um
após o outro, para dificultar o acesso a potenciais
atacantes.
●
Não é apenas uma série de softwares de segurança e
equipamentos, mas um processo e prática constantes
que se concentram na proteção, detecção e reação.

10
●
A segurança multicamada, proporcionada pela “Defense In-depth”,
aumenta o grau de dificuldade de penetração de um intruso
●
Reduz drasticamente o risco de um hacker ter acesso indevido à rede e
dados de empresas, pois caso ultrapasse alguma camada, deverá ser
barrado pela camada seguinte.
●
Uma estratégia em várias camadas pode oferecer:
– Segurança e Resiliência por meio do Gerenciamento de Serviços de TI
– Filtragem de conteúdo
– Recuperação de sistemas
– Inspeção do tráfego SSL/TLS
– Proteção contra: malwares (vírus, spyware, worm, ramsonware, trojan),
phishing, spam, exploração de vulnerabilidades conhecidas, zero-day attacks,
invasões, vazamento de dados, ou seja, todo tipo de atividade maliciosa.
– ...

12
●
A defesa em profundidade vai além das soluções
tecnológicas:
– Políticas de Segurança
– Práticas de Segurança
– Educação de Usuários
– Web Security
– Email Security
– Anti Malware
– Aplicação de Patches
– Firewalls
– Backups
– Planos de Recuperação de Desastre

13
●
Gerenciamento de Conformidade
●
Gerenciamento de Risco
●
Gerenciamento de Identidades
●
Gerenciamento de Autorizações
●
“Accountability Management”
●
Gerenciamento de Disponibilidade
●
Gerenciamento de Configuração
●
Gerenciamento de Incidentes
© 2006 Carnegie Mellon University

14
●
Gerenciamento de Conformidade
– Políticas Organizacionais
– Leis, Normas e Regulamentos
– Conscientização

15
●
Gerenciamento de Risco
– Ativos
●
Identificar
●
Priorizar
– Ameaças e Vulnerabilidades
●
Identificar
●
Categorizar
– Riscos
●
Aceitar?
●
Mitigar?
●
Transfer?
●
Evitar?

16
●
Gerenciamento de Identidades
– Autenticação
– Métodos de Autenticação
– Fatores de Autenticação
●
Gerenciamento de Autorização
– Permissões de Acesso
– Política Organizacional

17
●
Accountability Management
“Capacidade de saber quem está fazendo o quê”
– Registros de Logs
– Auditorias
– Monitoramento de tráfego

18
●
Gerenciamento de Disponibilidade
– Mitigar pontos de falhas
– Continuidade do Negócio
– Recuperação de Desastres

19
●
Gerenciamento de Configuração
– Processos de atualização de software
– Inventário de softwares
– Gerenciamento de mudanças

20
●
Gerenciamento de Incidentes
– Estabelecer as equipes de resposta a incidentes
– Planejar as comunicações internas e externas
– Investigar o incidente
– Procedimentos de resposta

21
●
Outra visão da Defesa em Profundidade
●
Algumas Soluções tecnológicas:
– *Firewall
– *IDS
– *IPS
– *Hardening
– VPN
– Antivírus
– Criptografia

22
FIREWALLS

23
Firewall
●
Ponto entre duas ou mais redes, no qual circula todo o tráfego.
●
A partir desse único ponto, é possível controlar e autenticar o
tráfego, além de registrar, por meio de logs, todo o tráfego da
rede, facilitando sua auditoria.
●
Os sistemas firewall nasceram no final dos anos 80, fruto da
necessidade de criar restrição de acesso entre as redes
existentes e evoluíram ao longo dos anos

24
Firewall
●
Primeira Geração - Filtros de Pacotes
– avaliação de pacotes no conjunto de protocolos TCP/IP;
– apesar do TCP orientar-se a conexões, o filtro de pacotes não tinha este objetivo
inicialmente.
●
Segunda Geração - Filtros de Estado de Sessão
– filtro de pacotes orientado por uma tabela de estado de conexões;
– conhecidos como de firewall de circuito ou firewall statefull.
●
Terceira Geração - Gateway de Aplicação
– conhecidos como "Firewall de Aplicação" ou "Proxy Firewall";
– capaz de decodificar protocolos da camada de aplicação e aplicar regras de acesso
baseadas em campos desses protocolos.
●
Quarta Geração e subsequentes
– stateful inspection em todas as camadas do modelo OSI, prevenção de ameaças, filtro de
URL, análise de malware, deep packet inspection, SSL inspection, data loss prevention,
vpn e conectividade mobile.

25
Firewall
●
Filtro de Pacotes
– Firewall original
– Filtra pacotes até a camada de transporte
– Critérios usados para filtro
●
Endereço de origem
●
Endereço de destino
●
Porta de origem
●
Porta de destino
●
Protocolo
●
Flags de estado TCP
– Fragmentos são difíceis de filtrar

26
Firewall
●
Filtro de Pacotes
– Baseado em um conjunto de regras definido por uma
política de segurança
– Regra geral do menor privilégio, tudo que não for
expressamente permitido é proibido
●
Implica numa última regra implícita para bloquear tudo presente
na maioria das soluções de firewall
– Se não há necessidade de acesso, que seja bloqueado.

27
Firewall
●
Filtro de Pacotes
Prós Contras
Baixo Impacto Só opera até a camada de transporte
Baixo Custo Não trata os dados do pacote
Simples de Implantar Não guarda estado das conexões
Disponível em vários Suscetível a spoofing de IP
equipamentos
Difícil de manter as regras
Baixo nível de proteção
Alguns protocolos não se adequam bem
para serem filtrados

28
Firewall
●
Filtro de Estado de Sessão
– Guardam o estado das conexões TCP/IP.
– Necessitam de mais recursos para gerenciar tabelas de sessões
– Exigem menos processamento para sessões estabelecidas.
– Por exemplo:
●
quando é iniciada uma conexão para transferência de arquivos entre
um cliente e um servidor, o início da conexão é avaliado pelas regras
do firewall.
●
Caso a conexão seja autorizada, o firewall armazena informações
daquela sessão.
●
A partir daí, os próximos pacotes dessa conexão não necessitarão
passar pelas regras de filtro de pacotes, sendo autorizados pela
existência de registro na tabela de sessões estabelecidas do firewall

29
Firewall
●
Firewall de Aplicação ou Proxy firewall
– A filtragem dos pacotes de rede deixou de ser suficiente. Os
ataques passaram a se concentrar nas características (e
vulnerabilidades) específicas de cada aplicação.
– Foi necessário desenvolver um novo método que fosse capaz de
analisar as particularidades de cada protocolo.
– O conceito atual de Firewall de Aplicação nasceu principalmente
pela exigência de análise em protocolos específicos, como HTTP
– O Firewall de Aplicação é normalmente instalado junto à
plataforma da aplicação, atuando como uma espécie de Proxy.
Assim, tem a capacidade de avaliar conexões HTTPS
criptografadas que não seriam analisadas por firewalls
tradicionais.

30
Firewall
●
Firewall de Aplicação ou Proxy firewall
– Atua como intermediário entre um computador (ou rede
interna) e uma rede externa (geralmente, a internet).
– Não permitem a comunicação direta entre origem e destino do
pacote. Em vez de uma ligação direta do cliente com o
servidor, há um proxy intermediando essa comunicação.
– Para cada novo serviço que aparece, deve ser desenvolvido o
Proxy correspondente.

31
Firewall
●
Cada vez se utiliza mais HTTPS
32
Firewall
●
4ª Geração - Next Generation Firewalls (NGFW)
– Performance
– Inspeção SSL
– Profunda inspeção de pacotes
– Prevenção de Intrusão
– Reputação de IP e Geo-IP
– External threat intelligence capabilities
– Anti DDOS
– Sandboxing
●
Appliance físico ou máquina virtual
●
Ambiente de execução seguro para testes de arquivos suspeitos
●
Reporta resultados como: Accept or Block

33
Firewall
●

34
Firewall
●
– Inspeção SSL
●
Tratamento Linear tem limitações de performance e
processamento

35
Firewall
●
– Inspeção SSL – Novas tecnologias no mercado
●
Visibilidade SSL e Cadeia de Serviços

36
Firewall
●
NAT – Network Address Translation
– Conversão de endereços privados em endereços IP públicos para
uso na Internet
– Intenção de permitir conectividade de endereços privados para
endereços públicos (válidos na Internet)
– Mascaramento IP
– Intenção de ocultar a rede interna.
– Implementado na camada de transporte
– Algumas aplicações têm restrição para funcionar over NAT.
●
Ex.: VOIP, VideoConferência e VPN
– Sedução do host interno
●
Os usuários da rede vão até os hackers (client-side attack)

37
Firewall
Appliances Comerciais – Access Rules

38
Firewall
Appliances Comerciais – NAT Rules

39
IPTABLES

40
Firewall Iptables
●
É um subsistema de firewall para o kernel Linux 2.4 e
superiores. Com o uso desta ferramenta pode-se definir
regras especiais para entrada, saída e passagem de pacotes
entre interfaces, podendo atuar antes ou após as ações
referentes ao roteamento.
– Filtro de estados presente no ambiente Linux
●
O iptables atua sobre as tabelas presentes no Kernel, que
indicam situações de roteamento, de acordo com a situação
em que se encontra o pacote, a qual é referida por uma
cadeia de regras, ou chain
http://ipset.netfilter.org/iptables.man.html
41
Firewall Iptables
●
Quando um pacote coincide com uma regra ele deve ser direcionado a
um alvo (ação):
– ACCEPT significa deixar o pacote passar.
– DROP significa descartar o pacote.
– REJECT envia como resposta um pacote de erro e descarta o pacote.
– QUEUE significa passar o pacote para um programa externo administrar o
fluxo atribuído ao mesmo.
– LOG liga o logging do kernel.
– MASQUERADE altera o endereço de origem automaticamente pelo IP da
interface de saída. Normalmente NAT N:1
– DNAT altera o endereço de destino do pacote para um IP específico e é
executado antes das regras de roteamento. Normalmente NAT 1:1
– SNAT altera o endereço de origem do pacote para um IP específico e é
executado após as regras de roteamento.

42
Firewall Iptables
●
Tabela filter
– Tabela padrão, sobre a qual podemos nos referir a três correntes de
regras, ou chains:
●
INPUT, pacotes que entram na interface;
●
OUTPUT, pacotes que saem da interface;
●
FORWARD, tudo o que chega ao firewall mas deve ser redirecionado a um
outro destino ou interface de rede.
●
Tabela nat
– Tabela que se refere ao uso do recurso de Network Address
Translation (NAT), na qual podemos nos referir aos chains:
●
PREROUTING, pacotes que serão alterados antes de roteamento;
●
OUTPUT, pacotes locais que serão alterados antes do roteamento;
●
POSTROUTING, pacotes que serão alterados após a aplicação das regras de
roteamento.

43
Firewall Iptables
●
Tabela nat
– SNAT
●
Source NAT – quando o endereço fonte do pacote é alterado.
●
É sempre realizado no ponto POSTROUTING
●
Masquerade é um SNAT especializado
●
Ex.: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
– DNAT
●
Destination NAT – quando o endereço destino do pacote é alterado
●
É sempre realizado nos pontos OUTPUT e PREROUTING
●
Port Forwarding, balanceamento de carga e proxy transparente são
formas de DNAT
●
Ex.: iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 1.2.3.4:80

44
LABORATÓRIO
IPTABLES

45
Laboratório Iptables
●
Montagem do Laboratório
– Utilizaremos o VirtualBox
●
Abra o VirtualBox

46
●
– Rede exclusiva de hospedeiro no VirtualBox
●
Caso não exista, deve ser criada.
– Arquivo → Preferências → Rede

47
●
– Verificar a atribuição de IP na rede de hospedeiro
●
Mantenha o endereçamento que está neste slide

48
●
– 2 Máquinas Virtuais no Virtualbox
●
Roteador Firewall
– Baixar a imagem disponibilizada pelo professor
●
Web Server
– Baixar a imagem disponibilizada pelo professor

49
●
– Importar no VirtualBox as 2 imagens das VM
●
Arquivo → Importar Appliance ( Atalho: Ctrl + I )

50
●
– 2 Máquinas Virtuais no Virtualbox
192.168.56.2
192.168.56.10
Rede Externa Rede Interna

Placa em Modo Bridge Placa de rede exclusiva de hospedeiro
IP Público IP Privado

51
●
– Forma de acesso para gerenciamento das VM
●
Interface do VirtualBox
●
SSH ( Putty ou cliente ssh do Linux )
– Credenciais de Acesso
●
Usuário: root
●
Senha: 12345678
– Agora testem os accessos às máquinas Virtuais
192.168.56.2
192.168.56.10

52
●
Premissas
– Web Server não é acessível diretamente pela Rede Externa
– Serviço a ser disponibilizado é HTTP/HTTPS nas portas 80 e 443
– Qualquer outro serviço não deve estar disponível pela rede externa
●
Identificação do IP da interface externa do Firewall
– # ifconfig enp0s3 // Anote o IP até o final dos laboratórios
IP? 192.168.56.2
192.168.56.10

53
●
Testes de acesso na estação de trabalho:
– http://192.168.56.10 // Acesso pela rede interna
– http://<IP_interface_externa_firewall>
●
Permitir o acesso pelo “IP público” da rede externa
– Regra de NAT 1:1
– Executar o seguinte comando no terminal do firewall:
iptables -t nat -A PREROUTING -i enp0s3 -j DNAT --to-destination "192.168.56.10"
IP? 192.168.56.2
192.168.56.10

54
●
Teste
– Abrir no navegador da estação de trabalho
http://<IP_externo>
●
Implicações
– todo tráfego destinado ao IP externo do firewall será redirecionado
ao Web Server
ftp://<IP_externo>
– Como resolver? Regra do menor privilégio
●
Tudo que não for permitido deve ser bloqueado
●
Regra padrão implícita para bloquear tudo
●
Permitir só o que deve de fato ser permitido

55
●
Executar no terminal do firewall
# Limpar as regras do Iptables
iptables -t nat -F
iptables -t filter -F
# Permitir os acessos de gerenciamento pela interface interna
iptables -A INPUT -i enp0s8 -j ACCEPT
iptables -A OUTPUT -o enp0s8 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Regras padrão para bloquear tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Permitir ICMP para/do firewall
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

56
●
# Permitir conexões via loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Permitir o acesso na porta 80 e 443 do IP externo
iptables -A INPUT -p tcp -i enp0s3 --dport 80 -j ACCEPT
# Redirecionar para o Web Server as requisições Web
iptables -t nat -A PREROUTING -d "<IP_externo>" -p tcp -m multiport --dport
80,443 -j DNAT --to-destination "192.168.56.10"
iptables -A FORWARD -d "192.168.56.10" -p tcp -m multiport --dport 80,443 -j ACCEPT
# Permitir a volta de quaisquer conexões estabelecidas
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

57
●
Teste
http://<IP_externo>
https://<IP_externo>
ftp://<IP_externo>
TCP 80
TCP 443
192.168.56.10
OBS: Em ambiente real outras conexões devem ser permitidas, por exemplo: atualizações de
segurança e sincronismo de tempo.

58
●
Novo cenário:
– Conexões FTP também devem ser permitidas
– FTP é um protocolo “out-of-band”, ou seja, a conexão de dados é separada da
conexão de controle.
– FTP tem 2 modos de operação:
Ativo
●
Conexão de Controle
– Cliente → Servidor, destino porta TCP 21
●
Conexão de Dados
– Servidor → Cliente, origem porta TCP 20
Passivo
●
Conexão de Controle
– Cliente → Servidor, destino porta TCP 21
●
Conexão de Dados
– Cliente → Servidor, destino porta alta.

59
●
– Acrescentar novas regras no firewall
# Permitir o acesso de controle na porta 21 do IP externo
# Redirecionar para o Web Server as requisições na porta 21

iptables -t nat -A PREROUTING -d "<IP_externo>" -p tcp --dport 21 -j
DNAT --to-destination "192.168.56.10"
iptables -A FORWARD -d "192.168.56.10" -p tcp --dport 21 -j ACCEPT
# A volta já foi autorizada para qualquer conexão estabelecida

60
●
– Conexão de Dados Modo Ativo
# Permitir a saída de conexões com porta de origem TCP 20
iptables -A FORWARD -o enp0s3 -p tcp --sport 20 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s3 --sport 20 -j MASQUERADE
– Conexão de Dados no Modo Passivo

# Permitir conexões de dados nas portas altas: 65200 a 65500 (configuradas no servidor)
iptables -A INPUT -p tcp -m multiport --dport 65200:65500 -j ACCEPT
iptables -t nat -A PREROUTING -d "<IP_externo>" -p tcp -m multiport --dport
65200:65500 -j DNAT --to-destination "192.168.56.10"
iptables -A FORWARD -d "192.168.56.10" -p tcp -m multiport --dport 65200:65500 -j
ACCEPT

61
●
Teste
http://<IP_externo>
https://<IP_externo>
ftp://<IP_externo>
– E agora? Segurança está OK?
TCP 80
TCP 443
192.168.56.10
OBS: Em ambiente real outras conexões devem ser permitidas, por exemplo: atualizações de
segurança e sincronismo de tempo.

62
IDS/IPS

63
IDS/IPS – Intrusion Detection/Prevention System
●
Uma intrusão consiste de uma ação ou conjunto de ações
que possam comprometer algum dos princípios de
segurança: confidencialidade, integridade e disponibilidade.
●
Um Sistema de Detecção e Prevenção de Intrusão é
utilizado para monitorar e proteger as redes e sistemas de
atividades maliciosas detectando/prevenindo atividades
suspeitas.
– Enquanto que o objetivo do IDPS é identificar potenciais
atividades maliciosas, o Firewall é configurado para bloquear
tráfego que esteja em desacordo com os padrões e regras
estabelecidos.

64
●
Funções em um Sistema de Detecção e Prevenção de Intrusão:
– IDS → Sistema de Detecção de Intrusão
●
Sem a capacidade de prevenir intrusões, apenas detectar
●
Normalmente, captura os pacotes que chegam à interface provenientes de um
espelhamento de portas
●
Não gera impactos na rede
●
Gerencia respostas (alarmes, e-mails, scripts, novas regras, ...)
– IPS → Sistema de Prevenção de Intrusão

●
Capacidade de bloquear tráfego.
●
Obrigatoriamente em modo “in-line” ( equipamento posicionado no caminho
do tráfego de rede analisado )
●
Gera impactos na performance da rede
●
Gerencia respostas (alarmes, e-mails, scripts, novas regras, ...)

65
●
Considerações
– Atividades de sistema são observáveis
– Atividades normais e de invasão têm padrões distintos
– Dever ter o mínimo de impacto no funcionamento do
sistema.
– Deve ser difícil de ser enganado.
– Um IPS é composto por um IDS combinado com medidas
preventivas.

66
●
Como um IDPS funciona
– Sensores procuram por assinaturas conhecidas de atividades
maliciosas e também podem detectar anomalias de
comportamento na infraestrutura
– A conexão é bloqueada se o tráfego coincidir com alguma
assinatura, então gera-se uma resposta ao incidente.
– Caso não coincida, o tráfego pode passar por uma funcionalidade
de detecção de anomalias e a conexão é bloqueada se for
constatada uma anomalia de comportamento da rede.
– Caso não coincida, pode haver uma etapa de inspeção do
protocolo, que também pode bloquear o pacote.
– Caso o pacote tenha passado por todas as análises ele é liberado
para seguir o seu caminho.

67

68
●
Prováveis Erros:
– Falso positivo
●
ocorre quando a ferramenta classifica uma ação como uma possível
intrusão, quando na verdade trata-se de uma ação legítima.
●
Um exemplo seria o bloqueio do comportamento anormal das
requisições de usuário no sistema de e-commerce por ocasião da
divulgação de uma promoção
– Falso negativo
●
ocorre quando uma intrusão real acontece, mas a ferramenta permite
que ela passe como se fosse uma ação legítima;
●
Um exemplo seria o não bloqueio de um ataque explorando uma
vulnerabilidade zero-day para a qual o IPS ainda não tem assinatura
correspondente.

69
●
Classificação
– Segundo o método de detecção
●
Baseado em assinaturas
●
Baseado em comportamento (anomalias)
– Segundo a arquitetura
●
Baseado em host (Host IDS - HIDS)
●
Baseado em rede (Network IDS - NIDS)
●
Híbrido

70
●
Host IDS - HIDS
– Instalado em cada sistema
– Usa mecanismos de auditoria do S.O.
– Monitora atividades do usuário, execuções de programas,
conexões e serviços
– Alguns exemplos de monitoração:
●
Análise de logs do sistema e das aplicações
●
Verificação da integridade dos arquivos
●
Programas executados
●
Registros de perfil de consumo de CPU e memória
●
Registros de perfil acessos de usuários
●
Monitoração de processos e do Kernel

71
●
Network IDS - NIDS
– Uso de sensores em locais estratégicos
– Captura/Interceptam os pacotes que passam na rede
●
Procura por violações de protocolos e padrões não usuais de
conexões - anomalias
●
Analisa a parte de dados dos pacote procurando sequência de
comandos maliciosos conhecidos (assinaturas)
– Problemas de escalabilidade e desempenho em redes de alta
velocidade
– Incapacidade de analisar tráfego criptografado

72
●
Topologias
Sensor IPS filtrando

tráfego externo e
sensor IDS escutando
tráfego interno
Sensores IPS em pontos

distintos da rede

73
●
Novos ataques podem passar despercebidos
– Necessária atualização constante da base de dados de assinaturas.
●
Dificuldade de configuração e manutenção
– Dificuldade de encontrar a configuração ideal e realização das
manutenções devidos às complexidades e especificidades de cada
solução.
●
Desempenho em redes de alta velocidade
– O throughput da solução deve ser comparado com o da rede
●
Inspeção SSL
– Tráfego criptografado passando pelo IDPS não será analisado, algumas
soluções de IPS fazem inspeção SSL ou soluções de firewall podem
desfazer a criptografia e encaminham o tráfego em claro para o IDPS.

74
●
Técnicas de Evasão de IDS
– Flooding/Exaustão de recursos
– Comprometer a plataforma de execução do IDS
– Fragmentação de pacotes
– Manter-se abaixo dos limites de threshold do IDS
– Acessar serviços com tráfego criptografado

75
SNORT e Suricata

76
●
Snort
– É um software livre de detecção e prevenção de intrusão para rede
(IDS/IPS), capaz de realizar análise de tráfego em tempo real.
– Por anos tem sido utilizado como “padrão” para solução livre de
IDS/IPS.
– Vários fabricantes utilizam o código do Snort para a funcionalidade de
IDS/IPS em seus appliances.
– Desde 1998. Sourcefire, Inc.
●
Suricata
– É também um software livre de detecção e prevenção de intrusão para
rede (IDS/IPS), capaz de realizar análise de tráfego em tempo real.
– Produto mais novo e menos difundido e parece realmente promissor.
Também é baseado em assinaturas, mas integra técnicas
revolucionárias.
– Desde 2009. Open Information Security Foundation (OISF)

77

78

79
LABORATÓRIO
SURICATA

80
Laboratório Suricata
●
Acesse no navegador as seguintes URL:
OBS: Aplicação DVWA
Username: admin
Password: password
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-1%27+union+select+
%271%27%2Cdatabase%28%29++%23&Submit=Submit#
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-1%27+union+select+
%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+%3D+%27dvwa
%27+%23&Submit=Submit#
– http://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd
●
Utilizando o software sqlmap
sqlmap -u http://<IP_externo>/xvwa/vulnerabilities/sqli/ --data="search=1" --dump

81
●
Conclusões do slide anterior
– Vulnerável a SQL Injection
– Vulnerável a LFI (Local File Inclusion)
●
O firewall iptables falhou?
– Não! Executou corretamente o papel dele!
●
Adicionemos mais uma camada de segurança para
tentar identificar atividade maliciosa nos serviços
autorizados!

82
●
Implementar um IPS no cenário do laboratório anterior

83
●
Instalação do Suricata na VM Firewall
– Instalar dependências de pacotes
apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev \
libjansson-dev pkg-config libnetfilter-queue-dev
– Download suricata
cd /root/
wget -c http://www.openinfosecfoundation.org/download/suricata-4.0.5.tar.gz
tar -xvzf suricata-4.0.5.tar.gz
cd suricata-4.0.5/
https://suricata-ids.org/

84
●
– Compilar e instalar → Durante a instalação será baixado
automaticamente o arquivo de regras
cd /root/
wget -c http://www.openinfosecfoundation.org/download/suricata- 4.0.5.tar.gz
tar -xvzf suricata-4.0.5.tar.gz
cd suricata-4.0.5/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
make && make install-full
– Integração com o Iptables → Nestas regras o iptables entrega o pacote

para análise de um outro software, que deve se conectar a queue 0 para receber
os pacotes do kernel:
iptables -I FORWARD -d "192.168.56.10" -j NFQUEUE
iptables -I FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j NFQUEUE

85
●
– Diretório de Configuração
/etc/suricata/
– Principal arquivo de configuração

/etc/suricata/suricata.yaml
– Diretório dos arquivos de regras (assinaturas)

/etc/suricata/rules/
– Diretório de logs
/var/log/suricata

86
●
Configuração do Suricata na VM Firewall
– Definição de HomeNet e ExternalNet no arquivo de configuração
●
nano /etc/suricata/suricata.yaml
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"
– Mudança da ação das regras: alert → drop

●
Alteração no início das linhas que correspondem as regras
nano /etc/suricata/rules/emerging-web_server.rules
– Exemplo de regra do suricata a ser alterada

alert http $EXTERNAL_NET any -> $HTTP_SERVERS any
(msg:"Tomcat directory traversal attempt"; flow:to_server,established;
content:"|00|.jsp"; sid:2101055;)

87
●
Execução do Suricata na VM Firewall
suricata -c /etc/suricata/suricata.yaml -q 0 &
●
Visualizar os logs do IPS em tempo real
tail -f /var/log/suricata/fast.log
* Fisicamente num único equipamento

88
●
Refaça os acessos as seguintes URL no navegador:
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2Cdatabase%28%29++
%23&Submit=Submit#
– http://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+
%3D+%27dvwa%27+%23&Submit=Submit#
– http://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd

89
●
Resultados dos acessos às URL do slide anterior
– Veja os logs do suricata no terminal
11/05/2018-17:32:20.390083 [Drop] [**] [1:2006446:12] ET WEB_SERVER Possible SQL Injection Attempt UNION
SELECT [**] [Classification: Web Application Attack] [Priority: 1] {TCP} 192.168.25.138:40364 -> 192.168.56.10:80
11/05/2018-17:32:45.555949 [Drop] [**] [1:2006446:12] ET WEB_SERVER Possible SQL Injection Attempt UNION
SELECT [**] [Classification: Web Application Attack] [Priority: 1] {TCP} 192.168.25.138:40386 -> 192.168.56.10:80
11/05/2018-17:32:45.555949 [Drop] [**] [1:2011042:3] ET WEB_SERVER MYSQL SELECT CONCAT SQL Injection
Attempt [**] [Classification: Web Application Attack] [Priority: 1] {TCP} 192.168.25.138:40386 -> 192.168.56.10:80
11/05/2018-17:32:58.459110 [Drop] [**] [1:2101122:8] GPL WEB_SERVER /etc/passwd [**] [Classification: Attempted
Information Leak] [Priority: 2] {TCP} 192.168.25.138:40400 -> 192.168.56.10:80
– Timeout das requisições no navegador

90
●
Suricata como um serviço - Início no boot
– Criar arquivo correspondente ao serviço:
nano /lib/systemd/system/suricata.service
# Sample Suricata systemd unit file.
[Unit]
Description=Suricata Intrusion Detection Service
After=syslog.target network-online.target
[Service]
# Environment file to pick up $OPTIONS
EnvironmentFile=-/etc/default/suricata
ExecStartPre=/bin/rm -f /var/run/suricata.pid
ExecStart=/usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid $OPTIONS
ExecReload=/bin/kill -USR2 $MAINPID
[Install]
WantedBy=multi-user.target

91
●
Suricata como um serviço - Início no boot
– Criar arquivo com variável com opções de inicialização:
nano /etc/default/suricata
# Default options for suricata and iptables integration
OPTIONS=-q 0
– Habilitar o serviço para iniciar no boot

systemctl enable suricata.service
– Iniciar/Parar/Verificar status
service suricata [ start | stop | status ]
– Visualizar os logs do suricata

cat /var/log/suricata/fast.log

92
●
Bloquear o acesso “anonymous” ao FTP
– Iptables deve permitir o acesso ao FTP
– Adicionaremos nossas próprias regras
– Criar um novo arquivo de regra com o seguinte conteúdo
nano /etc/suricata/rules/local.rules
#Minhas proprias regras
drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"POLICY FTP
anonymous login attempt"; flow:to_server,established;
content:"USER"; nocase; pcre:"/^USER\s+(anonymous|ftp)/smi";
classtype:misc-activity; sid:1000001; rev:1;)
(OBS: Sids reservados para regras customizadas: 1000000-1999999 )
– Adicione o novo arquivo de regras no suricata
nano /etc/suricata/suricata.yaml
– Reinicie o serviço
service suricata stop
service suricata start

93
●
Testar acesso ao FTP como usuário anônimo
ftp://<IP_externo>
ftp://192.168.56.10
●
Testar acesso ao FTP como usuário autenticado
ftp://usuario:usuario@<IP_externo>
●
Visualizar os logs do suricata
11/07/2018-17:07:19.218367 [Drop] [**] [1:1000001:1] POLICY FTP anonymous login
attempt [**] [Classification: Misc activity] [Priority: 3] {TCP}
192.168.25.145:33360 -> 192.168.56.10:21

94
●
Refaça os acessos às seguintes URL no navegador Web:
– AGORA UTILIZANDO HTTPS
– https://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2Cdatabase%28%29++
%23&Submit=Submit#
– https://<ip_externo>/dvwa/vulnerabilities/sqli/?id=-
1%27+union+select+%271%27%2C+group_concat%28table_name
%29+from+information_schema.tables+where+table_schema+%3D+
%27dvwa%27+%23&Submit=Submit#
– https://192.168.25.130/xvwa/vulnerabilities/fi/?file=/etc/passwd

95
●
Por que o IPS não bloqueou o tráfego com HTTPS?
●
Como pode ser resolvido?
!!Vamos implementar outra camada de segurança!!
OBS: Em ambiente real as configurações do IDPS devem ser exaustivamente testadas para
minimizar os falsos positivos e falsos negativos.

96
WEB APPLICATION FIREWALL
ModSecurity

97
NA PRÓXIMA AULA

98
ModSecurity
●
WAF- Web Application Firewall
– Pode ser posicionado de várias formas
●
Inline
●
Out-of-line
●
*No servidor Web (*Como será posicionado no laboratório)
●
ModSecurity
– Open Source Web Application Firewall

99
ModSecurity
●
ModSecurity
– Também chamado de Modsec
– Originalmente projetado como uma módulo do Apache HTTP
Server,hoje integrável também com Microsoft IIS and NGINX
– Fornece uma linguagem de configuração de regras
– Disponível um conjunto de regras também open-source no
projeto OWASP ModSecurity Core Rule Set (CRS). Outros
conjuntos de regras são também disponíveis
– Funcionalidades para analisar requisições e respostas HTTP
– Pode decidir sobre as conexões HTTP: pass, drop, redirect,
retornar um status code especídico, executar um script e etc.

100
Hardening
●
Hardening é a proteção do sistema por meio da redução
de suas possíveis vulnerabilidades
●
Consiste de um processo de mapeamento das ameaças,
mitigação dos riscos e execução das atividades
corretivas
●
Otimiza-se as configurações de segurança de um sistema
●
Deve ser executado antes do sistema ser colocado em
produção
●
A palavra “hardening” tem origem no idioma inglês e
significa “endurecimento”.

101
Hardening
●
Hardening no Sistema Operacional
– Identificar e remover pacotes instalados e desnecessários
– Gerenciamento de privilégios de usuários
– Determinar quotas, datas de expiração e senhas fortes
– Bloquear shells válidos para usuários do sistema
– Refinar os registros de logs, rotacioná-los e centralizá-los
– Sincronizar o relógio com um servidor NTP
– Auditoria com HIDS
– Desativar todos os serviços de rede desnecessários
– Implementar configurações de segurança e boas práticas nos serviços
de rede
– ...

102
Hardening
●
Hardening nos serviços de rede
– Alterar a porta padrão, se não for um serviço público
– Desativar o acesso de root na interface de usuário
– Manter atualizado o serviço
– Limitar o número de conexões simultâneas
– Ocultar versões dos serviços quando em produção
– Ocultar mensagens de erro quando em produção
– Remover módulos e funcionalidades desnecessárias
– Habilitar os logs do serviço
– Habilitar um proxy para acesso de clientes ao serviço
– Implementar as orientações de segurança do fabricante

103
Datacenters
●
Datacenter é um ambiente projetado para concentrar servidores,
equipamentos de processamento e armazenamento de dados,bem
como ativos de rede principais. Os equipamentos geralmente são
montados em racks ou armários metálicos. Possuem proteção contra
incêndios, além de sistemas de resfriamento para manter uma
temperatura estável.
●
A preocupação com segurança é uma constante em um ambiente de
datacenter, em especial, quanto à disponibilidade.
●
A norma que se aplica na infraestrutura de um Datacenter, de
acordo com a sua disponibilidade e a sua redundância, sendo
a norma mais utilizada e a única que aplica o conceito de Tiers
(desenvolvido pelo The Uptime Institute) é a:
– ANSI/TIA 942 - Infraestrutura de Telecomunicações para Data Centers.

104
Datacenters
●
Classificação de Datacenters
– Tier 1 – Básico
●
Tier 1 possui uma disponibilidade de 99.671% e pode ter um downtime
(tempo que o sistema não está operacional)de 28,8 horas/ano sem
redundância energética ou refrigeração
– Tier 2 – Componentes Redundantes
●
O Tier 2 possui uma disponibilidade de 99.749%, pode ter um downtime de
22 horas/ano e redundância parcial em energia e refrigeração.
– Tier 3 – Sistema Auto Sustentado
●
1.6 horas/ano e 72 horas de proteção contra interrupção de energia
– Tier 4 – Alta Tolerância a Falhas
●
0.4horas/ano e 96 horas de proteção contra interrupção de energia

105
Datacenters Certificados no Brasil
●
Fonte: Uptime Institute (https://uptimeinstitute.com/TierCertification/certMaps.php)
– 41 Datacenters certificados no total, aqui apresentamos só alguns deles
Company Data Center Location Tier Certification
Tier III Gold Certification of Operational Sustainability
Rio de Janeiro, Rio de Janeiro Tier III Certification of Constructed Facility
DATAPREV Brasil Tier III Certification of Design Documents
Sao Paulo, Tier III Certification of Constructed Facility
Itau Unibanco Brasil Tier III Certification of Design Documents
Sao Paulo, Sao Paulo Tier III Certification of Constructed Facility
Telefonica VIVO Brasil Tier III Certification of Design Documents
Sao Paulo, Tier IV Certification of Constructed Facility
Banco Santander Brasil S/A Brasil Tier IV Certification of Design Documents
Sao Paulo, Tier III Certification of Constructed Facility
TOTVS S/A Brasil Tier III Certification of Design Documents
Maracanau, Ceara Tier III Certification of Constructed Facility
Ascenty Data Centers Locação E Serviço LTDA Brasil Tier III Certification of Design Documents
Brasilia, Distrito Federal Tier III Certification of Constructed Facility
Exército Brasileiro Brasil Tier III Certification of Design Documents
Rio de Janeiro, Tier III Certification of Constructed Facility
Globo.com Brasil Tier III Certification of Design Documents
Vitoria, Espirito Santo Tier III Certification of Constructed Facility
Tribunal de Justiça do Estado do Espírito Santo Brasil Tier III Certification of Design Documents
Sao Paulo, SP Tier III Certification of Constructed Facility
VIVO S.A. Brasil Tier III Certification of Design Documents
Rio de Janeiro,
CenturyLink Comunicações do Brasil Ltda. Brasil Tier III Certification of Design Documents
Rio de Janeiro, Rio de Janeiro
Petrobras Brasil Tier III Certification of Design Documents
Acesso em Outubro de 2018
106
Cloud Computing e Virtualização
●
Segundo memorando publicado em junho de 2010, o
exército dos Estados Unidos decretou suspensão da compra
de servidores e está migrando para cloud computing,
utilizando datacenters. O plano é fechar 14 instalações
militares com servidores e concentrar os serviços em duas
bases militares no Alabama e em North Carolina.
●
Outra tecnologia utilizada na otimização dos serviços é a
virtualização. O Comando de Armas, por exemplo, afirma
que reduziu a quantidade de servidores de 200 para 90.
( Fonte: https://seginfo.com.br )

107
Cloud Computing e Virtualização
●
A computação em nuvem é a entrega sob demanda de poder
computacional, armazenamento de banco de dados, aplicações e
outros recursos de TI por meio de uma plataforma de serviços
via um rede pública (Internet) ou privada com precificação
conforme o uso.
●
A ideia de guardar arquivos em uma “entidade tecnológica”
chamada nuvem surge do fato de que não se sabe exatamente
onde os dados estão sendo armazenados ou processados. Eles
podem estar em um servidor aqui mesmo no Brasil, do outro
lado do mundo, no Japão, ou ainda nos dois locais ao mesmo
tempo

108
Segurança nas nuvens
●
A segurança na nuvem é muito parecida com a segurança nos seus datacenters
locais, só que sem os custos de manutenção das instalações e do hardware.
– Você pode contratar na nuvem serviços de backup e recuperação de desastres
●
Na nuvem, você não precisa gerenciar servidores físicos. Em vez disso, você
usa ferramentas de segurança baseadas em software para monitorar e proteger
o fluxo de informações para dentro e para fora dos seus recursos de nuvem.
Computação na nuvem TI tradicional

Datacenters terceirizados Datacenters internos
Baixos investimentos iniciais em
infraestrutura Custos iniciais altos
Rapidamente escalável Escalabilidade lenta
Utilização de recursos eficiente Menor eficiência
Tempo de entrada no mercado Tempo de entrada no mercado
reduzido maior
Custo baseado no uso Custos maiores

109
Virtualização
●
Riscos
– Primeiro, a virtualização agrega camadas adicionais de complexidade à infraestrutura.
Isso significa que o monitoramento de eventos e anomalias incomuns também se torna
mais complexo
– Diferentemente dos ambientes físicos, máquinas virtuais podem ser criadas em questão
de minutos. Fica fácil perder o controle do que está online, offline e das possíveis
brechas de segurança resultantes.
– O número de máquinas virtuais existentes em um ambiente pode atingir um ponto em

que não podem mais ser gerenciadas com eficácia, como pela devida aplicação de todos
os patches de segurança. Nesses casos, não é mais possível garantir a segurança de todas
as máquinas virtuais.
– A própria dinâmica das máquinas virtuais propriamente ditas também representa um

risco à segurança, as cargas de trabalho podem ser transferidas com rapidez. Essas
cargas de trabalho, processamento e memória, podem ser transferidas entre máquinas
virtuais sem as devidas verificações e balanceamentos, o que pode criar uma brecha.
110
Virtualização
●
Atenuação dos riscos
– Separação: estabeleça como e onde separar as máquinas virtuais de
desenvolvimento, teste e produção.
– Imposição do processo: habilite processos específicos à TI por meio
de portais de autoatendimento para aumentar a eficiência e simplificar
o gerenciamento.
– Gerenciamento de dispersão: gerencie ativamente o ambiente virtual
em termos de o que está sendo usado e o que é ou não necessário.
– Auditoria incorporada: utilize ferramentas para automatizar
verificações de segurança, balanceamentos e processos, sempre que
possível.
– Aplicação de patches: implemente um processo de manutenção e
gerenciamento de patches e programe-o para garantir que os patches
estejam atualizados tanto em máquinas virtuais online quanto offline.

111
Análise de Vulnerabilidades
●
Scanner de Vulnerabilidades
– Nmap
– Nikto
– OpenVas
●
Análise de Código
– Coverity
– Fortify
– Ounce Labs

112
SIEM (Security Information and Event Management)
●
coleta, recebe, monitora e processa dados de várias
ferramentas de segurança para evitar ataques, localizar
intrusões na rede e detectar falhas
●
Os SIEM reúnem uma ampla gama de ferramentas de
segurança de TI, como: firewall, IPS, scanner, endpoint
security, threat intelligence, entre outras.
●
São uma peça importante na infraestrutura de segurança,
em vez de um administrador de segurança ter que abrir
vários aplicativos e tentar unir diferentes alertas, o SIEM
oferece gerenciamento, integração, correlação e análise
em um só lugar.
113
Correlacionador de Logs

114
●
SIEM como centralizador e correlacionador de Logs

115
●
SIEM fazem mais do que simples análises de logs

116
●
TOP 10 SIEM
Vendors
– Líderes de mercado
estão implementando e
expandindo o SIEM
para melhorar detecção
e resposta antecipada
de ataques para os seus
clientes.

117
OSSIM: The Open Source SIEM | AlienVault
●
OSSIM é uma solução open source para gerenciamento e
correlação de eventos de segurança (SIEM) com inteligência
para classificar riscos, realizar a gestão de incidentes de
segurança, tudo integrado em uma única plataforma.
●
Usa diversas ferramentas como suricata, openvas, mysql,
nmap, ossec, apache e muitas outras para prover uma
solução integrada de monitoramento de eventos.

118
OSSIM: The Open Source SIEM | AlienVault
●
VM OSSIM
– Importar appliance
– Acessar
●
https://192.168.56.80/

119
Laboratório
●
VM Server
– Importar Appliance no Virtualbox

120
Laboratório
●
VM Server
– Importar Appliance no Virtualbox

121
Topologia de Segurança Implementada

122

SecureDefense Parte1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SecureDefense Parte1

Transféré par

Droits d'auteur :

Formats disponibles

Secure Defense

Prof: Daniel Martins

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Netfilter/iptables project homepage. <https://www.netfilter.org/>

Curso: SEGURANÇA DA INFORMAÇÃO

Foco desta disciplina

Tripé indissociável com bases igualmente importantes

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

© 2006 Carnegie Mellon University

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Rede Externa Rede Interna

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

Curso: SEGURANÇA DA INFORMAÇÃO

# Redirecionar para o Web Server as requisições na porta 21

# A volta já foi autorizada para qualquer conexão estabelecida