Vimos o que um firewall é capaz de fazer e os diferentes tipos que existem. Então, como um invasor pode evadir desses dispositivos? Existem algumas técnicas disponíveis para isto.
Uma maneira eficaz como um invasor pode evadir um firewall deve parecer como algo mais, como um host confiável. Usando o spoofing para modificar informações de endereço, o atacante pode fazer com que a fonte de um ataque pareça vir de algum lugar que não seja uma parte mal-intencionada.
Embora este ataque pode ser eficaz, existem algumas limitações que podem frustrar este processo. O mais óbvio é o fato de que firewalls mais do que provavelmente irão dar drop no tráfego. Especificamente, um host confiável pode ser algo dentro da própria rede. Qualquer tipo de pacote especialmente criado a partir de um intervalo de endereços IP na rede local, mas vindo de fora da rede, será descartado como inválido. (mais…)
Uma vez que você, como um pentester, está tentando testar a segurança de um sistema, você deve ser capaz de contornar esses dispositivos de proteção, se possível ou pelo menos saber como tentar fazê-lo. Veremos os vários mecanismos disponíveis, como eles funcionam e com quais dispositivos eles são projetados para lidar. (mais…)
Um dos sistemas mais interessantes que você vai encontrar é um honeypot. Na verdade é um dispositivo ou sistema usado para atrair e capturar atacantes que estão tentando obter acesso a um sistema. No entanto, honeypots estão longe de ser apenas uma armadilha. Eles também têm sido usados como ferramentas de pesquisa, armadilhas, e apenas para obter informações. Eles não são projetados para resolver qualquer problema de segurança específico.
Honeypots não se encaixam em qualquer classificação ou categoria. Honeypots pode cumprir uma série de finalidades diferentes ou funções para uma organização, mas a maioria concorda que um honeypot fornece valor de ser utilizado por partes não autorizadas ou através do uso ilícito. Honeypots são projetados para ser mal utilizado e abusado e nesse papel eles estão sozinhos. Na prática, o sistema pode aparecer como qualquer um dos seguintes:
Para determinar um tipo de firewall e até mesmo o fabricante, você pode usar sua experiência com scanner de portas e ferramentas para criar informações sobre o firewall que seu alvo está executando. Ao identificar determinadas portas, você pode vincular os resultados a um firewall específico e, a partir desse ponto, determinar o tipo de ataque ou processo a ser executado para comprometer ou ignorar o dispositivo.
Alguns firewalls como o Check Point FireWall-1 e o Microsoft Proxy Server usam as portas TCP 256-259 e TCP 1080 e 1745.
Felizmente, você pode realizar o banner grabbing com Telnet para identificar o serviço em execução em uma porta. Se você encontrar um firewall com portas específicas em execução, isso pode ajudar na identificação. É possível pegar o banner e ver o que é respondido de volta. (mais…)
Os firewalls são outro dispositivo protetores para redes que estarão no caminho de um pentester ou atacante. Os firewalls representam uma barreira ou delineamento lógico entre duas zonas ou áreas de confiança. Em sua forma mais simples, a implementação de um firewall representa a barreira entre uma rede privada e uma rede pública, mas as coisas podem ficar muito mais complicadas a partir daí.
Para a maior parte, nós nos referimos a firewalls como um conceito abstrato, mas na vida real um firewall pode ser um software ou um dispositivo de hardware.
Ao discutir firewalls, é importante entender como eles funcionam e sua colocação em uma rede. Um firewall é um conjunto de programas e serviços localizados no ponto de bloqueio, conhecido por choke point (o local onde o tráfego entra e sai da rede). Ele foi projetado para filtrar todo o tráfego fluindo para dentro e para fora e determinar se esse tráfego deve ser autorizado a continuar. Em muitos casos, o firewall é colocado a uma distância de recursos importantes para que, no caso de comprometer recursos-chave não são afetados negativamente. Se você tomar cuidado o suficiente e fazer o planejamento adequado, juntamente com uma dose saudável de testes, apenas o tráfego que é explicitamente permitido passar será capaz de fazê-lo, com todos os outros tráfego será negado no firewall. (mais…)
Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.
Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.
Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:
Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas. (mais…)
De muitas maneiras o processo é semelhante ao de um ambiente tradicional, mas com algumas pequenas diferenças ao longo do caminho.
Lembre-se que em matéria de segurança, os dispositivos móveis são tão diversos que são de uma quantidade desconhecida. Você também precisa ter em mente como os usuários desses dispositivos funcionam. Eles podem ser extremamente móveis e isso significa que os dados e comunicações podem estar fluindo em todas as direções e maneiras diferentes, ao contrário das configurações de escritório tradicional.
Então, como é o processo de teste quando os dispositivos móveis? Aqui está uma visão geral de como avaliar esses dispositivos. (mais…)
Os dispositivos móveis são comuns. No entanto, um monte de problemas comuns também ocorrem que poderiam ser maneiras fáceis para um atacante causar danos:
Então, como os arquitetos mobiles construíram seus sistemas com um olho voltado para resolver problemas de segurança? Várias medidas foram tomadas, mas no geral tem havido uma tentativa de abordar o problema da segurança através de cinco áreas-chave, cada uma abordando um problema específico ou necessidade:
A rápida adoção do dispositivo móvel no local de trabalho teve duas consequências óbvias: aumento da produtividade e capacidade, bem como aumento correspondente dos riscos à segurança. Os arquitetos de dispositivos móveis sempre fizeram um tradeoff entre segurança e os recursos, inclinando-se quase sempre para novos recursos, deixando a segurança como opção tardia. Embora novos recursos de segurança ajudaram a reduzir um pouco os problemas presentes, muitos dos dispositivos ainda têm problemas a serem resolvidos.
Uma grande parte de problemas nos ambientes empresariais é que os dispositivos pertencentes a indivíduos transitam dentro e fora do ecossistema empresarial. Os dispositivos que são usados tanto para fins pessoais quanto empresariais acabam misturando as necessidades de segurança e os tipos de dados de ambas as áreas de uma maneira potencialmente insegura. Os gerentes de segurança de muitas organizações tiveram de lidar com dispositivos de propriedade pessoal acessando serviços corporativos, exibindo dados corporativos e conduzindo operações comerciais. O problema é que esses dispositivos pessoais não são gerenciados pela organização, o que significa que qualquer coisa armazenada neles não é gerenciada. (mais…)