Segurana em Redes

Ameaas para Segurana em redes No mundo actual as ameaas a redes de computadores e grande. Por causa da natureza da rede de comunicao global , as ameaas podem vir e aumentar o numero de lugares e esto constantemente tomando novas formas. Ameaas na segurana das redes so geralmente categorizados em dois tipos bsicos que so interno e externo. Hoje em dia protegemos as redes pelo uso de Firewalls, sistemas de preveno de intruso, listas de acesso, controlo da camada 2, Firewalls da camada de aplicao , proxies e outros sistemas para providenciar o que se chama de defesa em profundidade.Com a defesa em profundidade os intrusos devem trabalhar mais duro para alcanarem os seus objectivos de penetrar em uma rede. Ameaas Externas Ameaas externas vem de fora da nossa rede de quem esta a tentar penetrar nela. Elas podem tomar diferentes formas e so tentadas por pessoas por vrios motivos. Engenharia Social: Enquanto no e necessrio um ataque baseado em tecnologia , a engenharia social pode ser definitivamente categorizado como um ataque contra a confidencialidade. O Atacante vai tentar obter informaes pessoais a partir da vitima com o objectivo de explorar alguma coisa. Por exemplo o atacante tenta ganhar acesso para uma conta bancaria online ou descobrir a password da vitima do seu computador do servio. Ataque de negao de servio : Este tipo de ataque pode desabilitar ou danificar o uso do sistema. Este pode ser o carregamento(envio) de pacotes grandes para o alvo , com o objectivo de explorar vulnerabilidades no sistema operativo ou cdigo ou tambm pode envolver o uso de formato de dados incorrectos. Existem alguns tipos especficos de ataques de negao de servios: SYN flood Um SYN flood e o resultado de usar o handshake de trs vias(handshake triplo) para causar uma negao de servio. O atacante envia muitos pacotes com o endereo IP de origem que e confivel pelo host de destino(spoofed) que pode ser um roteador ou firewall. Pelo facto de o endereo IP de origem sofreu um spoofing quando o roteador ou firewall responder com um SYN ACK, ele nunca sera recebido. O roteador ou firewall mantem esta conversao SYN aberta , a espera de uma resposta de ACK a partir do host de origem que nunca chegara. Agora imagina o roteador a espera de muitas resposta de ACK ? Ataque Smurf Voce pode ter uma viso de pessoas azuis , mais no e isto em que me refiro .Um ataque Smurf , e um nico host , usando um endereo IP que sofreu um Spoof , envia uma inundao de ping para o endereo de broadcast. Esta e uma forma de negao de servio. O que acontece e que todos os IPs que recebem o pedido naquele domnio de broadcast envia um echo reply para o IP que sofreu um Spoof , na qual e um IP real e o alvo do ataque de negao de servio.

Srgio Leandro Fernandes Nunes

Pgina 1

Segurana em Redes
Ataque de negao de servio distribudo (DDOS) Os Botnets so as armas de escolha no mundo de hoje quando se quer conduzir um ataque DDOS. Qualquer grupo de computadores sobre um ataque de controle directo ou indirecto podem ser usados para efectuar um ataque usando os mtodos j mencionados . o Um botnet e um grupo de computadores que tem a sua segurana comprometida de varias maneiras que podem ser controlados por uma terceira parte(pessoa ou computador). Ataque de Man-in-The-middle(MITM) Este e um ataque clssico na qual o atacante se insere no meio de uma conversao na qual ele pode observar o trafego que vai de um computador ao outro. Eles podem ser simplesmente observados ou manipulados o trafego como ele flui a partir da origem ao destino. Session Hijacking Este e similar ao o ataque MITM, mas o atacante tem como se apoderar de uma sesso que a vitima tenha iniciado. Isto e feito pela observao , pela suposio , ou por outros meios para ganhar acesso a um ID de sesso que e usada enquanto a vitima esta conectada. Ataque de fora bruta Um ataque de fora bruta envolve a tentativa de combinaes possveis ate a correta ser encontrada. Este tipo de ataque e aplicado a password , chaves encriptada e o resto. Um exemplo a este tipo de ataque ocorre no mundo sem fio. E sabido que o Wired Equivalency Protocol(WEP) esta sujeito a um ataque na qual o atacante quebra a chave WEP. Uma vez feito , todo o trafego que esta encriptado esta disponvel para o atacante que esta posicionado como outro host na rede sem filho. Ameaas Internas So geralmente considerados os mais perigosos tipos de ameaas porque pessoas dentro da organizao tem mais acesso e mais conhecimento acerca da rede e dos equipamentos na rede. Uma ameaa interna pode ser as vezes como a simples instalao de um keylogger nos computadores dos colaboradores com o objectivo de roubar as password para o sistema que ele que aceder. As ameaas internas so bem sucedidas por um numero de razoes: Usar patching imprprios(service pack) Configuraes padres e password padro Melhor praticas ditas pelo vendedor no seguidas Praticas de programao inseguras Segurana de Aplicaes Ataque em aplicaes so tentativas para ganhar o controle de uma rede ou computador atravs de aplicaes especificas , muitas vezes um web browser ou aplicaes de email. Eles so frequentemente bem sucedidas por muitos factores: H no existncia de um firewall . H existncia de um numero muito grande de ferramentas de segurana que so criadas com o objectivo de especifico para ataques web. Srgio Leandro Fernandes Nunes Pgina 2

Segurana em Redes
Objectivos de Segurana de Rede

Confidencialidade

Disponibilidade

Integridade Confidencialidade Tanto os dados estarem em repouso ou em movimento , estamos preocupados acerca da confidencialidade . Encriptao e uma forma de proteger a confidencialidade de dados. Integridade A integridade refere-se para os esforos feitos para assegurar que os dados (no importa como eles so )chegam ao seu destino inalterados . Uma mtodo de verificar a integridade e usando uma funo de hash . Esta verificao ajuda a determinar se os dados que foram originalmente enviadas so os mesmos dados que chegaram no destino. Disponibilidade Os dados esto disponveis ? Por exemplo , se voc esta impossibilitado de aceder a sua conta no Facebook , o que aconteceu em uma manha recentemente , voc esta com uma problema de disponibilidade . Nos nos tornamos uma sociedade orientada aos dados , e pode ser uma dor de cabea se os nossos dados no estiverem disponveis. Categoria de ataque Confidencialidade Integridade Disponibilidade Estratgia de ataque MITM, Captura de pacotes, Mapeamento de portas Codigo malicioso, Keylogger, proxy Ataque DDOS,SYN flood, Smurf Exemplo de tipos de ataques

Classificao dos dados As organizaes tem de classificar os dados para os proteger de maneira adequada. Devemos saber que : Todos os dados no so iguais. Alguns dados podem embaraar ou causar danos se for feita publica. Temos de concentrar os seus esforos para poder proteger dados crticos e no todos os dados. Ento quais so os pontos mais importantes a considerar quando se classificam os dados? Srgio Leandro Fernandes Nunes Pgina 3

Segurana em Redes
Primeiro se a organizao tem problemas em classificar os dados , ela envia uma mensagem acerca de quanto e dedicada com a segurana da informao. Segundo os proprietrios dos dados tem de determinar qual e a sensibilidade. Isto ajuda os administradores de sistemas e os profissionais de segurana em redes determinar o controlo apropriado para salvaguardar os dados. Ultimo , alguns tipos de dados esto sujeito a controle regulatrio. A regulamentao pode determinar qual controle deve ser usado para salvaguardar os dados. Os nveis de classificao diferenciam de uma organizao para outra .Algumas tentam seguir o sistema de classificao similar ao militar . Classificao Militar dos Dados Classificao Sem Classificao Sensvel mais sem classificao(SSC ou SBU) Confidencial Descrio de dado Dados que no tem confidencialidade, integridade ou disponibilidade. No e sensvel a organizao. Dados que podem causar algum embarao a organizao se for feita publica. Dados que tem a menor proteco restritiva dentro do ambiente de classificao. Este dado tem proteco de confidencialidade. Dados que precisam ser assegurados com custo significativos e esforo. Estes dados devem ser mais restritivos que o confidencial mais menos restritivo que o top secreto. Dados que precisam ser assegurados com custo significativos e esforo.

Secreto

Ultra-Secreto

Classificao dos dados para o sector privado Classificao Publico Descrio dos dados Dados que esto no domnio publico , tal como papeis brancos, informao de estoque, informaes de marketing, no necessita de proteco. Muito similar a classificao SBU no modelo militar. Um exemplo pode ser um dado sensvel ao tempo que pode trazer embaraos a organizao se for revelada tarde mais no causara uma brecha de segurana Dados que so importante para a organizao e e protegido de acordo. Um directrio de um empregado deve cair neste nvel de classificao. A informao no e tencionada para ser revelada no mundo exterior. O nvel mais alto dentro das organizaes privadas e fornecem um nvel alto de controlo de segurana e caro .

Sensvel

Privado

Confidencial

Srgio Leandro Fernandes Nunes

Pgina 4

Segurana em Redes
Quando uma organizao classifica os dados usa critrios como: Valor este e um componente importante na classificao dos dados. Qual e o valor do dado para a organizao ? Se voc no pode determinar o valor, voc no tem bases no qual se deve decidir quanto deve ser gasto para assegurar este dado. Idade Tem notado que ate o pentgono desclassifica alguns dados apos um perodo especifico de tempo? Isto e porque j no e relevante no ponto de vista de segurana. Um exemplo pode ser uma tecnologia que foi uma vez secreta mais agora tem uma mais avanada por detrs da sua forma original ,ento no h razo para manter o secretismo. Utilidade No existe razo para proteger informao que ningum mais se importa. Por exemplo um relatrio financeiro de a 3 anos atras no tem utilidade para mais ningum. Dados Pessoal Uma das ultimas regras no esquema de classificao e asseguramento de informao so : o Proprietrio E a pessoa responsvel por ele, e um alto membro da direco o Custodian E a pessoa que toma conta dos dados e usualmente algum da rea de IT. Esta e a pessoa que mantem os servidores a base de dados e os backups. o Usurio E algum que usa os dados como parte do seu dia-a-dia. Controle de Segurana Uma vez que os dados foram categorizados e o proprietrio foi identificado , e a responsabilidade do custodian de aplicar o controle de segurana para os salvaguardar. Tipos Administrativos So tipicamente associados com politicas e procedimentos . Exemplo: Auditoria de politicas de segurana e auditoria , Treinamento de conscincia, alterao dos procedimentos de controle, rotao de trabalho etc. Tcnicos So usualmente baseados em hardware e software. Exemplo : Firewall , IPS ,Lista de controle de acesso , equipamentos de VPN ,Sistema de controle de admisso de rede(NAC) , RADIUS e TACACS+. Fsico So tipicamente de natureza mecnica. Exemplo : Trancas, UPS , geradores Diesel , Guardas , Sensor de movimento , Sistema de alarme , sistema de supresso de fogo . Assegurando o acesso administrativo Existem alguns mtodos para aceder a um roteador que podem ser : Consola Virtual Web(http ou HTTPS) Deve-se que o https e mais seguro que o http pelo facto do https usar o SSl para o gerenciamento da sesses. Srgio Leandro Fernandes Nunes Pgina 5

Segurana em Redes
Existem dois modos de interaco com o roteador que so o modo de usurio e o modo privilegiado. Directivas do uso de passwords Usar o mnimo de 10 caracteres Usar uma combinao de maisculas e minsculas mais caracteres especiais e nmeros. A password no deve ser uma palavra que pode ser encontrada no dicionrio. Deve se ter uma politica do tamanho das password e quanto tempo elas devem ser alteradas. Tipos de password Existem alguns tipos de passwords que so: Linhas VTY E usada para as conexes remotas por SSH ou Telnet para aceder o roteador. Enable password E usada para ir ao modo privilegiado e uma password fraca ou vulnervel porque e uma password de tipo 7. Enable secret password Por causa da vulnerabilidade da password enable a cisco veio com a enable secret que usa a funo hash MD5. Se encontrarmos um 5 enfrente a password quer dizer que e do tipo 5. Configurao dos nveis de privilgios Por vezes organizaes grandes tem a necessidade para mltiplos nveis de privilegio no roteador . Por exemplo em alguns NOCs deve haver 3 nveis tcnicos . O nvel 1 e 2 deve garantir o acesso a alguns comandos mais o nvel 3 deve ter acesso total. Exemplo Router(config )# privilege exec level 2 traceroute Router(config )# enable secret level 2 p4ssw0rd Com o roteador configurado desta maneira deve fazer o login com o nvel 2 usando o seguinte comando: Router # enable 2 Passowrd: p4ssw0rd Router# show privilegie CLI Views Com o Cisco IOS voc tem a habilidade para criar o Command-line interface views . Ele e similar a configurao o nvel de privilegio mais envolve o uso do AAA para definir a views para aplicar a um usurio em particular ou regra. As viwes do para algum que faz o login no router uma maneira de ver qual privilegio ele tem.

Srgio Leandro Fernandes Nunes

Pgina 6

Segurana em Redes
A primeira coisa que temos de fazer para configurar a view e de habilitar o AAA Router(config)# aaa new-model A view root e a view que o administrador deve ter . Um administrador tipicamente deve ter um privilegio de comando nvel 15. Segundo coisa e habilitar a view. Router# enable view Agora que a view esta habilitada pode-se configurar views adicionais . Router# configure terminal Router(config)# parser view NOC Router(config-view)# secret 0 n0cp4ssw0rd Router(config-view)#commands exec include traceroute Router(config-view)#commands exec include ping Agora que voc terminou a configurao desta view pode verificar usando o comando enable view Router # enable view NOC Assegurando os ficheiros do roteador Podemos fazer com que o roteador faa copias de segurana das configuraes do roteador e da imagem do roteador que so escondidos de serem vistos no directrio normal. Podemos ento fazer o seguinte: Usar o comando: o S ecure boot-image no modo de configurao global para criar uma copia de segurana da imagem do roteador. o Secure boot-config tambm no modo de configurao global este comando guarda a configurao do running-config para um armazenamento persistente. o Show boot-set para verificar as configuraes . Caractersticas de login para conexes virtuais

Adicionar atrasos entre tentativas sucessivas de login. Desligar a funo de login se uma tentativa de DoS for detectada. Gerar mensagens de loggins do sistema para tentativas de login Para adicionar atrasos entre tentativas de sucessivas de login usa os seguintes comandos: Login block-for Login delay valor em segundos para o atraso

Srgio Leandro Fernandes Nunes

Pgina 7

Segurana em Redes
Desabilitando o roteador quando e detectado um DoS Depois de definido o perodo especifico de tempo e o limite o roteador no respondera a novas tentativas de conexo por dado intervalo de tempo em silencio chamado quit-period. Se configurado uma lista de control de acesso para controlar o acesso dos hosts para que qualquer hosts que tiver uma correspondncia na lista de acesso durante o quit-period poder ter acesso , ento usamos o seguinte comando: o Quit-mode access-class x Uma outra maneira para nos podermos controlar os acessos aos dispositivos e gerando mensagens de loggins , ento usamos os seguintes comandos: Login no-sucess Login on-failure Cisco SDM Usado mais propriamente para a conexo a um roteador em modo grfico usando um navegador WEB . Para o usarmos devemos ento fazer o seguinte: Ip http server Ip http-secure server Ip http authentication local Username <nome> privilege 15 secret <password> Antes de fazer as configuraes especificadas acima devemos ento verificar se os ficheiros adequados esto no roteador , ento podemos usar o seguinte comando : Show flash o Home.tar o Home.shtml o Common.tar o Es.tar o Sdm.tar Sdmconfig-router_platform.cfg No SDM podemos configurar o seguinte: Interface Firewall e lista de controle de acesso VPN Auditoria de segurana Roteamento NAT Sistema de preveno de intruso Qualidade de Servio NAC Srgio Leandro Fernandes Nunes Pgina 8

Segurana em Redes
Tarefas adicionais o AAA o DNS o DHCP o Etc Definindo os Servios AAA Autenticao : E um servio mais bsico da plataforma AAA . Ele habilita o usurio de se logar e provar que ele e quem diz ser . Diferentes mtodos podem ser usados o mais bsico e o nome de usurio e a password. Tambm podem ser usados aparelhos biomtricos. Autorizao : Uma vez autenticado a autorizao dita quais servios so permitidos e quais recursos o usurio pode aceder. Em roteadores Cisco a autorizao permite o administrador de determinar que/quais comando(s) podem ser usados por um usurio. Contabilizao (Accounting): Depois do acesso ser permitido e a autorizao tambm tem-se a necessidade para guardar o que aconteceu , deve-se manter o rastro do que aconteceu enquanto determinado usurio esteve dentro do sistema. Definindo do RADIUS e o TACACS+ RADIUS Usa UDP como plano de transporte , s encripta a password , combina a autenticao e a autorizao , suporte limitado para alguns protocolos , diferencia-se a implementao por fabricante, o trafego e mnimo atravs do suporte limitado. TACACS+ - Usa o TCP como plano de transporte , encripta o corpo inteiro do pacote, excluindo o cabealho , separa as funes de autenticao e autorizao e de contabilizao . Suporte multiprotocolo completo . Especifico para equipamentos Cisco . O trafego pode ser significativamente alto comparando com o RADIUS porque o TACACS suporta mais comandos e capacidades . RADIUS O Remote Authentication Dial In User(RADIUS) e um esquema de autenticao livre .O radius usa tipos de mensagem especificas para estabelecer comunicao entre o aparelho(Cliente) e o Servidor. Tipos de Mensagens o ACCESS-REQUEST Esta mensagem comumente contem o username e a password e mais alguns atributos o ACCESS-REJECT -Esta e a mensagem que provem do servidor a indicar que o username e a password esto incorrectos. o ACCESS-ACCEPT Esta e a mensagem que provem do servidor a indicar que o username e a password esto correctos. o ACCESS-CHALENGE Esta mensagem e enviada quando uma forma de autenticao adicional esta a ser empregada , tal como um PIN

Srgio Leandro Fernandes Nunes

Pgina 9

Segurana em Redes

TACACS+ O Terminal Access Controller Access-Control System Plus(TACACS+) foi criado pela Cisco e usa a porta TCP 49. Tal como o RADIUS ele tambm tem mensagens usadas para se comunicar entre o servidor e o cliente. Tipos de Mensagem ACCEPT O username e a password foram autenticados correctamente REJECT O username e a password no foram inseridos correctamente ERROR Quando um erro ocorreu em algum lugar ao longo do caminho . Isto no significa necessariamente que a password e o username esto incorrectos. Tipicamente e algum tipo de erro de comunicao. Se algum tipo de autenticao alternativo existir o roteador tentara este mtodo. Continue Isto denota que necessita de informao adicional a ser providenciada pelo usurio da autenticao a ter lugar. Configurao da Autenticao A autenticao e usada para assegurar que os usurios so quem eles dizem ser e ajuda a assegurar que os dispositivos estejam protegidos. Autenticao AAA usando a Base de dados Local o Aaa new-model o Username <username> password<password> o Aaa autentication login default local A ultima linha diz que por padro para o login o AAA usa a base de dados local. o o o o AAA authenticatiom-attenpts Poem limites no numero de tentativas de logins antes do usurio ser fechado o acesso. AAA Authentication enable Combina a palavra default para indicar a password enable a ser usada para autenticao. AAA autentication PPP E usada nas linhas seriais para habilitar o PPP. AAA autentication login Esta opo configurar a autenticao para ocorrer no login.

Usando Lista de Mtodos Existem 5 tipos de lista de mtodos: Local Usa a username e a password existente na base de dados local Enable Usa a password enable para a autenticao RADIUS Usa o servidor para a autenticao TACACS+ -Usa o servidor para a autenticao. Line Usa a password de linha para a autenticao.

Srgio Leandro Fernandes Nunes

Pgina 10

Segurana em Redes
Para configurar um mximo de 4 mtodos dentro do contexto de uma lista de mtodos. Exemplo: o AAA autentication login default group tacacs+ line enable

Configurar o AAA para a porta de consola usando uma lista de mtodo o AAA authentication login lista-consola local o Line console 0 o Login authentication lista-consola

Para o PPP fica o Aaa authentication PPP default local

Configurando a Autorizao Pode-se usar a autorizao para definir qual comando pode ser usado e por quem. Exemplo: o o o Aaa authorization commands 15 default local Aaa authorization network teste1 local Aaa authorization exec teste2if-authenticated

Configuraao da contabilizao (Accounting) A contabilizao serve para registrar tudo que foi feito na rede e criar auditorias. Exemplo: o o Aaa accounting commands 15 default stop-only group tacacs+ Aaa accounting auth-proxy default start-stop group tacacs+

Configurando o TACACS+ o o o o Aaa new-model Tacacs-server host 172.16.100.100 single-connection Tacacs-server host 172.16.100.101 single-connection Tacacs-server key mysecret

A opo single-connection especifica que o roteador e o servidor tacacs mantem uma nica conexo TCP

Fechando um Roteador com CLI

Srgio Leandro Fernandes Nunes

Pgina 11

Segurana em Redes
O mecanismo usado que o IOS do roteador possui para automaticamente trancar o roteador e chamado de auto-secure. O propsito e de permitir administradores que no esto familiarizados com todos os parmetros de segurana existente no Cisco IOS para usar um simples comando e trancar ento o roteador a um nvel mnimo. O auto-secure lida com duas reas gerais de actuao quando se fala em segurana no roteador que so : O plano de gerenciamento aplicado para o controle administrativo do roteador O plano de encaminhamento Aplica estas caractersticas de segurana aos recursos que se dedicam ao encaminhamento de pacotes. Plano de Gerenciamento O plano de gerenciamento que pode ser aplicado em 5 reas concernente ao roteador como: Desabilitar servios gerais desnecessrios. Desabilitar os servios por interface que so um potencial vector de ataques. Habilitar politicas de logs que aumentam a segurana Assegurar o acesso ao prprio roteador Desabilitando servios Globais . Quando o comando auto- secure e usado alguns servios so automaticamente desabilitados sem o usurio notar. Estes so alguns servios globais desabilitados automaticamente pelo auto-secure: Finger - Um servio antiquado que providencia informaes uteis para um atacante. Small Service servio de diagnostico TCP/UDP que pode ser explorado para causar uma negao de servio BOOTP Protocolo inseguro que e similar ao DHCP HTTP server O HTTPS e o mtodo preferido porque ele tem encriptao IDENT - Um servio antiquado que providencia informaes uteis para um atacante CDP Providencia informaes acerca de um dispositivo remoto no segmento(prximo salto). Isto e til para o atacante e vulnervel para ataque de negao de servios, se o atacante enviar muitos pacotes CDP para o roteador. NTP Nativamente um protocolo inseguro . pode-se tornar mais seguro a autenticao MD5 e lista de controle de acesso. Source Routing Packet Assembler and Disassembler(PAD) Servio que pode deixar o roteador vulnervel. Desabilitando Servios por interface Quando se usa o comando auto-secure os servios a seguir so desabilitados sem o usurio notar: ICMP Redirects ICMP Unreachebles pode ser explorado para um ataque de negao de servio

Srgio Leandro Fernandes Nunes

Pgina 12

Segurana em Redes
ICMP Mask Reply -pode revelar a mascara de sub-rede, na qual pode ser til para o atacante. Proxy ARP Outro servio que pode ser explorado para ataque de negao de servio Directed Broadcast Conhecido de ser a causa para ataques smurf MOP(Maintenance Operation protocol) - e parte do conjunto de protocolo da DECnet usado para a manuteno e pode ser explorado se uma vulnerabilidade for descoberta. Habilitando servios Globais Depois de usar o comando auto-secure os seguintes servios sero habilitados: Service password Encription Encripta todas as passwords de nvel de servio para que elas no fiquem visveis na configurao Service tcp-keepalives-in Geram pacotes de keepalives em conexes de rede de chegada(incoming) Service tcp-keepalives-out - Geram pacotes de keepalives em conexes de rede de saida(outcoming) Assegurando o acesso ao roteador Depois de usar o comando auto-secure o seguinte ser configurado: Mensagens de Banner Se uma no existir sera pedido que se introduza uma interactivamente Password e Login Estas so configuradas nas linhas AUX,Consola,VTY, o tipo de transporte de entrada e sada so configurados para permitir o SSH e o Telnet. Loggins para segurana - Depois de usar o comando auto-secure o seguinte ser habilitado, na qual permite a identificao dos incidentes por via de analises de logs detalhados. Isto aumento um resposta ao incidente prpria. Time Stamps and sequence numbers Indispensavel para fazer analise de logs detalhadas. Login-related events pode revelar tentativas de ataques de login Loggiig console critica Envia mensagem de logging para todas as linhas TTY Logging buffered Mensagens de logs para o buffer interno Logging trap debugging Mensagens de logs com alta severidade do que o debugging e envia elas para um servidor de Syslog. Plano de encaminhamento Podemos garantir segurana no plano de encaminhamento habilitando o seguinte: Cisco Express Forwarding Habilitar o CEF ou CEF Distribudo para permitir um melhor control dos ataques de inundao de SYN TCP Intercept , se disponvel quando disponvel e configurado para o time-out das conexes . Unicast Reverse path Forwarding(uRPF) se disponvel E usado contra o ataque de IP Spoofing pela verificao do endereo IP de origem Srgio Leandro Fernandes Nunes Pgina 13

Segurana em Redes
Context-Based Access Control(CBAC) - e Habilitado quando o roteador tem o servio de firewall em uso .

Srgio Leandro Fernandes Nunes

Pgina 14

This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.