Comptia Security SY0-601 - Resumo Domínio 3

Estão de volta pessoal continuando aqui a sequência de vídeo de resumo bora aqui agora pro nosso domínio três domínio de implementação esse domínio aqui é o que mais cai na 601 tá ele acaba sendo um pouco mais puxado que ele tem nove itens no primeiro aqui a gente vai falar sobre protocolos Seguros né como implementar isso daí o slide Fala um pouquinho aqui introdução né sobre o que que seria protocolo propriamente dito usor pv4 e Tal DNS Sec a prova só vai entrar no detalhe aqui de que isso vai ser usado para poder dar segurança

nas consultas de DNS e tal tem um tem um tem esse termo aqui interessante aqui do DNS sobre htps mas não me lembro de ver questão sobre isso daqui o SSH porta 22 normalmente vai est sempre falando aqui sobre essa parte de substituto seguro para o telnet que é porta 23 e aí tem alguns protocolos que gente vai mais paraa frente que o SSH né esse protocolo Roda em cima de sshg ou baixa enfim em cima disso que é esse detalhe aqui ó quando eh tiver com prefixo a criptografia fo vai ser fornecida por SSH

e quando for no sufixo vai ser fornecida por tls não generalize isso tudo tá tem alguns protocolos que não entram não é o caso de ser seg de ser seguro por um desses dois aqui SM mime é um exemplo desse aqui então ele tem essas formas aqui de fazer essa proteção no e-mail né No smtp que seria o Sime e PGP o mime de uma forma geral aqui ele acaba estendendo né a capacidade da smtp E aí o SM mime foi desenvolvido para isso a prova também não se adentra nisso Apesar de que falar aqui

né que criptografia pode rodar criptografia assimétrica e simétrica mas a prova só vai falar sobre eh a questão um pouco que desse detalhe de de se estender a capacidade e de uma forma segura digamos assim o srtp que seria o que o RTP seguro né em cima de quem que quem do SSH justamente o srtp aqui basicamente muito utilizado aqui para para VoIP né ldaps o ldaps Originalmente roda aqui na 389 e na 363 Só que tem um esqueminha dele dele rodar como a acho que é um modo explícito que ele roda na 389 só

que seguro e aí é o lance lá do Star LS eu acho que é isso mesmo que ele roda é que seria que esse ldaps aqui só que ele de modo acho que explícito alguma coisa assim mas a prova não não adentra nisso Tá então é só essa questão aqui do 636 seguro FTP porta 2021 E aí tem a parte do ftps também que também entra naquela questão que eu comentei lá sobre o o modo explícito aqui que ele vai fazer o a proteção nas portas originais e no modo implícito aqui é 990 e 989

que aí entra aqui nesse FTP is né modo implícito ou no explícito tá E aí como tem um szin no final aqui ele é protegido por quem por tls tranquilo eh Provavelmente a a prova não vai entrar nesse nesse conceito aqui ó na verdade não me lembro de cobrar então ela vai falar só desse 99 90 e 989 aqui é aquele 200 Cent a mais aqui de conteúdo tem o FTP protegido por SSH seria o sftp tem a questão aqui do shtp também isso aqui foi só um um adendo a prova não não entra nesse

mérito aqui sdmp traz aqui a versão 3 que é a mais segura que tem como fazer autenticação e tem a questão aqui da operação de portas né 161 e 162 udp não vai entrar mais nesse mérito da prova só vai falar que essa aqui é a versão né recomendada digamos assim htps tranquilo né htp roda na 80 e htps na 443 tem como você também forçar ele para rodar C PS na porta 80 mas a prova também não vai entrar nesse mérito aí bom acho que seria isso parte de PSC normalmente tá sempre vinculada a

VPN prova também fica nesse nessa base aí tem a parte do do do iqe aqui né que seria a o protocolo de troca de Chaves Hum a parte do authentication header e do do espes também não entra nesse mérito aí e aqui tem alguns detalhes também o modo transpor aí tem uns modos aqui né normalmente o modo transporte aqui ele é o é o site site o client e o túnel normalmente ele é site o site pop e eap só vai cobrar questão de protocolos né E essa questão segura aqui do pop tem o pop

3S que é a versão do pop mais segura que é a versão do pop mais recente e o imap também aqui e tem A A questão aqui da da porta né TCP 110 e 995 pro pop e um 43 e 993 po map é a questão do do pop 3 e o pop pop 3 110 e o pop 3 s995 e respectivamente aqui PR map também e a smtps aqui porta 465 é basicamente isso que a prova vai cobrar é só essa versão segura não não cobra mais detalhe disso E aí aqui traz alguns tópicos

sobre os casos de uso né onde que esses protocolos vão ser utilizados para voz e vídeo ou é no caso do srtp lá parte de sincronia o ntp que usa porta Udp 1 2 3 ele fala aqui também sobre o SN sntp né que seria o Simple Network time protocol que eu acho que ele é mais antigo é aqui porém mais simples mas acaba não sendo tão Preciso com ntp eu acho que quase já não não é utilizado mais tá utilização de e-mail e web é tem essa questão aqui do start tls comentei com vocês

que permite versões criptografadas e não criptografadas utilizem a mesma porta pra também não entra nesse detalhe mas isso é bom tá Você ter conhecimento um resuminho aqui dos protocolos para e-mail e web FTP aí então FTP e o tftp seria esse trivial File Transfer protocolo parte de serviço de diretório ele recapitula aqui de novo né O ldap 389 ldaps ldaps aqui seria 636 para fazer acesso remoto no caso RDP aqui 3389 DNS porta TCP para transferência de zona e o DP pra consulta e o DNS Sec aqui questão de segurança parte de Road sut tá

falando de STP e o rstp que seria o Rapid spun Tri protocolo parte VPN que entra em ca questão lá do ipsec E aí que uma explicação do da STP né do span Tri protocolo que eu portar desse bônus aqui provavelmente a prova não cobrar de um modo geral evitar uso tão net Inclusive tem uma questãozinha específica lá de desativar alguns serviços o telnet ele é considerado não seguro tá então você tem que desativar ele e ativar o SSH por exemplo ou htps se for para um gerenciamento web de Algum ativo grava Essa dica aí

vai ser importante para você Nati aqui fala sobre a parte de screet subnet que seria a dmz que ele chama aqui de dmz tem essa rfz 1978 aqui que fala sobre essa parte de endereços privados né Nat vai ser a tradução acho que esse aqui tá bem tranquilo serviço de assinatura E com isso a gente já termina aqui o nosso item 3.1 Começando aqui com o nosso item 3.2 a gente vai falar aqui sobre parte de segurança de host ou de aplicação Introdução aqui ficou batido né Começando aqui com a prote de end Point o

end Point ele vai ser um dispositivo final né seja aqui desktop notebook enfim o antivírus a gente viu lá nos domínios passados que o vírus é uma categoria de maer né então hoje os antivírus eles não são mais só antivírus eles são antim mers que protege uma gama aí de maers Então mas aqui o material traz antivírus mas na prática a gente sabe que é antim e às vezes até um edr Né que a gente já chama aí Acho que mais paraa frente material Comenta alguma coisa sobre isso daí então o antivírus aqui né a

gente sabe que que era um pouco mais amplo disso aqui que até comento aqui ó antim antivírus mais moderno né tal o edr que eu comentei com vocês né a parte de detecção e resposta ali que ele já faz um tipo de tratamento além do antim Comum digamos assim dlp são aplicações aqui de um modo geral que vai prevenir perda de dados tá então Esse conceito ele acaba sendo meio Esse é o conceito mas ele vai mudar um pouco o contexto Ah vai ser um dlp de meio um dlp em cima de um RP né

de um software ali de gerenciamento enfim Next Generation Fire vai ser um Fire aqui de próxima geração ele tem agora Essas funções aqui e acima dele não sei se tá mais pra frente mas tem o utm que seria unifi trat Management Management acho que é isso é Management até comenta aqui ó ele é quase esse udm aqui né que seria Um Fire a maioria dos firos hoje entraria nessa classificação aí de Next Generation Fire o Hips eu já acho que eu comentei B bati bastante na tecla dessa questão do ids pro IPs né o IPS

ele vai proteger vai prevenir ali então ele vai fazer um determinado bloqueio o ids ele só vai alertar E aí entendendo esse conceito base aqui Não interessa se ele é de host ou de rede que tem um enzinho lá né do Network que a gente vai ver mais paraa frente acho que no outro item E você vai saber que um só Alerta só detecta e o outro faz a a a proteção né a prevenção digamos assim esse conceito vocês não podem de forma alguma se confundir tá então HDs Fire baseado em host normalmente é quando

você tá falando de de um Fire local da Mac tipo Fire do Windows ou iptables ou um Fire dedicado que gente sabe que existe algumas aplicações para isso alguns antes ele também tem a função de Fal integridade de boot que integridade aqui Da inicialização aquela verificação de de hardw se teve alguma alteração enfim dentro disso aqui tem a parte do fi ou WiFi que seria uma substituição aqui da BS boot mur aqui ser inicialização medida né ele vai fazer um cálculo de RH aqui de cada elemento normalmente é mais ou menos a mesma questão aqui

da da integridade aqui só que essa parte de integridade vai ver a parte de sistema operacional e essa m boot aqui tá vinculada essa parte aqui Do da verificação em cima do TPM o bitlocker usa essas funcionalidades né e tal e aí Normalmente quando faz essa essa verificação de rest dá ruim aí ele pede lá para você inserir o código de novo que ele viu que mudou alguma coisa específica né em cima disso também tem a parte do boot attestation ou secur boot que normalmente ele já faz ali o boot direto pelo sistema oper acional

sem deixar que nada tenta intervir nisso daí parte de banco de dados ele comenta Sobre SQL não me lembro qual que era o contexto disso aqui ah proteção né do banco de dados em cima do SQL tokenização a parte de proteger dados confidenciais normalmente isso aqui tá vinculado a cartão de crédito tá pessoal quando fala tokenização tá falando de dados bancários a cartão de crédito a prova leva nessa essa pegada aí o Salt a gente já comentou sobre a parte de Salt de senha né Você coloca ali na uns caracteres ali na frente enfim do

do do Hash aqui dentro do hash da senha bom aplia segurança de aplicação né não tem muito o que comentar validações de entrada parte sanitização dessa de entrada né para você evitar a injeção de de SQL aqui ó que ele comenta buffer overflow entre outros a gente já viu isso daí Cook Seguros tem isso aqui cai na pint test tá Pest aprofunda um pouquinho mais nisso aqui que tem alguns acho que atributos digamos assim que faz essas verificações de cooks do cook Aceitar somente da página dele seguro enfim cabeçal http que também tem alguns detalhes

a prova também não adentra muito isso aqui codes assinatura do código é para fazer uma verificação né tipo assim ah o desenvolvedor fez o código ele assinou quem for mexer mais paraa frente ele vai fazer a verificação daquela assinatura para ver que o código não foi modificado né para verificar na verdade se ele não foi modificado lista de permissão lista de bloqueio isso aqui É um negocinho que pega muito porque o seguinte se um software por exemplo ele não é permitido ser instalado que que significa que ele tá na lista de bloqueio Não exatamente se

ele não é permitido é porque ele não está na lista de permissão não significa que ele esteja na lista de bloqueio Tá agora quando um software ele é proibido a instalação Aí sim a gente imagina que ele esteja na lista de bloqueio tá tenha bastante cautela nisso aí porque foi Coisa que até eu errei em questão não significa que tipo ah o software eh não é liberado né não significa que ele é bloqueado tá que ele tá na lista de bloqueio Pode ser que ele simplesmente não está na lista de permissão o que na prática

né Tem um certo detalhe aí mas na Nível conceitual seria isso aí prática de desenvolvimento seguro fala aqui sobre análise de código estático você usa software específico né para poder fazer essas análise aí tem a parte De revisão do código Manual tem alguns detalhes revisão por pares revisão de ombro e revisão de supervisão essa parte de revisão por pares é quando duas pessoas trabalham de forma né juntas ali tem essa revisão de ombro aqui onde um um outro desenvolvedor só fica olhando o que que o outro tá fazendo ali talvez dando algumas dicas e tal

né mas não é tão é é em simultâneo tipo pares mas pares Parece que eles trabalham junto né o outro aqui é tipo o outro só fica Observando revisão supervisão quando o código ele passa ali para uma verificação de de um segunda pessoa né osor S enf análise dinâmica de có normalmente é quando ele tá durante a execução ali fazer algum tipo de teste ou fosin você vai tentar fazer vários tipos de injeção ali para causar aqui ó erros falhas e travamentos aí vai testar o software no máximo ali não seria bem um teste de

estress de é um tipo de teste de stress mas não stress de Performance tá para ver o quanto software roda ali até ele cair enfim o hardening né uma tradução mil literal seria o endurecimento basicamente você vai fazer ali desabilitação de desativação né desabilitação enfim de alguns serviços fechar portas que não não precisa estar abertas né de uma forma geral ali você diminuir a superfície de ataque portas de serviços abertos né você vai desativar ali De acordo fazendo hard parte registro você Fazer algumas verificações também tem algumas coisas que são alteradas em Registro então às

vezes fazer uma checagem isso é importante esse sed aqui que seria o self self encrypting drive e o fde são formas de criptografia o sed aqui ele vai criptografar propriamente o disco ali né fazer uma a criptografia digamos assim e o fdr vai fazer uma uma criptografia completa tá então essa parte aqui do SD que ficou errado né do sed aqui ele vai ser uma unidade Total Ali baseada em hardware e normalmente o FD tá em cima de software C Tá mas que precisa saber é esse conceito aqui ó do fde que que progra fou

todo o disco tá dependente se ele é via hardware ou software e o sed aqui dessa parte de autoc criptografia a prova cobra mais do FD do que o sd essa parte de opal aqui é parte de especificação dessa TR compute aqui é questão de protocolo a prova não não entra muito isso aqui parte sistema operacional é o sistema operacional né a Parte de segurança dele ali gerenciamento de pets gerenciamento de atualização atualização de terceiros Auto update que seria algum software que aos se atualizam né dependendo do contexto e do cenário isso pode ser um

pouco delicado volta aqui de novo o sédio FD que a gente já comentou o opau de novo essa o hardware essa raiz de confiança normalmente tá vinculado essa parte de cadeia aqui de suprimentos lembra que eu falei de cadeia de Suprimentos que é tudo que tipo desde lá a concepção do produto até chegar no usuário final TPM ah já vi algumas perguntas e alguns vídeos sobre a diferença de tpm e de outra coisa lá que eu esqueci hsm o TPM normalmente ele é um chip aqui ó que ele vai estar vinculado lá placa mãe né

para fazer essa parte de armazenamento de alguns restos criptográficas que a gente viu lá para trás send box tradução mil literal a caixa de areia basicamente vai ser um Um um local ou uma um não um particionamento né Vai uma área de forma geral ali protegida você vai rodar os softwares ali sem afetar seu sistema operacional como um todo pode ser utilizado tanto para fazer teste de ma coisa do tipo um isolamento ali tá com isso a gente termina aqui nosso item 3.2 bora aqui pro nosso item 3.3 falar aqui sobre projetos e rede segura

a gente vai falar aqui sobre balanço de carga acho que já comentei sobre isso basicamente Você fazer ali B lançamento de servidores ou de appliance ali PR você distribuir a carga entre eles existe algumas formas de você fazer isso ativo ativo é quando você vai somar ali o desempenho deles tem o a problemática nisso é que quando você tem uma configuração ativa ativo quando um falha a sua performance ela vai vai ser degradada né que é o seu rendimento ali ativo passivo é quando um fica em standby então quando um cai o outro Assume essa

questão aqui de ativo ativo tem essa ideia tá que eu comentei sobre cair ali e tal mas às vezes se se um por exemplo vamos pegar aí servidor de aplicação tem dois servidores de aplicação lá dois vms se uma só ela tem o a potência ali né a capacidade suficiente para tocar todo o parque então se uma cair não significa que vai ter degradação tá então Esso é meio subjetivo Mas pode ser que vocês vejam paraa frente aí esse essas restrições Digamos assim essas considerações sked são aos formas de agendamento ali você fazer esse balanceamento

e também tem a questão de dos Protocolos de balanceamento tá eu acho que a gente vai ver alguma coisa mais pra frente virtual IP é aquele que ele é alocado para o site mas e pra aplicação digamos assim né a Requião vai chegar nesse IP E aí internamente esse balançador de carga ali que tá na frente ele vai fazer o o balanço pro servidor de aplicação Específico parte de persistência quando ele fala sobre isso aqui é porque às vezes você tem lá três servidores de aplicação E aí o seu o cliente eu como cliente fiz

a requisição E aí o balanceador de carga que ele vai tá na frente disso lá ele vai amarrar minha sessão Tipo olha todas as sessões desse cliente aqui elas vão estar vinculada a um servidor de aplicações específic tá para evitar quedas né enfim de de sessão e tal então existe esse conceito aqui de Persistência quando tá falando dessa parte de balanciamento de carga segmentação de rede inclusive lá para trás tava RC 1978 né Eu até achei que tava realmente estranho para mim era 1918 mas ok eh que fala sobre a parte de IP privados né

Essa rfc aqui então falar a parte de segmentação de rede Normalmente quando a gente for falar sobre resposta incidentes quando incidente ocorre para você fazer a segmentação de rede mas esse conceito Aqui é para você fazer a divisão ali aumentar sua segurança interna Tá mas tem em vista que esse conceito de segmentação de R é muito amplo e ele pode ser aplicado em vários contextos digamos assim velan é um seg segmentação ali lógica da rede física né então normalmente sua rede física Ela tá toda conectada interconectada e você vai fazer uma segmentação lógica de camada

dois ou padrão aqui né É seria 802 1q quando a gente tá falando de 802 1q a Gente tá falando de velan velan são tratados como subredes mas não são subredes pessoal acaba confundindo muito isso aqui velan é criado na camada dois e sub redes são criadas por endereço IP máscara de rede na camada três tá a es subnet é a dmz normalmente é uma rede você faz você Deixa separada ali segmentada para você colocar os servidores que vão né ter algun serviços disponível pela internet ali essa parte de tráfego Leste Oeste seria dentro do

Segmento de rede tá dentro ali da sua rede interna digamos assim entre velans tráfegos entre velans e o tráfego Norte e Sul é o tráfego externo e interno tá então antigamente o pessoal tinha aquele conceito né de que tráfico Norte Sul que era o perigoso hoje isso já mudou quando a gente entra falar sobre o conceito herot trust ele fala aqui sobre essa questão de needs e Hips né sobre essa questão de inspeção Extranet é uma rede Externa normalmente vinculados para Fornecedores né ter um acesso ali específico eu nem lembro se na acho que a

700 não tem mais esse mérito aí é uns conceitos tão meio confusos intranet a rede local aqui confiança zero zero trust É você sempre fazer uma verificação Entra naquele detalhe lá de tráfego leste-oeste tá VPN utilizar a rede pública de internet PR você fazer uma uma um túnel ali seguro né digamos assim e aí o modo de funcionamento da VPN temesse Always On que ela tá sempre Ativa então todo o seu tráfic ele vai tá passando para aquela VPN que ela tá sempre funcionando ali digamos assim né normalmente eh a VPN são conceitos distintos Tá

mas normalmente a a gente vai até no próximo slide normalmente a VPN sempre ativa tá numa questão assim de você sempre precisar de determinado serviço ou a super rid sair toda pela VPN tá esse é o conceito e a parte da VPN split versus fut o split é quando você tem um serviço específico tipo a Por exemplo meu trabalho tem uma VPN que conecta lá para acessar determinadas redes meu tráfego todo sai por lá não meu tráfico sai pela internet quando tem essas redes aqui tem uma adiciona rota né quando você cria VPN ali e

aí quando você precisa acessar essas redes elas vai pela VPN já o túnel completo todo o tráfego aqui ó sai pela VPN por isso que eu comentei que esse conceito de VPN ao Eon aqui ele tá vinculado a VPN tá sempre ativa não tem vínculo com Split Tel ou full túnel mas considerando que todo o tráfego precisa sair pela VPN faz sentido você ativar esse azone tá sempre ativa beleza remote access ou site o site esse acesso remoto aqui é quando você tem um cliente para um servidor local e um site site né é quando

você tem lá entre entre empresas digamos assim né doas localizações Ah aqui acho que é uma revisão né roost roost que a gente já viu volta a comentar aqui sobre parte de ipsec que ele fala que ipsec é Nativo ipv6 prova também não se dentra muito disso aqui SSL t a gente já viu HTML5 l2tp que seria a parte tunelamento aqui criado aqui pela Microsoft ele tem um contto historinha aqui que foi desenvolvido e tal e depois esse negócio acho que ficou aberto alguma coisa assim DNS volta aqui a bater na tecla de 53 TCP

para transferência de zona e 53 udp para consulta e o modo aqui que ele é escrito né dentro do Servidor 4 as aqui né a a a a o nome de rost ereo pv6 e o MX que é para servidor de e-mail um que seria o Network access control vai ser um software uma solução que você vai rodar ali para você poder fazer algum tipo de restrição ao acesso na rede quando alguém for logar na rede vai ter que se autenticar vai ter que fazer algumas verificações ver se essa máquina tá no domínio se ela

tem onm enfim algumas coisas assim PR justamente diminuir essa parte de de qualquer pessoa conectar na rede né eo aumentar Um pouco mais a restrição naquele conceito lá de zero thrust Tem a parte aqui do Agent e o agentless que um precisa do agente e o outro não né e a aí os que precisam de agente existe algumas alguns tipos de agente Por exemplo essa essa agente aqui ó dissolvi ou dissolúvel digamos assim normalmente você baixa ali aquele agente ele roda ali em tempo de memória não é persistente e você tem essa parte aqui do

agente permanente que ele é um Persistente que ele fica rodando na máquina o tempo todo o tem que dissolver dissolvi né Não sei se ess tradução seria mais correta nessa dissolvi aqui na 701 já o material já veio traduzido veio como dissolúvel mas enfim esse é o conceito aí tá ã que fala sobre esse agente ainda gerenciamento fora de banda outof Band basicamente é você ter alguma forma de você acessar seus equipamentos ali sem ser pela rede principal Como assim às vezes você tem lá uma portinha USB no seu F você conecta lá o Mod

em 3G ou às vezes você tem um uma conexão adcr específica enfim é um link a parte ali que Teoricamente você o acesso dele é mais mais difícil de cair digamos assim né ah tô tentando acessar pel internet normal não tá dando certo eu vou para esse gerenciamento de banda aqui um exemplo disso é alguns servidores que tem aquela tipo o d mesmo a placa chama acho que idrac o HP tem um nome uma aluna até comentou uma vez mas não vou Me lembrar agora aqui mas seria um exemplo disso aqui segurança de porta aí

aqui abrange um pouco né tanto porta física quanto porta lógica você desativar portas e serviços ali mas essa porta aqui também tá vinculada à parte Switch se eu não deixar uma porta ali ativada sem sem uso né a toa digamos assim tempestade broadcast às vez quando você conecta um cabo ali na sua rede fazendo um loop e quando STP Aqui não está ativado então é a questão do do do O pacote quando ele é gerado ele vai morrer sempre no próximo salto né E aí você quando o STP tá tá desativado aqui no caso ele

vai ficar rodando Isso dentro da sua rede só vai aumentando né a retransmissão e tudo mais porque ele fica rodando e o pacote não não morre e nesse caso aqui do da do podcast aqui dessa prevenção quando você tem uma rede muito grande ela não é segmentada então ah uma máquina subiu na rede ela vai fazer um DHCP request al ela manda para Todo mundo CP request acho que é isso mesmo ela vai mandar para todo mundo então arp ali é a questão de de consulta arp é broadcast e todo mundo chega então você fica

com um pedaço da sua rede só consumindo por causa dessa questão de broadcast quando a rede É muito grande não é segmentada bpd guard é quando você vai fazer as configurações ali de de portas ali está vinculado à parte do STP para você travar as portas aí tem uma Questão de eu não sei se ppdu específico tem as questão de você eleger uma porta ponte ali enfim normalmente é quando vai fazer um cascateamento lá ent Suits prevenção de loop a gente já falou sobre isso daí DHCP snooping quando você força lá que fala olha o

DHCP ele vai est nessa porta específica aqui nessa porta de Não nessa porta TCP DP mas nessa porta física ali então se vim requisição de hcp de qualquer outra porta ou seja alguém subiu um servidor de hcp ela vai Ser dropado filtro de Mac basicamente você faz algum controle ali em cima de Mac não é considerado muito seguro porque é muito fácil de você clonar o Mac né duplicar parte de Network appli ele comenta um pouco aqui sobre dispositivos específicos de rede né como Jump server ou Jump Box que basicamente vai ser um servidor que

você vai ficar como intermediário para acessar outros por exemplo você tem lá o seu ambient on premon data center E aí ao invés de eu Fazer restrição todas as minhas máquinas virtuais eu faço uma restrição em uma máquina específico lá então faço um hard nela e Libero dessas minhas vms serem é conectadas somente por esse Jump server E aí esse Jump server de qualquer lugar eu me conecto nele uma audição uma camada mais segurança ali ao invés de eu acessar direto minhas máquinas virtuais eu acesso esse Jump server aí beleza o PR server ele vai

servir também assim vai est no meio aí mas não presse acesso Mas tipo um fal aqui né de aplicação Às vezes você não tem um fal Mas você vai um servidor proxy é o conceito tá vinculado mais a parte de navegação tá então tá ele vai ficar entre ali o cliente e o servidor até fala aqui né entre o cliente e o servidor então sua navegação vai passar por ele e com isso ele consegue fazer Cash e filtragem aqui de sites e conteúdos e a com os exemplos aqui quando você faz ele setado aqui na

máquina o prx encaminhamento ele vai ser Mais ou menos a mesma coisa né só que ele vai tá vinculado aqui com as consultas internas e externas tem um prox reverse que ele vai servir a mesma forma só que ele vai receber as conexões de fora para dentro né então vai chegar nele ali normalmente utilizado para fazer balanço de carga vinculado essa parte de Nat aqui tamb também parte de DS e PS de rede não precisa nem comentar sobre isso aqui né Eh a parte aqui deles dessa do funcionamento deles baseado em Assignatura quando tem padrões

de eventos aqui específico né as assinaturas dele mesmo ali tem a parte de heurística ou comportamento como ele faz alguma coisa Ah você baixou ou ou ou uma máquina específica ela tentou conectar um MP depois Tentou fazar um determinado acesso aí esse comportamento ele é considerado malicioso já vai ser bloqueado mais ou menos nessa linha SIM detecção de anomalias eh quando você configura ali uma base line e tudo que Passar dessa baseline dessa linha de base de configuração ele vai entender como um comportamento aqui anormal IPS o a parte de inline aqui passivo Quando você

vai fazer um IPS que ele tem que bloquear o tráfego tem que passar por ele então ele tem que est em Line aqui né a parte do ids não necessariamente você pode colocar para passar pelo ids ou que todo o tráfego seja espelhado emuma porta ali no caso essa porta spam aqui né ou você usa um gente como é que O nome o negocinho é um spam ou um Tap Tap de rede para poder fazer essa duplicação do sinal e passar pelo o ids tá então seria esses esses conceitos aí o hsm vai ser um

modo de segurança de hard ali Enfim pode ser tanto na placa manho aqui ou externo essa que seria uma diferença maior assim do TPM e a continuação né que ele fala aqui que tem um vínculo né o exemplo do hsm é o TPM parte de sensores A tá falando sobre parte de gerenciamento de logs enfim né É alguns elementos aqui de F computing coletor é o que vai fazer essa coleta do log o aggregators ali que ele vai juntar esses logs aí e vai nesse caso que ele tá falando de dados né de sensores mas

o conceito é muito parecido com parte de logs também vai fazer essa agregação ali do dessas essas comunicações centralizar e mandar para para algum servidor específico parte de Fire acho que não precisa comentar muito né tem essa parte aqui de ser permissivo ou restritivo que É bom a gente entender isso daí mas a prova não entra nesse detalhe se você nunca mexeu com Fire Eu recomendo fortemente a fazer as questões pbq da do curso da hotmart eu às vezes subir um PFS e brincar um pouquinho aí enfim ver alguns vídeos aí porque vai ter questão

sobre isso daí tá então tem a parte aqui do filtro de pacote estático que quando ele faz a verificação lá de todo pacote que tá entrando ou tá entrando tá entrando ou saindo normalmente é o tal Do stateless né que ele não tem ele é sem estado e quando tem estado ele só vê o que tá tá saindo lá que fe fechou a sessão ele libera né só vai fazer o filtro do primeiro pacote da sessão todos osos outros depois disso ele vai liberar a parte de Aff aqui seria um F de aplicação web n

f a gente já comentou o stateful aqui e o stat eu acabei de falar e a parte do TM é um um Next Generation Fire ali mais par rudão que tá tudo dentro dele a nível conceitual Na prática eu não lembro de ver um TM propriamente dito tá getway Nat que quando você vai fazer ali uma tradução de de de endereço você vai ter que ter o getway que vai fazer essa essa tradução e depois a a conversão né quando essee tráfego voltar filtragem de conteúdo normalmente está vinculado ali aquela parte do servidor proxy ou

até mesmo do fire que que quando você for sair na navegação ele vai fazer a verificação e se aquele aquele acesso aquela geração Aquela conexão de DNS ali ela for for liberada ele vai permitir se não vai fazer o filtro bloqueio ali da navegação parte de open source ver proprietário aqui tá falando de Fal que são open source e outros são proprietários quando a gente tá falando de empresa grande né não precisa nem falar nada né você não vai mexer com Fire open source porque a trabalheira para gerenciar isso aí é muito grande né você

vai comprar uma solução já pronta que já tem gente que Já tá trabalhando para deixar ela um pouco mais segura hardware versus software que seria os fos de hardware aqui quando você tem uma app a caixa e os files de software quando você tem ali rodando em a máquina virtual ah e tem um detalhe aqui também a rodando a máquina virtual ou de cliente tá de end Point aqui ó entra também nessa categoria de de software aí tem a parte aqui de applies host based ou virtual no caso aqui o appliance ele vai ser o

dedicado Como eu comentei aqui que vai ser a parte da caixa né o baseado em host tipo software só que é para host e o F virtual aqui normalmente ele é um de rede só que ele é instalado no maret virtual basicamente eu comentei no slide passado né a CL aqui vão ser as regras de de controle ali de acesso de uma forma geral isso tem ã permissionamento de pasta de compartilhamento de Fire enfim também é um um conceito aqui que tem vários contextos ro Security seria Segurança de rota aqui é quando você faz uma

amarração digamos assim no no roteador para ele evitar que entre rotas estáticas ali na frente e seu tráfego seja desviado roubado digamos assim qualidade de serviço normalmente você aqui tá vinculado à parte de priorização de tráfego tipo tráfego de Volp que você tem que né fazer um KS nele lá fazer a priorização implicações ipv6 alguns detalhes né ipv6 não funciona com com ipv4 né não tem essa Retrocompatibilidade normalmente você faz existe alguns artifícios para você fazer tem conversão né de pv6 para pv4 tem n Tem pilha dupla Essas são artimanhas aí para poder fazer os

dois funcionar normalmente funciona em pilha dupla né e o bpvc é priorizado parte port span ou port miry foi o que eu comentei lá sobre essa porta spam que ela faz o espelhamento de todo o tráfego e tem esse port Tap aqui também que às vezes você usa lá um dispositivo físico De de rede para ele poder fazer a duplicação do sinal ali serviço de monitoramento no caso que ele tá falando sobre terceiros né lembra lá x aa service no caso que tem um Security a Service ou mas que seria o monitoramento como serviço você

vai contratar alguém para ficar monitorando sua rede ali normalmente o sock quando você contrata ele já tem esse serviço ali emb integridade de arquivos né é basicamente quando você faz ali uma um hash tanto de Um arquivo específico quanto de do seu sistema operacional tem um negócio do check Disk lá do Windows mesmo lá que ele Verifica se tem as dls do Windows enfim se estão Ok na questão de segurança também que você pode rodar de vez em quando no seu ambiente aí com isso terminamos aqui o nosso item tr 3 esse domínio aqui ele

é bem puxadinho bom embora aqui pro nosso item 3.4 dado um cenário aqui instalar configurar parte de segurança aqui de Wireless a gente fala sobre protocolos aqui isso aqui acho que vai ser bem curtinho bem rapidinho parte de rede sem fio aqui a gente tá falando protocolo qu 3 802.11 e tem as letrinhas lá mas a prova não dentra nisso não vai falar só parte de segurança mesmo ali protocolos criptográficos tem o app que a prova não cobra do app mas só pra gente saber né que era equivalência aqui do da privacidade com fio não

deu muito certo E que o app usa rc4 o WPA também não entra lá só fala do ap2 pra frente também usa aqui o algoritmo sc4 e tem a implementação de tkip e do lip aqui né suporte dpa2 que já seria aqui 802 11i que é o a padrão de de do do da pa2 aí já entra naquela questão aqui do do Empresarial né do suporte 8021x e as chaves pré compartilhadas PS ou chave pessoal o que que é chave PS basicamente a chave que você gera lá é a Que a gente tem em casa

se o seu roteador é um pouco mais antigo provavelmente ele vai estar rodando da pa2 Só se ele for mais novo vai est rodando da pa3 ele tem essa parte aqui de usar o algoritmo de stream do AES com ccmp Counter mode aqui enfim e o wp3 quando a ele fala sobre autenticação simultânea de iguais aqui então quando ele falar sobre isso ele tá falando de w pa3 e tem um negócio também de Dragonfly tá essa parte de criptografia aqui de 192 que ele aumentou Antes aqui era não fala né ISO que era 128 depois

ele subiu pro pro 192 enfim não me lembro mas a prova não vai entrar nisso aqui mas quando falar sobre essa autenticação simultâneas de iguais ou protocolo Dragonfly tá falando aqui da pa3 essa parte aqui desse ccmp negócio bem complexo esse tal aqui do sai aqui que seria esses valores aleatórios aqui da chave compartilhada a prova não vai entrar no que que é isso especificamente Só vai falar de Qual protocolo tá vinculado a isso tá implementação saia aqui da pa3 é conhecida como Dragonfly Como comentei para vocês aqui tem uma descrição mais específica disso e

alguns protocolos de autenticação aqui tem a parte do eap seria extensiv authentication protocol e eles tem algumas alguns formas aqui né Lap pap apsim apash ptls mpp tls e começa a fazer uma listinha para ver a diferença deles aqui porque tem alguns que é o Certificado é só para cliente outros é para cliente servidor enfim por exemplo o pap que seria esse é protegido aqui o tráfego é ap é em túnel tls quando ele é utilizado aqui é necessário é necessário para o servidor não para os clientes e aí Esse asterisco aqui para vocês ter

essa questão que essa informação normalmente é implementado com msap P2 P ap aqui bom que ficou errado né aqui seria o lip né Depois de alguns anos a gente vê isso aqui ag gente V ter aqui Da pa da proprietária Sis que foi desenvolvido para né DP A2 aqui enfim tem algumas coisas que é muito superficial tá vendo que só fala assim mais ou menos que é a questão então do protocolo por exemplo lá do do que que o protocolo faz por exemplo do pap que é certificado só para servidor isso aqui vocês tem que

saber tá essa parte da P fash aqui que ele é mais seguro com o LP pode usar certificados entendeu esses detalhes aqui eu recomendo vocês Afinarem bastante aí às vezes se achar que o material tá tá pouco Dá uma pesquisada Extra nso aí faz uma listinha tá que se cair vai ser questão dada digamos aqui nesse caso aqui o da ptls certificação reg nos servidor e nos clientes entendeu esse tipo de detalhe aqui que a prova vai cobrar o eap ttls que que ele vai ter o túnel ali entre os end points antes da autenticação

porque essa parte aqui se não me falha a memória a parte da pré-ca ali ela não é Criptografada e essa do caso desse ttls aqui seria requer Um certificado apenas para o servidor não para o cliente são esses detalhes que a prova vai cobrar 8021x é quando a gente tá falando de proteção de porta que você precisa fazer uma autenticação tá então ele que vai fazer ali o meio de campo não sei se tem imagem aqui mostrando isso mas Vocês conseguem achar fácil na internet tem que ser usado junto com o radius diameter Tac e

o nac que vai fazer esse Aqui vai vai solicitar ali a comunicação mas C A base de usuários entendeu então você tem que ter isso aí parte de radios aqui Federado vai ser o vai ser o serviço né de usuário aqui pro descar de autenticação remota basicamente você vai vai fazer ali a autenticação em cima da sua base de usuários alguns métodos aqui dessa proteção de segurança a gente tem o PS versus enterprise versus o open ou PS que o PR eu comentei com vocês você vai criar uma senha antes vai lá no Roteador e

vai configurar essa senha enterprise ele vai ter uma autenticação aqui então na rede lá você vai ter que fazer usuário e senha e o open é o modo aberto não confundam esse login do modo Empresarial com hotspot tá o hotspot normalmente é rede aberta tá hotspot que tem mais pra frente que a gente vai vai falar o hotspot normalmente aqui ó é rede aberta Então você vai conectar na rede depois que você conecta na rede Você vai ter que fazer uma autenticação Vi navegador a enterprise não quando você clica lá para conectar na rede invés

dela pedir só a senha ela vai pedir usuário sem às vezes algumas configurações de certificado alguns detalhes ali tá o WPS era um negocinho lá um botãozinho que você apertava lá no no roteador e ele fazia uma uma conexão direto tem alguns roteadores que tiraram isso e tem outros que tem esse pin aqui pré-configurado aqui você consegue é já entrar direto sem ter a senha né é Inseguro e é recomendado desativar isso aqui nos roteadores captive Portal que foi o que eu comentei com vocês lá o hotspot vai utilizar isso então às vezes você vai

ter uma rede aberta lá e depois você vai fazer a conexão tipo um shopping por exemplo ah h eu posso ter uma PS ou enterprise depois um cap Portal sim às vezes você usa lá uma coisa para conectar na rede para liberar a navegação via browser você precisa fazer uma outra autenticação no captive Port considerações aqui de instalação ã parte aqui de ah modo infraestrutura que é o roteador ali normal ou modo adoc ou adoc que é quando você faz uma configuração ponto a ponto o usava muito isso aqui na época da faculdade para jogar

CS né não tinha um roteador ali alguém subia a rede todo mundo conectava e ficava felizão desse modo autônomo aqui é a base né você vai rodar ali que seria esse modo adoc aqui no modo extensão você vai fazer tipo uma brid né Você vai aumentar ali a rede enfim alguns outros detalhes aqui Side Survey nada mais é do que você fazer a pesquisa ali da potência de sinal e fazer um mapa de calor al vai meio que fazer uma uma pegar um mapa né o mapa assim a planta baixa ali do local e e

você meio que sinalizar ali onde onde senal é mais forte onde senal é mais frio e aí tem essa questão aqui da das cores né Pode ser que você você colocando na legenda ali né Não não precisa seguir bem essa Essa gora aqui e aí você usa normalmente esses analizadores de wi-fi para você poder fazer S server né pode ser com celular notebook enfim existe algumas técnicas específicas para fazer isso tá a prova não não adentra Nisso porque o seguinte a queda do sinal Ele é tipo assim nos acho que nos primeiros 5 m a

queda do sinal ela é muito muito tênue né e depois a queda ela vai tipo assim não sei se seria o gráfico mais ou menos assim sabe ou seja nos primeiros 5 m o Sinal cai muito depois disso ele não é proporcional Chanel overlaps aqui que seria a parte de você tem uma sobreposição de canais Acontece muito isso em rede 2.4 rede 5 como o espectro é maior não acontece muito e aí por exemplo você tem que colocar lá num canal 1 6 ou 11 que aí eles não se sobrepõem porque porque o seis por

exemplo aqui ele vai pegar do dois até o 10 entendeu o do um aqui ele vai pegar coisa mais para trás frequência mais Para trás aqui só que ele pega até o cinco entendeu E aqui o 11 ele vai pegar até o sete mais ou menos is aqui essa questão da do da sobreposição de rede essa parte da localização do ponto aqui né do do roteador Teoricamente tem que colocar no lugar mais Centralizado ou no maior fluxo ali em cima daquele site server e tem aquela questão que eu comentei com vocês da da atenuação do

sinal parte de ponto de acesso seu controlador quando a gente tá falando de Um wi-fi corporativo normalmente Você tem uma controladora que é um software específico pode usar um servidor específico que ele vai ter você vai fazer todas as configurações nele não vai ser igual um roteador doméstico se você vai vai conectar em um por um entendeu Você vai ter uma solução centralizada basicamente isso aí bem tranquilo né como eu disse para vocês esse tópico é bem puxado Chegamos na metade dele aqui ainda o item 3.5 é isso 3.5 falar aqui sobre segurança de dispositivos

móveis par de tipos de conexão e ores não entra muito aqui no mérito ah questão de celular rede celular é dados móveis que a gente conhece normal aí wi-fi que a gente já viu Bluetooth 802.15 que normalmente utiliza aqui 2.4 não vai entrar no mérito do de versões e tal talvez vai falar sobre aqueles ataques de Bluetooth que a gente já viu Blue sniff Jack near enfim outros aí e Essa parte aqui do pin que é coisa importante NFC a gente já comentou infravermelho também USB também ponto a ponto que basicamente são entre dispositivos um

a um e aritex não confundir com peer to peer Seria tipo um torrente da vida ponto multiponto né próprio Tom já disse aqui onde você tem um ponto e multiponto ali tal GPS tem gente que falar também questão do GPS tem que entender que as questão de geofencing né cerca geográfica vai usar O GPS ali rfid parte de tag receptor ali dele mdm soluções aqui de gamentos dispositivos móveis que que você pode fazer com isso fazer atualizações de PS atualizações de segurança a parte aqui de gerenciamento de aplicações né de gerenciamento de conteúdo o que

que vai poder salvar por exemplo no celular fazer limpeza remota o celular foi perdido não vai conseguir recuperar o equipamento mas as informações lá dentro são importantes então formata o Dispositivo de forma remota parte ge ofens aqui como eu comentei também pode ser tanto em cima de GPS como em cima de um sistema wi-fi ou em cima de rede de localização enfim geolocalização tá vinculado aquela parte GPS ou geotag aqui que é você fazer colocar dados de geolocalização os arquivos por exemplo quando você tira foto lá você ativa isso essa geotag que ele coloca lá

onde foi tirada aquela foto screen Lock seria bloqueios de tela você não deixar o Telefone ali aberto digamos assim essa parte do screen Locks ele não fala de você tanto assim de você colocar uma uma senha obviamente tem a questão de de né a gente sabe que bloqueio de tela ali tem uma senha mas sim de ficar aberto ali tem alguma informação confidencial tá notificações push também pode fazer esse gerenciamento parte senhas e pin tem muito o que comentar parte biométrica também no celular autenticação por contexto normalmente Ela vai estar vinculada ali àquela parte de

atributos né dependendo da hora enfim conização seria você separar ali os dados né às vezes vai ter um um dentro do celular olha que for dado pessoal vai ser salvo uma partição específica seria mais ou menos essa linha aí e nessa parte aqui de segmentação e armazenamento né tá tá vinculado aqui essa parte de conização aqui e armazenamento seguro aqui ele tá falando de contêiner de uma forma específico né Às vezes e tal você você fazer uma forma de segmentação digamos assim lembra lá do do FD que ele traz de novo no contexto de do

dispositivo móvel dispositivos aqui a forma e a forma não é o que que tá vinculado essa parte de segurança também tem a parte aqui do micr SD hsm que você vai fazer aquela aqueles hashes lá aquela segurança você pode colocar isso aqui em um MicroSD Eu particularmente não vi isso aqui funcionando nunca vi nenhum caso de uso Mas se acha que deve ser caso muito específico né você precisa de uma segurança bem parruda a parte de de G lamento aqui de do mdm né do dispositivo do end Point ali não exatamente a parte de de

você instalar um mm Sim mas você fazer um gerenciamento em cima lá daquele mdm e aqui vai ser o gerenciamento do endp como um todo né a tram solução ela vai ser um mdm um mam enfim o mam aqui ele tá falando de aplicação específico Ah você vai fazer o Bloqueio de aplicações a não vai poder instalar lá o Instagram não vai poder instalar o Facebook mais ou menos essa linha o se Android Seria o mesmo DC Linux só que para o Android especificamente Tá parte aqui de garantia de monitoramento aplicação enfim Mais do Mesmo

essa parte de thdp application Storage seria de você baixar aplicativos que são fora das lojas oficiais na Apple isso é um pouco mais difícil até onde eu sei não tem como se Você não fizer J Break no no Android é mais aberto né mas você tem que fazer essa essa liberação aqui né de não permitir Fontes não seguras então se você tem um mdm esse UEM ou mam você pode travar isso daí então a pessoa não vai conseguir colocar o at pirata e outros aplicativos aí parte de rotting gel Break é você quebrar ali né

liberar uma permissão full digamos assim no dispositivo quando a gente tá falando de Android tá falando de roting e de break De IOS S loading é a questão de você instalar um aplicativo ali não exatamente de lojas mas pegar o apk por exemplo no forma do Android ali ou via USB enfim você fazer essa instalação Direto cust firm você fazer alter ação de firmer quando você faz Root ou drw Break normalmente você faz isso aí você faz coloca uma uma firmer customizada Carrier unlock que seria aqui no Brasil não tem mais mas antigamente quando você

comprava um celular ele vinha bloqueado Pela operadora você podia só colocar chip daquela operadora aí no Brasil tiraram isso daí ou você consegue colocar chip de qualquer operadora mas em alguns países Quando você compra um celular lá de vend operadora ele vem travado vem bloqueado essa parte de update ZTA aqui né Fir of the air Quando você baixa direto pelo wi-fi por exemplo aquela aquela atualização normal lá do Android enfim se você baixa por ele parte de política de segurança aqui de Uso né seria a parte de câmera embarcada e tal aí tem a questão

de você usar câmera do dispositivo Às vezes tem alguns sites porun ses alguns países mesmo que eu já ouvi falar que pessoal ex não consegue desativar eh o barulho da câmera em cima disso por exemplo tem aquela questão de gravação de ligação guarda de pd então Uns detalhes aí parte de MMS que seria o SMS multimídia ali né quase não existe isso mais antigamente tiver você mandava foto por WhatsApp Você mandava foto por MMS era meio caro isso aqui e srcs aqui tá vinculado essa parte também de de sms aqui e tal prova também não

é de entrar muito isso aqui não dispositivos externos de to quar forma você vai conectar ali no seu celular pode ser um pen drive alguma coisa assim é como você fazer esses travamentos E aí tem essa parte de On The Go ou On The Go aqui você consegue fazer tipo um eu conheço Ten o adaptadorzinho USB para você colocar Outros dispositivos USB tipo uma câmera externa enfim mas essa especificação aqui que ele aceita né que aporta USB atô como rosto aqui e us outros equipamentos USB periférico parte aqui de de gravar né o microfone também

tem aquelas restrições lá como eu comentei com vocês de Às vezes tem alguma restrição de gravar ligação tá mais ou menos nessa linha aqui também GPS tagin que eu já comentei wi-fi Direct adw que eu comentei também a parte do tetr é Você usar rede móvel do celular só que via USB tá ou Bluetooth também aqui ou ou às vezes você subir a parte do do wi-fi E aí você sobe um hotspot ali Norma de pagamento ele comenta aqui sobre NFC e rfid enfim modelos aqui de implementação desses dispositivos móveis é uma coisa que vocês

precisam ter ciência Bod é quando você leva o seu próprio dispositivo o cop é quando a empresa compra o dispositivo Mas você pode utilizar ele para coisas pessoais o Co é quando você escolhe lá o o dispositivo dentro de uma lista ali de pré-aprovado E aí tem aquela questão de ser permitido para uso pessoal ou não enfim de uma forma geral esse Corporate a daqui é quando a empresa é compra ali né então é é da empresa digamos assim às vezes você pode usar PR coisa pessoal ou não mas tá nessa nessa linha aí de

que você tem que ter ali aquele dispositivo e aqui ele fala até sobre a questão de ter um segundo dispositivo para uso Pessoal vidii seria instrutor de virtual de área remota normalmente você tem em questão dos dos discos e tal né quando você tem um ambiente virtualizado que você trabalha virtualizado você não trabalha direto sua máquina digamos assim trabalha na sua máquina mas de uma forma virtualizada e com isso finalizamos aqui o nosso item 3.5 bora aqui pro nosso item 3.6 Cloud Security controls falar sobre parte aqui de controle de zonas tem Outra disponibilidade através

de zonas né questão lá de durabilidade ou disponibilidade mesmo essas zonas cada provedor tem uma específico política de recursos gerenciamento de segredos Como que é o nuven vai guardar isso ou você mesmo vai fazer parte de integra e de auditoria você fazer isso na nuvem o armazenamento né as preocupações preocupações com permissionamento de criptografia parte de replicação entre sites né Às vezes você contrata lá um um Local específico você armazenar por exemplo sc2 Ah ele é replicado em duas zondas mas não significa se não precisa fazer backup alta disponibilidade todos os conceitos que a gente

já comentou só que aplicado a a nuvem tá então sim tem muito que comentar acaba que acontece muito isso né desses conceitos ser replicados aí virtual Networks que a gente já comentou sobre sobre aquele virtual IP que seria virtuais redes você faz segmentação interna lá na nuvem né Como você você tem um sutch do seu ambiente on prem lá na nuvem você também vai ter só que isso vai ser tudo virtual redes públicas e privadas também entra naquela questão segmentação inspeção e integração de api dependendo do API lá com o servidor seu provedor de novo

você tem como fazer a verificação disso conceito de computação grupos de segurança essa locação dinâmica de recurso aquela questão de Conforme você precisa você vai né contratando Reconhecimento distância é quando vai fazer esse gerenciamento disso para evitar aqueles vms PR da vida né tipo Ai quem criou essa VM aqui não tem nada documentado enfim vpc de end Point que seria esse virtual Private Cloud você vai ter lá dentro lá uma forma específica para você poder fazer o acesso a esses ent Point mais ou menos Tipo lá um Jump server tá segurança de contêiner a gente

já viu também algumas soluções aqui de nuven casb aqui vai ser O broker né ele vai fazer meio que meio de campo ali com você e a sua sua sua empresa e o de nuem lá e aí às vezes tem só o o cloud access broker aqui às vezes ele só vende né e o broker vai tá vinculado ali a parte de gerenciamento né E quando essa parte de segurança aqui às vezes pode estar falando de software de alguma funcionalidade alguma solução específica ali que você pode instalar seu ambiente ali para poder fazer esse made

Camp tá aqui ele traz como uma Solução de aplicação de política de segurança enf aplicação de segurança segurança aplicativa de nuvem de uma forma geral essa parte do Next Generation secur webgate lembra que eu comente entei lá sobre o o getway lá de de tráfego e tal mais ou menos essa linha aqui só que ele vai est tipo um uma combinação aqui de waf Connect Generation aqui é coisa mais específica mesmo pra nuvem considerações de ambiente de Fire aqui custo né da rede Na nuvem você respirou pagou necessidade de segmentação as camadas aqui de abertas

enfim solução de controle nativo da noven ou soluções terceiras Às vezes você vai usar um banco de dados lá da noven da WS né acho que tá acho que da orora lá alguma coisa assim ou às vezes um de terceiro ou às vezes a parte de solução mesmo da nuvem que ela já oferece enfim essas preocupações aí com isso matamos aqui já o item 3.6 Bora lá pro item 3.7 acho que ele é bem curtinho Eu acho parte de identidade né você fazer identificação ali dentro lá daquele serviço de triple a o idp que ele

vai ser o provedor de identidade ele vai ser quem cria e quem gerencia a integridade Tá parte de atributos mas são as características ali que você vai ter de login parte de certificado ali autenticação baseada em certificado que vai usar um certificado para poder fazer isso parte de token lembra L que a gente comentou sobre tokenização enfim às Vezes seu login ali sua sessão ela vai virar um token normalmente é isso que acontece na prática e aí em cima desse token aí que su sessão é compartilhada com outr serviços tipo quando a gente faz lá

que ela acesso Federado xaves SSH não prisa comentar muito né dependendo da da configuração que você faz no seu ambiente ali você não vai ficar logando com usuário S você vai criar as chaves privadas ali e tal para você acessar cartão inteligente aqui também tem muito Que a gente comentar os tipos de conta e vinculada a isso a gente tem um termo de conceito de onboard e offboard que o onboard é Quando um usuário um funcionário entra na empresa então ele tem que passar para aquele processo de integração criação de conta assinar termos lá de

nda coisa do tipo e offboard é quando ele vaza da empresa e você tem que fazer outro tratamento ali de contas né cortar as permissões dele desativar a conta enfim os tipos de Conta de usuário aqui ele fala sobre as compartilhadas de genéricos né as credenciais genéricas Você tem uma senha root lá usuário root todo mundo tem a senha isso não pode existir muito parecido com isso tem as contas de convidado que você né pode ativar isso ou não dependendo do seu ambiente contas de serviço que normalmente elas são específicas para rodar um serviço então

el elas podem ter algumas as limitações de acesso e essas políticas de conta que Você também né muito amplo para depender da de cada empresa aí aqui entra em parte de política de senha e mais um monte de coisa com prego cidade de senha questão aqui de letras maiúsculas minúsculas números e símbolos e tal o histórico de senhas é quantas senhas anteriores a pessoa não pode né usar Tem a parte de reuso Tem a parte de reuso também de você colocar uma nova senha parecida com anterior né então às vezes você coloca assim o reú

de senha não Pode usar senhas anteriores mas quantas senhas anteriores aí vai ser o histórico Ah eu quero cinco não quatro três enfim entendeu uma locação de rede seria você fazer essa segmentação isso lá para acesso a sistemas e serviços enfim geofence a gente já comentou geotag também geolocation time base login é os logins baseados em tempo você vai fazer uma restrição em cima da política lá olha da meia-noite às 7 da manhã não pode logar no sistema entendeu ou não Pode logar de forma administrativa enfim políticas de acesso que você vai tratar isso de

uma forma geral bem amplo né vai depender de empresa a empresa permissões de conta vinculadas à parte de Ace e ACL privilégios aqui baseados em grupos auditorias de conta você fazer auditoria ali em cima das autenticações né C ter logs enfim aqui ele fala sobre contas ativas ou não utilizar deve ser des vad se você não tem um processo de offloading offboarding bem definido a Parte aqui do de login de viagem impossível Acabei de fazer login aqui em Goiânia é meio-dia e uma da tarde eu tô fazendo login lá em Roma pô não dá velho

uma hora ou você tá usando VPN aí eu libero US de VPN ou não ou às vezes eu bloqueio isso às vezes o login é suspeito enfim seria mais ou menos essa linha Aí o local seria o bloqueio de conta quando você for tentar fazer login de forma com 100 errada enfim ou às vezes tá de férias e a conta ela é Bloqueada né Mas normalmente a gente chama isso aqui de desativação ou de suspensão tá E e é isso com isso a gente finaliza aqui o nosso item 3.7 falta mais dois itens Bora pro

3.8 aqui ele fala um pouco sobre introdução aqui gerenciamento de autenticação chave de senha né quando você tem aqui uma uma senha específica que À vezes você tem um hardware para fazer login com isso os cofre de senha né não coloca no Block de notas Slash pass Keeper keep pass One Pass enfim TPM a gente já comentou hsm também conhecimento baseado em autenticação baseado em conhecimento quando tipo Antigamente eu lembro que tinha negócio quando você perdia a senha até do Windows mesmo lá quando você vai configurar a primeira vez ele fala para você colocar algumas

perguntas secretas né Então seria mais ou menos aquela linha ali às vezes quando você for Resetar senha ele perguntar enfim é uma camada mais de segurança Mas se a pessoa Fizer um levantamento sobre você dependendo da Que tipo de pergunta ela vai saber autenticação mecanismos pelos quais usuários provam ali né já já comentou sobre isso e ap também o Chap aqui que seria a parte do desafio de handshake para poder fazer o login o pap protocolo de indicação de senha que a gente já comentou 8021x também o ridos também tem mais alguns detalhes né mas

esse domínio 3 é a implementação então todos os conceitos a gente já viu o sso Quando você tem um login único acho que a gente já comentou com isso sobre isso também Samel que seria o saml enfim eu conheci como Samel não sei como é que seria pra Correta que seria essa linguagem aqui de marcação né para fazer essa conexão normal Normalmente quando você tem um login ferado você usa esse Samel aqui para poder fazer essas logins tipo lá quando você vai logar em o site deseja de fazer login com Google usa esse Samel para

fazer essas trocas de Comunicações T cx aqui tá vinculado também essa parte de fazer o login lá com 8021x porta TCP DP 49 ou Alf que seria autenticação aberta aqui esse padrão também tem essa questão de que de usar né o sistema aqui como como login Federado Google Facebook ou Twitter e nome disso que eu disse lá o off é implementado usando Samel quando ele falar de acesso Federado usando Eh protocolo aberto padrão aberto alguma coisa tá falando sobre isso depois dessa Prova não aprofunda mais tá Open ID seria uma implementação né desenvolvimento em cima

do olf carbos que utiliza também para protocolo de autenticação o carbos precisa saber a questão do centro de distribuição de Chaves skdc e o TGS tá não entra muito mas eh você pisar rapidinho no Google também você vê uma explicação Zinha básica que é o que que a prova cobra nível bem básico controle de acesso esse esquema aqui o baseado em atributo Quando tem algum atributo específico Ah tá conectado a determinada rede determinado horário seria basicamente isso role seria o papel Ah você tá com papel administrativo papel de gerente né a função digamos assim ou

você tá em um grupo específico grupo do financeiro é um ro ali tá tem essa parte do do ruback do Rule né que tem RB rbac ou rubac aqui é porque o rbac ele pode se confundir com com rool né normalmente aqui quanto a fando de Rule é Rule back basicamente Que você tem alguma regra se tem regra é o Rule por exemplo o ru aqui que tem uma regra específica ele é considerado um Rule então aqui o conceito de Rule ele é mais conceitual digamos assim não é bem uma implementação o Mac por exemplo

ele seria um um um Rule também quando você faz rótulos né Por exemplo para categorizar documentos eletrônicos Ah o documento lá ele tem permissão pública Ah não ele é confidencial ele é restrito entendeu essas coisa aí independente do Acesso da pessoa ele vai ser aquilo ali é por isso que é mandatório obrigatório não é só porque ela tem uma função de gerente ela vai conseguir acessar o que é confidencial se ela não tem uma permissão para acessar aquele ela não vai conseguir acessar porque ela tem uma permissão de administrador mais ou menos nessa linha já

o discricionário ele não é um Rule porque ele não é regra o discricionário o que que é alo discricionário é algo que você faz do Jeito que você quiser se eu quero ou não quero lembra aquela permissão de pasta do Windows lá quando você coloca lá permissão para todos ou para um usuário específico aquilo lá é um acesso discricionário você vai dizer explicitamente para quem que você quer dar permissão e que tipo de permissão acesso condicional tá vinculado normalmente aquela parte de atributo né reconhecimento enfim P seria o gerenciamento de acesso privilegiado Quando você vai

fazer tem uma solução que vai fazer o gerenciamento de acesso Ah eu tenho o meu usuário Hugo lá que ele tem um usuário comum mas eu tenho um usuário Ugo admin que quando eu precisar instalar algum programa eu vou fazer escalação de Privilégio vou ter aquela liberação digitar um senha específica vou ter a aquela permissão de administrador naquela hora ali depois eu volto meu usuário comum tem até um termo específico lá que é privilégio sob Demanda alguma coisa não lembro se aqui na 601 cobra ou se vin outra prova isso per permissões do file System

que normalmente é definido por quem pelo dac pelo acesso descricion Mário lá hum aí tem umas explicações aqui sobre a parte restritiva a do Linux também tem a parte de permissão aqui de leitura gravação e execução Inclusive tem até uma playlist no canal aí que é introdução linguagem script é os vídeos antigo mas essa parte aqui de permissionamento de Linux lá tem Uma aula bem específica eu acho que é uma das últimas lá tá bem explicadinho bom com isso terminamos aqui o nosso 3.8 e vamos pro último item o 3.9 falar aqui sobre e FUR

de chave pública não adentra muito tá isso aqui é assim não é que adentra muito na profunda muito na verdade aí inf estrutura de chave pública ela é uma como fala o nome né uma estrutura Então não é uma solução específica ou uma ferramenta quando a gente fala de infraestrutura de chave Pública a gente tá falando o que de criptografia assimétrica ou chave pública que a gente tem lá chave pública e chave privada tá E também um pouco aqui de de res beleza como fala aqui ó pki não é um produto mas um projeto receita

ou conceito para uma solução gerenciamento de chave tudo que vai est envolvido ali nessa parte de ser armazenar ou criar descartar Chaves tá a ca aqui que seria autoridade certificadora o certificado ele vai ser Um meio de autenticação né então a ca existem alguns tipos de ca normalmente a ca rut é a raiz ali que vai tudo partir dela existem outras ceas aqui também Aí no caso que ele fala se a privada quando é interna se a pública tipo quando você tem lá um certificado digital tipo da ah C sign por exemplo é uma ca

pública né não é uma ca interna a h posso criar uma ca aqui dentro do meu domínio pode nos vídeos de Lab mesmo a gente faz isso lá no Windows Server é bem tranquilo a Gente tem a c a intermediária né que a gente tem C A Rot que é que vai tudo criar dela a partir dela n a gente tem as intermediárias e também tem a seif e tal né que tá aqui ó abaixo de uma raiz né e mais acima de uma lif a lif seria a folha digamos assim uma tradução bem literal

seria a última ponta lá da da ca o ra seria autoridade registradora basicamente você não vai pedir um certificado pra ca você vai pedir pra ra vai preencher esse essa solicitação Formal de assinatura de certificado aqui e aí essa ra que vai fazer essa verificação e vai passar a solicitação pra ca para poder para PR Sea poder emitir o seu certificado isso quando a gente tá falando estrutura pública né quando a gente tá falando privado é um pouco mais mais simpleso a gente tem a CRL que seria a lista de revogação de certificado que a

a ca ela vai atualizar essa lista né de acordo com conforme os certificados vão inspirando e às vezes o Certificado ele pode inspirar ou ele pode ser cancelado também existe esses dois meios aí e aí tem um outro sistema aqui que seria o ocsp eu sempre confundo com a certificação scp online certific se protocolo que ele vai usar ela própria CRL aqui mas você vai fazer as consultas e pontuais de Um certificado a invés de baixar uma lista especí não sei como que isso funciona bem na prática mas esse é que a prova vai cobrar

tá então se ela falar alguma forma de Verificar online o certificado scp e às vezes o offline normalmente usa o CRL para você baixa ali como fala aqui ó fornece informações quase tempo real evita cust de largura para de banda de downloads repetidos de CRL tem alguns atributos aqui certificados aqui é bom você dar uma revisitada com mais calma algumas questões podem cobrar isso na pentest cobra mais porque hardon no então ele tem aqui a parte do verificado né se os estatus bom revogado conhecido Enfim o CSR que seria a solicitação que você assina para

mandar para ra não precisa né o common name aqui que seria tá vinculado aquele as atributos aqui ó do do certificado que aqui esse mesmo não tem né É não tem mas tá aqui o common name o common name aqui ele vai ser utilizado né no certificado V mostrar a entidade que fez que emitiu ele né normalmente o CN aqui quem que emitiu certificado o San ser um nome alternativo da entidade aqui pode ser Vários eh domínios ali enfim a data de inspiração a suspensão renovação né caso de inspiração ali e o descarte e tem

um contexto a con o contexto aqui de de suspensão ou de cancelamento de um de um certificado é com suspensão você consegue reativar a revogação aqui né no caso você consegue suspender ele depois você consegue ativar de novo aqui ó achar o certificado pode ser reativado posteriormente tá quando você cancela ele revoga você não consegue ativar de Novo Tem que gerar outro tipo os certificados tem o Wi Card aqui que é o coringa normalmente é o asterisco Zinho aqui de tudo que tiver antes Aqui como se domínio ele vai fazer o registro né o San

que são os nomes alternativos Então você vai ter um para cada subdomínio ali você tem que criar um certificado específico par de assinatura de código gente já comentou selfs certificado alto assinado você mesmo gera ali né a a ca vai gerar o primeiro o certificado ali Enfim tem o certificado pra máquina ou de computador normalmente você utiliza lá para para você fazer uma restrição ali ou identificar máquina ou quando você tem no seu Fire ali uma inspeção de profunda de pacotes Então você tem que jogar esse certificado que sua máquina vai fechar a comunicação segura

ali com o F O F vai fechar com o software mais paraa frente lá de e-mail de usuário o raiz que a gente já comentou de validação de domínio que pode ser Daquele SS lá enfim essa validação estendida aqui eu nem sei se isso existe mais mas um tempo atrás Quando Você entrava em alguns sites muito famosos Banco do Brasil ele apareceu não aparecia só https em verde ele aparecia o nome do site tipo Banco do Brasil todinho em verde lá na URL aqui lá era essa essa verificação estendida aqui ela era mais cara tá

só que os navegadores não não mostram mais aquilo então não sei se isso é é utilizado e tal até fala Aqui ó maioria dos navegadores não indica mais se um site possui um certificado é V Provavelmente você for lar no sobre do site o certificado vai ver isso aí mas antigamente tinha essa questão aí os Format certificados ele fala aqui desse x59 V3 e tal os arquivos a prova não entra muito nesse detalhe essa parte aqui de regras de codificação de arquivo também não não entra muito a parte aqui do do pen aqui né dessa

privacy em ess eletrônico e-mail que Fala aqui dos certificados aqui quando você tem lá dentro do e-mail tem essas chaves essas delimitadores aqui e aqui fala sobre alguns tipos certificados pfx pkss 12 as extensões e tal ponto ser ponto P12 a prova não entra muito nesse mérito não tá os conceitos aqui de se online offline vocês tem que ter tem em mente o seguinte normalmente a ca ela é é colocada online só para gerar o o primeiro certificado lá para poder gerar o certificado das das intermediárias Depois ela é colocada em em offline desligado enfim

por qu se dependendo da estrutura se aa raiz lá ela for comprometida toda a estrutura de certificado tá comprometida né então tem essa questão aqui esse slide fala sobre isso daí esse stamping seria o grampeamento do osp ocsp que é quando você faz a verificação lá você já coloca o certificado junto uma resposta lá para ver se o certificado tá válido ou não esse pinning aqui você fazer o acho que Fixação da chave pública junto ali De onde você faz a comunicação eu sei que alguns alguns aplicativos móveis faz esse esse pin aqui para para

evitar um mend mildo na conexão modelo de confiança essa questão que eu expliquei para vocês né da ca se ela for comprometida todo mundo tá abaixo dela também vai dar ruim aqui ó a imagemin ser a Rot a intermediária a lif e finais que scroll vai ser um depósito de Chaves né onde você vai pode armazenar isso Tanto localmente ou às vezes você armazene terceiros enfim ã acadeia certificados essa estrutura como um todo e com isso finalizamos o nosso domínio três Como disse para vocês o domínio mais puxado né É o que mais cai então

se a gente passou por algum desses itens você falou hum não sei bem exatamente o que que é isso aqui hein volta lá no vídeo completo que ele tem um pouco mais de detalhe se para você tudo aí não tá ok eu já sei cai lá para questões do Simulados e bora pra prova pessoal não se esqueça de comentar que que vocês acharam do vídeo dá aquele joinha né se achou muito top aí dá um um gostei aí um super like alguma coisa aí e Compartilhar esse vídeo também aí beleza valeu forte abraço vejo vocês

no vídeo lá domínio 4 até lá