GSEC - Essentials Cheat Sheet by xoulea

mostra inform­ações sobre as conexões de rede, tabelas de roteamento e estatí­sticas da utilização da interface na rede.

Algumas opções do comando
−−tcp : mostra conexões TCP.
−−numeric : exibe apenas o endereço IP.
−−programs : indica qual processo está ouvindo a porta especi­ficada.
−−all : mostra portas com conexões e portas que estão sendo ouvidas.
−−route : mostra a tabela de encami­nha­mento.
−−stat­istics : mostra as estatí­sticas da rede.
−−help : lista as opções do aplica­tivo.
−−version : mostra inform­ações sobre o aplica­tivo.

O Microsoft Baseline Security Analyzer (MBSA) é uma ferramenta fácil de usar que ajuda empresas de pequeno e médio porte a determinar o estado de sua segurança de acordo com as recome­ndações de segurança da Microsoft e oferece diretrizes de correção especí­ficas. Aprimore o processo de gerenc­iamento da segurança usando o MBSA para detectar erros comuns de config­uração relaci­onados à segurança e atuali­zações de segurança que estão faltando nos seus sistemas de comput­ador.

Criado a partir do Windows Update Agent e da infra-­est­rutura do Microsoft Update, o MBSA assegura a consis­tência com os demais produtos de gerenc­iamento Microsoft, inclusive MU (Microsoft Update), WSUS (Windows Server Update Services), SMS (Systems Management Server), SCCM (System Center Config­uration Manager) 2007 e SBS (Small Business Server).

Usado por muitos dos principais auditores de segurança e fornec­edores de segurança de terceiros, o MBSA examina, em média, mais de três milhões de comput­adores semana­lmente. Junte-se a milhares de usuários que contam com o MBSA para análise do estado de segurança.

O Microsoft Baseline Security Analyzer (MBSA) também pode ser executado através de linha de comando usando o “mbsac­li.e­xe”, com isso você pode montar um script .BAT, .VBS e automa­tizar sua verifi­cação gerando os relató­rios.

O comando mkfs no Linux formata a partição criada pelo fdisk / gdisk / parted com o sistema de arquivos.

O tipo de sistema de arquivos é definido pela opção –t e são os formatos nativos ext2, ext3, ext4, fat, vfat, minix, msdos e xfs

Os comandos mke2fs e mkdosfs são variações do mkfs.
mkfs.ext3, mkfs.ext4

-t: Informa qual o tipo de formatação a partição deverá ser
-c: Verifica a existência de bad blocks (defeitos) no dispos­itivo;
-L: nome Configura o nome do dispos­itivo;
-n: nome Configura o nome do dispos­itivo para o formato msdos;
-q: Faz com que o mkfs trabalhe com o mínimo de saída no vídeo possível;
-v: Faz com que o mkfs trabalhe com o máximo de saída no vídeo possível;
-m: Percentual de disco reservado

Password Authen­tic­ation Protocol (PAP) is a passwo­rd-­based authen­tic­ation protocol used by Point-­to-­Point Protocol (PPP) to validate users.PAP is also used to describe password authen­tic­ation in other protocols such as RADIUS and Diameter. However, those protocols provide for transport or network layer security, and therefore that usage of PAP does not have the security issues seen when PAP is used with PPP.

In computing, the Challe­nge­-Ha­ndshake Authen­tic­ation Protocol (CHAP) is an authen­tic­ation protocol originally used by Point-­to-­Point Protocol (PPP) to validate users. CHAP is also carried in other authen­tic­ation protocols such as RADIUS and Diameter. Almost all network operating systems support PPP with CHAP, as do most network access servers. CHAP is also used in PPPoE, for authen­tic­ating DSL users.


PAP (Password Authen­tic­ation Protocol) que é um protocolo de controle de acesso utilizado para autenticar a senha do usuário no servidor de acesso à rede. O servidor de acesso à rede pede uma senha a partir da máquina cliente e envia a senha recuperada de um servidor de autent­icação para verifi­cação. Como um protocolo de autent­icação, PAP é consid­erado o menos seguro, porque a senha não é cripto­grafada na transm­issão.

CHAP (Challenge Handshake Authen­tic­ation Protocol) que é semelhante ao PAP com várias caract­erí­sticas únicas. Em vez de pedir uma senha, o servidor de acesso à rede envia uma mensagem de desafio para a máquina cliente. A mensagem de desafio é um valor aleatório. A máquina cliente cripto­grafa a mensagem de desafio com a senha do usuário e envia a combinação de volta para o servidor de acesso. Os atacantes servidor de acesso a combinação usuário / senha para o servidor de autent­icação. O servidor de autent­icação cripto­grafa o desafio com a senha do usuário armaze­nados no banco de dados de autent­icação. Se a resposta do usuário é um jogo, a senha é consid­erada autêntica. CHAP usa o modelo de um segredo compar­tilhado (a senha do usuário) para autenticar o usuário. O uso de CHAP é consid­erado um método modera­damente seguro de autent­icação.

EAP (Exten­sible Authen­tic­ation Protocol) que é consid­erado um quadro de autent­icação usado por uma série de protocolos de autent­icação seguros. EAP mais comumente usado para autent­icação em redes sem fio.

IMAP - manipular um arquivo remota­mente sem baixar para a maquina
POP3 - manipular um arquivo porém realizando download para a máquina

xDSL, a term that encomp­asses the broad range of digital subscriber line (DSL) services, offers a low-cost, high-speed data transport option for both indivi­duals and busine­sses, partic­ularly in areas without access to cable internet.


HDSL (High-­Bit­-Rate DSL)
Standa­rdized in 1994, HDSL uses two pairs of 24 AWG copper wires to provide symmetric E1/T1 data rates to distances up to 3657 meters. Its successors are HDSL2 and HDSL4, the latter using four pairs of wire instead of two.

SDSL (Symmetric DSL)
SDSL succeeded HDSL as the two-wire (singl­e-pair) type of symmetric DSL. SDSL is also known within ANSI as HDSL2.
Essent­ially offering the same capabi­lities as HDSL, SDSL offers T1 rates (1.544 Mbps) at ranges up to 10,000 feet and is primarily designed for business applic­ations.


ADSL: Asymmetric DSL
ADSL provides transm­ission speeds ranging from downst­rea­m/u­pstream rates of 9 Mbps/640 kbps over a relatively short distance to 1.544 Mbps/16 kbps as far as 18,000 feet. The former speeds are more suited to a business, the latter more to the computing needs of a reside­ntial customer.
ADSL's substa­ntial bandwidth accomm­odates large downstream transm­iss­ions, such as receiving data from a host computer or downlo­ading multimedia files.


SHDSL: Single­-Pair, High-Speed Digital Subscriber Line
Also known as G.SHDSL, this type of DSL transmits data at much higher speeds than older types of DSL. It enables faster transm­ission and connec­tions to the internet over regular copper telephone lines than tradit­ional voice modems can provide. Support of symmet­rical data rates makes SHDSL a popular choice for businesses using PBXs, private networks, web hosting and other services.

SHDSL can be used effect­ively in enterprise LAN applic­ations. When interc­onn­ecting sites on a corporate campus, buildings and network devices are often beyond the reach of a standard Ethernet segment. Now you can use existing copper network infras­tru­cture to connect remote LANs across longer distances and at higher speeds than previously thought possible.
Ratified as a standard in 2001, SHDSL combines ADSL and SDSL features for commun­ica­tions over two or four (multi­plexed) copper wires. SHDSL provides symmet­rical upstream and downstream transm­ission with rates ranging from 192 kbps to 2.3 Mbps. As a departure from older DSL services designed to provide higher downstream speeds, SHDSL specified higher upstream rates, too. Higher transm­ission rates of 384 kbps to 4.6 Mbps can be achieved using two to four copper pairs. The distance varies according to the loop rate and noise condit­ions.

VDSL: Very-H­igh­-Bi­t-Rate DSL
Also approved in 2001, VDSL as a DSL service enables downst­rea­m/u­pstream rates up to 52 Mbps/16 Mbps. Extenders for local networks boast 100-Mb­ps/­60-Mbps speeds when commun­icating at distances up to 500 feet (152.4 m) over a single voice-­grade twisted pair. As a broadband solution, VDSL enables the simult­aneous transm­ission of voice, data, and video, including HDTV, video on demand and high-q­uality video confer­encing. Depending on the applic­ation, you can set VDSL to run symmet­rically or asymme­tri­cally.


VDSL2: Very-H­igh­-Bi­t-Rate DSL 2
Standa­rdized in 2006, VDSL2 provides higher bandwidth (up to 100 Mbps) and higher symmet­rical speeds than VDSL, enabling its use for Triple Play services (data, video, voice) at longer distances. While VDSL2 supports upstre­am/­dow­nstream rates similar to VDSL, at longer distances, the speeds don't deteri­orate as much as those transm­itted with ordinary VDSL equipment.

A rainbow table is a precom­puted table for caching the outputs of a crypto­graphic hash function, usually for cracking password hashes. Passwords are typically stored not in plain text form, but as hash values. If such a database of hashed passwords falls into the hands of an attacker, they can use a precom­puted rainbow table to recover the plaintext passwords. A common defense against this attack is to compute the hashes using a key derivation function that adds a "­sal­t" to each password before hashing it, with different passwords receiving different salts, which are stored in plain text along with the hash.

Rainbow tables are a practical example of a space–time tradeoff: they use less computer processing time and more storage than a brute-­force attack which calculates a hash on every attempt, but more processing time and less storage than a simple table that stores the hash of every possible password.

A network access control list (ACL) is made up of rules that either allow access to a computer enviro­nment or deny it. In a way, an ACL is like a guest list at an exclusive club. Only those on the list are allowed in the doors. This enables admini­str­ators to ensure that, unless the proper creden­tials are presented by the device, it cannot gain access.

There are two basic kinds of ACLs:

- Filesystem ACLs: These work as filters, managing access to direct­ories or files. A filesystem ACL gives the operating system instru­ctions as to the users that are allowed to access the system, as well as the privileges they are entitled to once they are inside.

- Networking ACLs: Networking ACLs manage access to a network. To do this, they provide instru­ctions to switches and routers as to the kinds of traffic that are allowed to interface with the network. They also dictate what each user or device can do once they are inside.

When ACLs were first conceived, they worked like firewalls, blocking access to unwanted entities. While many firewalls have network access control functions, some organi­zations still use ACLs with techno­logies such as virtual private networks (VPNs). In this way, an admini­strator can dictate which kinds of traffic get encrypted and then sent through the secure tunnel of the VPN.

NACL
An access control list on a router consists of a table that stipulates which kinds of traffic are allowed to access the system. The router is placed between the incoming traffic and the rest of the network or a specific segment of the network, such as the demili­tarized zone (DMZ). The ACL examines the inform­ation held within data packets flowing into or out of the network to determine where it came from and where it is going. The ACL on the router then decides whether the data packet should be allowed to pass to the other side.

Exibe as estatí­sticas de protocolo NetBIOS sobre TCP/IP (NetBT), as tabelas de nomes NetBIOS dos comput­adores local e remoto e o cache de nomes NetBIOS. Nbtstat permite uma atuali­zação do cache de nomes NetBIOS e dos nomes regist­rados com o serviço de cadast­ramento na Internet do Windows (WINS). Quando usado sem parâme­tros, nbtstat exibe a ajuda.

Sintaxe
nbtstat [-a nome_r­emoto] [-A endere­ço_IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [inter­valo]

Parâmetros
-a nome_r­emoto
Exibe a tabela de nomes NetBIOS de um computador remoto, onde nome_r­emoto é o nome de computador NetBIOS do computador remoto. A tabela de nomes NetBIOS é a lista de nomes NetBIOS que corres­pondem aos aplica­tivos em execução no comput­ador.
-A endere­ço_IP
Exibe a tabela de nomes NetBIOS de um computador remoto, especi­ficado pelo seu endereço IP (com notação de ponto decimal).
-c
Exibe o conteúdo do cache de nomes NetBIOS, a tabela de nomes NetBIOS e seus endereços IP resolv­idos.
-n
Exibe a tabela de nomes NetBIOS do computador local. O status Registrado indica que o nome foi registrado por difusão ou em um servidor WINS.
-r
Exibe as estatí­sticas de resolução de nomes NetBIOS. Em um computador com o Windows XP config­urado para usar WINS, esse parâmetro retorna o número de nomes resolvidos e regist­rados via difusão ou via WINS.
-R
Limpa o conteúdo do cache de nomes NetBIOS e recarrega as entradas marcadas com #PRE do arquivo Lmhosts.
-RR
Libera e atualiza nomes NetBIOS para o computador local registrado em servidores WINS.
-s
Exibe sessões de cliente e servidor NetBIOS, tentando converter o endereço IP de destino em um nome.
-S
Exibe as sessões de cliente e de servidor NetBIOS, listando os comput­adores remotos somente por endereço IP de destino.
intervalo

Kerberos é um protocolo de autent­icação usado para verificar a identidade de um usuário ou host.

Kerberos é um Protocolo de rede, que permite comuni­cações indivi­duais seguras e identi­fic­adas, em uma rede insegura.

O protocolo Kerberos previne Eavesd­ropping e Replay attack, e ainda garante a integr­idade dos dados. Seus projet­istas inicia­lmente o modelaram na arquit­etura client­e-s­erv­idor, e é possível a autent­icação mutua entre o cliente e o servidor, permitindo assim que ambos se autent­iquem.

Kerberos utiliza Cripto­grafia simétrica e necessita de um sistema de confiança tripla.

Kerberos é um protocolo desenv­olvido para fornecer poderosa autent­icação em aplicações usuári­o/s­erv­idor, onde ele funciona como a terceira parte neste processo, oferendo autent­icação ao usuário.

Para garantir a segurança, ele usa cripto­grafia de chave simétrica, com o DES.

NTFS é o sistema de arquivos padrão do Windows, mais moderno e indicado para dispos­itivos de armaze­namento não removí­veis, como disco rígido (HD) e disco de estado sólido (SSD).

O FAT32 é similar ao NTFS, sendo mais antigo e menos eficiente, porém é o que tem maior compat­ibi­lidade com dispos­itivos removí­veis, como pen drives e cartões SD.

Já o exFAT é o “meio termo” entre eles: tem recursos avançados como o NTFS e também é utilizado em dispos­itivos portáteis, mas não é tão popular quanto o FAT32.


NTFS é o sistema de arquivos padrão do Windows. Foi criado pela Microsoft para resolver as limitações do FAT32, até então o sistema mais utilizado. É mais seguro, tem recursos avançados de recupe­ração (backup) de arquivos, suporte para discos rígidos maiores, config­urações de controle e acesso a arquivos, suporte a cripto­grafia, entre outras vantagens.

A maior desvan­tagem do NTFS é a falta de compat­ibi­lidade com outros sistemas operac­ionais. O macOS lê arquivos do NTFS, mas não consegue gravar na partição. A compat­ibi­lidade com Linux varia de acordo com a distri­buição.

FAT32 é o sistema de arquivos mais antigo dos três. Sua maior vantagem é a compat­ibi­lidade: pode ser lido e gravado por qualquer sistema operac­ional e quase todo dispos­itivo com uma porta USB; por isso, é consid­erado como o formato “padrão” para dispos­itivos de armaze­namento móveis, como pen drives e cartões de memória.

Ele é prático, mas possui limitações consid­erá­veis: não suporta partições maiores do que 8TB, não aceita arquivos maiores do que 4GB, não possui regras de acesso e segurança como o NTFS, e geralmente é mais lento para ler e gravar arquivos do que os outros sistemas.


O exFAT foi criado para resolver os problemas do FAT32, porém mantendo a alta compat­ibi­lidade entre dispos­itivos. Oferece suporte a arquivos grandes (bem maiores do que 4GB), é mais rápido do que o FAT32, e pode ser lido e gravado nativa­mente pelo sistema operac­ional da Apple, enquanto que no Linux basta instalar as extensões corretas.

O exFAT foi pensado para dispos­itivos flash (pen drives, cartões de memória, SSD, celulares, etc), mas apesar de ser mais compatível do que o NTFS, alguns equipa­mentos mais antigos podem não reconhecer ou aceitar o formato.

Tipos de config­urações de RAID
Existem, também, diferentes tipos de config­uração RAID, que estão presentes nos diferentes níveis desse recurso, como veremos mais à frente. Abaixo, você confere os três tipos de config­uração e como funcionam. Continue acompa­nhando!

Divisão de dados (strip­ing):
Esse tipo permite a leitura e gravação de dados em tempo real, aumentando a perfor­mance. O ponto negativo dessa abordagem é que se houver falha em um dos HDs, todos os dados serão compro­met­idos.

Espelh­amento (mirro­ring):
Grava os mesmos dados em ambos os discos, fornecendo maior segurança dos dados. Com isso, se um dos HDs falhar, as inform­ações estarão salvas no outro.

Paridade (parity):
Armazena inform­ações de forma que se houver perda de dados em um dos discos, os mesmos serão restau­rados. Assim, garantindo ótima redund­ância dos dados.


RAID 0:
Striping ou matriz de distri­buição, neste RAID são necess­ários no mínimo 2 discos. Nele, todos os HDs trabalham simult­ane­amente no processo de leitura e gravação dos dados. Assim, as inform­ações ficam fragme­ntadas, com um “pedaço” gravado em cada disco.
Tolerância a falha: nenhuma
Ganho de velocidade de leitura: 2x
Ganho de velocidade de gravação: 2x

RAID 1:
Com config­uração Mirroring, este RAID espelha os dados. Ou seja, cria uma cópia de todas as inform­ações em tempo real, produzindo basica­mente uma cópia de segurança. Em outras palavras, as inform­ações de um HD são gravadas também no outro.
Tolerância a falha: 1 disco em falha
Ganho de velocidade de leitura: 2x
Ganho de velocidade de gravação: nenhuma

RAID 5:
Esse nível de RAID é indicado para quem precisa de alta capacidade e segurança das inform­ações e são necess­ários, no mínimo, 3 discos para sua execução. Nele, só é consid­erado o espaço equiva­lente a 1 dos HDs para manter a redund­ância, indepe­ndente de quantos discos há.
Tolerância a falha: 1 disco em falha
Ganho de velocidade de leitura: 3x em caso de quatro discos (para mais discos: número de discos – 1)
Ganho de velocidade de gravação: nenhuma

RAID 10 ou 1+0:
Este RAID é a junção do espelh­amento do RAID 1 mais a perfor­mance do RAID 0. Ele utiliza Divisão de Dados e Espelh­amento, só podendo ser executado por no mínimo 4 HDs. E, nele, os dados são divididos em blocos que são escritos em todos os HDs, de forma simult­ânea.
olerância a falha: pelo menos 1 disco em falha
Ganho de velocidade de leitura: 4x em caso de 4 discos (para mais discos: número total de discos)
Ganho de velocidade de gravação: 2x em caso de 4 discos (para mais discos: número total de discos / 2)

O halon consiste num composto químico orgânico consti­tuído por um ou dois átomos de carbono, ligados a um átomo de bromo e a outro halogéneo. Os mais utilizados são o Halon 1211 (bromo­clo­rod­ifl­uor­metano) e o Halon 1301 (bromo­tri­flu­orm­etano). Os halons são gases muito utilizados em extintores de incêndios. São até dez vezes mais perigosos do que os clorof­luo­roc­arb­onetos (CFC), aos quais se encontram quimic­amente relaci­onados, na destruição da camada de ozônio. Os níveis de halon na atmosfera aumentam cerca de 25% ao ano, princi­pal­mente devido aos testes de equipa­mento de combate a incêndios.

- Halon 1211 is used only in portable exting­uishers and is a streaming agent
- Halon 1301 is used only in fixed exting­uisher instal­lations typically cargo holds or engines and is a total flooding agent.

O Protocolo de Gerenc­iamento de Grupos da Internet (IGMP) é um protocolo que permite que vários dispos­itivos compar­tilhem um endereço de IP para que todos possam receber os mesmos dados. O IGMP é um protocolo de camada de rede usado para configurar multicast em redes que usam o protocolo de internet versão 4 (IPv4). Especi­fic­amente, o IGMP permite que os dispos­itivos se juntem a um grupo de multicast.

Comput­adores e outros dispos­itivos conectados a uma rede usam IGMP quando desejam ingressar em um grupo multicast. Um roteador que suporta IGMP escuta transm­issões IGMP de dispos­itivos para descobrir quais dispos­itivos pertencem a quais grupos multicast.

O IGMP usa endereços de IP que são reservados para multicast. Os endereços de IP multicast estão no intervalo entre 224.0.0.0 e 239.25­5.2­55.255. (Em contraste, as redes anycast podem usar qualquer endereço de IP normal.) Cada grupo multicast compar­tilha um desses endereços de IP. Quando um roteador recebe uma série de pacotes direci­onados ao endereço de IP compar­til­hado, ele duplica esses pacotes, enviando cópias para todos os membros do grupo multicast.

Os grupos multicast IGMP podem mudar a qualquer momento. Um dispos­itivo pode enviar uma mensagem IGMP "­ing­ressar no grupo" ou "sair do grupo" a qualquer momento.