Quanto à segurança em rede de computadores, julgue o item.

3 em 1 - TI
Segurança da Informação
Ataques a Redes e Mecanismos de
Proteção
Prof. M.Sc. Gleyson Azevedo
[email protected]
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
3 em 1 - TI
Segurança da Informação
Ataques a Redes
Prof. M.Sc. Gleyson Azevedo
[email protected]
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
Roteiro
• Roteiro dos Ataques
• Obtenção de Informações
• Códigos Maliciosos
• DoS/DDoS
http://www.dominandoti.com.br
3
Grancursos
Roteiro dos Ataques
• Obtenção de informações (footprinting)
• Varredura (scanning)
• Enumeração (enumeration)
• Ataque (penetration ou denial of service)
• Cobertura de rastros (covering tracks)
• Manutenção do acesso (backdoors)
http://www.dominandoti.com.br
4
Grancursos
Phishing
• Phishing – fraude que se dá através do envio de
mensagem não solicitada, passando-se por comunicação
de uma instituição conhecida e que procura induzir o
acesso a páginas fraudulentas (falsificadas), projetadas
para furtar dados pessoais e financeiros de usuários.
• Também conhecido como phishing scam ou
phishing/scam.
• Phishing (de "fishing") vem de uma analogia criada pelos
fraudadores, onde "iscas" (e-mails) são usadas para
"pescar" senhas e dados financeiros de usuários da
Internet.
http://www.dominandoti.com.br
5
Grancursos
Phishing
• Principais situações envolvendo phishing:
• mensagens que contêm links para programas
maliciosos;
• páginas de comércio eletrônico ou Internet
Banking falsificadas;
• e-mails contendo formulários para o fornecimento
de informações sensíveis;
• comprometimento do serviço de resolução de
nomes (DNS).
http://www.dominandoti.com.br
6
Grancursos
Exercícios
1. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) A respeito de ataques a redes
de computadores e de incidentes de segurança, julgue o item abaixo.
1
[83] No phishing, diversas máquinas zumbis comandadas por um mestre
fazem requisições ao mesmo tempo, gerando sobrecarga do recurso atacado,
o que pode levar a máquina servidora a reiniciar ou a travar.
http://www.dominandoti.com.br
7
Grancursos
Port Scanning
• Port Scanners – são ferramentas utilizadas para
obtenção de informações referentes aos serviços que são
acessíveis e definidas por meio do mapeamento das portas
TCP e UDP.
• O intuito desse tipo de ataque é evitar o desperdício de
esforço com ataques a serviços inexistentes.
• O nmap é um dos port scanners mais utilizados e pode ser
empregado para realizar a auditoria do firewall e do IDS,
além de ser capaz de determinar se o sistema tem falhas
de implementação na pilha TCP/IP.
• A detecção de scanners pode ser realizada pelo uso de
Sistemas de Detecção de Intrusão (IDS).
http://www.dominandoti.com.br
8
Grancursos
Port Scanning
• Entretanto, diversas técnicas de scanning podem ser
utilizadas para driblar alguns IDS:
• random port scan – a varredura não é realizada de
modo sequencial (número das portas);
• slow scan – utiliza um limiar de detecção que limita o
número de pacotes enviados por dia para o alvo;
• fragmentation scanning – solucionado pela maioria
dos IDS;
• decoy – utiliza uma série de endereços falsificados,
dificultando a identificação da origem do scanning;
• coordinate scans – utiliza diversas origens de
varreduras, cada uma em determinadas portas.
Normalmente utilizada por um grupo de atacantes.
http://www.dominandoti.com.br
9
Grancursos
Exercícios
2. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 –
CESPE) Acerca das vulnerabilidades e proteções dos sistemas de
informação, julgue o item a seguir.
1 [98] Um ataque de scanner consiste na monitoração de serviços e versões de
software que estão sendo executados em um determinado sistema. Um sistema
firewall que implementa um filtro de conexões é capaz de anular os efeitos desse
tipo de ataque.
http://www.dominandoti.com.br
10
Grancursos
Spoofing
• Spoofing – ataque onde o sujeito autentica um host para
outro se utilizando da técnica de forjar pacotes originários
de um host confiável.
• Os principais e mais largamente utilizados tipos de spoofing
são:
• IP Spoofing;
• ARP Spoofing;
• DNS Spoofing.
http://www.dominandoti.com.br
11
Grancursos
IP Spoofing
• Técnica na qual o endereço real do atacante é mascarado,
de modo a evitar que ele seja encontrado.
• Muito utilizada em tentativas de acesso a sistemas nos
quais a autenticação tem como base endereços IP.
• Também muito utilizada em ataques do tipo DoS, em que
pacotes de resposta não são necessários.
• Uma organização pode proteger sua rede contra o IP
spoofing de endereços da rede interna pela aplicação de
filtros (firewall), de acordo com as interfaces de rede.
http://www.dominandoti.com.br
12
Grancursos
ARP Spoofing
• Consiste na utilização de mensagens ARP (Request e
Reply) para ludibriar as vítimas, fazendo o atacante se
passar por um intermediário (man-in-the-middle).
• O ataque pode ter como objetivo a escuta do tráfego que
fluiria entre as vítimas, ou simplesmente a realização de
um ataque de negação de serviço.
• O primeiro passo do ataque consiste no envenenamento
do cache ARP das vítimas (Cache Poisoning).
• O envenenamento é realizado enviando-se um ARP Reply
forjado para uma vítima, informando que o endereço IP de
outra vítima está associado ao endereço MAC do atacante.
http://www.dominandoti.com.br
13
Grancursos
ARP Spoofing
• Uma vez realizado o envenenamento da ARP cache, todo
os dados que a vítima tente transmitir para o endereço IP
informado no ARP Reply forjado, será encaminhado para o
atacante.
• Como as entradas na ARP cache expiram após um certo
tempo (variável com a implementação), faz-se necessário
que pacotes sejam periodicamente enviados para as
vítimas de modo a manter o envenenamento.
• Mesmo que o processo de resolução de endereços guarde
estados, ainda é possível implementar o ataque forçando
as vítimas a enviarem ARP Requests.
http://www.dominandoti.com.br
14
Grancursos
ARP Spoofing
http://www.dominandoti.com.br
15
Grancursos
ARP Spoofing
http://www.dominandoti.com.br
16
Grancursos
ARP Spoofing
http://www.dominandoti.com.br
17
Grancursos
ARP Spoofing
• Os ataques podem ser:
• unidirecionais – ARP Reply forjado enviado somente
para uma das vítimas;
• bidirecionais – ambas as vítimas têm a cache ARP
alterada por pacotes forjados.
• Trata-se de um tipo de ataque que funciona perfeitamente
em redes com switch devido ao fato de ser um ataque
ativo, forçando as vítimas e enviarem os dados para o
endereço MAC do atacante.
http://www.dominandoti.com.br
18
Grancursos
DNS Spoofing
• Esta técnica é muito simples e não requer grandes
conhecimentos do TCP/IP.
• Consiste em se alterar as tabelas de mapeamento de host
name – IP address dos servidores DNS, de maneira que os
servidores, ao serem perguntados pelos seus clientes sobre
um hostname qualquer, informam o IP errado, ou seja, o
do host que está aplicando o DNS spoofing.
http://www.dominandoti.com.br
19
Grancursos
Exercícios
3. (Analista Judiciário – Informática – STJ/2008 - CESPE) Com respeito a
vulnerabilidades e ataques a sistemas computacionais, julgue o item
que se segue.
1
[109] Em redes IP que utilizam switches, pode-se realizar a escuta do tráfego
com o ARP spoofing.
4. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 CESPE) No referente a segurança de rede e controle de acesso, julgue
os itens que se seguem.
1
[67] A restrição na capacidade de aprendizado de endereços nas portas de um
switch é suficiente para evitar o ARP spoofing.
5. (Analista de Saneamento – Analista de Tecnologia da Informação – Rede
– EMBASA/2010 – CESPE) Acerca dos ataques a redes de computadores,
julgue os itens que se seguem.
1
[102] O ataque de MAC flooding faz um switch transmitir frames para todas as
suas portas, como se fosse um hub.
2
[103] O ARP spoofing é um ataque do tipo man-in-the-middle. Ele e o MAC
flooding são evitados pela filtragem de endereços MAC nas portas de um switch.
http://www.dominandoti.com.br
20
Grancursos
Exercícios
6. [51](Analista de Finanças e Controle – Tecnologia da Informação –
Infraestrutura de TI – CGU/2008 – ESAF) A informação de que um dado host
respondeu a um datagrama ICMP (Internet Control Message Protocol) de eco,
com endereço correto no nível IP (Internet Protocol), porém com o endereço
MAC (Media Access Control) incorreto, é útil para
a) varredura de portas.
b) analisador de pacotes (sniffers).
c) falsificação de IP.
d) negação de serviço.
e) inundação TCP (Transmission Control Protocol) SYN.
http://www.dominandoti.com.br
21
Grancursos
Códigos Maliciosos (Malwares)
• Código malicioso ou Malware (Malicious Software) –
termo que abrange todos os tipos de programa
especificamente desenvolvidos para executar ações
maliciosas em um computador.
• Exemplos:
• vírus;
• worms;
• backdoors;
• cavalos de tróia;
• keyloggers;
• rootkits.
http://www.dominandoti.com.br
22
Grancursos
Códigos Maliciosos (Malwares)
• Classificações:
• dependência de hospedeiro:
• dependentes (vírus, bombas lógicas e backdoors);
• independentes (worms e zumbis).
• replicação:
• não se replicam (bombas lógicas, backdoors e
zumbis);
• se replicam (vírus e worms).
http://www.dominandoti.com.br
23
Grancursos
Vírus
• Vírus – programa ou parte de programa que se propaga
infectando, isto é, inserindo cópias de si mesmo e se
tornando parte de outros programas e arquivos de um
computador.
• O vírus depende da execução do programa ou arquivo
hospedeiro para que possa se tornar ativo e dar
continuidade ao processo de infecção.
http://www.dominandoti.com.br
24
Grancursos
Vírus
• Tipos mais comuns de vírus:
• vírus parasitas – a forma mais tradicional e comum de
vírus, que utilizam arquivos executáveis como
hospedeiros, inserindo, logo no início desses arquivos
instruções de desvios para o código do vírus e, após a
infecção de outros arquivos, o vírus retorna o controle
para o programa hospedeiro, que é executado como se
nada de errado estivesse acontecendo;
• vírus de setor de boot – infecta um registro mestre de
inicialização ou registro de inicialização e se espalha
quando um sistema é inicializado a partir do disco
contento o vírus;
• vírus residente na memória – aloja-se na memória
principal como parte de um programa residente no
sistema, passando a infectar todo programa executado;
http://www.dominandoti.com.br
25
Grancursos
Vírus
• vírus camuflados – suprime as mensagens de erro que
normalmente aparecem quando ocorrem tentativas de
execução de atividades não autorizadas, podendo
inclusive utilizarem criptografia para dificultarem sua
identificação pelos antivírus;
• vírus polimórfico – projetados para alterarem seu
tamanho e aparência cada vez que infectam um novo
programa;
• vírus metamórfico – muda a cada infecção como os
polimórficos, mas se reescrevem completamente a cada
iteração e podem mudar também seu comportamento,
além de sua aparência;
http://www.dominandoti.com.br
26
Grancursos
Vírus
• vírus de macro – modalidade que se aproveita da
presença de macros em documentos para infectá-los,
sendo também caracterizados como multiplataforma
dada essa característica;
• vírus de e-mail – normalmente é recebido como um
arquivo anexado a uma mensagem de correio eletrônico,
onde o conteúdo dessa mensagem procura induzir o
usuário a clicar sobre o arquivo anexado, fazendo com
que o vírus seja executado, permitindo a propagação
dele por meio da lista de endereços de e-mail.
http://www.dominandoti.com.br
27
Grancursos
Exercícios
7. [57](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2003-2004 – ESAF) Analise as seguintes afirmações relativas à
segurança na Internet:
I. Engenharia Social é um termo utilizado para descrever um método de
ataque onde alguém faz uso da persuasão, muitas vezes abusando da
ingenuidade ou confiança do usuário, para obter informações que podem ser
utilizadas para ter acesso não autorizado a computadores ou informações.
II. Vulnerabilidade pode ser definida como uma falha no projeto ou
implementação de um software que, quando explorada por um atacante,
resulta na violação da segurança de um sistema.
III. Um vírus de macro normalmente é recebido como um arquivo executável
anexado a uma mensagem de correio eletrônico. O conteúdo dessa
mensagem procura induzir o usuário a clicar sobre o arquivo anexado,
fazendo com que o vírus seja executado.
IV. Engenharia reversa é uma das principais técnicas adotadas por hackers
para ter acesso não autorizado a computadores ou informações.
Estão corretos os itens:
a) I e II
b) II e III
http://www.dominandoti.com.br
c) III e IV
d) I e III
28
e) II e IV
Grancursos
Exercícios
8. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE)
Acerca de segurança em redes, julgue os itens seguintes.
1
[84] Atualmente, a maioria dos vírus ainda é detectada por meio de assinaturas. A
pesquisa por assinatura é variável conforme o antivírus. Dá-se o nome de falso
positivo a um alarme falso gerado pelo antivírus, isto é, quando um erro na lista
de definição faz que o programa marque arquivos limpos e seguros como
infectados.
2
[117] Um vírus metamórfico faz mutação a cada infecção, podendo tanto mudar
de comportamento quanto de aparência.
9. (Tecnologista Jr – MCT/2008 – CESPE) Julgue o item abaixo, acerca de
segurança dos sistemas de informação computacional e das redes de
comunicação.
1
[105] Um vírus de macrocomandos de uma aplicação, como, por exemplo, um
editor de textos, é independente da plataforma computacional e dos sistemas
operacionais.
http://www.dominandoti.com.br
29
Grancursos
Exercícios
10. (Analista de C&T – MCT/2008 – CESPE) Acerca das diversas ameaças,
vulnerabilidades e formas de ataque contra a segurança da informação,
bem como das medidas técnicas e protocolos de proteção dos sistemas
de informação, julgue os itens seguintes.
1
[76] Na fase latente ou dormente, um vírus de computador encontra-se quieto,
mas pronto a ser ativado por algum evento.
2
[77] Do ponto de vista estrutural, o programa hospedeiro de um vírus de
computador contém adicionado ao seu código executável pelo menos uma parte
do código executável do próprio vírus.
11. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue
o próximo item.
1.
[88] Ao se executar um programa previamente infectado — como, por exemplo,
ao se abrir arquivo anexado a e-mail ou ao se instalar programas de procedência
duvidosa ou desconhecida —, um vírus pode infectar o computador. Um vírus de
macro é parte de um arquivo normalmente manipulado por algum aplicativo que
utiliza macros e que, para ser executado, necessita que o arquivo que o contém
esteja aberto para que ele execute uma série de comandos automaticamente e
infecte outros arquivos no computador.
http://www.dominandoti.com.br
30
Grancursos
Worm
• Worm – programa capaz de se propagar
automaticamente através de redes, enviando cópias
de si mesmo de computador para computador.
• Diferente do vírus, o worm não embute cópias de si
mesmo em outros programas ou arquivos e não necessita
ser explicitamente executado para se propagar.
• Sua propagação se dá através da exploração de
vulnerabilidades existentes ou falhas na configuração de
softwares instalados em computadores.
http://www.dominandoti.com.br
31
Grancursos
Worm
• Geralmente, o worm não tem como conseqüência os
mesmos danos gerados por um vírus, como por exemplo a
infecção de programas e arquivos ou a destruição de
informações. Isto não quer dizer que não represente uma
ameaça à segurança de um computador, ou que não cause
qualquer tipo de dano.
• Worms são notadamente responsáveis por consumir
muitos recursos. Degradam sensivelmente o
desempenho de redes e podem lotar o disco rígido de
computadores, devido à grande quantidade de cópias de si
mesmo que costumam propagar.
http://www.dominandoti.com.br
32
Grancursos
Exercícios
12. [38](Analista Administrativo – Tecnologia da Informação e Comunicação –
Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O
código malicioso caracterizado por ser executado independentemente,
consumindo recursos do hospedeiro para a sua própria manutenção,
podendo propagar versões completas de si mesmo para outros hospedeiros,
é denominado
a) vírus.
b) backdoor.
c) cookie.
d) verme.
e) spyware.
13. (Assistente de Saneamento – Assistente de Informática I –
EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores,
julgue o item.
[76] Worm é um vírus que tem a capacidade de auto-replicação, espalhando-se
rapidamente de uma rede para outra, mas somente causa danos se for ativado pelo
usuário.
http://www.dominandoti.com.br
33
Grancursos
Exercícios
14. (Técnico Científico – Tecnologia da Informação – Segurança da
Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a
malwares, julgue os próximos itens.
1.
[89] Um worm pode realizar diversas funções maliciosas, como a instalação de
keyloggers ou screenloggers, o furto de senhas e outras informações sensíveis,
como números de cartões de crédito, a inclusão de backdoors, para permitir
que um atacante tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.
2.
[90] O worm costuma ser apenas um único arquivo que necessita ser
executado para que infecte o computador destinatário e, de modo distinto do
vírus ou do cavalo de troia, não costuma infectar outros arquivos e nem
propagar, automaticamente, cópias de si mesmo.
http://www.dominandoti.com.br
34
Grancursos
Bactéria e Bomba Lógica
• Bactéria – programa que gera cópias de si mesmo com o
intuito de sobrecarregar um sistema de computador. São
programas que não causam explicitamente danos aos
arquivos. Seu único propósito é a replicação, que ocorre de
forma exponencial. Eventualmente, podem assumir toda a
capacidade do processador, da memória ou do espaço em
disco, impedindo o acesso de usuários autorizados a esses
recursos.
• Bomba Lógica – ameaça programada, camuflada em
programas, que é ativada quando certas condições
satisfeitas. Permanecem dormentes, ou inativas, em
softwares de uso comum por um longo período até que
sejam ativadas. Quando isso acontece, executam funções
que alteram o comportamento do software “hospedeiro”.
http://www.dominandoti.com.br
35
Grancursos
Exercícios
15. (Analista em C&T Pleno – Segurança de Sistemas de Informação –
MCT/2008 – CESPE) Acerca das diversas ameaças, vulnerabilidades e
formas de ataque contra a segurança da informação, bem como das
medidas técnicas e protocolos de proteção dos sistemas de informação,
julgue o item seguinte.
1.
[72] Uma bomba lógica é um tipo de arquivo de dados que, ao ser acessado
por um programa, resulta na expansão rápida do espaço de memória desse
programa até lhe causar danos que podem se estender a outros programas e
ao próprio sistema operacional.
http://www.dominandoti.com.br
36
Grancursos
Cavalo de Troia
http://www.dominandoti.com.br
37
Grancursos
Cavalo de Troia
• Cavalo de tróia (trojan horse) – programa,
normalmente recebido como um "presente" (um cartão
virtual, um álbum de fotos, um protetor de tela, um jogo,
etc), que além de executar funções para as quais foi
aparentemente projetado, executa outras normalmente
maliciosas e sem o conhecimento do usuário.
• Algumas das funções maliciosas que podem ser executadas
por um cavalo de tróia são:
• instalação de keyloggers ou screenloggers;
• furto de senhas e outras informações sensíveis, como
números de cartões de crédito;
• inclusão de backdoors, para permitir que um atacante
tenha total controle sobre o computador;
• alteração ou destruição de arquivos.
http://www.dominandoti.com.br
38
Grancursos
Cavalo de Troia
• Por definição, o cavalo de tróia distingue-se de um vírus ou
de um worm por não infectar outros arquivos, nem
propagar cópias de si mesmo automaticamente.
• Podem existir casos onde um cavalo de tróia contenha um
vírus ou worm, mas mesmo nestes casos é possível
distinguir as ações realizadas como conseqüência da
execução do cavalo de tróia propriamente dito, daquelas
relacionadas ao comportamento de um vírus ou worm.
http://www.dominandoti.com.br
39
Grancursos
Exercícios
16. [55](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2003-2004 – ESAF) Analise as seguintes afirmações relativas aos tipos
de vírus de computador:
I. Uma função maliciosa que pode ser executada por um cavalo de tróia é a
alteração ou a destruição de arquivos.
II. Uma função maliciosa que pode ser executada por um cavalo de tróia é o
furto de senhas e outras informações sensíveis, como números de cartões de
crédito.
III. Uma função maliciosa que pode ser executada por um cavalo de tróia é se
replicar.
IV. Uma função maliciosa que pode ser executada por um cavalo de tróia é
infectar outros arquivos.
Estão corretos os itens:
a) II e III
b) I e II
http://www.dominandoti.com.br
c) III e IV
d) I e III
40
e) II e IV
Grancursos
Exercícios
17. [55](Analista de Finanças e Controle – Tecnologia da Informação –
CGU/2006 – ESAF) É crescente o número de incidentes de segurança
causados por vírus de computador e suas variações. Com isso, as
organizações estão enfrentando o problema com o rigor e cuidados
merecidos. Nesse contexto, é correto afirmar que
a) cavalos de tróia são variações de vírus que se propagam e possuem um
mecanismo de ativação (evento ou data) e uma missão.
b) vírus polimórficos suprimem as mensagens de erro que normalmente aparecem
nas tentativas de execução da atividade não-autorizada, utilizando, muitas vezes,
criptografia para não serem detectados por anti-vírus.
c) os vírus de macro utilizam arquivos executáveis como hospedeiros, inserindo
macros com as mesmas funções de um vírus em tais arquivos.
d) softwares anti-vírus controlam a integridade dos sistemas e compreendem três
etapas: prevenção, detecção e reação, nesta ordem.
e) vírus geram cópias de si mesmo a fim de sobrecarregarem um sistema, podendo
consumir toda a capacidade do processador, memória ou espaço em disco,
eventualmente.
http://www.dominandoti.com.br
41
Grancursos
Exercícios
18. (Técnico Científico – Banco da Amazônia/2006 - CESPE) No tocante a
vulnerabilidades, mecanismos, técnicas e políticas de segurança em
redes, julgue o item a seguir.
1 [109] Um trojan é um programa não-autorizado, embutido dentro de um
programa legítimo, que executa funções desconhecidas e, provavelmente,
indesejáveis. O programa alvo realiza a função desejada, mas, devido à
existência de código não-autorizado dentro dele, também executa funções
desconhecidas.
19. (Assistente de Saneamento – Assistente de Informática I –
EMBASA/2010 – CESPE) Quanto à segurança em rede de
computadores, julgue o item.
1.
[76] Cavalo de troia é um software legítimo que o usuário utiliza normalmente,
mas, ao mesmo tempo, executa outras funções ilegais, como enviar mensagens
e arquivos para o hacker ou abrir portas de entrada para futuras invasões.
20. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares,
julgue o próximo item.
1.
[87] O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros
programas ou arquivos e não necessita ser executado para se propagar. Sua
propagação se dá por meio da exploração de vulnerabilidades existentes ou de
falhas na configuração de software instalados em computadores.
http://www.dominandoti.com.br
42
Grancursos
Adware e Spyware
• Adware (Advertising software) – tipo de software
especificamente projetado para apresentar propagandas,
seja através de um browser, seja através de algum outro
programa instalado em um computador.
• São normalmente incorporados a softwares e serviços,
constituindo uma forma legítima de patrocínio ou retorno
financeiro para quem desenvolve software livre ou presta
serviços gratuitos. Exemplo: versão gratuita do Opera.
• Spyware – termo utilizado para se referir a uma grande
categoria de software que tem o objetivo de monitorar
atividades de um sistema e enviar as informações
coletadas para terceiros.
http://www.dominandoti.com.br
43
Grancursos
Exercícios
20. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 –
CESPE) Quanto à segurança em rede de computadores, julgue o item.
1.
[71] Adware é qualquer programa que, depois de instalado, automaticamente
executa, mostra ou baixa publicidade para o computador. Alguns desses
programas têm instruções para captar informações pessoais e passá-la para
terceiros, sem a autorização ou o conhecimento do usuário, o que caracteriza a
prática conhecida como spyware.
21. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue
os próximos itens.
1.
[86] Um adware difere de um spyware pela intenção. O primeiro é projetado para
monitorar atividades de um sistema e enviar informações coletadas para terceiros,
e o segundo é projetado especificamente para apresentar propagandas.
http://www.dominandoti.com.br
44
Grancursos
Exercícios
22. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 –
CESPE) Acerca das vulnerabilidades e proteções dos sistemas de
informação, julgue o item a seguir.
1
[97] Os programas conhecidos como spyware são um tipo de trojan que tem por
objetivo coletar informações acerca das atividades de um sistema ou dos seus
usuários e representam uma ameaça à confidencialidade das informações
acessadas no sistema infectado. Esses programas não são considerados como
vírus de computador, desde que não se repliquem a partir de um sistema onde
tenham sido instalados.
http://www.dominandoti.com.br
45
Grancursos
Backdoors
• Backdoor – programa que permite o retorno de um
invasor a um computador comprometido, utilizando serviços
criados ou modificados para este fim.
• É comum um atacante procurar garantir uma forma de
retornar a um computador comprometido, sem precisar
recorrer aos métodos utilizados na invasão.
• Na maioria dos casos, também é intenção do atacante
poder retornar sem ser notado.
http://www.dominandoti.com.br
46
Grancursos
Backdoors
• A existência de um backdoor não depende
necessariamente de uma invasão.
• Alguns dos casos onde não há associação com uma invasão
são:
• instalação através de um cavalo de tróia;
• inclusão como conseqüência da instalação e má
configuração de um programa de administração remota;
• alguns fabricantes incluem/incluíam backdoors em seus
produtos (softwares, sistemas operacionais), alegando
necessidades administrativas.
http://www.dominandoti.com.br
47
Grancursos
Exercícios
23. [62](Analista Técnico – Tecnologia da Informação – SUSEP/2006 – ESAF)
Ameaças programadas são aquelas que compreendem a execução de
códigos, gerados com o intuito de adulterar o comportamento considerado
normal, dos softwares. Em relação a tais ameaças e suas conseqüências, é
correto afirmar que
a) bombs (ou bombas lógicas) é uma ameaça programada, cujo intuito é sua
replicação (exponencial) em sistemas computacionais, assumindo, eventualmente,
a capacidade completa do processador, memória ou espaço em disco.
b) worms (ou vermes) são uma ameaça programada camuflada em programas, que
são ativados sob determinada condição, executando funções que alteram o
comportamento do software hospedeiro.
c) vírus é uma espécie de entrada para um programa que permite acesso nãoautorizado, violando procedimentos de segurança do sistema computacional.
d) trapdoors, cavalos de tróia, bombas lógicas, adwares e spywares são exemplos
de ameaças independentes, isto é, não precisam de um programa hospedeiro.
e) trojans (ou cavalos de tróia) normalmente são utilizados como veículos para
vírus, vermes e bombas lógicas.
http://www.dominandoti.com.br
48
Grancursos
Exercícios
24. (Assistente de Saneamento – Assistente de Informática I –
EMBASA/2010 – CESPE) Quanto à segurança em rede de
computadores, julgue o item.
1.
[78] Backdoor consiste em uma falha de segurança que pode existir em um
programa de computador ou sistema operacional. Essa falha permite que sejam
instalados vírus de computador ou outros programas maliciosos, conhecidos
como malware, utilizando-se exclusivamente de serviços executados em
background.
25. (Analista de C&T – MCT/2008 – CESPE) Acerca das diversas ameaças,
vulnerabilidades e formas de ataque contra a segurança da
informação, bem como das medidas técnicas e protocolos de proteção
dos sistemas de informação, julgue o item seguinte.
1
[74] Quando um backdoor é explorado por um atacante, o arquivo de texto
usado para propagar tal backdoor se transforma em um arquivo executável.
http://www.dominandoti.com.br
49
Grancursos
Keyloggers
• Keylogger – programa capaz de capturar e armazenar a
informação das teclas digitadas pelo usuário em um
computador.
• Dentre as informações capturadas podem estar um texto
de e-mail, dados da declaração de imposto de renda e
outras informações sensíveis, como senhas bancárias e
números de cartões de crédito.
• Normalmente, a ativação do keylogger é condicionada a
uma ação prévia do usuário, como por exemplo, após o
acesso a um site específico de comércio eletrônico ou
Internet Banking.
http://www.dominandoti.com.br
50
Grancursos
Exercícios
26. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010
– CESPE) Quanto à segurança em rede de computadores, julgue o item.
1
[79] Keylogger é um programa de computador do tipo spyware cuja finalidade
é monitorar tudo o que for digitado, a fim de descobrir senhas de banco,
números de cartão de crédito e afins. Alguns casos de phishing e
determinados tipos de fraudes virtuais baseiam-se no uso de keylogger.
http://www.dominandoti.com.br
51
Grancursos
Bots e Botnets
• Bot – programa capaz se propagar automaticamente
(modo similar ao worm), explorando vulnerabilidades
existentes ou falhas na configuração de softwares
instalados em um computador.
• Adicionalmente ao worm, dispõe de mecanismos de
comunicação com o invasor, permitindo que o bot seja
controlado remotamente.
• Botnets – redes formadas por computadores infectados
com bots, que podem ser compostas por centenas ou
milhares de computadores.
• Um invasor que tenha controle sobre uma botnet pode
utilizá-la para aumentar a potência de seus ataques, por
exemplo, para enviar milhares de e-mails de phishing ou
spam, desferir ataques de negação de serviço, etc.
http://www.dominandoti.com.br
52
Grancursos
Exercícios
27. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE)
Julgue o próximo item acerca dos conceitos de segurança da
informação.
1
[153] São características típicas dos malwares: cavalos de tróia aparentam
realizar atividades úteis; adwares obtêm e transmitem informações privadas do
usuário; backdoors estabelecem conexões para fora da rede onde se encontram;
worms modificam o código de uma aplicação para propagar-se em uma rede; e
botnets realizam ataques articulados por meio de um controle remoto.
http://www.dominandoti.com.br
53
Grancursos
Rootkits
• Rootkit – conjunto de programas que fornece
mecanismos para que um invasor possa esconder e
assegurar a sua presença no computador
comprometido.
• O nome rootkit não indica que as ferramentas que o
compõem são usadas para obter acesso privilegiado (root
ou Administrator) a um computador, mas sim para mantêlo.
• O invasor, após instalar o rootkit, terá acesso privilegiado
sem precisar recorrer novamente aos métodos utilizados
na invasão, e suas atividades serão escondidas do
responsável e/ou dos usuários do computador.
http://www.dominandoti.com.br
54
Grancursos
Rootkits
• Um rootkit pode fornecer ferramentas com as mais
diversas funcionalidades, podendo ser citados:
• programas para esconder atividades e informações
deixadas pelo invasor (normalmente presentes em todos
os rootkits), tais como arquivos, diretórios, processos,
conexões de rede, etc;
• backdoors, para assegurar o acesso futuro do invasor ao
computador comprometido (presentes na maioria dos
rootkits);
• programas para remoção de evidências em arquivos de
logs;
http://www.dominandoti.com.br
55
Grancursos
Rootkits
• (Cont.):
• sniffers, para capturar informações na rede onde o
computador está localizado, como por exemplo senhas
que estejam trafegando em claro, sem qualquer
proteção de criptografia;
• scanners, para mapear potenciais vulnerabilidades em
outros computadores;
• outros tipos de malware, como cavalos de tróia,
keyloggers, ferramentas de ataque de negação de
serviço, etc.
http://www.dominandoti.com.br
56
Grancursos
Exercícios
28. (Auditor Federal de Controle Externo – Tecnologia da Informação –
TCU/2009 - CESPE) Durante resposta a um incidente de segurança em
um ambiente de rede de computadores, um analista de segurança de
tecnologia da informação (TI) precisou empregar várias técnicas e
ferramentas para realizar coleta de dados em vários hosts e dispositivos
de rede, relativas à possível presença de malwares. Algumas das
técnicas e das ferramentas e alguns dos dados coletados foram os
seguintes:
I portas TCP/IP abertas nos computadores da rede, por meio da execução
de varredura;
II relatos de detecção de infecções por vírus, por meio de antivírus;
III log de aplicações das regras no firewall da rede, por meio de inspeção;
IV nomes e assinaturas dos processos computacionais em execução em um
computador em determinado espaço de tempo, por meio de software
apropriado.
Considerando essa situação hipotética, se a comparação que o analista de
segurança realizar com a última linha de base segura de determinado
computador indicar que
http://www.dominandoti.com.br
57
Grancursos
Exercícios
1
[164] ocorreu um aumento na quantidade e qualidade de registros relativos aos
aspectos I e III da linha base, mas não ao aspecto IV, então isso sugerirá a
presença de worms e backdoors na rede.
2
[165] não há alterações junto a nenhum dos fatores I, II, III e IV, então isso
evidenciará que não há infecção por malwares.
http://www.dominandoti.com.br
58
Grancursos
Negação de Serviço (DoS)
• Negação de Serviço (Denial of Service - DoS) – o
atacante utiliza um computador para tirar de operação
um serviço ou computador(es) conectado(s) à Internet.
• Exemplos deste tipo de ataque são:
• gerar uma sobrecarga no processamento de um
computador, de modo que o usuário não consiga utilizálo;
• gerar um grande tráfego de dados para uma rede,
ocasionando a indisponibilidade dela;
• Indisponibilizar serviços importantes de um provedor,
impossibilitando o acesso de seus usuários.
http://www.dominandoti.com.br
59
Grancursos
DDoS
• DDoS (Distributed Denial of Service) – ataque de
negação de serviço distribuído, ou seja, um conjunto de
computadores é utilizado para tirar de operação um ou
mais serviços ou computadores conectados à Internet.
• Normalmente, procuram ocupar toda a banda disponível
para o acesso a um computador ou rede, causando grande
lentidão ou até mesmo indisponibilizando qualquer
comunicação com este computador ou rede.
• Um exemplo de ataque DDoS ocorreu no início de 2000,
onde computadores de várias partes do mundo foram
utilizados para indisponibilizar o acesso aos sites de
empresas de comércio eletrônico.
http://www.dominandoti.com.br
60
Grancursos
Exercícios
29. [53](Analista de Finanças e Controle – Tecnologia da Informação –
Infraestrutura de TI – CGU/2008 – ESAF) Uma máquina isolada devido a um
ataque DNS (Domain Name System) representa
a) ação de spywares.
b) negação de serviço.
c) varredura de portas.
d) ação de um vírus.
e) falsificação DNS.
30. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE)
Julgue o próximo item acerca dos conceitos de segurança da
informação.
1 [157] A detecção, por um sniffer de rede, de uma longa série de segmentos TCP
SYN enviados de um host local para um host remoto, sem o correspondente
envio de segmentos TCP ACK, sugere que a rede sob análise pode estar
sofrendo um ataque de negação de serviço.
http://www.dominandoti.com.br
61
Grancursos
Exercícios
31. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008 CESPE) Julgue o item abaixo, relativo à segurança da informação.
1
[176] Considere que um dos hosts da rede de uma organização esteja sofrendo
um ataque da classe de negação de serviço (denial of service – DoS) e que,
visando identificar de forma mais precisa o ataque que o host está sofrendo, o
administrador tenha constatado que há elevada razão entre o número de pacotes
TCP do tipo SYN e o número de pacotes TCP do tipo ACK que estão sendo
enviados para o host sob ataque e que, por outro lado, a razão entre o número de
pacotes TCP do tipo SYN recebidos pelo host e o número de pacotes do tipo
SYN/ACK enviados pelo host é aproximadamente igual a 1. Nessa situação, o
administrador deverá considerar a possibilidade de o ataque sob análise ser do
tipo SYN flood, visto que são reduzidas as chances de o ataque ser do tipo
NAK/ACK.
32. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE)
Acerca de segurança em redes, julgue o item abaixo.
1
[118] Em um ataque negação de serviço por refletor — reflector distributed denial
of service (DDoS) — entidades escravas do atacante constroem pacotes que
requerem respostas e contém o endereço IP do alvo como endereço fonte no
cabeçalho, de modo que ao serem enviados a computadores não infectados, os
refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do
ataque.
http://www.dominandoti.com.br
62
Grancursos
Exercícios
33.
(Assistente de Saneamento – Assistente de Informática I –
EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores,
julgue o item.
1
[73] O DDoS (distributed denial of service) é um tipo de ataque coordenado, no
qual diversos hosts são atacados e coordenados pelo hacker, para a realização de
ataques simultâneos aos alvos.
2
[74] O SYN flooding é um tipo de ataque que explora o mecanismo de conexões
IP, gerando um grande número de requisições em um servidor web.
34. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) A respeito de ataques a redes
de computadores e de incidentes de segurança, julgue os itens abaixo.
1.
[81] O incidente denominado DDoS deve ser tratado de maneira diferente de
outros tipos de incidente de segurança, pois dificilmente um firewall ou IDS
gerará log. Sua notificação de incidente deve informar o cabeçalho e o conteúdo
completos da mensagem recebida pelo usuário.
http://www.dominandoti.com.br
63
Grancursos
Exercícios
2.
[82] Um ataque de negação de serviço (DoS) não é uma invasão do sistema e
objetiva tornar os recursos de um sistema indisponíveis para seus utilizadores.
O ataque tenta indisponibilizar páginas hospedadas em servidores web e produz
como efeito uma invalidação por sobrecarga.
3.
[84] No ping flood, o atacante sobrecarrega o sistema vítima com pactos ICMP
echo request (pacotes ping). Para o ataque ser bem sucedido, o atacante deve
possuir maior largura de banda que a vítima, que, ao tentar responder aos
pedidos, irá consumir a sua própria largura de banda, impossibilitando-a de
responder a pedidos de outros utilizadores. Uma das formas de prevenir esse
tipo de ataque é limitar o tráfego de pacotes ICMP echo request.
4.
[85] No syn flood ou ataque syn, o atacante envia uma sequência de
requisições syn para um sistema-alvo visando uma sobrecarga direta na
camada de transporte e indireta na camada de aplicação do modelo OSI.
http://www.dominandoti.com.br
64
Grancursos
3 em 1 - TI
Segurança da Informação
Mecanismos de Proteção
Prof. M.Sc. Gleyson Azevedo
[email protected]
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
Roteiro
• Firewall
• IDS
• IPS
• VPN
• IPSec
http://www.dominandoti.com.br
66
Grancursos
Firewall
• Definições:
• É um mecanismo de proteção que controla a passagem
de pacotes entre redes, tanto locais como externas.
• É um dispositivo que possui um conjunto de regras
especificando que tráfego ele permitirá ou negará.
• É um dispositivo que permite a comunicação entre
redes, de acordo com a política de segurança definida e
que são utilizados quando há uma necessidade de que
redes com níveis de confiança variados se comuniquem
entre si.
http://www.dominandoti.com.br
67
Grancursos
Firewall – Definição
Ponto Único
Rede 2
Rede 1
• Controle
• Autenticação
Um ou mais componentes
• Registro de Tráfego
http://www.dominandoti.com.br
68
Grancursos
Firewall
• Existem coisas que o firewall NÃO PODE proteger:
• do uso malicioso dos serviços que ele é autorizado a
liberar;
• dos usuários que não passam por ele, ou seja, não
verifica o fluxo intra-redes;
• dos ataques de engenharia social;
• das falhas de seu próprio hardware e sistema
operacional.
http://www.dominandoti.com.br
69
Grancursos
Exercícios
35. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 CESPE) Os sistemas de informação possuem diversas vulnerabilidades
que podem ser exploradas para se comprometer a segurança da
informação. Para reduzir os riscos de segurança, empregam-se diversos
mecanismos de controle e de proteção física e lógica desses sistemas.
Acerca das vulnerabilidades e proteções dos sistemas de informação,
julgue o item a seguir.
1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o
nível de segurança de uma rede de computadores corporativa, os firewalls
exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem
ser instalados entre a rede interna da organização e as redes do mundo externo e
têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que
ataques conhecidos sejam realizados.
http://www.dominandoti.com.br
70
Grancursos
Firewall – Classificação
• Classificação:
• filtro de pacotes;
• filtro de pacotes baseado em estados ou filtro de
estado das conexões (stateful);
• proxy de serviços ou gateway de aplicação.
Evolução das
Firewall Proxy
tecnologias
Filtros de Pacotes baseado em Estados
de Firewall
Filtros de Pacotes
Roteadores – Listas de Controle de Acesso (ACL’s)
http://www.dominandoti.com.br
71
Grancursos
Firewall – Funcionalidades
• Funcionalidades:
• filtros;
• proxies;
• bastion hosts;
• Zonas Desmilitarizadas (DMZ);
• NAT;
• VPN
• autenticação;
• balanceamento de carga;
• alta disponibilidade.
http://www.dominandoti.com.br
72
Grancursos
Firewall – Política Padrão
• Existem dois tipos de modelo de acesso, ou política
padrão, que podem ser aplicados ao firewall:
• tudo é permitido, exceto o que for expressamente
proibido;
• tudo é proibido, exceto o que for expressamente
permitido.
http://www.dominandoti.com.br
73
Grancursos
Firewall – Filtro de Pacotes
• É um dos métodos mais antigos e amplamente disponíveis
de controlar o acesso a redes.
• Pode ser encontrado em sistemas operacionais, em
firewalls de software ou de hardware, e também como um
recurso da maioria dos roteadores.
• Os filtros de pacotes protegem todo o tráfego entre redes
verificando apenas parâmetros da camada de rede e de
transporte TCP/IP.
http://www.dominandoti.com.br
74
Grancursos
Firewall – Filtro de Pacotes
• Este tipo de firewall é implementado como um roteador
que, ao realizar suas funções de roteamento, verifica as
seguintes informações dos pacotes:
• endereços IP de origem e de destino;
• tipo de protocolo – TCP, UDP e ICMP;
• portas de origem e de destino;
• flags IP e TCP;
• tipos de mensagens ICMP;
• tamanho do pacote.
http://www.dominandoti.com.br
75
Grancursos
Firewall – Filtro de Pacotes
• A principal vantagem dos filtros de pacotes é a sua
eficiência, pois cada operação de filtragem estará restrita a
verificar somente informações básicas do cabeçalho do
pacote.
• Desta forma, é amplamente utilizado em roteadores como
listas de controle de acesso.
• A despeito disso, sua principal desvantagem é a de não
conseguir verificar o estado das conexões, sendo
necessário criar várias linhas de filtragem para se
implementar uma única regra.
http://www.dominandoti.com.br
76
Grancursos
Firewall – Filtro de Pacotes
• Por exemplo, em um regra simples que permita o acesso
de clientes a um servidor HTTP é necessário configurar as
conexões de chamada do cliente para o servidor bem
como as das respostas do servidor para o cliente.
• Sintaxe:
• Política [ACCEPT | DROP | REJECT] Protocolo [TCP |
UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] {
Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino
[DA=ipaddr/msk] Porta Destino [DP] Opções [ ].
http://www.dominandoti.com.br
77
Grancursos
Firewall – Filtro de Pacotes
http://www.dominandoti.com.br
78
Grancursos
Firewall – Filtro de Pacotes
• Vantagens:
• barato, simples e flexível;
• alto desempenho da rede;
• transparente para o usuário.
• Desvantagens:
• permite a conexão direta para hosts internos de clientes
externos,
• difícil de gerenciar em ambientes complexos;
• não oferece autenticação de usuários.
http://www.dominandoti.com.br
79
Grancursos
Exercícios
36. [39](Analista Administrativo – Tecnologia da Informação e Comunicação –
Des. Sist. E Adm Banco de Dados – ANA/2009 – ESAF) Para efetuar o controle
de acesso com base no tipo de mensagem ICMP, deve-se empregar
a) Sistema de Detecção de Intrusos (SDI).
b) Rede Local Virtual (VLAN).
c) Filtragem de Pacotes.
d) Gateway de Aplicação.
e) Rede Privada Virtual (VPN).
http://www.dominandoti.com.br
80
Grancursos
Exercícios
37. [50](Analista de Finanças e Controle – Tecnologia da Informação –
Infraestrutura de TI – CGU/2008 – ESAF) Assinale a opção que não
compreende uma informação relevante a decisões em filtragem de pacotes.
a) Porta UDP (User Datagram Protocol) destino.
b) Tipo de mensagem ICMP (Internet Control Message Protocol).
c) Endereço IP do gateway de aplicação.
d) Datagramas de inicialização de conexão usando bits TCP SYN.
e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer
Protocol).
http://www.dominandoti.com.br
81
Grancursos
Exercícios
38. [36](Analista Administrativo – Tecnologia da Informação e Comunicação –
Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O
mecanismo de controle de acesso adequado para bloquear segmentos UDP e
conexões FTP, em uma rede, é o(a)
a) sistema de detecção de intrusos (SDI).
b) firewall de filtragem de pacotes.
c) rede privada virtual (VPN).
d) gateway de aplicação.
e) rede local virtual (VLAN).
http://www.dominandoti.com.br
82
Grancursos
Exercícios
39. [07](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2006 – ESAF) A proteção dos sistemas utilizados pelos fornecedores de
serviços pela Internet requer a aplicação de ferramentas e conceitos de
segurança eficientes. Quanto ao firewall que trabalha na filtragem de pacotes,
um dos mais importantes itens de segurança para esses casos, é correto
afirmar que ele
a) se restringe a trabalhar nas camadas HTTP, decidindo quais pacotes de dados
podem passar e quais não. Tais escolhas são regras baseadas nas informações do
serviço remoto, endereço IP do destinatário, além da porta UDP usada.
b) é capaz de controlar conexões pelas portas UDP utilizadas, além de ser capaz
de analisar informações sobre uma conexão já estabelecida, sem o uso de portas.
c) é instalado geralmente em computadores servidores, também conhecidos como
proxy.
d) determina que endereços IPs podem estabelecer comunicação e/ou transmitir ou
receber dados.
e) além de ter a capacidade de analisar o conteúdo dos pacotes, o que permite um
controle ainda maior, pode ou não ser acessível para conexões que usam porta
UDP.
http://www.dominandoti.com.br
83
Grancursos
Exercícios
40. (Assistente de Saneamento – Assistente de Informática I –
EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores,
julgue o item.
1 [72] Uma rede interna pode ser protegida contra o IP spoofing por meio da
aplicação de filtros; como exemplo, se a rede tem endereços do tipo
100.200.200.0, então o firewall deve bloquear tentativas de conexão originadas
externamente, caso a origem tenha endereços de rede do tipo 100.200.200.0.
41. (Analista de Informações – ABIN/2004 – CESPE) Acerca das
tecnologias, dos protocolos e dos elementos estruturais que permitem
organizar a segurança dos sistemas de informação em redes, julgue os
itens seguintes.
1 [102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes
de uma rede externa que tenham endereço IP de origem da rede interna.
http://www.dominandoti.com.br
84
Grancursos
Firewall – Filtro de Conexões
• O firewall de filtro de estado tenta rastrear o estado das
conexões de rede enquanto filtra os pacotes.
• Suas capacidades são resultado do cruzamento das
funções de um filtro de pacotes com a inteligência
adicional do protocolo.
• Este tipo de firewall examina predominantemente as
informações das camadas IP e de transporte de um pacote
que inicia uma conexão.
• Se o pacote inspecionado combinar com a regra de firewall
existente que o permita, uma entrada é acrescentada em
uma tabela de estados.
http://www.dominandoti.com.br
85
Grancursos
Firewall – Filtro de Conexões
• Desse ponto em diante, os pacotes relacionados com a
sessão que consta na tabela de estado terão os seus
acessos permitidos, sem a chamada de qualquer outra
inspeção.
• Em tese, este método aumenta o desempenho geral do
firewall, pois somente os pacotes iniciais precisam ser
totalmente desmembrados até a camada de transporte.
• Entretanto, se a implementação da tabela de estado não
oferecer um modo eficiente de manipular os estados da
conexão, poderá haver queda de desempenho do
equipamento.
http://www.dominandoti.com.br
86
Grancursos
Firewall – Filtro de Conexões
• Este tipo de firewall é um filtro de pacotes dinâmico, ou
seja, ele mantém o estado de cada conexão que passa por
ele.
• Isto é possível com a implementação de uma tabela de
estados em que o firewall mantém o relacionamento entre
endereços IP de origem e de destino, portas de origem e de
destino, flags do segmento TCP e tipos de pacotes ICMP.
• Desta forma, não é mais necessário criar entradas
adicionais para a mesma conexão.
http://www.dominandoti.com.br
87
Grancursos
Firewall – Filtro de Conexões
• Estado é a condição de pertencer a uma determinada
sessão de comunicação.
• A definição desta condição vai depender da aplicação com a
qual as partes estão se comunicando e dos protocolos que
as partes estão utilizando.
• Os protocolos de transporte podem ter o estado de sua
conexão rastreado de várias formas.
http://www.dominandoti.com.br
88
Grancursos
Firewall – Filtro de Conexões
• Muitos dos atributos que compõem uma sessão de
comunicação, inclusive os pares de endereço IP, portas de
origem e de destino, números de sequência e flags, podem
ser utilizados como identificação de uma conexão
individual.
• A combinação dessas partes de informação normalmente é
mantida como um hash (resumo) em uma tabela de
estado, para facilitar a comparação.
http://www.dominandoti.com.br
89
Grancursos
Firewall – Filtro de Conexões
http://www.dominandoti.com.br
90
Grancursos
Firewall – Filtro de Conexões
• TCP: como é um protocolo baseado em conexão, o estado
de suas sessões de comunicação pode ser solidamente
definido através de sua Máquina de Estados Finitos
(modelo que define todos os estados possíveis do protocolo
TCP).
• A conexão TCP pode assumir 11 estados diferentes
(conforme RFC 793).
• Apesar da desconexão TCP ser prevista em seu modelo,
para evitar que a tabela do firewall possua informações de
conexões inexistentes, é comum a utilização de contadores
de tempo para cada conexão.
http://www.dominandoti.com.br
91
Grancursos
Firewall – Filtro de Conexões
• UDP: é um protocolo de transporte sem conexão, o que
dificulta o acompanhamento de seu estado.
• Na realidade, um protocolo sem conexão não possui
estado, portanto, deve haver algum mecanismo que
garanta criar um pseudo-estado através do registro de
itens do UDP que estejam relacionados a uma
determinada sessão de comunicação.
• Como o UDP não possui números de sequência ou flags,
os únicos itens que podem servir como base são os pares
de endereço IP e a porta de serviço dos dois pontos
envolvidos na comunicação.
http://www.dominandoti.com.br
92
Grancursos
Firewall – Filtro de Conexões
• ICMP: assim como o UDP, o ICMP não possui estado,
contudo, também como o UDP, ele dispõe de atributos que
permitem que suas conexões sejam acompanhadas de um
modo com pseudo-estado.
• A parte mais complicada do acompanhamento do ICMP
envolve suas comunicações unidirecionais.
• O protocolo ICMP normalmente é utilizado para retornar
mensagens de erro quando um host ou protocolo não
pode fazer isso por conta própria, no que pode ser
descrito como uma mensagem de resposta.
http://www.dominandoti.com.br
93
Grancursos
Firewall – Filtro de Conexões
• As mensagens do tipo resposta do ICMP são precipitadas
por solicitações de outros protocolos (TCP, UDP).
• Devido a essa questão de multiprotocolo, descobrir
mensagens ICMP no estado de um par de soquetes (IP +
PORTA) existentes pode ser algo confuso para a tabela de
estado.
• A outra maneira de se utilizar o ICMP é através do seu
próprio mecanismo de pedido/resposta, como por
exemplo, o ping onde são utilizadas as mensagens de
echo-request e echo-replay.
http://www.dominandoti.com.br
94
Grancursos
Firewall – Filtro de Conexões
• Vantagens:
• alto desempenho da rede;
• aceita quase todos os tipos serviços;
• transparente para o usuário.
• Desvantagens:
• permite a conexão direta para hosts internos de clientes
externos,
• não oferece autenticação de usuários.
http://www.dominandoti.com.br
95
Grancursos
Exercícios
42. (Analista de Redes – Ministério Público do Estado do Amazonas/2008
- CESPE) Com relação às proxies e aos filtros de acesso, julgue os
itens a seguir.
1
[116] A filtragem de pacotes sem estado baseia-se na inspeção das informações
de cabeçalho para determinar se um pacote pode ou não ser aceito ou
transmitido.
2
[117] A filtragem com informação de estado leva em consideração o estado das
conexões para aceitar ou não pacotes, o que reduz o esforço computacional da
inspeção em si e aumenta a granularidade da filtragem.
43. (Informática – Administração de Rede – MC/2008 – CESPE) Com
relação a firewalls, julgue os itens de 68 a 70.
1
[68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao
lidar com pacotes fragmentados.
2
[69] Firewalls que realizam a inspeção de estado normalmente são menos
eficazes e seguros que firewalls baseados em filtragem de pacotes.
3
[70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar
a inspeção.
http://www.dominandoti.com.br
96
Grancursos
Exercícios
44. (Técnico Científico – Tecnologia da Informação – Segurança da
Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos
dispositivos de segurança de redes de computadores, julgue os itens
subsequentes.
1.
[99] A inspeção de estados visa determinar se um pacote pode entrar ou sair
de uma rede, tendo por base a verificação de informações localizadas no
cabeçalho do pacote.
2.
[100] Tanto na filtragem quanto na inspeção que se baseiam em estado, a
informação de estado é mantida em uma tabela até que a conexão se encerre
(como no tráfego TCP) ou ao atingir um limite de tempo (como no caso de
tráfego TCP, UDP e ICMP).
http://www.dominandoti.com.br
97
Grancursos
Firewall – Proxy de Serviços
• Em geral, um proxy (procurador) é algo ou alguém que
faz algo em nome de outra pessoa.
• Os serviços proxy são programas aplicativos ou servidores
especializados que recebem as solicitações dos usuários e
as encaminha para os respectivos servidores reais.
• Do ponto de vista do cliente, o servidor é o proxy; do
ponto de vista do servidor, o cliente é o proxy.
• Seu princípio básico de funcionamento está no fato de
que este tipo de firewall não permite a conexão direta
entre as entidades finais da comunicação.
http://www.dominandoti.com.br
98
Grancursos
Firewall – Proxy de Serviços
• Na figura a seguir, todas as conexões HTTP originadas
pelos clientes são enviadas para o Proxy do Serviço HTTP.
• Este, por sua vez, envia os pedidos ao servidor como
sendo ele o solicitante.
• O servidor HTTP responde ao proxy e este repassa as
respostas aos respectivos clientes.
http://www.dominandoti.com.br
99
Grancursos
Firewall – Proxy de Serviços
http://www.dominandoti.com.br
100
Grancursos
Firewall – Proxy de Serviços
• Neste contexto, o proxy de serviço roda em uma máquina
com duas interfaces de rede, entretanto, diferentemente
do filtro de pacotes, o proxy não realiza roteamento dos
datagramas IP.
• Desta forma, não é necessário criar regras de filtragem
dentro do proxy de serviços pois as duas redes conectadas
ao proxy não são visíveis entre si.
http://www.dominandoti.com.br
101
Grancursos
Firewall – Proxy de Serviços
• Vantagens:
• Não permite conexões diretas entre hosts internos e
hosts externos;
• Aceita autenticação do usuário;
• Analisa comandos da aplicação no payload dos pacotes
de dados, ao contrário do filtro de pacotes.
• Desvantagens:
• Mais lento do que os filtros de pacotes (somente os
gateways de aplicação);
• Requer um proxy específico pra cada aplicação;
• Não trata pacotes ICMP.
http://www.dominandoti.com.br
102
Grancursos
Firewall – Proxy de Serviços
• Uma implementação que era bastante comum é a de
misturar as funções de filtro de pacotes e de proxy no
mesmo equipamento conforme a figura a seguir.
• Não é uma configuração recomendável devido ao alto
consumo de recursos de hardware.
http://www.dominandoti.com.br
103
Grancursos
Exercícios
45. [57](Analista de Tecnologia da Informação – SEFAZ-CE/2007 – ESAF)
Analise as afirmações a respeito de ataques e medidas de segurança
associadas e assinale a opção correta.
I - Análise de tráfego de uma rede de computadores é um exemplo de ataque
passivo e, este por sua vez, é difícil de prevenir, sendo aplicáveis nestes
casos, medidas de detecção.
II - Controles administrativos, tais como o uso de crachás de identificação e
princípios da mesa limpa, podem ser usados como meios de prevenção
contra ataques à segurança física das organizações.
III - Falsificação de IP (Internet Protocol) pode ser usado em ataques de
negação de serviço (DoS – Denial of Service) para ocultar a identidade da
origem do ataque. É possível evitá-la nos processos de filtragem de pacotes
de entrada, durante o tráfego dos pacotes no firewall.
http://www.dominandoti.com.br
104
Grancursos
Exercícios
IV - Vírus são códigos maliciosos projetados para se replicarem e se
espalharem de um computador para outro, atacando programas, arquivos,
disco e aplicativos, por exemplo; e são classificados em parasitas, de setor
de boot, camuflados, de macro e polimórficos. Nesse contexto, cavalos de
tróia (trojans) são veículos para vírus, sendo o anti-vírus a contramedida
aplicável para assegurar prevenção, detecção e reação aos vírus.
V - Um proxy é um servidor de aplicação específico, tal como o de correio
eletrônico, de transferência de arquivos e Web por exemplo, no qual os dados
de entrada e saída da aplicação devem ser tratados, a fim de que sejam
tomadas decisões quanto à negação ou permissão de acesso.
a) Apenas a afirmação III é falsa.
b) Apenas a afirmação I é falsa.
c) Apenas a afirmação V é falsa.
d) Todas as afirmações são falsas.
e) Todas as afirmações são verdadeiras.
http://www.dominandoti.com.br
105
Grancursos
Exercícios
46. (Técnico Científico – Tecnologia da Informação – Segurança da Informação
– Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de
segurança de redes de computadores, julgue o item subsequente.
1.
[96] Um proxy, ao agir no lugar do cliente ou do usuário para prover acesso a
um serviço de rede, protege tanto o cliente quanto o servidor de uma conexão
direta.
47. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a
seguir.
1
[118] Uma proxy media a conexão de um cliente ou usuário para prover acesso a
um serviço de rede, o que evita a conexão direta peer-to-peer.
2
[119] Um firewall embasado em proxy tem melhor desempenho (retardo e
throughput, por exemplo) quando comparado a um firewall que opera em
camadas mais baixas, visto que, como atua no nível da aplicação, pode
inspecionar não só as informações de cabeçalho, como também as dos
protocolos de aplicação.
http://www.dominandoti.com.br
106
Grancursos
Exercícios
3
[120] Uma desvantagem do uso de um firewall baseado em Proxy é que ele pode
ser mais difícil de configurar e operar. Entretanto, o uso de VPNs pode reverter
essa situação.
48. (Analista de Informações – ABIN/2004 – CESPE) Acerca das
tecnologias, dos protocolos e dos elementos estruturais que permitem
organizar a segurança dos sistemas de informação em redes, julgue o
item seguinte.
1 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um
servidor mediante a observação da chegada de pacotes IP fragmentados.
http://www.dominandoti.com.br
107
Grancursos
Firewall – Zona Desmilitarizada (DMZ)
• A utilização de firewall para se conectar uma rede à
Internet possibilitou uma topologia de acesso interessante
e segura.
• Na figura a seguir, tem-se uma rede composta por
máquinas clientes, servidores de serviços de Intranet
(acessados pelos clientes internos) e servidores de
serviços Internet (acessados pela Internet).
http://www.dominandoti.com.br
108
Grancursos
Firewall – Zona Desmilitarizada (DMZ)
http://www.dominandoti.com.br
109
Grancursos
Firewall – Zona Desmilitarizada (DMZ)
• Na topologia apresentada, deve-se observar o seguinte:
• no mesmo segmento da rede da empresa, há a
ocorrência de tráfego local e de tráfego oriundo da
Internet;
• caso o servidor de serviços de Internet (um servidor
Web, por exemplo) seja comprometido por algum
agente mal intencionado, o ataque poderá se propagar
para o restante de rede.
• Conclusão: Deve ser criado um mecanismo que separe a
natureza dos dois tipos de tráfego isolando o servidor que
recebe os acessos Internet dos demais servidores e
máquinas clientes da rede interna da empresa.
• Solução: Criar uma área de rede reservada para a
hospedagem dos serviços públicos (acessados pela
Internet), ou seja, uma Zona Desmilitarizada (DMZ).
http://www.dominandoti.com.br
110
Grancursos
Firewall – Zona Desmilitarizada (DMZ)
• Objetivos:
• evitar que a Internet acesse diretamente serviços
dentro de uma rede interna;
• separar o tráfego de rede interno do externo;
• ligação de uma rede interna com a Internet ou com
uma rede de outra organização.
http://www.dominandoti.com.br
111
Grancursos
Firewall – Arquiteturas
• Dual-homed host architecture
• Formada por um equipamento que tem duas interfaces
de rede e funciona como um separador entre as duas
redes.
• Os sistemas internos têm de ser conectados ao firewall
para que possam se comunicar com os servidores
externos e vice-versa, mas nunca diretamente.
• Assim, as comunicações são realizadas por meio de
proxies ou conexões em duas etapas, nas quais o
usuário se conecta primeiramente ao host dual-homed,
para depois se conectar ao servidor externo.
http://www.dominandoti.com.br
112
Grancursos
Firewall – Arquiteturas
• Dual-homed host architecture
http://www.dominandoti.com.br
113
Grancursos
Firewall – Arquiteturas
• Screened host architecture
• Formada por um filtro de pacotes e um bastion host.
• O filtro deve ter regras que permitam o tráfego para a
rede interna somente por meio do bastion host, de
modo que os usuários externos que queiram acessar
um sistema da rede interna devem, primeiramente, se
conectar ao bastion host.
• O bastion host pode funcionar também como um proxy,
exigindo, assim, que os usuários internos acessem a
internet por meio dele.
http://www.dominandoti.com.br
114
Grancursos
Firewall – Arquiteturas
• Screened host architecture
http://www.dominandoti.com.br
115
Grancursos
Firewall – Arquiteturas
• Screened subnet architecture
• Essa arquitetura aumenta o nível de segurança com
relação à arquitetura screened host ao adicionar a rede
DMZ.
• Se, antes, um ataque ao bastion host significava que o
invasor já estaria com a rede interna disponível para
ele, isso não ocorre na arquitetura screened subnet.
• O bastion host fica na DMZ, que funciona como uma
área de confinamento entre a rede interna e a rede
externa, posicionada entre dois filtros.
http://www.dominandoti.com.br
116
Grancursos
Firewall – Arquiteturas
• Screened subnet architecture
http://www.dominandoti.com.br
117
Grancursos
Exercícios
49. [52](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2006 – ESAF) Firewall é um componente de soluções para a segurança
de redes. Em relação a este componente é correto afirmar que
a) um host dual-homed deve ser protegido com cautela porque é vulnerável a
ataques, uma vez que está exposto à Internet, além de ser o principal ponto de
conexão para os usuários de redes internas.
b) um servidor proxy, para um protocolo particular ou conjunto de protocolos,
executa sob um host dual-homed ou Bastion host, tendo como função avaliar e
decidir sobre a aceitação dos pedidos enviados por clientes.
c) NAT (Network Address Translation) é um recurso que permite que uma rede
interna tenha endereços IP (Internet Protocol) não roteáveis na Internet. Com NAT
é possível conseguir proxy transparente, exceto quando o proxy está em uma
máquina diferente da qual está o firewall.
d) a filtragem de pacotes baseada no valor do bit TCP ACK é útil quando a
organização quer permitir que usuários externos se conectem a servidores internos
e impedir que usuários internos se conectem a servidores externos.
e) são considerados soluções completas de segurança, de tal forma que outros
controles e verificações de segurança podem falhar sem causar danos à
organização.
http://www.dominandoti.com.br
118
Grancursos
Exercícios
50. (Tecnologista – Classe Pleno I – Padrão I – ABIN/2004 – CESPE) Com
relação aos diversos aspectos de segurança de um sistema de
informações, julgue o item.
1
[67] O termo DMZ (demilitarized zone) é normalmente empregado para designar
uma pequena rede, geralmente contendo um servidor web, situada entre a rede
interna da organização e a rede pública. O tráfego para essa zona é controlado
por meio de firewalls de forma a permitir que qualquer usuário externo tenha
acesso à DMZ (serviço web), mas não à rede interna, e que usuários internos
possam ter acesso à Internet.
51. (Analista Judiciário – Análise de Sistemas – TRE-BA/2010 – CESPE)
Julgue os itens a seguir referentes à administração de redes de dados.
1
[48] DMZ (demilitarized zone network) é uma solução de segurança para redes
na qual é criada uma rede intermediária entre a rede externa e a rede interna.
Assim, não é possível implementar uma DMZ utilizando um único firewall.
http://www.dominandoti.com.br
119
Grancursos
Exercícios
52. (Técnico Científico – Tecnologia da Informação – Suporte Técnico – Banco
da Amazônia S.A./2009 – CESPE) Quanto a conceitos relacionados a
firewall, julgue o item subsequente.
1.
[89] Uma zona desmilitarizada (DMZ) é uma porção da rede onde encontram-se,
geralmente, os servidores de acesso externo da organização, como por exemplo,
WWW e FTP. A DMZ é criada com o intuito de isolar e proteger a rede interna da
organização contra acessos externos. Nesse caso, o firewall deixa passar os
acessos destinados à DMZ e bloqueia os acessos destinados à rede interna.
53. (Analista de Saneamento – Analista de Tecnologia da Informação – Atuação
em Rede – EMBASA/2010 – CESPE) Um firewall tem três interfaces,
conectadas da seguinte forma: uma à rede externa; outra à rede
interna; e a terceira a uma DMZ. Nessa situação, considerando que o
firewall registre todas as suas ações referentes ao exame do tráfego,
julgue os itens seguintes.
1.
[99] Nessa situação, as regras do firewall devem: permitir acesso da rede
externa apenas aos servidores presentes na DMZ; negar acesso do tráfego da
rede externa que tenha como origem endereços da rede interna; e negar acesso
do tráfego da rede interna que tenha como origem endereços distintos dos
utilizados na rede interna.
http://www.dominandoti.com.br
120
Grancursos
IDS
• Sistemas de Detecção de Intrusos (Intrusion Detection
System – IDS) atuam como mecanismos de detecção,
realizando a monitoração em sistemas locais ou em sistemas
em redes, à procura de eventos que possam comprometer os
ativos de um sistema de informação ou que possam transpor
os mecanismos de proteção.
• O princípio de funcionamento de um IDS é baseado na
identificação, delimitação e tratamento dos eventos
relevantes para o processo de detecção.
• Estes eventos relevantes são selecionados dentro de um
conjunto de eventos possíveis de serem observados em um
determinado sistema ou em uma rede.
• Um dos grandes desafios dos sistemas de detecção de
intrusos é:
• Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.
http://www.dominandoti.com.br
121
Grancursos
IDS
• Falso Positivo: IDS gera um alarme de ataque na
ocorrência de um evento ou tráfego normal.
• Falso Negativo: IDS não gera alarme na ocorrência de
um evento ou tráfego mal intencionado.
• O falso positivo é um evento observável e relevante que é
classificado pelo IDS como um evento intrusivo.
• Seu maior problema é a geração de um grande número de
alertas, o que dificulta a administração e a análise das
informações do IDS.
http://www.dominandoti.com.br
122
Grancursos
IDS
• Já no caso dos falsos negativos, estes podem ocorrer tanto
em eventos não observáveis como em eventos observáveis
e, dentro deste último grupo, também pode estar presente
dentro dos eventos relevantes.
• Seu maior problema é justamente o inverso do falso
positivo, ou seja, não há registros da ocorrência de falsos
negativos no IDS.
http://www.dominandoti.com.br
123
Grancursos
Exercícios
54. [35](Analista Administrativo – Tecnologia da Informação e Comunicação –
Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) No
contexto de detecção de intrusos, a ausência de alerta quanto à ocorrência de
um evento real representa
a) falso positivo.
b) falso negativo.
c) inundação de alertas.
d) ação de sniffers.
e) ação de proxies.
http://www.dominandoti.com.br
124
Grancursos
IDS - Classificação
• Quanto ao Método de Detecção, os sistemas de
detecção de intrusos são classificados como:
• sistemas de intrusão baseados em anomalias;
• sistemas de detecção baseados em assinatura.
• Quanto à Arquitetura, os sistemas de detecção de
intrusos são classificados segundo os critérios localização
e alvo.
• Com base na localização, são classificados em:
centralizado, hierárquico ou distribuído.
• Com base no alvo, são classificados em:
• sistemas baseados em host;
• sistemas baseados em rede.
http://www.dominandoti.com.br
125
Grancursos
IDS – Baseado em Anomalia
• O Sistema de Intrusão Baseado em Anomalia é um
método também conhecido como Método Reacionário
ou Sistema de Detecção por Comportamento.
• Independente do nome, ele se baseia na análise do
comportamento do sistema e na identificação de
possíveis desvios, comparando o estado observado a um
padrão de comportamento considerado normal.
http://www.dominandoti.com.br
126
Grancursos
IDS – Baseado em Anomalia
• As informações a seguir podem ser tomadas como base
para identificar o comportamento padrão do sistema/rede
e subsidiar na identificação de tráfegos anormais:
• quantidade de tráfego na rede em determinados
horários;
• tipos de protocolos que passam na rede e seus
prováveis horários;
• carga de processamento da CPU;
• aplicações utilizadas na rede;
• serviços ativos no sistema;
• endereços IP que trafegam pela rede, etc.
http://www.dominandoti.com.br
127
Grancursos
IDS – Baseado em Anomalia
• Vantagens:
• possibilita detectar ataques desconhecidos, sendo
desnecessária a manutenção de uma base de dados
que armazene todos os tipos possíveis de ataques e
vulnerabilidades;
• pode ser usado para gerar informações que darão
origem a uma assinatura.
• Desvantagens:
• para usar esse método de detecção, é imprescindível
que o administrador conheça o comportamento da
rede/sistema, o que é muito difícil devido à
heterogeneidade e à complexidade desses ambientes.
http://www.dominandoti.com.br
128
Grancursos
IDS – Baseado em Anomalia
• Desvantagens:
• devido à dificuldade apresentada no item anterior, esse
método leva a um maior número de falsos positivos;
• os relatórios são mais difíceis de serem analisados, não
informando dados conclusivos da vulnerabilidade
explorada.
http://www.dominandoti.com.br
129
Grancursos
IDS – Baseado em Assinaturas
• O Sistema de Intrusão Baseado em Assinatura é um
método também conhecido como Sistema Preemptivo ou
Sistema de Detecção por Abuso.
• Essa técnica busca sequências de ações nitidamente
caracterizadas como inválidas, registradas em uma base
de dados (assinaturas) que contém o conhecimento
acumulado sobre ataques específicos e vulnerabilidades.
http://www.dominandoti.com.br
130
Grancursos
IDS – Baseado em Assinaturas
• Vantagens:
• por comparar o tráfego capturado a uma assinatura, o
número de falsos positivos é menor, comparado ao
método anterior;
• devido ao fato de o número de falsos positivos ser
menor, e também porque o alarme gerado pelo IDS irá
mostrar a que tipo de ataque o tráfego corresponde
(devido à assinatura a qual foi comparado), faz-se
possível a adoção de contramedida;
• redução na quantidade de informação tratada, isto é, o
alarme é mais preciso e evidente;
• permite diagnosticar, de maneira rápida e confiável, a
utilização de determinadas ferramentas ou técnicas
específicas de ataque, auxiliando os gerentes a
verificarem as correções necessárias.
http://www.dominandoti.com.br
131
Grancursos
IDS – Baseado em Assinaturas
• Desvantagens:
• como o método é baseado em assinaturas, a detecção
só ocorre para ataques conhecidos, por isso mesmo
não permite detectar variações de um mesmo ataque,
pois as assinaturas são utilizadas com muita rigidez;
• faz-se necessária a manutenção freqüente na base de
dados que contém as assinaturas.
http://www.dominandoti.com.br
132
Grancursos
Exercícios
55. [63](Analista Técnico – Tecnologia da Informação – SUSEP/2006 – ESAF) A
segurança em redes de computadores possui algumas propriedades
desejáveis, a saber: confidencialidade, autenticidade e integridade das
mensagens em tráfego. É correto, portanto, afirmar acerca de tal contexto que
a) DoS/DDoS (Denial of Service/Distributed Denial of Service), mesmo sob a forma
de flooding simples são considerados ataques passivos.
b) a detecção de intrusão baseada em regras engloba a coleta de dados e sua
análise, tendo como base o comportamento legítimo de usuários, num dado
intervalo de tempo.
c) firewalls são soluções que auxiliam a detecção de intrusos, nos quais a DMZ
(De-Militarized Zone) é construída sobre hosts dual-homed, que agem como
roteadores entre as redes interna-externa.
d) uma contramedida aceitável para o IP (Internet Protocol) spoofing é descartar
pacotes com um endereço IP interno à rede, mas que chega a partir de uma
interface externa.
e) o firewall de nível de aplicação aplica um conjunto de regras aos pacotes,
liberando-os na rede ou bloqueando-os, com base nos campos do cabeçalho IP
(Internet Protocol) e de transporte.
http://www.dominandoti.com.br
133
Grancursos
IDS – Classificação (Arquitetura)
• Outro aspecto importante em um IDS é a sua arquitetura,
pois uma arquitetura bem elaborada é um dos fatores que
irão determinar o cumprimento adequado de seu papel.
• Dois elementos influenciam diretamente na arquitetura: a
localização e o alvo.
• O alvo diz respeito ao sistema que ele irá analisar, se um
Host ou um Segmento de Rede.
• A localização diz respeito à forma com que os componentes
do IDS irão se relacionar, podendo ser centralizada,
hierárquica ou distribuída.
http://www.dominandoti.com.br
134
Grancursos
IDS – Classificação (Localização)
• Centralizado: todos os componentes do IDS estão
localizados no mesmo equipamento.
• Hierárquico: os componentes encontram-se parcialmente
distribuídos, isto é, em equipamentos separados, cada um com
sua função específica, porém com fortes relações de hierarquia
entre eles. Tarefas como a tomada de decisões fica
normalmente concentrada em um único ponto.
• Distribuído: possui todos os seus componentes espalhados
pelo sistema, com relações mínimas de hierarquia entre eles,
não existe centralização de decisões, os componentes
trabalham em regime de cooperação para alcançar o objetivo
comum de detectar um intruso. Geralmente utilizados na
segmentação de links com grande largura de banda, de tal
forma que nenhum pacote seja descartado pelos sensores.
http://www.dominandoti.com.br
135
Grancursos
IDS – HIDS
• Quando o Sistema de Detecção é baseado em host, dizemos
que ele é um HIDS (Host Instrusion Detection System).
• Nele, o software IDS é instalado na mesma máquina em que
se deseja realizar a detecção.
• Seu princípio de funcionamento está baseado em verificar os:
• parâmetros de utilização de recursos do sistema;
• registros de log do sistema operacional e dos aplicativos;
• registros de auditoria do sistema;
• níveis de utilização de CPU e memória;
• arquivos de sistema;
• chaves de Registros;
• portas ativas, entre outros.
http://www.dominandoti.com.br
136
Grancursos
IDS – NIDS
• Aos sistemas baseados em um segmento de rede se dá o
nome de NIDS (Network Intrusion Detection System) e têm
como fonte de eventos pacotes de dados trafegando pela
rede, seja de cabeamento físico ou wireless.
• Seu princípio de funcionamento está baseado em:
• verificar eventos intrusivos cujo alvo seja qualquer
sistema que esteja no segmento de rede por ele
analisado;
• aplicar mecanismos de proteção específicos para o IDS
como, por exemplo, não configurar endereço IP na
interface de rede utilizada pelo sensor;
• colocar a placa de rede do sensor em modo promíscuo
para capturar todo o tráfego na qual ela esteja conectada.
http://www.dominandoti.com.br
137
Grancursos
IDS – Comportamento Pós-Detecção
• Os IDS podem se comportar de duas maneiras distintas:
passiva e ativa.
• Passivo:
• apenas detecta, mas não barra o ataque;
• após detecção, um evento é gerado e encaminhado ao
gerente, deixando com que o administrador do sistema
possa tomar a decisão;
• Falsos Positivos são interpretados pelo administrador,
diminuindo seus efeitos na rede.
http://www.dominandoti.com.br
138
Grancursos
IDS – Comportamento Pós-Detecção
• Ativo:
• ao detectar um ataque, ele próprio, segundo
configurações realizadas pelo administrador do sistema,
realizará contramedidas automaticamente;
• processos automatizados sem a intervenção do
administrador;
• Falsos Positivos podem gerar grandes problemas na rede
como um todo, tornando-se muito perigoso.
http://www.dominandoti.com.br
139
Grancursos
Exercícios
56. [54](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2006 – ESAF) A respeito da detecção de intrusão é incorreto afirmar que
a) a detecção de intrusos baseia-se na suposição de que o comportamento de
intrusos difere do comportamento de usuários legítimos.
b) a detecção baseada em regras compreende a definição de um conjunto de
regras usadas para decidir a respeito de um dado comportamento.
c) SDIs (Sistemas de Detecção de Intrusos) de rede utilizam fontes de informação
tais como auditoria do sistema operacional e logs do sistema.
d) ataques de DoS (Denial of Service) consistem em sobrecarregar um servidor
com uma quantidade excessiva de solicitação e são considerados possíveis de
detectar por parte de SDIs.
e) um falso negativo ocorre quando uma ação maléfica é classificada como normal,
aumentando as vulnerabilidades.
http://www.dominandoti.com.br
140
Grancursos
Exercícios
57. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –
CESPE) Acerca dos aspectos de segurança em sistemas de informação
e redes TCP/IP, julgue o próximo item.
1
[119] A abordagem de detecção de anomalias por contagem de eventos em
intervalos de tempo, com indicação de alarme em caso de ultrapassagem de
um limiar, é uma abordagem com baixo índice de falsos positivos e de falsos
negativos na detecção de intrusão.
58. (Informática – Administração de Rede – MC/2008 – CESPE) Com
relação a IDS e firewalls, julgue o item a seguir.
1
[66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à
redução de falsos-positivos.
59. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens que se seguem
acerca da arquitetura e do gerenciamento dos sistemas de detecção
de intrusão (intrusion detection systems — IDS).
1
[114] Na abordagem de detecção estatística de anomalias, definem-se regras de
comportamento a serem observadas para decidir se determinado
comportamento corresponde ao de um intruso.
http://www.dominandoti.com.br
141
Grancursos
Exercícios
2
[115] A utilização de registros de auditoria como entrada para um sistema de
detecção de intrusão pode-se dar com os registros nativos de sistemas e
aplicações, ou com registros gerados com informações específicas da detecção
de intrusão.
60. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 CESPE) Os sistemas de informação possuem diversas vulnerabilidades
que podem ser exploradas para se comprometer a segurança da
informação. Para reduzir os riscos de segurança, empregam-se
diversos mecanismos de controle e de proteção física e lógica desses
sistemas. Acerca das vulnerabilidades e proteções dos sistemas de
informação, julgue os itens a seguir.
1
[102] Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza
descrições de ataques previamente conhecidos (assinaturas) para identificar a
ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de
um número elevado de falsos positivos quando ataques novos, para os quais
ainda não foram especificadas assinaturas de ataque convenientes, são
lançados contra o sistema monitorado pelo IDS.
http://www.dominandoti.com.br
142
Grancursos
Exercícios
61. (Técnico Científico – Tecnologia da Informação – Segurança da
Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos
dispositivos de segurança de redes de computadores, julgue os itens
subsequentes.
1.
[97] IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no
tratamento dado quando uma intrusão é detectada. Especificamente, o IPS
limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como
interromper o fluxo de dados referente à intrusão detectada.
2.
[98] A ocorrência de falsospositivos normalmente acarreta consequências mais
graves para as redes que utilizam IDS do que para aquelas que usam IPS.
62. (Analista de Redes – Ministério Público do Estado do Amazonas/2008
- CESPE) Com relação à segurança de perímetro, julgue o item a
seguir.
1
[100] Os IPS detectam anomalias na operação da rede e reportam-nas aos
administradores para análise e ação posterior.
http://www.dominandoti.com.br
143
Grancursos
Exercícios
63. (Analista de Saneamento – Analista de Tecnologia da Informação –
Atuação em Rede – EMBASA/2010 – CESPE) Um firewall tem três
interfaces, conectadas da seguinte forma: uma à rede externa; outra à
rede interna; e a terceira a uma DMZ. Nessa situação, considerando
que o firewall registre todas as suas ações referentes ao exame do
tráfego, julgue os item seguinte.
1.
[100] Para a proteção do firewall em questão, é correto posicionar um IDS ou
IPS, preferencialmente o último, entre a rede externa e o firewall.
http://www.dominandoti.com.br
144
Grancursos
VPN
• O conceito de rede privada virtual (Virtual Private Network
– VPN) surgiu a partir da necessidade de se utilizar redes de
comunicação não confiáveis. Ex: trafegar informações de
forma segura na Internet.
• Uma VPN proporciona conexões somente permitidas a
usuários, que estejam em redes distintas e que façam parte de
uma mesma comunidade.
• Solução para alto custo de enlaces de comunicação dedicados
e privados.
http://www.dominandoti.com.br
145
Grancursos
Exercícios
64. [54](Analista de Finanças e Controle – Tecnologia da Informação –
Infraestrutura de TI – CGU/2008 – ESAF) Assinale a opção que constitui um
mecanismo de segurança para redes de computadores.
a) Redes privadas virtuais ou VPN (Virtual Private Networks).
b) Adwares.
c) Keyloggers.
d) Trapdoors.
e) Inundação (flooding).
http://www.dominandoti.com.br
146
Grancursos
Exercícios
65. [67](Auditor do Tesouro Municipal – Prefeitura de Natal/2008 – ESAF) Uma
Rede Privada Virtual (Virtual Private Network - VPN) é um sistema de
comunicação
a) utilizado para comunicação entre todos os servidores DNS disponíveis na
Internet para transmitir dados de identificação e autenticação de usuários.
b) de alto custo que utiliza os servidores WWW para armazenar grandes volumes
de dados para serem transmitidos nos intervalos de tempo de baixa utilização da
Internet.
c) de baixo custo que, quando implementadas com protocolos seguros, podem
assegurar comunicações seguras através de redes inseguras como, por exemplo, a
Internet.
d) de baixo custo que utiliza os protocolos SMTP e POP para a transmissão de
dados por meio dos servidores de e-mail.
e) de alto custo utilizado para a transmissão de imagens de alta resolução na
Internet.
http://www.dominandoti.com.br
147
Grancursos
VPN - Fundamentos
• Os conceitos que fundamentam a VPN são a criptografia e o
tunelamento.
• A criptografia é utilizada para garantir a autenticidade, o sigilo
e a integridade das conexões, e é a base da segurança dos
túneis VPN.
• Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é
independente da rede e da aplicação, podendo ser aplicada
em qualquer forma de comunicação possível de ser roteada,
como voz, vídeo e dados.
• O túnel VPN é formado pelo tunelamento que permite a
utilização de uma rede pública para o tráfego das
informações, até mesmo de protocolos diferentes do IP, por
meio da criação de um túnel virtual formado entre as duas
partes da conexão.
http://www.dominandoti.com.br
148
Grancursos
VPN - Tunelamento
http://www.dominandoti.com.br
149
Grancursos
Exercícios
66. (Técnico Científico – Tecnologia da Informação – Segurança da
Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a
VPN, julgue os itens que se seguem.
1.
[118] Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública
ou compartilhada, usando tecnologias de tunelamento e criptografia para
manter seguros os dados trafegados.
2.
[119] Apesar de ser uma opção disponível, não se recomenda o uso de
autenticação junto com cifração em VPNs, considerando a diminuição de
desempenho.
3.
[120] Preferencialmente, as VPNs são implementadas sobre protocolos de rede
orientados à conexão como o TCP.
http://www.dominandoti.com.br
150
Grancursos
VPN - Tunelamento
• O conceito de tunelamento foi utilizado, inicialmente, com o
objetivo de possibilitar a comunicação entre organizações que
utilizam um determinado protocolo, empregando um meio que
tem como base um outro protocolo diferente. Ex: IPX
trafegando em rede IP.
• Pode ser realizado nas camadas 2 e 3, e as duas possuem
vantagens e desvantagens.
• Túnel é a denominação do caminho lógico percorrido pelos
pacotes encapsulados.
• Simula a conexão ponto-a-ponto requerida para a transmissão
de pacotes através de uma rede pública.
http://www.dominandoti.com.br
151
Grancursos
VPN – Tipos de Túneis
• Os túneis podem ser criados de duas diferentes formas voluntárias e compulsórias.
• No túnel voluntário, o computador do usuário funciona
como uma das extremidades do túnel e, também, como
cliente do túnel.
• Ele emite uma solicitação VPN para configurar e criar um
túnel entre duas máquinas, uma em cada rede privada, e que
são conectadas via Internet.
• No túnel compulsório, o computador do usuário não
funciona como extremidade do túnel.
http://www.dominandoti.com.br
152
Grancursos
VPN – Tipos de Túneis
• Um servidor de acesso remoto, localizado entre o computador
do usuário e o servidor do túnel, funciona como uma das
extremidades e atua como o cliente do túnel.
• Utilizando um túnel voluntário, no caso da Internet, o cliente
faz uma conexão para um túnel habilitado pelo servidor de
acesso no provedor (ISP).
• No tunelamento compulsório com múltiplos clientes, o túnel
só é finalizado no momento em que o último usuário do túnel
se desconecta.
http://www.dominandoti.com.br
153
Grancursos
VPN – Túnel Voluntário
http://www.dominandoti.com.br
154
Grancursos
VPN – Túnel Compulsório
http://www.dominandoti.com.br
155
Grancursos
VPN – Protocolos de Tunelamento
• Diferentes protocolos podem ser usados:
• GRE (Generic Routing Encapsulation) da Cisco;
• L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force);
• PPTP (Point-to-Point Tunneling Protocol) da Microsoft.
• Os protocolos PPTP e L2TP são utilizados em VPNs discadas,
ou seja, proporcionam o acesso de usuários remotos
acessando a rede corporativa através de modens de um
provedor de acesso.
• Um ponto a ser considerado nos dois protocolos é que o
sigilo, a integridade e a autenticidade dos pontos que se
comunicam devem ser fornecidos por um outro protocolo, o
que é feito normalmente pelo IPSec.
http://www.dominandoti.com.br
156
Grancursos
VPN – Protocolos de Tunelamento
• Uma diferença entre o L2TP e o PPTP é que o L2TP pode ser
transparente para o usuário, no sentido de que esse tipo de
tunelamento pode ser iniciado no gateway de VPN de um
provedor de VPN.
• Quando o PPTP é utilizado, a abordagem é diferente. O
tunelamento é sempre iniciado no próprio equipamento do
usuário.
• Com isso, o PPTP é mais indicado para a utilização em
laptops, por exemplo, quando o usuário poderá se conectar à
rede da organização via VPN, por meio desse protocolo.
• O L2TP é utilizado, principalmente, para o tráfego de
protocolos diferentes de IP sobre uma rede pública com base
em IP.
http://www.dominandoti.com.br
157
Grancursos
Exercícios
67. [53](Analista – Informática – IRB/2006 – ESAF) Pode-se acessar uma rede
privada por meio da Internet ou de outra rede pública usando uma Virtual
Private Network (VPN). Com relação aos protocolos usados e à sua
arquitetura, é correto afirmar que uma VPN
a) não precisa ser cifrada para garantir o sigilo das informações que por ela
trafegam, graças à sua característica de encapsulamento.
b) dispensa o uso de firewalls, o que torna seu custo operacional reduzido quando
ao acesso à Internet.
c) operando para interligar escritórios de uma mesma empresa garante a
segurança dos dados com a alternância entre seus possíveis protocolos durante o
processo de comunicação. Neste caso, criptografia não pode ser utilizada na VPN
de alta velocidade por comprometer seu desempenho.
d) ativada por PPTP, Point-to-Point Tunneling (protocolo de encapsulamento pontoa-ponto), é tão segura quanto em uma única rede local de uma empresa.
e) permite uma garantia da qualidade dos serviços prestados, mesmo utilizando-se
como meios de comunicação acessos à Internet de baixa qualidade.
http://www.dominandoti.com.br
158
Grancursos
VPN – IPSec
• O IPSec é um protocolo padrão de camada 3 projetado pelo
IETF que oferece transferência segura de informações fim a
fim através de rede IP pública ou privada.
• Essencialmente, ele pega pacotes IP privados, realiza funções
de segurança de dados como criptografia, autenticação e
integridade, e então encapsula esses pacotes protegidos em
outros pacotes IP para serem transmitidos.
• As funções de gerenciamento de chaves também fazem parte
das funções do IPSec.
http://www.dominandoti.com.br
159
Grancursos
VPN – IPSec
• O IPSec combina diversas tecnologias diferentes de
segurança em um sistema completo que provê
confidencialidade, integridade e autenticidade, empregando:
• mecanismo de troca de chaves de Diffie-Hellman;
• criptografia de chave pública para assinar as trocas de
chave de Diffie-Hellman, garantindo assim a identidade
das duas partes e evitando ataques do tipo man-in-themiddle;
• algoritmos de encriptação para grandes volumes de
dados, como o DES (Data Encryption Standard);
• algoritmos de hash com utilização de chaves, com o
HMAC combinado com os algoritmos de hash tradicionais
como o MD5 ou SHA, autenticando os pacotes;
• certificados digitais assinados por uma autoridade
certificadora.
http://www.dominandoti.com.br
160
Grancursos
VPN – IPSec
• Os requisitos de segurança podem ser divididos em 2
grupos, que são independentes entre si, podendo ser
utilizados de forma conjunta ou separada, de acordo
com a necessidade de cada usuário:
• Autenticação e Integridade;
• Confidencialidade.
• Para implementar estas características, o IPSec é
composto de 3 mecanismos adicionais:
• AH - Autentication Header;
• ESP - Encapsulation Security Payload;
• IKE - Internet Key Exchange.
http://www.dominandoti.com.br
161
Grancursos
VPN – IPSec
• Authentication Header (AH): este cabeçalho, ao ser
adicionado a um datagrama IP, garante a integridade e
autenticidade dos dados, incluindo os campos do cabeçalho
original que não são alterados entre a origem e o destino; no
entanto, não fornece confidencialidade.
• Encapsulating Security Payload (ESP): este cabeçalho
protege a confidencialidade, integridade e autenticidade da
informação.
• AH e ESP podem ser usados separadamente ou em conjunto,
mas para a maioria das aplicações apenas um deles é
suficiente.
• Há dois modos de operação: modo de transporte (nativo) e
modo túnel.
http://www.dominandoti.com.br
162
Grancursos
VPN – IPSec
Cabeçalho genérico para o modo de transporte
Exemplo de um cabeçalho do modo túnel
http://www.dominandoti.com.br
163
Grancursos
VPN – IPSec – Modo Transporte
• No modo de transporte, somente a informação (payload) é
encriptada, enquanto o cabeçalho IP original não é alterado.
• Este modo tem a vantagem de adicionar apenas alguns
octetos a cada pacote, deixando que dispositivos da rede
pública vejam a origem e o destino do pacote, o que permite
processamentos especiais (como de QoS) baseados no
cabeçalho do pacote IP.
• No entanto, o cabeçalho da camada 4 (transporte) estará
encriptado, limitando a análise do pacote.
• Passando o cabeçalho sem segurança, o modo de transporte
permite que um atacante faça algumas análises de tráfego,
mesmo que ele não consiga decifrar o conteúdo das
mensagens.
http://www.dominandoti.com.br
164
Grancursos
VPN – IPSec – Modo Túnel
• No modo de tunelamento, todo o datagrama IP original é
encriptado e passa a ser o payload de um novo pacote IP.
• Este modo permite que um dispositivo de rede, como um
roteador, aja como um Proxy IPSec (o dispositivo realiza a
encriptação em nome dos terminais).
• O roteador de origem encripta os pacotes e os envia ao longo
do túnel IPSec; o roteador de destino decripta o datagrama IP
original e o envia ao sistema de destino.
• A grande vantagem do modo de tunelamento é que os
sistemas finais não precisam ser modificados para
aproveitarem os benefícios da segurança IP; além disto, esse
modo também protege contra a análise de tráfego, já que o
atacante só poderá determinar o ponto de início e de fim dos
túneis, e não a origem e o destino reais.
http://www.dominandoti.com.br
165
Grancursos
Exercícios
68. [39](Analista Administrativo – Tecnologia da Informação e Comunicação –
Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O
pacote inteiro em uma extremidade VPN é criptografado – cabeçalho e dados.
Nesse caso, os roteadores identificam o endereço-destino
a) por meio de um circuito virtual permanente, criado previamente.
b) através de um circuito virtual temporário entre os envolvidos, previamente
estabelecido.
c) por meio de pacotes não são criptografados em VPNs.
d) através de um túnel P estabelecido após a criptografia dos pacotes.
e) por meio de um cabeçalho não-criptografado contendo as informações de
endereço adicionado aos pacotes criptografados.
http://www.dominandoti.com.br
166
Grancursos
IPSec – Associações de Segurança
• O IPSec fornece diversas opções para executar a encriptação
e autenticação na camada de rede.
• Quando dois nós desejam se comunicar com segurança, eles
devem determinar quais algoritmos serão usados (se DES ou
IDEA, MD5 ou SHA).
• Após escolher os algoritmos, as chaves de sessão devem ser
trocadas.
• Associação de Segurança é o método utilizado pelo IPSec
para lidar com todos estes detalhes de uma determinada
sessão de comunicação.
• Uma SA representa o relacionamento entre duas ou mais
entidades que descreve como estas utilizarão os serviços de
segurança para se comunicarem.
http://www.dominandoti.com.br
167
Grancursos
IPSec – Associações de Segurança
• As SAs são unidirecionais, o que significa que para cada par de
sistemas que se comunicam, devemos ter pelo menos duas
conexões seguras, uma de A para B e outra de B para A.
• As SAs são identificadas de forma única pela associação entre
um número aleatório chamado SPI (Security Parameter Index),
o protocolo de segurança (AH ou ESP) e o endereço IP de
destino.
• Quando um sistema envia um pacote que requer proteção
IPSec, ele olha as SAs armazenadas em seus banco de dados,
processa as informações, e adiciona o SPI da SA no cabeçalho
IPSec.
• Quando o destino IPSec recebe o pacote, ele procura a SA em
seus banco de dados de acordo com o endereço de destino e
SPI, e então processa o pacote da forma necessária.
http://www.dominandoti.com.br
168
Grancursos
IPSec – IKE
• O IPSec assume que as SAs já existem para ser utilizado,
mas não especifica como elas serão criadas.
• IETF decidiu dividir o processo em duas partes: o IPSec
fornece o processamento dos pacotes, enquanto o IKMP
negocia as associações de segurança.
• Após analisar as alternativas disponíveis, o IETF escolheu o
IKE como o método padrão para configuração das SAs para o
IPSec.
http://www.dominandoti.com.br
169
Grancursos
IPSec – IKE
Uso do IKE pelo IPSec
http://www.dominandoti.com.br
170
Grancursos
Exercícios
69. [09](Analista de Finanças e Controle – Tecnologia da Informação – AFCCGU/2006 – ESAF) Analise as seguintes afirmações relacionadas a redes de
computadores e segurança da informação:
I. Protocolos como POP3 e FTP enviam senhas criptografadas através da
rede, tornando essa informação impossível de ser obtida por um invasor que
use a detecção de rede.
II. O IPsec pode ser usado para implementar uma verificação de conexão
adicional. É possível configurar regras de diretiva que exijam uma negociação
de IPsec bem-sucedida a fim de conceder acesso a um conjunto de
aplicativos.
III. Na Espionagem na rede (sniffing) os invasores tentam capturar o tráfego
da rede com diversos objetivos, entre os quais podem ser citados obter
cópias de arquivos importantes durante sua transmissão e obter senhas que
permitam estender o seu raio de penetração no ambiente invadido.
IV. Ataques de negação de serviço são ataques direcionados a um usuário
específico da Internet.
Indique a opção que contenha todas as afirmações verdadeiras.
a) I e II
b) II e III
http://www.dominandoti.com.br
c) III e IV
d) I e III
171
e) II e IV
Grancursos
Exercícios
70. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 CESPE) Com relação segurança em redes de computadores, julgue os
itens a seguir.
1
[120] No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece
controle de acesso, integridade de mensagem sem conexões, autenticação e
antireplay e a carga útil de segurança do encapsulamento que admite esses
mesmos serviços, inclusive confidencialidade. O IPSEC apresenta a
desvantagem de não prover o gerenciamento de chaves.
71. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –
CESPE) Julgue os itens a seguir.
1
[108] Um acordo de segurança (security association) do protocolo de segurança
IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP,
necessária para estabelecer conexões TCP através desses roteadores, de modo
a oferecer serviços de autenticação e confidencialidade das conexões TCP,
necessários à formação de redes privadas virtuais (virtual private networks
(VPN) fim-a-fim.
http://www.dominandoti.com.br
172
Grancursos
Exercícios
2
[109] O protocolo de encapsulamento de carga útil — encapsulation security
payload (ESP) — fornece os serviços de autenticação, integridade de dados e
confidencialidade que, no contexto de IPsec, permitem a formação de redes
privadas virtuais entre entidades operando na camada de rede IP.
72. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens
1
[97] Na arquitetura de segurança do internet protocol (IP) — IPSec —, a
associação de segurança é um relacionamento bidirecional entre um emissor e
um receptor, que é identificada pelo número do soquete da aplicação usuária.
2
[98] O Internet security association key management protocol (ISA KMP) pode
ser usado para a automação da gerência de chaves criptográficas entre o
emissor e o receptor no IPSec.
73. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 CESPE) Julgue os itens seguintes, no que se refere a VPNs.
1
[76] As VPNs utilizam a criptografia para estabelecer um canal de comunicação
segura, com confidencialidade, integridade e autenticidade, sobre canais
públicos.
2
[78] As VPNs que utilizam túneis TCP são mais seguras que aquelas que
utilizam UDP, já que o TCP é confiável, enquanto o UDP não é.
http://www.dominandoti.com.br
173
Grancursos
Exercícios
74. (Auditor Federal de Controle Externo – Tecnologia da Informação –
TCU/2009 - CESPE) O modelo da figura acima apresenta elementos
individualmente nomeados e presentes em uma rede hipotética, acerca
dos quais é possível inferir características de protocolos de segurança.
Julgue os itens seguintes, acerca das informações apresentadas e de
dispositivos de segurança de redes de computadores.
http://www.dominandoti.com.br
174
Grancursos
Exercícios
1
[171] Se os Endhosts A e B trocarem vários pacotes por meio de seus respectivos
gateways, então não haverá modo fácil de o host C identificar quais dos pacotes
IP trafegados entre os gateways A e B são relativos à comunicação entre os
Endhosts A e B.
2
[172] Considerando a necessidade de instalar um IDS para proteger a rede A,
algumas opções podem ser adotadas, entre elas a de usar um sistema passivo
ou ativo, bem como a de usar um sistema baseado em host ou em rede. Se a
solução for adotar um sistema passivo e com base em host, então o host C
poderá ser uma máquina adequada para essa necessidade. Se a solução for
adotar um sistema reativo e embasado na rede, então podem-se usar os
gateways A ou B. Se a solução for adotar um sistema reativo e baseado em host,
então se poderá usar o host C.
http://www.dominandoti.com.br
175
Grancursos