BACEN - TI
Segurança da Informação
Mecanismos de Proteção
Prof. M.Sc. Gleyson Azevedo
[email protected]
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
1
Roteiro
„
„
„
„
Firewall
IDS/IPS
VPN
IPSec
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
2
Firewall
„
Definições:
„
„
„
É um mecanismo de proteção que controla a passagem
de pacotes entre redes, tanto locais como externas.
É um dispositivo que possui um conjunto de regras
especificando que tráfego ele permitirá ou negará.
É um dispositivo que permite a comunicação entre
redes, de acordo com a política de segurança definida e
que são utilizados quando há uma necessidade de que
redes com níveis de confiança variados se comuniquem
entre si.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
3
Firewall – Definição
Ponto Único
Rede 1
Rede 2
• Controle
Um ou mais componentes
• Autenticação
• Registro de Tráfego
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
4
Firewall – Definição
• Componentes
Firewall
• Funcionalidades
• Arquitetura
• Tecnologias
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
5
Firewall
„
Existem coisas que o firewall NÃO PODE proteger:
„
„
„
„
do uso malicioso dos serviços que ele é autorizado a
liberar;
dos usuários que não passam por ele, ou seja, não
verifica o fluxo intra-redes;
dos ataques de engenharia social;
das falhas de seu próprio hardware e sistema
operacional.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
6
Firewall – Classificação e
Funcionalidades
„
Classificação:
„
„
„
filtro de pacotes;
filtro de pacotes baseado em estados ou filtro de
estado das conexões (stateful);
proxy de serviços.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
7
Firewall – Classificação e
Funcionalidades
„
Funcionalidades:
„ filtros;
„ proxies;
„ bastion hosts;
„ Zonas Desmilitarizadas (DMZ);
„ NAT;
„ VPN
„ autenticação;
„ balanceamento de carga;
„ alta disponibilidade.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
8
Firewall – Evolução
Proxy
Filtros de Pacotes baseado em Estados
Filtros de Pacotes
Roteadores – Listas de Controle de Acesso (ACL’s)
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
9
Firewall – Política Padrão
„
Existem dois tipos de modelo de acesso, ou política
padrão, que podem ser aplicados ao firewall:
„
„
tudo é permitido, exceto o que for expressamente
proibido;
tudo é proibido, exceto o que for expressamente
permitido.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
10
Exercícios
1. [37] (Analista de Redes e Comunicação de Dados – MPE-RO/2005 –
CESGRANRIO) Qual das funções abaixo um firewall NÃO realiza em
uma rede?
(A) Bloquear acesso não autorizado aos aplicativos remotos que podem ser
perigosos para a rede.
(B) Criar redes privadas virtuais (VPN).
(C) Filtrar URL, negando acesso para sites não autorizados.
(D) Suportar varreduras de vírus no correio eletrônico.
(E) Tratar códigos maliciosos de ataques do tipo Cavalo-de-Tróia.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
11
Exercícios
2. [59] (Análise de Sistemas – Suporte – BNDES/2008 – CESGRANRIO)
Uma empresa possui um link com a Internet de 10 Mbps (full-duplex), por
meio de um determinado provedor. O site dessa empresa está hospedado
em um servidor WEB na seguinte topologia:
Um ataque distribuído de negação de serviço (DDoS) externo está sendo
disparado para essa empresa, tendo como alvo o servidor WEB. O link
Internet apresenta, do ponto de vista da empresa, utilização máxima no
tráfego de entrada e baixa utilização no tráfego de saída. Além disso, o
servidor HTTP está sobrecarregado processando, em sua maioria,
solicitações de conexão (SYN) oriundas de endereços pertencentes a uma
determinada sub-rede com prefixo /26.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
12
Exercícios
De acordo com a situação exposta, é correto afirmar que o(a)
(A) desempenho no acesso de usuários externos ao site não está comprometido, já
que o tráfego de saída está livre.
(B) bloqueio de inundação UDP (UDP Flood) pode ser ativado no firewall para
impedir a sobrecarga de conexões do servidor WEB.
(C) roteador de borda deve ser configurado para bloquear todos os endereços que
solicitam mais de uma conexão (SYN) por vez.
(D) redução do impacto desse ataque pode ser obtida junto ao provedor, com a
configuração de bloqueios específicos de tráfego.
(E) instalação de um IDS entre o roteador e o firewall para prevenção de ataques
de buffer overflow impediria o DDoS.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
13
Exercícios
3. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 CESPE) Com relação à segurança de perímetro, julgue os itens a seguir.
1 [96] O perímetro de segurança da rede pode ser composto de: roteadores de
borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com tráfego
filtrado.
2 [97] O roteador de borda é o último roteador sobre o qual se pode ter controle
antes de entrar, de fato, na Internet. Geralmente, sua operação segue as
políticas de roteamento e de acesso, neste caso implementadas por listas de
acesso que controlam os tráfegos ingresso e egresso.
3 [98] Firewalls são pontos de concentração de tráfego que controlam o tráfego de
entrada e de saída da rede. Entretanto, as regras e as características de
implementação e operação lhes conferem menor especificidade e granularidade
que as listas de acesso dos roteadores.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
14
Exercícios
4. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 CESPE) Os sistemas de informação possuem diversas vulnerabilidades
que podem ser exploradas para se comprometer a segurança da
informação. Para reduzir os riscos de segurança, empregam-se diversos
mecanismos de controle e de proteção física e lógica desses sistemas.
Acerca das vulnerabilidades e proteções dos sistemas de informação,
julgue o item a seguir.
1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o
nível de segurança de uma rede de computadores corporativa, os firewalls
exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem
ser instalados entre a rede interna da organização e as redes do mundo externo e
têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que
ataques conhecidos sejam realizados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
15
Firewall – Filtro de Pacotes
„
„
„
É um dos métodos mais antigos e amplamente disponíveis
de controlar o acesso a redes.
Pode ser encontrado em sistemas operacionais, em
firewalls de software ou de hardware, e também como um
recurso da maioria dos roteadores.
Os filtros de pacotes protegem todo o tráfego entre redes
verificando apenas parâmetros da camada de rede e de
transporte TCP/IP.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
16
Firewall – Filtro de Pacotes
„
Este tipo de firewall é implementado como um roteador
que, ao realizar suas funções de roteamento, verifica as
seguintes informações dos pacotes:
„
endereços IP de origem e de destino;
„
tipo de protocolo – TCP, UDP e ICMP;
„
portas de origem e de destino;
„
flags IP e TCP;
„
tipos de mensagens ICMP;
„
tamanho do pacote.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
17
Firewall – Filtro de Pacotes
„
„
„
A principal vantagem dos filtros de pacotes é a sua
eficiência, pois cada operação de filtragem estará restrita a
verificar somente informações básicas do cabeçalho do
pacote.
Desta forma, é amplamente utilizado em roteadores como
listas de controle de acesso.
A despeito disso, sua principal desvantagem é a de não
conseguir verificar o estado das conexões, sendo
necessário criar várias linhas de filtragem para se
implementar uma única regra.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
18
Firewall – Filtro de Pacotes
„
„
Por exemplo, em um regra simples que permita o acesso
de clientes a um servidor HTTP é necessário configurar as
conexões de chamada do cliente para o servidor bem
como as das respostas do servidor para o cliente.
Sintaxe:
„
Política [ACCEPT | DROP | REJECT] Protocolo [TCP |
UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] {
Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino
[DA=ipaddr/msk] Porta Destino [DP] Opções [ ].
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
19
Firewall – Filtro de Pacotes
Servidor
Web
192.168.1.4
Cliente
Firewall
10.2.3.2
Regras de Fitragem de
Pacotes:
ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4
DP=80
ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024
DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL
SA - Source Address
SP - Source Port
DA - Destination Address
SA - Source Address
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
20
Firewall – Filtro de Pacotes
„
„
Vantagens:
„
barato, simples e flexível;
„
alto desempenho da rede;
„
transparente para o usuário.
Desvantagens:
„
permite a conexão direta para hosts internos de clientes
externos,
„
difícil de gerenciar em ambientes complexos;
„
não oferece autenticação de usuários.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
21
Exercícios
5. [56] (Engenheiro de Telecomunicações Pleno – PETROBRAS/2006 –
CESGRANRIO) Um mecanismo usado nos firewalls é o filtro de pacotes.
Um filtro de pacotes pode operar restringindo todas as combinações
{endereços IP de destino / endereços IP de origem / portas /
protocolos}, exceto os especificados pelo administrador da rede. A figura
abaixo mostra um roteador com um firewall que isola da Internet a rede
interna de uma empresa.
A tabela a seguir mostra uma representação simplificada da especificação
do filtro de pacotes do roteador da empresa em questão, onde aparecem
as combinações {endereços IP de destino / endereços IP de origem /
portas / protocolos} desbloqueadas.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
22
Exercícios
A tabela a seguir mostra uma representação simplificada da especificação
do filtro de pacotes do roteador da empresa em questão, onde aparecem
as combinações {endereços IP de destino / endereços IP de origem /
portas / protocolos} desbloqueadas.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
23
Exercícios
A partir dessas informações, é correto afirmar que:
(A) nenhum host dentro da empresa pode acessar sites da Internet que usem o
HTTP.
(B) nenhum host na Internet poderá acessar o servidor de HTTP na máquina com o
IP 130.20.30.25.
(C) somente o IP 200.23.12.20 pode acessar, através de SSH, a máquina com IP
130.20.30.22, excetuando os hosts de dentro da empresa.
(D) qualquer host na Internet pode acessar um servidor de correio eletrônico que
está instalado na máquina com IP 130.20.30.23
(E) qualquer host da empresa pode acessar qualquer servidor POP na Internet.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
24
Exercícios
6. [16] (Analista de Nível Superior – Banco de Dados – Casa da
Moeda/2009 – CESGRANRIO) O servidor de banco de dados corporativo
de uma empresa está isolado por meio de um firewall do tipo filtro de
pacotes. Com base nessa informação, analise as afirmativas a seguir.
I – Tal isolamento é efetivo na proteção de ataques do tipo SQL Injection.
II – É possível bloquear o acesso de uma única estação ao banco de
dados.
III – Consultas SQL excessivamente longas podem ser bloqueadas no
firewall.
Está(ão) correta(s) a(s) afirmativa(s)
(A) I, apenas. (B) II, apenas. (C) III, apenas. (D) II e III, apenas. (E) I, II e III.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
25
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
„
O firewall de filtro de estado tenta rastrear o estado das
conexões de rede enquanto filtra os pacotes.
Suas capacidades são resultado do cruzamento das
funções de um filtro de pacotes com a inteligência
adicional do protocolo.
Este tipo de firewall examina predominantemente as
informações das camadas IP e de transporte de um pacote
que inicia uma conexão.
Se o pacote inspecionado combinar com a regra de firewall
existente que o permita, uma entrada é acrescentada em
uma tabela de estados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
26
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
Desse ponto em diante, os pacotes relacionados com a
sessão que consta na tabela de estado terão os seus
acessos permitidos, sem a chamada de qualquer outra
inspeção.
Em tese, este método aumenta o desempenho geral do
firewall, pois somente os pacotes iniciais precisam ser
totalmente desmembrados até a camada de aplicação.
Entretanto, se a implementação da tabela de estado não
oferecer um modo eficiente de manipular os estados da
conexão, poderá haver queda de desempenho do
equipamento.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
27
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
Este tipo de firewall é um filtro de pacotes dinâmico, ou
seja, ele mantém o estado de cada conexão que passa por
ele.
Isto é possível com a implementação de uma tabela de
estados em que o firewall mantém o relacionamento entre
endereços IP de origem e de destino, portas de origem e
de destino, flags do segmento TCP e tipos de pacotes
ICMP.
Desta forma, não é mais necessário criar entradas
adicionais para a mesma conexão.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
28
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
Estado é a condição de pertencer a uma determinada
sessão de comunicação.
A definição desta condição vai depender da aplicação com a
qual as partes estão se comunicando e dos protocolos que
as partes estão utilizando.
Os protocolos de transporte podem ter o estado de sua
conexão rastreado de várias formas.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
29
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
Muitos dos atributos que compõem uma sessão de
comunicação, inclusive os pares de endereço IP, portas de
origem e de destino, números de sequência e flags, podem
ser utilizados como identificação de uma conexão
individual.
A combinação dessas partes de informação normalmente é
mantida como um hash (resumo) em uma tabela de
estado, para facilitar a comparação.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
30
Firewall – Filtro de Estado das
Conexões (Stateful)
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
31
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
TCP: como é um protocolo baseado em conexão, o estado
de suas sessões de comunicação pode ser solidamente
definido através de sua Máquina de Estados Finitos
(modelo que define todos os estados possíveis do
protocolo TCP).
A conexão TCP pode assumir 11 estados diferentes
(conforme RFC 793).
Apesar da desconexão TCP ser prevista em seu modelo,
para evitar que a tabela do firewall possua informações
de conexões inexistentes, é comum a utilização de
contadores de tempo para cada conexão.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
32
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
UDP: é um protocolo de transporte sem conexão, o que
dificulta o acompanhamento de seu estado.
Na realidade, um protocolo sem conexão não possui
estado, portanto, deve haver algum mecanismo que
garanta criar um pseudo-estado através do registro de
itens do UDP que estejam relacionados a uma
determinada sessão de comunicação.
Como o UDP não possui números de sequência ou flags,
os únicos itens que podem servir como base são os pares
de endereço IP e a porta de serviço dos dois pontos
envolvidos na comunicação.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
33
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
ICMP: assim como o UDP, o ICMP não possui estado,
contudo, também como o UDP, ele dispõe de atributos
que permitem que suas conexões sejam acompanhadas de
um modo com pseudo-estado.
A parte mais complicada do acompanhamento do ICMP
envolve suas comunicações unidirecionais.
O protocolo ICMP normalmente é utilizado para retornar
mensagens de erro quando um host ou protocolo não
pode fazer isso por conta própria, no que pode ser
descrito como uma mensagem de resposta.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
34
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
„
As mensagens do tipo resposta do ICMP são precipitadas
por solicitações de outros protocolos (TCP, UDP).
Devido a essa questão de multiprotocolo, descobrir
mensagens ICMP no estado de um par de soquetes (IP +
PORTA) existentes pode ser algo confuso para a tabela de
estado.
A outra maneira de se utilizar o ICMP é através do seu
próprio mecanismo de pedido/resposta, como por
exemplo, o ping onde são utilizadas as mensagens de
echo-request e echo-replay.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
35
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
Inspeção com Estado - é o termo utilizado para uma
evolução do filtro de estados onde, além das informações
relativas ao IP e transporte, também são incluídas
informações dos protocolos de aplicação na tabela de
estados.
Sua primeira implementação foi com o Check Point F1,
com sua linguagem proprietária INSPECT, e de onde
surgiu a denominação statefull inspection utilizada por
outros firewalls que implementam filtragem com inspeção
de estado (Exemplo: Netfilter/Iptables, Cisco PIX).
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
36
Firewall – Filtro de Estado das
Conexões (Stateful)
„
„
Vantagens:
„ alto desempenho da rede;
„ aceita quase todos os tipos serviços;
„ transparente para o usuário.
Desvantagens:
„ permite a conexão direta para hosts internos de clientes
externos,
„ não oferece autenticação de usuários.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
37
Firewall – Proxy de Serviços
„
„
„
„
Em geral, um proxy (procurador) é algo ou alguém que
faz algo em nome de outra pessoa.
Os serviços proxy são programas aplicativos ou servidores
especializados que recebem as solicitações dos usuários e
as encaminha para os respectivos servidores reais.
Do ponto de vista do cliente, o servidor é o proxy; do
ponto de vista do servidor, o cliente é o proxy.
Seu princípio básico de funcionamento está no fato de
que este tipo de firewall não permite a conexão direta
entre as entidades finais da comunicação.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
38
Firewall – Proxy de Serviços
„
„
„
Na figura a seguir, todas as conexões HTTP originadas
pelos clientes são enviadas para o Proxy do Serviço HTTP.
Este, por sua vez, envia os pedidos ao servidor como
sendo ele o solicitante.
O servidor HTTP responde ao proxy e este repassa as
respostas aos respectivos clientes.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
39
Firewall – Proxy de Serviços
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
40
Firewall – Proxy de Serviços
„
„
Neste contexto, o proxy de serviço roda em uma máquina
com duas interfaces de rede, entretanto, diferentemente
do filtro de pacotes, o proxy não realiza roteamento dos
datagramas IP.
Desta forma, não é necessário criar regras de filtragem
dentro do proxy de serviços pois as duas redes conectadas
ao proxy não são visíveis entre si.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
41
Firewall – Proxy de Serviços
„
„
Vantagens:
„ Não permite conexões diretas entre hosts internos e
hosts externos;
„ Aceita autenticação do usuário;
„ Analisa comandos da aplicação no payload dos pacotes
de dados, ao contrário do filtro de pacotes.
Desvantagens:
„ Mais lento do que os filtros de pacotes (somente os
gateways de aplicação);
„ Requer um proxy específico pra cada aplicação;
„ Não trata pacotes ICMP.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
42
Firewall – Proxy de Serviços
„
„
Uma implementação que era bastante comum é a de
misturar as funções de filtro de pacotes e de proxy no
mesmo equipamento conforme a figura a seguir.
Não é uma configuração recomendável devido ao alto
consumo de recursos de hardware.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
43
Firewall – Proxy de Serviços
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
44
Exercícios
7. [54] (Engenheiro de Telecomunicações Júnior – PETROBRAS/2006 –
CESGRANRIO) Firewalls podem usar filtros de pacotes e gateway de
aplicação ou conteúdo. Sobre estes, assinale a afirmação correta.
(A) Os filtros de pacotes operam examinando os endereços IP dos pacotes que por
eles passam.
(B) Os gateways de aplicação operam na camada de enlace.
(C) Um filtro de pacotes pode funcionar detectando determinada ocorrência de
strings de texto no conteúdo de um pacote.
(D) Filtros de pacotes e gateways de aplicação não podem ser usados
conjuntamente.
(E) Filtros de pacotes operam na camada física.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
45
Exercícios
8. [53] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas –
Informática – CAPES/2008 – CESGRANRIO) O link Internet de uma
determinada empresa está sobrecarregado, especificamente o tráfego de
entrada, que é caracterizado, em uma sua maioria, por resultados de
solicitações HTTP para um pequeno grupo de sites. Uma ação válida para
aliviar consideravelmente tal sobrecarga é
(A) instalar Linux nas estações dos usuários para melhor desempenho do browser.
(B) instalar um firewall diretamente no link para aceleração das respostas.
(C) aumentar a memória RAM do roteador de borda.
(D) habilitar um filtro Anti-SPAM no servidor SMTP.
(E) implantar um proxy HTTP que faça cache dos resultados, como o SQUID.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
46
Exercícios
9. (Analista de Informações – ABIN/2004 – CESPE) Acerca das
tecnologias, dos protocolos e dos elementos estruturais que permitem
organizar a segurança dos sistemas de informação em redes, julgue os
itens seguintes.
1 [102] Em um firewall é altamente recomendável a rejeição de pacotes
provenientes de uma rede externa que tenham endereço IP de origem da rede
interna.
2 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um
servidor mediante a observação da chegada de pacotes IP fragmentados.
10. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 CESPE) Com relação às ferramentas de segurança de redes, julgue os
itens subsequentes.
1 [72] Os firewalls realizam inspeção de cabeçalho em pacotes e podem abranger
as informações das camadas de rede e de transporte.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
47
Exercícios
2
[75] Os firewalls com inspeção de estado são aqueles que, além de realizar a
inspeção do cabeçalho, também tratam do protocolo de aplicação.
11. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 CESPE) Com relação à segurança em redes de computadores, julgue
os itens a seguir.
1
[119] Com um proxy HTTP no firewall, os usuários remotos podem estabelecer
uma conexão HTTP/TCP com o proxy, que examina o URL contido na
mensagem de solicitação. Se a página solicitada for permitida para o host de
origem, o Proxy estabelece uma segunda conexão HTTP/TCP com o servidor e
para ele encaminha a solicitação.
12. (Informática – Administração de Rede – MC/2008 – CESPE) Com
relação a firewalls, julgue os itens de 68 a 70.
1
[68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao
lidar com pacotes fragmentados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
48
Exercícios
2
[69] Firewalls que realizam a inspeção de estado normalmente são menos
eficazes e seguros que firewalls baseados em filtragem de pacotes.
3
[70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar
a inspeção.
13. (Analista de Redes – Ministério Público do Estado do Amazonas/2008
- CESPE) Com relação às proxies e aos filtros de acesso, julgue os
itens a seguir.
1
[116] A filtragem de pacotes sem estado baseia-se na inspeção das informações
de cabeçalho para determinar se um pacote pode ou não ser aceito ou
transmitido.
2
[117] A filtragem com informação de estado leva em consideração o estado das
conexões para aceitar ou não pacotes, o que reduz o esforço computacional da
inspeção em si e aumenta a granularidade da filtragem.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
49
Exercícios
3
[118] Uma proxy media a conexão de um cliente ou usuário para prover acesso
a um serviço de rede, o que evita a conexão direta peer-to-peer.
4
[119] Um firewall embasado em proxy tem melhor desempenho (retardo e
throughput, por exemplo) quando comparado a um firewall que opera em
camadas mais baixas, visto que, como atua no nível da aplicação, pode
inspecionar não só as informações de cabeçalho, como também as dos
protocolos de aplicação.
5
[120] Uma desvantagem do uso de um firewall baseado em Proxy é que ele
pode ser mais difícil de configurar e operar. Entretanto, o uso de VPNs pode
reverter essa situação.
14. (Analista de Redes – MPERR/2008 - CESPE) No que concerne a
firewalls, julgue os itens seguintes.
1
[101] Os filtros, nos firewalls embasados na tecnologia de filtragem de pacotes,
devem ser aplicados, preferencialmente, quando o tráfego sai do dispositivo.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
50
Exercícios
2
[102] Firewalls embasados na tecnologia de inspeção de estado usam o próprio
estado associado ao protocolo inspecionado, sendo, assim, restritos aos
protocolos orientados à conexão.
3
[103] Firewalls embasados na tecnologia de filtragem de pacotes oferecem a
possibilidade de maior granularidade e especificidade dos filtros, quando
comparados com os firewalls embasados na tecnologia de inspeção de estado.
15. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 CESPE) Acerca das vulnerabilidades e proteções dos sistemas de
informação, julgue os itens a seguir.
1
[98] Um ataque de scanner consiste na monitoração de serviços e versões de
software que estão sendo executados em um determinado sistema. Um sistema
firewall que implementa um filtro de conexões é capaz de anular os efeitos
desse tipo de ataque.
2
[101] Firewall e proxy são sinônimos para descrever equipamentos que realizam
conexões de rede externas para nodos que não estejam conectados
diretamente à Internet.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
51
Firewall – Zona
Desmilitarizada (DMZ)
„
„
A utilização de firewall para se conectar uma rede à
Internet possibilitou uma topologia de acesso interessante
e segura.
Na figura a seguir, tem-se uma rede composta por
máquinas clientes, servidores de serviços de Intranet
(acessados pelos clientes internos) e servidores de
serviços Internet (acessados pela Internet).
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
52
Firewall – Zona
Desmilitarizada (DMZ)
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
53
Firewall – Zona
Desmilitarizada (DMZ)
„
Na topologia apresentada, deve-se observar o seguinte:
„
„
no mesmo segmento da rede da empresa, há a
ocorrência de tráfego local e de tráfego oriundo da
Internet;
caso o servidor de serviços de Internet (um servidor
Web, por exemplo) seja comprometido por algum
agente mal intencionado, o ataque poderá se propagar
para o restante de rede.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
54
Firewall – Zona
Desmilitarizada (DMZ)
„
„
Conclusão: Deve ser criado um mecanismo que separe a
natureza dos dois tipos de tráfego isolando o servidor que
recebe os acessos Internet dos demais servidores e
máquinas clientes da rede interna da empresa.
Solução: Criar uma área de rede reservada para a
hospedagem dos serviços públicos (acessados pela
Internet), ou seja, uma Zona Desmilitarizada (DMZ).
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
55
Firewall – Zona
Desmilitarizada (DMZ)
„
Objetivos:
„
„
„
evitar que a Internet acesse diretamente serviços
dentro de uma rede interna;
separar o tráfego de rede interno do externo;
ligação de uma rede interna com a Internet ou com
uma rede de outra organização.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
56
Firewall – Arquiteturas
„
Dual-homed host architecture
„
„
„
Formada por um equipamento que tem duas interfaces
de rede e funciona como um separador entre as duas
redes.
Os sistemas internos têm de ser conectados ao firewall
para que possam se comunicar com os servidores
externos e vice-versa, mas nunca diretamente.
Assim, as comunicações são realizadas por meio de
proxies ou conexões em duas etapas, nas quais o
usuário se conecta primeiramente ao host dual-homed,
para depois se conectar ao servidor externo.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
57
Firewall – Arquiteturas
„
Dual-homed host architecture
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
58
Firewall – Arquiteturas
„
Screened host architecture
„
„
„
Formada por um filtro de pacotes e um bastion host.
O filtro deve ter regras que permitam o tráfego ara a
rede interna somente por meio do bastion host, de
modo que os usuários externos que queiram acessar
um sistema da rede interna devem, primeiramente, se
conectar ao bastion host.
O bastion host pode funcionar também como um proxy,
exigindo, assim, que os usuários internos acessem a
internet por meio dele.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
59
Firewall – Arquiteturas
„
Screened host architecture
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
60
Firewall – Arquiteturas
„
Screened subnet architecture
„
„
„
Essa arquitetura aumenta o nível de segurança com
relação à arquitetura screened host ao adicionar a rede
DMZ.
Se, antes, um ataque ao bastion host significava que o
invasor já estaria com a rede interna disponível para
ele, isso não ocorre na arquitetura screened subnet.
O bastion host fica na DMZ, que funciona como uma
área de confinamento entre a rede interna e a rede
externa, posicionada entre dois filtros.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
61
Firewall – Arquiteturas
„
Screened subnet architecture
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
62
Exercícios
16. [51] (Analista de Sistemas Pleno – Infraestrutura – PETROBRAS/2006
– CESGRANRIO) As chamadas zonas desmilitarizadas (DMZ) podem ser
implementadas a partir de firewalls. Quais dos componentes abaixo, são
normalmente encontrados em uma DMZ?
(A) Servidores de bancos de dados.
(B) Servidores Web para Internet.
(C) Servidores DHCP da rede interna.
(D) Estações de trabalho de usuários.
(E) Sistemas legados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
63
Exercícios
17. [51] (Analista de Suporte de Sistemas – FUNASA/2009 –
CESGRANRIO) Organizações que expõem serviços de sua rede à Internet
em geral mantêm, entre a rede interna e a Internet, uma subrede
conhecida como DMZ, sigla derivada do termo em Inglês Demilitarized
Zone (zona desmilitarizada). A principal finalidade da DMZ é proteger a
rede interna de ataques externos, razão pela qual o tráfego entre a rede
interna e a DMZ deve passar por um firewall, assim como o tráfego entre a
DMZ e a Internet. Analise as afirmativas a seguir sobre este tema.
I – É possível implementar uma DMZ, utilizando-se apenas um firewall
com três interfaces de rede.
II – O firewall entre a rede interna e a DMZ deve ser configurado de forma
a só permitir que chegue à rede interna tráfego originado na DMZ.
III – Servidores de aplicações e de bancos de dados devem ser colocados
na DMZ, o que traz o benefício adicional de protegê-los de ataques
internos.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
64
Exercícios
IV – A DMZ deve receber uma faixa de IP válida para a Internet, já que o
uso de NAT (Network Address Translation) entre a DMZ e a Internet
inviabiliza a exposição dos serviços existentes na DMZ à Internet.
Estão corretas APENAS as afirmativas
(A) I e II.
(B) I e III.
(C) III e IV.
(D) I, II e IV.
(E) II, III e IV.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
65
Exercícios
18. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens de 96 a 109,
acerca de tecnologias, protocolos, medidas administrativas e normas
referentes à segurança dos sistemas de informação computacional e
das redes de comunicação.
1
[101] Na configuração de firewall denominada screened subnet, o roteador
externo anuncia à rede externa somente a existência da sub-rede que o liga ao
roteador interno, na qual podem estar presentes hospedeiros de guarda
(bastião) e outros serviços de informação.
2 [102] Para dificultar a um intruso a instalação de um programa mal-intencionado
em um servidor proxy instalado em uma zona desmilitarizada na entrada de
uma rede, o programa do proxy deve evitar, na medida do possível, os acessos
ao disco no hospedeiro em que se encontra.
3
[103] A contramedida que consiste em o firewall descartar todos os pacotes que
usam a opção source routing visa proteger o hospedeiro cliente da comunicação
contra a captura pelo servidor de dados privados do cliente.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
66
Exercícios
19. (Analista – Redes – SERPRO/2008 - CESPE) Acerca de segurança de
redes e criptografia, julgue os próximos itens.
1
[84] Firewalls por inspeção de estado permitem mais granularidade e
especificidade na filtragem de tráfego que filtros de pacotes sem estado.
2
[85] Geralmente, firewalls restringem-se a inspecionar cabeçalhos, sendo
ineficazes para filtrar ataques focalizados em vulnerabilidades específicas de
aplicações.
20. (Analista Judiciário – Suporte em Tecnologia da Informação –
STF/2008 - CESPE) Acerca de segurança em redes de computadores,
julgue os itens.
1
[109] Os firewalls baseados em proxies interceptam mensagens de protocolos
de aplicação que trafegam entre a rede não protegida e a protegida. Em uma
rede privada conectada à Internet via um firewall baseado em proxies, um dos
endereços IP do firewall pode ser visível na Internet.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
67
Exercícios
21. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE)
julgue os próximos itens, acerca dos conceitos de segurança da
informação.
1
[160] Como regra geral, quanto menor for a MTU de um enlace de rede, maior
tenderá a ser a fragmentação de segmentos que trafegam nessa rede. Devido à
fragmentação, assinaturas de ataques com o protocolo ICMP poderão ser mais
difíceis de detectar, especialmente no caso de o firewall em uso ser do tipo de
filtragem de pacotes.
22. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008
- CESPE) Julgue os itens abaixo, relativos à segurança da informação.
1
[178] No caso de o administrador implementar, na ligação da rede à Internet,
um firewall do tipo nível de rede, para permitir o funcionamento correto de um
servidor DNS no interior de sua rede, será necessário liberar, no firewall,
apenas o acesso externo do servidor DNS à porta 53.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
68
Exercícios
2
[179] Se um administrador implementar, na ligação da rede de computadores à
Internet, um statefull firewall, as regras de funcionamento que estão
implementadas no interior desse firewall atuarão quase que exclusivamente na
camada 4 e, eventualmente, na camada 7 do modelo OSI.
3
[180] Se o administrador da rede de computadores tiver de escolher entre
implantar um proxy firewall ou um firewall do tipo packet filter, a sua decisão
deverá basear-se em um dos dois critérios seguintes: necessidade de atuação
na camada de aplicação ou maior vazão de dados. Se o critério preponderante
for o primeiro, então, a decisão deve ser favorável à instalação de proxy
firewalls; se for o segundo, deve ser escolhido um packet filter.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
69
IDS
„
„
Sistemas de Detecção de Intrusos (Intrusion Detection
System – IDS) atuam como mecanismos de detecção,
realizando a monitoração em sistemas locais ou em
sistemas em redes, à procura de eventos que possam
comprometer os ativos de um sistema de informação ou
que possam transpor os mecanismos de proteção.
O princípio de funcionamento de um IDS é baseado na
identificação, delimitação e tratamento dos eventos
relevantes para o processo de detecção.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
70
IDS
„
„
Estes eventos relevantes são selecionados dentro de um
conjunto de eventos possíveis de serem observados em
um determinado sistema ou em uma rede.
Um dos grandes desafios dos sistemas de detecção de
intrusos é:
„
Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
71
IDS
„
„
„
„
Falso Positivo: IDS gera um alarme de ataque na
ocorrência de um evento ou tráfego normal.
Falso Negativo: IDS não gera alarme na ocorrência de
um evento ou tráfego mal intencionado.
O falso positivo é um evento observável e relevante que é
classificado pelo IDS como um evento intrusivo.
Seu maior problema é a geração de um grande número de
alertas, o que dificulta a administração e a análise das
informações do IDS.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
72
IDS
„
„
Já no caso dos falsos negativos, estes podem ocorrer tanto
em eventos não observáveis como em eventos observáveis
e, dentro deste último grupo, também pode estar presente
dentro dos eventos relevantes.
Seu maior problema é justamente o inverso do falso
positivo, ou seja, não há registros da ocorrência de falsos
negativos no IDS.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
73
IDS
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
74
Exercícios
23. (Analista de Informações – ABIN/2004 – CESPE) Acerca das
tecnologias, dos protocolos e dos elementos estruturais que permitem
organizar a segurança dos sistemas de informação em redes, julgue os
itens seguintes.
1
[103] Em um sistema de detecção de intrusão (intrusion detection system —
IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar
uma intrusão que efetivamente ocorreu.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
75
IDS - Classificação
„
„
„
Quanto ao Método de Detecção, os sistemas de
detecção de intrusos são classificados como:
„
sistemas de intrusão baseados em anomalias;
„
sistemas de detecção baseados em assinatura.
Quanto à Arquitetura, os sistemas de detecção de
intrusos são classificados segundo os critérios localização
e alvo.
Com base na localização, são classificados em:
centralizado, hierárquico ou distribuído.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
76
IDS - Classificação
„
Com base no alvo, são classificados em:
„
sistemas baseados em host;
„
sistemas baseados em rede.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
77
IDS – Baseado em Anomalia
„
„
O Sistema de Intrusão Baseado em Anomalia é um
método também conhecido como Método Reacionário
ou Sistema de Detecção por Comportamento.
Independente do nome, ele se baseia na análise do
comportamento do sistema e na identificação de
possíveis desvios, comparando o estado observado a um
padrão de comportamento considerado normal.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
78
IDS – Baseado em Anomalia
„
As informações a seguir podem ser tomadas como base
para identificar o comportamento padrão do sistema/rede
e subsidiar na identificação de tráfegos anormais:
„ quantidade de tráfego na rede em determinados
horários;
„ tipos de protocolos que passam na rede e seus
prováveis horários;
„ carga de processamento da CPU;
„ aplicações utilizadas na rede;
„ serviços ativos no sistema;
„ endereços IP que trafegam pela rede, etc.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
79
IDS – Baseado em Anomalia
„
„
Vantagens:
„ possibilita detectar ataques desconhecidos, sendo
desnecessária a manutenção de uma base de dados
que armazene todos os tipos possíveis de ataques e
vulnerabilidades;
„ pode ser usado para gerar informações que darão
origem a uma assinatura.
Desvantagens:
„ para usar esse método de detecção, é imprescindível
que o administrador conheça o comportamento da
rede/sistema, o que é muito difícil devido à
heterogeneidade e à complexidade desses ambientes.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
80
IDS – Baseado em Anomalia
„
Desvantagens:
„ devido à dificuldade apresentada no item anterior,
esse método leva a um maior número de falsos
positivos;
„ os relatórios são mais difíceis de serem analisados,
não informando dados conclusivos da vulnerabilidade
explorada.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
81
IDS – Baseado em Assinaturas
„
„
O Sistema de Intrusão Baseado em Assinatura é um
método também conhecido como Sistema Preemptivo
ou Sistema de Detecção por Abuso.
Essa técnica busca sequências de ações nitidamente
caracterizadas como inválidas, registradas em uma base
de dados (assinaturas) que contém o conhecimento
acumulado sobre ataques específicos e vulnerabilidades.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
82
IDS – Baseado em Assinaturas
„
Vantagens:
„
„
por comparar o tráfego capturado a uma assinatura, o
número de falsos positivos é menor, comparado ao
método anterior;
devido ao fato de o número de falsos positivos ser
menor, e também porque o alarme gerado pelo IDS irá
mostrar a que tipo de ataque o tráfego corresponde
(devido à assinatura a qual foi comparado), faz-se
possível a adoção de contramedida;
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
83
IDS – Baseado em Assinaturas
„
Vantagens:
„
„
redução na quantidade de informação tratada, isto é, o
alarme é mais preciso e evidente;
permite diagnosticar, de maneira rápida e confiável, a
utilização de determinadas ferramentas ou técnicas
específicas de ataque, auxiliando os gerentes a
verificarem as correções necessárias.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
84
IDS – Baseado em Assinaturas
„
Desvantagens:
„ como o método é baseado em assinaturas, a detecção
só ocorre para ataques conhecidos, por isso mesmo
não permite detectar variações de um mesmo ataque,
pois as assinaturas são utilizadas com muita rigidez;
„ faz-se necessária a manutenção freqüente na base de
dados que contém as assinaturas.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
85
Exercícios
24. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –
CESPE) Acerca dos aspectos de segurança em sistemas de informação
e redes TCP/IP, julgue o próximo item.
1
[119] A abordagem de detecção de anomalias por contagem de eventos em
intervalos de tempo, com indicação de alarme em caso de ultrapassagem de
um limiar, é uma abordagem com baixo índice de falsos positivos e de falsos
negativos na detecção de intrusão.
25. (Informática – Administração de Rede – MC/2008 – CESPE) Com
relação a IDS e firewalls, julgue o item a seguir.
1
[66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à
redução de falsos-positivos.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
86
Exercícios
26. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens que se seguem
acerca da arquitetura e do gerenciamento dos sistemas de detecção
de intrusão (intrusion detection systems — IDS).
1
[114] Na abordagem de detecção estatística de anomalias, definem-se regras
de comportamento a serem observadas para decidir se determinado
comportamento corresponde ao de um intruso.
2
[115] A utilização de registros de auditoria como entrada para um sistema de
detecção de intrusão pode-se dar com os registros nativos de sistemas e
aplicações, ou com registros gerados com informações específicas da detecção
de intrusão.
3
[116] A medição do tempo decorrido desde o último login é um indicador
significativo para a detecção de tentativas de quebra de uma conta de sistema
operacional ociosa.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
87
Exercícios
27. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 CESPE) Os sistemas de informação possuem diversas vulnerabilidades
que podem ser exploradas para se comprometer a segurança da
informação. Para reduzir os riscos de segurança, empregam-se
diversos mecanismos de controle e de proteção física e lógica desses
sistemas. Acerca das vulnerabilidades e proteções dos sistemas de
informação, julgue os itens a seguir.
1
[102] Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza
descrições de ataques previamente conhecidos (assinaturas) para identificar a
ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de
um número elevado de falsos positivos quando ataques novos, para os quais
ainda não foram especificadas assinaturas de ataque convenientes, são
lançados contra o sistema monitorado pelo IDS.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
88
IDS – Classificação Quanto à
Arquitetura
„
„
„
„
Outro aspecto importante em um IDS é a sua arquitetura,
pois uma arquitetura bem elaborada é um dos fatores que
irão determinar o cumprimento adequado de seu papel.
Dois elementos influenciam diretamente na arquitetura: a
localização e o alvo.
O alvo diz respeito ao sistema que ele irá analisar, se um
Host ou um Segmento de Rede.
A localização diz respeito à forma com que os
componentes do IDS irão se relacionar, podendo ser
centralizada, hierárquica ou distribuída.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
89
IDS – Classificação Quanto à
Localização
„
„
Centralizado: na arquitetura centralizada, todos os
componentes do IDS estão localizados no mesmo
equipamento.
Hierárquico: nesta arquitetura os componentes
encontram-se parcialmente distribuídos, isto é, em
equipamentos separados, cada um com sua função
específica, porém com fortes relações de hierarquia entre
eles. Nesse tipo de arquitetura, tarefas como a tomada de
decisões fica normalmente concentrada em um único
ponto.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
90
IDS – Classificação Quanto à
Localização
„
Distribuído: possui todos os seus componentes
espalhados pelo sistema, com relações mínimas de
hierarquia entre eles, não existe centralização de decisões,
os componentes trabalham em regime de cooperação para
alcançar o objetivo comum de detectar um intruso.
Geralmente utilizados na segmentação de links com grande
largura de banda, de tal forma que nenhum pacote seja
descartado pelos sensores.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
91
IDS – Classificação Quanto ao
Alvo (HIDS)
„
„
„
Quando o Sistema de Detecção é baseado em host,
dizemos que ele é um HIDS (Host Instrusion Detection
System).
Nele, o software IDS é instalado na mesma máquina em
que se deseja realizar a detecção.
Seu princípio de funcionamento está baseado em verificar
os:
„
„
parâmetros de utilização de recursos do sistema;
registros de log do sistema operacional e dos
aplicativos;
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
92
IDS – Classificação Quanto ao
Alvo (HIDS)
„
(Cont.):
„
„
„
„
„
registros de auditoria do sistema;
níveis de utilização de CPU e memória;
arquivos de sistema;
chaves de Registros;
portas ativas, entre outros.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
93
IDS – Classificação Quanto ao
Alvo (NIDS)
„
„
Aos sistemas baseados em um segmento de rede se dá o
nome de NIDS (Network Intrusion Detection System) e
têm como fonte de eventos pacotes de dados trafegando
pela rede, seja de cabeamento físico ou wireless.
Seu princípio de funcionamento está baseado em:
„
verificar eventos intrusivos cujo alvo seja qualquer
sistema que esteja no segmento de rede por ele
analisado;
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
94
IDS – Classificação Quanto ao
Alvo (NIDS)
„
(Cont.):
„
„
aplicar mecanismos de proteção específicos para o IDS
como, por exemplo, não configurar endereço IP na
interface de rede utilizada pelo sensor;
colocar a placa de rede do sensor em modo promíscuo
para capturar todo o tráfego na qual ela esteja
conectada.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
95
IDS – Comportamento PósDetecção
„
„
Os IDS podem se comportar de duas maneiras distintas:
passiva e ativa.
Passivo:
„
„
„
apenas detecta, mas não barra o ataque;
após detecção, um evento é gerado e encaminhado ao
gerente, deixando com que o administrador do sistema
possa tomar a decisão;
Falsos Positivos são interpretados pelo administrador,
diminuindo seus efeitos na rede.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
96
IDS – Comportamento PósDetecção
„
Ativo:
„
„
„
ao detectar um ataque, ele próprio, segundo
configurações realizadas pelo administrador do sistema,
realizará contramedidas automaticamente;
processos automatizados sem a intervenção do
administrador;
Falsos Positivos podem gerar grandes problemas na
rede como um todo, tornando-se muito perigoso.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
97
Exercícios
28. [65] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas
– Informática – CAPES/2008 – CESGRANRIO) São exemplos,
respectivamente, de um Firewall e de um sistema de detecção de
intrusão:
(A) Nmap e Snort
(B) Kerberos e NMap
(C) IPTables e Snort
(D) IPTables e Kerberos
(E) Snort e PortKnocking
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
98
Exercícios
29. [52] (Analista de Sistemas Júnior – TERMOAÇU/2008 – CESGRANRIO)
Os dispositivos de IDS – Intrusion Detection System – têm como
finalidade básica detectar ataques maliciosos em tempo real permitindo
que algumas ações sejam tomadas. São características do IDS, EXCETO:
(A) O agente Network based é capaz de detectar ataques baseados na rede e tomar
ações como terminar a conexão ou enviar alerta ao administrador.
(B) O IDS pode identificar um ataque em andamento, mesmo em redes onde o
tráfego é criptografado.
(C) O agente Network based deve ser posicionado no segmento cujo ataque se
deseja detectar.
(D) O agente Host based deve ser instalado no servidor que se deseja proteger.
(E) Os IDSs, de modo geral, atuam como uma sentinela e procuram por ataques a
partir de assinaturas disponibilizadas pelo seu fabricante.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
99
Exercícios
30. [54] (Analista de Sistemas Pleno – Infraestrutura – PETROBRAS/2006
– CESGRANRIO) Assinale a afirmação INCORRETA sobre os firewalls e
sistemas de detecção de intrusão (IDS - Intrusion Detection Systems).
(A) Os IDS podem ser utilizados para detectar e bloquear tentativas feitas por
invasores para determinar as regras de filtragem de um firewall.
(B) Os IDS podem monitorar em tempo real os servidores de uma rede e/ou auditar
os logs dos servidores à procura de padrões específicos de comportamento.
(C) Os IDS podem ser utilizados para detectar falhas de segurança em uma rede ou
computadores antes mesmo que um ataque ou falha ocorra.
(D) Mesmo que os firewalls de uma rede estejam bem configurados, os sistemas
IDS continuam necessários.
(E) Um firewall bem configurado deve responder a mensagens ICMP Echo Request.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
100
Exercícios
31. [39] (Analista de Sistemas Júnior – Infraestrutura –
PETROBRAS/2008 – CESGRANRIO) Durante uma reunião para discutir a
segurança em redes de computadores, uma analista de suporte fez as
seguintes afirmativas:
I – permitir a entrada de tráfego ICMP (Internet Control Messaging
Protocol) irrestrito no firewall de uma empresa pode possibilitar que
invasores montem um ataque de recusa de serviço;
II – Programas IDS (Intrusion Detection System) podem ser utilizados
para detectar ataques de varreduras de portas;
III – a utilização de senhas fortes é uma contramedida para ataques de
força bruta.
Está(ão) correta(s) a(s) afirmativa(s)
(A) I, apenas.
(B) II, apenas.
(C) III, apenas.
(D) I e II, apenas.
(E) I, II e III.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
101
Exercícios
32. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 CESPE) Com relação às ferramentas de segurança de redes, julgue os
itens subseqüentes.
1 [71] Os sistemas de detecção de intrusão em redes são, normalmente, baseados
em escuta de tráfego e comparação de padrões de ataque.
2
[73] Os sistemas de prevenção de intrusão, além de detectarem o tráfego
malicioso, são capazes de bloqueá-lo.
3
[74] Os sistemas de detecção e(ou) prevenção de intrusão em redes são muito
eficazes.
33. (Informática – Administração de Rede – MC/2008 – CESPE) Com
relação a IDS e firewalls, julgue o item a seguir.
1
[67] No que diz respeito ao posicionamento dos IDS, recomenda-se que sejam
colocados próximos a dispositivos como firewalls, preferencialmente na rede
interna e com utilização de múltiplos sensores.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
102
Exercícios
34. (Analista de Redes – MPERR/2008 - CESPE) No que concerne a NIDS,
julgue os itens seguintes.
1
[104] A popularização das redes baseadas em comutadores facilitou a escolha
do posicionamento dos sensores de NIDS, tornando-os mais eficazes.
2 [105] Os NIDS permitem a detecção instantânea, e até antecipada, de intrusões,
contribuindo para a pró-atividade.
35. (Analista de Redes – Ministério Público do Estado do Amazonas/2008
- CESPE) Com relação à segurança de perímetro, julgue o item a
seguir.
1
[100] Os IPS detectam anomalias na operação da rede e reportam-nas aos
administradores para análise e ação posterior.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
103
VPN
„
„
„
O conceito de rede privada virtual (Virtual Private
Network – VPN) surgiu a partir da necessidade de se
utilizar redes de comunicação não confiáveis. Ex: trafegar
informações de forma segura na Internet.
Uma VPN proporciona conexões somente permitidas a
usuários, que estejam em redes distintas e que façam
parte de uma mesma comunidade.
Solução para alto custo de enlaces de comunicação
dedicados e privados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
104
VPN
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
105
VPN - Fundamentos
„
„
„
Os conceitos que fundamentam a VPN são a criptografia e
o tunelamento.
A criptografia é utilizada para garantir a autenticidade, o
sigilo e a integridade das conexões, e é a base da
segurança dos túneis VPN.
Trabalhando na camada 3 do modelo OSI/ISO, a
criptografia é independente da rede e da aplicação,
podendo ser aplicada em qualquer forma de comunicação
possível de ser roteada, como voz, vídeo e dados.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
106
VPN - Fundamentos
„
O túnel VPN é formado pelo tunelamento que permite a
utilização de uma rede pública para o tráfego das
informações, até mesmo de protocolos diferentes do IP,
por meio da criação de um túnel virtual formado entre as
duas partes da conexão.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
107
VPN - Tunelamento
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
108
VPN - Tunelamento
„
„
„
„
O conceito de tunelamento foi utilizado, inicialmente, com o
objetivo de possibilitar a comunicação entre organizações
que utilizam um determinado protocolo, empregando um
meio que tem como base um outro protocolo diferente. Ex:
IPX trafegando em rede IP.
Pode ser realizado nas camadas 2 e 3, e as duas possuem
vantagens e desvantagens.
Túnel é a denominação do caminho lógico percorrido pelos
pacotes encapsulados.
Simula a conexão ponto-a-ponto requerida para a
transmissão de pacotes através de uma rede pública.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
109
VPN – Tipos de Túneis
„
„
„
„
Os túneis podem ser criados de duas diferentes formas voluntárias e compulsórias.
No túnel voluntário, o computador do usuário funciona
como uma das extremidades do túnel e, também, como
cliente do túnel.
Ele emite uma solicitação VPN para configurar e criar um
túnel entre duas máquinas, uma em cada rede privada, e
que são conectadas via Internet.
No túnel compulsório, o computador do usuário não
funciona como extremidade do túnel.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
110
VPN – Tipos de Túneis
„
„
„
Um servidor de acesso remoto, localizado entre o
computador do usuário e o servidor do túnel, funciona
como uma das extremidades e atua como o cliente do
túnel.
Utilizando um túnel voluntário, no caso da Internet, o
cliente faz uma conexão para um túnel habilitado pelo
servidor de acesso no provedor (ISP).
No tunelamento compulsório com múltiplos clientes, o
túnel só é finalizado no momento em que o último usuário
do túnel se desconecta.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
111
VPN – Túnel Voluntário
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
112
VPN – Túnel Compulsório
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
113
VPN – Protocolos de
Tunelamento
„
Diferentes protocolos podem ser usados:
„
„
„
„
GRE (Generic Routing Encapsulation) da Cisco;
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force);
PPTP (Point-to-Point Tunneling Protocol) da Microsoft.
Os protocolos PPTP e L2TP são utilizados em VPNs
discadas, ou seja, proporcionam o acesso de usuários
remotos acessando a rede corporativa através de modens
de um provedor de acesso.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
114
VPN – Protocolos de
Tunelamento
„
„
„
Um ponto a ser considerado nos dois protocolos é que o
sigilo, a integridade e a autenticidade dos pontos que se
comunicam devem ser fornecidos por um outro protocolo,
o que é feito normalmente pelo IPSec.
Uma diferença entre o L2TP e o PPTP é que o L2TP pode
ser transparente para o usuário, no sentido de que esse
tipo de tunelamento pode ser iniciado no gateway de VPN
de um provedor de VPN.
Quando o PPTP é utilizado, a abordagem é diferente. O
tunelamento é sempre iniciado no próprio equipamento do
usuário.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
115
VPN – Protocolos de
Tunelamento
„
„
Com isso, o PPTP é mais indicado para a utilização em
laptops, por exemplo, quando o usuário poderá se conectar
à rede da organização via VPN, por meio desse protocolo.
O L2TP é utilizado, principalmente, para o tráfego de
protocolos diferentes de IP sobre uma rede pública com
base em IP.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
116
Exercícios
36. [52] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas
– Informática – CAPES/2008 – CESGRANRIO) No âmbito de VPN, que
protocolo pode ser usado para tunelamento na camada de enlace?
(A) IPv6
(B) NAT
(C) SSH
(D) L2TP
(E) SSL
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
117
VPN – IPSec
„
„
„
O IPSec é um protocolo padrão de camada 3 projetado
pelo IETF que oferece transferência segura de informações
fim a fim através de rede IP pública ou privada.
Essencialmente, ele pega pacotes IP privados, realiza
funções de segurança de dados como criptografia,
autenticação e integridade, e então encapsula esses
pacotes protegidos em outros pacotes IP para serem
transmitidos.
As funções de gerenciamento de chaves também fazem
parte das funções do IPSec.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
118
VPN – IPSec
„
„
Tal como os protocolos de nível 2, o IPSec trabalha como
uma solução para interligação de redes e conexões via
linha discada.
Ele combina diversas tecnologias diferentes de segurança
em um sistema completo que provê confidencialidade,
integridade e autenticidade, empregando atualmente:
„
„
mecanismo de troca de chaves de Diffie-Hellman;
criptografia de chave pública para assinar as trocas de
chave de Diffie-Hellman, garantindo assim a identidade
das duas partes e evitando ataques do tipo man-in-themiddle;
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
119
VPN – IPSec
„
(Cont.):
„ algoritmos de encriptação para grandes volumes de
dados, como o DES (Data Encryption Standard);
„ algoritmos para cálculo de hash com utilização de
chaves, com o HMAC combinado com os algoritmos de
hash tradicionais como o MD5 ou SHA, autenticando os
pacotes;
„ certificados digitais assinados por uma autoridade
certificadora.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
120
VPN – IPSec
„
Os requisitos de segurança podem ser divididos em 2
grupos, que são independentes entre si, podendo ser
utilizados de forma conjunta ou separada, de acordo com a
necessidade de cada usuário:
„
Autenticação e Integridade;
„
Confidencialidade.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
121
Exercícios
37. [63] (Profissional Júnior – Analista de Sistemas – Ênfase em
Infraestrutura – PETROBRAS/2008 – CESGRANRIO) No âmbito de redes
virtuais privadas (VPN), que protocolos podem ser usados para
tunelamento?
(A) L2TP, BGP
(B) CIFS, SSH
(C) UDP, IPSEC
(D) IPSEC, L2TP
(E) BGP, PPTP
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
122
Exercícios
38. [38] (Analista de Redes e Comunicação de Dados – MPE-RO/2005 –
CESGRANRIO) Um analista de rede precisa implementar para uma rede
um esquema de segurança no qual deve ser disponibilizado um sistema de
autenticação entre o cliente e o servidor, além de um mecanismo para
proteger a privacidade e a integridade do tráfego que passa pela rede.
Assinale a opção que apresenta, respectivamente, uma alternativa de
autenticação e de proteção que pode ser utilizada pelo analista.
(A) Kerberos e IPSec.
(B) Kerberos e RPC.
(C) IPSec e Kerberos.
(D) IPSec e RPC.
(E) RPC e Kerberos.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
123
VPN – IPSec
„
Para implementar estas características, o IPSec é composto
de 3 mecanismos adicionais:
„
AH - Autentication Header;
„
ESP - Encapsulation Security Payload;
„
IKE - Internet Key Exchange.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
124
VPN – IPSec
„
„
Authentication Header (AH): este cabeçalho, ao ser
adicionado a um datagrama IP, garante a integridade e
autenticidade dos dados, incluindo os campos do cabeçalho
original que não são alterados entre a origem e o destino;
no entanto, não fornece confidencialidade.
Encapsulating Security Payload (ESP): este cabeçalho
protege a confidencialidade, integridade e autenticidade da
informação.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
125
VPN – IPSec
„
„
AH e ESP podem ser usados separadamente ou em
conjunto, mas para a maioria das aplicações apenas um
deles é suficiente.
Há dois modos de operação: modo de transporte (nativo) e
modo túnel.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
126
VPN – IPSec
Cabeçalho genérico para o modo de transporte
Exemplo de um cabeçalho do modo túnel
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
127
VPN – IPSec – Modo
Transporte
„
„
„
No modo de transporte, somente a informação (payload) é
encriptada, enquanto o cabeçalho IP original não é
alterado.
Este modo tem a vantagem de adicionar apenas alguns
octetos a cada pacote, deixando que dispositivos da rede
pública vejam a origem e o destino do pacote, o que
permite processamentos especiais (como de QoS)
baseados no cabeçalho do pacote IP.
No entanto, o cabeçalho da camada 4 (transporte) estará
encriptado, limitando a análise do pacote.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
128
VPN – IPSec – Modo
Transporte
„
Passando o cabeçalho sem segurança, o modo de
transporte permite que um atacante faça algumas análises
de tráfego, mesmo que ele não consiga decifrar o
conteúdo das mensagens.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
129
VPN – IPSec – Modo Túnel
„
„
„
No modo de tunelamento, todo o datagrama IP original é
encriptado e passa a ser o payload de um novo pacote IP.
Este modo permite que um dispositivo de rede, como um
roteador, aja como um Proxy IPSec (o dispositivo realiza a
encriptação em nome dos terminais).
O roteador de origem encripta os pacotes e os envia ao
longo do túnel IPSec; o roteador de destino decripta o
datagrama IP original e o envia ao sistema de destino.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
130
VPN – IPSec – Modo Túnel
„
A grande vantagem do modo de tunelamento é que os
sistemas finais não precisam ser modificados para
aproveitarem os benefícios da segurança IP; além disto,
esse modo também protege contra a análise de tráfego, já
que o atacante só poderá determinar o ponto de início e de
fim dos túneis, e não a origem e o destino reais.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
131
VPN – IPSec – Associações de
Segurança (SAs)
„
„
„
„
O IPSec fornece diversas opções para executar a
encriptação e autenticação na camada de rede.
Quando dois nós desejam se comunicar com segurança,
eles devem determinar quais algoritmos serão usados (se
DES ou IDEA, MD5 ou SHA).
Após escolher os algoritmos, as chaves de sessão devem
ser trocadas.
Associação de Segurança é o método utilizado pelo
IPSec para lidar com todos estes detalhes de uma
determinada sessão de comunicação.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
132
VPN – IPSec – Associações de
Segurança (SAs)
„
„
„
Uma SA representa o relacionamento entre duas ou mais
entidades que descreve como estas utilizarão os serviços
de segurança para se comunicarem.
As SAs são unidirecionais, o que significa que para cada
par de sistemas que se comunicam, devemos ter pelo
menos duas conexões seguras, uma de A para B e outra
de B para A.
As SAs são identificadas de forma única pela associação
entre um número aleatório chamado SPI (Security
Parameter Index), o protocolo de segurança (AH ou ESP) e
o endereço IP de destino.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
133
VPN – IPSec – Associações de
Segurança (SAs)
„
„
Quando um sistema envia um pacote que requer proteção
IPSec, ele olha as SAs armazenadas em seus banco de
dados, processa as informações, e adiciona o SPI da SA no
cabeçalho IPSec.
Quando o destino IPSec recebe o pacote, ele procura a SA
em seus banco de dados de acordo com o endereço de
destino e SPI, e então processa o pacote da forma
necessária.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
134
VPN – Protocolo de
Gerenciamento de Chaves (IKE)
„
„
„
O IPSec assume que as SAs já existem para ser utilizado,
mas não especifica como elas serão criadas.
IETF decidiu dividir o processo em duas partes: o IPSec
fornece o processamento dos pacotes, enquanto o IKMP
negocia as associações de segurança.
Após analisar as alternativas disponíveis, o IETF escolheu
o IKE como o método padrão para configuração das SAs
para o IPSec.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
135
VPN – Protocolo de
Gerenciamento de Chaves (IKMP)
Uso do IKE pelo IPSec
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
136
Exercícios
39. (Analista de Informações – ABIN/2004 – CESPE) Acerca das
tecnologias, dos protocolos e dos elementos estruturais que permitem
organizar a segurança dos sistemas de informação em redes, julgue os
itens seguintes.
1
[101] Na rede de uma organização que tem mais de um local físico, cada um
com um firewall, caso seja empregado o protocolo de autenticação de
cabeçalho (authentication header) do protocolo de segurança IP (IPSec) nas
comunicações entre tais firewalls, será possível a essa organização utilizar a
Internet como uma rede privada virtual (virtual private network — VPN), sem
comprometer os dados transmitidos.
2
[106] É suficiente estabelecer entre dois roteadores IP acordo de segurança
(security agreeement — SA) do protocolo de segurança IP (IPSec) para permitir
a autenticação recíproca desses dois roteadores.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
137
Exercícios
40. (Técnico Científico – Tecnologia da Informação – Banco da
Amazônia/2006 – CESPE) No tocante a vulnerabilidades, mecanismos,
técnicas e políticas de segurança em redes, julgue o item a seguir.
1 [113] As redes privativas virtuais (virtual private network – VPN) são importantes
ferramentas para a transmissão segura de informações. Um dos principais
protocolos de VPN é o IPSec, que utiliza criptografia em nível de rede e
proporciona segurança entre um par de hosts ou um par de gateways de
segurança ou, ainda, entre um host e um gateway de segurança no nível IP.
41. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 CESPE) Julgue os itens seguintes, no que se refere a VPNs.
1
[76] As VPNs utilizam a criptografia para estabelecer um canal de comunicação
segura, com confidencialidade, integridade e autenticidade, sobre canais
públicos.
2
[78] As VPNs que utilizam túneis TCP são mais seguras que aquelas que utilizam
UDP, já que o TCP é confiável, enquanto o UDP não é.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
138
Exercícios
42. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 CESPE) Com relação segurança em redes de computadores, julgue os
itens a seguir.
1
[120] No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece controle
de acesso, integridade de mensagem sem conexões, autenticação e antireplay
e a carga útil de segurança do encapsulamento que admite esses mesmos
serviços, inclusive confidencialidade. O IPSEC apresenta a desvantagem de não
prover o gerenciamento de chaves.
43. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –
CESPE) Julgue os itens a seguir.
1
[108] Um acordo de segurança (security association) do protocolo de segurança
IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP,
necessária para estabelecer conexões TCP através desses roteadores, de modo
a oferecer serviços de autenticação e confidencialidade das conexões TCP,
necessários à formação de redes privadas virtuais (virtual private networks
(VPN) fim-a-fim.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
139
Exercícios
2
[109] O protocolo de encapsulamento de carga útil — encapsulation security
payload (ESP) — fornece os serviços de autenticação, integridade de dados e
confidencialidade que, no contexto de IPsec, permitem a formação de redes
privadas virtuais entre entidades operando na camada de rede IP.
44. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens
1
[97] Na arquitetura de segurança do internet protocol (IP) — IPSec —, a
associação de segurança é um relacionamento bidirecional entre um emissor e
um receptor, que é identificada pelo número do soquete da aplicação usuária.
2
[98] O Internet security association key management protocol (ISA KMP) pode
ser usado para a automação da gerência de chaves criptográficas entre o
emissor e o receptor no IPSec.
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
140
Gabarito das Questões
1. E
12. 1E-2E-3E
23. 1E
34. 1E-2E
2. D
13. 1C-2C-3C-4E-5E
24. 1E
35. 1E
3. 1C-2C-3E
14. 1E-2E-3E
25. 1C
36. D
4. 1E
15. 1E-2E
26. 1E-2C-3E
37. D
5. C
16. B
27. 1E
38. A
6. B
17. A
28. C
39. 1E-2E
7. A
18. 1C-2C-3E
29. B
40. 1C
8. E
19. 1C-2C
30. E
41. 1C-2E
9. 1C-2E
20. 1C
31. E
42. 1E
10. 1C-2E
21. 1C
32. 1C-2C-3E
43. 1E-2C
11. 1C
22. 1E-2E-3C
33. 1C
44. 1E-2C
Prof. Gleyson Azevedo
http://groups.google.com.br/group/prof_gleyson
141