Segurança - Parte 02 (1)

Pedro José dos [email protected]

Ataques a Redes e Mecanismos de Proteção

Prof. Esp. Pedro José[email protected]

Turma Senado - TI Segurança da Informação

Segundo semestre de 2011 www.etb.com.br2

Arquitetura de

Segurança OSI

Ataques MecanismosServiços

Passivos

Ativos

Confidencialidade

Integridade

Disponibilidade

Autenticação

Irretratabilidade

Controle de Acesso

Criptografia

Assinatura Digital

Protocolos de Autenticação

. . .

Arquitetura de Segurança OSI


Ataques a Redes


Prof. Esp. Pedro José[email protected]


• Roteiro dos Ataques

• Obtenção de Informações

• Códigos Maliciosos

• DoS/DDoS

Roteiro


• Obtenção de informações (footprinting)

• Varredura (scanning)

• Enumeração (enumeration)

• Ataque (penetration ou denial of service)

• Cobertura de rastros (covering tracks)

• Manutenção do acesso (backdoors)

Roteiro dos Ataques


• Phishing – fraude que se dá através do envio de mensagem não solicitada, passando-se por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários.

• Também conhecido como phishing scam ou phishing/scam.

• Phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" (e-mails) são usadas para "pescar" senhas e dados financeiros de usuários da Internet.

Phishing


• Principais situações envolvendo phishing:

• mensagens que contêm links para programas maliciosos;

• páginas de comércio eletrônico ou Internet Banking falsificadas;

• e-mails contendo formulários para o fornecimento de informações sensíveis;

• comprometimento do serviço de resolução de nomes (DNS).

Phishing


Exercícios1. [35](Agente da Fiscalização Financeira – Informática – Banco de Dados – TCE-SP/2010 – FCC) Mensagem não solicitada e mascarada sob comunicação de alguma instituição conhecida e que pode induzir o internauta ao acesso a páginas fraudulentas, projetadas para o furto de dados pessoais ou financeiros do usuário. Trata-se especificamente de

(A) keylogger.

(B) scanning.

(C) botnet.

(D) phishing.

(E) rootkit.


Exercícios2. [71](Analista do Ministério Público – Análise de Sistemas – MPE-SE/2009 – FCC) Um convite via e-mail, em nome de uma instituição governamental, para ser intermediário em uma transferência internacional de fundos de valor vultuoso, em que se oferece um ganho percentual do valor, porém se exige uma quantia antecipada para gastos com advogados, entre outros (ex. o golpe da Nigéria), de acordo com o cgi.br é classificado como

(A) spyware.

(B) hoax.

(C) scam.

(D) backdoor.

(E) spam.


Exercícios3. [63](Técnico – Área 2 – BACEN/2010 – CESGRANRIO) Um dos crimes que mais causam prejuízos às pessoas e às instituições é a fraude. Utilizando-se da Internet, fraudadores têm enviado e-mails com mensagens que induzem o usuário a fornecer dados pessoais e financeiros. Esse tipo de fraude, que se dá mediante o envio de mensagem não solicitada, supostamente de uma instituição conhecida, como um banco, e que procura induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros, constitui a prática de

(A) phishing.

(B) spam.

(C) worm.

(D) adware.

(E) spyware.


Exercícios4. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE) Acerca

da identificação de códigos maliciosos e de técnicas de phishing e spam, julgue os próximos itens.

1. [93] Uma das maneiras de se combater, com antecedência, o ataque de phishing é a utilização de um servidor NFS (network file system) na rede local para os usuários.

2. [95] Uma das técnicas de phishing consiste em envenenar cache de servidores DNS, fornecendo, assim, URLs falsas aos usuários que consultam esse servidor DNS e apontando para servidores diferentes do original.


• Spoofing – ataque onde o sujeito autentica um host para outro se utilizando da técnica de forjar pacotes originários de um host confiável.

• Os principais e mais largamente utilizados tipos de spoofing são:

• IP Spoofing;

• ARP Spoofing;

• DNS Spoofing.

Spoofing


• Técnica na qual o endereço real do atacante é mascarado, de modo a evitar que ele seja encontrado.

• Muito utilizada em tentativas de acesso a sistemas nos quais a autenticação tem como base endereços IP.

• Também muito utilizada em ataques do tipo DoS, em que pacotes de resposta não são necessários.

• Uma organização pode proteger sua rede contra o IP spoofing de endereços da rede interna pela aplicação de filtros (firewall), de acordo com as interfaces de rede.

IP Spoofing


• Consiste na utilização de mensagens ARP (Request e Reply) para ludibriar as vítimas, fazendo o atacante se passar por um intermediário (man-in-the-middle).

• O ataque pode ter como objetivo a escuta do tráfego que fluiria entre as vítimas, ou simplesmente a realização de um ataque de negação de serviço.

• O primeiro passo do ataque consiste no envenenamento do cache ARP das vítimas (Cache Poisoning).

• O envenenamento é realizado enviando-se um ARP Reply forjado para uma vítima, informando que o endereço IP de outra vítima está associado ao endereço MAC do atacante.

ARP Spoofing


• Uma vez realizado o envenenamento da ARP cache, todo os dados que a vítima tente transmitir para o endereço IP informado no ARP Reply forjado, será encaminhado para o atacante.

• Como as entradas na ARP cache expiram após um certo tempo (variável com a implementação), faz-se necessário que pacotes sejam periodicamente enviados para as vítimas de modo a manter o envenenamento.

• Mesmo que o processo de resolução de endereços guarde estados, ainda é possível implementar o ataque forçando as vítimas a enviarem ARP Requests.

ARP Spoofing


ARP Spoofing


• Os ataques podem ser:

• unidirecionais – ARP Reply forjado enviado somente para uma das vítimas;

• bidirecionais – ambas as vítimas têm a cache ARP alterada por pacotes forjados.

• Trata-se de um tipo de ataque que funciona perfeitamente em redes com switch devido ao fato de ser um ataque ativo, forçando as vítimas e enviarem os dados para o endereço MAC do atacante.

ARP Spoofing


• Esta técnica é muito simples e não requer grandes conhecimentos do TCP/IP.

• Consiste em se alterar as tabelas de mapeamento de host name – IP address dos servidores DNS, de maneira que os servidores, ao serem perguntados pelos seus clientes sobre um hostname qualquer, informam o IP errado, ou seja, o do host que está aplicando o DNS spoofing.

DNS Spoofing


Exercícios5. [84](Analista de Controle Externo – Auditoria de Tecnologia da Informação – TCE-CE/2008 – FCC) Spoofing e Sniffing são, respectivamente,

(A) uma característica de algoritmo de chave pública e uma forma de espionagem.

(B) um método biométrico e um método de criptografia assimétrica.

(C) um tipo de ataque de falsificação de IP e uma forma de espionagem.

(D) um método biométrico e um tipo de ataque de falsificação de IP.

(E) uma característica de algoritmo de chave privada e um método biométrico.


Exercícios6. [40](Analista – Área I – BACEN/2006 – FCC) Analise:

I. Os sniffers são programas usados pelos administradores de redes para proteger os computadores sobre o que entra e sai pela rede.

II. Os sniffers são programas usados por pessoas mal intencionadas para tentar descobrir e roubar informações da rede.

III. Para utilizar um sniffer é dispensável que esteja no mesmo segmento de rede que os dados que se pretende capturar.

IV. O Ethereal é um poderoso sniffer.

É correto o que consta em

(A) I, II, III e IV.

(B) I, III e IV, somente.

(C) I, II e III, somente.

(D) I, II e IV, somente.

(E) II, III e IV, somente.


Exercícios

7. [54] (Analista de Sistemas Júnior – TERMOAÇU/2008 – CESGRANRIO) Qual das técnicas abaixo permite a realização de uma captura de pacotes (sniffer), mesmo em redes segmentadas com dispositivos do tipo switch?

(A) IP Spoofing

(B) War Dialing

(C) ARP Spoofing

(D) DNS Spoofing

(E) Denial of Service


Exercícios8. [22](Analista – Área 1 – BACEN/2010 – CESGRANRIO) O presidente de uma grande empresa acessa a Internet, em seu trabalho, a partir de uma estação que possui sistema operacional Windows. Considerando-se que um usuário malicioso conseguiu conectar-se ao mesmo switch e VLAN do presidente, o(a)

(A) usuário malicioso pode colocar sua placa de rede em modo promíscuo, para capturar todo o tráfego da sub-rede.

(B) mecanismo de VLAN impede que o usuário malicioso descubra o endereço MAC da estação do presidente.

(C) switch, em oposição ao hub, não permite que as conexões TCP do Windows sejam sequestradas.

(D) sequestro de conexões HTTPS é possível sem que o presidente seja alertado em seu navegador, Firefox, por exemplo.

(E) estação do presidente está sujeita a ataques de ARP Spoofing, mesmo estando conectada a um switch.


Exercícios

9. (Analista Judiciário – Informática – STJ/2008 - CESPE) Com respeito a vulnerabilidades e ataques a sistemas computacionais, julgue o item que se segue.

1 [109] Em redes IP que utilizam switches, pode-se realizar a escuta do tráfego com o ARP spoofing.

10. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 - CESPE) No referente a segurança de rede e controle de acesso, julgue os itens que se seguem.

1 [67] A restrição na capacidade de aprendizado de endereços nas portas de um switch é suficiente para evitar o ARP spoofing.

11. (Analista de Saneamento – Analista de Tecnologia da Informação – Rede – EMBASA/2010 – CESPE) Acerca dos ataques a redes de computadores, julgue os itens que se seguem.

1 [102] O ataque de MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub.

2 [103] O ARP spoofing é um ataque do tipo man-in-the-middle. Ele e o MAC flooding são evitados pela filtragem de endereços MAC nas portas de um switch.


Exercícios12. (Analista Judiciário – Análise de Suporte – TJ-ES/2011 – CESPE) Com

relação a procedimentos de segurança da informação, julgue os itens subsequentes.

1. [91] IPSpoofing é uma técnica utilizada para mascarar pacotes IP por meio de endereços errados, a fim de que não seja possível identificar o endereço IP e para que não se permita a identificação do invasor.

13. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE) Acerca da identificação de códigos maliciosos e de técnicas de phishing e spam, julgue os próximos itens.

1. [96] A tecnologia denominada SPF (sender policy framework) evita a falsificação de emails.


• Código malicioso ou Malware (Malicious Software) – termo que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.

• Exemplos:

• vírus;

• worms;

• backdoors;

• cavalos de tróia;

• keyloggers;

• rootkits.

Códigos Maliciosos (Malwares)


• Classificações:

• dependência de hospedeiro:

• dependentes (vírus, bombas lógicas e backdoors);

• independentes (worms e zumbis).

• replicação:

• não se replicam (bombas lógicas, backdoors e zumbis);

• se replicam (vírus e worms).

Códigos Maliciosos (Malwares)


• Vírus – programa ou parte de programa que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

• O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.

Vírus


• Tipos mais comuns de vírus:

• vírus parasitas – a forma mais tradicional e comum de vírus, que utilizam arquivos executáveis como hospedeiros, inserindo, logo no início desses arquivos instruções de desvios para o código do vírus e, após a infecção de outros arquivos, o vírus retorna o controle para o programa hospedeiro, que é executado como se nada de errado estivesse acontecendo;

• vírus de setor de boot – infecta um registro mestre de inicialização ou registro de inicialização e se espalha quando um sistema é inicializado a partir do disco contento o vírus;

• vírus residente na memória – aloja-se na memória principal como parte de um programa residente no sistema, passando a infectar todo programa executado;

Vírus


• vírus camuflados – suprime as mensagens de erro que normalmente aparecem quando ocorrem tentativas de execução de atividades não autorizadas, podendo inclusive utilizarem criptografia para dificultarem sua identificação pelos antivírus;

• vírus polimórfico – projetados para alterarem seu tamanho e aparência cada vez que infectam um novo programa;

• vírus metamórfico – muda a cada infecção como os polimórficos, mas se reescrevem completamente a cada iteração e podem mudar também seu comportamento, além de sua aparência;

Vírus


• vírus de macro – modalidade que se aproveita da presença de macros em documentos para infectá-los, sendo também caracterizados como multiplataforma dada essa característica;

• vírus de e-mail – normalmente é recebido como um arquivo anexado a uma mensagem de correio eletrônico, onde o conteúdo dessa mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado, permitindo a propagação dele por meio da lista de endereços de e-mail.

Vírus


Exercícios14. [22](Analista – Área I – BACEN/2006 – FCC) Um código malicioso que se altera em tamanho e aparência cada vez que infecta um novo programa é um vírus do tipo

(A) de boot.

(B) de macro.

(C) parasita.

(D) camuflado.

(E) polimórfico.


Exercícios15. [54](Agente da Fiscalização Financeira – Sistemas – TCE-SP/2003 – FCC) Os vírus de macro são pequenos programas que infectam os computadores através dos

(A) drivers de dispositivos.

(B))arquivos de dados.

(C) arquivos executáveis, com extensão .EXE.

(D) arquivos executáveis, com extensão .COM.

(E) arquivos executáveis, com extensão .EXE e .COM.


Exercícios

16. [91](Agente de Fiscalização Financeira – Suporte Técnico e Informática – TCE-SP/2003 – FCC) Um dos grandes problemas do vírus de macro é processar em qualquer sistema operacional, ou seja, é um programa

(A) online.

(B) distribuído.

(C))multiplataforma.

(D) multiusuário.

(E) worm.


Exercícios

17. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 – CESPE) Acerca de segurança em redes, julgue os itens seguintes.

1 [84] Atualmente, a maioria dos vírus ainda é detectada por meio de assinaturas. A pesquisa por assinatura é variável conforme o antivírus. Dá-se o nome de falso positivo a um alarme falso gerado pelo antivírus, isto é, quando um erro na lista de definição faz que o programa marque arquivos limpos e seguros como infectados.

2 [117] Um vírus metamórfico faz mutação a cada infecção, podendo tanto mudar de comportamento quanto de aparência.

18. (Tecnologista Jr – MCT/2008 – CESPE) Julgue o item abaixo, acerca de segurança dos sistemas de informação computacional e das redes de comunicação.

1 [105] Um vírus de macrocomandos de uma aplicação, como, por exemplo, um editor de textos, é independente da plataforma computacional e dos sistemas operacionais.


Exercícios

19. (Analista de C&T – MCT/2008 – CESPE) Julgue os itens seguintes.

1 [76] Na fase latente ou dormente, um vírus de computador encontra-se quieto, mas pronto a ser ativado por algum evento.

2 [77] Do ponto de vista estrutural, o programa hospedeiro de um vírus de computador contém adicionado ao seu código executável pelo menos uma parte do código executável do próprio vírus.

20. (Analista – Suporte Técnico – SERPRO/2010 – CESPE) Em relação à segurança da informação, julgue o seguinte item

1 [105] Com o uso de tecnologia heurística, alguns antivírus são capazes de detectar um vírus ainda desconhecido, por meio de sua ação no sistema do usuário.

21. (Oficial Técnico de Inteligência – Suporte a Rede de Dados – ABIN/2010 – CESPE) Julgue o item.

1. [115] Os scanners heurísticos, programas de combate a códigos maliciosos, dependem da assinatura específica de um vírus, que deve ser combinada com regras heurísticas para a detecção de provável infecção por vírus.


• Worm – programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.

• Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.

• Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.

Worm


• Geralmente, o worm não tem como conseqüência os mesmos danos gerados por um vírus, como por exemplo a infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente uma ameaça à segurança de um computador, ou que não cause qualquer tipo de dano.

• Worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.

Worm


22. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue os próximos itens.

1. [89] Um worm pode realizar diversas funções maliciosas, como a instalação de keyloggers ou screenloggers, o furto de senhas e outras informações sensíveis, como números de cartões de crédito, a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alteração ou destruição de arquivos.

2. [90] O worm costuma ser apenas um único arquivo que necessita ser executado para que infecte o computador destinatário e, de modo distinto do vírus ou do cavalo de troia, não costuma infectar outros arquivos e nem propagar, automaticamente, cópias de si mesmo.

Exercícios


• Bactéria – programa que gera cópias de si mesmo com o intuito de sobrecarregar um sistema de computador. São programas que não causam explicitamente danos aos arquivos. Seu único propósito é a replicação, que ocorre de forma exponencial. Eventualmente, podem assumir toda a capacidade do processador, da memória ou do espaço em disco, impedindo o acesso de usuários autorizados a esses recursos.

• Bomba Lógica – ameaça programada, camuflada em programas, que é ativada quando certas condições satisfeitas. Permanecem dormentes, ou inativas, em softwares de uso comum por um longo período até que sejam ativadas. Quando isso acontece, executam funções que alteram o comportamento do software “hospedeiro”.

Bactéria e Bomba Lógica


23. (Analista em C&T Pleno – Segurança de Sistemas de Informação – MCT/2008 – CESPE) Acerca das diversas ameaças, vulnerabilidades e formas de ataque contra a segurança da informação, bem como das medidas técnicas e protocolos de proteção dos sistemas de informação, julgue o item seguinte.

1. [72] Uma bomba lógica é um tipo de arquivo de dados que, ao ser acessado por um programa, resulta na expansão rápida do espaço de memória desse programa até lhe causar danos que podem se estender a outros programas e ao próprio sistema operacional.

Exercícios


Cavalo de Troia


• Cavalo de troia (trojan horse) – programa, normalmente recebido como um "presente" (um cartão virtual, um álbum de fotos, um protetor de tela, um jogo, etc), que além de executar funções para as quais foi aparentemente projetado, executa outras normalmente maliciosas e sem o conhecimento do usuário.

• Algumas das funções maliciosas que podem ser executadas por um cavalo de troia são:• instalação de keyloggers ou screenloggers; • furto de senhas e outras informações sensíveis,

como números de cartões de crédito;• inclusão de backdoors, para permitir que um

atacante tenha total controle sobre o computador;• alteração ou destruição de arquivos.

Cavalo de Troia


• Por definição, o cavalo de troia distingue-se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente.

• Podem existir casos onde um cavalo de troia contenha um vírus ou worm, mas mesmo nestes casos é possível distinguir as ações realizadas como conseqüência da execução do cavalo de tróia propriamente dito, daquelas relacionadas ao comportamento de um vírus ou worm.

Cavalo de Troia


Exercícios

24. (Técnico Científico – Banco da Amazônia/2006 - CESPE) Julgue o item.

1 [109] Um trojan é um programa não-autorizado, embutido dentro de um programa legítimo, que executa funções desconhecidas e, provavelmente, indesejáveis. O programa alvo realiza a função desejada, mas, devido à existência de código não-autorizado dentro dele, também executa funções desconhecidas.

25. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) julgue o item.

1. [87] O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.

26. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE) Julgue o próximo item.

1. [94] Em computador infectado com um código malicioso conhecido como cavalo de troia (trojan), não são disponibilizadas portas para acessos de outros computadores.


• Adware (Advertising software) – tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

• São normalmente incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para quem desenvolve software livre ou presta serviços gratuitos. Exemplo: versão gratuita do Opera.

• Spyware – termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

Adware e Spyware


Exercícios

27. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Julgue o próximo item.

1. [86] Um adware difere de um spyware pela intenção. O primeiro é projetado para monitorar atividades de um sistema e enviar informações coletadas para terceiros, e o segundo é projetado especificamente para apresentar propagandas.

28. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 – CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [97] Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à confidencialidade das informações acessadas no sistema infectado. Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.


• Backdoor – programa que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

• É comum um atacante procurar garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na invasão.

• Na maioria dos casos, também é intenção do atacante poder retornar sem ser notado.

Backdoors


• A existência de um backdoor não depende necessariamente de uma invasão.

• Alguns dos casos onde não há associação com uma invasão são:

• instalação através de um cavalo de tróia;

• inclusão como conseqüência da instalação e má configuração de um programa de administração remota;

• alguns fabricantes incluem/incluíam backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas.

Backdoors


Exercícios29. [58](Técnico Judiciário – Tecnologia da Informação – TRT-3R/2009 – FCC) Em relação à backdoors é correto afirmar:

(A) A existência de um backdoor está, sempre, associada à invasão de um computador.

(B) Podem ser incluídos no computador por intermédio da instalação de um pacote de software, tal como o NetBus, da plataforma Windows.

(C) Podem ser inseridos por um invasor apenas em plataformas Windows.

(D) Backdoors são instalados exclusivamente em sistemas operacionais Linux.

(E) Podem ser descobertos e destruídos por softwares antivírus.


30. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores, julgue o item.

1. [78] Backdoor consiste em uma falha de segurança que pode existir em um programa de computador ou sistema operacional. Essa falha permite que sejam instalados vírus de computador ou outros programas maliciosos, conhecidos como malware, utilizando-se exclusivamente de serviços executados em background.

31. (Analista Judiciário – Análise de Suporte – TJ-ES/2011 – CESPE) Com relação a procedimentos de segurança da informação, julgue os itens subsequentes.

1. [92] Um spyware consiste em uma falha de segurança intencional, gravada no computador ou no sistema operacional, a fim de permitir a um cracker obter acesso ilegal e controle da máquina.

Exercícios


• Keylogger – programa capaz de capturar e armazenar a informação das teclas digitadas pelo usuário em um computador.

• Dentre as informações capturadas podem estar um texto de e-mail, dados da declaração de imposto de renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito.

• Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site específico de comércio eletrônico ou Internet Banking.

Keyloggers


Exercícios32. [73](Analista do Ministério Público – Análise de Sistemas – MPE-SE/2009 – FCC) É uma forma fraudulenta de obtenção de senhas informadas pelos usuários em teclados virtuais exibidos nas páginas de acesso de instituições financeiras:

(A) opt-in.

(B) rootkit.

(C) proxy.

(D) keylogger.

(E) screenlogger.


Exercícios33. [58](Análise de Sistemas – Suporte – BNDES/2010 – CESGRANRIO) Um usuário instalou, em determinada livraria que oferece acesso público à Internet por meio de computadores Windows, um keylogger em um dos computadores. Isso significa que

(A) foi realizado pelo usuário, previamente, um DDoS contra o servidor da livraria.

(B) foi necessário ter controle, previamente, do servidor DNS da livraria.

(C) estarão comprometidas as comunicações SSL de todos os computadores dessa livraria.

(D) estarão comprometidas as senhas digitadas por usuários nesse computador.

(E) serão extraídas as chaves privadas de tokens USB criptográficos, quando inseridos nesse computador.


Exercícios34. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010

– CESPE) Quanto à segurança em rede de computadores, julgue o item.

1 [79] Keylogger é um programa de computador do tipo spyware cuja finalidade é monitorar tudo o que for digitado, a fim de descobrir senhas de banco, números de cartão de crédito e afins. Alguns casos de phishing e determinados tipos de fraudes virtuais baseiam-se no uso de keylogger.


• Bot – programa capaz se propagar automaticamente (modo similar ao worm), explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador.

• Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.

• Botnets – redes formadas por computadores infectados com bots, que podem ser compostas por centenas ou milhares de computadores.

• Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço, etc.

Bots e Botnets


Exercícios35. [72](Analista do Ministério Público – Análise de Sistemas – MPE-SE/2009 – FCC) É um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais são as características do

(A) Adware.

(B) Patch.

(C) Opt-out.

(D) Bot.

(E) Log.


Exercícios

36. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE) Julgue o próximo item acerca dos conceitos de segurança da informação.

1 [153] São características típicas dos malwares: cavalos de tróia aparentam realizar atividades úteis; adwares obtêm e transmitem informações privadas do usuário; backdoors estabelecem conexões para fora da rede onde se encontram; worms modificam o código de uma aplicação para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto.


• Rootkit – conjunto de programas que fornece mecanismos para que um invasor possa esconder e assegurar a sua presença no computador comprometido.

• O nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) a um computador, mas sim para mantê-lo.

• O invasor, após instalar o rootkit, terá acesso privilegiado sem precisar recorrer novamente aos métodos utilizados na invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.

Rootkits


• Um rootkit pode fornecer ferramentas com as mais diversas funcionalidades, podendo ser citados:

• programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;

• backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits);

• programas para remoção de evidências em arquivos de logs;

Rootkits


• (Cont.):

• sniffers, para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, sem qualquer proteção de criptografia;

• scanners, para mapear potenciais vulnerabilidades em outros computadores;

• outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc.

Rootkits


Exercícios

37. [44] (Analista de Sistemas Júnior – Infraestrutura – PETROBRAS/2008 – CESGRANRIO) Um administrador de rede percebeu que um dos componentes de software do kernel do seu servidor Web está apresentando um comportamento estranho. Após realizar um checksum no componente ele percebeu que o teste falhou e que a solução para o problema seria reinstalar todo o sistema operacional, pois, outros componentes do kernel também apresentaram o mesmo problema. Com base neste teste, conclui-se que o servidor sofreu um ataque do tipo

(A) spyware.

(B) rootkit.

(C) spoofing.

(D) adware.

(E) keylog.


• Negação de Serviço (Denial of Service - DoS) – o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet.

• Exemplos deste tipo de ataque são:

• gerar uma sobrecarga no processamento de um computador, de modo que o usuário não consiga utilizá-lo;

• gerar um grande tráfego de dados para uma rede, ocasionando a indisponibilidade dela;

• Indisponibilizar serviços importantes de um provedor, impossibilitando o acesso de seus usuários.

Negação de Serviço (DoS)


• DDoS (Distributed Denial of Service) – ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.

• Normalmente, procuram ocupar toda a banda disponível para o acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com este computador ou rede.

• Um exemplo de ataque DDoS ocorreu no início de 2000, onde computadores de várias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de empresas de comércio eletrônico.

DDoS


Exercícios38. [29](Analista Judiciário – Tecnologia da Informação – TRT-15R/2009 – FCC) O impedimento do acesso autorizado aos recursos ou o retardamento de operações críticas por um certo período de tempo é um tipo de ataque denominado

(A) engenharia social.

(B) trojan horse.

(C) denial of service.

(D) backdoor.

(E) rootkit.


Exercícios39. [30](Analista – Área I – BACEN/2006 – FCC) Uma DoS ou Denial of Service pode ser provocada por programas maliciosos do tipo

(A) spoofing.

(B) spyware.

(C) worm.

(D) back door.

(E) trojan horse.


Exercícios40. [62](Análise de Sistemas – Suporte – BNDES/2010 – CESGRANRIO) Um conjunto de computadores está sendo utilizado para tirar de operação um serviço de determinado órgão público. Essa situação configura o ataque do tipo

(A) Replay.

(B) SQL Injection.

(C) XSS.

(D) Buffer Overflow.

(E) DDoS.


Exercícios41. [55](Análise de Sistemas – Suporte – IBGE/2010 – CESGRANRIO) Os hackers possuem diversas formas de ataques contra as redes de computadores. Sobre os ataques gerados por hackers, é correto afirmar que

(A) IP Spamming é uma técnica de disseminação de vírus na rede mundial de computadores por meio de tecnologia de voz sobre IP.

(B) MAC Flooding é uma técnica empregada para comprometer a segurança da rede de switches, e, como resultado deste ataque, o switch fica em um estado chamado mode de falha aberta.

(C) Ataque Smurf é uma técnica destinada a quebrar senhas e códigos criptografados que estejam armazenados no computador da vítima.

(D) Ataque Sniffer é uma técnica de negação de serviços no qual o hacker envia uma rápida sequência de solicitações ping para um endereço de broadcast.

(E) Scamming é uma técnica na qual o hacker fica monitorando o tráfego da porta 80 do seu alvo, antes de realizar o ataque.


Exercícios

42. [41] (Analista de Sistemas Júnior – Infraestrutura – PETROBRAS/2008 – CESGRANRIO) A técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por vários componentes que se complementam para formar um quadro de segurança completo. Um dos principais componentes é o firewall com estado que, diferente do filtro de pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estações localizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK?

(A) Distributed Reflexion Denial of Service (DRDoS)

(B) Distributed Denial of Service (DDoS)

(C) Smurf

(D) Nuke

(E) Teardrop


43. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Julgue os itens abaixo.

1. [82] Um ataque de negação de serviço (DoS) não é uma invasão do sistema e objetiva tornar os recursos de um sistema indisponíveis para seus utilizadores. O ataque tenta indisponibilizar páginas hospedadas em servidores web e produz como efeito uma invalidação por sobrecarga.

2. [84] No ping flood, o atacante sobrecarrega o sistema vítima com pactos ICMP echo request (pacotes ping). Para o ataque ser bem sucedido, o atacante deve possuir maior largura de banda que a vítima, que, ao tentar responder aos pedidos, irá consumir a sua própria largura de banda, impossibilitando-a de responder a pedidos de outros utilizadores. Uma das formas de prevenir esse tipo de ataque é limitar o tráfego de pacotes ICMP echo request.

3. [85] No syn flood ou ataque syn, o atacante envia uma sequência de requisições syn para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI.

Exercícios


44. (Analista Judiciário – Análise de Sistemas – STM/2011 – CESPE) Com relação aos ataques e aos dispositivos de segurança, julgue os itens subsequentes.

1. [116] A filtragem de tráfego egresso e ingressante é uma das medidas aplicáveis na proteção a ataques de negação de serviço, distribuídos ou não, como o syn flooding e o icmp flooding.

45. (Analista de Controle Externo – Auditoria de TI – TCU/2007 – CESPE) Julgue o próximo item acerca dos conceitos de segurança da informação.

1 [157] A detecção, por um sniffer de rede, de uma longa série de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob análise pode estar sofrendo um ataque de negação de serviço.

Exercícios


46. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE) Acerca de segurança em redes, julgue o item abaixo.

1 [118] Em um ataque negação de serviço por refletor — reflector distributed denial of service (DDoS) — entidades escravas do atacante constroem pacotes que requerem respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do ataque.

47. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008 - CESPE) Julgue o item abaixo, relativo à segurança da informação.

1 [175] Para confirmar a suspeita de que a indisponibilidade apresentada por um host da rede de computadores de uma organização está sendo causada por um ataque do tipo smurf, o administrador deverá verificar se há um grande número de pacotes ICMP (Internet control message protocol) do tipo request originados de vários computadores pertencentes a uma mesma rede e direcionados a este host.

Exercícios


Mecanismos de Proteção

Prof. M.Sc. Gleyson [email protected]



• Firewall• IDS

• IPS• VPN

• IPSec

Roteiro


• Definições:

• É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas.

• É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará.

• É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.

Firewall


Firewall – Definição

Ponto Único

Um ou mais componentes

• Controle

• Autenticação

• Registro de Tráfego

Rede 1Rede 1 Rede 2


• Existem coisas que o firewall NÃO PODE proteger:

• do uso malicioso dos serviços que ele é autorizado a liberar;

• dos usuários que não passam por ele, ou seja, não verifica o fluxo intra-redes;

• dos ataques de engenharia social;

• das falhas de seu próprio hardware e sistema operacional.

Firewall


• Classificação:

• filtro de pacotes;

• filtro de pacotes baseado em estados ou filtro de estado das conexões (stateful);

• proxy de serviços ou gateway de aplicação.

Firewall – Classificação

Roteadores – Listas de Controle de Acesso (ACL’s)

Filtros de Pacotes

Filtros de Pacotes baseado em Estados

Firewall ProxyEvolução das

tecnologias

de Firewall


• Funcionalidades:• filtros;• proxies;• bastion hosts;• Zonas Desmilitarizadas (DMZ);• NAT;• VPN• autenticação;• balanceamento de carga;• alta disponibilidade.

Firewall – Funcionalidades


• Existem dois tipos de modelo de acesso, ou política padrão, que podem ser aplicados ao firewall:

• tudo é permitido, exceto o que for expressamente proibido;

• tudo é proibido, exceto o que for expressamente permitido.

Firewall – Política Padrão


Exercícios48. [27](Analista Judiciário – Análise de Sistemas – TRE-RS/2010 – FCC) Um equipamento de rede ou um software rodando em um servidor que tem por objetivo filtrar os dados que vêm da Internet para a rede interna e vice-versa, fazendo com que a empresa ou o usuário tenha todo o controle. Trata-se da definição de

(A) Placa de rede.

(B) Firewall.

(C) Worms.

(D) Spyware.

(E) Adware.


49. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue os próximos itens.

1 [120] Um firewall é considerado uma boa proteção para ataques que envolvem colusões entre usuários internos da rede protegida e atacantes externos, pois o firewall tem a possibilidade de bloquear as comunicações entre eles.

50. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 - CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados.

Exercícios


• É um dos métodos mais antigos e amplamente disponíveis de controlar o acesso a redes.

• Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e também como um recurso da maioria dos roteadores.

• Os filtros de pacotes protegem todo o tráfego entre redes verificando apenas parâmetros da camada de rede e de transporte TCP/IP.

Firewall – Filtro de Pacotes


• Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de roteamento, verifica as seguintes informações dos pacotes:

• endereços IP de origem e de destino;

• tipo de protocolo – TCP, UDP e ICMP;

• portas de origem e de destino;

• flags IP e TCP;

• tipos de mensagens ICMP;

• tamanho do pacote.



• A principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de filtragem estará restrita a verificar somente informações básicas do cabeçalho do pacote.

• Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso.

• A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das conexões, sendo necessário criar várias linhas de filtragem para se implementar uma única regra.



• Por exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente.

• Sintaxe:

• Política [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ].



Regras de Fitragem de Pacotes:ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4 DP=80ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL

SA - Source AddressSP - Source PortDA - Destination AddressSA - Source Address

Firewall

10.2.3.2

Cliente

192.168.1.4

Servidor Web



• Vantagens:

• barato, simples e flexível;

• alto desempenho da rede;

• transparente para o usuário.

• Desvantagens:

• permite a conexão direta para hosts internos de clientes externos,

• difícil de gerenciar em ambientes complexos;

• não oferece autenticação de usuários.



Exercícios51. [72](Analista Legislativo – Informática Legislativa – CÂMARA DOS DEPUTADOS/2007 – FCC) A filtragem de pacotes pelos endereços IP, colocada no ponto de entrada da rede, NÃO possibilita

(A) controlar acesso somente para algumas máquinas.

(B) dificultar tentativas de DoS.

(C) proibir tentativas de spoofing.

(D) bloquear o tráfego de alguns pontos.

(E) bloquear totalmente um protocolo.


Exercícios52. [23](Analista – Área I – BACEN/2006 – FCC) Um firewall de filtragem de pacotes

(A) está vulnerável ao IP spoofing.

(B) é dependente das aplicações.

(C) apresenta um bom nível de segurança.

(D) efetua verificações somente na camada de aplicação.

(E) efetua verificações em todas as camadas.


53. [16] (Analista de Nível Superior – Banco de Dados – Casa da Moeda/2009 – CESGRANRIO) O servidor de banco de dados corporativo de uma empresa está isolado por meio de um firewall do tipo filtro de pacotes. Com base nessa informação, analise as afirmativas a seguir.

I – Tal isolamento é efetivo na proteção de ataques do tipo SQL Injection.

II – É possível bloquear o acesso de uma única estação ao banco de dados.

III – Consultas SQL excessivamente longas podem ser bloqueadas no firewall.

Está(ão) correta(s) a(s) afirmativa(s)

(A) I, apenas.

(B) II, apenas.

(C) III, apenas.

(D) II e III, apenas.

(E) I, II e III.

Exercícios


54. [61] (Análise de Sistemas – Suporte – BNDES/2010 – CESGRANRIO) Um órgão público deseja instalar um firewall do tipo filtro de pacotes no link de dados com outro órgão. Com base nessa situação, analise as funcionalidades a seguir.

I – Bloqueio de pacotes ICMP

II – Liberação de tráfego TCP somente na porta 80

III – Bloqueio de tráfego UDP nas portas 25 e 53

É possível aplicar, com esse tipo de filtro, a(s) funcionalidade(s)

(A) I, apenas.

(B) II, apenas.

(C) III, apenas.


(E) I, II e III.

Exercícios


55. [60] (Análise de Sistemas – Infraestrutura – ELETROBRAS/2010 – CESGRANRIO) O presidente de uma empresa reclama com o diretor de TI a respeito do recebimento de muitos e-mails indesejados, principalmente sobre oferta de produtos não solicitados. O diretor de TI pede uma solução à sua equipe que aponta ser necessário

(A) bloquear o endereço IP remetente do e-mail no firewall externo ou roteador de borda.

(B) bloquear o campo remetente (RFC 822) do e-mail no próprio servidor SMTP.

(C) treinar uma rede neural com segmentos TCP para aprendizagem de classificação de SPAM.

(D) utilizar filtros bayesianos como mecanismo de redução de e-mails indesejados.

(E) eliminar os segmentos TCP que não sofreram confirmação de recebimento no roteador de borda.

Exercícios


Exercícios56. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE) Julgue

o item seguinte.

1. [92] As ferramentas de firewall conhecidas como filtro de pacotes trabalham na camada de transporte e de rede do protocolo TCP/IP e tratam os protocolos TCP e UDP e as portas de acesso aos serviços.

57. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores, julgue o item.

1 [72] Uma rede interna pode ser protegida contra o IP spoofing por meio da aplicação de filtros; como exemplo, se a rede tem endereços do tipo 100.200.200.0, então o firewall deve bloquear tentativas de conexão originadas externamente, caso a origem tenha endereços de rede do tipo 100.200.200.0.

58. (Analista de Informações – ABIN/2004 – CESPE) Julgue o item seguinte.

1 [102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna.


• O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto filtra os pacotes.

• Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com a inteligência adicional do protocolo.

• Este tipo de firewall examina predominantemente as informações das camadas IP e de transporte de um pacote que inicia uma conexão.

• Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada é acrescentada em uma tabela de estados.

Firewall – Filtro de Conexões


• Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção.

• Em tese, este método aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados até a camada de transporte.

• Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de manipular os estados da conexão, poderá haver queda de desempenho do equipamento.



• Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de cada conexão que passa por ele.

• Isto é possível com a implementação de uma tabela de estados em que o firewall mantém o relacionamento entre endereços IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP.

• Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão.



• Estado é a condição de pertencer a uma determinada sessão de comunicação.

• A definição desta condição vai depender da aplicação com a qual as partes estão se comunicando e dos protocolos que as partes estão utilizando.

• Os protocolos de transporte podem ter o estado de sua conexão rastreado de várias formas.



• Muitos dos atributos que compõem uma sessão de comunicação, inclusive os pares de endereço IP, portas de origem e de destino, números de sequência e flags, podem ser utilizados como identificação de uma conexão individual.

• A combinação dessas partes de informação normalmente é mantida como um hash (resumo) em uma tabela de estado, para facilitar a comparação.




ACCEPT TCP SA=10.4.3.0/24 DA=192.168.1.4 DP=80


• TCP: como é um protocolo baseado em conexão, o estado de suas sessões de comunicação pode ser solidamente definido através de sua Máquina de Estados Finitos (modelo que define todos os estados possíveis do protocolo TCP).

• A conexão TCP pode assumir 11 estados diferentes (conforme RFC 793).

• Apesar da desconexão TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informações de conexões inexistentes, é comum a utilização de contadores de tempo para cada conexão.



• UDP: é um protocolo de transporte sem conexão, o que dificulta o acompanhamento de seu estado.

• Na realidade, um protocolo sem conexão não possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado através do registro de itens do UDP que estejam relacionados a uma determinada sessão de comunicação.

• Como o UDP não possui números de sequência ou flags, os únicos itens que podem servir como base são os pares de endereço IP e a porta de serviço dos dois pontos envolvidos na comunicação.



• ICMP: assim como o UDP, o ICMP não possui estado, contudo, também como o UDP, ele dispõe de atributos que permitem que suas conexões sejam acompanhadas de um modo com pseudo-estado.

• A parte mais complicada do acompanhamento do ICMP envolve suas comunicações unidirecionais.

• O protocolo ICMP normalmente é utilizado para retornar mensagens de erro quando um host ou protocolo não pode fazer isso por conta própria, no que pode ser descrito como uma mensagem de resposta.



• As mensagens do tipo resposta do ICMP são precipitadas por solicitações de outros protocolos (TCP, UDP).

• Devido a essa questão de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado.

• A outra maneira de se utilizar o ICMP é através do seu próprio mecanismo de pedido/resposta, como por exemplo, o ping onde são utilizadas as mensagens de echo-request e echo-replay.



• Vantagens:• alto desempenho da rede;• aceita quase todos os tipos serviços;• transparente para o usuário.

• Desvantagens:• permite a conexão direta para hosts internos de

clientes externos,• não oferece autenticação de usuários.



59. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir.

1 [116] A filtragem de pacotes sem estado baseia-se na inspeção das informações de cabeçalho para determinar se um pacote pode ou não ser aceito ou transmitido.

2 [117] A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes, o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem.

60. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a firewalls, julgue os itens de 68 a 70.

1 [68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao lidar com pacotes fragmentados.

2 [69] Firewalls que realizam a inspeção de estado normalmente são menos eficazes e seguros que firewalls baseados em filtragem de pacotes.

3 [70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar a inspeção.

Exercícios


61. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de segurança de redes de computadores, julgue os itens subsequentes.

1. [99] A inspeção de estados visa determinar se um pacote pode entrar ou sair de uma rede, tendo por base a verificação de informações localizadas no cabeçalho do pacote.

2. [100] Tanto na filtragem quanto na inspeção que se baseiam em estado, a informação de estado é mantida em uma tabela até que a conexão se encerre (como no tráfego TCP) ou ao atingir um limite de tempo (como no caso de tráfego TCP, UDP e ICMP).


1. [95] O denominado firewall de estado é um tipo de firewall mais simples que atua na camada de rede (camada 3), para filtrar tráfego a partir de endereços IP de origem e destino e a partir da porta TCP ou UDP.

Exercícios


• Em geral, um proxy (procurador) é algo ou alguém que faz algo em nome de outra pessoa.

• Os serviços proxy são programas aplicativos ou servidores especializados que recebem as solicitações dos usuários e as encaminha para os respectivos servidores reais.

• Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o cliente é o proxy.

• Seu princípio básico de funcionamento está no fato de que este tipo de firewall não permite a conexão direta entre as entidades finais da comunicação.

Firewall – Proxy de Serviços


• Na figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o Proxy do Serviço HTTP.

• Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.

• O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.



• Neste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos datagramas IP.

• Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois as duas redes conectadas ao proxy não são visíveis entre si.



• Vantagens:

• Não permite conexões diretas entre hosts internos e hosts externos;

• Aceita autenticação do usuário;

• Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes.

• Desvantagens:

• Mais lento do que os filtros de pacotes (somente os gateways de aplicação);

• Requer um proxy específico pra cada aplicação;

• Não trata pacotes ICMP.



• Uma implementação que era bastante comum é a de misturar as funções de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir.

• Não é uma configuração recomendável devido ao alto consumo de recursos de hardware.



Exercícios63. [79](Agente da Fiscalização Financeira – Informática – Redes, Telecom e Segurança – TCE-SP/2010 – FCC) Sobre o uso de servidor proxy, considere:

I. Compartilhar a conexão com a Internet quando existe apenas um IP disponível e exclusivo para cada computador da rede conectado à Web.

II. Melhorar o desempenho do acesso por meio de um cache de páginas, que armazena as páginas mais acessadas para reduzir a necessidade de baixá-las novamente, quando solicitadas.

III. Bloquear acesso a determinadas páginas impróprias ou não desejadas por meio de uma lista de endereços ou palavras que devem ser bloqueadas. Está correto o que consta em

(A) I, apenas.

(B) II, apenas.

(C) I e II, apenas.


(E) I, II e III.


Exercícios64. [80](Agente da Fiscalização Financeira – Informática – Redes, Telecom e Segurança – TCE-SP/2010 – FCC) Um recurso muito útil para evitar que os usuários de computador burlem o proxy, removendo as configurações do browser, obrigando-os a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal. Trata-se do uso de um proxy

(A) transparente.

(B) anônimo.

(C) reverso.

(D) aberto.

(E) fechado.


65. [49] (Engenheiro de Telecomunicações Júnior – PETROBRAS/2010 – CESGRANRIO) Em relação a firewalls, analise as afirmativas abaixo.

I - Firewalls baseados em filtros de pacotes trabalham, tipicamente, com tabelas que são configuradas pelo administrador da rede e listam não só destinos e origens aceitáveis e que são bloqueados, como também regras sobre o que fazer com os pacotes.

II - O bloqueio de pacotes de saída é menos eficiente do que o bloqueio de pacotes de entrada, uma vez que as aplicações para as quais se deseja evitar o envio de pacotes a partir da rede defendida podem estar em portas e endereços não convencionais.

III - O bloqueio dos pacotes de entrada é mais eficiente, uma vez que o administrador pode bloquear as portas e os endereços corretos das aplicações locais.

IV - Um firewall que opera nas aplicações opera mais lentamente do que um firewall que opera com filtro de pacotes, uma vez que, além de consultar os endereços e portas dos pacotes, deve também analisar o conteúdo dos mesmos.

Exercícios


Estão corretas as afirmativas

(A) I e II, apenas.

(B) II e III, apenas.

(C) III e IV, apenas.

(D) I, III e IV, apenas.

(E) I, II, III e IV.

Exercícios


Exercícios66. (Técnico Científico – Tecnologia da Informação – Segurança da Informação

– Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de segurança de redes de computadores, julgue o item subsequente.

1. [96] Um proxy, ao agir no lugar do cliente ou do usuário para prover acesso a um serviço de rede, protege tanto o cliente quanto o servidor de uma conexão direta.

67. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir.

1 [118] Uma proxy media a conexão de um cliente ou usuário para prover acesso a um serviço de rede, o que evita a conexão direta peer-to-peer.

2 [119] Um firewall embasado em proxy tem melhor desempenho (retardo e throughput, por exemplo) quando comparado a um firewall que opera em camadas mais baixas, visto que, como atua no nível da aplicação, pode inspecionar não só as informações de cabeçalho, como também as dos protocolos de aplicação.


Exercícios68. (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias,

dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue o item seguinte.

1 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um servidor mediante a observação da chegada de pacotes IP fragmentados.


• A utilização de firewall para se conectar uma rede à Internet possibilitou uma topologia de acesso interessante e segura.

• Na figura a seguir, tem-se uma rede composta por máquinas clientes, servidores de serviços de Intranet (acessados pelos clientes internos) e servidores de serviços Internet (acessados pela Internet).

Firewall – Zona Desmilitarizada (DMZ)



Firewall


• Na topologia apresentada, deve-se observar o seguinte:

• no mesmo segmento da rede da empresa, há a ocorrência de tráfego local e de tráfego oriundo da Internet;

• caso o servidor de serviços de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poderá se propagar para o restante de rede.

• Conclusão: Deve ser criado um mecanismo que separe a natureza dos dois tipos de tráfego isolando o servidor que recebe os acessos Internet dos demais servidores e máquinas clientes da rede interna da empresa.

• Solução: Criar uma área de rede reservada para a hospedagem dos serviços públicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ).



• Objetivos:

• evitar que a Internet acesse diretamente serviços dentro de uma rede interna;

• separar o tráfego de rede interno do externo;

• ligação de uma rede interna com a Internet ou com uma rede de outra organização.



• Dual-homed host architecture

• Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes.

• Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente.

• Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo.

Firewall – Arquiteturas


• Dual-homed host architecture



• Screened host architecture

• Formada por um filtro de pacotes e um bastion host.

• O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host.

• O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a internet por meio dele.



• Screened host architecture



• Screened subnet architecture

• Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ.

• Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet.

• O bastion host fica na DMZ, que funciona como uma área de confinamento entre a rede interna e a rede externa, posicionada entre dois filtros.



• Screened subnet architecture



Exercícios69. [57](Analista Judiciário – Análise de Sistemas – TRE-AM/2010 – FCC) A segurança de perímetro reside na separação do tráfego entre servidores de redes internas e externas e é reforçada por um firewall, que inspeciona os pacotes e as sessões para determinar o que deve ser transmitido para a rede protegida e/ou a partir dela ou ser descartado. É uma característica

(A) VPN.

(B) DMZ.

(C) CSG.

(D) IPsec.

(E) ATM.


Exercícios70. (Analista Judiciário – Análise de Sistemas – TRE-BA/2010 – CESPE)

Julgue os itens a seguir referentes à administração de redes de dados.

• [48] DMZ (demilitarized zone network) é uma solução de segurança para redes na qual é criada uma rede intermediária entre a rede externa e a rede interna. Assim, não é possível implementar uma DMZ utilizando um único firewall.

71. (Técnico Científico – Tecnologia da Informação – Suporte Técnico – Banco da Amazônia S.A./2009 – CESPE) Quanto a conceitos relacionados a firewall, julgue o item subsequente.

1. [89] Uma zona desmilitarizada (DMZ) é uma porção da rede onde encontram-se, geralmente, os servidores de acesso externo da organização, como por exemplo, WWW e FTP. A DMZ é criada com o intuito de isolar e proteger a rede interna da organização contra acessos externos. Nesse caso, o firewall deixa passar os acessos destinados à DMZ e bloqueia os acessos destinados à rede interna.


Exercícios72. (Analista de Saneamento – Analista de Tecnologia da Informação –

Atuação em Rede – EMBASA/2010 – CESPE) Um firewall tem três interfaces, conectadas da seguinte forma: uma à rede externa; outra à rede interna; e a terceira a uma DMZ. Nessa situação, considerando que o firewall registre todas as suas ações referentes ao exame do tráfego, julgue os itens seguintes.

1. [99] Nessa situação, as regras do firewall devem: permitir acesso da rede externa apenas aos servidores presentes na DMZ; negar acesso do tráfego da rede externa que tenha como origem endereços da rede interna; e negar acesso do tráfego da rede interna que tenha como origem endereços distintos dos utilizados na rede interna.


• Sistemas de Detecção de Intrusos (Intrusion Detection System – IDS) atuam como mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas em redes, à procura de eventos que possam comprometer os ativos de um sistema de informação ou que possam transpor os mecanismos de proteção.

• O princípio de funcionamento de um IDS é baseado na identificação, delimitação e tratamento dos eventos relevantes para o processo de detecção.

• Estes eventos relevantes são selecionados dentro de um conjunto de eventos possíveis de serem observados em um determinado sistema ou em uma rede.

• Um dos grandes desafios dos sistemas de detecção de intrusos é:

• Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.

IDS


• Falso Positivo: IDS gera um alarme de ataque na ocorrência de um evento ou tráfego normal.

• Falso Negativo: IDS não gera alarme na ocorrência de um evento ou tráfego mal intencionado.

• O falso positivo é um evento observável e relevante que é classificado pelo IDS como um evento intrusivo.

• Seu maior problema é a geração de um grande número de alertas, o que dificulta a administração e a análise das informações do IDS.

IDS


• Já no caso dos falsos negativos, estes podem ocorrer tanto em eventos não observáveis como em eventos observáveis e, dentro deste último grupo, também pode estar presente dentro dos eventos relevantes.

• Seu maior problema é justamente o inverso do falso positivo, ou seja, não há registros da ocorrência de falsos negativos no IDS.

IDS


Exercícios73. (Analista de Informações – Código 9 – ABIN/2004 – CESPE) A segurança

da informação é um aspecto fundamental a ser tratado na administração e na operação de sistemas de informação em redes de computadores. Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.

1 [103] Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar uma intrusão que efetivamente ocorreu.


1 [93] IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.


• Quanto ao Método de Detecção, os sistemas de detecção de intrusos são classificados como:

• sistemas de intrusão baseados em anomalias;

• sistemas de detecção baseados em assinatura.

• Quanto à Arquitetura, os sistemas de detecção de intrusos são classificados segundo os critérios localização e alvo.

• Com base na localização, são classificados em: centralizado, hierárquico ou distribuído.

• Com base no alvo, são classificados em:

• sistemas baseados em host;

• sistemas baseados em rede.

IDS - Classificação


• O Sistema de Intrusão Baseado em Anomalia é um método também conhecido como Método Reacionário ou Sistema de Detecção por Comportamento.

• Independente do nome, ele se baseia na análise do comportamento do sistema e na identificação de possíveis desvios, comparando o estado observado a um padrão de comportamento considerado normal.

IDS – Baseado em Anomalia


• As informações a seguir podem ser tomadas como base para identificar o comportamento padrão do sistema/rede e subsidiar na identificação de tráfegos anormais:

• quantidade de tráfego na rede em determinados horários;

• tipos de protocolos que passam na rede e seus prováveis horários;

• carga de processamento da CPU;

• aplicações utilizadas na rede;

• serviços ativos no sistema;

• endereços IP que trafegam pela rede, etc.



• Vantagens:

• possibilita detectar ataques desconhecidos, sendo desnecessária a manutenção de uma base de dados que armazene todos os tipos possíveis de ataques e vulnerabilidades;

• pode ser usado para gerar informações que darão origem a uma assinatura.

• Desvantagens:

• para usar esse método de detecção, é imprescindível que o administrador conheça o comportamento da rede/sistema, o que é muito difícil devido à heterogeneidade e à complexidade desses ambientes.



• Desvantagens:

• devido à dificuldade apresentada no item anterior, esse método leva a um maior número de falsos positivos;

• os relatórios são mais difíceis de serem analisados, não informando dados conclusivos da vulnerabilidade explorada.



• O Sistema de Intrusão Baseado em Assinatura é um método também conhecido como Sistema Preemptivo ou Sistema de Detecção por Abuso.

• Essa técnica busca sequências de ações nitidamente caracterizadas como inválidas, registradas em uma base de dados (assinaturas) que contém o conhecimento acumulado sobre ataques específicos e vulnerabilidades.

IDS – Baseado em Assinaturas


• Vantagens:

• por comparar o tráfego capturado a uma assinatura, o número de falsos positivos é menor, comparado ao método anterior;

• devido ao fato de o número de falsos positivos ser menor, e também porque o alarme gerado pelo IDS irá mostrar a que tipo de ataque o tráfego corresponde (devido à assinatura a qual foi comparado), faz-se possível a adoção de contramedida;

• redução na quantidade de informação tratada, isto é, o alarme é mais preciso e evidente;

• permite diagnosticar, de maneira rápida e confiável, a utilização de determinadas ferramentas ou técnicas específicas de ataque, auxiliando os gerentes a verificarem as correções necessárias.



• Desvantagens:

• como o método é baseado em assinaturas, a detecção só ocorre para ataques conhecidos, por isso mesmo não permite detectar variações de um mesmo ataque, pois as assinaturas são utilizadas com muita rigidez;

• faz-se necessária a manutenção freqüente na base de dados que contém as assinaturas.



75. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 – CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue o próximo item.

1 [119] A abordagem de detecção de anomalias por contagem de eventos em intervalos de tempo, com indicação de alarme em caso de ultrapassagem de um limiar, é uma abordagem com baixo índice de falsos positivos e de falsos negativos na detecção de intrusão.

76. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a IDS e firewalls, julgue o item a seguir.

1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à redução de falsos-positivos.

77. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens que se seguem acerca da arquitetura e do gerenciamento dos sistemas de detecção de intrusão (intrusion detection systems — IDS).

1 [114] Na abordagem de detecção estatística de anomalias, definem-se regras de comportamento a serem observadas para decidir se determinado comportamento corresponde ao de um intruso.

Exercícios


78. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 - CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

1 [102] Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

79. (Técnico – Operação de Redes – SERPRO/2010 – CESPE) Acerca de VPNs, software maliciosos e detecção de intrusão, julgue o próximo item.

1 [75] A desvantagem de um IDS com análise por estado do protocolo é que a monitoração e a análise dos ataques é feita individualmente em cada pacote, desconsiderando a informação distribuída dentro de uma sessão.

Exercícios


• Outro aspecto importante em um IDS é a sua arquitetura, pois uma arquitetura bem elaborada é um dos fatores que irão determinar o cumprimento adequado de seu papel.

• Dois elementos influenciam diretamente na arquitetura: a localização e o alvo.

• O alvo diz respeito ao sistema que ele irá analisar, se um Host ou um Segmento de Rede.

• A localização diz respeito à forma com que os componentes do IDS irão se relacionar, podendo ser centralizada, hierárquica ou distribuída.

IDS – Classificação (Arquitetura)


• Centralizado: todos os componentes do IDS estão localizados no mesmo equipamento.

• Hierárquico: os componentes encontram-se parcialmente distribuídos, isto é, em equipamentos separados, cada um com sua função específica, porém com fortes relações de hierarquia entre eles. Tarefas como a tomada de decisões fica normalmente concentrada em um único ponto.

• Distribuído: possui todos os seus componentes espalhados pelo sistema, com relações mínimas de hierarquia entre eles, não existe centralização de decisões, os componentes trabalham em regime de cooperação para alcançar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentação de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores.

IDS – Classificação (Localização)


• Quando o Sistema de Detecção é baseado em host, dizemos que ele é um HIDS (Host Instrusion Detection System).

• Nele, o software IDS é instalado na mesma máquina em que se deseja realizar a detecção.

• Seu princípio de funcionamento está baseado em verificar os:

• parâmetros de utilização de recursos do sistema;

• registros de log do sistema operacional e dos aplicativos;

• registros de auditoria do sistema;

• níveis de utilização de CPU e memória;

• arquivos de sistema;

• chaves de Registros;

• portas ativas, entre outros.

IDS – HIDS


• Aos sistemas baseados em um segmento de rede se dá o nome de NIDS (Network Intrusion Detection System) e têm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento físico ou wireless.

• Seu princípio de funcionamento está baseado em:

• verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no segmento de rede por ele analisado;

• aplicar mecanismos de proteção específicos para o IDS como, por exemplo, não configurar endereço IP na interface de rede utilizada pelo sensor;

• colocar a placa de rede do sensor em modo promíscuo para capturar todo o tráfego na qual ela esteja conectada.

IDS – NIDS


Exercícios80. [65](Analista – Informática – Suporte Técnico – MPU/2007 – FCC) Os sistemas de detecção de intrusos baseados em host (HIDS) executam, entre outras, ações para

(A) detectar e bloquear tentativa de ataque em um mau sinal.

(B) permitir que pacotes legítimos passem pela rede.

(C) fechar a sessão e gerar uma resposta automática quando um pacote parecer quebrar a segurança.

(D) descobrir tentativas de abertura de sessões TCP ou UDP em portas não autorizadas.

(E) identificar “IP spoofing” de vários tipos.


Exercícios81. [73](Analista Judiciário – Tecnologia da Informação – TRT-8R/2010 – FCC) Considere:

I. Sistema instalado na rede e que analisa todos os pacotes, bem como tenta detectar ataques do tipo DoS, varredura de portas e tentativa de ataques.

II. Sistema que conhece a fundo um determinado protocolo e analisa o tráfego desse protocolo.

III. Sistema que analisa o comportamento interno de uma máquina a fim de detectar qualquer anomalia.

No contexto do IDS, I, II e III correspondem, respectivamente, a

(A) PIDS, HIDS e NIDS.

(B) PIDS, NIDS e HIDS.

(C) NIDS, HIDS e PIDS.

(D) NIDS, PIDS e HIDS.

(E) HIDS, PIDS e NIDS.


82. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE) Julgue os itens seguintes, referentes a ferramentas de proteção de estações de trabalho e servidores.

1 [91] Uma ferramenta de trabalho como o HIDS (host intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.

Exercícios


• Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.

• Passivo:

• apenas detecta, mas não barra o ataque;

• após detecção, um evento é gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a decisão;

• Falsos Positivos são interpretados pelo administrador, diminuindo seus efeitos na rede.

IDS – Comportamento Pós-Detecção


• Ativo:

• ao detectar um ataque, ele próprio, segundo configurações realizadas pelo administrador do sistema, realizará contramedidas automaticamente;

• processos automatizados sem a intervenção do administrador;

• Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso.

IDS – Comportamento Pós-Detecção


83. [52] (Analista de Sistemas Júnior – TERMOAÇU/2008 – CESGRANRIO) Os dispositivos de IDS – Intrusion Detection System – têm como finalidade básica detectar ataques maliciosos em tempo real permitindo que algumas ações sejam tomadas. São características do IDS, EXCETO:

(A) O agente Network based é capaz de detectar ataques baseados na rede e tomar ações como terminar a conexão ou enviar alerta ao administrador.

(B) O IDS pode identificar um ataque em andamento, mesmo em redes onde o tráfego é criptografado.

(C) O agente Network based deve ser posicionado no segmento cujo ataque se deseja detectar.

(D) O agente Host based deve ser instalado no servidor que se deseja proteger.

(E) Os IDSs, de modo geral, atuam como uma sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante.

Exercícios


84. [54] (Analista de Sistemas Pleno – Infraestrutura – PETROBRAS/2006 – CESGRANRIO) Assinale a afirmação INCORRETA sobre os firewalls e sistemas de detecção de intrusão (IDS – Intrusion Detection Systems).

(A) Os IDS podem ser utilizados para detectar e bloquear tentativas feitas por invasores para determinar as regras de filtragem de um firewall.

(B) Os IDS podem monitorar em tempo real os servidores de uma rede e/ou auditar os logs dos servidores à procura de padrões específicos de comportamento.

(C) Os IDS podem ser utilizados para detectar falhas de segurança em uma rede ou computadores antes mesmo que um ataque ou falha ocorra.

(D) Mesmo que os firewalls de uma rede estejam bem configurados, os sistemas IDS continuam necessários.

(E) Um firewall bem configurado deve responder a mensagens ICMP Echo Request.

Exercícios


85. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Julgue os itens.

1. [97] IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

2. [98] A ocorrência de falsospositivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

86. (Analista Judiciário – Análise de Sistemas – STM/2011 – CESPE) Julgue o item.

1. [114] IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Exercícios


87. (Analista de Saneamento – Analista de Tecnologia da Informação – Atuação em Rede – EMBASA/2010 – CESPE) Um firewall tem três interfaces, conectadas da seguinte forma: uma à rede externa; outra à rede interna; e a terceira a uma DMZ. Nessa situação, considerando que o firewall registre todas as suas ações referentes ao exame do tráfego, julgue os item seguinte.

1. [100] Para a proteção do firewall em questão, é correto posicionar um IDS ou IPS, preferencialmente o último, entre a rede externa e o firewall.

88. (Analista – Suporte Técnico – SERPRO/2010 – CESPE) Em relação à segurança da informação, julgue o seguinte item.

1 [107] Em uma rede de comunicação, um sistema de detecção de intrusos monitora os cabeçalhos e o campo de dados dos pacotes, a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar o desempenho da rede. Esse processo não fica prejudicado com a implantação de criptografia, via SSL, IPSec, entre outras, como elemento de segurança nas transmissões de dados.

Exercícios


• O conceito de rede privada virtual (Virtual Private Network – VPN) surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis. Ex: trafegar informações de forma segura na Internet.

• Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes distintas e que façam parte de uma mesma comunidade.

• Solução para alto custo de enlaces de comunicação dedicados e privados.

VPN


• Os conceitos que fundamentam a VPN são a criptografia e o tunelamento.

• A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das conexões, e é a base da segurança dos túneis VPN.

• Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é independente da rede e da aplicação, podendo ser aplicada em qualquer forma de comunicação possível de ser roteada, como voz, vídeo e dados.

• O túnel VPN é formado pelo tunelamento que permite a utilização de uma rede pública para o tráfego das informações, até mesmo de protocolos diferentes do IP, por meio da criação de um túnel virtual formado entre as duas partes da conexão.

VPN - Fundamentos


Exercícios89. [70](Analista do Ministério Público – Análise de Sistemas – MPE-SE/2009 – FCC) Consiste em um conjunto de computadores interconectados por meio de uma rede relativamente insegura que utiliza a criptografia e protocolos especiais para fornecer segurança. Esta é uma conceituação básica para

(A) rede privada com comunicação criptográfica simétrica.

(B) canal privado de comunicação assimétrica.

(C) canal privado de comunicação síncrona.

(D) rede privada com autenticação digital.

(E) rede privada virtual.


Exercícios90. [29](Analista Judiciário – Análise de Sistemas – TRE-SE/2007 – FCC) Por medidas de segurança, redes privativas virtuais construídas diretamente sobre a Internet para comunicação entre locais geográficos distintos devem usar

(A) transmissão via ondas de rádio.

(B) cabos de fibra óptica.

(C) o recurso de tunelamento.

(D) cabos coaxiais.

(E) comunicação telefônica.


91. (Técnico – Operação de Redes – SERPRO/2010 – CESPE) Acerca de VPNs, software maliciosos e detecção de intrusão, julgue o próximo item.

1 [74] Uma VPN só pode ser estabelecida entre redes de computadores. Ela se forma quando duas redes distintas se interligam por meio de equipamentos específicos, que se conectam por meio de links dedicados. Como resultado dessa conexão, é estabelecido um túnel que interliga as duas redes.

92. (Analista Judiciário – Análise de Sistemas – STM/2011 – CESPE) Julgue o item subsecutivo.

1 [108] VPN, uma aplicação típica de sistemas criptográficos, pode ser descrita como um fluxo de dados tunelado, em que os dados são cifrados e o túnel é estabelecido após autenticação das extremidades.

Exercícios


93. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a VPN, julgue os itens que se seguem.

1. [118] Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados.

2. [119] Apesar de ser uma opção disponível, não se recomenda o uso de autenticação junto com cifração em VPNs, considerando a diminuição de desempenho.

3. [120] Preferencialmente, as VPNs são implementadas sobre protocolos de rede orientados à conexão como o TCP.

Exercícios


VPN - Tunelamento


• O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicação entre organizações que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Ex: IPX trafegando em rede IP.

• Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e desvantagens.

• Túnel é a denominação do caminho lógico percorrido pelos pacotes encapsulados.

• Simula a conexão ponto-a-ponto requerida para a transmissão de pacotes através de uma rede pública.

VPN - Tunelamento


• Os túneis podem ser criados de duas diferentes formas - voluntárias e compulsórias.

• No túnel voluntário, o computador do usuário funciona como uma das extremidades do túnel e, também, como cliente do túnel.

• Ele emite uma solicitação VPN para configurar e criar um túnel entre duas máquinas, uma em cada rede privada, e que são conectadas via Internet.

• No túnel compulsório, o computador do usuário não funciona como extremidade do túnel.

VPN – Tipos de Túneis


• Um servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel.

• Utilizando um túnel voluntário, no caso da Internet, o cliente faz uma conexão para um túnel habilitado pelo servidor de acesso no provedor (ISP).

• No tunelamento compulsório com múltiplos clientes, o túnel só é finalizado no momento em que o último usuário do túnel se desconecta.

VPN – Tipos de Túneis


VPN – Túnel Voluntário


VPN – Túnel Compulsório


• Diferentes protocolos podem ser usados:

• GRE (Generic Routing Encapsulation) da Cisco;

• L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force);

• PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

• Os protocolos PPTP e L2TP são utilizados em VPNs discadas, ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através de modens de um provedor de acesso.

• Um ponto a ser considerado nos dois protocolos é que o sigilo, a integridade e a autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que é feito normalmente pelo IPSec.

VPN – Protocolos de Tunelamento


• Uma diferença entre o L2TP e o PPTP é que o L2TP pode ser transparente para o usuário, no sentido de que esse tipo de tunelamento pode ser iniciado no gateway de VPN de um provedor de VPN.

• Quando o PPTP é utilizado, a abordagem é diferente. O tunelamento é sempre iniciado no próprio equipamento do usuário.

• Com isso, o PPTP é mais indicado para a utilização em laptops, por exemplo, quando o usuário poderá se conectar à rede da organização via VPN, por meio desse protocolo.

• O L2TP é utilizado, principalmente, para o tráfego de protocolos diferentes de IP sobre uma rede pública com base em IP.

VPN – Protocolos de Tunelamento


Exercícios94. [74](Analista Judiciário – Tecnologia da Informação – TRT-8R/2010 – FCC) O protocolo L2TP utilizado na implementação de VPNs atua na camada

(A) Física.

(B) Rede.

(C) Enlace.

(D) Transporte.

(E) Aplicação.


Exercícios95. [65](Analista Judiciário – Análise de Sistemas – Suporte – TJ-PA/2009 – FCC) São protocolos de tunelamento da VPN entre usuários remotos e corporações, sem intermediação de provedor de acesso:

(A) GRE e L2TP.

(B) PPTP e L2F.

(C) L2F e L2TP.

(D) GRE e PPTP.

(E) PPTP e L2TP.


Exercícios96. [70](Analista de Sistemas Júnior – Infraestrutura – PETROBRAS/2010 – CESGRANRIO) Uma vez que as VPNs (Virtual Private Networks) não utilizam linhas dedicadas nem links de rede remota e os dados corporativos precisam atravessar a Internet, as VPNs devem fornecer mecanismos para garantir a segurança dos dados. Os protocolos CHAP e RADIUS são utilizados pelas VPNs para fornecer

(A) autenticação e autorização.

(B) confidencialidade e autenticação.

(C) confidencialidade e integridade.

(D) autorização e confidencialidade.

(E) integridade e autorização.


Exercícios97. [63](Análise de Sistemas – Suporte à Comunicação e à Rede – IBGE/2010 – CESGRANRIO) As VPNs (Vitual Private Network) utilizam a infraestrutura distribuída e aberta da Internet. Sobre as VPNs é INCORRETO afirmar que:

(A) podem utilizar o RADIUS, o protocolo CHAP e tokens baseados em hardware para autenticar usuários e controlar o acesso aos recursos da rede.

(B) suportam a utilização de criptografia baseada em chave pública e privada para evitar que os dados sejam lidos e copiados durante a transmissão.

(C) promovem a utilização máxima da largura de banda, uma vez que mantêm links permanentes entre os pontos de término da comunicação.

(D) reduzem os custos de rede, uma vez que as empresas não precisam utilizar linhas dedicadas caras e bancos de modems.

(E) promovem o envelopamento e estabelecem conexões seguras de intranet e de ponta a ponta na Internet, e em extranets, ao utilizar os protocolos PPTP e L2TP.


• O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada.

• Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

• As funções de gerenciamento de chaves também fazem parte das funções do IPSec.

VPN – IPSec


• O IPSec combina diversas tecnologias diferentes de segurança em um sistema completo que provê confidencialidade, integridade e autenticidade, empregando:

• mecanismo de troca de chaves de Diffie-Hellman;• criptografia de chave pública para assinar as trocas de chave

de Diffie-Hellman, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-the-middle;

• algoritmos de encriptação para grandes volumes de dados, como o DES (Data Encryption Standard);

• algoritmos de hash com utilização de chaves, com o HMAC combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes;

• certificados digitais assinados por uma autoridade certificadora.

VPN – IPSec


• Os requisitos de segurança podem ser divididos em 2 grupos, que são independentes entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a necessidade de cada usuário:

• Autenticação e Integridade;

• Confidencialidade.

• Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

• AH - Autentication Header;

• ESP - Encapsulation Security Payload;

• IKE - Internet Key Exchange.

VPN – IPSec


• Authentication Header (AH): este cabeçalho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabeçalho original que não são alterados entre a origem e o destino; no entanto, não fornece confidencialidade.

• Encapsulating Security Payload (ESP): este cabeçalho protege a confidencialidade, integridade e autenticidade da informação.

• AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicações apenas um deles é suficiente.

• Há dois modos de operação: modo de transporte (nativo) e modo túnel.

VPN – IPSec


Cabeçalho genérico para o modo de transporte

Exemplo de um cabeçalho do modo túnel

VPN – IPSec


Exercícios98. [62](Agente da Fiscalização Financeira – Informática – Redes, Telecom e Segurança – TCE-SP/2010 – FCC) Em VPN, o protocolo de tunelamento de camada 3, mais focado em soluções LAN-to-LAN, é denominado

(A) PPTP.

(B) L2F.

(C) L2TP.

(D) SMTP.

(E) IPsec.


Exercícios99. [32](Analista Judiciário – Tecnologia da Informação – TRT-22R/2010 – FCC) O algoritmo AH (Authentication Header)

(A) substitui o TCP nas comunicações sem fio.

(B) é responsável por garantir que o conteúdo do datagrama não foi alterado no meio do caminho.

(C) é utilizado em redes sem fio para exercer a mesma função que o SNMP exerce nas redes WAN.

(D) é utilizado em redes WAN para exercer a mesma função que o UDP exerce nas redes sem fio.

(E) substitui o SMTP nas comunicações sem fio.


• No modo de transporte, somente a informação (payload) é encriptada, enquanto o cabeçalho IP original não é alterado.

• Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pública vejam a origem e o destino do pacote, o que permite processamentos especiais (como de QoS) baseados no cabeçalho do pacote IP.

• No entanto, o cabeçalho da camada 4 (transporte) estará encriptado, limitando a análise do pacote.

• Passando o cabeçalho sem segurança, o modo de transporte permite que um atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o conteúdo das mensagens.

VPN – IPSec – Modo Transporte


• No modo de tunelamento, todo o datagrama IP original é encriptado e passa a ser o payload de um novo pacote IP.

• Este modo permite que um dispositivo de rede, como um roteador, aja como um Proxy IPSec (o dispositivo realiza a encriptação em nome dos terminais).

• O roteador de origem encripta os pacotes e os envia ao longo do túnel IPSec; o roteador de destino decripta o datagrama IP original e o envia ao sistema de destino.

• A grande vantagem do modo de tunelamento é que os sistemas finais não precisam ser modificados para aproveitarem os benefícios da segurança IP; além disto, esse modo também protege contra a análise de tráfego, já que o atacante só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o destino reais.

VPN – IPSec – Modo Túnel


• O IPSec fornece diversas opções para executar a encriptação e autenticação na camada de rede.

• Quando dois nós desejam se comunicar com segurança, eles devem determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).

• Após escolher os algoritmos, as chaves de sessão devem ser trocadas.

• Associação de Segurança é o método utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sessão de comunicação.

• Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizarão os serviços de segurança para se comunicarem.

IPSec – Associações de Segurança


• As SAs são unidirecionais, o que significa que para cada par de sistemas que se comunicam, devemos ter pelo menos duas conexões seguras, uma de A para B e outra de B para A.

• As SAs são identificadas de forma única pela associação entre um número aleatório chamado SPI (Security Parameter Index), o protocolo de segurança (AH ou ESP) e o endereço IP de destino.

• Quando um sistema envia um pacote que requer proteção IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informações, e adiciona o SPI da SA no cabeçalho IPSec.

• Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereço de destino e SPI, e então processa o pacote da forma necessária.

IPSec – Associações de Segurança


• O IPSec assume que as SAs já existem para ser utilizado, mas não especifica como elas serão criadas.

• IETF decidiu dividir o processo em duas partes: o IPSec fornece o processamento dos pacotes, enquanto o IKMP negocia as associações de segurança.

• Após analisar as alternativas disponíveis, o IETF escolheu o IKE como o método padrão para configuração das SAs para o IPSec.

IPSec – IKE


Uso do IKE pelo IPSec

IPSec – IKE


Exercícios100. [56](Analista Judiciário – Análise de Sistemas – TJ-PE/2007 – FCC) Observe as exigências definidas nos requisitos que dizem respeito à segurança e sigilo dos dados. Uma das formas de anular, até certo ponto, a análise de tráfego na rede TCP/IP por intrusos, é usar o

(A) IPconfig no modo de transporte.

(B) SMTP no modo IPv4.

(C) IPsec no modo de túnel.

(D) TCP na camada de rede.

(E) UDP na camada de aplicação.


Exercícios101. [54](Analista Judiciário – Análise de Sistemas – TRT-23R/2007 – FCC) No contexto do IPsec, a Security Association – SA é

(A) uma conexão duplex cujo objetivo é ligar o bit de segurança dos datagramas da camada de aplicação quando instalada a paridade 128.

(B) uma conexão simplex entre dois pontos extremos e tem um identificador de segurança associado a ela.

(C) um protocolo de segurança duplex que autoriza a conexão entre a SSL e os demais protocolos da camada de rede.

(D) uma conexão full-duplex que realiza a comunicação entre a SSL e os endereços IP.

(E) um protocolo de segurança full-duplex que autentica a conexão entre a SSL e os aplicativos transmitidos pelo TCP.


Exercícios102. [24](Analista – Área I – BACEN/2006 – FCC) Sobre redes privadas virtuais, analise:

I. um pacote VPN é, para um roteador da Internet, um pacote especial;

II. em um pacote VPN, depois do cabeçalho IP, tem a presença de um cabeçalho IPsec;

III. o sistema VPN examina o destino, cifra o pacote e envia o resultado pela rede pública.

É correto o que consta em

(A) III, somente.

(B) I e II, somente.

(C) I e III, somente.

(D) II e III, somente.

(E) I, II e III.


Exercícios103. [40](Analista Judiciário – Tecnologia da Informação – TRT-1R/2011 – FCC) Em relação a ferramentas e protocolos de segurança, é INCORRETO afirmar:

(A) O IPsec é um protocolo de segurança que opera desde a camada de transporte até a camada de aplicação do modelo OSI.

(B) O protocolo TLS usa o algoritmo HMAC (keyed-Hashing for Message Authentication Code), que produz hashes mais seguros que o MAC, utilizado pelo SSL.

(C) Ao contrário do IDS, que apenas detecta e registra atividades suspeitas, o IPS reage mediante uma situação adversa, pois, além de detectar o tráfego suspeito, é capaz de tratá-lo.

(D) VPNs seguras encapsulam o quadro normal com o cabeçalho IP da rede local, mais o cabeçalho IP da Internet atribuída ao roteador e adicionam os cabeçalhos de autenticação e criptografia.

(E) Como o endereço IP de um computador integrante de uma rede privada não é roteado na Internet, o NAT gera um número de 16 bits, que é escrito no campo da porta de origem, para permitir que o roteador faça a respectiva associação em suas tabelas e identifique o destinatário correto.


104. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 - CESPE) Com relação segurança em redes de computadores, julgue os itens a seguir.

1 [120] No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece controle de acesso, integridade de mensagem sem conexões, autenticação e antireplay e a carga útil de segurança do encapsulamento que admite esses mesmos serviços, inclusive confidencialidade. O IPSEC apresenta a desvantagem de não prover o gerenciamento de chaves.

105. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 – CESPE) Julgue os itens a seguir.

1 [108] Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP, necessária para estabelecer conexões TCP através desses roteadores, de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP, necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.

Exercícios


2 [109] O protocolo de encapsulamento de carga útil — encapsulation security payload (ESP) — fornece os serviços de autenticação, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP.

106. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens

1 [97] Na arquitetura de segurança do internet protocol (IP) — IPSec —, a associação de segurança é um relacionamento bidirecional entre um emissor e um receptor, que é identificada pelo número do soquete da aplicação usuária.

2 [98] O Internet security association key management protocol (ISA KMP) pode ser usado para a automação da gerência de chaves criptográficas entre o emissor e o receptor no IPSec.

107. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 - CESPE) Julgue os itens seguintes, no que se refere a VPNs.

1 [76] As VPNs utilizam a criptografia para estabelecer um canal de comunicação segura, com confidencialidade, integridade e autenticidade, sobre canais públicos.

2 [78] As VPNs que utilizam túneis TCP são mais seguras que aquelas que utilizam UDP, já que o TCP é confiável, enquanto o UDP não é.

Exercícios


Exercícios108. (Analista de Sistemas – Suporte de Sistemas – ECT/2011 – CESPE)

Acerca de algoritmos de criptografia e protocolos, julgue os itens subsecutivos.

1. [97] O protocolo IPSEC possui a capacidade de esconder os endereços IPs internos, pois suporta o recurso chamado NAT (network address translation).

2. [99] O IPSEC é muito utilizado em conexões VPN (virtual private network), pois é capaz de validar a integridade e a confidencialidade das informações trafegadas na VPN, por meio da utilização do AH (autentication header) e do ESP (encapsulating security payload).

Segurança - Parte 02 (1)

Documents

Transcript of Segurança - Parte 02 (1)