prof. gleyson azevedo 3 em 1 - ti segurança da informação ataques a redes e mecanismos de...

Prof. Gleyson Azevedohttp://groups.google.com.br/group/

prof_gleyson

3 em 1 - TI Segurança da Informação

Ataques a Redes e Mecanismos de Proteção

Prof. M.Sc. Gleyson [email protected]


prof_gleyson


Ataques a Redes


3http://www.dominandoti.com.br Grancursos

• Roteiro dos Ataques

• Obtenção de Informações

• Códigos Maliciosos

• DoS/DDoS

Roteiro


• Obtenção de informações (footprinting)

• Varredura (scanning)

• Enumeração (enumeration)

• Ataque (penetration ou denial of service)

• Cobertura de rastros (covering tracks)

• Manutenção do acesso (backdoors)

Roteiro dos Ataques


• Phishing – fraude que se dá através do envio de mensagem não solicitada, passando-se por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários.

• Também conhecido como phishing scam ou phishing/scam.

• Phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" (e-mails) são usadas para "pescar" senhas e dados financeiros de usuários da Internet.

Phishing


• Principais situações envolvendo phishing:

• mensagens que contêm links para programas maliciosos;

• páginas de comércio eletrônico ou Internet Banking falsificadas;

• e-mails contendo formulários para o fornecimento de informações sensíveis;

• comprometimento do serviço de resolução de nomes (DNS).

Phishing


Exercícios1. (Técnico Científico – Tecnologia da Informação – Segurança da Informação

– Banco da Amazônia S.A./2009 – CESPE) A respeito de ataques a redes de computadores e de incidentes de segurança, julgue o item abaixo.

1 [83] No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina servidora a reiniciar ou a travar.


• Port Scanners – são ferramentas utilizadas para obtenção de informações referentes aos serviços que são acessíveis e definidas por meio do mapeamento das portas TCP e UDP.

• O intuito desse tipo de ataque é evitar o desperdício de esforço com ataques a serviços inexistentes.

• O nmap é um dos port scanners mais utilizados e pode ser empregado para realizar a auditoria do firewall e do IDS, além de ser capaz de determinar se o sistema tem falhas de implementação na pilha TCP/IP.

• A detecção de scanners pode ser realizada pelo uso de Sistemas de Detecção de Intrusão (IDS).

Port Scanning


• Entretanto, diversas técnicas de scanning podem ser utilizadas para driblar alguns IDS:

• random port scan – a varredura não é realizada de modo sequencial (número das portas);

• slow scan – utiliza um limiar de detecção que limita o número de pacotes enviados por dia para o alvo;

• fragmentation scanning – solucionado pela maioria dos IDS;

• decoy – utiliza uma série de endereços falsificados, dificultando a identificação da origem do scanning;

• coordinate scans – utiliza diversas origens de varreduras, cada uma em determinadas portas. Normalmente utilizada por um grupo de atacantes.

Port Scanning


Exercícios

2. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 – CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [98] Um ataque de scanner consiste na monitoração de serviços e versões de software que estão sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexões é capaz de anular os efeitos desse tipo de ataque.


• Spoofing – ataque onde o sujeito autentica um host para outro se utilizando da técnica de forjar pacotes originários de um host confiável.

• Os principais e mais largamente utilizados tipos de spoofing são:

• IP Spoofing;

• ARP Spoofing;

• DNS Spoofing.

Spoofing


• Técnica na qual o endereço real do atacante é mascarado, de modo a evitar que ele seja encontrado.

• Muito utilizada em tentativas de acesso a sistemas nos quais a autenticação tem como base endereços IP.

• Também muito utilizada em ataques do tipo DoS, em que pacotes de resposta não são necessários.

• Uma organização pode proteger sua rede contra o IP spoofing de endereços da rede interna pela aplicação de filtros (firewall), de acordo com as interfaces de rede.

IP Spoofing


• Consiste na utilização de mensagens ARP (Request e Reply) para ludibriar as vítimas, fazendo o atacante se passar por um intermediário (man-in-the-middle).

• O ataque pode ter como objetivo a escuta do tráfego que fluiria entre as vítimas, ou simplesmente a realização de um ataque de negação de serviço.

• O primeiro passo do ataque consiste no envenenamento do cache ARP das vítimas (Cache Poisoning).

• O envenenamento é realizado enviando-se um ARP Reply forjado para uma vítima, informando que o endereço IP de outra vítima está associado ao endereço MAC do atacante.

ARP Spoofing


• Uma vez realizado o envenenamento da ARP cache, todo os dados que a vítima tente transmitir para o endereço IP informado no ARP Reply forjado, será encaminhado para o atacante.

• Como as entradas na ARP cache expiram após um certo tempo (variável com a implementação), faz-se necessário que pacotes sejam periodicamente enviados para as vítimas de modo a manter o envenenamento.

• Mesmo que o processo de resolução de endereços guarde estados, ainda é possível implementar o ataque forçando as vítimas a enviarem ARP Requests.

ARP Spoofing


ARP Spoofing


• Os ataques podem ser:

• unidirecionais – ARP Reply forjado enviado somente para uma das vítimas;

• bidirecionais – ambas as vítimas têm a cache ARP alterada por pacotes forjados.

• Trata-se de um tipo de ataque que funciona perfeitamente em redes com switch devido ao fato de ser um ataque ativo, forçando as vítimas e enviarem os dados para o endereço MAC do atacante.

ARP Spoofing


• Esta técnica é muito simples e não requer grandes conhecimentos do TCP/IP.

• Consiste em se alterar as tabelas de mapeamento de host name – IP address dos servidores DNS, de maneira que os servidores, ao serem perguntados pelos seus clientes sobre um hostname qualquer, informam o IP errado, ou seja, o do host que está aplicando o DNS spoofing.

DNS Spoofing


Exercícios3. (Analista Judiciário – Informática – STJ/2008 - CESPE) Com

respeito a vulnerabilidades e ataques a sistemas computacionais, julgue o item que se segue.

1 [109] Em redes IP que utilizam switches, pode-se realizar a escuta do tráfego com o ARP spoofing.

4. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 - CESPE) No referente a segurança de rede e controle de acesso, julgue os itens que se seguem.

1 [67] A restrição na capacidade de aprendizado de endereços nas portas de um switch é suficiente para evitar o ARP spoofing.

5. (Analista de Saneamento – Analista de Tecnologia da Informação – Rede – EMBASA/2010 – CESPE) Acerca dos ataques a redes de computadores, julgue os itens que se seguem.

1 [102] O ataque de MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub.

2 [103] O ARP spoofing é um ataque do tipo man-in-the-middle. Ele e o MAC flooding são evitados pela filtragem de endereços MAC nas portas de um switch.


Exercícios6. [51](Analista de Finanças e Controle – Tecnologia da Informação – Infraestrutura de TI – CGU/2008 – ESAF) A informação de que um dado host respondeu a um datagrama ICMP (Internet Control Message Protocol) de eco, com endereço correto no nível IP (Internet Protocol), porém com o endereço MAC (Media Access Control) incorreto, é útil para

a) varredura de portas.

b) analisador de pacotes (sniffers).

c) falsificação de IP.

d) negação de serviço.

e) inundação TCP (Transmission Control Protocol) SYN.


• Código malicioso ou Malware (Malicious Software) – termo que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.

• Exemplos:

• vírus;

• worms;

• backdoors;

• cavalos de tróia;

• keyloggers;

• rootkits.

Códigos Maliciosos (Malwares)


• Classificações:

• dependência de hospedeiro:

• dependentes (vírus, bombas lógicas e backdoors);

• independentes (worms e zumbis).

• replicação:

• não se replicam (bombas lógicas, backdoors e zumbis);

• se replicam (vírus e worms).

Códigos Maliciosos (Malwares)


• Vírus – programa ou parte de programa que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

• O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.

Vírus


• Tipos mais comuns de vírus:

• vírus parasitas – a forma mais tradicional e comum de vírus, que utilizam arquivos executáveis como hospedeiros, inserindo, logo no início desses arquivos instruções de desvios para o código do vírus e, após a infecção de outros arquivos, o vírus retorna o controle para o programa hospedeiro, que é executado como se nada de errado estivesse acontecendo;

• vírus de setor de boot – infecta um registro mestre de inicialização ou registro de inicialização e se espalha quando um sistema é inicializado a partir do disco contento o vírus;

• vírus residente na memória – aloja-se na memória principal como parte de um programa residente no sistema, passando a infectar todo programa executado;

Vírus


• vírus camuflados – suprime as mensagens de erro que normalmente aparecem quando ocorrem tentativas de execução de atividades não autorizadas, podendo inclusive utilizarem criptografia para dificultarem sua identificação pelos antivírus;

• vírus polimórfico – projetados para alterarem seu tamanho e aparência cada vez que infectam um novo programa;

• vírus metamórfico – muda a cada infecção como os polimórficos, mas se reescrevem completamente a cada iteração e podem mudar também seu comportamento, além de sua aparência;

Vírus


• vírus de macro – modalidade que se aproveita da presença de macros em documentos para infectá-los, sendo também caracterizados como multiplataforma dada essa característica;

• vírus de e-mail – normalmente é recebido como um arquivo anexado a uma mensagem de correio eletrônico, onde o conteúdo dessa mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado, permitindo a propagação dele por meio da lista de endereços de e-mail.

Vírus


7. [57](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2003-2004 – ESAF) Analise as seguintes afirmações relativas à segurança na Internet:

I. Engenharia Social é um termo utilizado para descrever um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

II. Vulnerabilidade pode ser definida como uma falha no projeto ou implementação de um software que, quando explorada por um atacante, resulta na violação da segurança de um sistema.

III. Um vírus de macro normalmente é recebido como um arquivo executável anexado a uma mensagem de correio eletrônico. O conteúdo dessa mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado.

IV. Engenharia reversa é uma das principais técnicas adotadas por hackers para ter acesso não autorizado a computadores ou informações.

Estão corretos os itens:

a) I e II b) II e III c) III e IV d) I e III e) II e IV

Exercícios


Exercícios8. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 -

CESPE) Acerca de segurança em redes, julgue os itens seguintes.

1 [84] Atualmente, a maioria dos vírus ainda é detectada por meio de assinaturas. A pesquisa por assinatura é variável conforme o antivírus. Dá-se o nome de falso positivo a um alarme falso gerado pelo antivírus, isto é, quando um erro na lista de definição faz que o programa marque arquivos limpos e seguros como infectados.

2 [117] Um vírus metamórfico faz mutação a cada infecção, podendo tanto mudar de comportamento quanto de aparência.

9. (Tecnologista Jr – MCT/2008 – CESPE) Julgue o item abaixo, acerca de segurança dos sistemas de informação computacional e das redes de comunicação.

1 [105] Um vírus de macrocomandos de uma aplicação, como, por exemplo, um editor de textos, é independente da plataforma computacional e dos sistemas operacionais.


Exercícios10. (Analista de C&T – MCT/2008 – CESPE) Acerca das diversas ameaças, vulnerabilidades e formas de ataque contra a segurança da informação, bem como das medidas técnicas e protocolos de proteção dos sistemas de informação, julgue os itens seguintes.

1 [76] Na fase latente ou dormente, um vírus de computador encontra-se quieto, mas pronto a ser ativado por algum evento.

2 [77] Do ponto de vista estrutural, o programa hospedeiro de um vírus de computador contém adicionado ao seu código executável pelo menos uma parte do código executável do próprio vírus.

11. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue o próximo item.

1. [88] Ao se executar um programa previamente infectado — como, por exemplo, ao se abrir arquivo anexado a e-mail ou ao se instalar programas de procedência duvidosa ou desconhecida —, um vírus pode infectar o computador. Um vírus de macro é parte de um arquivo normalmente manipulado por algum aplicativo que utiliza macros e que, para ser executado, necessita que o arquivo que o contém esteja aberto para que ele execute uma série de comandos automaticamente e infecte outros arquivos no computador.


• Worm – programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.

• Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.

• Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.

Worm


• Geralmente, o worm não tem como conseqüência os mesmos danos gerados por um vírus, como por exemplo a infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente uma ameaça à segurança de um computador, ou que não cause qualquer tipo de dano.

• Worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.

Worm


12. [38](Analista Administrativo – Tecnologia da Informação e Comunicação – Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O código malicioso caracterizado por ser executado independentemente, consumindo recursos do hospedeiro para a sua própria manutenção, podendo propagar versões completas de si mesmo para outros hospedeiros, é denominado

a) vírus.

b) backdoor.

c) cookie.

d) verme.

e) spyware.

13. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores, julgue o item.

[76] Worm é um vírus que tem a capacidade de auto-replicação, espalhando-se rapidamente de uma rede para outra, mas somente causa danos se for ativado pelo usuário.

Exercícios


14. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue os próximos itens.

1. [89] Um worm pode realizar diversas funções maliciosas, como a instalação de keyloggers ou screenloggers, o furto de senhas e outras informações sensíveis, como números de cartões de crédito, a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alteração ou destruição de arquivos.

2. [90] O worm costuma ser apenas um único arquivo que necessita ser executado para que infecte o computador destinatário e, de modo distinto do vírus ou do cavalo de troia, não costuma infectar outros arquivos e nem propagar, automaticamente, cópias de si mesmo.

Exercícios


• Bactéria – programa que gera cópias de si mesmo com o intuito de sobrecarregar um sistema de computador. São programas que não causam explicitamente danos aos arquivos. Seu único propósito é a replicação, que ocorre de forma exponencial. Eventualmente, podem assumir toda a capacidade do processador, da memória ou do espaço em disco, impedindo o acesso de usuários autorizados a esses recursos.

• Bomba Lógica – ameaça programada, camuflada em programas, que é ativada quando certas condições satisfeitas. Permanecem dormentes, ou inativas, em softwares de uso comum por um longo período até que sejam ativadas. Quando isso acontece, executam funções que alteram o comportamento do software “hospedeiro”.

Bactéria e Bomba Lógica


15. (Analista em C&T Pleno – Segurança de Sistemas de Informação – MCT/2008 – CESPE) Acerca das diversas ameaças, vulnerabilidades e formas de ataque contra a segurança da informação, bem como das medidas técnicas e protocolos de proteção dos sistemas de informação, julgue o item seguinte.

1. [72] Uma bomba lógica é um tipo de arquivo de dados que, ao ser acessado por um programa, resulta na expansão rápida do espaço de memória desse programa até lhe causar danos que podem se estender a outros programas e ao próprio sistema operacional.

Exercícios


Cavalo de Troia


• Cavalo de tróia (trojan horse) – programa, normalmente recebido como um "presente" (um cartão virtual, um álbum de fotos, um protetor de tela, um jogo, etc), que além de executar funções para as quais foi aparentemente projetado, executa outras normalmente maliciosas e sem o conhecimento do usuário.

• Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são:• instalação de keyloggers ou screenloggers; • furto de senhas e outras informações sensíveis,

como números de cartões de crédito;• inclusão de backdoors, para permitir que um

atacante tenha total controle sobre o computador;• alteração ou destruição de arquivos.

Cavalo de Troia


• Por definição, o cavalo de tróia distingue-se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente.

• Podem existir casos onde um cavalo de tróia contenha um vírus ou worm, mas mesmo nestes casos é possível distinguir as ações realizadas como conseqüência da execução do cavalo de tróia propriamente dito, daquelas relacionadas ao comportamento de um vírus ou worm.

Cavalo de Troia


16. [55](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2003-2004 – ESAF) Analise as seguintes afirmações relativas aos tipos de vírus de computador:

I. Uma função maliciosa que pode ser executada por um cavalo de tróia é a alteração ou a destruição de arquivos.

II. Uma função maliciosa que pode ser executada por um cavalo de tróia é o furto de senhas e outras informações sensíveis, como números de cartões de crédito.

III. Uma função maliciosa que pode ser executada por um cavalo de tróia é se replicar.

IV. Uma função maliciosa que pode ser executada por um cavalo de tróia é infectar outros arquivos.

Estão corretos os itens:

a) II e III b) I e II c) III e IV d) I e III e) II e IV

Exercícios


17. [55](Analista de Finanças e Controle – Tecnologia da Informação – CGU/2006 – ESAF) É crescente o número de incidentes de segurança causados por vírus de computador e suas variações. Com isso, as organizações estão enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, é correto afirmar que

a) cavalos de tróia são variações de vírus que se propagam e possuem um mecanismo de ativação (evento ou data) e uma missão.

b) vírus polimórficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execução da atividade não-autorizada, utilizando, muitas vezes, criptografia para não serem detectados por anti-vírus.

c) os vírus de macro utilizam arquivos executáveis como hospedeiros, inserindo macros com as mesmas funções de um vírus em tais arquivos.

d) softwares anti-vírus controlam a integridade dos sistemas e compreendem três etapas: prevenção, detecção e reação, nesta ordem.

e) vírus geram cópias de si mesmo a fim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memória ou espaço em disco, eventualmente.

Exercícios


Exercícios18. (Técnico Científico – Banco da Amazônia/2006 - CESPE) No

tocante a vulnerabilidades, mecanismos, técnicas e políticas de segurança em redes, julgue o item a seguir.

1 [109] Um trojan é um programa não-autorizado, embutido dentro de um programa legítimo, que executa funções desconhecidas e, provavelmente, indesejáveis. O programa alvo realiza a função desejada, mas, devido à existência de código não-autorizado dentro dele, também executa funções desconhecidas.


1. [76] Cavalo de troia é um software legítimo que o usuário utiliza normalmente, mas, ao mesmo tempo, executa outras funções ilegais, como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invasões.

20. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue o próximo item.

1. [87] O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.


• Adware (Advertising software) – tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

• São normalmente incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para quem desenvolve software livre ou presta serviços gratuitos. Exemplo: versão gratuita do Opera.

• Spyware – termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

Adware e Spyware


Exercícios20. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 –

CESPE) Quanto à segurança em rede de computadores, julgue o item.

1. [71] Adware é qualquer programa que, depois de instalado, automaticamente executa, mostra ou baixa publicidade para o computador. Alguns desses programas têm instruções para captar informações pessoais e passá-la para terceiros, sem a autorização ou o conhecimento do usuário, o que caracteriza a prática conhecida como spyware.

21. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a malwares, julgue os próximos itens.

1. [86] Um adware difere de um spyware pela intenção. O primeiro é projetado para monitorar atividades de um sistema e enviar informações coletadas para terceiros, e o segundo é projetado especificamente para apresentar propagandas.


Exercícios

22. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 – CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [97] Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à confidencialidade das informações acessadas no sistema infectado. Esses programas não são considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.


• Backdoor – programa que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

• É comum um atacante procurar garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na invasão.

• Na maioria dos casos, também é intenção do atacante poder retornar sem ser notado.

Backdoors


• A existência de um backdoor não depende necessariamente de uma invasão.

• Alguns dos casos onde não há associação com uma invasão são:

• instalação através de um cavalo de tróia;

• inclusão como conseqüência da instalação e má configuração de um programa de administração remota;

• alguns fabricantes incluem/incluíam backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas.

Backdoors


23. [62](Analista Técnico – Tecnologia da Informação – SUSEP/2006 – ESAF) Ameaças programadas são aquelas que compreendem a execução de códigos, gerados com o intuito de adulterar o comportamento considerado normal, dos softwares. Em relação a tais ameaças e suas conseqüências, é correto afirmar que

a) bombs (ou bombas lógicas) é uma ameaça programada, cujo intuito é sua replicação (exponencial) em sistemas computacionais, assumindo, eventualmente, a capacidade completa do processador, memória ou espaço em disco.

b) worms (ou vermes) são uma ameaça programada camuflada em programas, que são ativados sob determinada condição, executando funções que alteram o comportamento do software hospedeiro.

c) vírus é uma espécie de entrada para um programa que permite acesso não-autorizado, violando procedimentos de segurança do sistema computacional.

d) trapdoors, cavalos de tróia, bombas lógicas, adwares e spywares são exemplos de ameaças independentes, isto é, não precisam de um programa hospedeiro.

e) trojans (ou cavalos de tróia) normalmente são utilizados como veículos para vírus, vermes e bombas lógicas.

Exercícios



1. [78] Backdoor consiste em uma falha de segurança que pode existir em um programa de computador ou sistema operacional. Essa falha permite que sejam instalados vírus de computador ou outros programas maliciosos, conhecidos como malware, utilizando-se exclusivamente de serviços executados em background.

25. (Analista de C&T – MCT/2008 – CESPE) Acerca das diversas ameaças, vulnerabilidades e formas de ataque contra a segurança da informação, bem como das medidas técnicas e protocolos de proteção dos sistemas de informação, julgue o item seguinte.

1 [74] Quando um backdoor é explorado por um atacante, o arquivo de texto usado para propagar tal backdoor se transforma em um arquivo executável.

Exercícios


• Keylogger – programa capaz de capturar e armazenar a informação das teclas digitadas pelo usuário em um computador.

• Dentre as informações capturadas podem estar um texto de e-mail, dados da declaração de imposto de renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito.

• Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site específico de comércio eletrônico ou Internet Banking.

Keyloggers


Exercícios26. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010

– CESPE) Quanto à segurança em rede de computadores, julgue o item.

1 [79] Keylogger é um programa de computador do tipo spyware cuja finalidade é monitorar tudo o que for digitado, a fim de descobrir senhas de banco, números de cartão de crédito e afins. Alguns casos de phishing e determinados tipos de fraudes virtuais baseiam-se no uso de keylogger.


• Bot – programa capaz se propagar automaticamente (modo similar ao worm), explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador.

• Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.

• Botnets – redes formadas por computadores infectados com bots, que podem ser compostas por centenas ou milhares de computadores.

• Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço, etc.

Bots e Botnets


Exercícios

27. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE) Julgue o próximo item acerca dos conceitos de segurança da informação.

1 [153] São características típicas dos malwares: cavalos de tróia aparentam realizar atividades úteis; adwares obtêm e transmitem informações privadas do usuário; backdoors estabelecem conexões para fora da rede onde se encontram; worms modificam o código de uma aplicação para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto.


• Rootkit – conjunto de programas que fornece mecanismos para que um invasor possa esconder e assegurar a sua presença no computador comprometido.

• O nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) a um computador, mas sim para mantê-lo.

• O invasor, após instalar o rootkit, terá acesso privilegiado sem precisar recorrer novamente aos métodos utilizados na invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.

Rootkits


• Um rootkit pode fornecer ferramentas com as mais diversas funcionalidades, podendo ser citados:

• programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;

• backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits);

• programas para remoção de evidências em arquivos de logs;

Rootkits


• (Cont.):

• sniffers, para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, sem qualquer proteção de criptografia;

• scanners, para mapear potenciais vulnerabilidades em outros computadores;

• outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc.

Rootkits


Exercícios28. (Auditor Federal de Controle Externo – Tecnologia da

Informação – TCU/2009 - CESPE) Durante resposta a um incidente de segurança em um ambiente de rede de computadores, um analista de segurança de tecnologia da informação (TI) precisou empregar várias técnicas e ferramentas para realizar coleta de dados em vários hosts e dispositivos de rede, relativas à possível presença de malwares. Algumas das técnicas e das ferramentas e alguns dos dados coletados foram os seguintes:

I portas TCP/IP abertas nos computadores da rede, por meio da execução de varredura;

II relatos de detecção de infecções por vírus, por meio de antivírus;

III log de aplicações das regras no firewall da rede, por meio de inspeção;

IV nomes e assinaturas dos processos computacionais em execução em um computador em determinado espaço de tempo, por meio de software apropriado.

Considerando essa situação hipotética, se a comparação que o analista de segurança realizar com a última linha de base segura de determinado computador indicar que


Exercícios

1 [164] ocorreu um aumento na quantidade e qualidade de registros relativos aos aspectos I e III da linha base, mas não ao aspecto IV, então isso sugerirá a presença de worms e backdoors na rede.

2 [165] não há alterações junto a nenhum dos fatores I, II, III e IV, então isso evidenciará que não há infecção por malwares.


• Negação de Serviço (Denial of Service - DoS) – o atacante utiliza um computador para tirar de operação um serviço ou computador(es) conectado(s) à Internet.

• Exemplos deste tipo de ataque são:

• gerar uma sobrecarga no processamento de um computador, de modo que o usuário não consiga utilizá-lo;

• gerar um grande tráfego de dados para uma rede, ocasionando a indisponibilidade dela;

• Indisponibilizar serviços importantes de um provedor, impossibilitando o acesso de seus usuários.

Negação de Serviço (DoS)


• DDoS (Distributed Denial of Service) – ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.

• Normalmente, procuram ocupar toda a banda disponível para o acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com este computador ou rede.

• Um exemplo de ataque DDoS ocorreu no início de 2000, onde computadores de várias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de empresas de comércio eletrônico.

DDoS


Exercícios

29. [53](Analista de Finanças e Controle – Tecnologia da Informação – Infraestrutura de TI – CGU/2008 – ESAF) Uma máquina isolada devido a um ataque DNS (Domain Name System) representa

a) ação de spywares.

b) negação de serviço.

c) varredura de portas.

d) ação de um vírus.

e) falsificação DNS.

30. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE) Julgue o próximo item acerca dos conceitos de segurança da informação.

1 [157] A detecção, por um sniffer de rede, de uma longa série de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob análise pode estar sofrendo um ataque de negação de serviço.


Exercícios31. (Analista de Controle Externo – Tecnologia da Informação –

TCU/2008 - CESPE) Julgue o item abaixo, relativo à segurança da informação.

1 [176] Considere que um dos hosts da rede de uma organização esteja sofrendo um ataque da classe de negação de serviço (denial of service – DoS) e que, visando identificar de forma mais precisa o ataque que o host está sofrendo, o administrador tenha constatado que há elevada razão entre o número de pacotes TCP do tipo SYN e o número de pacotes TCP do tipo ACK que estão sendo enviados para o host sob ataque e que, por outro lado, a razão entre o número de pacotes TCP do tipo SYN recebidos pelo host e o número de pacotes do tipo SYN/ACK enviados pelo host é aproximadamente igual a 1. Nessa situação, o administrador deverá considerar a possibilidade de o ataque sob análise ser do tipo SYN flood, visto que são reduzidas as chances de o ataque ser do tipo NAK/ACK.

32. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 - CESPE) Acerca de segurança em redes, julgue o item abaixo.

1 [118] Em um ataque negação de serviço por refletor — reflector distributed denial of service (DDoS) — entidades escravas do atacante constroem pacotes que requerem respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereço alvo do ataque.


Exercícios33. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores, julgue o item.

1 [73] O DDoS (distributed denial of service) é um tipo de ataque coordenado, no qual diversos hosts são atacados e coordenados pelo hacker, para a realização de ataques simultâneos aos alvos.

2 [74] O SYN flooding é um tipo de ataque que explora o mecanismo de conexões IP, gerando um grande número de requisições em um servidor web.

34. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) A respeito de ataques a redes de computadores e de incidentes de segurança, julgue os itens abaixo.

1. [81] O incidente denominado DDoS deve ser tratado de maneira diferente de outros tipos de incidente de segurança, pois dificilmente um firewall ou IDS gerará log. Sua notificação de incidente deve informar o cabeçalho e o conteúdo completos da mensagem recebida pelo usuário.


2. [82] Um ataque de negação de serviço (DoS) não é uma invasão do sistema e objetiva tornar os recursos de um sistema indisponíveis para seus utilizadores. O ataque tenta indisponibilizar páginas hospedadas em servidores web e produz como efeito uma invalidação por sobrecarga.

3. [84] No ping flood, o atacante sobrecarrega o sistema vítima com pactos ICMP echo request (pacotes ping). Para o ataque ser bem sucedido, o atacante deve possuir maior largura de banda que a vítima, que, ao tentar responder aos pedidos, irá consumir a sua própria largura de banda, impossibilitando-a de responder a pedidos de outros utilizadores. Uma das formas de prevenir esse tipo de ataque é limitar o tráfego de pacotes ICMP echo request.

4. [85] No syn flood ou ataque syn, o atacante envia uma sequência de requisições syn para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI.

Exercícios


prof_gleyson


Mecanismos de Proteção



• Firewall• IDS

• IPS• VPN

• IPSec

Roteiro


• Definições:

• É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas.

• É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará.

• É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.

Firewall


Firewall – Definição

Ponto Único

Um ou mais componentes

• Controle

• Autenticação

• Registro de Tráfego

Rede 1Rede 1 Rede 2


• Existem coisas que o firewall NÃO PODE proteger:

• do uso malicioso dos serviços que ele é autorizado a liberar;

• dos usuários que não passam por ele, ou seja, não verifica o fluxo intra-redes;

• dos ataques de engenharia social;

• das falhas de seu próprio hardware e sistema operacional.

Firewall


Exercícios35. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 - CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados.


• Classificação:

• filtro de pacotes;

• filtro de pacotes baseado em estados ou filtro de estado das conexões (stateful);

• proxy de serviços ou gateway de aplicação.

Firewall – Classificação

Roteadores – Listas de Controle de Acesso (ACL’s)

Filtros de Pacotes

Filtros de Pacotes baseado em Estados

Firewall ProxyEvolução das

tecnologias

de Firewall


• Funcionalidades:• filtros;• proxies;• bastion hosts;• Zonas Desmilitarizadas (DMZ);• NAT;• VPN• autenticação;• balanceamento de carga;• alta disponibilidade.

Firewall – Funcionalidades


• Existem dois tipos de modelo de acesso, ou política padrão, que podem ser aplicados ao firewall:

• tudo é permitido, exceto o que for expressamente proibido;

• tudo é proibido, exceto o que for expressamente permitido.

Firewall – Política Padrão


• É um dos métodos mais antigos e amplamente disponíveis de controlar o acesso a redes.

• Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e também como um recurso da maioria dos roteadores.

• Os filtros de pacotes protegem todo o tráfego entre redes verificando apenas parâmetros da camada de rede e de transporte TCP/IP.

Firewall – Filtro de Pacotes


• Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de roteamento, verifica as seguintes informações dos pacotes:

• endereços IP de origem e de destino;

• tipo de protocolo – TCP, UDP e ICMP;

• portas de origem e de destino;

• flags IP e TCP;

• tipos de mensagens ICMP;

• tamanho do pacote.



• A principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de filtragem estará restrita a verificar somente informações básicas do cabeçalho do pacote.

• Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso.

• A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das conexões, sendo necessário criar várias linhas de filtragem para se implementar uma única regra.



• Por exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente.

• Sintaxe:

• Política [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ].



Regras de Fitragem de Pacotes:ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4 DP=80ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL

SA - Source AddressSP - Source PortDA - Destination AddressSA - Source Address

Firewall

10.2.3.2

Cliente

192.168.1.4

Servidor Web



• Vantagens:

• barato, simples e flexível;

• alto desempenho da rede;

• transparente para o usuário.

• Desvantagens:

• permite a conexão direta para hosts internos de clientes externos,

• difícil de gerenciar em ambientes complexos;

• não oferece autenticação de usuários.



Exercícios36. [39](Analista Administrativo – Tecnologia da Informação e Comunicação – Des. Sist. E Adm Banco de Dados – ANA/2009 – ESAF) Para efetuar o controle de acesso com base no tipo de mensagem ICMP, deve-se empregar

a) Sistema de Detecção de Intrusos (SDI).

b) Rede Local Virtual (VLAN).

c) Filtragem de Pacotes.

d) Gateway de Aplicação.

e) Rede Privada Virtual (VPN).


Exercícios37. [50](Analista de Finanças e Controle – Tecnologia da Informação – Infraestrutura de TI – CGU/2008 – ESAF) Assinale a opção que não compreende uma informação relevante a decisões em filtragem de pacotes.

a) Porta UDP (User Datagram Protocol) destino.

b) Tipo de mensagem ICMP (Internet Control Message Protocol).

c) Endereço IP do gateway de aplicação.

d) Datagramas de inicialização de conexão usando bits TCP SYN.

e) Linha de requisição de uma mensagem de pedido HTTP (HyperText Transfer Protocol).


Exercícios38. [36](Analista Administrativo – Tecnologia da Informação e Comunicação – Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O mecanismo de controle de acesso adequado para bloquear segmentos UDP e conexões FTP, em uma rede, é o(a)

a) sistema de detecção de intrusos (SDI).

b) firewall de filtragem de pacotes.

c) rede privada virtual (VPN).

d) gateway de aplicação.

e) rede local virtual (VLAN).


Exercícios39. [07](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2006 – ESAF) A proteção dos sistemas utilizados pelos fornecedores de serviços pela Internet requer a aplicação de ferramentas e conceitos de segurança eficientes. Quanto ao firewall que trabalha na filtragem de pacotes, um dos mais importantes itens de segurança para esses casos, é correto afirmar que ele

a) se restringe a trabalhar nas camadas HTTP, decidindo quais pacotes de dados podem passar e quais não. Tais escolhas são regras baseadas nas informações do serviço remoto, endereço IP do destinatário, além da porta UDP usada.

b) é capaz de controlar conexões pelas portas UDP utilizadas, além de ser capaz de analisar informações sobre uma conexão já estabelecida, sem o uso de portas.

c) é instalado geralmente em computadores servidores, também conhecidos como proxy.

d) determina que endereços IPs podem estabelecer comunicação e/ou transmitir ou receber dados.

e) além de ter a capacidade de analisar o conteúdo dos pacotes, o que permite um controle ainda maior, pode ou não ser acessível para conexões que usam porta UDP.


Exercícios40. (Assistente de Saneamento – Assistente de Informática I – EMBASA/2010 – CESPE) Quanto à segurança em rede de computadores, julgue o item.

1 [72] Uma rede interna pode ser protegida contra o IP spoofing por meio da aplicação de filtros; como exemplo, se a rede tem endereços do tipo 100.200.200.0, então o firewall deve bloquear tentativas de conexão originadas externamente, caso a origem tenha endereços de rede do tipo 100.200.200.0.

41. (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.

1 [102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna.


• O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto filtra os pacotes.

• Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com a inteligência adicional do protocolo.

• Este tipo de firewall examina predominantemente as informações das camadas IP e de transporte de um pacote que inicia uma conexão.

• Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada é acrescentada em uma tabela de estados.

Firewall – Filtro de Conexões


• Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção.

• Em tese, este método aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados até a camada de transporte.

• Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de manipular os estados da conexão, poderá haver queda de desempenho do equipamento.



• Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de cada conexão que passa por ele.

• Isto é possível com a implementação de uma tabela de estados em que o firewall mantém o relacionamento entre endereços IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP.

• Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão.



• Estado é a condição de pertencer a uma determinada sessão de comunicação.

• A definição desta condição vai depender da aplicação com a qual as partes estão se comunicando e dos protocolos que as partes estão utilizando.

• Os protocolos de transporte podem ter o estado de sua conexão rastreado de várias formas.



• Muitos dos atributos que compõem uma sessão de comunicação, inclusive os pares de endereço IP, portas de origem e de destino, números de sequência e flags, podem ser utilizados como identificação de uma conexão individual.

• A combinação dessas partes de informação normalmente é mantida como um hash (resumo) em uma tabela de estado, para facilitar a comparação.



• TCP: como é um protocolo baseado em conexão, o estado de suas sessões de comunicação pode ser solidamente definido através de sua Máquina de Estados Finitos (modelo que define todos os estados possíveis do protocolo TCP).

• A conexão TCP pode assumir 11 estados diferentes (conforme RFC 793).

• Apesar da desconexão TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informações de conexões inexistentes, é comum a utilização de contadores de tempo para cada conexão.



• UDP: é um protocolo de transporte sem conexão, o que dificulta o acompanhamento de seu estado.

• Na realidade, um protocolo sem conexão não possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado através do registro de itens do UDP que estejam relacionados a uma determinada sessão de comunicação.

• Como o UDP não possui números de sequência ou flags, os únicos itens que podem servir como base são os pares de endereço IP e a porta de serviço dos dois pontos envolvidos na comunicação.



• ICMP: assim como o UDP, o ICMP não possui estado, contudo, também como o UDP, ele dispõe de atributos que permitem que suas conexões sejam acompanhadas de um modo com pseudo-estado.

• A parte mais complicada do acompanhamento do ICMP envolve suas comunicações unidirecionais.

• O protocolo ICMP normalmente é utilizado para retornar mensagens de erro quando um host ou protocolo não pode fazer isso por conta própria, no que pode ser descrito como uma mensagem de resposta.



• As mensagens do tipo resposta do ICMP são precipitadas por solicitações de outros protocolos (TCP, UDP).

• Devido a essa questão de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado.

• A outra maneira de se utilizar o ICMP é através do seu próprio mecanismo de pedido/resposta, como por exemplo, o ping onde são utilizadas as mensagens de echo-request e echo-replay.



• Vantagens:• alto desempenho da rede;• aceita quase todos os tipos serviços;• transparente para o usuário.

• Desvantagens:• permite a conexão direta para hosts internos de

clientes externos,• não oferece autenticação de usuários.



Exercícios42. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir.

1 [116] A filtragem de pacotes sem estado baseia-se na inspeção das informações de cabeçalho para determinar se um pacote pode ou não ser aceito ou transmitido.

2 [117] A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes, o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem.

43. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a firewalls, julgue os itens de 68 a 70.

1 [68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao lidar com pacotes fragmentados.

2 [69] Firewalls que realizam a inspeção de estado normalmente são menos eficazes e seguros que firewalls baseados em filtragem de pacotes.

3 [70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar a inspeção.


44. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de segurança de redes de computadores, julgue os itens subsequentes.

1. [99] A inspeção de estados visa determinar se um pacote pode entrar ou sair de uma rede, tendo por base a verificação de informações localizadas no cabeçalho do pacote.

2. [100] Tanto na filtragem quanto na inspeção que se baseiam em estado, a informação de estado é mantida em uma tabela até que a conexão se encerre (como no tráfego TCP) ou ao atingir um limite de tempo (como no caso de tráfego TCP, UDP e ICMP).

Exercícios


• Em geral, um proxy (procurador) é algo ou alguém que faz algo em nome de outra pessoa.

• Os serviços proxy são programas aplicativos ou servidores especializados que recebem as solicitações dos usuários e as encaminha para os respectivos servidores reais.

• Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o cliente é o proxy.

• Seu princípio básico de funcionamento está no fato de que este tipo de firewall não permite a conexão direta entre as entidades finais da comunicação.

Firewall – Proxy de Serviços


• Na figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o Proxy do Serviço HTTP.

• Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.

• O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.



• Neste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos datagramas IP.

• Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois as duas redes conectadas ao proxy não são visíveis entre si.



• Vantagens:

• Não permite conexões diretas entre hosts internos e hosts externos;

• Aceita autenticação do usuário;

• Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes.

• Desvantagens:

• Mais lento do que os filtros de pacotes (somente os gateways de aplicação);

• Requer um proxy específico pra cada aplicação;

• Não trata pacotes ICMP.



• Uma implementação que era bastante comum é a de misturar as funções de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir.

• Não é uma configuração recomendável devido ao alto consumo de recursos de hardware.



Exercícios45. [57](Analista de Tecnologia da Informação – SEFAZ-CE/2007 – ESAF) Analise as afirmações a respeito de ataques e medidas de segurança associadas e assinale a opção correta.

I - Análise de tráfego de uma rede de computadores é um exemplo de ataque passivo e, este por sua vez, é difícil de prevenir, sendo aplicáveis nestes casos, medidas de detecção.

II - Controles administrativos, tais como o uso de crachás de identificação e princípios da mesa limpa, podem ser usados como meios de prevenção contra ataques à segurança física das organizações.

III - Falsificação de IP (Internet Protocol) pode ser usado em ataques de negação de serviço (DoS – Denial of Service) para ocultar a identidade da origem do ataque. É possível evitá-la nos processos de filtragem de pacotes de entrada, durante o tráfego dos pacotes no firewall.


ExercíciosIV - Vírus são códigos maliciosos projetados para se replicarem e se espalharem de um computador para outro, atacando programas, arquivos, disco e aplicativos, por exemplo; e são classificados em parasitas, de setor de boot, camuflados, de macro e polimórficos. Nesse contexto, cavalos de tróia (trojans) são veículos para vírus, sendo o anti-vírus a contramedida aplicável para assegurar prevenção, detecção e reação aos vírus.

V - Um proxy é um servidor de aplicação específico, tal como o de correio eletrônico, de transferência de arquivos e Web por exemplo, no qual os dados de entrada e saída da aplicação devem ser tratados, a fim de que sejam tomadas decisões quanto à negação ou permissão de acesso.

a) Apenas a afirmação III é falsa.

b) Apenas a afirmação I é falsa.

c) Apenas a afirmação V é falsa.

d) Todas as afirmações são falsas.

e) Todas as afirmações são verdadeiras.


Exercícios46. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de segurança de redes de computadores, julgue o item subsequente.

1. [96] Um proxy, ao agir no lugar do cliente ou do usuário para prover acesso a um serviço de rede, protege tanto o cliente quanto o servidor de uma conexão direta.

47. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir.

1 [118] Uma proxy media a conexão de um cliente ou usuário para prover acesso a um serviço de rede, o que evita a conexão direta peer-to-peer.

2 [119] Um firewall embasado em proxy tem melhor desempenho (retardo e throughput, por exemplo) quando comparado a um firewall que opera em camadas mais baixas, visto que, como atua no nível da aplicação, pode inspecionar não só as informações de cabeçalho, como também as dos protocolos de aplicação.


Exercícios3 [120] Uma desvantagem do uso de um firewall baseado em Proxy é

que ele pode ser mais difícil de configurar e operar. Entretanto, o uso de VPNs pode reverter essa situação.

48. (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue o item seguinte.

1 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um servidor mediante a observação da chegada de pacotes IP fragmentados.


• A utilização de firewall para se conectar uma rede à Internet possibilitou uma topologia de acesso interessante e segura.

• Na figura a seguir, tem-se uma rede composta por máquinas clientes, servidores de serviços de Intranet (acessados pelos clientes internos) e servidores de serviços Internet (acessados pela Internet).

Firewall – Zona Desmilitarizada (DMZ)


• Na topologia apresentada, deve-se observar o seguinte:

• no mesmo segmento da rede da empresa, há a ocorrência de tráfego local e de tráfego oriundo da Internet;

• caso o servidor de serviços de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poderá se propagar para o restante de rede.

• Conclusão: Deve ser criado um mecanismo que separe a natureza dos dois tipos de tráfego isolando o servidor que recebe os acessos Internet dos demais servidores e máquinas clientes da rede interna da empresa.

• Solução: Criar uma área de rede reservada para a hospedagem dos serviços públicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ).



• Objetivos:

• evitar que a Internet acesse diretamente serviços dentro de uma rede interna;

• separar o tráfego de rede interno do externo;

• ligação de uma rede interna com a Internet ou com uma rede de outra organização.



• Dual-homed host architecture

• Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes.

• Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente.

• Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo.

Firewall – Arquiteturas


• Dual-homed host architecture



• Screened host architecture

• Formada por um filtro de pacotes e um bastion host.

• O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host.

• O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a internet por meio dele.



• Screened host architecture



• Screened subnet architecture

• Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ.

• Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet.

• O bastion host fica na DMZ, que funciona como uma área de confinamento entre a rede interna e a rede externa, posicionada entre dois filtros.



• Screened subnet architecture



Exercícios49. [52](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2006 – ESAF) Firewall é um componente de soluções para a segurança de redes. Em relação a este componente é correto afirmar que

a) um host dual-homed deve ser protegido com cautela porque é vulnerável a ataques, uma vez que está exposto à Internet, além de ser o principal ponto de conexão para os usuários de redes internas.

b) um servidor proxy, para um protocolo particular ou conjunto de protocolos, executa sob um host dual-homed ou Bastion host, tendo como função avaliar e decidir sobre a aceitação dos pedidos enviados por clientes.

c) NAT (Network Address Translation) é um recurso que permite que uma rede interna tenha endereços IP (Internet Protocol) não roteáveis na Internet. Com NAT é possível conseguir proxy transparente, exceto quando o proxy está em uma máquina diferente da qual está o firewall.

d) a filtragem de pacotes baseada no valor do bit TCP ACK é útil quando a organização quer permitir que usuários externos se conectem a servidores internos e impedir que usuários internos se conectem a servidores externos.

e) são considerados soluções completas de segurança, de tal forma que outros controles e verificações de segurança podem falhar sem causar danos à organização.


Exercícios50. (Tecnologista – Classe Pleno I – Padrão I – ABIN/2004 – CESPE)

Com relação aos diversos aspectos de segurança de um sistema de informações, julgue o item.

1 [67] O termo DMZ (demilitarized zone) é normalmente empregado para designar uma pequena rede, geralmente contendo um servidor web, situada entre a rede interna da organização e a rede pública. O tráfego para essa zona é controlado por meio de firewalls de forma a permitir que qualquer usuário externo tenha acesso à DMZ (serviço web), mas não à rede interna, e que usuários internos possam ter acesso à Internet.

51. (Analista Judiciário – Análise de Sistemas – TRE-BA/2010 – CESPE) Julgue os itens a seguir referentes à administração de redes de dados.

1 [48] DMZ (demilitarized zone network) é uma solução de segurança para redes na qual é criada uma rede intermediária entre a rede externa e a rede interna. Assim, não é possível implementar uma DMZ utilizando um único firewall.


Exercícios52. (Técnico Científico – Tecnologia da Informação – Suporte Técnico – Banco

da Amazônia S.A./2009 – CESPE) Quanto a conceitos relacionados a firewall, julgue o item subsequente.

1. [89] Uma zona desmilitarizada (DMZ) é uma porção da rede onde encontram-se, geralmente, os servidores de acesso externo da organização, como por exemplo, WWW e FTP. A DMZ é criada com o intuito de isolar e proteger a rede interna da organização contra acessos externos. Nesse caso, o firewall deixa passar os acessos destinados à DMZ e bloqueia os acessos destinados à rede interna.

53. (Analista de Saneamento – Analista de Tecnologia da Informação – Atuação em Rede – EMBASA/2010 – CESPE) Um firewall tem três interfaces, conectadas da seguinte forma: uma à rede externa; outra à rede interna; e a terceira a uma DMZ. Nessa situação, considerando que o firewall registre todas as suas ações referentes ao exame do tráfego, julgue os itens seguintes.

1. [99] Nessa situação, as regras do firewall devem: permitir acesso da rede externa apenas aos servidores presentes na DMZ; negar acesso do tráfego da rede externa que tenha como origem endereços da rede interna; e negar acesso do tráfego da rede interna que tenha como origem endereços distintos dos utilizados na rede interna.


• Sistemas de Detecção de Intrusos (Intrusion Detection System – IDS) atuam como mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas em redes, à procura de eventos que possam comprometer os ativos de um sistema de informação ou que possam transpor os mecanismos de proteção.

• O princípio de funcionamento de um IDS é baseado na identificação, delimitação e tratamento dos eventos relevantes para o processo de detecção.

• Estes eventos relevantes são selecionados dentro de um conjunto de eventos possíveis de serem observados em um determinado sistema ou em uma rede.

• Um dos grandes desafios dos sistemas de detecção de intrusos é:

• Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.

IDS


• Falso Positivo: IDS gera um alarme de ataque na ocorrência de um evento ou tráfego normal.

• Falso Negativo: IDS não gera alarme na ocorrência de um evento ou tráfego mal intencionado.

• O falso positivo é um evento observável e relevante que é classificado pelo IDS como um evento intrusivo.

• Seu maior problema é a geração de um grande número de alertas, o que dificulta a administração e a análise das informações do IDS.

IDS


• Já no caso dos falsos negativos, estes podem ocorrer tanto em eventos não observáveis como em eventos observáveis e, dentro deste último grupo, também pode estar presente dentro dos eventos relevantes.

• Seu maior problema é justamente o inverso do falso positivo, ou seja, não há registros da ocorrência de falsos negativos no IDS.

IDS


Exercícios54. [35](Analista Administrativo – Tecnologia da Informação e Comunicação – Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) No contexto de detecção de intrusos, a ausência de alerta quanto à ocorrência de um evento real representa

a) falso positivo.

b) falso negativo.

c) inundação de alertas.

d) ação de sniffers.

e) ação de proxies.


• Quanto ao Método de Detecção, os sistemas de detecção de intrusos são classificados como:

• sistemas de intrusão baseados em anomalias;

• sistemas de detecção baseados em assinatura.

• Quanto à Arquitetura, os sistemas de detecção de intrusos são classificados segundo os critérios localização e alvo.

• Com base na localização, são classificados em: centralizado, hierárquico ou distribuído.

• Com base no alvo, são classificados em:

• sistemas baseados em host;

• sistemas baseados em rede.

IDS - Classificação


• O Sistema de Intrusão Baseado em Anomalia é um método também conhecido como Método Reacionário ou Sistema de Detecção por Comportamento.

• Independente do nome, ele se baseia na análise do comportamento do sistema e na identificação de possíveis desvios, comparando o estado observado a um padrão de comportamento considerado normal.

IDS – Baseado em Anomalia


• As informações a seguir podem ser tomadas como base para identificar o comportamento padrão do sistema/rede e subsidiar na identificação de tráfegos anormais:

• quantidade de tráfego na rede em determinados horários;

• tipos de protocolos que passam na rede e seus prováveis horários;

• carga de processamento da CPU;

• aplicações utilizadas na rede;

• serviços ativos no sistema;

• endereços IP que trafegam pela rede, etc.



• Vantagens:

• possibilita detectar ataques desconhecidos, sendo desnecessária a manutenção de uma base de dados que armazene todos os tipos possíveis de ataques e vulnerabilidades;

• pode ser usado para gerar informações que darão origem a uma assinatura.

• Desvantagens:

• para usar esse método de detecção, é imprescindível que o administrador conheça o comportamento da rede/sistema, o que é muito difícil devido à heterogeneidade e à complexidade desses ambientes.



• Desvantagens:

• devido à dificuldade apresentada no item anterior, esse método leva a um maior número de falsos positivos;

• os relatórios são mais difíceis de serem analisados, não informando dados conclusivos da vulnerabilidade explorada.



• O Sistema de Intrusão Baseado em Assinatura é um método também conhecido como Sistema Preemptivo ou Sistema de Detecção por Abuso.

• Essa técnica busca sequências de ações nitidamente caracterizadas como inválidas, registradas em uma base de dados (assinaturas) que contém o conhecimento acumulado sobre ataques específicos e vulnerabilidades.

IDS – Baseado em Assinaturas


• Vantagens:

• por comparar o tráfego capturado a uma assinatura, o número de falsos positivos é menor, comparado ao método anterior;

• devido ao fato de o número de falsos positivos ser menor, e também porque o alarme gerado pelo IDS irá mostrar a que tipo de ataque o tráfego corresponde (devido à assinatura a qual foi comparado), faz-se possível a adoção de contramedida;

• redução na quantidade de informação tratada, isto é, o alarme é mais preciso e evidente;

• permite diagnosticar, de maneira rápida e confiável, a utilização de determinadas ferramentas ou técnicas específicas de ataque, auxiliando os gerentes a verificarem as correções necessárias.



• Desvantagens:

• como o método é baseado em assinaturas, a detecção só ocorre para ataques conhecidos, por isso mesmo não permite detectar variações de um mesmo ataque, pois as assinaturas são utilizadas com muita rigidez;

• faz-se necessária a manutenção freqüente na base de dados que contém as assinaturas.



Exercícios55. [63](Analista Técnico – Tecnologia da Informação – SUSEP/2006 – ESAF) A segurança em redes de computadores possui algumas propriedades desejáveis, a saber: confidencialidade, autenticidade e integridade das mensagens em tráfego. É correto, portanto, afirmar acerca de tal contexto que

a) DoS/DDoS (Denial of Service/Distributed Denial of Service), mesmo sob a forma de flooding simples são considerados ataques passivos.

b) a detecção de intrusão baseada em regras engloba a coleta de dados e sua análise, tendo como base o comportamento legítimo de usuários, num dado intervalo de tempo.

c) firewalls são soluções que auxiliam a detecção de intrusos, nos quais a DMZ (De-Militarized Zone) é construída sobre hosts dual-homed, que agem como roteadores entre as redes interna-externa.

d) uma contramedida aceitável para o IP (Internet Protocol) spoofing é descartar pacotes com um endereço IP interno à rede, mas que chega a partir de uma interface externa.

e) o firewall de nível de aplicação aplica um conjunto de regras aos pacotes, liberando-os na rede ou bloqueando-os, com base nos campos do cabeçalho IP (Internet Protocol) e de transporte.


• Outro aspecto importante em um IDS é a sua arquitetura, pois uma arquitetura bem elaborada é um dos fatores que irão determinar o cumprimento adequado de seu papel.

• Dois elementos influenciam diretamente na arquitetura: a localização e o alvo.

• O alvo diz respeito ao sistema que ele irá analisar, se um Host ou um Segmento de Rede.

• A localização diz respeito à forma com que os componentes do IDS irão se relacionar, podendo ser centralizada, hierárquica ou distribuída.

IDS – Classificação (Arquitetura)


• Centralizado: todos os componentes do IDS estão localizados no mesmo equipamento.

• Hierárquico: os componentes encontram-se parcialmente distribuídos, isto é, em equipamentos separados, cada um com sua função específica, porém com fortes relações de hierarquia entre eles. Tarefas como a tomada de decisões fica normalmente concentrada em um único ponto.

• Distribuído: possui todos os seus componentes espalhados pelo sistema, com relações mínimas de hierarquia entre eles, não existe centralização de decisões, os componentes trabalham em regime de cooperação para alcançar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentação de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores.

IDS – Classificação (Localização)


• Quando o Sistema de Detecção é baseado em host, dizemos que ele é um HIDS (Host Instrusion Detection System).

• Nele, o software IDS é instalado na mesma máquina em que se deseja realizar a detecção.

• Seu princípio de funcionamento está baseado em verificar os:

• parâmetros de utilização de recursos do sistema;

• registros de log do sistema operacional e dos aplicativos;

• registros de auditoria do sistema;

• níveis de utilização de CPU e memória;

• arquivos de sistema;

• chaves de Registros;

• portas ativas, entre outros.

IDS – HIDS


• Aos sistemas baseados em um segmento de rede se dá o nome de NIDS (Network Intrusion Detection System) e têm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento físico ou wireless.

• Seu princípio de funcionamento está baseado em:

• verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no segmento de rede por ele analisado;

• aplicar mecanismos de proteção específicos para o IDS como, por exemplo, não configurar endereço IP na interface de rede utilizada pelo sensor;

• colocar a placa de rede do sensor em modo promíscuo para capturar todo o tráfego na qual ela esteja conectada.

IDS – NIDS


• Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.

• Passivo:

• apenas detecta, mas não barra o ataque;

• após detecção, um evento é gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a decisão;

• Falsos Positivos são interpretados pelo administrador, diminuindo seus efeitos na rede.

IDS – Comportamento Pós-Detecção


• Ativo:

• ao detectar um ataque, ele próprio, segundo configurações realizadas pelo administrador do sistema, realizará contramedidas automaticamente;

• processos automatizados sem a intervenção do administrador;

• Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso.

IDS – Comportamento Pós-Detecção


Exercícios56. [54](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2006 – ESAF) A respeito da detecção de intrusão é incorreto afirmar que

a) a detecção de intrusos baseia-se na suposição de que o comportamento de intrusos difere do comportamento de usuários legítimos.

b) a detecção baseada em regras compreende a definição de um conjunto de regras usadas para decidir a respeito de um dado comportamento.

c) SDIs (Sistemas de Detecção de Intrusos) de rede utilizam fontes de informação tais como auditoria do sistema operacional e logs do sistema.

d) ataques de DoS (Denial of Service) consistem em sobrecarregar um servidor com uma quantidade excessiva de solicitação e são considerados possíveis de detectar por parte de SDIs.

e) um falso negativo ocorre quando uma ação maléfica é classificada como normal, aumentando as vulnerabilidades.


57. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 – CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue o próximo item.

1 [119] A abordagem de detecção de anomalias por contagem de eventos em intervalos de tempo, com indicação de alarme em caso de ultrapassagem de um limiar, é uma abordagem com baixo índice de falsos positivos e de falsos negativos na detecção de intrusão.

58. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a IDS e firewalls, julgue o item a seguir.

1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à redução de falsos-positivos.

59. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens que se seguem acerca da arquitetura e do gerenciamento dos sistemas de detecção de intrusão (intrusion detection systems — IDS).

1 [114] Na abordagem de detecção estatística de anomalias, definem-se regras de comportamento a serem observadas para decidir se determinado comportamento corresponde ao de um intruso.

Exercícios


2 [115] A utilização de registros de auditoria como entrada para um sistema de detecção de intrusão pode-se dar com os registros nativos de sistemas e aplicações, ou com registros gerados com informações específicas da detecção de intrusão.

60. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 - CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

1 [102] Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

Exercícios


61. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Acerca dos dispositivos de segurança de redes de computadores, julgue os itens subsequentes.

1. [97] IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

2. [98] A ocorrência de falsospositivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

62. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação à segurança de perímetro, julgue o item a seguir.

1 [100] Os IPS detectam anomalias na operação da rede e reportam-nas aos administradores para análise e ação posterior.

Exercícios


63. (Analista de Saneamento – Analista de Tecnologia da Informação – Atuação em Rede – EMBASA/2010 – CESPE) Um firewall tem três interfaces, conectadas da seguinte forma: uma à rede externa; outra à rede interna; e a terceira a uma DMZ. Nessa situação, considerando que o firewall registre todas as suas ações referentes ao exame do tráfego, julgue os item seguinte.

1. [100] Para a proteção do firewall em questão, é correto posicionar um IDS ou IPS, preferencialmente o último, entre a rede externa e o firewall.

Exercícios


• O conceito de rede privada virtual (Virtual Private Network – VPN) surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis. Ex: trafegar informações de forma segura na Internet.

• Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes distintas e que façam parte de uma mesma comunidade.

• Solução para alto custo de enlaces de comunicação dedicados e privados.

VPN


Exercícios64. [54](Analista de Finanças e Controle – Tecnologia da Informação – Infraestrutura de TI – CGU/2008 – ESAF) Assinale a opção que constitui um mecanismo de segurança para redes de computadores.

a) Redes privadas virtuais ou VPN (Virtual Private Networks).

b) Adwares.

c) Keyloggers.

d) Trapdoors.

e) Inundação (flooding).


Exercícios65. [67](Auditor do Tesouro Municipal – Prefeitura de Natal/2008 – ESAF) Uma Rede Privada Virtual (Virtual Private Network - VPN) é um sistema de comunicação

a) utilizado para comunicação entre todos os servidores DNS disponíveis na Internet para transmitir dados de identificação e autenticação de usuários.

b) de alto custo que utiliza os servidores WWW para armazenar grandes volumes de dados para serem transmitidos nos intervalos de tempo de baixa utilização da Internet.

c) de baixo custo que, quando implementadas com protocolos seguros, podem assegurar comunicações seguras através de redes inseguras como, por exemplo, a Internet.

d) de baixo custo que utiliza os protocolos SMTP e POP para a transmissão de dados por meio dos servidores de e-mail.

e) de alto custo utilizado para a transmissão de imagens de alta resolução na Internet.


• Os conceitos que fundamentam a VPN são a criptografia e o tunelamento.

• A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das conexões, e é a base da segurança dos túneis VPN.

• Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é independente da rede e da aplicação, podendo ser aplicada em qualquer forma de comunicação possível de ser roteada, como voz, vídeo e dados.

• O túnel VPN é formado pelo tunelamento que permite a utilização de uma rede pública para o tráfego das informações, até mesmo de protocolos diferentes do IP, por meio da criação de um túnel virtual formado entre as duas partes da conexão.

VPN - Fundamentos


VPN - Tunelamento


66. (Técnico Científico – Tecnologia da Informação – Segurança da Informação – Banco da Amazônia S.A./2009 – CESPE) Com relação a VPN, julgue os itens que se seguem.

1. [118] Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados.

2. [119] Apesar de ser uma opção disponível, não se recomenda o uso de autenticação junto com cifração em VPNs, considerando a diminuição de desempenho.

3. [120] Preferencialmente, as VPNs são implementadas sobre protocolos de rede orientados à conexão como o TCP.

Exercícios


• O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicação entre organizações que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Ex: IPX trafegando em rede IP.

• Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e desvantagens.

• Túnel é a denominação do caminho lógico percorrido pelos pacotes encapsulados.

• Simula a conexão ponto-a-ponto requerida para a transmissão de pacotes através de uma rede pública.

VPN - Tunelamento


• Os túneis podem ser criados de duas diferentes formas - voluntárias e compulsórias.

• No túnel voluntário, o computador do usuário funciona como uma das extremidades do túnel e, também, como cliente do túnel.

• Ele emite uma solicitação VPN para configurar e criar um túnel entre duas máquinas, uma em cada rede privada, e que são conectadas via Internet.

• No túnel compulsório, o computador do usuário não funciona como extremidade do túnel.

VPN – Tipos de Túneis


• Um servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel.

• Utilizando um túnel voluntário, no caso da Internet, o cliente faz uma conexão para um túnel habilitado pelo servidor de acesso no provedor (ISP).

• No tunelamento compulsório com múltiplos clientes, o túnel só é finalizado no momento em que o último usuário do túnel se desconecta.

VPN – Tipos de Túneis


VPN – Túnel Voluntário


VPN – Túnel Compulsório


• Diferentes protocolos podem ser usados:

• GRE (Generic Routing Encapsulation) da Cisco;

• L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force);

• PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

• Os protocolos PPTP e L2TP são utilizados em VPNs discadas, ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através de modens de um provedor de acesso.

• Um ponto a ser considerado nos dois protocolos é que o sigilo, a integridade e a autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que é feito normalmente pelo IPSec.

VPN – Protocolos de Tunelamento


• Uma diferença entre o L2TP e o PPTP é que o L2TP pode ser transparente para o usuário, no sentido de que esse tipo de tunelamento pode ser iniciado no gateway de VPN de um provedor de VPN.

• Quando o PPTP é utilizado, a abordagem é diferente. O tunelamento é sempre iniciado no próprio equipamento do usuário.

• Com isso, o PPTP é mais indicado para a utilização em laptops, por exemplo, quando o usuário poderá se conectar à rede da organização via VPN, por meio desse protocolo.

• O L2TP é utilizado, principalmente, para o tráfego de protocolos diferentes de IP sobre uma rede pública com base em IP.

VPN – Protocolos de Tunelamento


Exercícios67. [53](Analista – Informática – IRB/2006 – ESAF) Pode-se acessar uma rede privada por meio da Internet ou de outra rede pública usando uma Virtual Private Network (VPN). Com relação aos protocolos usados e à sua arquitetura, é correto afirmar que uma VPN

a) não precisa ser cifrada para garantir o sigilo das informações que por ela trafegam, graças à sua característica de encapsulamento.

b) dispensa o uso de firewalls, o que torna seu custo operacional reduzido quando ao acesso à Internet.

c) operando para interligar escritórios de uma mesma empresa garante a segurança dos dados com a alternância entre seus possíveis protocolos durante o processo de comunicação. Neste caso, criptografia não pode ser utilizada na VPN de alta velocidade por comprometer seu desempenho.

d) ativada por PPTP, Point-to-Point Tunneling (protocolo de encapsulamento ponto-a-ponto), é tão segura quanto em uma única rede local de uma empresa.

e) permite uma garantia da qualidade dos serviços prestados, mesmo utilizando-se como meios de comunicação acessos à Internet de baixa qualidade.


• O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada.

• Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

• As funções de gerenciamento de chaves também fazem parte das funções do IPSec.

VPN – IPSec


• O IPSec combina diversas tecnologias diferentes de segurança em um sistema completo que provê confidencialidade, integridade e autenticidade, empregando:

• mecanismo de troca de chaves de Diffie-Hellman;• criptografia de chave pública para assinar as trocas de chave

de Diffie-Hellman, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-the-middle;

• algoritmos de encriptação para grandes volumes de dados, como o DES (Data Encryption Standard);

• algoritmos de hash com utilização de chaves, com o HMAC combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes;

• certificados digitais assinados por uma autoridade certificadora.

VPN – IPSec


• Os requisitos de segurança podem ser divididos em 2 grupos, que são independentes entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a necessidade de cada usuário:

• Autenticação e Integridade;

• Confidencialidade.

• Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

• AH - Autentication Header;

• ESP - Encapsulation Security Payload;

• IKE - Internet Key Exchange.

VPN – IPSec


• Authentication Header (AH): este cabeçalho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabeçalho original que não são alterados entre a origem e o destino; no entanto, não fornece confidencialidade.

• Encapsulating Security Payload (ESP): este cabeçalho protege a confidencialidade, integridade e autenticidade da informação.

• AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicações apenas um deles é suficiente.

• Há dois modos de operação: modo de transporte (nativo) e modo túnel.

VPN – IPSec


Cabeçalho genérico para o modo de transporte

Exemplo de um cabeçalho do modo túnel

VPN – IPSec


• No modo de transporte, somente a informação (payload) é encriptada, enquanto o cabeçalho IP original não é alterado.

• Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pública vejam a origem e o destino do pacote, o que permite processamentos especiais (como de QoS) baseados no cabeçalho do pacote IP.

• No entanto, o cabeçalho da camada 4 (transporte) estará encriptado, limitando a análise do pacote.

• Passando o cabeçalho sem segurança, o modo de transporte permite que um atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o conteúdo das mensagens.

VPN – IPSec – Modo Transporte


• No modo de tunelamento, todo o datagrama IP original é encriptado e passa a ser o payload de um novo pacote IP.

• Este modo permite que um dispositivo de rede, como um roteador, aja como um Proxy IPSec (o dispositivo realiza a encriptação em nome dos terminais).

• O roteador de origem encripta os pacotes e os envia ao longo do túnel IPSec; o roteador de destino decripta o datagrama IP original e o envia ao sistema de destino.

• A grande vantagem do modo de tunelamento é que os sistemas finais não precisam ser modificados para aproveitarem os benefícios da segurança IP; além disto, esse modo também protege contra a análise de tráfego, já que o atacante só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o destino reais.

VPN – IPSec – Modo Túnel


Exercícios68. [39](Analista Administrativo – Tecnologia da Informação e Comunicação – Administração de Rede e Segurança da Informação – ANA/2009 – ESAF) O pacote inteiro em uma extremidade VPN é criptografado – cabeçalho e dados. Nesse caso, os roteadores identificam o endereço-destino

a) por meio de um circuito virtual permanente, criado previamente.

b) através de um circuito virtual temporário entre os envolvidos, previamente estabelecido.

c) por meio de pacotes não são criptografados em VPNs.

d) através de um túnel P estabelecido após a criptografia dos pacotes.

e) por meio de um cabeçalho não-criptografado contendo as informações de endereço adicionado aos pacotes criptografados.


• O IPSec fornece diversas opções para executar a encriptação e autenticação na camada de rede.

• Quando dois nós desejam se comunicar com segurança, eles devem determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).

• Após escolher os algoritmos, as chaves de sessão devem ser trocadas.

• Associação de Segurança é o método utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sessão de comunicação.

• Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizarão os serviços de segurança para se comunicarem.

IPSec – Associações de Segurança


• As SAs são unidirecionais, o que significa que para cada par de sistemas que se comunicam, devemos ter pelo menos duas conexões seguras, uma de A para B e outra de B para A.

• As SAs são identificadas de forma única pela associação entre um número aleatório chamado SPI (Security Parameter Index), o protocolo de segurança (AH ou ESP) e o endereço IP de destino.

• Quando um sistema envia um pacote que requer proteção IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informações, e adiciona o SPI da SA no cabeçalho IPSec.

• Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereço de destino e SPI, e então processa o pacote da forma necessária.

IPSec – Associações de Segurança


• O IPSec assume que as SAs já existem para ser utilizado, mas não especifica como elas serão criadas.

• IETF decidiu dividir o processo em duas partes: o IPSec fornece o processamento dos pacotes, enquanto o IKMP negocia as associações de segurança.

• Após analisar as alternativas disponíveis, o IETF escolheu o IKE como o método padrão para configuração das SAs para o IPSec.

IPSec – IKE


Uso do IKE pelo IPSec

IPSec – IKE


Exercícios69. [09](Analista de Finanças e Controle – Tecnologia da Informação – AFC-CGU/2006 – ESAF) Analise as seguintes afirmações relacionadas a redes de computadores e segurança da informação:

I. Protocolos como POP3 e FTP enviam senhas criptografadas através da rede, tornando essa informação impossível de ser obtida por um invasor que use a detecção de rede.

II. O IPsec pode ser usado para implementar uma verificação de conexão adicional. É possível configurar regras de diretiva que exijam uma negociação de IPsec bem-sucedida a fim de conceder acesso a um conjunto de aplicativos.

III. Na Espionagem na rede (sniffing) os invasores tentam capturar o tráfego da rede com diversos objetivos, entre os quais podem ser citados obter cópias de arquivos importantes durante sua transmissão e obter senhas que permitam estender o seu raio de penetração no ambiente invadido.

IV. Ataques de negação de serviço são ataques direcionados a um usuário específico da Internet.

Indique a opção que contenha todas as afirmações verdadeiras.

a) I e II b) II e III c) III e IV d) I e III e) II e IV


Exercícios70. (Analista de Trânsito – Analista de Sistemas –

DETRAN-DF/2009 - CESPE) Com relação segurança em redes de computadores, julgue os itens a seguir.

1 [120] No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece controle de acesso, integridade de mensagem sem conexões, autenticação e antireplay e a carga útil de segurança do encapsulamento que admite esses mesmos serviços, inclusive confidencialidade. O IPSEC apresenta a desvantagem de não prover o gerenciamento de chaves.

71. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 – CESPE) Julgue os itens a seguir.

1 [108] Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP, necessária para estabelecer conexões TCP através desses roteadores, de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP, necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.


Exercícios2 [109] O protocolo de encapsulamento de carga útil — encapsulation

security payload (ESP) — fornece os serviços de autenticação, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP.

72. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens

1 [97] Na arquitetura de segurança do internet protocol (IP) — IPSec —, a associação de segurança é um relacionamento bidirecional entre um emissor e um receptor, que é identificada pelo número do soquete da aplicação usuária.

2 [98] O Internet security association key management protocol (ISA KMP) pode ser usado para a automação da gerência de chaves criptográficas entre o emissor e o receptor no IPSec.

73. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 - CESPE) Julgue os itens seguintes, no que se refere a VPNs.

1 [76] As VPNs utilizam a criptografia para estabelecer um canal de comunicação segura, com confidencialidade, integridade e autenticidade, sobre canais públicos.

2 [78] As VPNs que utilizam túneis TCP são mais seguras que aquelas que utilizam UDP, já que o TCP é confiável, enquanto o UDP não é.


Exercícios

74. (Auditor Federal de Controle Externo – Tecnologia da Informação – TCU/2009 - CESPE) O modelo da figura acima apresenta elementos individualmente nomeados e presentes em uma rede hipotética, acerca dos quais é possível inferir características de protocolos de segurança. Julgue os itens seguintes, acerca das informações apresentadas e de dispositivos de segurança de redes de computadores.


Exercícios

1 [171] Se os Endhosts A e B trocarem vários pacotes por meio de seus respectivos gateways, então não haverá modo fácil de o host C identificar quais dos pacotes IP trafegados entre os gateways A e B são relativos à comunicação entre os Endhosts A e B.

2 [172] Considerando a necessidade de instalar um IDS para proteger a rede A, algumas opções podem ser adotadas, entre elas a de usar um sistema passivo ou ativo, bem como a de usar um sistema baseado em host ou em rede. Se a solução for adotar um sistema passivo e com base em host, então o host C poderá ser uma máquina adequada para essa necessidade. Se a solução for adotar um sistema reativo e embasado na rede, então podem-se usar os gateways A ou B. Se a solução for adotar um sistema reativo e baseado em host, então se poderá usar o host C.

prof. gleyson azevedo 3 em 1 - ti segurança da informação ataques a redes e mecanismos de...

Documents