Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmailC7… · [email protected]. ......

Prof. Gleyson Azevedohttp://groups.google.com.br/group/prof_gleyson 1

BACEN - TISegurança da Informação

Mecanismos de Proteção

Prof. M.Sc. Gleyson [email protected]


RoteiroFirewallIDS/IPSVPNIPSec


FirewallDefinições:

É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas.

É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará.

É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.


Firewall – Definição

Ponto Único

• Controle

• Autenticação

• Registro de Tráfego

Rede 1Rede 1 Rede 2

Um ou mais componentes


Firewall – Definição

Firewall

• Componentes

• Funcionalidades

• Arquitetura

• Tecnologias


FirewallExistem coisas que o firewall NÃO PODE proteger:

do uso malicioso dos serviços que ele é autorizado a liberar;

dos usuários que não passam por ele, ou seja, não verifica o fluxo intra-redes;

dos ataques de engenharia social;

das falhas de seu próprio hardware e sistema operacional.


Firewall – Classificação e Funcionalidades

Classificação:

filtro de pacotes;

filtro de pacotes baseado em estados ou filtro de estado das conexões (stateful);

proxy de serviços.


Firewall – Classificação e Funcionalidades

Funcionalidades:filtros;proxies;bastion hosts;Zonas Desmilitarizadas (DMZ);NAT;VPNautenticação;balanceamento de carga;alta disponibilidade.


Firewall – Evolução

Roteadores – Listas de Controle de Acesso (ACL’s)

Filtros de Pacotes

Filtros de Pacotes baseado em Estados

Proxy


Firewall – Política PadrãoExistem dois tipos de modelo de acesso, ou política padrão, que podem ser aplicados ao firewall:

tudo é permitido, exceto o que for expressamente proibido;

tudo é proibido, exceto o que for expressamente permitido.


Exercícios

1. [37] (Analista de Redes e Comunicação de Dados – MPE-RO/2005 –CESGRANRIO) Qual das funções abaixo um firewall NÃO realiza em uma rede?

(A) Bloquear acesso não autorizado aos aplicativos remotos que podem ser perigosos para a rede.

(B) Criar redes privadas virtuais (VPN).(C) Filtrar URL, negando acesso para sites não autorizados.(D) Suportar varreduras de vírus no correio eletrônico.(E) Tratar códigos maliciosos de ataques do tipo Cavalo-de-Tróia.


Exercícios2. [59] (Análise de Sistemas – Suporte – BNDES/2008 – CESGRANRIO) Uma empresa possui um link com a Internet de 10 Mbps (full-duplex), por meio de um determinado provedor. O site dessa empresa está hospedado em um servidor WEB na seguinte topologia:

Um ataque distribuído de negação de serviço (DDoS) externo está sendo disparado para essa empresa, tendo como alvo o servidor WEB. O link Internet apresenta, do ponto de vista da empresa, utilização máxima no tráfego de entrada e baixa utilização no tráfego de saída. Além disso, o servidor HTTP está sobrecarregado processando, em sua maioria, solicitações de conexão (SYN) oriundas de endereços pertencentes a uma determinada sub-rede com prefixo /26.


Exercícios

De acordo com a situação exposta, é correto afirmar que o(a)

(A) desempenho no acesso de usuários externos ao site não está comprometido, jáque o tráfego de saída está livre.

(B) bloqueio de inundação UDP (UDP Flood) pode ser ativado no firewall para impedir a sobrecarga de conexões do servidor WEB.

(C) roteador de borda deve ser configurado para bloquear todos os endereços que solicitam mais de uma conexão (SYN) por vez.

(D) redução do impacto desse ataque pode ser obtida junto ao provedor, com a configuração de bloqueios específicos de tráfego.

(E) instalação de um IDS entre o roteador e o firewall para prevenção de ataques de buffer overflow impediria o DDoS.


Exercícios

3. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 -CESPE) Com relação à segurança de perímetro, julgue os itens a seguir.

1 [96] O perímetro de segurança da rede pode ser composto de: roteadores de borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com tráfego filtrado.

2 [97] O roteador de borda é o último roteador sobre o qual se pode ter controle antes de entrar, de fato, na Internet. Geralmente, sua operação segue as políticas de roteamento e de acesso, neste caso implementadas por listas de acesso que controlam os tráfegos ingresso e egresso.

3 [98] Firewalls são pontos de concentração de tráfego que controlam o tráfego de entrada e de saída da rede. Entretanto, as regras e as características de implementação e operação lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores.


Exercícios

4. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 -CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados.


Firewall – Filtro de PacotesÉ um dos métodos mais antigos e amplamente disponíveis de controlar o acesso a redes.

Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e também como um recurso da maioria dos roteadores.

Os filtros de pacotes protegem todo o tráfego entre redes verificando apenas parâmetros da camada de rede e de transporte TCP/IP.


Firewall – Filtro de PacotesEste tipo de firewall é implementado como um roteador que, ao realizar suas funções de roteamento, verifica as seguintes informações dos pacotes:

endereços IP de origem e de destino;

tipo de protocolo – TCP, UDP e ICMP;

portas de origem e de destino;

flags IP e TCP;

tipos de mensagens ICMP;

tamanho do pacote.


Firewall – Filtro de PacotesA principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de filtragem estará restrita a verificar somente informações básicas do cabeçalho do pacote.

Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso.

A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das conexões, sendo necessário criar várias linhas de filtragem para se implementar uma única regra.


Firewall – Filtro de PacotesPor exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente.

Sintaxe:

Política [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem [SP] | [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ].


Firewall – Filtro de Pacotes

Regras de Fitragem de Pacotes:ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4 DP=80ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL

SA - Source AddressSP - Source PortDA - Destination AddressSA - Source Address

Firewall

10.2.3.2

Cliente

192.168.1.4

Servidor Web


Firewall – Filtro de PacotesVantagens:

barato, simples e flexível;

alto desempenho da rede;

transparente para o usuário.

Desvantagens:

permite a conexão direta para hosts internos de clientes externos,

difícil de gerenciar em ambientes complexos;

não oferece autenticação de usuários.


Exercícios5. [56] (Engenheiro de Telecomunicações Pleno – PETROBRAS/2006 –CESGRANRIO) Um mecanismo usado nos firewalls é o filtro de pacotes. Um filtro de pacotes pode operar restringindo todas as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos}, exceto os especificados pelo administrador da rede. A figura abaixo mostra um roteador com um firewall que isola da Internet a rede interna de uma empresa.

A tabela a seguir mostra uma representação simplificada da especificação do filtro de pacotes do roteador da empresa em questão, onde aparecem as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos} desbloqueadas.


Exercícios

A tabela a seguir mostra uma representação simplificada da especificação do filtro de pacotes do roteador da empresa em questão, onde aparecem as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos} desbloqueadas.


Exercícios

A partir dessas informações, é correto afirmar que:

(A) nenhum host dentro da empresa pode acessar sites da Internet que usem o HTTP.

(B) nenhum host na Internet poderá acessar o servidor de HTTP na máquina com o IP 130.20.30.25.

(C) somente o IP 200.23.12.20 pode acessar, através de SSH, a máquina com IP 130.20.30.22, excetuando os hosts de dentro da empresa.

(D) qualquer host na Internet pode acessar um servidor de correio eletrônico que está instalado na máquina com IP 130.20.30.23

(E) qualquer host da empresa pode acessar qualquer servidor POP na Internet.


Exercícios

6. [16] (Analista de Nível Superior – Banco de Dados – Casa da Moeda/2009 – CESGRANRIO) O servidor de banco de dados corporativo de uma empresa está isolado por meio de um firewall do tipo filtro de pacotes. Com base nessa informação, analise as afirmativas a seguir.

I – Tal isolamento é efetivo na proteção de ataques do tipo SQL Injection.

II – É possível bloquear o acesso de uma única estação ao banco de dados.

III – Consultas SQL excessivamente longas podem ser bloqueadas no firewall.

Está(ão) correta(s) a(s) afirmativa(s)

(A) I, apenas. (B) II, apenas. (C) III, apenas. (D) II e III, apenas. (E) I, II e III.


Firewall – Filtro de Estado das Conexões (Stateful)

O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto filtra os pacotes.Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com a inteligência adicional do protocolo.Este tipo de firewall examina predominantemente as informações das camadas IP e de transporte de um pacote que inicia uma conexão.Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada é acrescentada em uma tabela de estados.



Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção.Em tese, este método aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados até a camada de aplicação.Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de manipular os estados da conexão, poderá haver queda de desempenho do equipamento.



Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de cada conexão que passa por ele.

Isto é possível com a implementação de uma tabela de estados em que o firewall mantém o relacionamento entre endereços IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP.

Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão.



Estado é a condição de pertencer a uma determinada sessão de comunicação.

A definição desta condição vai depender da aplicação com a qual as partes estão se comunicando e dos protocolos que as partes estão utilizando.

Os protocolos de transporte podem ter o estado de sua conexão rastreado de várias formas.



Muitos dos atributos que compõem uma sessão de comunicação, inclusive os pares de endereço IP, portas de origem e de destino, números de sequência e flags, podem ser utilizados como identificação de uma conexão individual.

A combinação dessas partes de informação normalmente émantida como um hash (resumo) em uma tabela de estado, para facilitar a comparação.



TCP: como é um protocolo baseado em conexão, o estado de suas sessões de comunicação pode ser solidamente definido através de sua Máquina de Estados Finitos (modelo que define todos os estados possíveis do protocolo TCP).A conexão TCP pode assumir 11 estados diferentes (conforme RFC 793).Apesar da desconexão TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informações de conexões inexistentes, é comum a utilização de contadores de tempo para cada conexão.



UDP: é um protocolo de transporte sem conexão, o que dificulta o acompanhamento de seu estado. Na realidade, um protocolo sem conexão não possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado através do registro de itens do UDP que estejam relacionados a uma determinada sessão de comunicação.Como o UDP não possui números de sequência ou flags, os únicos itens que podem servir como base são os pares de endereço IP e a porta de serviço dos dois pontos envolvidos na comunicação.



ICMP: assim como o UDP, o ICMP não possui estado, contudo, também como o UDP, ele dispõe de atributos que permitem que suas conexões sejam acompanhadas de um modo com pseudo-estado.

A parte mais complicada do acompanhamento do ICMP envolve suas comunicações unidirecionais.

O protocolo ICMP normalmente é utilizado para retornar mensagens de erro quando um host ou protocolo não pode fazer isso por conta própria, no que pode ser descrito como uma mensagem de resposta.



As mensagens do tipo resposta do ICMP são precipitadas por solicitações de outros protocolos (TCP, UDP).

Devido a essa questão de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado.

A outra maneira de se utilizar o ICMP é através do seu próprio mecanismo de pedido/resposta, como por exemplo, o ping onde são utilizadas as mensagens de echo-request e echo-replay.



Inspeção com Estado - é o termo utilizado para uma evolução do filtro de estados onde, além das informações relativas ao IP e transporte, também são incluídas informações dos protocolos de aplicação na tabela de estados.

Sua primeira implementação foi com o Check Point F1, com sua linguagem proprietária INSPECT, e de onde surgiu a denominação statefull inspection utilizada por outros firewalls que implementam filtragem com inspeção de estado (Exemplo: Netfilter/Iptables, Cisco PIX).



Vantagens:alto desempenho da rede;aceita quase todos os tipos serviços;transparente para o usuário.

Desvantagens:permite a conexão direta para hosts internos de clientes externos,não oferece autenticação de usuários.


Firewall – Proxy de ServiçosEm geral, um proxy (procurador) é algo ou alguém que faz algo em nome de outra pessoa.

Os serviços proxy são programas aplicativos ou servidores especializados que recebem as solicitações dos usuários e as encaminha para os respectivos servidores reais.

Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o cliente é o proxy.

Seu princípio básico de funcionamento está no fato de que este tipo de firewall não permite a conexão direta entre as entidades finais da comunicação.


Firewall – Proxy de ServiçosNa figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o Proxy do Serviço HTTP.

Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.

O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.


Firewall – Proxy de Serviços


Firewall – Proxy de ServiçosNeste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos datagramas IP.

Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois as duas redes conectadas ao proxy não são visíveis entre si.


Firewall – Proxy de ServiçosVantagens:

Não permite conexões diretas entre hosts internos e hosts externos;Aceita autenticação do usuário;Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes.

Desvantagens:Mais lento do que os filtros de pacotes (somente os gateways de aplicação);Requer um proxy específico pra cada aplicação;Não trata pacotes ICMP.


Firewall – Proxy de ServiçosUma implementação que era bastante comum é a de misturar as funções de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir.Não é uma configuração recomendável devido ao alto consumo de recursos de hardware.


Firewall – Proxy de Serviços


Exercícios

7. [54] (Engenheiro de Telecomunicações Júnior – PETROBRAS/2006 –CESGRANRIO) Firewalls podem usar filtros de pacotes e gateway deaplicação ou conteúdo. Sobre estes, assinale a afirmação correta.

(A) Os filtros de pacotes operam examinando os endereços IP dos pacotes que por eles passam.

(B) Os gateways de aplicação operam na camada de enlace.

(C) Um filtro de pacotes pode funcionar detectando determinada ocorrência de strings de texto no conteúdo de um pacote.

(D) Filtros de pacotes e gateways de aplicação não podem ser usados conjuntamente.

(E) Filtros de pacotes operam na camada física.


Exercícios

8. [53] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas –Informática – CAPES/2008 – CESGRANRIO) O link Internet de uma determinada empresa está sobrecarregado, especificamente o tráfego de entrada, que é caracterizado, em uma sua maioria, por resultados de solicitações HTTP para um pequeno grupo de sites. Uma ação válida para aliviar consideravelmente tal sobrecarga é

(A) instalar Linux nas estações dos usuários para melhor desempenho do browser.

(B) instalar um firewall diretamente no link para aceleração das respostas.

(C) aumentar a memória RAM do roteador de borda.

(D) habilitar um filtro Anti-SPAM no servidor SMTP.

(E) implantar um proxy HTTP que faça cache dos resultados, como o SQUID.


Exercícios

9. (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.

1 [102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna.

2 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um servidor mediante a observação da chegada de pacotes IP fragmentados.

10. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 -CESPE) Com relação às ferramentas de segurança de redes, julgue os itens subsequentes.

1 [72] Os firewalls realizam inspeção de cabeçalho em pacotes e podem abranger as informações das camadas de rede e de transporte.


Exercícios

2 [75] Os firewalls com inspeção de estado são aqueles que, além de realizar a inspeção do cabeçalho, também tratam do protocolo de aplicação.

11. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 -CESPE) Com relação à segurança em redes de computadores, julgue os itens a seguir.

1 [119] Com um proxy HTTP no firewall, os usuários remotos podem estabelecer uma conexão HTTP/TCP com o proxy, que examina o URL contido na mensagem de solicitação. Se a página solicitada for permitida para o host de origem, o Proxy estabelece uma segunda conexão HTTP/TCP com o servidor e para ele encaminha a solicitação.

12. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a firewalls, julgue os itens de 68 a 70.

1 [68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao lidar com pacotes fragmentados.


Exercícios

2 [69] Firewalls que realizam a inspeção de estado normalmente são menos eficazes e seguros que firewalls baseados em filtragem de pacotes.

3 [70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar a inspeção.

13. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir.

1 [116] A filtragem de pacotes sem estado baseia-se na inspeção das informações de cabeçalho para determinar se um pacote pode ou não ser aceito ou transmitido.

2 [117] A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes, o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem.


Exercícios

3 [118] Uma proxy media a conexão de um cliente ou usuário para prover acesso a um serviço de rede, o que evita a conexão direta peer-to-peer.

4 [119] Um firewall embasado em proxy tem melhor desempenho (retardo e throughput, por exemplo) quando comparado a um firewall que opera em camadas mais baixas, visto que, como atua no nível da aplicação, pode inspecionar não só as informações de cabeçalho, como também as dos protocolos de aplicação.

5 [120] Uma desvantagem do uso de um firewall baseado em Proxy é que ele pode ser mais difícil de configurar e operar. Entretanto, o uso de VPNs pode reverter essa situação.

14. (Analista de Redes – MPERR/2008 - CESPE) No que concerne a firewalls, julgue os itens seguintes.

1 [101] Os filtros, nos firewalls embasados na tecnologia de filtragem de pacotes, devem ser aplicados, preferencialmente, quando o tráfego sai do dispositivo.


Exercícios

2 [102] Firewalls embasados na tecnologia de inspeção de estado usam o próprio estado associado ao protocolo inspecionado, sendo, assim, restritos aos protocolos orientados à conexão.

3 [103] Firewalls embasados na tecnologia de filtragem de pacotes oferecem a possibilidade de maior granularidade e especificidade dos filtros, quando comparados com os firewalls embasados na tecnologia de inspeção de estado.

15. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 -CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

1 [98] Um ataque de scanner consiste na monitoração de serviços e versões de software que estão sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexões é capaz de anular os efeitos desse tipo de ataque.

2 [101] Firewall e proxy são sinônimos para descrever equipamentos que realizam conexões de rede externas para nodos que não estejam conectados diretamente à Internet.


Firewall – Zona Desmilitarizada (DMZ)

A utilização de firewall para se conectar uma rede àInternet possibilitou uma topologia de acesso interessante e segura.

Na figura a seguir, tem-se uma rede composta por máquinas clientes, servidores de serviços de Intranet (acessados pelos clientes internos) e servidores de serviços Internet (acessados pela Internet).



Na topologia apresentada, deve-se observar o seguinte:

no mesmo segmento da rede da empresa, há a ocorrência de tráfego local e de tráfego oriundo da Internet;

caso o servidor de serviços de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poderá se propagar para o restante de rede.



Conclusão: Deve ser criado um mecanismo que separe a natureza dos dois tipos de tráfego isolando o servidor que recebe os acessos Internet dos demais servidores e máquinas clientes da rede interna da empresa.

Solução: Criar uma área de rede reservada para a hospedagem dos serviços públicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ).



Objetivos:

evitar que a Internet acesse diretamente serviços dentro de uma rede interna;

separar o tráfego de rede interno do externo;

ligação de uma rede interna com a Internet ou com uma rede de outra organização.


Firewall – ArquiteturasDual-homed host architecture

Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes.

Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente.

Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo.


Firewall – ArquiteturasDual-homed host architecture


Firewall – ArquiteturasScreened host architecture

Formada por um filtro de pacotes e um bastion host.

O filtro deve ter regras que permitam o tráfego ara a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host.

O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a internet por meio dele.


Firewall – ArquiteturasScreened host architecture


Firewall – ArquiteturasScreened subnet architecture

Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ.

Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet.

O bastion host fica na DMZ, que funciona como uma área de confinamento entre a rede interna e a rede externa, posicionada entre dois filtros.


Firewall – ArquiteturasScreened subnet architecture


Exercícios

16. [51] (Analista de Sistemas Pleno – Infraestrutura – PETROBRAS/2006 – CESGRANRIO) As chamadas zonas desmilitarizadas (DMZ) podem ser implementadas a partir de firewalls. Quais dos componentes abaixo, são normalmente encontrados em uma DMZ?

(A) Servidores de bancos de dados.

(B) Servidores Web para Internet.

(C) Servidores DHCP da rede interna.

(D) Estações de trabalho de usuários.

(E) Sistemas legados.


Exercícios

17. [51] (Analista de Suporte de Sistemas – FUNASA/2009 –CESGRANRIO) Organizações que expõem serviços de sua rede à Internet em geral mantêm, entre a rede interna e a Internet, uma subredeconhecida como DMZ, sigla derivada do termo em Inglês DemilitarizedZone (zona desmilitarizada). A principal finalidade da DMZ é proteger a rede interna de ataques externos, razão pela qual o tráfego entre a rede interna e a DMZ deve passar por um firewall, assim como o tráfego entre a DMZ e a Internet. Analise as afirmativas a seguir sobre este tema.

I – É possível implementar uma DMZ, utilizando-se apenas um firewallcom três interfaces de rede.

II – O firewall entre a rede interna e a DMZ deve ser configurado de forma a só permitir que chegue à rede interna tráfego originado na DMZ.

III – Servidores de aplicações e de bancos de dados devem ser colocados na DMZ, o que traz o benefício adicional de protegê-los de ataques internos.


Exercícios

IV – A DMZ deve receber uma faixa de IP válida para a Internet, já que o uso de NAT (Network Address Translation) entre a DMZ e a Internet inviabiliza a exposição dos serviços existentes na DMZ à Internet.

Estão corretas APENAS as afirmativas

(A) I e II.

(B) I e III.

(C) III e IV.

(D) I, II e IV.

(E) II, III e IV.


Exercícios

18. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens de 96 a 109, acerca de tecnologias, protocolos, medidas administrativas e normas referentes à segurança dos sistemas de informação computacional e das redes de comunicação.

1 [101] Na configuração de firewall denominada screened subnet, o roteador externo anuncia à rede externa somente a existência da sub-rede que o liga ao roteador interno, na qual podem estar presentes hospedeiros de guarda (bastião) e outros serviços de informação.

2 [102] Para dificultar a um intruso a instalação de um programa mal-intencionado em um servidor proxy instalado em uma zona desmilitarizada na entrada de uma rede, o programa do proxy deve evitar, na medida do possível, os acessos ao disco no hospedeiro em que se encontra.

3 [103] A contramedida que consiste em o firewall descartar todos os pacotes que usam a opção source routing visa proteger o hospedeiro cliente da comunicação contra a captura pelo servidor de dados privados do cliente.


Exercícios

19. (Analista – Redes – SERPRO/2008 - CESPE) Acerca de segurança de redes e criptografia, julgue os próximos itens.

1 [84] Firewalls por inspeção de estado permitem mais granularidade e especificidade na filtragem de tráfego que filtros de pacotes sem estado.

2 [85] Geralmente, firewalls restringem-se a inspecionar cabeçalhos, sendo ineficazes para filtrar ataques focalizados em vulnerabilidades específicas de aplicações.

20. (Analista Judiciário – Suporte em Tecnologia da Informação –STF/2008 - CESPE) Acerca de segurança em redes de computadores, julgue os itens.

1 [109] Os firewalls baseados em proxies interceptam mensagens de protocolos de aplicação que trafegam entre a rede não protegida e a protegida. Em umarede privada conectada à Internet via um firewall baseado em proxies, um dos endereços IP do firewall pode ser visível na Internet.


Exercícios

21. (Analista de Controle Externo – Auditoria de TI – TCU/2007 - CESPE) julgue os próximos itens, acerca dos conceitos de segurança da informação.

1 [160] Como regra geral, quanto menor for a MTU de um enlace de rede, maior tenderá a ser a fragmentação de segmentos que trafegam nessa rede. Devido àfragmentação, assinaturas de ataques com o protocolo ICMP poderão ser maisdifíceis de detectar, especialmente no caso de o firewall em uso ser do tipo de filtragem de pacotes.

22. (Analista de Controle Externo – Tecnologia da Informação – TCU/2008 - CESPE) Julgue os itens abaixo, relativos à segurança da informação.

1 [178] No caso de o administrador implementar, na ligação da rede à Internet, um firewall do tipo nível de rede, para permitir o funcionamento correto de um servidor DNS no interior de sua rede, será necessário liberar, no firewall, apenas o acesso externo do servidor DNS à porta 53.


Exercícios

2 [179] Se um administrador implementar, na ligação da rede de computadores àInternet, um statefull firewall, as regras de funcionamento que estão implementadas no interior desse firewall atuarão quase que exclusivamente na camada 4 e, eventualmente, na camada 7 do modelo OSI.

3 [180] Se o administrador da rede de computadores tiver de escolher entre implantar um proxy firewall ou um firewall do tipo packet filter, a sua decisão deverá basear-se em um dos dois critérios seguintes: necessidade de atuação na camada de aplicação ou maior vazão de dados. Se o critério preponderante for o primeiro, então, a decisão deve ser favorável à instalação de proxyfirewalls; se for o segundo, deve ser escolhido um packet filter.


IDSSistemas de Detecção de Intrusos (Intrusion DetectionSystem – IDS) atuam como mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas em redes, à procura de eventos que possam comprometer os ativos de um sistema de informação ou que possam transpor os mecanismos de proteção.

O princípio de funcionamento de um IDS é baseado na identificação, delimitação e tratamento dos eventosrelevantes para o processo de detecção.


IDSEstes eventos relevantes são selecionados dentro de um conjunto de eventos possíveis de serem observados em um determinado sistema ou em uma rede.

Um dos grandes desafios dos sistemas de detecção de intrusos é:

Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.


IDSFalso Positivo: IDS gera um alarme de ataque na ocorrência de um evento ou tráfego normal.

Falso Negativo: IDS não gera alarme na ocorrência de um evento ou tráfego mal intencionado.

O falso positivo é um evento observável e relevante que éclassificado pelo IDS como um evento intrusivo.

Seu maior problema é a geração de um grande número de alertas, o que dificulta a administração e a análise das informações do IDS.


IDSJá no caso dos falsos negativos, estes podem ocorrer tanto em eventos não observáveis como em eventos observáveis e, dentro deste último grupo, também pode estar presente dentro dos eventos relevantes.

Seu maior problema é justamente o inverso do falso positivo, ou seja, não há registros da ocorrência de falsos negativos no IDS.


IDS


Exercícios


1 [103] Em um sistema de detecção de intrusão (intrusion detection system —IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar uma intrusão que efetivamente ocorreu.


IDS - ClassificaçãoQuanto ao Método de Detecção, os sistemas de detecção de intrusos são classificados como:

sistemas de intrusão baseados em anomalias;

sistemas de detecção baseados em assinatura.

Quanto à Arquitetura, os sistemas de detecção de intrusos são classificados segundo os critérios localizaçãoe alvo.

Com base na localização, são classificados em:centralizado, hierárquico ou distribuído.


IDS - ClassificaçãoCom base no alvo, são classificados em:

sistemas baseados em host;

sistemas baseados em rede.


IDS – Baseado em AnomaliaO Sistema de Intrusão Baseado em Anomalia é um método também conhecido como Método Reacionárioou Sistema de Detecção por Comportamento.

Independente do nome, ele se baseia na análise do comportamento do sistema e na identificação de possíveis desvios, comparando o estado observado a um padrão de comportamento considerado normal.


IDS – Baseado em AnomaliaAs informações a seguir podem ser tomadas como base para identificar o comportamento padrão do sistema/rede e subsidiar na identificação de tráfegos anormais:

quantidade de tráfego na rede em determinados horários;tipos de protocolos que passam na rede e seus prováveis horários;carga de processamento da CPU;aplicações utilizadas na rede;serviços ativos no sistema;endereços IP que trafegam pela rede, etc.


IDS – Baseado em AnomaliaVantagens:

possibilita detectar ataques desconhecidos, sendo desnecessária a manutenção de uma base de dados que armazene todos os tipos possíveis de ataques e vulnerabilidades;pode ser usado para gerar informações que darão origem a uma assinatura.

Desvantagens:para usar esse método de detecção, é imprescindível que o administrador conheça o comportamento da rede/sistema, o que é muito difícil devido àheterogeneidade e à complexidade desses ambientes.


IDS – Baseado em AnomaliaDesvantagens:

devido à dificuldade apresentada no item anterior, esse método leva a um maior número de falsos positivos;os relatórios são mais difíceis de serem analisados, não informando dados conclusivos da vulnerabilidade explorada.


IDS – Baseado em AssinaturasO Sistema de Intrusão Baseado em Assinatura é um método também conhecido como Sistema Preemptivoou Sistema de Detecção por Abuso.

Essa técnica busca sequências de ações nitidamente caracterizadas como inválidas, registradas em uma base de dados (assinaturas) que contém o conhecimento acumulado sobre ataques específicos e vulnerabilidades.


IDS – Baseado em AssinaturasVantagens:

por comparar o tráfego capturado a uma assinatura, o número de falsos positivos é menor, comparado ao método anterior;

devido ao fato de o número de falsos positivos ser menor, e também porque o alarme gerado pelo IDS irámostrar a que tipo de ataque o tráfego corresponde (devido à assinatura a qual foi comparado), faz-se possível a adoção de contramedida;


IDS – Baseado em AssinaturasVantagens:

redução na quantidade de informação tratada, isto é, o alarme é mais preciso e evidente;

permite diagnosticar, de maneira rápida e confiável, a utilização de determinadas ferramentas ou técnicas específicas de ataque, auxiliando os gerentes a verificarem as correções necessárias.


IDS – Baseado em AssinaturasDesvantagens:

como o método é baseado em assinaturas, a detecção só ocorre para ataques conhecidos, por isso mesmo não permite detectar variações de um mesmo ataque, pois as assinaturas são utilizadas com muita rigidez;faz-se necessária a manutenção freqüente na base de dados que contém as assinaturas.


Exercícios

24. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue o próximo item.

1 [119] A abordagem de detecção de anomalias por contagem de eventos em intervalos de tempo, com indicação de alarme em caso de ultrapassagem de um limiar, é uma abordagem com baixo índice de falsos positivos e de falsos negativos na detecção de intrusão.

25. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a IDS e firewalls, julgue o item a seguir.

1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando àredução de falsos-positivos.


Exercícios

26. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens que se seguem acerca da arquitetura e do gerenciamento dos sistemas de detecção de intrusão (intrusion detection systems — IDS).

1 [114] Na abordagem de detecção estatística de anomalias, definem-se regras de comportamento a serem observadas para decidir se determinado comportamento corresponde ao de um intruso.

2 [115] A utilização de registros de auditoria como entrada para um sistema de detecção de intrusão pode-se dar com os registros nativos de sistemas e aplicações, ou com registros gerados com informações específicas da detecção de intrusão.

3 [116] A medição do tempo decorrido desde o último login é um indicador significativo para a detecção de tentativas de quebra de uma conta de sistema operacional ociosa.


Exercícios

27. (Perito Criminal Federal – Computação Científica – PF-Nacional/2004 -CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

1 [102] Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.


IDS – Classificação Quanto àArquitetura

Outro aspecto importante em um IDS é a sua arquitetura, pois uma arquitetura bem elaborada é um dos fatores que irão determinar o cumprimento adequado de seu papel.

Dois elementos influenciam diretamente na arquitetura: a localização e o alvo.

O alvo diz respeito ao sistema que ele irá analisar, se um Host ou um Segmento de Rede.

A localização diz respeito à forma com que os componentes do IDS irão se relacionar, podendo ser centralizada, hierárquica ou distribuída.


IDS – Classificação Quanto àLocalização

Centralizado: na arquitetura centralizada, todos os componentes do IDS estão localizados no mesmo equipamento.

Hierárquico: nesta arquitetura os componentes encontram-se parcialmente distribuídos, isto é, em equipamentos separados, cada um com sua função específica, porém com fortes relações de hierarquia entre eles. Nesse tipo de arquitetura, tarefas como a tomada de decisões fica normalmente concentrada em um único ponto.


IDS – Classificação Quanto àLocalização

Distribuído: possui todos os seus componentes espalhados pelo sistema, com relações mínimas de hierarquia entre eles, não existe centralização de decisões, os componentes trabalham em regime de cooperação para alcançar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentação de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores.


IDS – Classificação Quanto ao Alvo (HIDS)

Quando o Sistema de Detecção é baseado em host, dizemos que ele é um HIDS (Host Instrusion DetectionSystem).

Nele, o software IDS é instalado na mesma máquina em que se deseja realizar a detecção.

Seu princípio de funcionamento está baseado em verificar os:

parâmetros de utilização de recursos do sistema;

registros de log do sistema operacional e dos aplicativos;


IDS – Classificação Quanto ao Alvo (HIDS)

(Cont.):

registros de auditoria do sistema;

níveis de utilização de CPU e memória;arquivos de sistema;chaves de Registros;portas ativas, entre outros.


IDS – Classificação Quanto ao Alvo (NIDS)

Aos sistemas baseados em um segmento de rede se dá o nome de NIDS (Network Intrusion Detection System) e têm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento físico ou wireless.

Seu princípio de funcionamento está baseado em:

verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no segmento de rede por ele analisado;


IDS – Classificação Quanto ao Alvo (NIDS)

(Cont.):

aplicar mecanismos de proteção específicos para o IDScomo, por exemplo, não configurar endereço IP na interface de rede utilizada pelo sensor;

colocar a placa de rede do sensor em modo promíscuopara capturar todo o tráfego na qual ela esteja conectada.


IDS – Comportamento Pós-Detecção

Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.

Passivo:

apenas detecta, mas não barra o ataque;

após detecção, um evento é gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a decisão;

Falsos Positivos são interpretados pelo administrador, diminuindo seus efeitos na rede.


IDS – Comportamento Pós-Detecção

Ativo:

ao detectar um ataque, ele próprio, segundo configurações realizadas pelo administrador do sistema, realizará contramedidas automaticamente;

processos automatizados sem a intervenção do administrador;

Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso.


Exercícios

28. [65] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas – Informática – CAPES/2008 – CESGRANRIO) São exemplos, respectivamente, de um Firewall e de um sistema de detecção de intrusão:

(A) Nmap e Snort

(B) Kerberos e NMap

(C) IPTables e Snort

(D) IPTables e Kerberos

(E) Snort e PortKnocking


Exercícios

29. [52] (Analista de Sistemas Júnior – TERMOAÇU/2008 – CESGRANRIO) Os dispositivos de IDS – Intrusion Detection System – têm como finalidade básica detectar ataques maliciosos em tempo real permitindo que algumas ações sejam tomadas. São características do IDS, EXCETO:

(A) O agente Network based é capaz de detectar ataques baseados na rede e tomar ações como terminar a conexão ou enviar alerta ao administrador.

(B) O IDS pode identificar um ataque em andamento, mesmo em redes onde o tráfego é criptografado.

(C) O agente Network based deve ser posicionado no segmento cujo ataque se deseja detectar.

(D) O agente Host based deve ser instalado no servidor que se deseja proteger.

(E) Os IDSs, de modo geral, atuam como uma sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante.


Exercícios

30. [54] (Analista de Sistemas Pleno – Infraestrutura – PETROBRAS/2006 – CESGRANRIO) Assinale a afirmação INCORRETA sobre os firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems).

(A) Os IDS podem ser utilizados para detectar e bloquear tentativas feitas por invasores para determinar as regras de filtragem de um firewall.

(B) Os IDS podem monitorar em tempo real os servidores de uma rede e/ou auditar os logs dos servidores à procura de padrões específicos de comportamento.

(C) Os IDS podem ser utilizados para detectar falhas de segurança em uma rede ou computadores antes mesmo que um ataque ou falha ocorra.

(D) Mesmo que os firewalls de uma rede estejam bem configurados, os sistemas IDS continuam necessários.

(E) Um firewall bem configurado deve responder a mensagens ICMP Echo Request.


Exercícios31. [39] (Analista de Sistemas Júnior – Infraestrutura –PETROBRAS/2008 – CESGRANRIO) Durante uma reunião para discutir a segurança em redes de computadores, uma analista de suporte fez as seguintes afirmativas:I – permitir a entrada de tráfego ICMP (Internet Control MessagingProtocol) irrestrito no firewall de uma empresa pode possibilitar que invasores montem um ataque de recusa de serviço;II – Programas IDS (Intrusion Detection System) podem ser utilizados para detectar ataques de varreduras de portas;III – a utilização de senhas fortes é uma contramedida para ataques de força bruta.Está(ão) correta(s) a(s) afirmativa(s)(A) I, apenas.

(B) II, apenas.

(C) III, apenas.

(D) I e II, apenas.

(E) I, II e III.


Exercícios32. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 -

CESPE) Com relação às ferramentas de segurança de redes, julgue os itens subseqüentes.

1 [71] Os sistemas de detecção de intrusão em redes são, normalmente, baseados em escuta de tráfego e comparação de padrões de ataque.

2 [73] Os sistemas de prevenção de intrusão, além de detectarem o tráfego malicioso, são capazes de bloqueá-lo.

3 [74] Os sistemas de detecção e(ou) prevenção de intrusão em redes são muito eficazes.

33. (Informática – Administração de Rede – MC/2008 – CESPE) Com relação a IDS e firewalls, julgue o item a seguir.

1 [67] No que diz respeito ao posicionamento dos IDS, recomenda-se que sejam colocados próximos a dispositivos como firewalls, preferencialmente na rede interna e com utilização de múltiplos sensores.


Exercícios

34. (Analista de Redes – MPERR/2008 - CESPE) No que concerne a NIDS, julgue os itens seguintes.

1 [104] A popularização das redes baseadas em comutadores facilitou a escolha do posicionamento dos sensores de NIDS, tornando-os mais eficazes.

2 [105] Os NIDS permitem a detecção instantânea, e até antecipada, de intrusões, contribuindo para a pró-atividade.

35. (Analista de Redes – Ministério Público do Estado do Amazonas/2008 - CESPE) Com relação à segurança de perímetro, julgue o item a seguir.

1 [100] Os IPS detectam anomalias na operação da rede e reportam-nas aos administradores para análise e ação posterior.


VPNO conceito de rede privada virtual (Virtual PrivateNetwork – VPN) surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis. Ex: trafegar informações de forma segura na Internet.

Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes distintas e que façam parte de uma mesma comunidade.

Solução para alto custo de enlaces de comunicação dedicados e privados.


VPN


VPN - FundamentosOs conceitos que fundamentam a VPN são a criptografia e o tunelamento.

A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das conexões, e é a base da segurança dos túneis VPN.

Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é independente da rede e da aplicação, podendo ser aplicada em qualquer forma de comunicação possível de ser roteada, como voz, vídeo e dados.


VPN - FundamentosO túnel VPN é formado pelo tunelamento que permite a utilização de uma rede pública para o tráfego das informações, até mesmo de protocolos diferentes do IP, por meio da criação de um túnel virtual formado entre as duas partes da conexão.


VPN - Tunelamento


VPN - TunelamentoO conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicação entre organizações que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Ex: IPX trafegando em rede IP.

Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e desvantagens.

Túnel é a denominação do caminho lógico percorrido pelos pacotes encapsulados.

Simula a conexão ponto-a-ponto requerida para a transmissão de pacotes através de uma rede pública.


VPN – Tipos de TúneisOs túneis podem ser criados de duas diferentes formas -voluntárias e compulsórias.

No túnel voluntário, o computador do usuário funciona como uma das extremidades do túnel e, também, como cliente do túnel.

Ele emite uma solicitação VPN para configurar e criar um túnel entre duas máquinas, uma em cada rede privada, e que são conectadas via Internet.

No túnel compulsório, o computador do usuário nãofunciona como extremidade do túnel.


VPN – Tipos de TúneisUm servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel.

Utilizando um túnel voluntário, no caso da Internet, o cliente faz uma conexão para um túnel habilitado pelo servidor de acesso no provedor (ISP).

No tunelamento compulsório com múltiplos clientes, o túnel só é finalizado no momento em que o último usuário do túnel se desconecta.


VPN – Túnel Voluntário


VPN – Túnel Compulsório


VPN – Protocolos de Tunelamento

Diferentes protocolos podem ser usados:

GRE (Generic Routing Encapsulation) da Cisco;

L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force);

PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

Os protocolos PPTP e L2TP são utilizados em VPNsdiscadas, ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através de modensde um provedor de acesso.



Um ponto a ser considerado nos dois protocolos é que osigilo, a integridade e a autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que é feito normalmente pelo IPSec.

Uma diferença entre o L2TP e o PPTP é que o L2TP pode ser transparente para o usuário, no sentido de que esse tipo de tunelamento pode ser iniciado no gateway de VPNde um provedor de VPN.

Quando o PPTP é utilizado, a abordagem é diferente. O tunelamento é sempre iniciado no próprio equipamento do usuário.



Com isso, o PPTP é mais indicado para a utilização em laptops, por exemplo, quando o usuário poderá se conectar à rede da organização via VPN, por meio desse protocolo.

O L2TP é utilizado, principalmente, para o tráfego de protocolos diferentes de IP sobre uma rede pública com base em IP.


Exercícios

36. [52] (Analista em Ciência e Tecnologia Júnior I – Análise de Sistemas – Informática – CAPES/2008 – CESGRANRIO) No âmbito de VPN, que protocolo pode ser usado para tunelamento na camada de enlace?

(A) IPv6

(B) NAT

(C) SSH

(D) L2TP

(E) SSL


VPN – IPSecO IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada.

Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

As funções de gerenciamento de chaves também fazem parte das funções do IPSec.


VPN – IPSecTal como os protocolos de nível 2, o IPSec trabalha como uma solução para interligação de redes e conexões via linha discada.

Ele combina diversas tecnologias diferentes de segurança em um sistema completo que provê confidencialidade, integridade e autenticidade, empregando atualmente:

mecanismo de troca de chaves de Diffie-Hellman;

criptografia de chave pública para assinar as trocas de chave de Diffie-Hellman, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-the-middle;


VPN – IPSec(Cont.):

algoritmos de encriptação para grandes volumes de dados, como o DES (Data Encryption Standard); algoritmos para cálculo de hash com utilização de chaves, com o HMAC combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes; certificados digitais assinados por uma autoridade certificadora.


VPN – IPSecOs requisitos de segurança podem ser divididos em 2 grupos, que são independentes entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a necessidade de cada usuário:

Autenticação e Integridade;

Confidencialidade.


Exercícios

37. [63] (Profissional Júnior – Analista de Sistemas – Ênfase em Infraestrutura – PETROBRAS/2008 – CESGRANRIO) No âmbito de redes virtuais privadas (VPN), que protocolos podem ser usados para tunelamento?

(A) L2TP, BGP

(B) CIFS, SSH

(C) UDP, IPSEC

(D) IPSEC, L2TP

(E) BGP, PPTP


Exercícios

38. [38] (Analista de Redes e Comunicação de Dados – MPE-RO/2005 –CESGRANRIO) Um analista de rede precisa implementar para uma rede um esquema de segurança no qual deve ser disponibilizado um sistema de autenticação entre o cliente e o servidor, além de um mecanismo para proteger a privacidade e a integridade do tráfego que passa pela rede. Assinale a opção que apresenta, respectivamente, uma alternativa de autenticação e de proteção que pode ser utilizada pelo analista.

(A) Kerberos e IPSec.

(B) Kerberos e RPC.

(C) IPSec e Kerberos.

(D) IPSec e RPC.

(E) RPC e Kerberos.


VPN – IPSecPara implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

AH - Autentication Header;

ESP - Encapsulation Security Payload;

IKE - Internet Key Exchange.


VPN – IPSecAuthentication Header (AH): este cabeçalho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabeçalho original que não são alterados entre a origem e o destino; no entanto, não fornece confidencialidade.

Encapsulating Security Payload (ESP): este cabeçalho protege a confidencialidade, integridade e autenticidade da informação.


VPN – IPSecAH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicações apenas umdeles é suficiente.

Há dois modos de operação: modo de transporte (nativo) e modo túnel.


VPN – IPSec

Cabeçalho genérico para o modo de transporte

Exemplo de um cabeçalho do modo túnel


VPN – IPSec – Modo Transporte

No modo de transporte, somente a informação (payload) éencriptada, enquanto o cabeçalho IP original não éalterado.

Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pública vejam a origem e o destino do pacote, o que permite processamentos especiais (como de QoS) baseados no cabeçalho do pacote IP.

No entanto, o cabeçalho da camada 4 (transporte) estaráencriptado, limitando a análise do pacote.


VPN – IPSec – Modo Transporte

Passando o cabeçalho sem segurança, o modo de transporte permite que um atacante faça algumas análises de tráfego, mesmo que ele não consiga decifrar o conteúdo das mensagens.


VPN – IPSec – Modo TúnelNo modo de tunelamento, todo o datagrama IP original éencriptado e passa a ser o payload de um novo pacote IP.

Este modo permite que um dispositivo de rede, como um roteador, aja como um Proxy IPSec (o dispositivo realiza a encriptação em nome dos terminais).

O roteador de origem encripta os pacotes e os envia ao longo do túnel IPSec; o roteador de destino decripta o datagrama IP original e o envia ao sistema de destino.


VPN – IPSec – Modo TúnelA grande vantagem do modo de tunelamento é que os sistemas finais não precisam ser modificados para aproveitarem os benefícios da segurança IP; além disto, esse modo também protege contra a análise de tráfego, jáque o atacante só poderá determinar o ponto de início e de fim dos túneis, e não a origem e o destino reais.


VPN – IPSec – Associações de Segurança (SAs)

O IPSec fornece diversas opções para executar a encriptação e autenticação na camada de rede.

Quando dois nós desejam se comunicar com segurança, eles devem determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).

Após escolher os algoritmos, as chaves de sessão devem ser trocadas.

Associação de Segurança é o método utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sessão de comunicação.



Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizarão os serviços de segurança para se comunicarem.

As SAs são unidirecionais, o que significa que para cada par de sistemas que se comunicam, devemos ter pelo menos duas conexões seguras, uma de A para B e outra de B para A.

As SAs são identificadas de forma única pela associação entre um número aleatório chamado SPI (SecurityParameter Index), o protocolo de segurança (AH ou ESP) e o endereço IP de destino.



Quando um sistema envia um pacote que requer proteção IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informações, e adiciona o SPI da SA no cabeçalho IPSec.

Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereço de destino e SPI, e então processa o pacote da forma necessária.


VPN – Protocolo de Gerenciamento de Chaves (IKE)

O IPSec assume que as SAs já existem para ser utilizado, mas não especifica como elas serão criadas.

IETF decidiu dividir o processo em duas partes: o IPSecfornece o processamento dos pacotes, enquanto o IKMP negocia as associações de segurança.

Após analisar as alternativas disponíveis, o IETF escolheu o IKE como o método padrão para configuração das SAspara o IPSec.


VPN – Protocolo de Gerenciamento de Chaves (IKMP)

Uso do IKE pelo IPSec


Exercícios


1 [101] Na rede de uma organização que tem mais de um local físico, cada um com um firewall, caso seja empregado o protocolo de autenticação de cabeçalho (authentication header) do protocolo de segurança IP (IPSec) nas comunicações entre tais firewalls, será possível a essa organização utilizar a Internet como uma rede privada virtual (virtual private network — VPN), sem comprometer os dados transmitidos.

2 [106] É suficiente estabelecer entre dois roteadores IP acordo de segurança (security agreeement — SA) do protocolo de segurança IP (IPSec) para permitir a autenticação recíproca desses dois roteadores.


Exercícios

40. (Técnico Científico – Tecnologia da Informação – Banco da Amazônia/2006 – CESPE) No tocante a vulnerabilidades, mecanismos, técnicas e políticas de segurança em redes, julgue o item a seguir.

1 [113] As redes privativas virtuais (virtual private network – VPN) são importantes ferramentas para a transmissão segura de informações. Um dos principais protocolos de VPN é o IPSec, que utiliza criptografia em nível de rede e proporciona segurança entre um par de hosts ou um par de gateways de segurança ou, ainda, entre um host e um gateway de segurança no nível IP.

41. (Analista de Tecnologia da Informação – Redes – DATAPREV/2006 -CESPE) Julgue os itens seguintes, no que se refere a VPNs.

1 [76] As VPNs utilizam a criptografia para estabelecer um canal de comunicação segura, com confidencialidade, integridade e autenticidade, sobre canais públicos.

2 [78] As VPNs que utilizam túneis TCP são mais seguras que aquelas que utilizam UDP, já que o TCP é confiável, enquanto o UDP não é.


Exercícios

42. (Analista de Trânsito – Analista de Sistemas – DETRAN-DF/2009 -CESPE) Com relação segurança em redes de computadores, julgue os itens a seguir.

1 [120] No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece controle de acesso, integridade de mensagem sem conexões, autenticação e antireplaye a carga útil de segurança do encapsulamento que admite esses mesmos serviços, inclusive confidencialidade. O IPSEC apresenta a desvantagem de não prover o gerenciamento de chaves.

43. (Analista de Sistemas – Suporte de Infraestrutura – IPEA/2008 –CESPE) Julgue os itens a seguir.

1 [108] Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP, necessária para estabelecer conexões TCP através desses roteadores, de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP, necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.


Exercícios

2 [109] O protocolo de encapsulamento de carga útil — encapsulation securitypayload (ESP) — fornece os serviços de autenticação, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP.

44. (Tecnologista Jr – MCT/2008 – CESPE) Julgue os itens

1 [97] Na arquitetura de segurança do internet protocol (IP) — IPSec —, a associação de segurança é um relacionamento bidirecional entre um emissor e um receptor, que é identificada pelo número do soquete da aplicação usuária.

2 [98] O Internet security association key management protocol (ISA KMP) pode ser usado para a automação da gerência de chaves criptográficas entre o emissor e o receptor no IPSec.


Gabarito das Questões1. E 12. 1E-2E-3E 23. 1E 34. 1E-2E

2. D 13. 1C-2C-3C-4E-5E 24. 1E 35. 1E

3. 1C-2C-3E 14. 1E-2E-3E 25. 1C 36. D

4. 1E 15. 1E-2E 26. 1E-2C-3E 37. D

5. C 16. B 27. 1E 38. A

6. B 17. A 28. C 39. 1E-2E

7. A 18. 1C-2C-3E 29. B 40. 1C

8. E 19. 1C-2C 30. E 41. 1C-2E

9. 1C-2E 20. 1C 31. E 42. 1E

10. 1C-2E 21. 1C 32. 1C-2C-3E 43. 1E-2C

11. 1C 22. 1E-2E-3C 33. 1C 44. 1E-2C

Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmailC7… · [email protected]. ......

Documents

Transcript of Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmailC7… · [email protected]. ......