Trabalho de segurana da Informao

Trabalho de segurana da Informao

Prof. Cesar AmaralLista de Exerccios :

1. O que firewall, descreva seus tipos?

Um firewall um programa ou dispositivo de hardware (com um programa embarcado) que filtra os dados que entram ou saem pela conexo de sua rede privada ou conexo com a Internet. Se um pacote oriundo ou com destino Internet identificado como ameaa ao sistema, o firewall no permitir sua passagem.O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurana, eles podem ser de dois tipos, sem estado (stateless) e com estado (statefull).

Os sem estado (stateless) decidem sobre a passagem ou no de um pacote considerando apenas as informaes carregadas no prprio pacote.

O filtro de pacotes stateless tem suas vantagens e desvantagens. Suas vantagens consistem em possuir um baixo overhead, um custo menor, mais simples e flexvel que o statefull e transparente. J suas desvantagens so permitir conexo externa interna, dificuldade de gerenciamento em ambiente complexo, vulnervel a IP spoofing, no oferece autenticao e tem dificuldade de filtrar servios com portas dinmicas (RPC, VoIP, ...) Os firewalls sem estado no analisam o protocolo de aplicao para determinar o tipo de servio transportado pelo pacote. A deduo do tipo de servio feito indiretamente pelo campo Protocol Type do IP. Enfim o firewall esttico proporciona segurana, simplicidade e eficincia para os menos exigentes.

Os com estado (stateful) decidem sobre a passagem ou no de um pacote levando em considerao outros pacotes que atravessaram anteriormente o firewall.No firewall temos dois tipos de filtro: Esttico e Dinmico. No filtro de pacotes dinmico em um firewall temos a possibilidade de ver as ligaes de uma conexo a outra e determinar quais pacotes podem ser transmitidos na rede, aps gravar os endereos IP e a porta utilizada e a conexo for aceita, o filtro de firewall dinmico pode ter uma segurana mais elevada do que um filtro de pacotes esttico.Isso porque, mantendo um registro de todas as conexes que passam por firewall, possvel determinar aes como: conexes previamente estabelecidas ou solicitadas pela rede protegida, ter o trfego garantido, evitando entradas no permitidas na rede. possvel, com esse recurso, efetuar a inspeo continua dos dados, evitando que pacotes modificados (spoofing) entre na rede e cause danos ou comprometa as informaes que trafegam pela rede. Em outras formas de seguranas o filtro de firewall dinmico permite diferentes tipos de proteo, dependendo de como e onde um sistema se conecta a rede, havendo mais possibilidades de restringir e definir regras para usurios que conectam a Internet, ou menos restritivas para um usurio que conecta em uma rede corporativa. Outra proteo o bloqueio de trfego em redes que contm baixa segurana.

2. O que so Sistemas de Deteco de Intruso? (IDS)

Um sistema de deteco de intruses Intrusion Detection System (IDS) monitora o trfico de uma rede de computadores procurando por atividades suspeitas e alerta o sistema ou o administrador da rede. Um IDS composto por vrios componentes como sensores, um console e um engine central. Os sensores geram eventos de segurana, atuando nas DMZs (Demilitarized Zones Zonas Desmilitarizadas) ou nas bordas de uma rede. O console monitora esses eventos e controla os sensores. O engine central armazena os eventos detectados pelos sensores em uma base de dados e utiliza um sistema de regras para gerar alertas desses eventos. Existem diversas maneiras de se configurar um IDS dependendo do tipo e localizao dos sensores e da metodologia utilizada pelo engine para gerar os alertas. Na maioria das implementaes de IDSs os trs componentes so combinados em um nico dispositivo. O IDS classificado como um sistema passivo, uma vez que ao detectar uma possvel ameaa segurana do sistema, somente armazena os dados relacionados ameaa (log) e envia um alerta ao console. Procurando por atividades suspeitas na camada de aplicao, um IDS fornece um nvel maior de segurana se utilizado em conjunto com um firewall tradicional, que analisa endereos IP e portas.

3. O que so Sistemas de Preveno de Intruso? (IPS)

Um sistema reativo, por sua vez, responde atividade suspeita ressetando a conexo ou reprogramando o firewall a fim de bloquear o trfego oriundo da fonte suspeita. Essa reao pode acontecer automaticamente ou sob o comando do administrador da rede.O sistema de preveno de intrusos Intrusion Prevention System (IPS) tem por finalidade prevenir/evitar ataques ou atividades maliciosas na rede, antes que alcance o seu alvo. Este sistema uma evoluo do IDS (Intrusion Detection System). Ao identificar/detectar um ataque na rede, o IPS executa (atravs de algoritmos) aes para derrubar os pacotes maliciosos e permitir que os outros pacotes inofensivos transitem normalmente na rede. Essas aes so desenvolvidas e podem cancelar a conexo invasora e reconfigurar o firewall para bloquear/interceptar o ataque futuramente. O sistema IPS realiza decises de controle de acesso baseados no contedo na aplicao. Existem dois (2) tipos de preveno de intrusos, so eles:

1 - Host Based, que um software introduzido diretamente em aplicaes ou para ser instalados nos usurios da aplicao, onde hospedam as aplicaes.

2 - In-Line so dispositivos de hardware ou software habilitado a detectar e impedir ataques, verificando anomalias, ou utilizado para filtrar assinaturas baseadas (signature based).

4. Quais as diferenas de IDS e IPS?

As diferenas entre firewalls, IDSs e IPSs so bem sutis e tendem a se tornar cada vez mais discretas medida que uma ferramenta assume caractersticas da outra, incorporando novas funcionalidades. 5. Explique como so classificados os IDSs?

Os IDSs podem ser classificados em cinco categorias diferentes, que so apresentadas na seqncia.

1 Network Intrusion Detection System (NIDS) Os sistemas de deteco de intruses de rede so sistemas independentes que identificam ameaas examinando o trfego de toda a rede e monitorando mltiplos hosts. Os NIDSs obtm acesso ao trfego da rede conectando-se a um hub ou switch.

2 Protocol-based Intrusion Detection System (PIDS) Um sistema de deteco de intruses baseados em protocolos consiste de um sistema ou agente que monitora e analisa o protocolo de comunicao entre um dispositivo e a rede na qual atua. Qualquer anomalia reportada ao console.

3 Application-Protocol-based Intrusion Detection System (APIDS) Sistemas de deteco de intruses baseados em protocolos de aplicaes consistem de um sistema ou agente que monitora e analisa a comunicao (protocolo) entre aplicaes especficas. Por exemplo, em um servidor web com banco de dados, um APIDS monitoraria as transaes especficas SQL com o banco de dados 4 Host-based Intrusion Detection System (HBIDS) Um sistema de deteco de intruses baseado em hosts consiste de um agente em uma mquina da rede, que analisa system calls, logs de arquivos, alteraes no sistema de arquivos (arquivos binrios, arquivos de password, etc.) e outras atividades e estados, tentando identificar intruses.

5 Hybrid Intrusion Detection System (HIDS) Um sistema hbrido de deteco de intruses combina duas ou mais das abordagens anteriormente descritas. Dados dos agentes dos hosts so combinados s informaes da rede para produzir uma viso mais ampla da situao da rede.