Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança Autor: Diego Carvalho, André Castro 09 de Março de 2023 Adquirido em @Xinyuu_bot - Telegram Diego Carvalho, André Castro Aula 05 Índice ..............................................................................................................................................................................................1) Equipamentos de Segurança - Completo 3 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 2 138 Adquirido em @Xinyuu_bot - Telegram Sumário Firewall ............................................................................................................................................................... 3 Principais conceitos ........................................................................................................................................ 8 Classificação dos Firewalls ........................................................................................................................... 10 Iptables ......................................................................................................................................................... 21 Protocolo ICAP .............................................................................................................................................. 31 Metodologias de Detecção ........................................................................................................................... 35 IDS................................................................................................................................................................. 38 IPS ................................................................................................................................................................. 41 AntiSpam........................................................................................................................................................... 45 AntiVirus ............................................................................................................................................................ 50 DLP – Data Loss Prevention ............................................................................................................................... 50 E-mail DLP ..................................................................................................................................................... 53 Network DLP ................................................................................................................................................. 54 Endpoint DLP ................................................................................................................................................. 54 Storage DLP .................................................................................................................................................. 55 Cloud DLP...................................................................................................................................................... 56 Arquitetura Zero Trust ....................................................................................................................................... 60 SIEM - Security Information and Event Management ....................................................................................... 63 Questões Comentadas ...................................................................................................................................... 65 Firewall ......................................................................................................................................................... 65 Iptables ......................................................................................................................................................... 72 PROXY .......................................................................................................................................................... 78 Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 3 138 Adquirido em @Xinyuu_bot - Telegram IDS/IPS .......................................................................................................................................................... 79 Questões Comentadas Complementares........................................................................................................... 85 FIREWALL/IPTABLES ...................................................................................................................................... 85 Lista de Questões ............................................................................................................................................ 105 Firewall/Iptables ........................................................................................................................................ 105 Iptables ....................................................................................................................................................... 108 PROXY ........................................................................................................................................................ 111 IDS/IPS ........................................................................................................................................................ 111 Lista de Questões Complementares ................................................................................................................ 115 Firewall/Iptables ......................................................................................................................................... 115 Gabarito ......................................................................................................................................................... 128 Gabarito – Questões CESPE ........................................................................................................................ 128 Gabarito – Questões Complementares ...................................................................................................... 129 Resumo ............................................................................................................................................................ 130 Considerações Finais ....................................................................................................................................... 135 Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 4 138 Adquirido em @Xinyuu_bot - Telegram FIREWALL Falaremos agora de um componente de rede extremamente importante sob a ótica da segurança das redes de comunicação, que é o firewall. A tradução pura do termo Firewall é parede de fogo. Em um cenário natural, temos que ele é o responsável por não deixar o incêndio ser propagado para dentro da rede a qual ele serve como elemento de proteção. Por esse motivo, dizemos que o firewall é o elemento de borda da rede que concentra a entrada e saída dos pacotes da nossa rede. Este é um princípio de segurança conhecido como “choke point” ou ponto único de entrada. Ano: 2021 Banca: CESPE / CEBRASPE Órgão: SEFAZ-CE Provas: CESPE / CEBRASPE - 2021 - SEFAZ- CE - Auditor Fiscal da Receita Estadual Em um firewall corretamente instalado e configurado, toda troca de dados entre a rede interna e a rede externa de uma organização deve passar por ele. Comentários: Conforme nós vimos, a centralização do tráfego é princípio básico de segurança da informação. E ele acontece por meio do Firewall. Gabarito: C A partir dessa situação de concentração do tráfego é possível realizar a monitoração do tráfego, controle, autenticação, além da capacidade de se gerar registros (logs), alertas e trilhas de auditoria. A figura abaixo nos traz uma representação de um possível arranjo de topologia de rede: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 5 138 Adquirido em @Xinyuu_bot - Telegram Aproveitando a imagem, gostaria de definir outro conceito extremamente importante em uma topologia de rede segura. É a tão conhecida DMZ (Demilitarized Zone). A ideia é criar uma área de serviços comuns que podem ser acessados tanto por usuário externos (Internet – rede não confiáveis) como por usuários internos (Intranet – rede confiável). A grande vulnerabilidade se encontra nos serviços e servidores que possibilitam acessos externos. Desse modo, tira-se esses servidores da rede interna para, caso esses sejam comprometidos, não necessariamente implica em comprometimento dos usuários e serviços internos. Uma evolução desse modelo é através da utilização de 2 (dois) firewalls conforme arranjo na imagem a seguir: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 6 138 Adquirido em @Xinyuu_bot - Telegram Reparem que para um atacante conseguir penetrar na rede através dos servidores da DMZ deverá passar por uma segunda camada de segurança. Esse é um conceito de defesa em profundidade muito utilizado. Em relação à forma de arranjo dos firewalls surgem alguns conceitos que aparecem bastante em prova. São elas: dual-homed host, Screened host, Screened Subnet host. Dual-homed host: É formado por um elemento que atua como firewall e possui duas interfaces, sendo uma para a rede externa e uma para a rede interna. Screened host: Formado por um firewall e um Bastion host, tipo de servidor que veremos mais à frente. Especificamente customizado para acessos externos a serviços de forma segura. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 7 138 Adquirido em @Xinyuu_bot - Telegram Screened-subnet host: Tem-se o modelo específico de criação de uma subrede de segurança (DMZ) ou rede de perímetro, a partir da utilização de dois firewalls. Essa implementação pode ser dar também de forma virtual, onde, a partir de um único firewall físico, cria-se dois virtuais com interfaces físicas distintas que isolam complemente as redes. Retomando então a nossa discussão a respeito do firewall, temos que este deverá ser capaz então de interpretar o tráfego que passa por ele e avaliar se a informação é legítima ou maliciosa. Desse modo, os administradores configuram diversas regras que retratam a política de segurança e acesso da rede corporativa. Existem diversos tipos de firewalls no mercado com as mais diversas características e capacidades. Existe ainda a implementação de firewall em servidores Unix ou Linux. No caso do Linux, temos que o firewall é conhecido Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 8 138 Adquirido em @Xinyuu_bot - Telegram como NetFilter e a sua configuração se dá pela ferramenta Iptables. Entretanto, no jargão técnico, diz-se que o firewall do Linux é o próprio Iptables. Veremos algumas características a respeito dele a seguir. Ano: 2021 Banca: FGV Órgão: TJ-RO Prova: FGV - 2021 - TJ-RO - Analista Judiciário - Analista de Sistema - Desenvolvimento de Sistema Roberto foi contratado por uma empresa para implementar uma solução de segurança para proteger sua propriedade intelectual armazenada em sua rede interna, considerando os seguintes requisitos: - único ponto de entrada e saída para a rede interna, de forma que o tráfego bidirecional possa ser verificado e tenha controle de acesso para a rede interna, autorizando apenas o tráfego permitido; - o servidor Web com o site da empresa, instalado na rede interna, deverá ser acessado por clientes oriundos da Internet; e - acesso seguro à rede interna para os funcionários que trabalhem em home office. Para atender aos requisitos solicitados pela empresa, Roberto deve implementar um(a): a) Zona desmilitarizada (DMZ) onde ficará o servidor Web da empresa; outra zona desmilitarizada (DMZ) para o banco de dados que o servidor Web da DMZ anterior faz acesso, cada uma possuindo seus firewalls delimitando seus perímetros; b) Firewall separando as redes interna e externa; um servidor Web após o firewall, de forma que se permita o controle de acesso e o site da empresa fique disponível aos clientes oriundos da Internet; c) Firewall entre a rede interna e a externa, de forma que apenas o tráfego autorizado possa chegar ao site da empresa; antivírus atualizado automaticamente em todos os computadores da rede interna, de forma a protegê-los de malwares quando acessados pelos usuários em home office; d) Firewall para separar a rede interna da Internet; um sistema de detecção de intrusão (IDS), como segundo nível de proteção, caso haja alguma violação do firewall; uma rede privada virtual (VPN) para acesso via home office; e instalação do servidor Web após o firewall; e) Par de firewalls criando uma zona desmilitarizada (DMZ), um para separar a Internet da zona desmilitarizada (DMZ) e o outro para separar a zona desmilitarizada (DMZ) da rede interna; instalação do servidor Web na zona desmilitarizada (DMZ) para acesso via Internet; e configuração de uma rede privada virtual (VPN) para o acesso via home office. Comentários: Exatamente conforme arranjo que vimos nesta seção. Tenham certeza que o melhor arranjo será sempre essa combinação: Rede Interna – Firewall (interno) – DMZ – Firewall (externo) – Internet Gabarito: E Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 9 138 Adquirido em @Xinyuu_bot - Telegram FCC/AL-AP/2020 A equipe que administra a infraestrutura de tecnologia da informação precisa liberar acesso sem filtros de proteção para navegação na internet através de dispositivos móveis autenticados na rede como pertencentes aos visitantes que regularmente comparecem à empresa para reuniões executivas. Para isso, um conjunto de equipamentos servidores de domínio WEB (DNS), servidores FTP e um conjunto de switches WiFi serão mapeados nessa rede de visitantes que implementa A) uma DMZ. B) um IDS. C) uma criptografia. D) um certificado digital. E) um IPS Comentários: Pessoal, tem-se novamente a perspectiva de consumo de serviços por parte de usuários externos à organização. Essa é a característica básica do modelo de implementação de uma DMZ. Gabarito: A Principais conceitos Veremos a seguir diversos conceitos que relacionam os ambientes de segurança e as capacidades dos firewalls. Vamos comentá-las a seguir: o Filtros Capacidade de selecionar o tráfego que será aceito ou bloqueado pelo equipamento. Para tanto, deve-se obter informações dos pacotes a partir das informações dos cabeçalhos dos diversos protocolos utilizados. Pode-se inclusive considerar o estado da conexão conforme será visto posteriormente. É muito importante deixar claro que em nenhuma aplicação de firewall, nativamente, teremos a característica de antivírus, pois esse não é o papel do firewall. Em soluções modernas, temos a implementação de antivírus de forma conjugada em um mesmo equipamento ou appliance, porém, não é o seu papel nativo. o Proxies Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 10 138 Adquirido em @Xinyuu_bot - Telegram São elementos que atuam como intermediários em uma comunicação. O proxy pode ser utilizado para uma política de acesso de clientes internos aos serviços externos, bem como para acesso de clientes externos aos serviços internos. Desse modo, não haverá comunicação direta entre os clientes e servidores nas duas perspectivas. o Bastion hosts É um servidor especializado para fornecer serviços ao público externo. Desse modo, é muito bem customizado, com regras de segurança mais rígidas que mitiguem os possíveis riscos de comprometimento desses servidores. Como regra, é válido lembrar que deve ser instalado exclusivamente os serviços e recursos necessários para o provimento das funcionalidades esperadas, reduzindo assim as possibilidades de surgimento de vulnerabilidades. o HoneyPot É um servidor criado especificamente para obter informações a respeito de possíveis atacantes. A ideia é replicar todos os serviços e principais elementos de implementação de serviços neste servidor, porém, sem dados sigilosos que possam gerar dano ou lesão à instituição. Busca-se ainda deixar algumas vulnerabilidades específicas como atrativos para os atacantes. Além disso, implementa-se uma série de elementos com vistas a monitorar, rastrear e obter o máximo de informações do atacante. Como o próprio nome diz, é um verdadeiro pote de mel para atrair os atacantes! o DMZ Conforme já vimos. Também é conhecido como rede de perímetro. o NAT Apesar de o NAT ter sido criado para resolver o problema de esgotamento de endereços IPv4, o NAT possibilitou a criação de uma camada de segurança através do conceito de segurança por obscuridade. Dessa forma, usuários externos não conseguem identificar em um primeiro momento os endereços internos de uma rede corporativa pois só terá acesso ao endereço público utilizado por essa rede. o VPN A rede privada virtual pode ser criada com uma terminação no firewall. Desse modo, podemos exemplificar com dois cenários. No primeiro, pode-se criar um túnel seguro entre os firewalls da matriz e de uma filial permitindo assim a extensão da rede interna da matriz até a rede da filial através da VPN. Outra aplicação seria o estabelecimento de um túnel seguro a partir de um empregado da empresa que esteja externo à rede. Assim, este pode criar um túnel diretamente no firewall da empresa para ter acesso aos recursos internos. É importante mencionarmos ainda alguns tipos de defesa que não são realizados pelo firewall. Dessa forma, um firewall não é um antivírus ou AntiSpam. Caso haja alguma assinatura específica no conteúdo e o firewall Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 11 138 Adquirido em @Xinyuu_bot - Telegram possua o recurso DEEP INSPECTION, que veremos mais à frente, pode ser que seja identificado alguns aspectos. Porém, a regra é distinguirmos muito bem esses papéis. o Autenticação/certificação Diversos são os requisitos que podem ser considerados para uma autenticação de usuários ou dispositivos. Como exemplo, podemos citar as senhas, certificados digitais, tokens, smartcards ou biometria. Para o caso de certificados digitais pode-se inclusive utilizar a infraestrutura de chaves pública (PKI). É importante mencionar também a importância de se ter uma camada de segurança (firewall) de alta disponibilidade, pois caso esse equipamento dê problema, todo o acesso externo da rede corporativa poderá ser comprometido. Assim, deve-se implementar técnicas de balanceamento de carga e redundância. Classificação dos Firewalls Como eu disse antes, os firewalls são definidos por suas diversas capacidades. Estas são representadas a partir de qual camada o firewall atuará. Ou seja, se um firewall atua no nível da camada de rede, este será capaz de interpretar as informações do cabeçalho dos protocolos dessa camada. Se atuar na camada de aplicação, será capaz de interpretar as informações dos cabeçalhos dos protocolos da camada de aplicação e das camadas inferiores. Ou seja, os firewalls de camada superiores possuem as capacidades das camadas inferiores. Quando se agrupa várias características de firewalls distintos, tem-se o conceito de “Hybrid host”. Portanto, vamos conhecê-los: o Firewall Bridge Esse tipo de firewall atua na camada de enlace do modelo OSI. Justamente por atuar na camada de enlace, temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá diretamente no dispositivo, através de uma interface de conexão física ou através do seu endereço MAC estando no mesmo domínio de Broadcast. Algo semelhante acontece quando se deseja acessar um switch L2 para configuração. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 12 138 Adquirido em @Xinyuu_bot - Telegram Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa frente a sua falta de endereçamento IP, incorrendo em mais uma cada de segurança. Entretanto, perceba que este firewall possui certas limitações a respeito do tipo de informação que ele é capaz de filtrar. o Firewall – Filtro de Pacotes Este é o tipo mais primitivo de implementação de firewalls. Também conhecido como Firewall estático. Ele atua na camada de rede e é capaz de obter algumas informações a respeito da camada de transporte. A sua capacidade básica seria permitir a filtragem a partir dos endereços de origem e destino, bem como as portas de origem e destino. Desse modo, podemos definir os serviços que serão permitidos a partir das portas de operação. Vale mencionar que para o filtro de pacotes, o sentido da informação importa. Logo, deve-se considerar o fluxo de entrada e saída da rede. Entretanto, os filtros de pacotes atuais são capazes de identificar outros parâmetros dos cabeçalhos conforme as figuras a seguir. Os campos escurecidos são aqueles que o firewall do tipo filtro de pacotes considera na sua filtragem. Para o protocolo IP tem-se: Para o protocolo TCP: Para o protocolo UDP: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 13 138 Adquirido em @Xinyuu_bot - Telegram Para o protocolo ICMP: Essas características permitem que seja um modelo simples de ser implementado nos elementos de borda. Veremos que os modelos mais atuais implementam o tipo de firewall statefull. o Filtros de Pacotes Baseados em Estados Também conhecidos como filtro de pacotes dinâmicos ou Statefull. Esse tipo de firewall não se restringe à análise dos cabeçalhos conforme vimos anteriormente. Entretanto, é criada e utilizada uma tabela auxiliar conhecida como tabela de estados. Essa tabela armazena os estados de todas as conexões que foram estabelecidas e passam pelo firewall. Nesse sentido, é considerado dinâmico pois uma vez que seja aberto e permitido o primeiro fluxo de informação pelo firewall, ele é inteligente o suficiente para identificar as mensagens posteriores que pertencem ao mesmo fluxo, ou seja, à mesma conexão. Assim, ele abre e fecha as portas que forem necessárias conforme evolução da comunicação. Importante lembrar que quando falamos de conexão estabelecida, estamos falando do protocolo TCP. Entretanto, o firewall statefull utiliza um conceito baseado em contextos que permite a criação de uma conexão virtual para o protocolo UDP, identificando assim fluxos de pacotes UDP que fazem parte de um mesmo serviço. Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte) Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 14 138 Adquirido em @Xinyuu_bot - Telegram Assinale a opção que indica o tipo de firewall caracterizado por identificar os protocolos dos pacotes e comparar os padrões da comunicação pretendida aos padrões de comunicação esperados, estabelecidos em tabelas de estados, autorizando que o tráfego somente ocorra em caso de convergência. a) Filtro de pacotes b) Stateful inspection c) Proxy d) Dual homed e) Circuit Level Comentários: Ainda não vimos alguns conceitos, mas já vamos arrematar o conceito associado ao Stateful inspection, e como ele aparece em prova. Vejam que o enunciado traz a descrição de aplicação do firewall para considerar as regras aplicadas que são conferidas em cada fluxo de dados. Até esse ponto, o próprio filtro de pacotes também implementa. Entretanto, a banca menciona o aspecto de tabelas de estado, e, nesse aspecto, restringe-se o conceito ao firewall Statefull. Gabarito: B (FGV/TJDFT/Suporte em TI/2022) Um órgão que lida com muitos documentos sigilosos sinalizou para sua equipe de Tecnologia da Informação (TI) sua preocupação quanto a uma invasão cibernética e roubo desses documentos. Para incrementar a segurança da rede desse órgão, a equipe de TI instalou um equipamento capaz de verificar as conexões TCP em andamento antes de permitir a passagem de um determinado pacote. O equipamento instalado pela equipe de TI utiliza recursos de: A IDS (Intrusion Detection System); B gateway VPN; C gateway de aplicação; D filtro de pacotes tradicionais; E filtro de estado. Comentários: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 15 138 Adquirido em @Xinyuu_bot - Telegram Temos que observar as palavras chaves, pessoal. Lembremos que os firewalls tradicionais são os filtros de pacotes que conseguem tratar, simplesmente, dados do cabeçalho de rede e alguns poucos dados da camada de transporte. Já o firewall statefull, ou por filtro de estado, consegue impor uma outra dinâmica, observados os fluxos originários, que indicarão as próximas portas a serem abertas para a comunicação ser completa. Na prática, toda comunicação derivada da primeira, passa a ser considerada confiável. Gabarito: E o Proxy Os proxies também fazem parte da classificação de firewalls. Estes possuem a capacidade de atuar a nível da camada de aplicação averiguando as informações dos cabeçalhos que fazem parte dessa camada. Um ponto importante é que os firewalls do tipo filtro de pacotes permitem a comunicação direta entre cliente e servidor. Fato que não acontece com o proxy que faz com que sejam estabelecidas duas conexões. Do cliente com o proxy e do proxy com o servidor. Desse modo, o ponto de destaque é a ausência de comunicação direta entre os dispositivos internos e os serviços/recursos externos. A imagem a seguir representa esse fluxo: É essencial destacar o benefício associado ao desempenho, que não se restringe somente à segurança. Tal aspecto é tratado com o recurso de CACHE. Nesse caso, imaginem que 5 usuários fossem acessar o mesmo recurso ou página WEB na Internet. Todos deveriam, portanto, realizar a conexão, baixar todo o conteúdo e consumir o serviço. Com o CACHE configurado no PROXY, as partes estáticas desse serviço WEB podem ser armazenadas em CACHE no PROXY na primeira consulta. As próximas, poderão consumir esse recurso diretamente, sem necessitar chegar ao servidor WEB novamente. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 16 138 Adquirido em @Xinyuu_bot - Telegram É importante mencionarmos que o proxy, por padrão, não verifica o conteúdo dos pacotes. Ou seja, na camada de aplicação, temos o protocolo HTTP, por exemplo, sendo utilizado, e PDU da camada de aplicação (dados e conteúdo do serviço). Neste aspecto, tais informações, repito, no modo nativo do proxy, não são inspecionadas. Entretanto, no contexto moderno de integração de serviços e recursos, tal regra não se aplica às soluções de proxies e firewalls mais modernas. Estes implementam o serviço/recurso do DEEP INSPECTION, ou inspeção profunda. Esse recurso permite que seja verificado o conteúdo dos pacotes impedindo, portanto, ataques que se utilizem do conteúdo dos pacotes trafegados. A imagem a seguir ilustra bem a capacidade criada: Ou seja, não se restringe aos cabeçalhos e estruturas dos protocolos, mas é capaz de entrar no detalhe do conteúdo, propriamente dito, podendo aplicar regras importantes no tratamento de fluxos dos dados. Traduzindo um pouco mais para o contexto prático, tem-se: Ano: 2021 Banca: CESPE / CEBRASPE Órgão: PG-DF Prova: CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico - Tecnologia e Informação Uma prática recomendável de segurança de um sistema é implantar o firewall em uma estação bastião, que servirá como plataforma para um gateway de nível de aplicação, e configurar cada proxy para suportar apenas um subconjunto dos comandos padrão da aplicação. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 17 138 Adquirido em @Xinyuu_bot - Telegram Comentários: Já vimos que o Bastion Host (estação bastião) faz o papel de elemento de entrada na rede ou contexto de rede. Neste sentido, sem dúvida, ele atua como um Gateway, no sentido de ser o único caminho e fluxo (princípio do choke point). Ademais, é possível criar diferentes instâncias de proxies lógicas para subconjuntos de serviços ou usuários, ou ainda, o próprio conceito de configurações de contexto de aplicação ou usuários dentro do mesmo Proxy, garantindo a sua aplicabilidade em subconjuntos de aplicação. Apesar da péssima escrita, mas a questão está correta. Gabarito: C Apenas para fecharmos esse bloco, menciono que o proxy aberto mais utilizado e criado em Linux é o SQUID. Possui os principais recursos de funcionamento, como regras de filtragem baseadas nos endereços URL’s e listas de acesso. o Proxy reverso Esse conceito gera alguns benefícios na implementação de serviços HTTP no lado do servidor. Entendam lado do servidor quando estamos com ele hospedado na infraestrutura da organização, fornecendo serviços externos. Temos recursos de proteção, balanceamento e distribuição de requisições e armazenamento em cache das informações estáticas. Dessa forma, quando há uma requisição a um objeto estático, o proxy reverso é capaz de responder diretamente à requisição. Já quando há uma requisição a objetos dinâmicos, este repassa a requisição aos servidores internos conforme a porta utilizada do serviço específico. A figura abaixo nos apresenta o modelo comentado: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 18 138 Adquirido em @Xinyuu_bot - Telegram Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Segurança da Informação Sobre funções de um Proxy Reverso, analise os itens a seguir. I. Manter cache de conteúdo estático das requisições originadas na Internet com destino à rede local. II. Distribuir a carga de requisições para uma lista rotativa de servidores. III. Autenticar clientes web como uma precondição para encaminhar o tráfego para servidores backend. Está correto o que se afirma em: a) somente I; b) somente II; c) somente III; d) somente I e II; e) I, II e III. Comentários: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 19 138 Adquirido em @Xinyuu_bot - Telegram Exatamente como falamos. Todos os itens são recursos que podem ser implementados em um PROXY REVERSO para garantia de segurança e desempenho. Gabarito: E o Web Application Firewall - WAF Esse tipo de firewall foi criado especificamente para proteger aplicações WEB (na perspectiva do servidor que oferece o serviço) de ataques sofisticados na camada de aplicação. Logo, também atua na camada 7 do modelo OSI. Muitas arquiteturas trabalham com esse tipo de firewall em conjunto com outros firewalls mais robustos que possuem grande poder de processamento na camada de rede e transporte. Possuem como característica o controle dos tráfegos de entrada e saída, bem como os acessos aos serviços da aplicação. Desse modo, pensando em uma arquitetura, é razoável assumirmos que os WAF’s devem ficar posicionados em frente ao servidor de aplicação. Percebam essa diferença. Ele não protegerá toda a rede. Ele não protegerá os usuários internos. Ele protegerá o servidor de aplicação. Funcionará como uma espécie de Proxy Reverso, mas conceitualmente, são diferentes. Uma característica importante também do WAF é a sua capacidade de analisar fluxo de dados após a sua decriptação. O WAF pode ser implementado tanto em hardware próprio, no modelo conhecido como appliance, como em software, podendo ser incorporado em outros servidores ou soluções de segurança. Ou seja, pode ser tanto físico quanto virtual. A figura a seguir nos mostra o arranjo completo e combinação com os diversos elementos de segurança em uma rede. Veremos ainda nessa aula os demais. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 20 138 Adquirido em @Xinyuu_bot - Telegram Tecendo alguns comentários, começamos, da esquerda para a direita: Proteção DDoS - Busca ser o elemento de FRONT com alta capacidade de processamento para suportar grandes volumes de requisições que se enquadram nos ataques de negação de serviços distribuídos. Falamos sobre esse assunto em aula específica sobre ataques, caso esteja previsto em seu concurso. Firewall de Rede - Conforme já falamos, são os firewalls que atuam na camada de rede e transporte, com características próprias para segurança nessa camada. IDS/IPS - Geralmente são soluções acopladas (em paralelo ou em série) e que atuam em conjunto com o Firewall para análises mais elaboradas com foco em assinaturas e comportamentos. Falaremos um pouco mais sobre esse assunto nesta aula. Balanceador de Carga - Tem a função de distribuir as requisições entre os servidores de aplicação, com vistas a distribuir de maneira proporcional à capacidade de processamento de cada um deles. Web Application Firewall - Conforme já falamos, ele é último elemento de segurança na linha de defesa das aplicações, ficando mais próximos dos servidores de aplicação. Algumas soluções e empresas de segurança avaliam o posicionamento do WAF, às vezes colocando-o de maneira intercalada entre dois balanceadores de carga, ou ainda antes do próprio balanceador de carga, uma vez que o balanceador não é um elemento de segurança propriamente dito. Estudos de empresas de tecnologia apontam que 70% do orçamento de segurança das empresas é investido em soluções para controlar tráfego de rede. Entretanto, estudos também mostram que 70% dos ataques não acontecem nessa camada, mas sim, na camada de aplicação. Por esse motivo esse tipo de solução tem sido cada vez mais comum e necessário nos ambientes corporativos. o Unified Threat Management (UTM) Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 21 138 Adquirido em @Xinyuu_bot - Telegram É conhecido como uma solução capaz de incorporar as diversas tecnologias e soluções em um único equipamento ou appliance. Quando falamos de um UTM, estamos falando dos elementos de segurança que já vimos, acrescidos ainda de recursos de antivírus, antimalwares, segurança para redes sem fio, segurança para acesso remoto (VPN), com capacidade de apuração de altíssimo grau de precisão e diagnósticos/relatórios com uma robustez muito grande de informações. A figura abaixo nos dá essa percepção: Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Segurança da Informação Sobre funções de um Proxy Reverso, analise os itens a seguir. I. Manter cache de conteúdo estático das requisições originadas na Internet com destino à rede local. II. Distribuir a carga de requisições para uma lista rotativa de servidores. III. Autenticar clientes web como uma precondição para encaminhar o tráfego para servidores backend. Está correto o que se afirma em: a) somente I; b) somente II; c) somente III; d) somente I e II; Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 22 138 Adquirido em @Xinyuu_bot - Telegram e) I, II e III. Comentários: Exatamente como falamos. Todos os itens são recursos que podem ser implementados em um PROXY REVERSO para garantia de segurança e desempenho. Gabarito: E Iptables Conforme já adiantei para vocês, o Iptables é a ferramenta ou front-end que implementa o firewall NetFilter de ambientes Linux a partir das soluções de Kernel 2.4. Esse firewall é do tipo filtro de pacotes dinâmico. UFRPE - 2022 - UFRPE - Técnico em Tecnologia da Informação - Desenvolvimento de Sistemas 1) O firewall iptables é capaz de fazer filtragem apenas para pacotes TCP e UDP. Para pacotes de outros pacotes, por exemplo ICMP, deve ser utilizado outro firewall. 2) O firewall iptables foi projetado para utilização em sistema operacionais Windows, e atualmente não possui versão para sistemas operacionais Linux. 3) As regras atualmente em uso no firewall iptables podem ser consultadas através do comando iptables -L . Está(ão) correta(s), apenas: A 1. B 2. C 3. D 1 e 2. E 2 e 3. Comentários: Vamos aos itens: 1) Está errado. Por ser um firewall statefull, é capaz de tratar tráfego ICMP também. 2) Errado pessoal. Conforme vimos, é operacionalizado em LINUX. 3) Veremos a seguir, com mais detalhes os comandos. Mas saibam que este item está certo. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 23 138 Adquirido em @Xinyuu_bot - Telegram Gabarito: C O NetFilter possui três listas ou cadeias (chains) em que serão aplicadas as regras do firewall. São elas: Assim, cada regra criada deverá ser inserida em alguma das três cadeias apresentadas. Além disso, o IPTABLES trabalha também com três tabelas básicas para armazenamento das informações e operações a serem realizadas pelo firewall, quais sejam: Tabela Filter - Essa é a tabela padrão. Aqui são armazenadas todas as regras de filtragem. Tabela Nat - Aqui são armazenadas as regras de aplicações de NAT, ou seja, alterações de endereços de entrar e saída. Tabela Mangle - Armazena informações a respeito da manipulação de pacotes, isto é, caso se deseja alterar alguma flag ou parâmetros dos cabeçalhos. Para referenciar o tipo de tabela ao inserir qualquer comando, utiliza-se o parâmetro “-t”. Caso não seja inserido, utiliza-se a tabela padrão Filter. • Corresponde ao tráfego destinado ao firewall. Isto é, o tráfego que termina no firewall. Por exemplo, um acesso remoto no firewall para sua configuração.INPUT • Corresponde ao tráfego que possui como origem o próprio firewall. Por exemplo, um acesso externo para atualização do repositório de pacotes do firewall.OUTPUT •Corresponde ao tráfego que passa pelo firewall. Ele não é nem a origem e nem o destino. Desse modo, sempre que um cliente interno faz a requisição de serviços na Internet ou um cliente externo solicita serviços internos, a cadeia que será analisada é a FORWARD.FORDWARD Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 24 138 Adquirido em @Xinyuu_bot - Telegram Algumas questões têm cobrado de forma mais detalhada a utilização e configuração do NAT. Para tanto, é importante entendermos os pontos abaixo. Na maioria dos casos de implementação, tem-se um NAT de diversos IP’s internos utilizando um único IP de saída, podendo este ser dinâmico ou não. Algo semelhante ao que temos em nossas residências com o compartilhamento de diversos dispositivos para acesso à Internet. Para tanto, utiliza-se o conceito de mascaramento ou “masquerade”. Assim, tem-se o exemplo abaixo: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Esse comando nos diz que deverá ser inserida a regra acima na tabela NAT ( -t nat). Deve-se utilizar o conceito POSTROUTING, ou seja, aplica-se o NAT após o processamento das regras de filtragem e verificação de regras de roteamento. Além disso, deve-se mascarar os IP’s para o IP da interface de saída ppp0 (-o ppp0 – j masquerade). Desse modo, vamos esclarecer o conceito de POSTROUTING e PREROUTING. Como o Iptables possui a capacidade de modificar a conexão, ou seja, mudar as portas através do NAT, deve-se informar ao KERNEL o momento em que tais mudanças devem ser efetuadas. Existem três Chains/Cadeias: PREROUTING - Utilizada para manipular endereço e porta de destino para os pacotes de entrada na rede. POSTROUTING - Utilizada para manipular o endereço e porta de origem para os pacotes que saem da rede. OUTPUT - Utilizado para manipular o endereço e porta de destino para os pacotes gerado localmente pelo próprio firewall. Percebam que essa CHAIN tem o mesmo nome do tipo de tráfego verificado anteriormente, entretanto, aqui, estamos falando de regras de NAT. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 25 138 Adquirido em @Xinyuu_bot - Telegram Desse modo, pode-se utilizar a “manha” para decorar a regra acima de que SNAT (source NAT) começa com a letra “S”, logo, deve-se utilizar o POSTROUTING, pois este possui a letra “S”. Meio forçado, certo? Logo vamos tentar entender para facilitar as coisas. Quando um pacote chega no firewall, ele deve passar pelas fases constantes no diagrama abaixo: Desse modo, segundo as regras de NAT, se vamos acessar serviços externos a partir de endereços internos, devemos manipular os endereços e portas de origem. Assim, para sabermos se um host interno pode ou não acessar determinado recurso, devemos verificar as informações originais, antes de aplicar o NAT. Por esse motivo, para essa manipulação, deve-se realizar o NAT apenas no POSTROUTING para tratar esses endereços, ou seja, após verificação de regras de filtragem e roteamento. Agora o cenário inverso. Assumindo que algum host externo pretenda acessar algum serviço interno escondido atrás de um NAT. Nesse caso, ele vai apontar para um IP e porta de destino que não correspondem a informações diretas e reais dos servidores, pois estão atrás do NAT. Nesse sentido, deve-se converter esses endereços e portas para posterior análise das regras de filtragem e roteamento, ou seja, deve-se utilizar o PREROUTING para manipular as informações de destino. Ficou claro pessoal? Caso ainda tenham dúvida, leiam novamente esse trecho com mais cautela. eth X (incoming packets) PREROUTING routing decision INPUT local processes OUTPUT FORWARD routing decision POSTROUTING eth Y (outgoing packets) Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 26 138 Adquirido em @Xinyuu_bot - Telegram Antes de avançarmos para a utiização das cláusulas mencionadas, é importante observarmos a relação dos principais comandos ou parâmetros possíveis na utilização do IPTABLES. Aqui não tem segredo pessoal. Tem que pegar a lista e sempre tentar associar e entender as referências e utilização. -L: exibe todas as regras atualmente em uso no IPTables; -s: indica a origem do pacote que será tratado por um firewall; -d: indica o destino do pacote; -j: indica oque deve ser feito com um determinado destino (aceita pacotes, bloqueia pacotes, exclui etc); -A chain: acrescenta a regra a uma determinada chain; -I chain: acrescenta um regra no início -D chain: deleta a regra de uma determinada chain; -R [número da regra atual] [nova regra]: substitui uma regra por outra; -F [chain]: atalho para Flush, que apaga todas as regras de todas as chains do firewall; -P [chain]: define qual interface está sendo tratada em uma determinada entrada de dados. -o [interface]: define em qual interface está sendo tratada a saída de dados; -p: define o tipo de protocolo ao qual a regra se destina. ! : Especifica uma inversão (endereço não é igual a) ou uma exceção -P: Especifica a política padrão -m multiport: Especifica múltiplas portas no sports ou dports (22,80 ou 1:2024) -v: Exibe mais detalhes sobre as regras criadas nos chains. -n: Exibe endereços de máquinas/portas como números ao invés de tentar a resolução DNS. -x: Exibe números exatos ao invés de números redondos. Também mostra a faixa de portas de uma regra de firewall. --line- numbers: Exibe o número da posição da regra na primeira coluna da listagem. -h: Mostrará o help, ajuda de comando. -C: Basicamente checa as regras. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 27 138 Adquirido em @Xinyuu_bot - Telegram -A OUTPUT: A regra se aplica a pacotes de saída, transmitidos pelo próprio servidor. -A INPUT: Especifica que a regra se aplica a pacotes de entrada, ou seja, pacotes recebidos pelo Firewall, em qualquer interface. -A FORWARD: A regra de aplica a pacotes que passam pelo firewall. –dport ou –destination-port: Especifica uma porta. O uso mais comum para esta opção é para abrir portas de entrada (e depois aplicar uma regra que fecha as demais). -j: É usado no final de cada regra, especificando uma ação, que pode ser: -j ACCEPT: Aceita o pacote. Ele é encaminhado ao destino sem passar pelas demais regras. -j REJECT: Rejeita educadamente o pacote, enviando um pacote de resposta ao emissor. Quando uma porta está fechada em modo reject, o emissor recebe rapidamente uma resposta como , “connect to host 192.168.1.1 port 22: Connection refused”. -j DROP: O DROP é mais enfático. O pacote é simplesmente descartado, sem aviso. O emissor fica um longo tempo esperando, até que eventualmente recebe um erro de time-out. VUNESP - 2019 - Câmara de Monte Alto - SP - Analista de Tecnologia da Informação Em um computador com sistema operacional Linux e iptables instalado, a apresentação de todas as regras atuais que estão configuradas pode ser realizada utilizando o comando iptables com a opção: A –A B –C C –F D –L E –P Comentários: Temos aí o principal comando de listagem –L. Vem do inglês list. Para ajudar a memorizar. Gabarito: D E por fim, um último aspecto que merece mencionar é a utilização do Iptables para gerir tráfego IP na versão 6, ou seja, em Ipv6. Nesse caso, deve-se utilizar, antes de qualquer chamada, a referência #ip6tables. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 28 138 Adquirido em @Xinyuu_bot - Telegram IBFC - 2019 - Emdec - Analista de Tecnologia da Informação Jr O IPTables é formado por vários pacotes. Para montar às regras de firewall, quanto ao protocolo IPv6, temos especificamente um pacote. Sobre este, assinale a alternativa correta quando à sua denominação. A 6IPTables B IPTables6 C IPv6Tables D IP6Tables Comentários: Conforme acabamos de ver em nossa teoria. Gabarito: D FCC - 2019 - TJ-MA - Analista Judiciário - Analista de Sistemas - Suporte e Rede O firewall do Linux Iptables é usado para monitorar entradas e saídas de tráfego de dados para o servidor. Em um computador com uma distribuição Linux em condições ideais, para aceitar pacotes do endereço 192.168.1.5, utiliza-se o comando: A iptables -B INPUT -p 192.168.1.5 -j ALLOW B iptables -A INPUT -s 192.168.1.5 -j ACCEPT C iptables -C INPUT -d 192.168.1.5 -p ACCEPT D iptables -A INPUT -d 192.168.1.5 -j ALLOW E iptables -X FORWARD -i 192.168.1.5 -p ACCEPT Comentários: Pessoal, temos facilmente a chamada com o parâmetro –A, para inserir a regra ao final da lista. Além disso, o parâmetro final para aceito é ACCEPT e não ALLOW, confrontando as alternativas B e D. Gabarito: B Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 29 138 Adquirido em @Xinyuu_bot - Telegram Vamos então verificar alguns exemplos de utilização dessas CHAINS. Muita atenção nas interfaces utilizadas em cada uma das CHAINS. Primeiro, vamos verificar a utilização do POSTROUTING para manipulação do SNAT: ## Mudando o endereço de origem para 1.2.3.4 em todos os pacotes que saiam pela interface de saída eth0 # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 ## Mudando o endereço de origem para 1.2.3.4, 1.2.3.5 ou 1.2.3.6. Nesse caso, tem-se disponível vários endereços na interface de saída. # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6 ## Mudando o endereço de origem para 1.2.3.4, portas 1-1023 # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023 Agora, vamos verificar a utilização do PREROUTING para manipulação do DNAT: ## Mudando destino para 5.6.7.8. Utiliza-se a interface de entrada. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8 ## Mudando destino para 5.6.7.8, 5.6.7.9 ou 5.6.7.10. Caso de utilização de um cluster interno que responda por diversos endereços. # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10 ## Mudando destino do tráfego web para 5.6.7.8, porta 8080. # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080 ## Redirecionar pacotes locais com destino a 1.2.3.4 para loopback. # iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1 Há um caso especializado de Destination NAT chamado redirecionamento. É uma simples conveniência, a qual equivale a fazer DNAT para o endereço da própria interface de entrada. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 30 138 Adquirido em @Xinyuu_bot - Telegram ## Mandando tráfego web da porta-80 para um proxy interno transparente na porta 3128 # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 Um outro aspecto que pode parecer na sua prova é relativo ao comando final a partir da efetivação de alguma regra... Basicamente, pode-se efetuar o DROP ou REJECT. A diferença básica dos dois reside no aspecto de que o DROP (recomendável), simplesmente descarta o pacote, não gerando qualquer resposta para a origem. Já o REJECT, ele responde informando que a porta/serviço solicitado não está habilitado ou autorizado. Tal informação de retorno se dá a partir do protocolo ICMP. Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Segurança da Informação A ferramenta iptables é comumente utilizada para limitar o tráfego de dados como forma de proteção contra a entrada de intrusos e a saída de dados secretos. A expressão que inclui uma regra na iptables, definindo o descarte dos pacotes de dados HTTP que chegam na porta 80 em qualquer interface de rede de um dado servidor, é: a) iptables -A OUTPUT -p all --dport 80 -j REJECT b) iptables -A INPUT -p tcp --dport 80 -j DROP c) iptables -A OUTPUT -o eth1 --dport 80 -j DROP d) iptables -A INPUT -i eth1 --dport 80 -j RETURN e) iptables -A OUTPUT -p tcp --dport 80 -j REJECT Comentários: Vejam que ele considera, primeiramente, o descarte. Logo, já temos a cláusula DROP a ser procurada na resposta (opções B e C). E ainda é considerado o fluxo de chegada na interface do servidor, logo, estamos diante da cláusula INPUT. Gabarito: B UFES - 2021 - UFES - Técnico em Tecnologia da Informação Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 31 138 Adquirido em @Xinyuu_bot - Telegram O firewall iptables está presente em grande parte das distribuições do sistema operacional Linux. Sobre o iptables, analise as afirmativas a seguir: I. O nome correto do firewall que faz parte do kernel do sistema Linux é Netfilter. II. iptables é o nome da ferramenta do espaço usuário que oferece a interface necessária para que o administrador configure o firewall Netfilter. III. Por padrão, o iptables possui as seguintes tabelas: i) filter, ii) nat, iii) mangle. IV. A tabela mangle é responsável pelo balanceamento de carga entre as múltiplas interfaces do firewall. É CORRETO o que se afirma em A I e IV, apenas. B II e III, apenas. C III e IV, apenas. D I, II e III, apenas. E I, II, III e IV. Comentários: Uma questão conceito pessoal. Todos os itens, de fato estão corretos, sem muito mais o que acrescentar em cada item. Então vale a pena reler para reforçar os conceitos. Gabarito: E CESPE / CEBRASPE - 2022 - PGE-RJ - Analista de Sistemas e Métodos A configuração do firewall (iptables) para liberar acesso remoto ao servidor apenas para o IP 172.56.16.23, por exemplo, pode ser realizada por meio do seguinte comando. iptables -A INPUT -d 172.56.16.23 -p *.* -j ACCEPT Comentários: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 32 138 Adquirido em @Xinyuu_bot - Telegram Pessoal, o comando a seguir traz como endereço de destino o enunciado, quando deveria ser o parâmetro –s, ou seja, a fonte a ser indicada com o endereço mencionado. Há de se destacar que temos aqui um firewall implementado no próprio servidor, e por isso, utiliza-se o parâmetro INPUT. Gabarito: E Veremos algumas questões que dizem respeito ao código de execução dos comandos para criação, alteração ou exclusão das regras de firewall. Complementarei o aprendizado na resolução das questões que abordem esse assunto. Para os alunos que têm disponibilidade para aprofundar o conhecimento, sugiro a leitura do artigo publicado no link a seguir: http://www.vivaolinux.com.br/dica/Comandos-basicos-e-parametros-do-Iptables Protocolo ICAP O ICAP (Internet Content Adaptation Protocol) é um protocolo baseado no HTTP. Desse modo, possui as características de ser simples e leve como o HTTP. Ele foi criado originalmente para efetuar chamadas remotas em mensagens HTTP. É baseado em uma estrutura de servidores que permitem a alteração dinâmica do tráfego em cada um desses servidores. Estes são mantidos por diversas empresas, fabricantes e provedores com vistas a criar uma estrutura de troca de informações e adaptação de tráfego para sistemas mais seguros. Este protocolo permite que clientes ICAP enviem requisições para os servidores ICAP objetivando a “adaptação do conteúdo”, ou seja, pode-se verificar a existência de um vírus em um dado arquivo a partir de uma consulta a um servidor ICAP. Geralmente é implementado em servidores que pertencem à DMZ. Permite a criação de uma infraestrutura na Internet única de comunicação, integrando diferentes fabricantes e possibilitando a gerência do conteúdo do tráfego entre diferentes serviços. Um assunto que tem aparecido em provas é o SELinux. Já adianto que ele nada tem a ver com a implementação de firewall no Linux, como o Iptables. Em suma, o SELinux é uma extensão de segurança desenvolvida pela NSA, RedHat, entre outros para inserir uma camada de segurança a nível de kernel. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 33 138 Adquirido em @Xinyuu_bot - Telegram O foco de sua aplicação é possibilitar uma maior gerência sobre o controle de acesso ao Sistema Operacional e seus recursos. O bloqueio funciona a nível de usuário e aplicações. Diferentemente do controle de acesso de leitura e escrita de arquivos e diretórios, as mudanças nas permissões do SELinux são mais rígidas e burocráticas, exigindo controle de root. Diversas regras já são preestabelecidas conforme política de segurança do Sistema Operacional. O seu controle chega a nível de processos e chamadas a sistemas, contemplando acessos ao hardware, entre outros. Percebam que a profundidade de controle é muito maior do que um simples controle de sistema de arquivos. O SELinux opera em três modos básicos: Enforcing: neste modo as políticas do SELinux são impostas, ou seja, tudo é analisado, e regras vindas do servidor de segurança são aplicadas. Para colocá-lo nesse modo, usa-se o comando “setenforce 1”. Esse é o modo padrão para REDHAT. Permissive: aqui as regras não são aplicadas. Mas o SELinux registra as ações, que deviriam ser negadas. Para colocá-lo nesse modo, usa-se o comando #setenforce 0. Este é o modo padrão para debian. Disabled: este, como o nome sugere, desabilita o SELinux. Tem-se ainda o parâmetro audit=1 que registra todas as operações negadas. Um outro aspecto abordado pelas bancas diz respeito aos perfis. Por padrão, os usuários operam no modo default SELinux “unconfined_u”, o que possibilita um acesso completo a todo o servidor. Para sua proteção, pode-se criar confinamentos de usuários ou perfis do tipo user_u: xguest_u : este usuário tem acesso às ferramentas GUI e a rede está disponível através do navegador Firefox. user_u : este usuário tem mais acesso do que as contas de convidado (GUI e rede), mas não pode alternar entre usuários executando su ou sudo. system_u : este usuário destina-se a executar serviços do sistema e não deve ser mapeado para contas de usuário regulares. staff_u : mesmos direitos que user_u, exceto que pode executar o comando sudo para ter privilégios de root. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 34 138 Adquirido em @Xinyuu_bot - Telegram A seguir, uma tabela comparativa com as capacidades: User Role Domain X Window System su or sudo Exectute in home directory and /tmp (default) Networking sysadm_u sysadm_r sysadm_t Yes su and sudo Yes Yes staff_u staff_r staff_t Yes only sudo Yes Yes user_u user_r user_t Yes no Yes Yes guest_u guest_r guest_t No no Yes No xguest_u xguest_r xguest_t Yes no Yes Firefox only CESPE / CEBRASPE - 2020 - Ministério da Economia - Tecnologia da Informação – TI Considere que se deseje implementar uma camada extra de segurança no servidor instalado com RedHat 7, para que determinados recursos do sistema operacional sejam permitidos por meio de políticas de segurança. Nesse caso, é correto instalar e configurar o SELinux, de modo que seja possível definir controles de acesso estabelecidos em políticas de segurança, criando-se, assim, um conjunto de regras que estabelecem para o SELinux o que pode e o que não pode ser acessado. Comentários: O SELinux define controles de acesso para aplicações, processos e arquivos em um sistema. Ele usa políticas de segurança, um conjunto de regras que dizem ao Linux o que pode ou não ser acessado, para impor o acesso permitido por uma determinada política. Gabarito: C FGV - 2022 - TJ-DFT - Analista Judiciário - Suporte em Tecnologia da Informação Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 35 138 Adquirido em @Xinyuu_bot - Telegram O analista José gerencia o servidor LServer que executa RHEL (Red Hat Enterprise Linux). O servidor LServer possui o sistema de controle de acesso nativo do RHEL, o SELinux (Security-Enhanced Linux), habilitado no modo Enforcing. José precisa mapear o usuário local user10 do LServer para um dos usuários SELinux nativos do RHEL de forma que o SELinux restrinja os direitos de acesso do user10 ao mínimo necessário. O user10 prescinde de qualquer acesso como superusuário, mas necessita efetuar login no ambiente gráfico. O acesso à rede do user10 se dá apenas com o uso de navegadores web. Portanto, José deve mapear user10 para o usuário SELinux: A user_u; B staff_u; C sysadm_u; D system_u; E xguest_u. Comentários: Vimos que o foco seria no ambiente gráfico, não sendo necessário acesso como superusuário. Logo, temos o xguest_u. Gabarito: E CESPE – TJDFT/Analista Judiciário – Suporte em TI/2015 No modo Permissive, o SELinux estará habilitado, mas apenas gera alarmes e log das ações no sistema. Comentários: Conforme vimos, o modo Permissive, de fato, contempla as ações presentes na assertiva. Gabarito: C Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 36 138 Adquirido em @Xinyuu_bot - Telegram Metodologias de Detecção Conversando um pouco mais sobre segurança, abordaremos um tópico que recorrentemente tem sido cobrado em provas, que são as metodologias de detecção/prevenção, bem como suas principais ferramentas. Quando falamos de metodologia, logo nos remetemos ao seu significado de definir método, princípios ou regras que serão a base para determinados procedimentos. Trazendo esse conceito para a área de segurança, nada mais é do que se definir regras que permitirão a detecção de possíveis ataques e invasões não autorizadas. Nesse sentido, vamos definir de imediato duas bases de conhecimento que são utilizados como parâmetro para nossa conversa ao longo desse capítulo: Base de Conhecimento – A partir de uma lista específica de regras ou assinaturas, pode-se comparar determinados acessos ou pacotes que ali trafegam. Assim, se houver um “hit”, isto é, caso as informações estejam nessa lista, o equipamento poderá tomar alguma atitude. Base de Comportamento – Nesse perfil, temos a análise das características e comportamento dos pacotes ou acessos. A partir de um histórico, pode-se determinar um comportamento considerado normal ou padrão. Caso haja algum acesso ou tráfego de pacote que fuja desse comportamento, considera-se um acesso indevido ou anômalo, cabendo ao equipamento tomar alguma atitude. Para exemplificarmos os conceitos acima, imaginemos que estamos indo a uma festa da elite da sociedade. Assim, trazendo a analogia da “Base de Conhecimento”, teríamos uma lista de nomes e placas de carros que estariam proibidos de entrar na festa. Já com “Base no Comportamento”, a partir do histórico analisado, percebeu-se que todos os convidados chegam com carros importados e com motoristas particulares. Caso cheguemos dirigindo nosso carro popular por conta própria, há uma grande probabilidade de sermos barrados! Já trazendo a associação de equipamentos para os conceitos apresentados, temos que o IDS (Intrusion Detection System) atuará na maioria das vezes com “Base de Conhecimento”, enquanto o IPS (Intrusion Prevent System) atuará na maioria das vezes com “Base de Comportamento”. Veremos algumas outras diferenças desses dois posteriormente. Lembremos sempre que o modelo “Base de Conhecimento” se assemelha ao funcionamento de um antivírus. Percebamos que a eficiência desse modelo depende de uma atualização constante da base de assinaturas. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 37 138 Adquirido em @Xinyuu_bot - Telegram Ainda no nosso campo de conceitos, temos alguns termos muito utilizados referenciando a atuação dos equipamentos após análise das informações. São eles: Tráfego Suspeito Detectado ou Verdadeiro-Positivo - Funcionamento normal do equipamento, onde o tráfego suspeito de fato foi detectado. Varíavel importante e, por isso, queremos aumentar seu resultado. Tráfego Suspeito não Detectado ou Falso-Negativo - Ou seja, era para ser acusado como um tráfego suspeito, porém, não foi acusado. Em termos de analogia, imaginem que um penetra tenha entrado na festa sem ser percebido. Tráfego Legítimo que o Equipamento acusa como suspeito ou Falso-Positivo - Percebam que agora, na nossa analogia, um convidado legítimo foi considerado penetra. Em condições normais e corretas, ele deveria ser capaz de passar sem problemas. Tráfego Legítimo que o Equipamento considera legítimo ou Verdadeiro-Negativo - E para finalizar, temos o comportamento normal de um tráfego legítimo, passando sem nenhum problema pela linha de defesa do sistema. Também é uma varíavel que devemos aumentar sua ocorrência. Então, para ajudar a memorizar, lembrem-se que o Verdadeiro no início é algo bom, ou seja, deve-se buscar aumentar o Verdadeiro-Positivo e o Verdadeiro-Negativo. Enquanto o Falso no início é algo ruim, ou seja, deve-se tentar diminuir o Falso-Negativo e Falso-Positivo. Vamos discutir agora sobre algumas vantagens e desvantagens de cada modelo. Para o modelo “Base de Conhecimento”. Como pontos positivos, podemos citar a baixa taxa de falsos positivos e o tempo de resposta na análise. Como pontos negativos, podemos citar a dependência da base atualizada, dificultando a detecção de novos tipos de ataques; apesar de ter um bom desempenho, pode ser degradado à medida que se aumenta o número de regras para análise. Já o modelo de “Base de Comportamento” que busca desvios de comportamento dos usuários, sistemas e tráfego, foca na análise estatística e heurística. Como ponto positivo podemos citar a capacidade de se detectar novos tipos de ataques, independência de plataforma de Sistema Operacional e/ou arquitetura. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 38 138 Adquirido em @Xinyuu_bot - Telegram Como lado negativo, podemos citar a possibilidade de se gerar muitos falsos positivos com regras mais rígidas de desvios, além de falsos negativos, quando ataques não geram grandes mudanças ou alterações no comportamento. Ano: 2021 Banca: FGV Órgão: Banestes Prova: FGV - 2021 - Banestes - Analista em Tecnologia da Informação - Suporte e Infraestrutura Amanda foi contratada para melhorar a segurança da rede corporativa em que trabalha. A rede vem sofrendo ataques do tipo spam e vírus rotineiramente, pois o antimalware utilizado possui baixa capacidade de diferenciar o que são e-mails e arquivos legítimos do que são ameaças. A baixa acurácia do antimalware causa problemas de lentidão na rede. Para melhorar a taxa de acerto na identificação das ameaças, Amanda deve: a) aumentar o falso positivo e aumentar o verdadeiro positivo; b) reduzir o verdadeiro negativo e aumentar o falso negativo; c) reduzir o falso negativo e reduzir o verdadeiro negativo; d) aumentar o verdadeiro positivo e reduzir o falso negativo; e) reduzir o verdadeiro positivo e aumentar o verdadeiro negativo. Comentários: Lendo rapidamente, dá um nó no cérebro, não é mesmo pessoal? Basta lembrar da regra mencionada antes da questão. “o Verdadeiro no início é algo bom, ou seja, deve-se buscar aumentar o Verdadeiro-Positivo e o Verdadeiro-Negativo. Enquanto o Falso no início é algo ruim, ou seja, deve-se tentar diminuir o Falso- Negativo e Falso-Positivo.” Gabarito: D Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 39 138 Adquirido em @Xinyuu_bot - Telegram IDS Conforme seu próprio nome diz, é um sistema de detecção de intrusão. Logo, em termos de analogia, devemos sempre lembrar de um alarme. Quando algo acontece, ele acusa a ocorrência, porém, em regra, não atua diretamente. Um dos principais IDS’s utilizados é o SNORT, que acaba funcionando também como um IPS. O IDS pode ser categorizado ainda em três tipos: NIDS (Network-Based Intrusion Detecction System) – Esses sistemas buscam atuar a nível da rede, analisando o tráfego de entrada e saída. É o tipo mais utilizado. Como vantagens, podemos citar: o Se bem planejado, pode-se utilizar NIDS em pontos estratégicos da rede, reduzindo custos e aumentando o grau de defesa; o Atuando em modo passivo, não impactam no desempenho da rede; o Difíceis de serem detectados por atacantes; Como desvantagens, podemos citar: o Diante de tráfego intenso, pode não ser muito eficiente; o Os switches e roteadores mais modernos já possuem recursos de NIDS embutidos; o Incapacidade de analisar informações criptografadas; o Incapacidade de bloquear o ataque, restando apenas a detecção; HIDS (Host-Based Intrusion Detecction System) – Atuar a nível de um host específico (servidor ou máquina de usuário) buscando analisar características de acesso indevido da máquina, como tentativas de mudanças de perfil, variações dos componentes físicos, entre outros. Como vantagens, citamos: o Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS. o Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação. o Não são afetados por elementos de rede como switches ou roteadores. Como desvantagens, podemos citar: o Difícil configuração, pois, se deve considerar as características de cada estação; o Podem ser derrubados por DoS; o Degradação de desempenho na estação; IDS baseado em pilhas – É um modelo novo de implementação com grande dependência dos fabricantes, variando, portanto, de características. Entretanto, em regras gerais, tem-se a sua integração à pilha TCP/IP, permitindo a análise dos pacotes à medida que estes são desencapsulados nas diversas camadas. Assim, pode-se detectar ataques antes da informação passar para a camada superior, buscando evitar que chega até a aplicação ou Sistema Operacional. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 40 138 Adquirido em @Xinyuu_bot - Telegram CESPE / CEBRASPE - 2022 - DPE-DF - Analista de Apoio à Assistência Judiciária – Redes Um IDS (intrusion detection system), quando disponibilizado para oferecer detecção somente no servidor da rede onde ele está instalado, é denominado NIDS (network intrusion detection system). Comentários: Muito cuidado com as palavras pessoal. Vejam que o foco é no servidor, e não na rede propriamente dita. A Banca colocou a palavra “rede” apensar para confundir. Então, como o monitoramento será no próprio equipamento, no caso o servidor, teremos um HIDS e não um NIDS, como afirma a questão. Gabarito: Errado Uma observação a acrescentar é a capacidade de um IDS atuar tanto como HIDS e NIDS. Esses são chamados de Hybrid IDS ou IDS híbrido. Além disso das classificações acima, podemos classificar o IDS em categorias conforme seu posicionamento na rede e modo de ação. Em regra, posiciona-se o IDS em paralelo na rede, isto é, ele não afeta o tráfego diretamente, não sendo capaz, portanto, de bloquear o tráfego, conforme verificamos na imagem abaixo: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 41 138 Adquirido em @Xinyuu_bot - Telegram Ainda assim, podemos classificá-lo em modo passivo ou reativo. O primeiro, simplesmente identificará o ataque, gerará logs e alertas acusando o acontecido. Caberá então ao administrador de rede atuar para bloquear o ataque. Já em modo reativo, também será capaz de identificar, gerar log e alerta, entretanto, será capaz de enviar comandos para o firewall ou outros sistemas para alterar suas regras de funcionamento de forma automática para bloquear o ataque. Agora percebam uma coisa, o ataque inicial já ocorreu. Bloqueou-se ataques futuros com a mesma característica, porém, algo danoso já poderá ter ocorrido. Por esse motivo, chamamos de modo reativo. E aqui gostaria de trazer para vocês uma dificuldade de entendimento da banca CESPE. O CESPE não considera o procedimento reativo como um tipo de bloqueio de tráfego padrão. Para esta banca, isto é característica do IPS, conforme veremos a seguir. CESPE – TJ-AC/Técnico Judiciário – Informática/2012 O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que, respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet. Comentários: Ambos podem ser sim considerados ferramentas de rede, lembrando que também podem ser baseadas em host ou pilha. De fato, o IPS protege a rede contra-ataques externos. Entretanto, nada tem a ver o IDS com antivírus em cloud. Gabarito: Errado CESPE / CEBRASPE - 2021 - PG-DF - Técnico Jurídico - Tecnologia e Informação Um firewall pode ser configurado para avisar o IDS de potenciais ataques e para que o sistema dê uma rápida resposta e bloqueie os pacotes de fonte suspeita. Comentários: Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 42 138 Adquirido em @Xinyuu_bot - Telegram Inversão de papeis, certo pessoal? O IDS pode ser configurado para avisar o firewall... Esse seria o fluxo e procedimento correto. Gabarito: Errado IPS Avançando um pouco mais na nossa discussão, chegamos finalmente ao IPS. Muitos consideram como sendo um IDS de posicionamento in-line (em sequência), capaz de bloquear ataques de forma ativa e preventiva. Vejamos a figura abaixo: Percebam que na própria imagem, muitos já consideram o IDS/IPS como sendo uma única caixa. Ficou claro a diferença do IPS (também conhecido como IDS Ativo) com o modo reativo do IDS, pessoal? No primeiro, busca- se evitar que qualquer tipo de ataque aconteça alguma vez, enquanto no segundo, já houve um ataque, cabe agora bloquear posteriormente. Alguns autores ainda trazem a nomenclatura de IDPS, que nada mais é um sistema híbrido que suportam todos os recursos apresentados acima, cabendo ao administrado configurá-lo conforme sua necessidade. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 43 138 Adquirido em @Xinyuu_bot - Telegram CESPE / CEBRASPE - 2021 - PG-DF - Analista Jurídico - Analista de Sistema - Suporte e Infraestrutura A instalação de um software capaz de identificar e alertar uma intrusão em uma estação de trabalho é considerada uma solução de prevenção a intrusão, mesmo que esse software não consiga efetivamente impedir ou bloquear a ação maliciosa. Comentários: Não pessoal. Vejam que a questão foca na identificação e alerta. Ou seja, isso não é característica de prevenção. Temos aí a mera detecção. Gabarito: E FGV - 2022 - TJ-TO - Técnico Judiciário - Informática Acerca de sistemas de detecção de intrusos (IDS e IPS), assinale V para a afirmativa verdadeira e F para a falsa. ( ) Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de IDS baseados em comportamento. ( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques. ( ) IPS baseados em assinatura trazem o risco de bloquear tráfego legitimo. As afirmativas são, respectivamente, A V, V, F. B F, V, V. C F, F, V. D F, F, F. E V, V, V. Comentários: Vamos aos itens pessoal: I – De fato, o aprendizado de máquina, como técnica de aprendizagem contínua com base no histórico dos comportamentos, tem sido utilizado em todos os equipamentos de segurança atualmente, e com o IDS não é diferente. Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 44 138 Adquirido em @Xinyuu_bot - Telegram II – Outra verdade pessoal. Vimos na nossa teoria que o tráfego criptografado só é possível de ser tratado nas pontas, ou seja, onde gera-se a criptografia e onde se descriptograda. Neste contexto, quem é responsável por inspecionar esse tipo de tráfego é o HIDS e não o NIDS. III – Em que pese esse risco seja bem menor quando comparado com o IPS baseado em comportamento, o IPS baseado em assinatura não está isento desta característica. Gabarito: E VUNESP - 2021 – TJM-SP – Analista de Processamento Em relação ao Sistema de Detecção de Intrusão (IDS – Intrusion Detection System) e ao Sistema de Prevenção de Intrusão (IPS – Intrusion Prevention System) tem-se que A o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto. B o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede. C o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos administradores no caso de uma ameaça ser detectada. D um dos métodos que o IPS utiliza é a detecção baseada em assinaturas. E um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor. Comentários: Vamos aos itens: a) Ao contrário pessoal. Na prática hoje, os IPS acabam incorporando as funções do IDS, naturalmente. b) Esse seria o IPS, e não o IDS. c) Agora estamos falando do IDS. d) De fato, como vimos, tanto o IPS quanto o IDS utilizam os métodos de Assinatura e Comportamento. e) Ele começa a descrever a metodologia de comportamento, mas ao final, associa os padrões de identificação exclusiva, que é o método baseado em assinatura. Então houve uma mistura de conceitos. Gabarito: D Diego Carvalho, André Castro Aula 05 TRF 5ª Região (Técnico Judiciário - Apoio Especializado - Informática) Redes e Segurança www.estrategiaconcursos.com.br 45 138 Adquirido em @Xinyuu_bot - Telegram Para efeito de implementação dos IDS’s, podemos considerar três técnicas básicas que