Prévia do material em texto
Lista de Exercícios 1) O Firewall do linux conhecido como netfilter/iptables atua em qual nível do sistema operacional? R: Como um módulo no nível do núcleo (Kernel) do sistema operacional. 2) Considerando a utilização de uma solução de firewall para definição de regras de acesso. Qual é uma boa estratégia de implantação da solução? R: Concentrar o tráfego de entrada/saída em um ponto único, de forma permitir tomar ações centralizadas. 3) Cite duas tarefas que conceitualmente o firewall não pode realizar? R: Proteger contra falhas de protocolos e aplicações Proteger contra vírus e códigos maliciosos. 4) Quais tipos de regras podem ser criadas em um firewall do tipo filtro de pacote? R: Regras relacionadas aos campos: IP de origem e destino, tipo de protocolo (ip, tcp e udp), porta de origem e destino (TCP ou UDP), tipo de mensagem ICMP e tamanho do pacote. 5) Qual a diferença básica entre um firewall statefull para o stateless? R: Firewalls statefull guardam o estado dos pacotes enviados/recebidos, sendo assim, é possível criar regras mais simples, por exemplo, permitindo a entrada de pacotes na rede interna que sejam respostas de requisições anteriores. 6) Como são chamados os firewall de aplicação? R: Proxies. 7) Quais são as principais funções de um proxy? R: Proxies permitem tomar decisões de tráfego (permitir ou bloquear um pacote) com base nos cabeçalhos e dados dos protocolos da camada de aplicação. Por exemplo: um proxy pode identificar uma requisição de download para um arquivo “.exe”, e tomar a ação de bloquear ou permitir o download. Além disso, proxies permitem realizar cache do tráfego o que frequentemente melhora a performance do acesso e reduz o custo com links de comunicação. Curso: Bacharelado em Sistemas de Informação Professor(a):Claudio Cavalcante Data: /06/2015 Alunos(as): 8) A aplicação conhecida como squid é um proxy ou firewall de pacotes? R: Proxy 9) O que são ACLs em quais suas particularidades na configuração do proxy e firewall? R: São listas de controles de acesso que definem as regras de tráfego e a ação a ser tomada. Por exemplo: www.facebook.com bloqueado . As ACLs em geral são lidas em uma abordagem top-down (de cima para baixo), e caso uma regra combine com um tipo de tráfego a ação designada será tomada e as próximas regras não serão avaliadas. Com exceção para regras do tipo LOG que não param avaliação das próximas regras. 10) O que é um proxy transparente? R: Neste tipo de proxy os clientes (estações de trabalho) não precisam ter configurações determinando o IP do proxy, pois as regras de roteamento ou regras de firewall irão encaminhar o pacote para o proxy. Apesar de ser um recurso muito interessante, esta técnica não trabalha adequadamente com o protocolo https e com mecanismos de autenticação. 11) Conceitue NAT ? R: Network Adress Translator é uma técnica que possibilita trocar o endereço de origem de um pacote, dessa forma, permite compartilhar um endereço público (válido na Internet) com diversos hosts dentro de uma rede privada (com IPs privados). Quando a tecnologia de tradução de endereços também altera a porta de origem do pacote, ela é conhecida como PAT (Port Adress Translator) ou NAPT (Network Address and Port Translation). 12) Conceitue Rede DMZ ? R: DMZ ou zona desmilitarizada é o segmento de rede em uma solução de firewall que terá regras de acesso mais permissivas, pois, neste segmento frequentemente são dispostos os serviços que precisam ser acessados externamente (Internet). Exemplos de serviços: Correio Eletrônico, WWW, DNS, FTP, etc. 13) Conceitue política restritiva e permissiva para ambientes de firewall. R: Restritiva: Nesta política tudo que não for explicitamente permitido é por padrão proibido. Permissiva: Nesta política tudo que não for explicitamente proibido é por padrão permitido. A política restritiva é mais utilizada em implementações de firewall empresarias. 14) Qual é a função básica de um firewall pessoal? R: Proteger as estações da rede interna do próprio tráfego malicioso interno. Por exemplo, um worm que está tentando acessar uma porta de outra máquina, que potencialmente poderia ter vulnerabilidades que permitiriam sua propagação pela rede. 15) Quais são os ganchos (chain) existentes no netfilter/iptables? R: PREROUTING, INPUT, FORWARD, OUTPUT E POSTROUTING. 16) Em qual tabela e chain deveria criada uma regra para implementar NAT? R: Tabela: NAT e Chain: POSTROUTING 17) Em qual tabela e chain deveria criada uma regra para implementar DNAT ou proxy tranparente? R: Tabela: NAT e Chain: PREROUTING 18) Qual a diferença entre a ação REJECT para DROP? R: Quando o pacote é descartado pela a ação do tipo REJECT a origem é informado do fato. Já com o DROP a origem não tem conhecimento do descarte. 19) O que deve ser feito para habilitar o roteamento no Linux? R: echo 1 > /proc/sys/net/ipv4/ip_forward ou sysctl -w net.ipv4.ip_forward=1 20) Qual o objetivo da distribuíção Kali Linux? R: Facilitar a execução de testes de segurança, principalmente testes de penetração (pentest). A distribuição reúne os principais aplicativos que são utilizados nestes testes, dessa forma, o analista não precisa se preocupar com a obtenção e instalação. Destacam-se as ferramentas: nmap, wireshark, metasploit, ZAP, John the Ripper, Hydra, maltego, sqlmap, entre outras. 21) Conceitue a vulnerabilidade conhecida como SQL Injection. R: Dependendo de como for desenvolvida uma aplicação, um atacante pode alterar queries SQL através de inputs que aplicação recebe. Para realizar essa atividade, ele adicionará caracteres de escape em campos de entrada. Esta é uma falha grave, pois pode permitir o acesso a aplicações sem necessidade de autenticação. Para evitar este tipo de ataque seguem algumas recomendações: a) Realizar tratamento adequado da entrada de dados na aplicação; b) Utilizar frameworks que diminuam as chances de codificação que permitam o ataque; c) E seguir as melhores práticas de desenvolvimento. A OWASP pública uma série de documentos sobre o assunto. 22) O que é um IDS (Intrusion Detection System) ? R: É um sistema de detecção de intrusos que tem como objetivo identificar tentativas de invasão. Em geral são constituídos de sensores que podem ser instalados em pontos da rede ou nas estações de trabalho. Podem avaliar um ataque baseado em: banco de assinaturas de ataques (semelhante a um antivírus), heurísticas, utilização de recursos do sistema ou através de uma baseline. 23) Quais são os dois tipos de soluções de IDS? R: NIDS (Network IDS) são sensores (aplicação) de rede que coletam o tráfego que passa pelo o segmento e procuram por tráfego malicioso. HIDS (Hosts IDS) são sensores (aplicação) instalados em estações de trabalho que monitoram somente a máquina, da mesma que os NIDS podem detectar comportamentos maliciosos. Alguns exemplos de monitoração: Análise de logs do sistema e das aplicações; Verificação da integridade dos arquivos; Programas executados; Registros de perfil de consumo de CPU e memória; Registros de perfil de acessos de usuários; Monitoração de processos e do Kernel, etc. 24) Conceitue VPN. Uma Rede privada virtual permite que seja utilizada uma rede pública ou de terceiro para estabelecer uma comunicação confiável com uma rede privada. Para alcançar este objetivo frequentemente são utilizados protocolos criptográficos robustos e definição de regras de acesso em soluções de firewall para delimitar os recursos que poderão ser acessados dentro da rede interna. 25) Quais são as principais vantagens de uma VPN? R: Menor custo (pode economizar até 60% do custo de uma rede privativa);Transparente para as aplicações; Facilidade para adicionar novas localidades, inclusive internacionais; Bom suporte para usuários que se encontram espalhados geograficamente. 26) Quais são os principais os tipos de VPN? R: VPN de Acesso Remoto (Client-to-Site) Extranet VPN (Site-to-Site) 27) Quais são o principais esquemas de redundância de discos? R: Raid 0, Raid 1, Raid5 28) Buscando a maior disponibilidade de um ambiente o que seria mais prudente utilizar Raid 0 ou Raid 1? R: Raid 1 29) Responda: Do ponto de vista de disponibilidade da informação. Podemos afirmar que com a utilização de técnicas de redundância de discos, por exemplo, Raid 5, podemos deixar de realizar backup dos dados? Por quê? R: Não. Pois cada procedimento/técnica possuem objetivos diferentes. Por exemplo, redundância de discos não pode tratar questões como um incêndio no Data Center. 30) Conceitue Biometria? R: Sistema que utiliza características corporais de um indivíduo para fazer sua identificação. Exemplos: Principais tipos de identificação biométrica: Impressão digital; Geometria da mão; Padrões de retina; Padrões de íris; Padrão de voz; Padrões faciais; Assinaturas. No processo de autenticação, se a biometria for empregada como um 2º fator de autenticação torna o processo bem mais robusto. 31) O que é um falso positivo? É a situação em que um ataque é identificado pelo o IDS, não entanto, o fato não é verdadeiro. 32) O que é um falso negativo ? Relaciona-se a situação em que um ataque está ocorrendo ou ocorreu, no entanto, não foi identificado pelo o IDS.