Guia de Segurança de Redes: Firewalls, IDS e Ameaças

Exercícios de Segurança de Redes e Defesa de Sistemas

01 – Uma máquina de uma pequena empresa foi invadida e o banco de dados tornou-se inacessível e uma mensagem era exibida pedindo um resgate. Como se chama este tipo de ataque?
R. Ransomware

02 – Um usuário em uma rede Wi-Fi doméstica digitou corretamente o endereço do site de seu banco, porém foi redirecionado para um IP com uma página falsa, exatamente igual à original, e lá teve seus dados roubados. Como esse ataque pode ter ocorrido?
R. Através da alteração do DNS no Access Point, de modo que o DNS indicado redirecione o tráfego do site real para um IP com uma cópia falsa do site, onde os dados serão coletados.

03 – Para que serve um network scanner?
R. Para identificar hosts e suas respectivas portas ativos em uma rede.

04 – Como funciona a técnica de SYN Scanner no protocolo TCP?
R. Um pacote de início de conexão TCP (pacote com o bit SYN setado) é enviado ao host alvo. Ao responder com um SYN-ACK, o scanner sabe que a porta está aberta. Se a resposta for uma mensagem ICMP de erro ou um RST (reset), o scanner sabe que a porta está fechada. Se não houver nenhuma resposta, a porta está filtrada (por trás de um firewall).

05 – Um firewall é constituído de hardware e software, podendo executar em sistemas multiprogramáveis, como o Linux, por exemplo, ou constituir um conjunto específico (appliance) próprio para este fim.
(X) Certo   ( ) Errado

06 – Qual a diferença entre um firewall stateless e stateful?
R. Um firewall stateless funciona como um filtro de pacotes, não guardando nenhuma informação sobre as conexões TCP. No stateful, cada conexão estabelecida é inserida em uma tabela de conexões, onde pode ser verificado se determinado pacote pertence a uma conexão existente e pode ser liberado, ou não.

07 – Como se chama o firewall do Linux?
R. Netfilter

08 – Qual o comando (interface) para controlar o firewall do Linux?
R. Iptables

09 – Qual a chain do iptables responsável pelos pacotes que atravessam o firewall (vêm de uma interface em direção à outra)? E a cujo destino é um processo na máquina local? E a que foi gerada por um processo na máquina local?
R. FORWARD, INPUT e OUTPUT.

10 – Qual comando para configurar o firewall do Linux para bloquear conexões de entrada na porta 22/TCP?
R. iptables -A INPUT -p tcp --dport 22 -j DROP

11 – E liberar a saída para a porta 80/TCP?
R. iptables -A OUTPUT -p tcp --dport 80 -j DROP

12 – E liberar o tráfego da interface eno0 para a eno1 na porta de destino 8080/TCP?
R. iptables -i eno0 -o eno1 -p tcp --dport 8080 -j ACCEPT

13 – Qual a diferença entre um IDS e um IPS? Qual problema um IPS pode causar que não acontece em um IDS?
R. Um IDS apenas detecta intrusões, enquanto um IPS atua na prevenção (para impedir que a intrusão ocorra). Um IPS pode ocasionar um falso-positivo, bloqueando dados legítimos.

14 – Onde atua um HIDS (Host IDS)? E um NIDS (Network IDS)?

• HIDS – Diretamente no host.
• NIDS – Na rede, analisando os dados dos pacotes que trafegam.

15 – Qual dos dois tipos acima não consegue lidar com tráfego criptografado ponta a ponta?
R. NIDS, pois irá analisar os pacotes após deixarem a interface de rede do host, já criptografados.

16 – Em qual deles é possível descobrir se um ataque foi bem-sucedido? Por quê?
R. HIDS, pois ele tem acesso aos logs de sistema, enquanto o NIDS apenas consegue descobrir que houve um ataque.

17 – Em qual deles a plataforma (sistema operacional) é indiferente (ou seja, atua em qualquer plataforma)?
R. NIDS, pois irá analisar pacotes que trafegam pela rede, não sendo específico para um determinado sistema operacional.