Beruflich Dokumente
Kultur Dokumente
Comentários
NAT (Network Address Translation – Tradução de Endereços de Rede)
faz a tradução dos endereços IPs e portas TCPs da rede local para a Internet.
O NAT surgiu como uma alternativa real para a solução do problema de falta
de endereços IPv4 na Internet. Para navegar na Internet um computador
precisa de um IP válido. Se cada computador de uma rede interna tivesse um
IP válido para Internet, não teríamos endereços IPv4 suficientes para suprir
toda a demanda de máquinas conectadas atualmente à Internet.
A criação do NAT veio como alternativa para solucionar o problema, ou até
mesmo fornecer uma forma paliativa até a implementação do IPv6.
Os endereços IPs são divididos em classes como mostra o quadro a seguir:
Classe Endereços
A 1.0.0.0 até 126.0.0.0
B 128.0.0.0 até 191.255.0.0
C 192.0.0.0 até 223.255.255.254
D 224.0.0.0 até 239.255.255.255
E 240.0.0.0 até 247.255.255.254
Dos mais de 4 bilhões de endereços IPs disponíveis, três faixas são reservadas
para redes privadas. Essas faixas não podem ser roteadas para fora da rede
privada, ou seja, não podem se comunicar diretamente com a Internet.
Dentro das classes A, B e C foram reservadas redes, definidas pela RFC 1918,
que são conhecidas como endereços de rede privados, apresentadas a seguir:
Endereço Faixa de IP
10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
192.168.0.0/16 (192.168.0.0 –
192.168.255.255)
b) firewall.
c) roteador.
d) switch.
e) chaveador.
Comentários
São várias as medidas de proteção recomendadas para a redução das
vulnerabilidades da informação, alguns exemplos são listados a seguir.
6. Firewall
Sistema que controla o tráfego entre duas ou mais redes e permite o
isolamento de diferentes perímetros de segurança, como por exemplo,
a Intranet e a Internet para evitar tráfegos indesejados no ambiente
protegido.
A RFC 2828 (Request for Coments nº 2828) define o termo firewall como
sendo uma ligação entre redes de computadores que restringe o tráfego de
comunicação de dados entre a parte da rede que está “dentro” ou “antes” do
firewall, protegendo-a assim das ameaças da rede de computadores que está
“fora” ou depois do firewall. Esse mecanismo de proteção geralmente é
utilizado para proteger uma rede menor (como os computadores de uma
empresa) de uma rede maior (como a Internet).
Comentários
O Proxy atua como intermediário entre um cliente e outro servidor.
Normalmente é utilizado em empresas para aumentar a performance de
acesso a determinados serviços ou permitir que mais de uma máquina se
conecte à Internet. Proxies mal configurados podem ser abusados por
atacantes e utilizados como uma forma de tornar anônimas algumas ações na
Internet, como atacar outras redes ou enviar spam.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 4 de 34 `
PACOTE DE EXERCÍCIOS COMENTADOS P/ CGU - CONHECIMENTOS ESPECIALIZADOS
- ÁREA: TI - CAMPO DE ATUAÇÃO: INFRAESTRUTURA DE TI
PROFa. PATRÍCIA LIMA QUINTÃO
Comentários
Figura. DMZ
Gabarito: letra E.
endurecer uma instalação contra o que eles acham que poderia ser uma
ameaça.
Quando uma técnica de hardening é aplicada, há três fatores que devem ser
levados em consideração, são eles: Segurança, Risco e Flexibilidade. O
administrador de redes deve dosar bem esses três fatores e levar o sistema a
uma alta produtividade, garantindo segurança e tendo um nível de risco
aceitável. Ter total segurança não é possível, mas quanto mais segura for sua
rede, menos riscos ocorrerão.
• Particionamento de discos.
Ao particionar o disco, é inserida no sistema uma maior segurança, pois
cada partição tem sua tabela de alocação de arquivos separada.
Como exemplo, o comando mount, do Linux, utilizado para montar
partições, permite utilizar algumas opções para aumentar a segurança nas
partições. Crackers podem aproveitar do diretório /tmp, onde por padrão,
qualquer usuário pode gravar dados no sistema, para introduzir um
backdoor ou qualquer outro programa malicioso para ter um acesso
completo ao sistema.
• Atualizações e patches de segurança.
Todo sistema operacional deve estar sempre atualizado, assim como seus
componentes e pacotes instalados. É possível encontrar dicas enviadas por
grupos de segurança, alertando para possíveis falhas em softwares
específicos. Como exemplo, algumas distribuições Linux como Debian e
Ubuntu possuem um sistema automático para verificar se os pacotes estão
desatualizados e passíveis de falhas, corrigindo ou emitindo um alerta ao
administrador local.
• Quota de disco.
Quando um servidor é configurado, seja um servidor de arquivo ou um
servidor de email, por exemplo, cada usuário terá uma área disponível para
gravação de dados. Com o sistema de quotas, é possível controlar a
utilização de espaço no sistema de arquivos entre todos os usuários. Dessa
forma pode-se impedir que um usuário exceda os limites físicos do sistema
de arquivos, gravando arquivos de música, vídeo, imagens, ocupando todo
o espaço disponível e comprometendo assim sua utilização por outros
usuários. O sistema de quotas somente poderá ser aplicado em partições, e
nunca em diretórios (DOMINGOS, 2006).
• Serviços desnecessários e inseguros.
Depois do sistema instalado, deve ser realizada uma verificação minuciosa
de todos os programas instalados e se são realmente necessários, mesmo
sendo uma instalação básica.
Um servidor nunca deve conter programas “clientes”. Serviços do Linux
como telnet, rshd, rlogind, rwhod, ftpd, sendmail, dentre outros, deverão
ser removidos. Estes serviços podem ser desinstalados usando o
gerenciador de pacotes do sistema operacional, ou desativando-os em todos
os níveis de inicialização. A remoção de pacotes obsoletos também deverá
ser executada, evitando assim que vulnerabilidades sejam exploradas.
• Desativando o uso do CTRL + ALT + DEL
Este é outro ponto importante a ser levado em consideração quando se
pensa em controle de acesso. Em uma organização em que qualquer um
tem acesso ao teclado do seu servidor, usuários mal intencionados podem
simplesmente usar o CTRL+ALT+DEL para reiniciar o servidor. Isso pode
ocorrer com empresas que não têm uma política de acesso aos seus
servidores. Segundo a norma ISO 27002, devem-se tratar as questões de
acesso físico à sala de servidores.
• Gerenciamento de privilégios.
O usuário root no Linux, ou Administrador no Windows, são muito visados
por crackers ou usuários mal intencionados, para obtenção de acesso total
ao sistema.
Dessa forma, o administrador deverá no Linux efetuar o login como usuário
comum e quando for necessário executar uma tarefa administrativa
tornar-se root com o comando su. Determinar a data de validade para a
senha dos usuários e, com auxílio do comando usermod, remover shells
válidos de usuários que não estão em uso também são ações importantes a
serem tomadas para garantir a robustez do sistema.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 8 de 34 `
PACOTE DE EXERCÍCIOS COMENTADOS P/ CGU - CONHECIMENTOS ESPECIALIZADOS
- ÁREA: TI - CAMPO DE ATUAÇÃO: INFRAESTRUTURA DE TI
PROFa. PATRÍCIA LIMA QUINTÃO
Comentários
Devemos instalar/configurar o pacote “Samba” no LINUX para adicionar a
funcionalidade de servidor de arquivos (que poderá ser utilizado em ambientes
de rede com clientes que usam sistema operacional Microsoft Windows) a esse
equipamento.
Gabarito: letra B.
Comentários
Antes de falar sobre vulnerabilidade, vamos ao conceito de ameaça. Uma
ameaça é tudo aquilo que pode comprometer a segurança de um
sistema, podendo ser uma pessoa, uma coisa, um evento ou uma ideia capaz
de causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaça podemos destacar:
concorrente, cracker, erro humano (deleção de arquivos digitais
Vulnerabilidades Físicas
São aquelas presentes em ambientes onde se armazenam as informações,
como:
• instalações prediais fora do padrão;
• ausência de recursos para combate a incêndios;
• CPDs mal planejados;
• disposição desorganizada de fios de energia e cabos de rede;
• ausência de controle de acesso físico, etc.
Vulnerabilidades de Hardware
Compreendem possíveis defeitos de fabricação, erros de configuração ou falhas
nos equipamentos. Como exemplos citam-se erros decorrentes da instalação,
desgaste, obsolescência ou má utilização do equipamento etc.
É importante observar detalhes como o dimensionamento adequado do
equipamento, ou seja, se sua capacidade de armazenamento, processamento e
velocidade estão compatíveis com as necessidades, de modo a não sub ou
super dimensioná-lo.
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 10 de 34 `
PACOTE DE EXERCÍCIOS COMENTADOS P/ CGU - CONHECIMENTOS ESPECIALIZADOS
- ÁREA: TI - CAMPO DE ATUAÇÃO: INFRAESTRUTURA DE TI
PROFa. PATRÍCIA LIMA QUINTÃO
Vulnerabilidades de Software
São possíveis falhas de programação, erros de instalação e configuração, que
podem, por exemplo, causar acesso indevido, vazamento de informações,
perda de dados etc. Sistemas operacionais são altamente visados para ataque,
pois através deles é possível ter acesso ao hardware do computador. Ataques
como estes são de alta gravidade, e podem comprometer todo o sistema.
Um grande número de empresas, ao identificarem alguma vulnerabilidade em
seus softwares, lançam boletins informativos a fim de alertar os usuários, e
normalmente disponibilizam pacotes de atualização, denominados Service
Packs, para correção desta vulnerabilidade.
Vulnerabilidades de Armazenamento
Relacionadas com a forma de utilização das mídias (disquetes, CD-ROMs, fitas
magnéticas, discos rígidos dos servidores, etc.) em que estão armazenadas as
informações, como armazenamento de disquetes em local inadequado etc.
Vulnerabilidades de Comunicação
Relacionadas com o tráfego de informações, independente do meio de
transmissão, podendo envolver ondas de rádio, satélite, fibra ótica etc. Podem,
por exemplo, permitir acesso não autorizado ou perda de dados durante a
transmissão de uma informação.
A escolha do meio de transmissão e das medidas de segurança é de suma
importância, pois a informação poderá ser interceptada antes de chegar ao
destino. Uma opção de segurança nesse contexto envolveria por exemplo o
uso de criptografia.
Vulnerabilidades Humanas
Relacionadas aos danos que as pessoas podem causar às informações e ao
ambiente tecnológico que as suporta, podendo ser intencionais ou não. Podem
ocorrer devido a desconhecimentos das medidas de segurança, falta de
capacitação para execução da tarefa dentro dos princípios de segurança, erros
e omissões.
Gabarito: letra A.
8. (CESGRANRIO/Petrobrás/Analista de Sistemas –
Infraestrutura/2008) A técnica de Defesa em Profundidade utiliza
camadas de segurança mantidas por vários componentes que se
complementam para formar um quadro de segurança completo. Um dos
principais componentes é o firewall com estado que, diferente do filtro de
pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes
SYN forjados por estações localizadas na rede externa. Que tipo de ataque é
formado por pacotes SYN/ACK?
(a) Distributed Reflexion Denial of Service (DRDoS)
(b) Distributed Denial of Service (DDoS)
(c) Smurf
(d) Nuke
(e) Teardrop
Comentários
Item a. Item correto. O Distributed Reflexion Denial of Service (DRDoS) é um
tipo especializado de DDoS, em que se utiliza também spoofing. Observe pela
figura seguinte que o ataque não é feito de forma direta à vítima, o ataque
acontece via reflexão (reflexion), quando o (s) atacante (s) irão forçar outro
sistema (ou sistemas) a executar o ataque à vítima.
Fonte: http://www.inf.ufsc.br/~bosco/ensino/ine5630/material-seg-
redes/Cap11-DDoS.pdf
Item b. Item errado. No Distributed Denial of Service (DDoS) tem-se um
conjunto de computadores sendo utilizados para tirar de operação um ou mais
serviços ou computadores conectados à Internet. Cabe destacar que um
ataque com segmentos SYN/ACK não necessariamente acontece de forma
distribuída, mas acontece necessariamente via reflexão.
Fonte: http://www.inf.ufsc.br/~bosco/ensino/ine5630/material-seg-
redes/Cap11-DDoS.pdf
Comentários
Item a. O netstat pode estar comprometido pelo rootkit, o que acontece com
muita frequência, e o sistema neste caso pode esconder que existem eventuais
portas abertas no sistema, alterando o resultado final. Item errado.
Item b. Provavelmente o que está invalidando a questão é o uso do “deve”. A
detecção deste rootkit pode ser feita a partir da comparação de hashes atuais
com hashes de um período confiável. Lembre-se neste ponto de que a cada
atualização de pacotes no Linux, por exemplo, uma nova checagem e
alimentação da base deve ser feita. Item errado.
Item c. Os logs deste sistema não são confiáveis. Item errado.
Item d. Pode-se instalar um rootkit mesmo com firewall, proteção,
antivírus, dentre outras. Item errado.
Item e. Item correto. Mesmo estando o tráfego TCP e UDP bloqueado no
roteador de borda, M pode controlar S por meio de comandos encapsulados via
ICMP para disparar ataques de Denial of Service (negação de serviço) contra
outros servidores.
Gabarito: letra E.
Comentários
Em função de seu comportamento, todos os vírus anteriores podem, por sua
vez, ser classificados em subgrupos
http://www.barsasaber.com.br/theworld/dossiers/seccions/cards2/printable.as
p?pk=1386&art=25&calltype=2):
Comentários
Não podemos alterar a data de criação de um arquivo executável, eis aí uma
medida de segurança do sistema operacional Windows.
Gabarito: item correto.
Comentários
As bibliotecas são pastas virtuais que não estão fisicamente presentes no
disco rígido, mas que exibem o conteúdo de várias pastas como se os arquivos
estivessem armazenados juntos em um só lugar!
O modo de exibição da estrutura de armazenamento de arquivos, chamada de
biblioteca, dá acesso a vários locais de armazenamento a partir de uma única
janela.
Comentários
O sistema irá exibir uma mensagem dando ao usuário a oportunidade de salvar
os arquivos que estavam abertos no sistema, mas os arquivos não serão
salvos automaticamente.
Comentários
No Windows 7 Ultimate temos o recurso de “Criptografia de unidade de disco
BitLocker”, que nos possibilita criptografar unidades de disco, e até pendrives
(nesse caso ele precisa estar conectado e ter sido reconhecido pelo sistema).
Para acessar o recurso, entre no Menu Iniciar -> Painel de Controle - >
Sistema e Segurança. Em seguida, clique em Criptografia de unidade de disco
BitLocker.
Ao final, pode-se observar que a proteção está ativada quando ela estiver com
o cadeado dourado à volta do desenho da unidade. O cadeado na cor cinza,
representa que o BitLocker está ativado, porém você desbloqueou a unidade
mediante a senha ou Smartcard.
Comentários
Backup diferencial
Um backup diferencial copia arquivos criados ou alterados desde o último
backup normal ou incremental. Não marca os arquivos como arquivos que
passaram por backup (o atributo de arquivo não é desmarcado). Se você
estiver executando uma combinação dos backups normal e diferencial, a
restauração de arquivos e pastas exigirá o último backup normal e o último
backup diferencial.
Backup incremental
Um backup incremental copia somente os arquivos criados ou alterados desde
o último backup normal ou incremental e os marca como arquivos que
passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar
uma combinação dos backups normal e incremental, precisará do último
conjunto de backup normal e de todos os conjuntos de backups incrementais
para restaurar os dados.
Backup normal
Comentários
A ferramenta Limpeza de disco do Windows (XP, Vista e 7) ajuda você a liberar
espaço no disco rígido procurando por arquivos que possam ser excluídos com
segurança. Use a Limpeza de disco para realizar qualquer uma das seguintes
tarefas: remover arquivos da Internet temporários; remover arquivos de
programas baixados (Por exemplo, controles ActiveX e miniaplicativos Java
baixados da Internet); esvaziar a Lixeira; remover arquivos temporários do
Windows; remover quaisquer componentes do Windows que não estiver
usando; remover programas instalados que não são mais usados.
Gabarito: item correto.
Comentários
A restauração do sistema é um recurso do Windows que permite que sejam
estabelecidos pontos de restauração do sistema. Caso o usuário, por qualquer
motivo, queira voltar o computador para o estado em que ele se encontrava
em um ponto de restauração, basta acionar a Restauração do sistema. O
Windows desinstalará eventuais programas que tenham sido instalados no
período e retornará configurações porventura alteradas sem, no entanto,
excluir dados ou arquivos salvos no disco rígido. Além disso, as alterações
Comentários
Um programa desenvolvido segundo a arquitetura n-tier (n camadas) é
dividido em várias camadas logicamente separadas. Nesta arquitetura, cada
camada deve ser independente das outras de forma que a aplicação pode ser
dividida em vários computadores na mesma rede.
Comentários
Vide os comentários sobre vírus de macro, na cartilha disponível em
http://cartilha.cert.br/malware/sec1.html. O texto está replicado a seguir:
As avarias causadas pelos vírus de macro vão desde a simples alteração dos
menus do Word, da fragmentação de textos, até a alteração de arquivos de
lote como o autoexec.bat, que pode receber uma linha de comando do DOS,
como por exemplo: DELTREE, que apagará parcial ou totalmente o conteúdo
do disco rígido, assim que o computador for inicializado. Nesse ponto, pode-se
utilizar comandos específicos para formatar o disco, dentre outros.
Gabarito: letra B.
Comentários
Item a. A VPN (Virtual Private Network) pode ser utilizada em um meio público
como a Internet para estabelecer uma conexão privada entre dois hosts ou
duas redes com segurança. Portanto é um mecanismo de segurança utilizado
em rede de computadores. Item FALSO.
Considerações Finais
Bem, por hoje é só!!!
Fiquem com Deus e ótimos estudos, até a nossa próxima aula.
Um abraço.
Profa Patrícia Quintão
Referências Bibliográficas
QUINTÃO, Patrícia Lima. Notas de aula, 2011/2012.
BENTO, Juliano. Hardening em Linux. Disponível em
<ttp://www.slideshare.net/fgsl/palestra-hardening-linux-por-juliano-bento-v-
fgsl-e-isgsl>.
DOMINGOS, César. Curso de Segurança em Servidores GNU/Linux, Baseado na
norma ISO 27002. 4Linux – Free Software Solutions. 2010.
HASSELL, Jonathan. Hardening Windows. Editora Apress. 2ª Edição 2005. >
8. (CESGRANRIO/Petrobrás/Analista de Sistemas –
Infraestrutura/2008) A técnica de Defesa em Profundidade utiliza
camadas de segurança mantidas por vários componentes que se
complementam para formar um quadro de segurança completo. Um dos
principais componentes é o firewall com estado que, diferente do filtro de
pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes
SYN forjados por estações localizadas na rede externa. Que tipo de ataque é
formado por pacotes SYN/ACK?
Profa. Patrícia Lima Quintão www.pontodosconcursos.com.br 30 de 34 `
PACOTE DE EXERCÍCIOS COMENTADOS P/ CGU - CONHECIMENTOS ESPECIALIZADOS
- ÁREA: TI - CAMPO DE ATUAÇÃO: INFRAESTRUTURA DE TI
PROFa. PATRÍCIA LIMA QUINTÃO
Gabarito
1. Item correto.
2. Letra B.
3. Item correto.
4. Letra E.
5. Item correto.
6. Letra B.
7. Letra A.
8. Letra A.
9. Letra E.
10. Letra C.
11. Item correto.
12. Item correto.
13. Item errado.
14. Item correto.
15. Item correto.
16. Item correto.
17. Item correto.
18. Item errado.
19. Letra B.
20. Letra A.