seguranca_aulas_17_e_18_sistemas_de_protecao.pdf

Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 1

Sistemas de Proteo e Dispositivos de Segurana Aulas 17 e 18

Prof. M.Sc. Gleyson [email protected]

Curso On-Line Segurana da Informao


Firewall IDS VPN

Roteiro


Definies:

um mecanismo de proteo que controla a passagem de pacotes entre redes, tanto locais como externas.

um dispositivo que possui um conjunto de regras especificando que trfego ele permitir ou negar.

um dispositivo que permite a comunicao entre redes, de acordo com a poltica de segurana definida e que so utilizados quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si.

Firewall


Firewall Definio

Ponto nico

Um ou mais componentes

Controle

Autenticao

Registro de Trfego


Firewall Definio

Firewall

Componentes

Funcionalidades

Arquitetura

Tecnologias


Existem coisas que o firewall NO PODE proteger:

do uso malicioso dos servios que ele autorizado a liberar;

dos usurios que no passam por ele, ou seja, no verifica o fluxo intra-redes;

dos ataques de engenharia social;

das falhas de seu prprio hardware e sistema operacional.

Firewall


Classificao:

filtro de pacotes;

filtro de pacotes baseado em estados ou filtro de estado das conexes (stateful);

proxy de servios.

Firewall Classificao e Funcionalidades


Funcionalidades: filtros; proxies; bastion hosts; Zonas Desmilitarizadas (DMZ); NAT; VPN autenticao; balanceamento de carga; alta disponibilidade.

Firewall Classificao e Funcionalidades


Firewall Evoluo

Roteadores Listas de Controle de Acesso (ACLs)

Filtros de Pacotes

Filtros de Pacotes baseado em Estados

Proxy


Existem dois tipos de modelo de acesso, ou poltica padro, que podem ser aplicados ao firewall:

tudo permitido, exceto o que for expressamente proibido;

tudo proibido, exceto o que for expressamente permitido.

Firewall Poltica Padro


Exerccios

1. (Analista de Redes Ministrio Pblico do Estado do Amazonas/2008 -CESPE) Com relao segurana de permetro, julgue os itens aseguir.

1 [96] O permetro de segurana da rede pode ser composto de: roteadores deborda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com trfegofiltrado.

2 [97] O roteador de borda o ltimo roteador sobre o qual se pode ter controleantes de entrar, de fato, na Internet. Geralmente, sua operao segue aspolticas de roteamento e de acesso, neste caso implementadas por listas deacesso que controlam os trfegos ingresso e egresso.

3 [98] Firewalls so pontos de concentrao de trfego que controlam o trfego de entrada e de sada da rede. Entretanto, as regras e as caractersticas de implementao e operao lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores.


Exerccios

2. (Analista de Sistemas Suporte de Infraestrutura IPEA/2008 CESPE) Acerca dos aspectos de segurana em sistemas de informao e redes TCP/IP, julgue os prximos itens.

1 [120] Um firewall considerado uma boa proteo para ataques que envolvemcoluses entre usurios internos da rede protegida e atacantes externos, pois ofirewall tem a possibilidade de bloquear as comunicaes entre eles.

3. (Analista de Redes Ministrio Pblico do Estado do Amazonas/2008 -CESPE) Quanto ao NAT, julgue o item subsequente.

1 [112] O NAT, em geral, opera em conjunto com o roteamento, mas tambm comum encontr-lo em firewalls e proxies.


Exerccios

4. (Perito Criminal Federal Computao Cientfica PF-Nacional/2004 -CESPE) Os sistemas de informao possuem diversas vulnerabilidadesque podem ser exploradas para se comprometer a segurana dainformao. Para reduzir os riscos de segurana, empregam-sediversos mecanismos de controle e de proteo fsica e lgica dessessistemas. Acerca das vulnerabilidades e protees dos sistemas deinformao, julgue o item a seguir.

1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nvel de segurana de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ao possa ser eficaz, eles devem ser instalados entre a rede interna da organizao e as redes do mundo externo e tm por objetivo filtrar o contedo que chega at a rede interna impedindo que ataques conhecidos sejam realizados.


Exerccios

5. (Analista de Controle Externo Tecnologia da Informao TCU/2007 -CESPE) Com relao a segurana de hosts e redes, julgue os itensseguintes.

1 [168] Uma tcnica comumente usada na segurana de redes o estabelecimentode um permetro de segurana cuja finalidade controlar o trfego ingresso narede e o egresso da rede.

2 [169] Roteadores de borda, firewalls, IDSs, IPSs e VPNs so alguns dos principaiselementos do permetro de segurana da rede.

3 [172] Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSsinspecionam apenas os cabealhos.


um dos mtodos mais antigos e amplamente disponveis de controlar o acesso a redes.

Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e tambm como um recurso da maioria dos roteadores.

Os filtros de pacotes protegem todo o trfego entre redes verificando apenas parmetros da camada de rede e de transporte TCP/IP.

Firewall Filtro de Pacotes


Este tipo de firewall implementado como um roteador que, ao realizar suas funes de roteamento, verifica as seguintes informaes dos pacotes:

endereos IP de origem e de destino;

tipo de protocolo TCP, UDP e ICMP;

portas de origem e de destino;

flags IP e TCP;

tipos de mensagens ICMP;

tamanho do pacote.



A principal vantagem dos filtros de pacotes a sua eficincia, pois cada operao de filtragem estar restrita a verificar somente informaes bsicas do cabealho do pacote.

Desta forma, amplamente utilizado em roteadores como listas de controle de acesso.

A despeito disso, sua principal desvantagem a de no conseguir verificar o estado das conexes, sendo necessrio criar vrias linhas de filtragem para se implementar uma nica regra.



Por exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP necessrio configurar as conexes de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente.

Sintaxe:

Poltica [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereo Origem [SA=ipaddr/msk] { Porta Origem [SP] | [Tipo ICMP ] } Endereo Destino [DA=ipaddr/msk] Porta Destino [DP] Opes [ ].



Regras de Fitragem de Pacotes:ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4 DP=80ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL

SA - Source AddressSP - Source PortDA - Destination AddressSA - Source Address

Firewall

10.2.3.2

Cliente

192.168.1.4

Servidor Web



Vantagens:

barato, simples e flexvel;

alto desempenho da rede;

transparente para o usurio.

Desvantagens:

permite a conexo direta para hosts internos de clientes externos,

difcil de gerenciar em ambientes complexos;

no oferece autenticao de usurios.



O firewall de filtro de estado tenta rastrear o estado das conexes de rede enquanto filtra os pacotes.

Suas capacidades so resultado do cruzamento das funes de um filtro de pacotes com a inteligncia adicional do protocolo.

Este tipo de firewall examina predominantemente as informaes das camadas IP e de transporte de um pacote que inicia uma conexo.

Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada acrescentada em uma tabela de estados.

Firewall Filtro de Estado das Conexes (Stateful)


Desse ponto em diante, os pacotes relacionados com a sesso que consta na tabela de estado tero os seus acessos permitidos, sem a chamada de qualquer outra inspeo.

Em tese, este mtodo aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados at a camada de aplicao.

Entretanto, se a implementao da tabela de estado no oferecer um modo eficiente de manipular os estados da conexo, poder haver queda de desempenho do equipamento.



Este tipo de firewall um filtro de pacotes dinmico, ou seja, ele mantm o estado de cada conexo que passa por ele.

Isto possvel com a implementao de uma tabela de estados em que o firewall mantm o relacionamento entre endereos IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP.

Desta forma, no mais necessrio criar entradas adicionais para a mesma conexo.



Estado a condio de pertencer a uma determinada sesso de comunicao.

A definio desta condio vai depender da aplicao com a qual as partes esto se comunicando e dos protocolos que as partes esto utilizando.

Os protocolos de transporte podem ter o estado de sua conexo rastreado de vrias formas.



Muitos dos atributos que compem uma sesso de comunicao, inclusive os pares de endereo IP, portas de origem e de destino, nmeros de sequncia e flags, podem ser utilizados como identificao de uma conexo individual.

A combinao dessas partes de informao normalmente mantida como um hash (resumo) em uma tabela de estado, para facilitar a comparao.



TCP: como um protocolo baseado em conexo, o estado de suas sesses de comunicao pode ser solidamente definido atravs de sua Mquina de Estados Finitos (modelo que define todos os estados possveis do protocolo TCP).

A conexo TCP pode assumir 11 estados diferentes (conforme RFC 793).

Apesar da desconexo TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informaes de conexes inexistentes, comum a utilizao de contadores de tempo para cada conexo.



UDP: um protocolo de transporte sem conexo, o que dificulta o acompanhamento de seu estado.

Na realidade, um protocolo sem conexo no possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado atravs do registro de itens do UDP que estejam relacionados a uma determinada sesso de comunicao.

Como o UDP no possui nmeros de sequncia ou flags, os nicos itens que podem servir como base so os pares de endereo IP e a porta de servio dos dois pontos envolvidos na comunicao.



ICMP: assim como o UDP, o ICMP no possui estado, contudo, tambm como o UDP, ele dispe de atributos que permitem que suas conexes sejam acompanhadas de um modo com pseudo-estado.

A parte mais complicada do acompanhamento do ICMP envolve suas comunicaes unidirecionais.

O protocolo ICMP normalmente utilizado para retornar mensagens de erro quando um host ou protocolo no pode fazer isso por conta prpria, no que pode ser descrito como uma mensagem de resposta.



As mensagens do tipo resposta do ICMP so precipitadas por solicitaes de outros protocolos (TCP, UDP).

Devido a essa questo de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado.

A outra maneira de se utilizar o ICMP atravs do seu prprio mecanismo de pedido/resposta, como por exemplo, o ping onde so utilizadas as mensagens de echo-request e echo-replay.



Inspeo com Estado - o termo utilizado para uma evoluo do filtro de estados onde, alm das informaes relativas ao IP e transporte, tambm so includas informaes dos protocolos de aplicao na tabela de estados.

Sua primeira implementao foi com o Check Point F1, com sua linguagem proprietria INSPECT, e de onde surgiu a denominao statefull inspection utilizada por outros firewalls que implementam filtragem com inspeo de estado (Exemplo: Netfilter/Iptables, Cisco PIX).



Vantagens: alto desempenho da rede; aceita quase todos os tipos servios; transparente para o usurio.

Desvantagens: permite a conexo direta para hosts internos de clientes

externos, no oferece autenticao de usurios.



Em geral, um proxy (procurador) algo ou algum que faz algo em nome de outra pessoa.

Os servios proxy so programas aplicativos ou servidores especializados que recebem as solicitaes dos usurios e as encaminha para os respectivos servidores reais.

Do ponto de vista do cliente, o servidor o proxy; do ponto de vista do servidor, o cliente o proxy.

Seu princpio bsico de funcionamento est no fato de que este tipo de firewall no permite a conexo direta entre as entidades finais da comunicao.

Firewall Proxy de Servios


Na figura a seguir, todas as conexes HTTP originadas pelos clientes so enviadas para o Proxy do Servio HTTP.

Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante.

O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.



Neste contexto, o proxy de servio roda em uma mquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy no realiza roteamento dos datagramas IP.

Desta forma, no necessrio criar regras de filtragem dentro do proxy de servios pois as duas redes conectadas ao proxy no so visveis entre si.



Vantagens: No permite conexes diretas entre hosts internos e hosts

externos; Aceita autenticao do usurio; Analisa comandos da aplicao no payload dos pacotes de dados,

ao contrrio do filtro de pacotes. Desvantagens:

Mais lento do que os filtros de pacotes (somente os gateways de aplicao);

Requer um proxy especfico pra cada aplicao; No trata pacotes ICMP; No possui transparncia.



Uma implementao que era bastante comum a de misturar as funes de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir.

No uma configurao recomendvel devido ao alto consumo de recursos de hardware.



Exerccios

6. (Analista de Informaes ABIN/2004 CESPE) Acerca dastecnologias, dos protocolos e dos elementos estruturais que permitemorganizar a segurana dos sistemas de informao em redes, julgue ositens seguintes.

1 [102] Em um firewall altamente recomendvel a rejeio de pacotesprovenientes de uma rede externa que tenham endereo IP de origem da redeinterna.

2 [105] Um proxy de aplicao tem capacidade de detectar ataque contra umservidor mediante a observao da chegada de pacotes IP fragmentados.

7. (Analista de Tecnologia da Informao Redes DATAPREV/2006 -CESPE) Com relao s ferramentas de segurana de redes, julgue ositens subsequentes.

1 [72] Os firewalls realizam inspeo de cabealho em pacotes e podem abranger asinformaes das camadas de rede e de transporte.


Exerccios

2 [75] Os firewalls com inspeo de estado so aqueles que, alm de realizar ainspeo do cabealho, tambm tratam do protocolo de aplicao.

8. (Analista de Trnsito Analista de Sistemas DETRAN-DF/2009 -CESPE) Com relao segurana em redes de computadores, julgueos itens a seguir.

1 [119] Com um proxy HTTP no firewall, os usurios remotos podem estabeleceruma conexo HTTP/TCP com o proxy, que examina o URL contido namensagem de solicitao. Se a pgina solicitada for permitida para o host deorigem, o Proxy estabelece uma segunda conexo HTTP/TCP com o servidor epara ele encaminha a solicitao.

9. (Informtica Administrao de Rede MC/2008 CESPE) Comrelao a firewalls, julgue os itens de 68 a 70.

1 [68] Firewalls baseados em filtragem de pacotes no apresentam problemas aolidar com pacotes fragmentados.


Exerccios

2 [69] Firewalls que realizam a inspeo de estado normalmente so menos eficazese seguros que firewalls baseados em filtragem de pacotes.

3 [70] Os firewalls stateful utilizam apenas estado das conexes TCP para realizar ainspeo.

10. (Analista de Redes Ministrio Pblico do Estado do Amazonas/2008- CESPE) Com relao s proxies e aos filtros de acesso, julgue ositens a seguir.

1 [116] A filtragem de pacotes sem estado baseia-se na inspeo das informaesde cabealho para determinar se um pacote pode ou no ser aceito outransmitido.

2 [117] A filtragem com informao de estado leva em considerao o estado dasconexes para aceitar ou no pacotes, o que reduz o esforo computacional dainspeo em si e aumenta a granularidade da filtragem.


Exerccios

3 [118] Uma proxy media a conexo de um cliente ou usurio para prover acesso aum servio de rede, o que evita a conexo direta peer-to-peer.

4 [119] Um firewall embasado em proxy tem melhor desempenho (retardo ethroughput, por exemplo) quando comparado a um firewall que opera emcamadas mais baixas, visto que, como atua no nvel da aplicao, podeinspecionar no s as informaes de cabealho, como tambm as dosprotocolos de aplicao.

5 [120] Uma desvantagem do uso de um firewall baseado em Proxy que ele podeser mais difcil de configurar e operar. Entretanto, o uso de VPNs pode reverteressa situao.

11. (Analista de Redes MPERR/2008 - CESPE) No que concerne afirewalls, julgue os itens seguintes.

1 [101] Os filtros, nos firewalls embasados na tecnologia de filtragem de pacotes,devem ser aplicados, preferencialmente, quando o trfego sai do dispositivo.


Exerccios

2 [102] Firewalls embasados na tecnologia de inspeo de estado usam o prprioestado associado ao protocolo inspecionado, sendo, assim, restritos aosprotocolos orientados conexo.

3 [103] Firewalls embasados na tecnologia de filtragem de pacotes oferecem apossibilidade de maior granularidade e especificidade dos filtros, quandocomparados com os firewalls embasados na tecnologia de inspeo de estado.

12. (Perito Criminal Federal Computao Cientfica PF-Nacional/2004 -CESPE) Acerca das vulnerabilidades e protees dos sistemas deinformao, julgue os itens a seguir.

1 [98] Um ataque de scanner consiste na monitorao de servios e verses desoftware que esto sendo executados em um determinado sistema. Um sistemafirewall que implementa um filtro de conexes capaz de anular os efeitosdesse tipo de ataque.

2 [101] Firewall e proxy so sinnimos para descrever equipamentos que realizamconexes de rede externas para nodos que no estejam conectadosdiretamente Internet.


A utilizao de firewall para se conectar uma rede Internet possibilitou uma topologia de acesso interessante e segura.

Na figura a seguir, tem-se uma rede composta por mquinas clientes, servidores de servios de Intranet (acessados pelos clientes internos) e servidores de servios Internet (acessados pela Internet).

Firewall Zona Desmilitarizada (DMZ)


Na topologia apresentada, deve-se observar o seguinte:

no mesmo segmento da rede da empresa, h a ocorrncia de trfego local e de trfego oriundo da Internet;

caso o servidor de servios de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poder se propagar para o restante de rede.



Concluso: Deve ser criado um mecanismo que separe a natureza dos dois tipos de trfego isolando o servidor que recebe os acessos Internet dos demais servidores e mquinas clientes da rede interna da empresa.

Soluo: Criar uma rea de rede reservada para a hospedagem dos servios pblicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ).



Objetivos:

evitar que a Internet acesse diretamente servios dentro de uma rede interna;

separar o trfego de rede interno do externo;

ligao de uma rede interna com a Internet ou com uma rede de outra organizao.



Dual-homed host architecture

Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes.

Os sistemas internos tm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente.

Assim, as comunicaes so realizadas por meio de proxies ou conexes em duas etapas, nas quais o usurio se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo.

Firewall Arquiteturas


Dual-homed host architecture



Screened host architecture

Formada por um filtro de pacotes e um bastion host.

O filtro deve ter regras que permitam o trfego ara a rede interna somente por meio do bastion host, de modo que os usurios externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host.

O bastion host pode funcionar tambm como um proxy, exigindo, assim, que os usurios internos acessem a internet por meio dele.



Screened host architecture



Screened subnet architecture

Essa arquitetura aumenta o nvel de segurana com relao arquitetura screened host ao adicionar a rede DMZ.

Se, antes, um ataque ao bastion host significava que o invasor j estaria com a rede interna disponvel para ele, isso no ocorre na arquitetura screened subnet.

O bastion host fica na DMZ, que funciona como uma rea de confinamento entre a rede interna e a rede externa, posicionada entre dois filtros.



Screened subnet architecture



Exerccios

13. (Tecnologista Jr MCT/2008 CESPE) Julgue os itens de 96 a 109,acerca de tecnologias, protocolos, medidas administrativas e normasreferentes segurana dos sistemas de informao computacional edas redes de comunicao.

1 [101] Na configurao de firewall denominada screened subnet, o roteadorexterno anuncia rede externa somente a existncia da sub-rede que o liga aoroteador interno, na qual podem estar presentes hospedeiros de guarda(bastio) e outros servios de informao.

2 [102] Para dificultar a um intruso a instalao de um programa mal-intencionadoem um servidor proxy instalado em uma zona desmilitarizada na entrada deuma rede, o programa do proxy deve evitar, na medida do possvel, os acessosao disco no hospedeiro em que se encontra.

3 [103] A contramedida que consiste em o firewall descartar todos os pacotes queusam a opo source routing visa proteger o hospedeiro cliente da comunicaocontra a captura pelo servidor de dados privados do cliente.


Exerccios

14. (Analista Redes SERPRO/2008 - CESPE) Acerca de segurana deredes e criptografia, julgue os prximos itens.

1 [84] Firewalls por inspeo de estado permitem mais granularidade eespecificidade na filtragem de trfego que filtros de pacotes sem estado.

2 [85] Geralmente, firewalls restringem-se a inspecionar cabealhos, sendoineficazes para filtrar ataques focalizados em vulnerabilidades especficas deaplicaes.

15. (Analista Judicirio Suporte em Tecnologia da Informao STF/2008 - CESPE) Acerca de segurana em redes de computadores,julgue os itens.

1 [109] Os firewalls baseados em proxies interceptam mensagens de protocolos deaplicao que trafegam entre a rede no protegida e a protegida. Em uma redeprivada conectada Internet via um firewall baseado em proxies, um dosendereos IP do firewall pode ser visvel na Internet.


Exerccios

16. (Analista de Controle Externo Auditoria de TI TCU/2007 - CESPE)julgue os prximos itens, acerca dos conceitos de segurana dainformao.

1 [160] Como regra geral, quanto menor for a MTU de um enlace de rede, maiortender a ser a fragmentao de segmentos que trafegam nessa rede. Devido fragmentao, assinaturas de ataques com o protocolo ICMP podero ser maisdifceis de detectar, especialmente no caso de o firewall em uso ser do tipo defiltragem de pacotes.

17. (Analista de Controle Externo Tecnologia da Informao TCU/2008- CESPE) Julgue os itens abaixo, relativos segurana da informao.

1 [178] No caso de o administrador implementar, na ligao da rede Internet, umfirewall do tipo nvel de rede, para permitir o funcionamento correto de umservidor DNS no interior de sua rede, ser necessrio liberar, no firewall, apenaso acesso externo do servidor DNS porta 53.


Exerccios

1 [179] Se um administrador implementar, na ligao da rede de computadores Internet, um statefull firewall, as regras de funcionamento que estoimplementadas no interior desse firewall atuaro quase que exclusivamente nacamada 4 e, eventualmente, na camada 7 do modelo OSI.

3 [180] Se o administrador da rede de computadores tiver de escolher entreimplantar um proxy firewall ou um firewall do tipo packet filter, a sua decisodever basear-se em um dos dois critrios seguintes: necessidade de atuaona camada de aplicao ou maior vazo de dados. Se o critrio preponderantefor o primeiro, ento, a deciso deve ser favorvel instalao de proxyfirewalls; se for o segundo, deve ser escolhido um packet filter.


Sistemas de Deteco de Intrusos (Intrusion Detection System IDS) atuam como mecanismos de deteco, realizando a monitorao em sistemas locais ou em sistemas em redes, procura de eventos que possam comprometer os ativos de um sistema de informao ou que possam transpor os mecanismos de proteo.

O princpio de funcionamento de um IDS baseado na identificao, delimitao e tratamento dos eventosrelevantes para o processo de deteco.

IDS


Estes eventos relevantes so selecionados dentro de um conjunto de eventos possveis de serem observados em um determinado sistema ou em uma rede.

Um dos grandes desafios dos sistemas de deteco de intrusos :

Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.

IDS


Falso Positivo: IDS gera um alarme de ataque na ocorrncia de um evento ou trfego normal.

Falso Negativo: IDS no gera alarme na ocorrncia de um evento ou trfego mal intencionado.

O falso positivo um evento observvel e relevante que classificado pelo IDS como um evento intrusivo.

Seu maior problema a gerao de um grande nmero de alertas, o que dificulta a administrao e a anlise das informaes do IDS.

IDS


J no caso dos falsos negativos, estes podem ocorrer tanto em eventos no observveis como em eventos observveis e, dentro deste ltimo grupo, tambm pode estar presente dentro dos eventos relevantes.

Seu maior problema justamente o inverso do falso positivo, ou seja, no h registros da ocorrncia de falsos negativos no IDS.

IDS


IDS


Exerccios


1 [103] Em um sistema de deteco de intruso (intrusion detection system IDS),um falso positivo consiste em um evento em que o IDS deixa de detectar umaintruso que efetivamente ocorreu.


Quanto ao Mtodo de Deteco, os sistemas de deteco de intrusos so classificados como:

sistemas de intruso baseados em anomalias;

sistemas de deteco baseados em assinatura.

Quanto Arquitetura, os sistemas de deteco de intrusos so classificados segundo os critrios localizaoe alvo.

Com base na localizao, so classificados em:centralizado, hierrquico ou distribudo.

IDS - Classificao


Com base no alvo, so classificados em:

sistemas baseados em host;

sistemas baseados em rede.

IDS - Classificao


O Sistema de Intruso Baseado em Anomalia um mtodo tambm conhecido como Mtodo Reacionrioou Sistema de Deteco por Comportamento.

Independente do nome, ele se baseia na anlise do comportamento do sistema e na identificao de possveis desvios, comparando o estado observado a um padro de comportamento considerado normal.

IDS Baseado em Anomalia


As informaes a seguir podem ser tomadas como base para identificar o comportamento padro do sistema/rede e subsidiar na identificao de trfegos anormais: quantidade de trfego na rede em determinados

horrios; tipos de protocolos que passam na rede e seus

provveis horrios; carga de processamento da CPU; aplicaes utilizadas na rede; servios ativos no sistema; endereos IP que trafegam pela rede, etc.



Vantagens: possibilita detectar ataques desconhecidos, sendo

desnecessria a manuteno de uma base de dados que armazene todos os tipos possveis de ataques e vulnerabilidades;

pode ser usado para gerar informaes que daro origem a uma assinatura.

Desvantagens: para usar esse mtodo de deteco, imprescindvel

que o administrador conhea o comportamento da rede/sistema, o que muito difcil devido heterogeneidade e complexidade desses ambientes.



Desvantagens: devido dificuldade apresentada no item anterior,

esse mtodo leva a um maior nmero de falsos positivos;

os relatrios so mais difceis de serem analisados, no informando dados conclusivos da vulnerabilidade explorada.



O Sistema de Intruso Baseado em Assinatura um mtodo tambm conhecido como Sistema Preemptivoou Sistema de Deteco por Abuso.

Essa tcnica busca sequncias de aes nitidamente caracterizadas como invlidas, registradas em uma base de dados (assinaturas) que contm o conhecimento acumulado sobre ataques especficos e vulnerabilidades.

IDS Baseado em Assinaturas


Vantagens:

por comparar o trfego capturado a uma assinatura, o nmero de falsos positivos menor, comparado ao mtodo anterior;

devido ao fato de o nmero de falsos positivos ser menor, e tambm porque o alarme gerado pelo IDS ir mostrar a que tipo de ataque o trfego corresponde (devido assinatura a qual foi comparado), faz-se possvel a adoo de contramedida;



Vantagens:

reduo na quantidade de informao tratada, isto , o alarme mais preciso e evidente;

permite diagnosticar, de maneira rpida e confivel, a utilizao de determinadas ferramentas ou tcnicas especficas de ataque, auxiliando os gerentes a verificarem as correes necessrias.



Desvantagens: como o mtodo baseado em assinaturas, a deteco

s ocorre para ataques conhecidos, por isso mesmo no permite detectar variaes de um mesmo ataque, pois as assinaturas so utilizadas com muita rigidez;

faz-se necessria a manuteno freqente na base de dados que contm as assinaturas.



Exerccios

19. (Analista de Sistemas Suporte de Infraestrutura IPEA/2008 CESPE) Acerca dos aspectos de segurana em sistemas de informaoe redes TCP/IP, julgue o prximo item.

1 [119] A abordagem de deteco de anomalias por contagem de eventos emintervalos de tempo, com indicao de alarme em caso de ultrapassagem deum limiar, uma abordagem com baixo ndice de falsos positivos e de falsosnegativos na deteco de intruso.

20. (Informtica Administrao de Rede MC/2008 CESPE) Comrelao a IDS e firewalls, julgue o item a seguir.

1 [66] Em IDS baseado em assinaturas, necessrio ajuste destas visando reduo de falsos-positivos.


Exerccios

21. (Tecnologista Jr MCT/2008 CESPE) Julgue os itens que se seguemacerca da arquitetura e do gerenciamento dos sistemas de detecode intruso (intrusion detection systems IDS).

1 [114] Na abordagem de deteco estatstica de anomalias, definem-se regras decomportamento a serem observadas para decidir se determinadocomportamento corresponde ao de um intruso.

2 [115] A utilizao de registros de auditoria como entrada para um sistema dedeteco de intruso pode-se dar com os registros nativos de sistemas eaplicaes, ou com registros gerados com informaes especficas da detecode intruso.

3 [116] A medio do tempo decorrido desde o ltimo login um indicadorsignificativo para a deteco de tentativas de quebra de uma conta de sistemaoperacional ociosa.


Exerccios

22. (Perito Criminal Federal Computao Cientfica PF-Nacional/2004 -CESPE) Os sistemas de informao possuem diversas vulnerabilidadesque podem ser exploradas para se comprometer a segurana dainformao. Para reduzir os riscos de segurana, empregam-sediversos mecanismos de controle e de proteo fsica e lgica dessessistemas. Acerca das vulnerabilidades e protees dos sistemas deinformao, julgue os itens a seguir.

1 [102] Um sistema de deteco de intruso (IDS) por uso incorreto utilizadescries de ataques previamente conhecidos (assinaturas) para identificar aocorrncia de ataques. Esse tipo de IDS tem como inconveniente a gerao deum nmero elevado de falsos positivos quando ataques novos, para os quaisainda no foram especificadas assinaturas de ataque convenientes, solanados contra o sistema monitorado pelo IDS.


Outro aspecto importante em um IDS a sua arquitetura, pois uma arquitetura bem elaborada um dos fatores que iro determinar o cumprimento adequado de seu papel.

Dois elementos influenciam diretamente na arquitetura: a localizao e o alvo.

O alvo diz respeito ao sistema que ele ir analisar, se um Host ou um Segmento de Rede.

A localizao diz respeito forma com que os componentes do IDS iro se relacionar, podendo ser centralizada, hierrquica ou distribuda.

IDS Classificao Quanto Arquitetura


Centralizado: na arquitetura centralizada, todos os componentes do IDS esto localizados no mesmo equipamento.

Hierrquico: nesta arquitetura os componentes encontram-se parcialmente distribudos, isto , em equipamentos separados, cada um com sua funo especfica, porm com fortes relaes de hierarquia entre eles. Nesse tipo de arquitetura, tarefas como a tomada de decises fica normalmente concentrada em um nico ponto.

IDS Classificao Quanto Localizao


Distribudo: possui todos os seus componentes espalhados pelo sistema, com relaes mnimas de hierarquia entre eles, no existe centralizao de decises, os componentes trabalham em regime de cooperao para alcanar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentao de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores.

IDS Classificao Quanto Localizao


Quando o Sistema de Deteco baseado em host, dizemos que ele um HIDS (Host Instrusion Detection System).

Nele, o software IDS instalado na mesma mquina em que se deseja realizar a deteco.

Seu princpio de funcionamento est baseado em verificar os:

parmetros de utilizao de recursos do sistema;

registros de log do sistema operacional e dos aplicativos;

IDS Classificao Quanto ao Alvo (HIDS)


(Cont.):

registros de auditoria do sistema;

nveis de utilizao de CPU e memria; arquivos de sistema; chaves de Registros; portas ativas, entre outros.

IDS Classificao Quanto ao Alvo (HIDS)


Aos sistemas baseados em um segmento de rede se d o nome de NIDS (Network Intrusion Detection System) e tm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento fsico ou wireless.

Seu princpio de funcionamento est baseado em: verificar eventos intrusivos cujo alvo seja qualquer

sistema que esteja no segmento de rede por ele analisado;

IDS Classificao Quanto ao Alvo (NIDS)


(Cont.): aplicar mecanismos de proteo especficos para o IDS

como, por exemplo, no configurar endereo IP na interface de rede utilizada pelo sensor;

colocar a placa de rede do sensor em modo promscuopara capturar todo o trfego na qual ela esteja conectada.

IDS Classificao Quanto ao Alvo (NIDS)


Os IDS podem se comportar de duas maneiras distintas: passiva e ativa.

Passivo:

apenas detecta, mas no barra o ataque;

aps deteco, um evento gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a deciso;

Falsos Positivos so interpretados pelo administrador, diminuindo seus efeitos na rede.

IDS Comportamento Ps-Deteco


Ativo:

ao detectar um ataque, ele prprio, segundo configuraes realizadas pelo administrador do sistema, realizar contramedidas automaticamente;

processos automatizados sem a interveno do administrador;

Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso.

IDS Comportamento Ps-Deteco


Exerccios

23. (Analista de Tecnologia da Informao Redes DATAPREV/2006 -CESPE) Com relao s ferramentas de segurana de redes, julgue ositens subseqentes.

1 [71] Os sistemas de deteco de intruso em redes so, normalmente, baseadosem escuta de trfego e comparao de padres de ataque.

2 [73] Os sistemas de preveno de intruso, alm de detectarem o trfegomalicioso, so capazes de bloque-lo.

3 [74] Os sistemas de deteco e(ou) preveno de intruso em redes so muitoeficazes.

24. (Informtica Administrao de Rede MC/2008 CESPE) Comrelao a IDS e firewalls, julgue o item a seguir.

1 [67] No que diz respeito ao posicionamento dos IDS, recomenda-se que sejamcolocados prximos a dispositivos como firewalls, preferencialmente na redeinterna e com utilizao de mltiplos sensores.


Exerccios25. (Analista de Redes MPERR/2008 - CESPE) No que concerne a NIDS,

julgue os itens seguintes.

1 [104] A popularizao das redes baseadas em comutadores facilitou a escolha doposicionamento dos sensores de NIDS, tornando-os mais eficazes.

2 [105] Os NIDS permitem a deteco instantnea, e at antecipada, de intruses,contribuindo para a pr-atividade.

26. (Perito Criminal Federal Computao Cientfica PF-Regional/2004- CESPE) Acerca da segurana fornecida em ambientes de redes,julgue o item a seguir.

1 [106] Um IDS (intrusion detection system) ou sistema de deteco de intrusopode estar fundamentado em computador (IDS de host) ou em rede decomputadores (IDS de rede). Em ambos os casos, esse sistema procura porataques que ainda no estejam registrados e catalogados, deixando osproblemas conhecidos para serem solucionados por outros mecanismos desegurana, tais como firewalls.


Exerccios

27. (Analista de Redes Ministrio Pblico do Estado do Amazonas/2008- CESPE) Com relao segurana de permetro, julgue o item aseguir.

1 [100] Os IPS detectam anomalias na operao da rede e reportam-nas aosadministradores para anlise e ao posterior.


O conceito de rede privada virtual (Virtual Private Network VPN) surgiu a partir da necessidade de se utilizar redes de comunicao no confiveis. Ex: trafegar informaes de forma segura na Internet.

Uma VPN proporciona conexes somente permitidas a usurios, que estejam em redes distintas e que faam parte de uma mesma comunidade.

Soluo para alto custo de enlaces de comunicao dedicados e privados.

VPN


VPN


Os conceitos que fundamentam a VPN so a criptografia e o tunelamento.

A criptografia utilizada para garantir a autenticidade, o sigilo e a integridade das conexes, e a base da segurana dos tneis VPN.

Trabalhando na camada 3 do modelo OSI/ISO, a criptografia independente da rede e da aplicao, podendo ser aplicada em qualquer forma de comunicao possvel de ser roteada, como voz, vdeo e dados.

VPN - Fundamentos


O tnel VPN formado pelo tunelamento que permite a utilizao de uma rede pblica para o trfego das informaes, at mesmo de protocolos diferentes do IP, por meio da criao de um tnel virtual formado entre as duas partes da conexo.

VPN - Fundamentos


VPN - Tunelamento


O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicao entre organizaes que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Ex: IPX trafegando em rede IP.

Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e desvantagens.

Tnel a denominao do caminho lgico percorrido pelos pacotes encapsulados.

Simula a conexo ponto-a-ponto requerida para a transmisso de pacotes atravs de uma rede pblica.

VPN - Tunelamento


Os tneis podem ser criados de duas diferentes formas -voluntrias e compulsrias.

No tnel voluntrio, o computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel.

Ele emite uma solicitao VPN para configurar e criar um tnel entre duas mquinas, uma em cada rede privada, e que so conectadas via Internet.

No tnel compulsrio, o computador do usurio nofunciona como extremidade do tnel.

VPN Tipos de Tneis


Um servidor de acesso remoto, localizado entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel.

Utilizando um tnel voluntrio, no caso da Internet, o cliente faz uma conexo para um tnel habilitado pelo servidor de acesso no provedor (ISP).

No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta.

VPN Tipos de Tneis


VPN Tnel Voluntrio


VPN Tnel Compulsrio


Diferentes protocolos podem ser usados:

GRE (Generic Routing Encapsulation) da Cisco;

L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force);

PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

Os protocolos PPTP e L2TP so utilizados em VPNs discadas, ou seja, proporcionam o acesso de usurios remotos acessando a rede corporativa atravs de modens de um provedor de acesso.

VPN Protocolos de Tunelamento


Um ponto a ser considerado nos dois protocolos que osigilo, a integridade e a autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que feito normalmente pelo IPSec.

Uma diferena entre o L2TP e o PPTP que o L2TP pode ser transparente para o usurio, no sentido de que esse tipo de tunelamento pode ser iniciado no gateway de VPNde um provedor de VPN.

Quando o PPTP utilizado, a abordagem diferente o tunelamento sempre iniciado no prprio equipamento do usurio.



Com isso, o PPTP mais indicado para a utilizao em laptops, por exemplo, quando o usurio poder se conectar rede da organizao via VPN, por meio desse protocolo.

O L2TP utilizado, principalmente, para o trfego de protocolos diferentes de IP sobre uma rede pblica com base em IP.



O IPSec um protocolo padro de camada 3 projetado pelo IETF que oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada.

Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.

VPN IPSec


Tal como os protocolos de nvel 2, o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada.

Ele combina diversas tecnologias diferentes de segurana em um sistema completo que prov confidencialidade, integridade e autenticidade, empregando atualmente:

mecanismo de troca de chaves de Diffie-Hellman;

criptografia de chave pblica para assinar as trocas de chave de Diffie-Hellman, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-the-middle;

VPN IPSec


(Cont.): algoritmos de encriptao para grandes volumes de

dados, como o DES (Data Encryption Standard); algoritmos para clculo de hash com utilizao de

chaves, com o HMAC, combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes;

certificados digitais assinados por uma autoridade certificadora.

VPN IPSec


Os requisitos de segurana podem ser divididos em 2 grupos, que so independentes entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a necessidade de cada usurio:

Autenticao e Integridade;

Confidencialidade.

VPN IPSec


Para implementar estas caractersticas, o IPSec composto de 3 mecanismos adicionais:

AH - Autentication Header;

ESP - Encapsulation Security Payload;

IKE - Internet Key Exchange.

VPN IPSec


Authentication Header (AH): este cabealho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabealho original que no so alterados entre a origem e o destino; no entanto, no fornece confidencialidade.

Encapsulating Security Payload (ESP): este cabealho protege a confidencialidade, integridade e autenticidade da informao.

VPN IPSec


AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicaes apenas umdeles suficiente.

H dois modos de operao: modo de transporte (nativo) e modo tnel.

VPN IPSec


Cabealho genrico para o modo de transporte

Exemplo de um cabealho do modo tnel

VPN IPSec


No modo de transporte, somente a informao (payload) encriptada, enquanto o cabealho IP original no alterado.

Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pblica vejam a origem e o destino do pacote, o que permite processamentos especiais (como de QoS) baseados no cabealho do pacote IP.

No entanto, o cabealho da camada 4 (transporte) estar encriptado, limitando a anlise do pacote.

VPN IPSec Modo Transporte


Passando o cabealho sem segurana, o modo de transporte permite que um atacante faa algumas anlises de trfego, mesmo que ele no consiga decifrar o contedo das mensagens.

VPN IPSec Modo Transporte


No modo de tunelamento, todo o datagrama IP original encriptado e passa a ser o payload de um novo pacote IP.

Este modo permite que um dispositivo de rede, como um roteador, aja como um Proxy IPSec (o dispositivo realiza a encriptao em nome dos terminais).

O roteador de origem encripta os pacotes e os envia ao longo do tnel IPSec; o roteador de destino decripta o datagrama IP original e o envia ao sistema de destino.

VPN IPSec Modo Tnel


A grande vantagem do modo de tunelamento que os sistemas finais no precisam ser modificados para aproveitarem os benefcios da segurana IP; alm disto, esse modo tambm protege contra a anlise de trfego, j que o atacante s poder determinar o ponto de incio e de fim dos tneis, e no a origem e o destino reais.

VPN IPSec Modo Tnel


O IPSec fornece diversas opes para executar a encriptao e autenticao na camada de rede.

Quando dois ns desejam se comunicar com segurana, eles devem determinar quais algoritmos sero usados (se DES ou IDEA, MD5 ou SHA).

Aps escolher os algoritmos, as chaves de sesso devem ser trocadas.

Associao de Segurana o mtodo utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sesso de comunicao.

VPN IPSec Associaes de Segurana (SAs)


Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizaro os servios de segurana para se comunicarem.

As SAs so unidirecionais, o que significa que para cada par de sistemas que se comunicam, devemos ter pelo menos duas conexes seguras, uma de A para B e outra de B para A.

As SAs so identificadas de forma nica pela associao entre um nmero aleatrio chamado SPI (Security Parameter Index), o protocolo de segurana (AH ou ESP) e o endereo IP de destino.



Quando um sistema envia um pacote que requer proteo IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informaes, e adiciona o SPI da SA no cabealho IPSec.

Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereo de destino e SPI, e ento processa o pacote da forma necessria.



O IPSec assume que as SAs j existem para ser utilizado, mas no especifica como elas sero criadas.

IETF decidiu dividir o processo em duas partes: o IPSecfornece o processamento dos pacotes, enquanto o IKMP negocia as associaes de segurana.

Aps analisar as alternativas disponveis, o IETF escolheu o IKE como o mtodo padro para configurao das SAspara o IPSec.

VPN Protocolo de Gerenciamento de Chaves (IKMP)


Uso do IKE pelo IPSec

VPN Protocolo de Gerenciamento de Chaves (IKMP)


O IPSec assume que as SAs j existem para ser utilizado, mas no especifica como elas sero criadas.

IETF decidiu dividir o processo em duas partes: o IPSecfornece o processamento dos pacotes, enquanto o IKMP negocia as associaes de segurana.

Aps analisar as alternativas disponveis, o IETF escolheu o IKE como o mtodo padro para configurao das SAspara o IPSec.

VPN Protocolo de Gerenciamento de Chaves (IKE)


Exerccios


1 [101] Na rede de uma organizao que tem mais de um local fsico, cada um comum firewall, caso seja empregado o protocolo de autenticao de cabealho(authentication header) do protocolo de segurana IP (IPSec) nascomunicaes entre tais firewalls, ser possvel a essa organizao utilizar aInternet como uma rede privada virtual (virtual private network VPN), semcomprometer os dados transmitidos.

2 [106] suficiente estabelecer entre dois roteadores IP acordo de segurana(security agreeement SA) do protocolo de segurana IP (IPSec) para permitira autenticao recproca desses dois roteadores.


Exerccios

29. (Tcnico Cientfico Tecnologia da Informao Banco daAmaznia/2006 CESPE) No tocante a vulnerabilidades, mecanismos,tcnicas e polticas de segurana em redes, julgue o item a seguir.

1 [113] As redes privativas virtuais (virtual private network VPN) so importantesferramentas para a transmisso segura de informaes. Um dos principaisprotocolos de VPN o IPSec, que utiliza criptografia em nvel de rede eproporciona segurana entre um par de hosts ou um par de gateways desegurana ou, ainda, entre um host e um gateway de segurana no nvel IP.

30. (Analista de Tecnologia da Informao Redes DATAPREV/2006 -CESPE) Julgue os itens seguintes, no que se refere a VPNs.

1 [76] As VPNs utilizam a criptografia para estabelecer um canal de comunicaosegura, com confidencialidade, integridade e autenticidade, sobre canaispblicos.

2 [78] As VPNs que utilizam tneis TCP so mais seguras que aquelas que utilizamUDP, j que o TCP confivel, enquanto o UDP no .


Exerccios

31. (Analista de Trnsito Analista de Sistemas DETRAN-DF/2009 -CESPE) Com relao segurana em redes de computadores, julgue ositens a seguir.

1 [120] No IPSEC (IP security), o cabealho de autenticao (AH) oferece controlede acesso, integridade de mensagem sem conexes, autenticao e antireplaye a carga til de segurana do encapsulamento que admite esses mesmosservios, inclusive confidencialidade. O IPSEC apresenta a desvantagem de noprover o gerenciamento de chaves.

32. (Analista de Sistemas Suporte de Infraestrutura IPEA/2008 CESPE) Julgue os itens a seguir.

1 [108] Um acordo de segurana (security association) do protocolo de segurana IP(IPsec) consiste de uma relao bidirecional entre dois roteadores IP, necessriapara estabelecer conexes TCP atravs desses roteadores, de modo a oferecerservios de autenticao e confidencialidade das conexes TCP, necessrios formao de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.


Exerccios

2 [109] O protocolo de encapsulamento de carga til encapsulation securitypayload (ESP) fornece os servios de autenticao, integridade de dados econfidencialidade que, no contexto de IPsec, permitem a formao de redesprivadas virtuais entre entidades operando na camada de rede IP.

33. (Tecnologista Jr MCT/2008 CESPE) Julgue os itens

1 [97] Na arquitetura de segurana do internet protocol (IP) IPSec , aassociao de segurana um relacionamento bidirecional entre um emissor eum receptor, que identificada pelo nmero do soquete da aplicao usuria.

2 [98] O Internet security association key management protocol (ISA KMP) pode serusado para a automao da gerncia de chaves criptogrficas entre o emissor eo receptor no IPSec.


1. 1C-2C-3E 9. 1E-2E-3E 17. 1E-2E-3C 25. 1E-2E

2. 1E 10. 1C-2C-3C-4E-5E 18. 1E 26. 1E

3. 1C 11. 1E-2E-3E 19. 1E 27. 1E

4. 1E 12. 1E-2E 20. 1C 28. 1E-2C

5. 1C-2C-3E 13. 1C-2C-3E 21. 1E-2C-3E 29. 1C

6. 1C-2E 14. 1C-2C 22. 1E 30. 1C-2E

7. 1C-2E 15. 1C 23. 1C-2C-3E 31.1E

8.1C 16. 1C 24. 1C 32. 1E-2C

33. 1E-2C

Gabarito das Questes

Slide Number 1RoteiroSlide Number 3Slide Number 4Slide Number 5Slide Number 6Slide Number 7Slide Number 8Slide Number 9Slide Number 10Slide Number 11Slide Number 12Slide Number 13Slide Number 14Slide Number 15Slide Number 16Slide Number 17Slide Number 18Slide Number 19Slide Number 20Slide Number 21Slide Number 22Slide Number 23Slide Number 24Slide Number 25Slide Number 26Slide Number 27Slide Number 28Slide Number 29Slide Number 30Slide Number 31Slide Number 32Slide Number 33Slide Number 34Slide Number 35Slide Number 36Slide Number 37Slide Number 38Slide Number 39Slide Number 40Slide Number 41Slide Number 42Slide Number 43Slide Number 44Slide Number 45Slide Number 46Slide Number 47Slide Number 48Slide Number 49Slide Number 50Slide Number 51Slide Number 52Slide Number 53Slide Number 54Slide Number 55Slide Number 56Slide Number 57Slide Number 58Slide Number 59Slide Number 60Slide Number 61Slide Number 62Slide Number 63Slide Number 64Slide Number 65Slide Number 66Slide Number 67Slide Number 68Slide Number 69Slide Number 70Slide Number 71Slide Number 72Slide Number 73Slide Number 74Slide Number 75Slide Number 76Slide Number 77Slide Number 78Slide Number 79Slide Number 80Slide Number 81Slide Number 82Slide Number 83Slide Number 84Slide Number 85Slide Number 86Slide Number 87Slide Number 88Slide Number 89Slide Number 90Slide Number 91Slide Number 92Slide Number 93Slide Number 94Slide Number 95Slide Number 96Slide Number 97Slide Number 98Slide Number 99Slide Number 100Slide Number 101Slide Number 102Slide Number 103Slide Number 104Slide Number 105Slide Number 106Slide Number 107Slide Number 108Slide Number 109Slide Number 110Slide Number 111Slide Number 112Slide Number 113Slide Number 114Slide Number 115Slide Number 116Slide Number 117Slide Number 118Slide Number 119Slide Number 120Slide Number 121Slide Number 122Slide Number 123Slide Number 124Slide Number 125Slide Number 126

seguranca_aulas_17_e_18_sistemas_de_protecao.pdf

Documents