SóProvas

ID
2734114
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as seguintes características:

• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa.


Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.

O ataque em apreço foi identificado por um firewall do tipo statefull pela característica de inspeção em profundidade, recurso de IPS embarcado, mediante a aplicação do conceito de segurança em camadas.

Alternativas
Comentários

  • Não menciona nada sobre estado de conexão. E também um firewall filtro de pacotes apenas não enxergaria o payload HTTP.

  • Nesta questão o que foi identificado pela equipe, não consta nada sobre o BLOQUEIO do possível ataque(o que faz um IPS) e sim apenas alertas (o que faz um IDS).

  • Erro da questão: quando informa que há IPS embarcado, o IPS (Intrusion Prevention System) é um sistema de prevenção à intrusão. Em nenhum momento a questão informou que automaticamente foi negado algum acesso ou rejeitada alguma conexão/pacote. Isso é caso de extrapolação ao texto.


    Ademais, com máxima vênia, não é possível determinar que o firewall é stateless, stateful ou proxy, pois o firewall com filtro de estado e o firewall proxy também fazem filtro de pacotes.


    Além disso a questão trata de payload de HTTP, assim dá uma aparência que o firewall seria de aplicação/proxy, ou havia um IDS identificando tráfego suspeito e informando, ou ainda que o servidor de aplicação gerou o log.


    Dessa forma o firewall pode não ser stateful e não havia IPS bem configurado.



    = = = Alguns conceitos importantes = = =

    Filtros de Pacotes [1]

    A filtragem, em geral, é limitada a duas camadas: a de rede, que é onde ocorrem, por exemplo, o endereçamento dos equipamentos da rede e os processos de roteamento; e a camada de transporte, onde estão protocolos, como o TCP e o UDP, que permitem o tráfego de dados. 


    Firewall de Estados (Stateful Firewall) [1]

    Com o tempo, foram surgindo aperfeiçoamentos ao Stateful Inspection, como o Deep Packet Inspection, ou SMLI (Stateful Multi-Layer Inspection), que consiste na inspeção de todas as 7 camadas do modelo ISO. 


    Firewall de aplicação ou Proxy [1]

    o Firewall de Aplicação é normalmente instalado junto à plataforma da aplicação, atuando como uma espécie de Proxy. Esta tecnologia é capaz de mapear todas as transações que acontecem na camada de aplicação web, além de poder avaliar HTTPS criptografadas que não seriam analisadas por firewalls tradicionais.


    IDS [2]

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.


    IPS [2]

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.


    Fontes de pesquisa:

    [1] https://www.gta.ufrj.br/grad/13_1/firewall/classificacao.html


    [2] https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html

  • MÉTODO NISHIMURA:

    1) Quando a questão explica sobre determinado assunto, geralmente, a assertiva é verdadeira;

    2) Quando a questão impõe algo, geralmente, a assertiva é falsa;

    3) Quando a questão compara duas tecnologias, geralmente, a assertiva é falsa;

    4) Quando a questão "fala mal" "menospreza" determinada tecnologia, geralmente a assertiva é falsa;

    5) Quando a questão enumera itens, se todos os itens pertencem ao mesmo grupo/programa, a assertiva é verdadeira;

    6) Se um dos itens, geralmente o último, não faz parte do grupo/programa, a assertiva é falsa;

    7) Estas palavras indicam uma questão certa: pode(m), permite(m), é possível, pode ser...

    8) Estas palavras indicam uma questão errada: automaticamente, deve. deve-se, só, somente, não permite, não sendo possível, sempre, é necessário, necessariamente.

  • IDS é o responsável pela detecção.

    IPS é o responsável pela prevenção.

    Gabarito Errado.

  • Vamos lá tentar responder essa bagaça:

    • IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45) -- perceba q aqui temos um firewall na camada de rede.

    • IP de origem: identificado na aplicação web (200.20.30.45) -- não se pode concluir q há um firewall na camada de aplicação. Ele fala q o IP foi identificado na aplicação...uma aplicação decente sempre tem um log de registro de acesso e o IP e diversas outras informações ficam registradas nela, sem a necessidade de precisar consultar firewall para saber o IP de acesso.

    • payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  -- reparem q quem faz esse tipo de análise é um firewall de aplicação(na verdade, um proxy). Aqui, sim, temos a confirmacao de q se trata de um firewall no nivel de aplicacao.

    Complementando, cito o colega Raphael, q respondeu acertadamente q "Como o sistema não agiu e somente identificou, leva-se a crer ser um sistema de detecção e não intrusão, o IDS". Esse eh o erro.

    E como , na visão de [1], "nos Firewalls stateful, a verificagéo dos pacotes engloba as camadas de enlace, rede (camadas 1 e 2), e pode englobar a camada de transporte (camada 3) do TCP/IP". presume-se ainda, q há na rede, tanto firewall statefull, como stateless.

    Fonte:

    [1] Segurança Da Informação Descomplicada, Sócrates Arantes Teixeira Filho

  • Web/Porta 80=HTTP ->Camada de Aplicação

    Analise de Payload -> Análise conteúdo

    Tem todas as características de um Firewall de Aplicação (Proxy)

    Como o sistema não agiu e somente identificou, leva-se a crer ser um sistema de detecção e não intrusão, o IDS

  • GABARITO: ERRADO.

  • Falou em existência de regras no firewall, é stateless.

  • Quem sabe o conceito do IPS acerta a questão. Em nenhum momento o enunciado deu que houve reação ativa da máquina impedindo o ataque e realizando contramedidas.

  • Nada na questão indica que é um firewall do tipo stateful nem que é um IPS

  • Erro da questão: colocaram IPS ao invés de IDS, isso?

    IPS: ação ativa -> Sistema de Prevenção de Instrusos

    IDS: ação passiva -> Sistema de Detecção de Instrusos

    Qqr erro, chama no privado.

  • COMO É O CESPE, E OS ÓRGÃOS POLICIAIS FAZEM PARTE DAS POSSÍVEIS INSTITUIÇÕES BENEFICIADAS, ESSE ÚLTIMO DETALHE NÃO TORNA A QUESTÃO ERRADA.

    O PRIMEIRO TÓPICO CITADO POR VOCÊ, SIM

  • COMO É O CESPE, E OS ÓRGÃOS POLICIAIS FAZEM PARTE DAS POSSÍVEIS INSTITUIÇÕES BENEFICIADAS, ESSE ÚLTIMO DETALHE NÃO TORNA A QUESTÃO ERRADA.

    O PRIMEIRO TÓPICO CITADO POR VOCÊ, SIM

  • Lembrando que, nos firewalls, só é permitida a implementação de IDS.

  • Stateless x Stateful

    Stateless 

    Uma aplicação ou processo stateless são recursos isolados. Nenhuma referência ou informação sobre transações antigas são armazenadas, e cada uma delas é feita do zero.Por exemplo, uma transação stateless pode ser uma pesquisa online que você faz para tirar alguma dúvida.

    Stateful

    As aplicações e os processos stateful são aqueles que podem ser usados mais de uma vez, como e-mails e serviços bancários online. Eles são executados com base no contexto das transações anteriores. 

    Se você precisa de informações temporárias com rapidez, stateless é a opção, no entanto, se a aplicação exige o armazenamento das informações de todas as sessões, escolha o modelo stateful.

  • O erro está em dizer que foi um IPS, pois se trata de um WAF

    OWAF (web application firewall) é um novo tipo de firewall criado para combater as ameaças que estãoalémdas capacidades dos firewalls tradicionais. Ele cria uma barreira entre o seu serviço baseado na web e todo o resto da Internet,

    PARTE DA QUESTÃO "IP de origem: identificado na aplicação web"

  • Amigo Yuri, esse último "detalhe" torna sim a questão errada. Não entendi o "como é o Cespe...", mas enfim.

    Quando o enunciado restringiu-se ao Sinarm (obrigatoriamente ao Sinarm), descartou o Sigma tornando a questão errada.

    Bons papiros.

  • Acredito que, além de outros erros da assertiva, o firewall mais apropriado seria o Stateless

  • • Obs: IP de origem: identificado na aplicação web (200.20.30.45)

    • Esse firewall statefull é o de segunda geração, ele também é conhecido como filtro de sessão, serve para prever se irá ter prolemas em uma rede; ele basicamente analisa os pacotes em tempo real.

    Essa característica é de um firewall de aplicação, ou também firewall de proxy: Que funciona como um intermediário entre a internet e as maquinas, fazendo uma especie de filtro, está diretamente relacionado com o uso de protocolos de aplicação na Web, mas também em todos protocolos do modelo TCP/IP.

    Errado, em aplicação WEB é utilizado o firewall de proxy ou de aplicação.

  • Concordo ctg!

  • Amigo,

    Esse método já foi muito eficiente. Infelizmente hoje não mais.

  • Errado, em aplicação WEB é utilizado o firewall de proxy ou de aplicação.

  • MÉTODO NISHIMURA É MEUS ZOVOS!

  • Matei a questão só pelo enunciado, afinal o conceito de segurança em camadas está ligado a Stateless (filtro de pacotes). Enquanto Statefull (Filtro de estados) analisa as conexões.

    Dica cespe: Comece pelo enunciado sempre, geralmente é possível responder a questão sem ler o texto