São sistemas de detectação de intrusão, que tem por função
detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo, portanto, grandes aliados dos (as) administradores (as) de redes na manutenção da segurança dos ambientes por eles (as) controlados. Tendo como foco o monitoramento e atuação na rede em que estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta. Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com hosts e servidores.
2. Definir os componentes de uma arquitetura de rede gerenciada
(SNMP).
O SNMP tem como base o modelo de gerência OSI, e procura
dentro de um mesmo domínio ou conjunto de domínios gerenciar os elementos de rede, produzindo informações relevantes sobre o status dos elementos ativos da rede e estatísticas importantes para o funcionamento da mesma, como: utilização, taxa de erros, vazão, nível de colisão, entre outras.São definidos quatro componentes básicos: os nós gerenciados (agentes), as estações de gerenciamento (gerentes), as informações de gerenciamento (MIBs) e o protocolo de gerenciamento (SNMP), conforme mostrado na figura anterior.
3. Definir Falso Positivo e Falso Negativo.
Os falsos positivos são mais conhecidos e comentados, porém os
falsos negativos são com certeza os mais problemáticos, pois são eles que no fim irão gerar impacto. Mas o ajuste em detecção preventiva ou reativa deve levar em conta ambos, uma nuvem de falsos positivos podem mascarar um ataque ou vulnerabilidade presente. Falso positivo é quando o sensor do IDS gera um alerta que não deveria, ou seja, classifica uma atividade normal na rede como sendo um ataque. Quanto menos falsos positivos um IDS geral, melhor, pois quando um administrador examina um IDS e vê vários alertas este pode pensar que o sistema está sendo atacando.
4. Quais são as diferenças entre os protocolos PPTP, L2TP e IPSec?
Existem algumas diferenças técnicas entre PPTP,
L2TP e SSTP em relação à criptografia de dados e autenticação (o processo que usamos para verificar seu nome de usuário alta velocidade VPN e senha). Por favor, dê uma olhada abaixo para saber mais sobre estes protocolos VPN.
Point-to-Point Tunneling Protocol (PPTP) é um protocolo VPN
amplamente utilizado suportado pela maioria dos dispositivos disponíveis hoje. PPTP tem uma sobrecarga relativamente baixa, tornando-se mais rápido do que outros métodos de VPN e também é mais fácil de configurar.
PPTP foi criticado no passado por várias falhas de segurança, no
entanto muitos desses problemas foram solucionados em versões atuais do protocolo. A menos que você tem uma agência secreta do governo observando cada movimento seu, você `ll provavelmente ser OK com PPTP.
L2TP
Layer 2 Tunneling Protocol (L2TP) é uma opção mais segura, uma
vez que trabalha em conjunto com o protocolo IPSec que utiliza algoritmos de criptografia mais seguros do PPTP. O mais forteL2TP usa criptografia 168 bit chaves e algoritmo de criptografia 3DES.
L2TP tem várias vantagens sobre PPTP, proporcionando a
integridade de dados e autenticação de verificações de origem que irá manter um hacker de ser capaz de capturar e / ou repetir os L2TPdados que são enviados. Por outro lado, a sobrecarga envolvida em fornecer esta segurança adicional pode resultar num desempenho ligeiramente mais lento do que o PPTP.
IPsec
O Protocolo IPSec implementa uma forma de tunelamento na
camada da rede (IP) e é parte das especificações da pilha de protocolos IPV6. Ele fornece autenticação em nível da rede, a verificação da integridade de dados e transmissão com criptografia e chaves fortes de 128 bits. Implementa um alto grau de segurança na transmissão das informações. O protocolo IPSec dificulta de maneira permanente uma eventual tentativa de ataque vindo por parte do “hacker”, tornando muito dificil fazer um grampo em linhas de comunicação e obter qualquer informação útil do trafego da rede.
5. Descrever como funciona a biometria por impressão digital.
A biometria é aplicada em soluções práticas através do uso da
geometria das mãos, reconhecimento de face, de voz, íris e impressão digital.
A impressão digital é a forma biometria mais utilizada, devido ao
domínio da tecnologia. Todas as impressões digitais são únicas e exclusivas e isto as tornam ideais para a identificação pessoal
Os sulcos das impressões digitais não são retos e contínuos, mas
sim partidos, bifurcados e curvos.
As extremidades, os pontos de bifurcação e os pontos de mudança
de direção são conhecidos como minúcias. Suas posições relativas e quantidades é que diferenciam uma impressão digital de outra. 6. Definir o funcionamento do CHAP e Kerberos.
O Challenge Handshake Authentication Protocol (CHAP) é um
protocolo de autenticação de resposta de desafio, isto é, para que um cliente seja autenticado, o servidor envia um desafio que só pode ser respondido pelo cliente caso este detenha as informações de autenticação corretas. Isso acontece em 3 etapas.
Servidor de acesso remoto envia uma mensagem de desafio CHAP
que contém uma chave de sessão e um string hash de desafio arbitrário
2. Cliente de acesso remoto devolve uma mensagem de resposta
CHAP que contém o nome de usuário em texto simples, uma string hash de desafio, a chave de sessão e a senha do cliente usando o algoritmo Message Digest 5 (MD5) de um só sentido;
3. Servidor de acesso remoto duplica a string hash e compara com
a string hash da resposta CHAP. Se as strings de hash são as mesmas, o servidor manda de volta uma mensagem de sucesso CHAP. Se as strings de hash são diferentes, uma mensagem de fracasso CHAP é enviada.
Kerberos
Protocolo de autenticação de rede, desenvolvido no MIT
(Massachusetts Institute of Technology), que usa técnicas de criptografia de chaves simétricas.
Necessita de 3 tipos diferentes de servidores: Servidor de
Autenticação (SA) responsável pela autenticação do usuário a partir de uma solicitação deste servidor para o servidor de TGS, ele receberá um ticket e uma chave de sessão, que é entregue pelo KADM.
Servidor de concessão de tickets (TGS) este servidor tem como
função a entrega de tickets de acordo com as solicitações feitas.
Servidor de Administração (KADM) responsável pelas chaves
secretas que são cadastradas no cliente e no servidor. O recurso de cadastramento é de usuário e senha. 7. Definir Gerenciamento de Redes?
Antes, contudo, de estudarmos os protocolos mais importantes
existentes, detalharemos o que representa, por definição, o gerenciamento de redes. Conforme a ISO (International Organization for Standards) define, são cinco as áreas chaves de gerenciamento de rede: o gerenciamento de falhas, de configuração, de segurança, de performance e de contabilização. Estas "áreas chaves" englobam exatamente as características que os usuários desejam de um gerenciador de redes, dentre as quais: um sistema excelente de segurança de rede, uma interface de fácil utilização, uma implementação relativamente barata, e a redução da inoperância dos sistemas. Desta forma, podemos formalmente estabelecer o gerenciamento de redes como sendo o processo de controle de uma complexa rede de informações de modo a maximizar sua eficiência e produtividade.
8. Qual a diferença entre SSL e TLS?
O protocolo TLS foi criado como o sucessor do SSL. É mais
frequentemente usado como uma configuração nos programas de e-mail, mas assim como o SSL, o TLS pode ter um papel em qualquer transação cliente-servidor.
As diferenças entre o SSL e o TLS são muito pequenas e técnicas,
porém eles possuem normas diferentes. O TLS tem a capacidade de trabalhar em portas diferentes e usa algoritmos de criptografia mais fortes como o keyed-Hashing for Message Authentication Code (HMAC) enquanto o SSL apenas Message Authentication Code (MAC). Além do que, a versão 1.0 do TLS não interopera com a versão 3.0 do SSL. O TLS pode ser utilizado por uma autoridade intermediária, não sendo sempre necessário recorrer à raiz de uma Autoridade de Certificação. 9. Qual é a diferença entre Assinatura e Anomalias em Detecção de Ataques?
Assinatura: Análise baseada em um banco de dados de ataques
conhecidos
Método rápido e confiável de análise de rede
Fácil implementação
Incapaz de detectar ou reconhecer novos ataques, ou pequenas
diferenças em ataques conhecidos.
A eficiência da base de assinaturas depende do desenvolvedor da
solução.
Anomalias: Análise baseada em desvios no tráfego normal de pacotes da
rede.
Diferenças entre o padrão conhecido e a atividade corrente disparam
alarmes.
Diferentes padrões de tráfego ao longo do tempo.
Capacidade de detecção de novos ataques (desconhecidos).
Altas taxas de falsos positivos, dificuldade em identificar o padrão
“normal”.
Atividades maliciosas em conformidade com o padrão não são
detectadas.
10. Definir as vantagens na utilização das VPNs.
Solução Transporte: Os recursos da rede remota são acessados
como se estivessem na rede local.
Solução Segura: Os dados são transmitidos criptografados
Baixo custo de implantação: Pois as soluções de conexões ponto a ponto como linha privada, fibra ótica ou frame relay apresentam custo mais elevados.
Flexibilidade para conectar diversas redes ou mesmo pontos
moveis
Integração entre redes distantes: uma solução de vpn possibilita
que duas ou mais filiais, escritórios e pontos moveis compartilhem recursos e serviços de forma segura através da internet.