1 – Qual a característica básica que popularizou o firewall de primeira geração ser chamado de stateless firewall?
(a) Manter uma tabela de estado das conexões e trata – la nas filtragens de pacote.
(b) Realizar filtragem na camada de aplicação.
(c) Manter uma tabela de estado das conexões porém não trata-la.
(d) Abstrair o conceito TCP/IP para uma linguagem de alto nível.
(e) Não ter tabela de estado das conexões.
2 – Quais são os possíveis estados da tabela de estado das conexões?
(a) Started, Estabilished e Finalized.
(b) New, Estabilished e Related.
(c) New, Estabilished e Oldest.
(d) Started, Related, Finalized
(e) New, Related, Oldest
3 – Qual a evolução do firewall de terceira geração sobre o firewall de segunda geração?
(a) Não ter a necessidade de manter a tabela de estado.
(b) Incrementar possíveis estados na tabela de estado.
(c) Utilizar bases de assinatura, conhecimento e endereçamento dinamicamente.
(d) Ser capaz de criar uma DMZ.
(e) Realizar decodificação de protocolos na camada de aplicação.
4 – Qual o nome popular do firewall de quarta geração?
(a) Gateway de circuito
(b) Firewall Next Generation.
(c) Gateway de Aplicação .
(d) Firewall UTM
(e) Stateful Firewall
5 – Qual o objetivo a ser atingido por um firewall para que ele possa ser chamado de next Generation Firewall?
(a) Abtrair endereços e portas para uma linguagem de alto nível tratando as conexões por serviço.
(b) Ter gerenciamento Web
(c) Ser capaz de funcionar em cluster cooperativo afim de utilizar a capacidade de processamento de mais de um equipamento
(d) Ter suporte a NPU (Unidade de processamento de rede)
(e) Nenhuma das alternativas anteriores.
6 – Descreva a diferença básica entre firewall endpoint e um firewall de perímetro.
Firewall endpoint: E capaz de controlar as entras e saídas de um pacote
Firewall de perímetro: São instalados como gateway e controla além dos pacotes
7 – Assinale a alternativa: A filtragem com base na análise do cabeçalho do pacote IP quanto a endereços de origem e destino e portas é considerado uma análise?
(a) Next Generation
(b) Completa
(c) Simples
(d) Filtragem de Estado
(e) Layer7
8 – Organiza cada geração de firewall de acordo com a camada de rede no modelo OSI que ele trabalha:
(a) Stateless Firewall
(b) Stateful Firewall
(c) Gateway de Aplicação
(d) Firewall UTM
(a) (b) (c) (d) Camada de Aplicação
(a) (b) (c) (d) Camada de Transporte
(a) (b) (c) (d) Camada 7
(a) (b) (c) (d) Camada 5
9 – Assinale a alternativa correta: Qual é a heurística de resolução de conflitos de regras que o firewall usa?
(a) A regra de maior peso é executada
(b) Não existe resolução de conflito
(c) A regra mais permissiva é executada
(d) A regra mais restritiva é executada
(e) Nenhuma das alternativas anteriores
10 – E m quais camadas do modelo OSI é executado a filtragem de pacotes?
R: Camadas 3 e 4 do modelo OSI
11 – Em qual geração de firewall foi introduzido filtros contra ataques de negação de serviços (Deny of Service) e de estouro de pilha (Buffer Overflow)
R: Stateless Full Firewall
12 – Marque a alternativa correta: Qual a alternativa contempla todos os possíveis estados de um pacote.
(a) Novo Conhecimento e Finalizado
(b) Iniciado, Estabelecido e Finalizado.
(c) Novo, Conhecido e Relacionado
(d) Iniciado, Estabelecido e Relacionado
(e) Nenhuma das alternativas anteriores
13 – Relacione cada tipo de proxy com sua aplicação em cenários reais:
(a) Forward Proxy
(b) Reverse Proxy
(c) Enhancing Proxy
(a) (b) (c) Usado para melhorar a performance de jogos online.
(a) (b) (c) Muito Usado para controlar a navegação de usuários.
(a) (b) (c) Usado para reunir várias aplicações web em único ponto de conexão
14 – Descreva a técnica de NAT utilizada pelos gateway de circuito
Esta Técnica é muita conhecida como Network Address Translation ou Nat, onde diferentes endereços de rede privada de uma organização são mapeados para um endereço de IP publico capaz de ser roteador pela internet
15 – Marque a alternativa correta: quantas sessões são necessárias para uma comunicação utilizando um proxy de um gateway de aplicação?
(a) 1
(b) 2
(c) 3
(d) 4
(e) Nenhuma das Alternativas anteriores
16 – Assinale a tecnologia que é utilizada pelo firewall Stateful Multi-Layer Inspections (SMLI)
(a) Firewall UTM
(b) Gateway de Circuito
(c) Firewall de Filtragem de pacote
(d) Gateway de aplicação
(e) Nenhuma das alternativas anteriores
17 – Assinale a técnica que é importante empregar nos bastion hosts para reforçar o nível de segurança?
(a) Analise de segurança
(b) Analise de vulnerabilidade
(c) Hardening
(d) Auditoria de eventos
(e) Nenhuma das alternativa anteriores
18 – Assinale quais os serviços não são aceitáveis para rodar em bastion hosts:
(a) Firewall
(b) Active Directory / CIFS
(c) Web Services
(d) Banco de Dados
(e) FTP
19 – Assinale a frase que melhor descreve uma rede segmentada (DMZ).
(a) A DMZ é uma rede para publicação de serviços
(b) A rede segmentada serve para isolar a rede de servidores
(c) A rede segmentada e o local onde os bastion hosts se localizam.
(d) A DMZ é a segmentação de uma rede de maior nível de segurança com a rede de menor nível de segurança.
(e) Nenhuma das alternativas anteriores
20 – Descreva uma vantagem de se ter DMZ com topologia dual firewall em relação a uma topologia single firewall.
R: Aumento o nível de segurança devido a necessidade de administração distribuida
21 – Assinale qual é o melhor lugar para rede delimitada
(a) Entre a rede interna e a rede de automação
(b) Entre um firewall de primeiro nível e um firewall de segunda nível.
(c) Diretamente no firewall de perímetro.
(d) Diretamente no firewall de perímetro
(e) Nenhuma das alternativas anteriores
22 – Leia atentamente o cenário a seguir e assinale alternativa que mais se adequa a solução necessária para o problema com menor uso de recurso possível: Existe uma DMZ com três servidores, sendo eles um SERVIDOR WEB, no qual utiliza as portas 80/TCP e 443/TCP com o IP privado 10.0.0.2, um SERVIDOR DE FTP, que utiliza a porta 21/TCP com ip privado 10.0.0.3 e um SERVIDOR DE CORREIO, que utiliza as portas 25/TCP,110/TCP e 443/TCP com ip privado 10.0.0.4 A empresa possui um BLOCO DE 6 ENDEREÇO DE IP PUBLICO, SENDO QUE UM É UTILIZADO PELO ROTEADOR E OUTRO PELO FIREWALL, RESTANDO 4 ENDEREÇOS DE IP PUBLICO PARA SER USADO
(a) Realizar um NAT 1:1 relacionando cada endereço de ip privado a um endereço ip publico existente.
(b) Realizar um PAT utilizando apenas um IP público redirecionando suas determinadas portas para os servidores.
(c) Realizar um NAT N:N para que cada servidor aloque um determinado IP público automaticamente.
(d) Realizar um PAT utilizando dois endereços de IP publico, sendo que as publicações do servidor web e FTP compartilhariam o mesmo endereço de IP público, e o servidor de correio eletrônico utilizaria o outro endereço de IP público.
(e) Nenhuma das alternativas anteriores
23 – Descreva qual a principal vantagem da VPN para utilização de um serviço corporativo ao invés de simplesmente publica-lo.
Segurança na conexão da rede externa de uma filial utilizando uma senha criptografada para entrar na rede da empresa
24 – Baseado no que estudamos sobre as limitações de firewall, é correto afirmar que com uma política de segurança da informação, antivírus nas estações e servidores, VPN para acesso remoto à rede corporativa e monitoramento periódico nos eventos de firewall e servidores estaríamos com um excelente nível de segurança. Justifique.
Sim, se houver um firewall bem configurado, antivírus nas estações e um monitoramento bem feito sendo que a empresa tem que ter uma auditoria periódica para ver se a funcionamento.
25 – Qual politica padrão garante um melhor nível de proteção? Justifique sua resposta.
Tudo que não é explicitamente liberado é bloqueado e uma politica bem extrema sai bloqueando tudo o analista de segurança da informação tem que levantar os sites que os funcionários utilizam para que possam acessar e muito isso gera muita resistência na implantação.
26 – Assinale os tipos de NAT que não são indicados para publicação de serviços para internet
(a) Mascaramento ou n:1
(b) Dinâmico ou n:n
(c) Estático ou 1:1
(d) Overload
(e) Nenhuma das alternativas anteriores
27 – Descreva o que vem a ser “Screened Host” e “Screened Subnet”.
Screened Host: É uma combinação de um dual-homed gateway e um screening router. O roteador (ou choke externo) fica entre a Internet e o bastion host (ou gate) e este faz a interface do choke com a rede interna
Screened Subnet: Também conhecido como De-Militarized Zone(DMZ), é uma combinação de um screened host com um screening router, sendo que este é ligado após o gate. Este screened router adiciona um nível de proteção a mais ao screened host ao adicionar uma rede perimétrica que isola ainda mais a rede interna da rede externa.
28 – Cite a diferença entre firewalls em modo router e os firewalls em modo bridge.
Modo router e limitado já modo bridge pode expandir a rede.
29 – Qual dos modos de firewall não são usuais para segmentar uma rede de automação justifique suas resposta.
Modo NAT, Modo Router, Modo Hibrido NAT / Router pois não ter uma ponte direta de uma rede interna para uma rede automação.
30 – Assinale a alternativa que representa o principal fator de escolha de uma arquitetura de firewall.
(a) A quantidade de servidores que firewall irá proteger
(b) A quantidade de interface do firewall
(c) A quantidade de subnets que ele segmentará
(d) A quantidade de firewall existente
(e) Nenhuma das alternativas anteriores
31 – Assinale o tipo de topologia de VPN possui concentrador
(a) Estrela
(b) Mesh
(c) Full Mesh
(d) Anel
(e) Nenhuma das alternativas anteriores
32 – Por que houve a necessidade de desenvolvimento de um sistema de detecção e prevenção de intrusão?
Para garantir maior segurança nos computadores da rede através de monitoramento da rede, analisando eventos em busca de sinais de invasão ao sistema.
33 – Assinale as alternativas de solução de segurança nas quais um IDS se encaixa
(a) Solução Automatizada
(b) Solução Passiva
(c) Solução Inteligente
(d) Solução Reativa
(e) Nenhuma das Alternativas anteriores
34 – Qual a principal diferença entre um sistema de IDS com um IPS?
Ele fornece politicas e regras para trafego de rede, diferente do IDS que apenas alerta os administradores de rede referente a tráfego suspeito, e permite que o administrador forneça, a ação a ser executada depois da emissão do alerta.
35 – Os sistemas de detecção e de prevenção de intrusão são capazes de identificar problemas na rede e dar recomendações de como corrigir o problema, porém, o que seria necessário para evitar que as vulnerabilidades sejam exploradas?
Melhorar o nível de segurança do firewall sabendo que o IDS e o IPS são sistemas apara melhorar o nível de invasão de crackes.
36 – Com base nos conhecimentos adquiridos nesta aula, é correto afirma que um ambiente com sistema de detecção de intrusão (NIDS) e um sistema de prevenção de instrusão (NIPS) teria duas camadas de proteção?
Não, pois NIDS e um sistema só de detecção de intrusão já NIPS teria um sistema de prevenção contra atividades suspeitas na rede
37 – Assinale o tipo de instrusão que um HIDS não é capz de detectar.
(a) Tentativa de instalação de backdoor
(b) Alterações indevidas no sistema de arquivos
(c) Tentativa de instalar um Trojan
(d) Atividades que somente um administrador poderia executar
(e) Nenhuma das alternativas anteriores
38 – Seria correto afirmar que um NIDS não consegue realizar a detecção em tempo real. Justifique sua resposta.
Ele não consegue realizar a detecção em tempo real, porem se bem configurado, consegue ficar muito próximo de um verdadeiro tempo real.
39 – Assinale as alternativas que ajudam os NIPS impactarem o mínimo possível em relação a performance rede.
(a) Utilização de cabos cat6
(b) Unidade de processamento de redes (NPU)
(c) Hardware próprio (appliance)
(d) Unidade de processamento central (CPU) robusta
(e) Nenhuma das alternativas anteriores
40 – É correto afirmar que com todo investimento de tempo e dinheiro no desenvolvimento de modernos técnicas e assinaturas de IDS/IPS ainda existam falso positivo e falso negativo. Justifique sua resposta.
Com desenvolvimento focado nesta solução gastando muito tempo de trabalho e dinheiro, não se acredita que as soluções de IDS/IPS detectem uma elevada percentagem de falso positivo ou falso negativo. Ainda assim um tema digno de consideração quando se compara diferentes soluções IDS/IPS
41 – O que incentivou a criação do Common Instrusion Detection Framework (CIDF)
Pesquisas e desenvolvimento foram investidos para que diferentes sistemas de IDS pudessem compartilhar informações e recursos, sendo criado um modelo chamado Common Instrusion Detection Framework (CIDF)
42 – Qual dos quatro componentes do CIDF não é alimentado por nenhum outro componente?
(a) E-boxes (Gerador de Eventos)
(b) A-boxes (Analisadores de Eventos)
(c) D-boxes (Base de dados de Eventos)
(d) R-boxes (Unidade de Resposta)
(e) Todos os componentes são alimentados por outro componente.
43 – Para se obter um melhor resultado na detecção de intrusão, selecione a alternativa que possui o melhor cenário de IDS.
(a) Sensores HIDS em todas as estações de trabalho e sensores NIDS nos segmentos de DMZ e Rede Interna.
(b) Sensores HIDS em todos os servidores e sensor de rede NIDS no segmento de rede pública
(c) Sensores NIDS nos segmentos de rede interna, DMZ e publica e sensores HIDS no firewall.
(d) Sensores NIDS nos segmentos de rede interna e DMZ e sensores HIDS nos servidores e estações de trabalho.
(e) Sensor e gerenciamento de IDS diretamente no firewall.
44 – Procurando uma abordagem de detecção de intrusão que gere o mínimo de falso positivo possível, qual abordagem que deveria ser utilizada? Justifique sua resposta.
Knowledge-based instrsion detection a grande vantagem da abordagem baseada na detecção de intruso baseado no conhecimento é seu baixo nível de falso positivo, e da analise contextual pelo sistema de detecção de intrusão que é detalhada, tornando mais fácil a ação de tomadas medidas preventivas e/ou corretiva pelo especialista em segurança.
45 – Estudos mostram que a maior parte das instruções são realizadas de dentro da própria rede Justifique o que leva a este número.
Pela facilidade e o conhecimento da rede e doas ativos realmente relevantes como banco de dados ajudam muito neste caso, principalmente porque possuem um certo nível de privilégios.
46 – Qual o objetivo de um Honeypot de produção
(a) Analise de comportamento do invasor.
(b) Coleta de ferramenta utilizada para invasão.
(c) Coleta de informação sobre o atacante
(d) Corrigir falhas do sistema
(e) Nenhuma das alternativas anteriores
47 – Qual o melhor nível de interatividade de um Honeypot para ser implementado em uma empresa que não possui nenhum funcionário de segurança da informação
(a) Qual nível de interatividade.
(b) Honeupots de Baixa interatividade.
(c) Honeypots de Media interatividade.
(d) Honeypots de Alta interatividade.
(e) Não é aconselhável a implementação de Honeypot
48 – Como deve ser realizada a administração de uma Honeynet? Justifique sua resposta
Os administradores não devem de maneira alguma realizar manutenções ou acesso através da rede,pois Honeypot ou Honeynets todo ou qualquer trafego de rede e considerado anômolo, este tipo de acesso causa poluições nos registros e dificultam a analise de incidentes.
49 – Qual tipo de Honeypot deve ficar em um bloco de IP público distinto de bloco de IP publico utilizado pela corporação? Justifique.
Para Honeypots de pesquisas, não e aceitável a utilização de um bloco de IP Publico valido que esteja sendo usado pela corporação, caso a empresa de telecomunicões tenha fornecido um bloco de endereço IP Publico, dependendo da quantidade de endereços é possível quebra-lo em blocos menores.
50 – Explique como um cracker é capaz de recrutar trinta milhões de computadores para uma rede particular com finalidade de praticar crimes digitais
Para ou roubo de informação ou destruição de dados dentro da empresa