Em geral, firewalls com inspeção de estado evitam ataques do...
computacionais, julgue os itens que se seguem.
ERRADO.
Firewal que evita esse tipo de ataque é o FIREWALL DE APLICAÇÃO para filtrar dados inseridos.
Não há como um firewall barrar um ataque de buffer overflow.
A aplicação que está aberta para receber conexões externas não é avaliada pelo firewall.
Além disso, buffer overflow ocorre no ataque direto ao processo em execução. O estouro da pilha faz com que o atacante termine com as permissões usadas pelo processo antes do estouro. Portanto, processo rodando como ROOT que sofrerem ataques de bufferoverflow darão ao atacante acesso completo de administrador (ROOT) ao sistema.
Errado.Ataques de buffer overflow estão na camada de aplicação, enquanto os firewalls com inspeção de estado atuam nas camadas de rede e transporte.
Bons estudos. Inspeçao de estado é o seguinte: Em vez de filtrar os pacotes apenas baseado na origem e destino dos endereços IP, o firewall compara o padrão de bits do pacote com um padrão conhecido, sem necessidade de processar toda a mensagem.
Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."
Bibliografia:
Segurança de redes em ambientes cooperativos
Autor: Nakamura
Editora: Novatec
colaborando.. Firewall Statefull é util contra ataque SYN flooding, pois identfica o ataque através da análise da quantidade excessiva de pacotes recebidos
mantra do concurseiro´´firewall NÃO BARRA ataque de buffer overflow´´.
GABARITO: ERRADO.
Errado.
O firewall (de estado e de pacote) não é uma medida eficaz para mitigar ataques de buffer overflow, pois esse ataque ocorre na camada de APLICAÇÃO e, nesse caso, o ideal seria o proxy.
Complementando:
Servidores proxy que atuam em nível de aplicação conseguem bloquear acesso a arquivos executáveis em conexões HTTP, o que não pode ser realizado com filtros de pacotes. (2018/PF)
- O proxy é um intermediário entre a rede interna e um servidor, dentre outras funções, melhorando a velocidade de resposta na requisição de páginas por guardá-las em cachê. Já os antivírus residem na memória RAM. Ele degrada, normalmente, o desempenho do computador por estar na memória RAM e ser pesado. É por isso que, em geral, em computadores com pouca memória há lentidão quando há o escaneamento de vírus. Também, é pela mesma razão que mais de um antivírus no computador tende a deixá-lo lento.
Segundo Stallings (2014, p. 193): "Como os firewalls de filtro de pacotes não examinam dados de camadas superiores, eles não podem impedir ataques que exploram vulnerabilidades ou funções específicas de aplicação. Por exemplo, um firewall de filtro de pacotes não é capaz de bloquear comandos específicos de aplicações; se um firewall de filtro de pacotes permitir determinada aplicação, todas as funções disponíveis dentro dessa aplicação serão permitidas".
- FILTRO DE ESTADO (firewall stateful): guarda o estado dos objetos/conexões. CAMADA DE TRANSPORTE.
- FILTRO DE PACOTE (firewall stateless): reconhece a cada requisição como uma nova conexão. CAMADA DE REDE.
Errado.
Firewalls com inspeção de estado são projetados para monitorar o estado das conexões de rede e decidir quais pacotes são permitidos com base nas regras configuradas. Eles são eficazes para evitar ataques baseados em tentativas de conexão não autorizadas ou tráfego malicioso, mas não são especificamente projetados para detectar ou prevenir ataques do tipo buffer overflow.
Ataques de buffer overflow exploram vulnerabilidades em programas ou sistemas onde um buffer (área de armazenamento temporário) é sobrecarregado com mais dados do que foi projetado para armazenar, levando a execução de código malicioso ou comportamento inesperado do sistema. A prevenção contra buffer overflow geralmente envolve práticas de programação segura, como verificação de limites de buffers, uso de funções seguras de manipulação de strings e implementação de técnicas de mitigação específicas.
Portanto, a afirmação de que firewalls com inspeção de estado evitam ataques do tipo buffer overflow é incorreta, pois essa não é sua função principal nem sua capacidade típica de detecção e prevenção.
Gabarito: E
A questão aborda a relação entre firewalls com inspeção de estado e ataques do tipo buffer overflow. Para compreendê-la, é essencial entender o funcionamento desses dois conceitos e como eles se relacionam.
Os firewalls com inspeção de estado são dispositivos de segurança de rede que monitoram o estado das conexões de rede, como sessões TCP e UDP, e permitem ou bloqueiam o tráfego com base no estado, protocolo e porta. Eles são eficazes contra uma variedade de ataques de rede, como spoofing de IP, ataques de negação de serviço (DoS) e outros que envolvam conexões em andamento.
No entanto, ataques do tipo buffer overflow exploram vulnerabilidades no código dos programas, onde a entrada de dados excede o buffer de memória alocado, permitindo a execução de código malicioso. Estes ataques geralmente são mitigados por técnicas como validação de entrada, uso de linguagens de programação seguras, e ferramentas de análise estática e dinâmica de código.
Portanto, a alternativa correta é Errado (E) porque:
Justificativa:
Os firewalls com inspeção de estado não são projetados para prevenir ataques de buffer overflow. Eles protegem a rede verificando e controlando o tráfego de rede, mas não inspecionam o conteúdo das interações de software onde ocorreria um buffer overflow. A prevenção de um buffer overflow requer mecanismos específicos de proteção no nível do software, não no nível de rede, como é o caso de firewalls.
Espero que a explicação tenha ficado clara! Se precisar de mais alguma ajuda ou tiver outras dúvidas, estarei à disposição.