Segurança de Redes: Roteadores e Firewalls

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
O roteador de borda é o último gateway (interconectam redes 
diferentes) que conecta a rede interna da empresa à internet. 
Devido a essas características, apesar de ser importante para a 
segurança das redes, é pouco utilizado para esse fim devido a: 
 
I- Devido ao fato de que, muitas vezes, este roteador não pertence à 
organização, e sim a empresas que proveem a conexão com a 
internet. 
II- Devido ao fato de que não faz diferença protegê-lo, uma vez que 
ele está fora do ambiente da rede interna. 
III- Não permite configuração por parte do administrador da rede, 
uma vez que o roteador não pertence à organização, e sim a 
empresas que proveem a conexão com a internet. 
IV- Devido à dificuldade de configuração, normalmente feita via 
linha de comando, o que faz com que muitos administradores, por 
questão de praticidade, abram mão de utilizar este recurso. 
 
Resposta Selecionada: d. 
Apenas as afirmativas I e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e III estão corretas. 
 b. 
Apenas as afirmativas I, III e IV estão corretas. 
 c. 
Apenas as afirmativas I, II e IV estão corretas. 
 d. 
Apenas as afirmativas I e IV estão corretas. 
 e. 
Apenas as afirmativas III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: D 
Comentário: Os roteadores de borda devem ser 
utilizados como ferramentas de segurança, mas devido 
ao fato de, às vezes, não pertencerem à organização e 
serem de difícil configuração, acabam não sendo 
utilizados para esse fim. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
O NAT ( Network Address Translation) é uma solução que foi 
desenvolvida para solucionar problemas relacionados ao 
 
esgotamento do número de endereços IP da internet. Como através 
dele é possível segmentar ou afunilar o acesso à internet, logo se 
tornou grande aliado para a segurança da informação, pois afunila o 
acesso da rede interna para o ambiente externo. Dessa maneira, é 
correto afirmar que: 
 
I- O NAT foi criado para permitir que máquinas possam acessar a 
internet sem que necessariamente tivessem um endereço IP válido. 
II- Os endereços IPs distribuídos para a rede interna através do NAT 
são endereços válidos na internet. 
III- Os endereços IPs distribuídos para a rede interna através do NAT 
são endereços que não são válidos na internet. 
IV- O maior benefício para a segurança em redes é que as máquinas, 
a partir da internet, não conseguem acessar de forma direta 
máquinas que estão na rede interna. 
Resposta Selecionada: b. 
Apenas as afirmativas I, III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e III estão corretas. 
 b. 
Apenas as afirmativas I, III e IV estão corretas. 
 c. 
Apenas as afirmativas I, II e IV estão corretas. 
 d. 
Apenas as afirmativas II e IV estão corretas. 
 e. 
Apenas as afirmativas III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: B 
Comentário: O NAT foi criado para permitir que máquinas 
pudessem acessar a internet sem que necessariamente 
tivessem um endereço IP válido, já que os endereços 
válidos são centralmente distribuídos e controlados. Por 
isso, foram criadas faixas de endereçamento chamadas 
de inválidas, que podem ser usadas livremente, sem que 
seja necessário reportar aos órgãos. No entanto, estes 
endereços não “existem” na internet real, ou seja, é por 
isso que, quando um pacote sai de uma rede inválida 
para uma válida, ele precisa ter o seu endereço de origem 
alterado. 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
É correto afirmar sobre os firewalls de níveis de redes: 
 
I- São geralmente roteadores com capacidades poderosas de 
filtragem de pacote. 
II- Também são conhecidos como firewalls baseados em roteador, 
pois trabalham na camada de rede. 
III- Apresentam muitas deficiências, a mais latente é sua 
vulnerabilidade a ataques de personalização ou spoofing. 
IV- Quanto mais rigorosas forem as regras de filtragem de pacotes, 
mais lentos eles ficarão e seu desempenho pode ser abalado. 
 
Resposta Selecionada: e. 
As afirmativas I, II, III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas II, III e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: Os roteadores podem também oferecer uma 
solução integrada; se sua rede está permanentemente 
conectada à internet, é necessário um roteador de 
qualquer jeito, então é possível unir duas utilidades em 
uma. Porém, firewalls baseados em roteador têm várias 
deficiências. Primeiro é que muitos roteadores sejam 
vulneráveis a ataques de personificação ou spoofing, 
embora os fornecedores de roteador estejam 
desenvolvendo soluções para evitar esse ataque. Outro 
ponto de vista é puramente prático, o desempenho do 
roteador cai dramaticamente quando você impõe 
procedimentos de filtragem excessivamente rigorosos. 
 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Para construir um firewall é necessário seguir seis passos lógicos 
importantes e sequenciais, que são: 
 
Resposta 
Selecionada: 
a. 
Identifique a topologia, analise os relacionamentos de 
confiança, desenvolva as diretivas, identifique 
o firewall correto, empregue esse firewall e teste suas 
diretivas. 
Respostas: a. 
Identifique a topologia, analise os relacionamentos de 
confiança, desenvolva as diretivas, identifique 
o firewall correto, empregue esse firewall e teste suas 
diretivas. 
 
b. 
Analise os relacionamentos de confiança, identifique a 
topologia, desenvolva diretivas, identifique 
o firewall correto, empregue esse firewall e teste suas 
diretivas. 
 
c. 
Desenvolva as diretivas, analise os relacionamentos de 
confiança, identifique a topologia, identifique 
o firewall correto, empregue esse firewall e teste suas 
diretivas. 
 
d. 
Identifique o firewall correto, desenvolva diretivas, 
analise os relacionamentos de confiança, identifique a 
topologia, empregue esse firewall e teste suas 
diretivas. 
 
e. 
Teste suas diretivas, identifique o firewall correto, 
desenvolva diretivas, analise os relacionamentos de 
confiança, identifique a topologia e empregue 
esse firewall. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: O processo de implantação 
dos firewalls deve passar necessariamente por esse 
passos: identifique sua topologia, aplicativo e 
necessidades de protocolo, analise relacionamentos de 
confiança em sua organização, desenvolva diretivas 
baseadas naquelas necessidades e relacionamentos, 
identifique o firewall correto para sua configuração 
específica, empregue esse firewall corretamente, teste 
suas diretivas rigorosamente e se prepare para arrumar 
 
alguns inimigos, pois serão necessários muitos ajustes 
após a implantação. 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
O perímetro de segurança (ou DMZ) é um conceito extremamente 
importante para a segurança física e pode, de maneira muito 
semelhante, ser transposto para a segurança em redes. Quando 
imaginamos a aplicabilidade dos perímetros de segurança, 
podemos afirmar que: 
 
I- Caso uma máquina nessa rede perimetral tenha a sua segurança 
comprometida, a equipe de segurança tem tempo para detectar o 
incidente e responder de forma apropriada antes que o ataque 
atinja os ativos internos. 
II- Para aumentar ainda mais a segurança e garantir a defesa em 
profundidade, costuma-se combinar a segurança fornecida 
pelo firewall ou IPS ( Intrusion Prevention System) com a chamada 
segurança em host, transformando essas máquinas, que recebem 
acesso externo, em bastion hosts. 
III- As máquinas da DMZ, por estarem protegidas, não necessitam 
ser monitoradas de perto. 
 
Resposta Selecionada: a. 
Apenas asafirmativas I e II estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas II e III estão corretas. 
 c. 
As afirmativas I, II e III estão corretas. 
 d. 
Todas as afirmativas estão incorretas. 
 e. 
As afirmativas I e III estão corretas. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: As DMZ ou perímetros de segurança devem 
estar em constante monitoramento, pois diante de 
qualquer incidente a ação de isolamento e proteção 
deverá imediata, dessa maneira, procedimentos 
automáticos deverão estar alinhados com os 
procedimentos manuais. 
 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
A utilização das VPNs pode representar uma alternativa de acesso 
seguro por uma rede insegura, “a internet”, dessa forma, é correto 
afirmar sobre o funcionamento das VPNs. 
 
I- Rede de circuitos virtuais que transporta tráfego privado, como 
uma conexão segura baseada em criptografia com objetivo de 
transportar informação. 
II- Combina as tecnologias de criptografia, autenticação e 
tunelamento. 
III- Interessante para interligar pontos distantes de uma organização 
através da internet. 
IV- Por trafegar por um meio inseguro não é recomendada para 
informações sensíveis e confidenciais. 
 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas I, II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas II, III e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: B 
Comentário: Como uma rede de circuitos virtuais que 
transporta tráfego privado, como uma conexão segura 
baseada em criptografia com objetivo de transportar 
informação sensível através de uma rede insegura 
(internet), VPNs combinam tecnologias de criptografia, 
autenticação e tunelamento, que são interessantes para 
interligar pontos distantes de uma organização através 
da internet. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
As VPNs com IPsec (IP seguro) são uma tendência para compor 
ainda mais a segurança das VPNs, dessa forma, é correto afirmar 
 
sobre o IPsec: 
 
I- O IPSec permite a interoperabilidade de implementações de 
diferentes fabricantes e é uma solução de segurança fim a fim entre 
roteadores, firewalls, estações de trabalho e servidores. 
II- O IPSec utiliza criptografia simétrica devido à rapidez do 
mecanismo para encriptar os dados, e criptografia assimétrica para 
prover mecanismos de troca de chaves criptográficas. 
III- O IPSec é um protocolo de tunelamento desenhado tanto para 
IPv4 como IPv6, e disponibiliza mecanismos de segurança fim a fim 
e criptografia. 
IV- Foi constituído para operar tanto em um ambiente de estação do 
usuário como em gateway (roteador, concentrador etc.), garantindo 
a proteção para o tráfego IP. 
Resposta Selecionada: e. 
As afirmativas I, II, III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas II, III e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: Basicamente, os serviços disponibilizados 
para integridade dos dados em que os pacotes são 
protegidos contra modificação acidental ou deliberada. 
Autenticação, em que a origem de um pacote IP é feita 
criptograficamente. Confidencialidade, em que a parte útil 
de um pacote IP ou o próprio pacote IP podem ser 
criptografados e, por fim, antirreplay, em que o tráfego IP 
é protegido por um número de sequência que pode ser 
usado pelo destino para prevenir ataques do 
tipo replay (repetir mesma sequência antes enviada). 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
O potencial das VLANs ( Virtual Lans) é pouco utilizado pelos 
administradores de redes, isso se dá pela falta de conhecimento e 
pela necessidade de um bom projeto de implantação, seguindo essa 
análise, é correto afirmar sobre as VLANs: 
 
I- Trata-se de mecanismo básico de segregação de tráfego 
disponível na maioria dos switches. 
II- VLAN para uso externo destina-se a usuários que fazem acesso a 
serviços internos através de meios externos. 
III- As VLANs não podem ser implantadas para uso interno, pois 
podem acarretar em conflitos de endereçamento nos switches. 
IV- É extensivamente utilizada com o propósito de diminuir o 
impacto do tráfego de broadcast em redes de grande porte. 
 
Resposta Selecionada: c. 
Apenas as afirmativas I, II e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e III estão corretas. 
 b. 
Apenas as afirmativas I, III e IV estão corretas. 
 c. 
Apenas as afirmativas I, II e IV estão corretas. 
 d. 
Apenas as afirmativas I e IV estão corretas. 
 e. 
Apenas as afirmativas III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: C 
Comentário: Para uso interno, como o próprio nome já 
diz, é destinada a ambientes internos e seu uso é mais 
frequente e tem aplicações mais comuns. A principal 
delas, do ponto de vista de segurança, é evitar que, 
dentro de um mesmo segmento de rede, o tráfego, cuja 
interceptação pode trazer problemas de segurança, seja 
segmentado daquele que normalmente é produzido 
pelos usuários. 
 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
As VLANs podem ser configuradas de diversas formas 
nos switches multicamadas, quando configuramos uma VLAN por 
MAC Address, ela terá as seguintes características: 
 
Resposta 
Selecionada: 
c. 
Nesse caso, o switch verifica o endereço de origem da 
máquina conectada a ele e realiza a ligação dessa 
máquina à sua VLAN correspondente. 
Respostas: a. 
Trata-se do critério mais tradicional também suportado 
por switches camada 2 comuns. 
 
b. 
Trata-se do critério que apenas 
alguns switches tradicionais suportam. 
 
c. 
Nesse caso, o switch verifica o endereço de origem da 
máquina conectada a ele e realiza a ligação dessa 
máquina à sua VLAN correspondente. 
 
d. 
Quando o usuário se conecta à rede, é solicitada uma 
autenticação e, de acordo com a autenticação, 
o switch conecta o usuário a sua determinada VLAN. 
 
e. 
Quanto o critério estabelecido é de agregação das 
redes. 
Feedback 
da 
resposta: 
Resposta: C 
Comentário: As VLANs por MAC Address apenas 
alguns switches tradicionais suportam. Esse sistema é 
baseado na configuração do endereço MAC da estação 
como política da VLAN. Assim que a estação é conectada 
na rede, independentemente do local físico em que ela 
esteja, automaticamente é conectado à VLAN que 
participa. Essa solução é muito utilizada por usuários 
de notebooks. 
 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Com a chegada das redes sem fio os administradores de rede 
tiveram que se adaptar a um cenário modificado, antigamente, a 
preocupação de segurança era limitada a proteger os cabos de rede, 
os equipamentos de comunicação, mas agora as coisas mudaram. 
Sobre a mudança radical que as redes sem fio trouxeram, podemos 
afirmar que: 
 
I- Quando nos referimos às redes sem fio, devemos nos preocupar 
 
com a enorme facilidade de “furto” de informações, pois o intruso 
pode estar em qualquer local da área de abrangência coberta pelo 
sinal dos APs ( Access Points). 
II- Um protocolo de comunicação desenvolvido com o objetivo de 
criar redes wireless de alta velocidade não faz nada mais do que 
transferir dados por ondas de rádio em frequências não licenciadas. 
III- A não obrigatoriedade de qualquer tipo de licença ou autorização 
do órgão regulador das comunicações para operar foi um dos 
fatores que levaram as empresas a adotarem as redes sem fio em 
alta escala, além, é claro, da grande vantagem da mobilidade dentroda área de cobertura do sinal. 
IV- No caso de comunicações em redes wireless, os controles de 
acesso adotados serão os mesmos das redes cabeadas. 
Resposta Selecionada: a. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e III estão corretas. 
 b. 
Apenas as afirmativas I, III e IV estão corretas. 
 c. 
Apenas as afirmativas I, II e IV estão corretas. 
 d. 
Apenas as afirmativas I e IV estão corretas. 
 e. 
Apenas as afirmativas III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: O controle de acesso nas redes cabeadas é 
mais simples, pois elas possuem uma limitação em 
relação aos ataques, que devem compartilhar o mesmo 
meio físico. No caso de comunicações em redes wireless, 
este controle não existe. O padrão 802.1X fornece 
autenticação em nível de link de estações 
móveis wireless com os APs através de dois tipos: 
sistemas abertos, nos quais qualquer 
estação wireless pode se conectar livremente, ou seja, 
não há a autenticação do usuário da ponta e os sistemas 
de chave compartilhada, também conhecidos 
como shared keys, possibilitando, assim, melhora no 
quesito confidencialidade e integridade das informações.