SóProvas

ID
1047202
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens seguintes, acerca de VPN e VPN-SSL.

Quando se utiliza um firewall com funções de VPN, as mensagens entram cifradas na rede e somente são decifradas no nível de aplicação.

Alternativas
Comentários

  • Os firewalls, que podem ser de filtros de pacote e filtros de pacote baseados em estados, atuam nas camadas 3(IP) e 4 (TCP). Ou seja, uma solução com firewall não pode ser utilizada com sucesso quando as mensagens são decifradas somente no nível de aplicação (nível 7), pois estes não atuam nessa camada. Por esse motivo, a questão está ERRADA.

  • Discordo do colega Sergio.

    Existem firewalls de nível de aplicação, chamados justamente firewalls ou gateways de aplicação.

    O erro está no fato de que, se o firewall tem suporte a VPN, ele é capaz de desencapsular os dados e aplicar os filtros no próprio firewall. O ato de decifrar somente na aplicação ocorreria se o firewall NÃO tivesse suporte a VPN.


  • Segundo Nakamura(2010,p.406),"As cinco possíveis localizações da VPN, com relação ao firewall, são: Em frente ao firewall, atrás do firewall, NO FIREWALL, paralelamente ao firewall, na interface dedicada do firewall."

    A respeito da posição NO FIREWALL, olhem abaixo.

    Segundo Nakamura(2010,p.409),"12.2.3 No firewall

    [...] essa configuração não é mais eficiente em um ambiente cooperativo, por exigir que todo o processo de cifragem/decifragem das informações, além do gerenciamento de todas as sessões de IPsec, seja realizada nesse único ponto." O único ponto mencionado é a VPN no firewall.

    **Portanto, acredito que o erro da questão seja afirmar que a decifragem só é realizada no nível de aplicação, quando na verdade pode ser realizada a cifragem e decifragem no próprio firewall/VPN.

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010

  • Localização da VPN/Firewall

    - Em Frente ao Firewall

    - Representa um ponto único de falha.

    - Impossibilidade de verificar o comprometimento do Gateway VPN, pois Firewall Aceita os pacotes vindos do Dispositivo.

    *Caso a VPN seja comprometida, Firewall deixara passar todos os Pacotes.

    - Atrás Do Firewall

    - Também se Constitui um Ponto unido de falha

    - Agravante, obriga que o firewall deixe passa todo trafego cifrado.

    - Dessa forma, a política de segurança deixa de ser efetivamente cumprida em relação as regra de filtragem.

    - Atacante realizariam ataques através de pacotes cifrados.

    - No firewall

    - Administração e gerenciamento simplificado

    - Continua sendo ponto único de falha

    - Falhas na implementação da VPN pode significar o controle do dispositivo ao atacante, possibilitando a alteração de regras de firewall e todas as conexões.

    - Paralelo ao Firewall

    - A VPN deixa de ser um ponto único de falha

    - Mas ele fica passível de ataques oriundos da internet.

    - Viabilizando um caminho alternativo ao atacante.

    - Não haverá regras de filtragem atribuídas as conexões de VPN.

    - Na Interface do Firewall

    - Configuração mais indicada

    - O firewall realiza a proteção do dispositivo VPN

    - Todo o pacote é filtrado pelas regras de Firewall.

    *Funcionamento - Pacotes IPSec são enviados diretamente ao dispositivo VPN.

    - Eles são decifrados e enviados de volta ao Firewall para filtragem segundo suas Regras

  • Se o firewall deixasse passar, de nada serveria essa configuração.

  • Segundo o prof. Rani Passos, Estratégia, no firewall com função VPN , as mensagens são cifradas e decifradas na camada de enlace e rede.