-
Existem basicamente dois critérios de filtragem que podem ser empregados em firewalls. O primeiro é o de default deny, ou seja, todo o tráfego que não for explicitamente permitido é bloqueado. O segundo,default allow, é o contrário, ou seja, todo o tráfego que não for explicitamente proibido é liberado.
A configuração dos firewalls deve seguir a política de segurança da rede. Se a política permitir, é recomendável adotar uma postura de default deny. Esta abordagem é, geralmente, mais segura, pois requer uma intervenção explícita do administrador para liberar o tráfego desejado, o que minimiza o impacto de eventuais erros de configuração na segurança da rede. Além disso, ela tende a simplificar a configuração dos firewalls.
No perímetro da rede, pelo menos as seguintes categorias de tráfego devem ser filtradas:
tráfego de entrada (ingress filtering): pacotes com endereço de origem pertencente a uma rede reservada (seção 4.8) ou a um dos blocos de endereços da sua rede interna;
tráfego de saída (egress filtering): pacotes com endereço de origem pertencente a uma rede reservada ou que não faça parte de um dos blocos de endereços da rede interna.
-
Na filtragem estática, os dados são bloqueados ou liberados meramente com base nas regras, não importando a ligação que cada pacote tem com outro. A princípio, esta abordagem não é um problema, mas determinados serviços ou aplicativos podem depender de respostas ou requisições específicas para iniciar e manter a transmissão. É possível então que os filtros contenham regras que permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas/requisições necessárias, impedindo a execução da tarefa.
Esta situação é capaz de ocasionar um sério enfraquecimento da segurança, uma vez que um administrador poderia se ver obrigado a criar regras menos rígidas para evitar que os serviços sejam impedidos de trabalhar, aumentando os riscos de o firewall não filtrar pacotes que deveriam ser, de fato, bloqueados.
A filtragem dinâmica surgiu para superar as limitações dos filtros estáticos. Nesta categoria, os filtros consideram o contexto em que os pacotes estão inseridos para "criar" regras que se adaptam ao cenário, permitindo que determinados pacotes trafeguem, mas somente quando necessário e durante o período correspondente. Desta forma, as chances de respostas de serviços serem barradas, por exemplo, cai consideravelmente.
fonte: http://www.infowester.com/firewall.php
-
Simplesmente copiou e colou.. http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf
-
Erros em negrito:
A) Dispositivos que fazem proxy de web também podem ser abusados se não forem tomadas as devidas precauções. A configuração correta para um proxy web libera o acesso a todos os endereços IP e depois utiliza outro mecanismo para verificar se são de usuários da rede. (FALSO)
"A configuração correta para um proxy Web e aquela que libera o acesso somente aos endereços IP de usuários autorizados (pertencentes a sua rede). Consulte a documentação do seu software ou o suporte técnico do seu fornecedor para obter maiores informações sobre como configurar o controle de acesso no seu proxy."
C e D estão invertidas (stateful vs stateless)
E) Ao se definir a topologia de uma rede wireless deve-se isolar esta rede da rede interna da instituição. (VERDADEIRO)
Isso impede o vazamento de sinal e dispensa que o administrador precise implementar medidas como o uso de autenticação e criptografia, que são recursos caros. (FALSO)
O vazamento de sinal que a questão se refere é ao posicionamento de APs dentro da instituição e a força que o sinal deve ter. Por fim, as redes wifi devem ser separadas, mas isso não impede o vazamento de sinal. Depois, o uso de autenticação e criptografia não são recursos caros.
Fonte: http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf