SóProvas

ID
163939
Banca
FCC
Órgão
TJ-PI
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em TI, uma política de segurança adequada deve conter recomendações de filtros que permitam o bloqueio de portas e protocolos no firewall para os serviços que mais são explorados em tentativas de invasão. Todavia, essa tarefa deve levar em conta o cuidado de não paralisar os serviços necessários no ambiente de rede privado. Nesse sentido, os bloqueios podem ser implementados

I. nos pacotes originários do ambiente exterior, com origem em endereços internos previstos na RFC 1918 (redes privadas) e endereços IP 127.

II. nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que sejam servidores de DNS secundária.

III. nos protocolos HTTP e SSL, exceto para servidores que provêm serviços Web para acesso externo, bem como as portas altas utilizadas por serviços HTTP como Proxy.

IV. nas requisições de echo request, de saída de echo replies, time exceeded, e mensagens do tipo unreachable.

É correto o que consta em

Alternativas
Comentários
  •  nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que sejam servidores de DNS secundária.
  • Acho que o amigo acima se confundiu no erro do item II:
    BLOQUEIO ...
    II) nas portas de DNS para todas as máquinas que não sejam servidores de DNS e também para as que NÃO sejam servidores de DNS secundária.

    Não faz sentido bloquear a porta de DNS(53) de uma máquina que é servidor de DNS. Caso isso ocorra, a mesma não poderá mais responder a nenhuma solicitação DNS de seus clientes, já que ficará impossibilidade de escutar na porta 53 por conexões de seus clientes.
  • Concordo com o comentário do Fábio e foi exatamente por pensar assim que descartei o segundo item.

  • Considerações do colega lhmachado do timasters:

    I- Evita Spoofing. Alguém externo poderia enviar requisições com o IP de um
    servidor interno. O roteador iria responder à requisição encaminhando-a ao
    servidor interno, pois ele pensa que foi este quem a enviou.
    II- Para que ficar bloquenado porta DNS (53) de máquina que não tem DNS
    rodando? ERRADO
    III-Se você hospeda um site que tem visibilidade externa, não vai querer
    bloqueá-lo. E o HTTP Proxy usa como padrão a porta alta 3128. Se você tiver
    um Squid, por exemplo, funcionando como proxy transparente você tem que
    liberar acesso externo à respectiva porta.
    III-Não é interessante seus servidores internos ficarem perdendo tempo
    respondendo a PING externos. Além de ser arriscado pois poderiam enviar um
    ping da morte ou mesmo usar o ping para explorar a rede (traceroute usa
    ping). Por isso, é comum, o firewall dropar (drop) pings.