Firewall Questões afirmativas CESPE
- Firewall stateful inspection caracterizado por identificar os protocolos dos pacotes e comparar os padrões da comunicação pretendida aos padrões de comunicação esperados, estabelecidos em tabelas de estados, autorizando que o tráfego somente ocorra em caso de convergência.
“3 tipos: Stateless: filtro de pacotes; Statefull: estado de conexão; Proxy: verificar camada de aplicação.”
-Os firewalls de inspeção de estado (stateful inspection) fazem comparação entre o que está acontecendo e o que é esperado para acontecer. Neste caso, os firewalls analisam todo o tráfego de dados para encontrar estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados para manter a comunicação.
- Em um firewall corretamente instalado e configurado, toda troca de dados entre a rede interna e a rede externa de uma organização deve passar por ele.
“Esta estratégia força os atacantes a utilizarem um “canal estreito”, constitui-se em um choke point porque os atacantes necessariamente devem passar por ele”
-Firewalls de filtragem de pacotes funcionam na camada de redes. As regras de filtragem são definidas pelo administrador da rede, as quais determinam se o datagrama será descartado ou passará. Neste caso, a filtragem pode ser baseada no bit TCP ACK.
-Uma política de filtragem de pacotes pode ser baseada na combinação de endereços e números de porta. Neste caso, basear a política em endereços externos não oferece nenhuma proteção contra datagramas, pois o endereço da fonte pode ser falsificado, esse tipo de falsificação de IP é denominado spoofing.
“falso positivo – ocorre quando a ferramenta classifica uma ação como uma possível intrusão, embora, na verdade, trate-se de uma ação legítima;
falso negativo – ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;”
FP = bloqueia legitimo
FN = permite falso
-Ocorre falso positivo quando um firewall bloqueia pacotes de dados de uma atividade legítima na rede por tê-la interpretado como maliciosa.
-Os fluxos de rede que atravessam um firewall statefull são classificados e rotulados pelo firewall de acordo com o QoS marcado no cabeçalho MPLS.
· - TIME-WAIT: Nesse estado encontra-se o host iniciador que recebeu um FIN final e enviou um ACK para fechar a conexão. Nesse momento ele não irá mais receber nenhuma confirmação do ACK que acabou de enviar, portanto espera um período de tempo para fechar a conexão.
- Em uma rede local do tipo Ethernet, um firewall que atua na camada de enlace pode ser configurado para permitir ou negar o tráfego de dados por endereço MAC.
- Para que a proteção proporcionada pelo firewall seja mais eficaz, convém que todo tráfego de fora para dentro e vice-versa seja analisado por ele.