SóProvas

ID
7417
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas a tipos e configuração de Firewall:

I. A conversão de endereços de rede NAT permite que uma rede utilize um conjunto de endereços de rede internamente e use um conjunto diferente ao lidar com redes externas.

II. O sistema de conversão de endereços de rede pode modificar os números de portas de origem e destino (podendo ser chamado de conversão de portas e endereços - PAT).

III. Um firewall com arquitetura de host dual-homed é construído com um computador que tem apenas uma interface operando nos dois sentidos, isto é, recebe um pacote, analisa e devolve ao meio físico pela mesma interface de rede. Esta arquitetura, muito útil para pequenas empresas, permite configurar um computador como firewall e roteador ao mesmo tempo.

IV. Uma regra de filtragem tem sua segurança próxima do ideal quando utiliza como parâmetro principal o endereço de origem.

Estão corretos os itens:

Alternativas
Comentários
  • GABARITO: A

    Nat e Proxy são coisas diferentes. No proxy você tem várias que máquinas internas (com ip real ou nao, tanto faz) que contatam o proxy para pedir que o mesmo (o proxy) requisite determinado serviço externamente. A característica aí é que cada máquina sabe e foi configurada especificamente para pedir que o proxy requisite esse servico externo. Já o NAT (network address translation) você tem várias máquinas internas (todas com ips não real, tipo 192.168.x.x ou 10.x.x.x) que acessam a internet através de um servidor NAT, esse servidor nat serve de intermediário para TODOS os pacotes das máquinas internas e ao receber qualquer tentantiva de conexão a internet ele "troca" o ip interno (nao-real) por um (geralmente é so um) ip externo. As máquinas internas nem sabem que estão atrás de um NAT, teoricamente não é necessário qualquer configuração adicional em qualquer programa.

    Um host dual-homed tem mais de uma interface IP. Na verdade se formos levar ao pé da letra é algo ainda um pouco mais complicado que isso, pois cada interface tem que fazer parte de uma ASN diferente, mas para o interesse da questao é uma maquina (host) que tem mais de uma interface em redes diferentes .;..

    • Dual-Homed host

      • Rede interna busca serviços para rede exerna

    Host contem 2 interfaces de rede; Uma ligada à rede interna e outra à rede externa

  • II. O sistema de conversão de endereços de rede pode modificar os números de portas de origem e destino (podendo ser chamado de conversão de portas e endereços - PAT).

    As portas de origem são modificadas por simples mapeamento.

    As portas de destino podem ser modificadas usando DNAT.

    Por exemplo, um host externo tentando acessar um serviço web do servidor interno através da porta padrão http 80. O host internet não conhece o IP do servidor interno. Ele somente tem conhecimento do IP público no qual a requisição foi gerada. Dessa forma deve-se fazer um DNAT na tabela nat do processamento PREROUTING, redirecionando, a conexão para o ip da rede interna que responde por esse serviço. Há casos que até a porta de redirecionamento pode ser alterada.

  • II- O Sistema de conversão de endereços de rede modifica as portas?