SóProvas

ID
753142
Banca
FCC
Órgão
MPE-AP
Ano
2012
Provas
Disciplina
Redes de Computadores
Assuntos

Nessa arquitetura de firewall cada pacote é individualmente verificado de acordo com o pacote anterior ou subsequente. O exame dos pacotes é feito com base no estado da sessão da aplicação TCP ACK#, SEQ#, informações de portas etc. Os pacotes são examinados usando informações de dados de comunicações passadas. Esses firewalls têm ainda a habilidade de criar sessões de informação virtual para manter a inspeção sobre protocolos não orientados à conexão de pacotes que possam ter conteúdo não legal.

O texto acima refere-se a firewall

Alternativas
Comentários
  • Packet filter-analisam individualmente os pacotes à medida que são transmitidos, verificando as informações de dta link layer (camada 2 do ISO/OSI Model) e de network (camada 3).

    Os parâmetros indicam os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão. Desvantagem : falta de controle de estado do packet, o que deixa maliciosos produzir pacotes simulados (IP Spoofing), fora de contexto ou ainda para serem injetados em uma sessão válida.

    Proxy Firewall ou Gateways de Aplicação

    Application-level gateways e "bastion hosts" foram introduzidos por Marcus Ranum em 1995.O proxy firewall recebe o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido pelo mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original.

    Application-level gateways conectam as redes à Internet através de estações seguras (bastion hosts) rodando aplicativos especializados para tratar e filtrar dados (os proxy firewalls).

    Stateful Firewall -Session Application Firewall-

    Os firewalls de estado (primeiro Firewall-1) utilizava a tecnologia Stateful Inspection, que identificava o protocolo dos pacotes transitados e previa as respostas legítimas. O firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos. (resposta da questão)

    Posteriormente surgiram aperfeiçoamentos, tais como Deep Packet Inspection, também conhecido como SMLI (Stateful Multi-Layer Inspection), ou seja Inspeção de Total de todas as camadas do modelo ISO/OSI. Esta tecnologia permite que o firewall decodifique o pacote, interpretando o tráfego sob a perspectiva do client/server

    Com SMLI/Deep Packet Inspection, o firewall verifica tráfego para analisá-los com a tabela de estado de conexões legítimas. Pacotes também são comparados a padrões legítimos de tráfego para identificar possíveis anomalias. A combinação permite que novos padrões sejam assimilados às regras em pouco tempo.

    http://www.crn.de/security/artikel-7305.html
    http://www.firewall.cx/networking-topics/protocols/tcp/134-tcp-seq-ack-numbers.html
  • Firewall Stateful (Firewall de Estado de Sessão) Os Firewalls de Estado de Sessão (stateful firewall) analisam os pacotes e guardam o estado de cada conexão de maneira que seja possível para identificar e fazer uma previsão das respostas legítimas, de forma a impedir o tráfego de pacotes ilegítimos. A verificação dos pacotes engloba as camadas de enlace, rede (camadas 1 e 2), e pode englobar a camada de transporte (camada 3) do TCP/IP. Vantagens: oferecem maior segurança que os filtros de pacotes, pois guardam o estado das conexões TCP/IP. A atuação desse tipo de firewall também pode ser transparente para a rede, de forma que nem o atacante, nem os hosts da rede saibam seu endereço IP. Desvantagens: necessitam de mais recursos para processamento das informações e aumentam o atraso (delay) na retransmissão dos pacotes.


    Firewall Stateless (Filtros de Pacotes) Os filtros de pacotes analisam cada um dos pacotes à medida em que são transmitidos, verificando exclusivamente as informações das camada de enlace (camada 1 do TCP/IP) e de rede (camada 2 do TCP/IP), sem fazer análise nas camadas superiores. As regras são formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão, por meio das listas de acesso (access lists). Vantagem: a análise dos pacotes é rápida e não causam atraso (delay) na retransmissão dos pacotes. Além disso, a atuação desse tipo de firewall é completamente transparente para a rede, de forma que nem o atacante, nem os hosts da rede saibam seu endereço IP. Desvantagem: são sistemas stateless, ou seja, não há controle de estado do pacote, o que permite que os atacantes possam produzir pacotes modificados com endereço IP falsificado (IP Spoofing), fora de contexto ou ainda para colocados no meio de uma sessão válida, na tentativa de fazer o ataque “man-in-the-middle”. 
  • Letra C por quê? 

    Porque é um tipo de Filtro de pacotes que, além de ter a tabela de filtragem normal está é contida no Stateless que examina cada pacote individualmente, ela também tem a tabela de estados que só existe no tipo Statefull logo quando um pacote chega no firewall para ser analisado na tabela de filtragem e este é aceito e passa tudo normal, nesse momento é criado uma tabela de estados que é uma tabela que tem um conjunto de regras menor onde os demais pacotes passam agora a ser filtrados por essa tabela otimizando o desempenho.

  • "[...] O exame dos pacotes é feito com base no estado da sessão [...]"

    o termo destacado já foi suficiente para eu gabaritar, pois stateful = estado da sessão

    portanto, LETRA "C".

  • a) Proxy : é um servidor (um sistema de computador ou uma aplicação) que age como um intermediário para requisições de clientes solicitando recursos de outros servidores. Um cliente conecta-se ao servidor proxy, solicitando algum serviço, como um arquivo, conexão, página web ou outros recursos disponíveis de um servidor diferente e o proxy avalia a solicitação como um meio de simplificar e controlar sua complexidade.

    b) de Filtro de Pacotes (Stateless): tende a tratar cada pacote roteado pelo firewall como pacotes individuais, que não tenham associação alguma com qualquer outro tráfego que também estiver passando pela dada interface do firewall. Esse tipo de filtragem é o mais comum e o mais fácil de implementar.

    Uma conexão é sempre bidirecional, assim devemos criar regras para que o host remetente possa enviar pacotes para o host destinatário e vice-versa, pois o host destinatário necessita enviar pacotes de resposta ao host remetente para estabelecimento de conexões.

    c) Stateful Inspection (CORRETA): surgiu para superar as limitações dos filtros estáticos. Nesta categoria, os filtros consideram o contexto em que os pacotes estão inseridos para "criar" regras que se adaptam ao cenário, permitindo que determinados pacotes trafeguem, mas somente quando necessário e durante o período correspondente. Desta forma, as chances de respostas de serviços serem barradas, por exemplo, cai consideravelmente.

    d) Bastion Host: é o termo aplicado a um host que age como um choke-point entre a sua rede e a Internet, ou entre subredes da Intranet. Ele pode ser associado de várias maneiras à entrada de um edifício - todos devem passar por aquele ponto tanto para entrar quanto para sair do edifício. Para um Bastion Host que está conectado à Internet, maior atenção deve ser dada à segurança - é o ponto mais exposto e, por essa razão, deve ser o mais forte.

    e) Session Inspection: não achei nada sobre esse aqui, rs.