SóProvas

ID
801226
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

A fim de se obter adequada configuração de segurança em um firewall, deve-se configurar o serviço FTP para operar em modo passivo.

Alternativas
Comentários
  • Teoria

    Modo ativo:o cliente requisita o servidor usando uma porta aleatória, por exemplo, a porta 1026, endereçando o pacote à porta 21 do servidor. O servidor imediatamente contata o cliente de volta, usando a porta seguinte do cliente (1027) para enviar dados. A questão principal é que o modo ativo não funciona quando o cliente acessa através de uma conexão compartilhada. Ao tentar responder, o servidor cairia na porta 1027 do gateway da rede, sem conseguir chegar ao cliente.

    Modo passivo: o cliente abre a conexão contatando a porta 21 do servidor, entretanto, ao invés de iniciar a conexão imediatamente, o servidor responde avisando que o cliente pode contatá-lo numa segunda porta, escolhida aleatoriamente (a 2026, por exemplo). O cliente inicia, então, uma nova conexão na porta especificada e o servidor responde enviando os dados. Esta porta fica reservada ao cliente durante o tempo que durar a transferência. Em teoria, isto seria um limite ao número de clientes que poderiam se conectar simultaneamente, mas, na prática, seriam necessárias mais de 64.000 conexões simultâneas ao mesmo servidor FTP para esgotar as portas disponíveis.

    Justificativa

    Então para se evitar problemas de sobrecarga o modo passivo o administrador pode limitar a quantidade de conexões ativas, além do mais é o servidor que determina quais as portas que deverão ser acessadas sendo possivel a configuração no firewall deste range de portas que são visiveis de fora da rede restringindo algum ataque a portas especificas.

    Mais informações em: https://www.rnp.br/newsgen/0011/ftp-passivo.html
  • Modo Ativo: O cliente abre uma porta e escuta, e o servidor conecta ao cliente (Ativo).
    Modo Passivo: O servidor abre uma porta e escuta (passivo), e o cliente conexta ao servidor.

    Como em um firewall normalmente são bloqueadas a conexões iniciadas do lado de fora da rede o modo passívo é aconselhado.

    Se você estiver se conectando ao servidor FTP usando Modo activo de conexão, você deve definir o firewall para aceitar conexões à porta do seu cliente FTP será aberto.  No entanto, muitos provedores de serviço Internet bloquear conexões de entrada para todas as portas acima da 1024.  Servidores FTP ativos geralmente usam porta 20 como sua porta de dados.

    Modo Ativo:



    Modo Passivo:



    Fonte: http://www.deskshare.com/lang/po/help/afm/ActiveandPassiveConnectionMode.aspx
  • Acredito que um grande problema da questão é não informar onde que está o firewall. O que pode ser confuso é porque o firewall pode estar tanto do lado do servidor quanto do lado do cliente.
    Para a questão, o examinador pensou claramente em um firewall no cliente. Nesse caso, se o FTP fosse ativo, seria iniciado uma conexão de fora para dentro, o que geralmente será bloqueado. Por isso, o firewall deve estar no modo passivo, em que o cliente realizará a conexão (de dentro para fora), que normalmente é menos crítica e considerada legítima.
  • Como se trata de um servidor FTP, muito provavelmente ele estará posicionado numa DMZ, junto com outros servidores. Uma política comum a máquinas servidoras, é liberar o acesso de máquinas externas a serviços específicos e bloquear qualquer tentativo do servidor em estabelecer conexão com o mundo externo ( o propósito do servidor não é o de acessar serviços na internet). 

    No modo ativo do FTP, o servidor teria que se conetar no cliente, quebrando a regra acima. Além disso, é muito provável que o cliente esteja em uma rede privada usando NAT para acessar a internet. Por isso, o modo passivo é o mais recomendado.

  • Passivo é mais seguro para o cliente, pois ele não precisará ter uma porta em LISTEN, passível a ataques, como se fosse um servidor.

  • Operação de FTP passiva:

    Este modo de operação é mais seguro porque todas as conexões estão sendo iniciadas do cliente, assim há menor chance de comprometer a conexão. A razão de ser chamado de passivo é que o servidor executa um " passive open".

    Fonte: https://www.pop-rs.rnp.br/~berthold/etcom/redes2-2000/trabalhos/FTP_EltonMarques.htm