Execícios de Revisão
Redes e Sistemas Distribuídos II
Edgard Jamhour
Filtros de Pacotes
Criptografia, Certificados Digitais
VPN
Exercício 1
•
Configure as regras do filtro de pacotes "E" para permitir que os computadores
da rede interna tenham acesso a serviços HTTP, HTTPS e DNS na Internet.
Todos os demais acessos devem ser proibidos.
servidor
DNS (53)
servidor
HTTP (80)
HTTPs (443)
E
INTERNET
200.0.0.0/24
rede interna
0.0.0.0/0
rede externa
Auxilio
Rede Interna
200.0.0.0/24
DNS
0.0.0/0
HTTP
0.0.0/0
HTTPS
0.0.0/0
N,R,E
53
>=1024
UDP
R,E
ACK 0,1
80
>=1024
TCP
ACK 1
ACK 0,1
443
>=1024
ACK 1
Firewall
TCP
Exercício 1: Regras do Filtro
regra
ação
(P/B)
protocolo
ip origem
ip destino
Ação: (P)ermitir ou (B)loquear
Protocolo: TCP, UDP, ICMP, etc.
ACK: 0, 1
Estado: N(ew), R(elated), (E)stablished
porta origem
porta destino
ACK/Estado
Exercício 2
•
Configure as regras dos filtros de pacotes para rede abaixo. Observe que o
roteador da rede interna implementa SNAT. Permita que:
–
–
–
–
a) hosts internos tenham acesso a serviços HTTP na Internet
b) hosts externos tenham acesso aos serviço DNS e HTTP na DMZ
c) o servidor DNS na DMZ possa se comunicar com servidores DNS na Internet.
d) todos os demais acessos são proibidos.
192.168.0.1
200.0.0.1
DMZ
E
nat
192.168.0.0/24
rede interna
200.0.0.2
DNS (53)
200.0.0.3
HTTP (80)
INTERNET
Auxilio
DNS
200.0.0.2
Rede Interna
200.0.0.0/24
≥1024
HTTP
200.0.0.3
DNS
0.0.0/0
N,R,E
53
UDP
R,E
N,R,E
UDP
53
R,E
≥1024
≥1024
≥1024
N,R,E
53
R,E
UDP
ACK 0,1
ACK 1
≥1024
HTTP
0.0.0/0
80
TCP
ACK 0,1
80
ACK 1
NAT
(200.0.0.1)
Firewall
TCP
Exercício 4: Regras do Filtro
regra
ação
(P/B)
protocolo
ip origem
ip destino
porta origem
porta destino
ACK/Estado
Exercício 3
•
Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.Permita
que:
– a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ
– b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet
– c) o servidor de email consulte servidores DNS e troque emails com outros
servidores na Internet via SMTP
– d) os demais acessos são proibidos
DMZ
E
I
192.168.0.0/24
rede interna
INTERNET
200.0.0.4
PROXY (3128)
200.0.0.2
SMTP (25)
POP3 (110)
Auxilio para Configuração do Firewall I
Exercício 3: Regras do Filtro "I"
regra
ação
(P/B)
protocolo
ip origem
ip destino
porta origem
porta destino
ACK/Estado
Auxílio para Configuração do Firewall E
Exercício 3: Regras do Filtro "E"
regra
ação
(P/B)
protocolo
ip origem
ip destino
porta origem
porta destino
ACK/Estado
Exercício 4: Relacione
CARACTERÍSTICA
ALGORITMO
( ) Não é capaz de proteger comunicações UDP contra
spoofing de porta.
( ) Permite criar regras utilizando informações do protocolo
de aplicação, como identificar o tipo MIME em uma sessão
HTTP.
( ) Libera todas as portas dos clientes acima de 1023.
( ) Libera apenas a porta do cliente utilizada para
estabelecer a conexão com o servidor.
( ) Permite proteger comunicações TCP contra spoofing de
porta.
( ) A decisão sobre a passagem ou não de um pacote é
tomada utilizando apenas informações contidas no próprio
pacote.
1. Firewall com estado
2. Firewall sem estado
3. Firewall com estado de
camada 7
4. Nenhuma das anteriores
Exercício 5: Relacione
FUNÇÃO
ALGORITMO
(
) Utiliza chaves diferentes para criptografa e
descriptografar as informações
(
) Também chamado de algoritmo de chave secreta
(
) Permite verificar a integridade de uma mensagem, isto
é, se a mensagem recebida é idêntica a que foi gerada pelo
transmissor.
(
) Para uma dada mensagem, gera um código único, de
tamanho fixo, que independe do tamanho da mensagem.
(
) Permite verificar a integridade e a identidade do
transmissor de uma mensagem.
(
) É unidirecional, isto é, as chaves para criptografar
informações de A para B e de B para A são diferentes.
(
) O espaço de chaves é aproximadamente 2^N, onde N é
o tamanho da chave.
1. Criptografia Assimétrica
2. Criptografia Simétrica
3. Hashing
4. Assinatura Digital
5. Nenhuma das
anteriores
Exercício 6: Indique as afirmações verdadeiras
(
) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos
que os simétricos, pois utilizam operações complexas com números primos.
(
) É possível determinar o valor da chave privada a partir da chave pública
(
) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de
oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta.
(
) Uma boa prática de segurança consiste em utilizar chaves de sessão, isto é, trocar
de chave periodicamente, a fim de evitar que muitos dados sejam protegidos com a
mesma chave.
(
) É possível recuperar o conteúdo de uma mensagem a partir do digest gerado por
algoritmos de hashing do tipo MD5 ou SHA.
(
) Algoritmos de criptografia geralmente trabalham com pequenos blocos de informação
de tamanho fixo, como 64 ou 128 bits. Caso dois blocos idênticos apareçam em uma
mesma mensagem, o resultado criptografado também será idêntico, para qualquer modo
de utilizado, seja o CBC (Cipher Block Chaining) ou o ECB (Electronic CodeBook).
Exercício 7: Relacione as ações do SSL/TLS
FUNÇÃO
ALGORITMO
( ) Assinar um CSR e transformá-lo em um
certificado digital.
( ) Criptografar a chave de sessão gerada
pelo navegador Web (cliente).
( ) Criptografar os dados transmitidos do
cliente para o servidor Web.
( ) Criptografar os dados transmitidos do
servidor para o cliente Web.
( ) Descriptografar a chave de sessão
enviada do cliente para o Servidor Web.
( ) Verificar a validade de um certificado
digital emitido por uma autoridade
certificadora.
1. Chave privada do servidor Web
2. Chave privada da autoridade
certificadora
3. Chave pública do servidor Web
4. Chave pública da autoridade
certificadora
5. Chave secreta gerada pelo cliente
6. Chave pública do cliente
7. Chave privada do cliente
8. Nenhuma das anteriores
Exercício 8
•
Indique na figura abaixo o formato de um pacote transmitido em SSL de um
cliente para um servidor Web numa rede externa, relacionando os campos
com a coluna ao lado. Além do número, coloque também um x nos campos
criptografados.
início do quadro
fim do quadro
1. MAC do cliente
2. MAC do roteador
3. MAC do servidor
4. FCS
5. IP do cliente
6. IP do servidor
7. IP do roteador
8. Porta TCP origem > 1023
9. Porta TCP destindo 80
10. Porta TCP destino 443
11. HTTP
12. Dados
Exercício 9: Relacione
Característica
Método de Proteção
( ) Permite criptografar apenas o protocolo de
aplicação dos pacotes. As camadas inferiores não podem
ser protegidas.
( ) Faz tunelamento de pacotes, isto é, encapsula o
pacote original no campo de dados de um novo pacote a
fim de oferecer maior proteção aos dados transportados.
( ) Faz tunelamento de camada 3, o que permite
transportar apenas pacotes IP.
( ) Faz tunelamento de camada 2, podendo transportar
vários tipos de pacotes, como IP, IPX e NetBEUI, mas
não tem suporte a criptografia.
( ) Faz tunelamento de camada 2, com suporte a
autenticação e criptografia.
1.
2.
3.
4.
5.
6.
7.
8.
SSL
VPN com PPTP
VPN com L2TP
IPsec em modo túnel
IPsec + L2TP
Alternativas 2 a 5
Alternativas 2 e 5
nenhuma das anteriores
Exercício 10: Marque as Afirmações Verdadeiras
( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite
fazer autenticação e criptografia dos pacotes e o AH apenas autenticação.
( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte
apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo
cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do
ESP ou AH.
( ) O modo túnel é mais apropriado para criar um canal seguro de comunicação entre
um cliente e um servidor, enquanto que o modo transporte é mais apropriado para criar um
canal seguro entre dois roteadores.
( ) O IPsec permite definir políticas de segurança que só são ativadas quando algum
pacote que satisfaz a política é transmitido. As políticas ativas são denominada associação
de segurança (SA).
( ) As associações de segurança (SA) são unidirecionais. Isto é, para que os hosts A e B
se comuniquem de forma segura é necessário criar uma SA para proteger a comunicação
de A para B e outra para proteger a comunicação de B para A.
(
) O IPsec necessita que chaves secretas sejam compartilhadas entre os hosts que
estabelecem uma comunicação segura.
(
) O IPsec possui um mecanismo denominado IKE que permite criar chaves
compartilhadas entre hosts de forma automática, utilizando o protocolo ISAKMP.
Cenário para os Exercícios 11 e 12
•
Desenhe o formato do pacote enviado de A para C nas seguintes situações:
– A envia um pacote AH para C em modo transporte
– A envia um pacote ESP para C em modo transporte
1
2
b
1
c
2
f
192.168.1.1
200.0.1.1
192.168.0.2
192.168.0.1
A
e
200.0.1.3
a
3
g
C
192.168.1.2
Exercício 11: Protocolo AH Modo Transporte
pacote
1
2
3
4
5
6
7
8
9
1
2
3
a-g
MAC de destino (indicar a letra do MAC)
a-g
MAC de origem (indicar a letra do MAC)
ipa
IP do host de origem (A)
ipc
IP do host de destino (C)
ah,esph,eespt,espa
Indica uma das opções no campo em que ele ocorrer
ip1
IP da interface c Gateway 1
ip2
IP da interface e Gateway 2
tcp/udp
Cabeçalho da camada de transporte
dados
Cabeçalho do protocolo de aplicação e dados
10
11
Exercício 12: Protocolo ESP Modo Transporte
pacote
1
2
3
4
5
6
7
8
9
1
2
3
a-g
MAC de destino (indicar a letra do MAC)
a-g
MAC de origem (indicar a letra do MAC)
ipa
IP do host de origem (A)
ipc
IP do host de destino (C)
ah,esph,eespt,espa
Indica uma das opções no campo em que ele ocorrer
ip1
IP da interface c Gateway 1
ip2
IP da interface e Gateway 2
tcp/udp
Cabeçalho da camada de transporte
dados
Cabeçalho do protocolo de aplicação e dados
10
11
Cenário para os Exercícios 13 e 14
•
Desenhe o formato do pacote enviado de A para C nas seguintes situações:
– A envia um pacote AH para C em modo tunel (entre 1 e 2)
– A envia um pacote ESP para C em modo tunel (entre 1 e 2)
Gateway IPsec
1
2
e
2
f
200.0.2.1
200.0.1.3
192.168.0.2
1
c
200.0.1.1
A
192.168.0.1
a
b
Gateway IPsec
3
g
C
192.168.1.1
Exercício 13: Protocolo AH em modo Túnel
pacote
1
2
3
4
5
6
7
8
9
1
2
3
a-g
MAC de destino (indicar a letra do MAC)
a-g
MAC de origem (indicar a letra do MAC)
ipa
IP do host de origem (A)
ipc
IP do host de destino (C)
ah,esph,espt,espa
Indica uma das opções no campo em que ele ocorrer
ip1
IP da interface c Gateway 1
ip2
IP da interface e Gateway 2
tcp/udp
Cabeçalho da camada de transporte
dados
Cabeçalho do protocolo de aplicação e dados
10
11
Exercício 14: Protocolo ESP em modo Túnel
pacote
1
2
3
4
5
6
7
8
9
1
2
3
a-g
MAC de destino (indicar a letra do MAC)
a-g
MAC de origem (indicar a letra do MAC)
ipa
IP do host de origem (A)
ipc
IP do host de destino (C)
ah,esph,espt,espa
Indica uma das opções no campo em que ele ocorrer
ip1
IP da interface c Gateway 1
ip2
IP da interface e Gateway 2
tcp/udp
Cabeçalho da camada de transporte
dados
Cabeçalho do protocolo de aplicação e dados
10
11