25
Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Embed Size (px)

Citation preview

Page 1: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Execícios de RevisãoRedes e Sistemas Distribuídos IIEdgard Jamhour

Filtros de Pacotes

Criptografia, Certificados Digitais

VPN

Page 2: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

INTERNET

Exercício 1

• Configure as regras do filtro de pacotes "E" para permitir que os computadores da rede interna tenham acesso a serviços HTTP, HTTPS e DNS na Internet. Todos os demais acessos devem ser proibidos.

200.0.0.0/24rede interna

servidorDNS (53)

servidorHTTP (80)HTTPs (443)

0.0.0.0/0rede externa

E

Page 3: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Auxilio

>=1024

Firewall

DNS0.0.0/0

HTTP0.0.0/0

HTTPS0.0.0/0

53

Rede Interna200.0.0.0/24

N,R,E

R,E

>=1024 80

443

UDP

TCP

TCP>=1024

ACK 0,1

ACK 1

ACK 0,1

ACK 1

Page 4: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 1: Regras do Filtro

regra ação(P/B)

protocolo ip origem ip destino porta origem porta destino ACK/Estado

Ação: (P)ermitir ou (B)loquearProtocolo: TCP, UDP, ICMP, etc.ACK: 0, 1Estado: N(ew), R(elated), (E)stablished

Page 5: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

INTERNET

Exercício 2

• Configure as regras dos filtros de pacotes para rede abaixo. Observe que o roteador da rede interna implementa SNAT. Permita que:– a) hosts internos tenham acesso a serviços HTTP na Internet– b) hosts externos tenham acesso aos serviço DNS e HTTP na DMZ– c) o servidor DNS na DMZ possa se comunicar com servidores DNS na Internet.– d) todos os demais acessos são proibidos.

192.168.0.0/24rede interna

200.0.0.2

DMZ

DNS (53) HTTP (80)

200.0.0.3

200.0.0.1192.168.0.1

nat E

Page 6: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Auxilio

≥1024

Firewall

DNS0.0.0/0

HTTP0.0.0/0

Rede Interna200.0.0.0/24

N,R,E

R,E

53

80

UDP

TCP

ACK 0,1

NAT(200.0.0.1)

DNS200.0.0.2

HTTP200.0.0.3

53

80

UDP

53

≥1024

≥1024

≥1024

UDPN,R,E

R,E

N,R,E

R,E

ACK 1

≥1024ACK 0,1

ACK 1

TCP

Page 7: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 4: Regras do Filtro

regra ação(P/B)

protocolo ip origem ip destino porta origem porta destino ACK/Estado

Page 8: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

INTERNET

Exercício 3

• Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.Permita que:– a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ– b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet– c) o servidor de email consulte servidores DNS e troque emails com outros

servidores na Internet via SMTP– d) os demais acessos são proibidos

192.168.0.0/24rede interna

DMZ

SMTP (25)POP3 (110)

200.0.0.2

I E

200.0.0.4

PROXY (3128)

Page 9: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Auxilio para Configuração do Firewall I

Page 10: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 3: Regras do Filtro "I"

regra ação(P/B)

protocolo ip origem ip destino porta origem porta destino ACK/Estado

Page 11: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Auxílio para Configuração do Firewall E

Page 12: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 3: Regras do Filtro "E"

regra ação(P/B)

protocolo ip origem ip destino porta origem porta destino ACK/Estado

Page 13: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 4: Relacione

CARACTERÍSTICA ALGORITMO

( ) Não é capaz de proteger comunicações UDP contra spoofing de porta.( ) Permite criar regras utilizando informações do protocolo de aplicação, como identificar o tipo MIME em uma sessão HTTP.( ) Libera todas as portas dos clientes acima de 1023.( ) Libera apenas a porta do cliente utilizada para estabelecer a conexão com o servidor.( ) Permite proteger comunicações TCP contra spoofing de porta.( ) A decisão sobre a passagem ou não de um pacote é tomada utilizando apenas informações contidas no próprio pacote.

1. Firewall com estado2. Firewall sem estado3. Firewall com estado de

camada 74. Nenhuma das anteriores

Page 14: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 5: Relacione

FUNÇÃO ALGORITMO

( ) Utiliza chaves diferentes para criptografa e descriptografar as informações( ) Também chamado de algoritmo de chave secreta( ) Permite verificar a integridade de uma mensagem, isto é, se a mensagem recebida é idêntica a que foi gerada pelo transmissor.( ) Para uma dada mensagem, gera um código único, de tamanho fixo, que independe do tamanho da mensagem.( ) Permite verificar a integridade e a identidade do transmissor de uma mensagem.( ) É unidirecional, isto é, as chaves para criptografar informações de A para B e de B para A são diferentes.( ) O espaço de chaves é aproximadamente 2^N, onde N é o tamanho da chave.

1. Criptografia Assimétrica2. Criptografia Simétrica3. Hashing4. Assinatura Digital5. Nenhuma das anteriores

Page 15: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 6: Indique as afirmações verdadeiras

( ) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos que os simétricos, pois utilizam operações complexas com números primos.( ) É possível determinar o valor da chave privada a partir da chave pública( ) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta. ( ) Uma boa prática de segurança consiste em utilizar chaves de sessão, isto é, trocar de chave periodicamente, a fim de evitar que muitos dados sejam protegidos com a mesma chave.( ) É possível recuperar o conteúdo de uma mensagem a partir do digest gerado por algoritmos de hashing do tipo MD5 ou SHA.( ) Algoritmos de criptografia geralmente trabalham com pequenos blocos de informação de tamanho fixo, como 64 ou 128 bits. Caso dois blocos idênticos apareçam em uma mesma mensagem, o resultado criptografado também será idêntico, para qualquer modo de utilizado, seja o CBC (Cipher Block Chaining) ou o ECB (Electronic CodeBook).

Page 16: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 7: Relacione as ações do SSL/TLS

FUNÇÃO ALGORITMO

( ) Assinar um CSR e transformá-lo em um certificado digital.( ) Criptografar a chave de sessão gerada pelo navegador Web (cliente).( ) Criptografar os dados transmitidos do cliente para o servidor Web.( ) Criptografar os dados transmitidos do servidor para o cliente Web.( ) Descriptografar a chave de sessão enviada do cliente para o Servidor Web.( ) Verificar a validade de um certificado digital emitido por uma autoridade certificadora.

1. Chave privada do servidor Web2. Chave privada da autoridade

certificadora3. Chave pública do servidor Web4. Chave pública da autoridade

certificadora5. Chave secreta gerada pelo cliente6. Chave pública do cliente7. Chave privada do cliente8. Nenhuma das anteriores

Page 17: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 8

• Indique na figura abaixo o formato de um pacote transmitido em SSL de um cliente para um servidor Web numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados.

início do quadro

fim do quadro

1. MAC do cliente2. MAC do roteador3. MAC do servidor

4. FCS5. IP do cliente

6. IP do servidor7. IP do roteador

8. Porta TCP origem > 10239. Porta TCP destindo 8010. Porta TCP destino 443

11. HTTP12. Dados

Page 18: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 9: Relacione

Característica Método de Proteção

( ) Permite criptografar apenas o protocolo de aplicação dos pacotes. As camadas inferiores não podem ser protegidas.( ) Faz tunelamento de pacotes, isto é, encapsula o pacote original no campo de dados de um novo pacote a fim de oferecer maior proteção aos dados transportados.( ) Faz tunelamento de camada 3, o que permite transportar apenas pacotes IP.( ) Faz tunelamento de camada 2, podendo transportar vários tipos de pacotes, como IP, IPX e NetBEUI, mas não tem suporte a criptografia.( ) Faz tunelamento de camada 2, com suporte a autenticação e criptografia.

1. SSL2. VPN com PPTP3. VPN com L2TP4. IPsec em modo túnel5. IPsec + L2TP6. Alternativas 2 a 57. Alternativas 2 e 58. nenhuma das anteriores

Page 19: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 10: Marque as Afirmações Verdadeiras

( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite fazer autenticação e criptografia dos pacotes e o AH apenas autenticação.( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do ESP ou AH.( ) O modo túnel é mais apropriado para criar um canal seguro de comunicação entre um cliente e um servidor, enquanto que o modo transporte é mais apropriado para criar um canal seguro entre dois roteadores.( ) O IPsec permite definir políticas de segurança que só são ativadas quando algum pacote que satisfaz a política é transmitido. As políticas ativas são denominada associação de segurança (SA).( ) As associações de segurança (SA) são unidirecionais. Isto é, para que os hosts A e B se comuniquem de forma segura é necessário criar uma SA para proteger a comunicação de A para B e outra para proteger a comunicação de B para A.( ) O IPsec necessita que chaves secretas sejam compartilhadas entre os hosts que estabelecem uma comunicação segura.( ) O IPsec possui um mecanismo denominado IKE que permite criar chaves compartilhadas entre hosts de forma automática, utilizando o protocolo ISAKMP.

Page 20: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Cenário para os Exercícios 11 e 12

• Desenhe o formato do pacote enviado de A para C nas seguintes situações:– A envia um pacote AH para C em modo transporte– A envia um pacote ESP para C em modo transporte

1 2

192.168.0.2

A

192.168.1.2

a

b c e f

g

C

192.16

8.0.1

200.0.1.1

200.0.1.3

192.16

8.1.1

1 2 3

Page 21: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 11: Protocolo AH Modo Transporte

pacote 1 2 3 4 5 6 7 8 9 10 11

1

2

3

a-g MAC de destino (indicar a letra do MAC)

a-g MAC de origem (indicar a letra do MAC)

ipa IP do host de origem (A)

ipc IP do host de destino (C)

ah,esph,eespt,espa Indica uma das opções no campo em que ele ocorrer

ip1 IP da interface c Gateway 1

ip2 IP da interface e Gateway 2

tcp/udp Cabeçalho da camada de transporte

dados Cabeçalho do protocolo de aplicação e dados

Page 22: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 12: Protocolo ESP Modo Transporte

pacote 1 2 3 4 5 6 7 8 9 10 11

1

2

3

a-g MAC de destino (indicar a letra do MAC)

a-g MAC de origem (indicar a letra do MAC)

ipa IP do host de origem (A)

ipc IP do host de destino (C)

ah,esph,eespt,espa Indica uma das opções no campo em que ele ocorrer

ip1 IP da interface c Gateway 1

ip2 IP da interface e Gateway 2

tcp/udp Cabeçalho da camada de transporte

dados Cabeçalho do protocolo de aplicação e dados

Page 23: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Cenário para os Exercícios 13 e 14

• Desenhe o formato do pacote enviado de A para C nas seguintes situações:– A envia um pacote AH para C em modo tunel (entre 1 e 2)– A envia um pacote ESP para C em modo tunel (entre 1 e 2)

1 2

192.168.0.2

A

192.168.1.1

a

b c e f

g

C

192.16

8.0.1

200.0.1.1

200.0.1.3

200.0.2.1

Gateway IPsec Gateway IPsec

1 2 3

Page 24: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 13: Protocolo AH em modo Túnel

pacote 1 2 3 4 5 6 7 8 9 10 11

1

2

3

a-g MAC de destino (indicar a letra do MAC)

a-g MAC de origem (indicar a letra do MAC)

ipa IP do host de origem (A)

ipc IP do host de destino (C)

ah,esph,espt,espa Indica uma das opções no campo em que ele ocorrer

ip1 IP da interface c Gateway 1

ip2 IP da interface e Gateway 2

tcp/udp Cabeçalho da camada de transporte

dados Cabeçalho do protocolo de aplicação e dados

Page 25: Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour Filtros de Pacotes Criptografia, Certificados Digitais VPN

Exercício 14: Protocolo ESP em modo Túnel

pacote 1 2 3 4 5 6 7 8 9 10 11

1

2

3

a-g MAC de destino (indicar a letra do MAC)

a-g MAC de origem (indicar a letra do MAC)

ipa IP do host de origem (A)

ipc IP do host de destino (C)

ah,esph,espt,espa Indica uma das opções no campo em que ele ocorrer

ip1 IP da interface c Gateway 1

ip2 IP da interface e Gateway 2

tcp/udp Cabeçalho da camada de transporte

dados Cabeçalho do protocolo de aplicação e dados