Embed Size (px)
DESCRIPTION
Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec. Exercício 1: Relacione. Exercício 2: Indique as afirmações verdadeiras. Exercício 3: Relacione as ações do SSL/TLS. Exercício 4. - PowerPoint PPT Presentation
Citation preview
Exercícios de RevisãoRedes de ComputadoresEdgard Jamhour
TLS/SSL, VPN PPTP e IPsec
Exercício 1: Indique a função dos diferentes tipos de algoritmos usados para proteger a comunicação em redes de computadores
FUNÇÃO ALGORITMO
( ) Utiliza chaves de criptografia diferentes para cifrar e decifrar as informações
( ) Também chamado de algoritmo de chave secreta ou de chave de sessão
( ) Permite verificar a integridade de uma mensagem, isto é, se a mensagem recebida é idêntica a que foi gerada pelo transmissor.
( ) Para uma dada mensagem, gera um código único, de tamanho fixo, que independe do tamanho da mensagem.
( ) Permite verificar a integridade e a identidade do transmissor de uma mensagem.
( ) É unidirecional, isto é, as chaves para criptografar informações de A para B e de B para A são diferentes.
( ) O espaço de chaves é aproximadamente 2N, onde N é o tamanho da chave.
1. Criptografia Assimétrica2. Criptografia Simétrica3. Hashing4. Assinatura Digital com chave pública5. HMAC6. Opções 3 a 57. Opções 4 e 56. Nenhuma das anteriores
Exercício 2: Classifique os algoritmos e protocolos usados para proteger a comunicação em redes de computadores
FUNÇÃO ALGORITMO
( ) DES, 3DES e AES
( ) RSA
( ) MD5 e SHA
( ) SHA + RSA
( ) HMAC MD5
( ) Diffie-Hellman
( ) TLS e SSL
( ) ISAKMP/IKE
1. Criptografia Assimétrica2. Criptografia Simétrica3. Hashing4. Assinatura Digital com chave pública5. Assinatura Digital com chave secreta6. Algoritmo de Negociação de Chaves7. Protocolo de Negociação de Chaves8. Nenhuma das anteriores
Exercício 3: Indique as afirmações verdadeiras
( ) Algoritmos de criptografia assimétricos, como o RSA, são geralmente mais lentos que os simétricos, pois utilizam operações complexas com números primos.
( ) É possível determinar o valor da chave privada a partir da chave pública
( ) A criptografia simétrica usa chaves maiores que a criptografia assimétrica, a fim de oferecer o mesmo nível de proteção contra ações de descriptografia do tipo força-bruta.
( ) Uma boa prática de segurança usada em chaves de sessão simétricas consiste em trocar as chaves periodicamente ou por volume de tráfego, a fim de evitar que muitos dados sejam protegidos com a mesma chave.
( ) É possível recuperar o conteúdo de uma mensagem a partir do digest gerado por algoritmos de hash do tipo MD5 ou SHA.
( ) Algoritmos do tipo “block ciphers” dividem um mensagem que precisa ser protegida em blocos de tamanho fixo e criptografam um bloco de cada vez. O tamanho dos blocos é usualmente pequeno, como 64 ou 128 bits. Caso dois blocos idênticos apareçam na mensagem original, o resultado criptografado também será idêntico, para qualquer modo de operação, seja o CBC (Cipher Block Chaining) ou o ECB (Electronic CodeBook).
Exercício 4: Assumindo que os certificados X509 são do tipo RSA, relacione as ações do SSL/TLS
FUNÇÃO ALGORITMO
( ) Assinar um CSR (Certificate Server Request) e transformá-lo em um certificado digital.
( ) Criptografar o segredo gerado pelo navegador Web (cliente) para criar a chave de sessão.
( ) Criptografar os dados transmitidos do cliente para o servidor Web.
( ) Criptografar os dados transmitidos do servidor para o cliente Web.
( ) Descriptografar o segredo enviada pelo cliente para o Servidor Web.
( ) Verificar a validade de um certificado digital emitido por uma autoridade certificadora.
1. Chave privada do servidor Web
2. Chave privada da autoridade certificadora
3. Chave pública do servidor Web
4. Chave pública da autoridade certificadora
5. Chave secreta gerada pelo cliente
6. Chave pública do cliente
7. Chave privada do cliente
8. Nenhuma das anteriores
Exercício 5: Indique na figura abaixo o formato de um pacote transmitido em SSL/TLS de um cliente para um servidor Web numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados.
início do quadro
fim do quadro
1. MAC do cliente2. MAC do roteador3. MAC do servidor4. FCS5. IP do cliente6. IP do servidor7. IP do roteador8. Porta TCP origem > 10239. Porta TCP destindo 8010. Porta TCP destino 44311. HTTP/Dados
1
4
Exercício 6: Identifique a função dos diferentes tipos de certificados X509
FUNÇÃO ALGORITMO
( ) Certificado auto assinado que precisa ser sempre TRUSTED pois não pode se validado por nenhuma outra CA
( ) Certificado de CA que é enviado pela rede junto com o certificado do entidade final
( ) Certificado usado para que o cliente possa autenticar o servidor
( ) Certificado armazenado na máquina do usuário e que não precisa se validado
( ) Certificado usado para que o servidor possa autenticar o cliente
1. Certificado de Entidade Final (Servidor)
2. Certificado de Entidade Final (Cliente)
3. Certificado ROOT
4. Certificado TRUSTED
5. Certificado Intermediário
6. Nenhuma das anteriores
Exercício 7: O administrador da rede de uma empresa redirecionou o tráfego enviado para o Gmail para um servidor falso, a fim de inspecionar as mensagens dos usuários. O certificado X509 do servidor falso foi assinado por uma CA privada instalada em todos os clientes da empresa. Indique entre as opções abaixo qual é a afirmativa correta.
( ) Os usuários irão receber uma aviso indicando que o certificado do servidor falso não pode ser validado porque a CA é desconhecida.
( ) Os usuários irão receber uma aviso indicando que o certificado do servidor falso é inválido porque o nome digitado no navegador Web não confere com o CN (Common Name) do certificado.
( ) Os usuários não irão receber aviso algum. Escolhendo corretamente o nome do certificado do servidor falso e da CA privada, os usuários não conseguirão detectar a fraude.
( ) A tentativa de redirecionamento irá falhar, porque não é possível redirecionar conexões protegidas por SSL/TLS. Assim, os clientes continuarão a acessar o servidor de Gmail verdadeiro.
( ) Não é necessário instalar uma CA privada nos clientes da empresa para implementar essa fraude. Ao invés disso, o certificado da CA pode ser enviado para os clientes pela rede na forma de um certificado de CA intermediário.
Exercício 8: Em relação ao estado da arte da tecnologia TLS/SSL indique as afirmativas corretas
( ) O SSL (Secure Socket Layer) é um algoritmo de criptografia usado apenas para proteger o protocolo HTTP.
( ) O TLS (Transport Layer Security) não define os algoritmos (cipher suite) usados para proteger uma conexão segura. Ao invés disso, os ele define uma forma de handshake entre o cliente e o servidor que permite negociar os algoritmos.
( ) Atualmente, o TLSv1.2 proposto pela Netscape está sendo gradativamente substituído pelo SSLv3 proposto pelo IETF.
( ) No TLS a autenticação do servidor pelo cliente é obrigatória, mas a autenticação do cliente pelo servidor é facultativa.
( ) Caso ocorra um erro na validação do certificado enviado do servidor para o cliente, a conexão segura TLS/SSL não é completada. A conexão fica desprotegida, e cabe ao usuário decidir se quer continuar a comunicação.
( ) O SSL se tornou obsoleto porque permite proteger apenas conexões TCP. Já o TLS permite proteger tanto TCP quanto UDP.
Exercício 9: Considerando os diferentes tipos de proteção para comunicação em redes de computadores e sua aplicabilidade, relacione as colunas.
Característica Método de Proteção
( ) Protege a conexão TCP de uma comunicação cliente-servidor. A proteção é feita pela própria aplicação.
( ) Faz tunelamento de pacotes, isto é, encapsula o pacote original no campo de dados de um novo pacote a fim de oferecer maior proteção aos dados transportados.
( ) Permite transportar apenas pacotes IP. Exemplo: IPsec em modo túnel
( ) Além de tráfego IP, pode transportar tráfego não-IP, como IPX e NetBEUI. Exemplo: L2TP e PPTP.
( ) Pode operar com qualquer aplicação, pois o tráfego é protegido quando atravessa o sistema operacional ou interfaces virtuais TUN/TAP.
1. TLS/SSL2. VPN camada 23. VPN camada 34. Todas as anteriores5. Alternativas 2 e 36. Nenhuma das anteriores
Exercício 10: Considere o seguinte cenário, onde apenas usuários remotos autorizados possam acessar os servidores de aplicação A (TCP) e B (UDP) através de uma VPN criada com OpenVPN.
UDP > UDP > 1024
Servidor VPN
SwitchSwitch SwitchSwitch
Servidor Aplicação B
Servidor Aplicação A
UDP BUDP B
TCP ATCP A
Internet
TCP > TCP > 1024
UDP > UDP > 1024
SwitchSwitch
Rede da Empresa
FIREWALL
Usuário Remoto tráfego de controle
dados
dados
UDP UDP 11941194
* norma nova: > 49152
Exercício 10: Em relação ao cenário anterior, indique as afirmativas corretas
( ) O controle de quais usuários podem acessar os servidores é feito criando-se regras no firewall baseadas no IP dos usuários remotos e nos endereços IP dos servidores A e B.
( ) O controle de quais usuários podem acessar os servidores é feito criando-se regras no firewall que permitem que usuários remotos acessem a porta UDP 1194 do servidor de VPN, independente do IP que estejam usando. Não são criadas regras permitindo o acesso aos servidores A e B.
( ) Esse cenário não irá funcionar para aplicações TCP, uma vez que o OpenVPN está utilizando a porta UDP 1194. Para liberar acesso a aplicação TCP, é necessário ativar também a porta TCP 1194 no servidor OpenVPN.
( ) O tráfego entre o servidor de VPN e os servidores A e B também está criptografado, e protegido pelo protocolo OpenVPN.
( ) Apenas o tráfego de controle, usado para autenticação e criação do canal seguro TLS, precisa ser enviado para porta UDP 119. O tráfego de dados é enviado pelos usuários remotos diretamente para os servidores A e B sem passar pelo servidor de VPN. Dessa forma, o servidor de VPN pode operar tanto para TCP quanto UDP.
Exercício 11: Marque as Afirmações Verdadeiras
( ) O IPsec pode operar através de dois protocolos distintos, o ESP e AH. O ESP permite fazer autenticação e criptografia dos pacotes e o AH apenas autenticação.
( ) O IPsec pode trabalhar no modo túnel ou no modo transporte. O modo transporte apenas adiciona os campos ESP ou AH no cabeçalho do pacote, sem criar um novo cabeçalho IP. O modo túnel inclui um novo cabeçalho IP, mas não adiciona os campos do ESP ou AH.
( ) O modo túnel é mais apropriado para criar um canal seguro de comunicação entre um cliente e um servidor, enquanto que o modo transporte é mais apropriado para criar um canal seguro entre dois roteadores.
( ) O IPsec permite definir políticas de segurança que só são ativadas quando algum pacote que satisfaz a política é transmitido. As políticas ativas são denominada associação de segurança (SA).
( ) As associações de segurança (SA) são unidirecionais. Isto é, para que os hosts A e B se comuniquem de forma segura é necessário criar uma SA para proteger a comunicação de A para B e outra para proteger a comunicação de B para A.
( ) O IPsec necessita que chaves secretas sejam compartilhadas entre os hosts que estabelecem uma comunicação segura.
( ) O IPsec possui um mecanismo denominado IKE que permite criar chaves compartilhadas entre hosts de forma automática, utilizando o protocolo ISAKMP.
Exercício 12: Nesse cenário apenas usuários remotos autorizados podem acessar os servidores de aplicação A (TCP) e B (UDP) através de uma VPN criada com IPsec. Considere que a associação de segurança (SA) é estabelecida entre o usuário remoto e o firewall.
UDP > UDP > 500
SwitchSwitch
Servidor Aplicação B
Servidor Aplicação A
UDP BUDP B
TCP ATCP A
Internet
TCP > TCP > 1024
UDP > UDP > 1024
SwitchSwitch
Rede da Empresa
FIREWALL com suporte a IPsec
Usuário Remoto tráfego de controle
dados
dados
UDP UDP 500500
* norma nova: > 49152
Exercício 12: Em relação ao cenário anterior, indique as afirmativas corretas
( ) Os pacotes recebidos pelos servidores A e B são do tipo IPsec, e podem ser do tipo ESP (50) ou AH (51), dependendo do tipo de VPN configurada.
( ) O controle de quais usuários podem acessar os servidores é feito criando-se uma única regra no firewall que permite que usuários remotos acessem a porta UDP 500 do roteador, independente do IP que estejam usando.
( ) Adicionalmente a regra que libera a negociação IKE na porta UDP 500, é necessário também criar regras permitindo a passagem de pacotes IPsec do tipo AH (51) e ESP (50).
( ) Os servidores A e B precisam ter políticas de IPsec configuradas para poderem receber e enviar pacotes para os usuários remotos.
( ) Adicionalmente a regra que libera a negociação IKE na porta UDP 500, é necessário também criar regras permitindo a passagem de pacotes TCP para o servidor A e UDP para o servidor B.
( ) Para que esse cenário possa funcionar, é necessário incluir um roteador com suporte a IPsec junto a rede do usuário remoto, uma vez que a associação de segurança precisa ser estabelecida entre dois roteadores.
Exercício 13: Indique na figura abaixo o formato de um pacote HTTP transmitido em IPsec ESP no modo transporte de um cliente (C) para um servidor Web (S) numa rede externa, relacionando os campos com a coluna ao lado. Além do número, coloque também um x nos campos criptografados.
início do quadro
fim do quadro
1. MAC do cliente C2. MAC do roteador R13. MAC do servidor S4. FCS5. IP do cliente C6. IP do servidor S7. IP do roteador R18. Porta TCP origem > 10239. Porta TCP destino 8010. Porta TCP destino 44311. HTTP12. ESPH (ESP Header)13. ESPT (ESP Tail)14. ESPA (ESP Authentication)15. Dados
2
1
4
C R1 Internet SR2
Cenário para as questões 14, 15 e 16
1 2
200.0.0.2
A
210.0.0.2
ab c f
g
C
200.0.0.1
5.5.5.1
210.0.0.1
Internet
1 2 3
... ...d
5.5.5.2
6.6.6.1
ESCRITÓRIO MATRIZ
e
Exercício 14: Considerando que existe uma associação de segurança (SA) em modo transporte entre o cliente e o servidor do tipo IPsec AH, indique o formato dos pacotes nos trechos 1, 2 e 3.
pacote 1 2 3 4 5 6 7 8 9 10 11
1 b a
2 e c
3 g f
a-g MAC de destino (indicar a letra do MAC)
a-g MAC de origem (indicar a letra do MAC)
ipa IP do host de origem (A)
ipc IP do host de destino (C)
ah, esph, espt, espa Indica uma das opções no campo em que ele ocorrer
ip1 IP da interface c Gateway 1
ip2 IP da interface e Gateway 2
ipd IP da interface d do roteador na Internet
tcp/udp Cabeçalho da camada de transporte
dados Cabeçalho do protocolo de aplicação e dados
Exercício 15: Considerando que existe uma associação de segurança (SA) em modo tunnel entre o Gateway 1 e o Gateway 2 do tipo IPsec AH, indique o formato dos pacotes nos trechos 1, 2 e 3.
pacote 1 2 3 4 5 6 7 8 9 10 11
1 b a
2 e c
3 g f
a-g MAC de destino (indicar a letra do MAC)
a-g MAC de origem (indicar a letra do MAC)
ipa IP do host de origem (A)
ipc IP do host de destino (C)
ah, esph, espt, espa Indica uma das opções no campo em que ele ocorrer
ip1 IP da interface c Gateway 1
ip2 IP da interface e Gateway 2
ipd IP da interface d do roteador na Internet
tcp/udp Cabeçalho da camada de transporte
dados Cabeçalho do protocolo de aplicação e dados
Exercício 16: Considerando que existe uma associação de segurança (SA) em modo tunnel entre o Gateway 1 e o Gateway 2 do tipo IPsec ESP, indique o formato dos pacotes nos trechos 1, 2 e 3.
pacote 1 2 3 4 5 6 7 8 9 10 11
1 b a
2 e c
3 g f
a-g MAC de destino (indicar a letra do MAC)
a-g MAC de origem (indicar a letra do MAC)
ipa IP do host de origem (A)
ipc IP do host de destino (C)
ah, esph, espt, espa Indica uma das opções no campo em que ele ocorrer
ip1 IP da interface c Gateway 1
ip2 IP da interface e Gateway 2
ipd IP da interface d do roteador na Internet
tcp/udp Cabeçalho da camada de transporte
dados Cabeçalho do protocolo de aplicação e dados
