memorex redes
DESCRIPTION
Documento contendo um resumão da área de redes contendo os principais assuntos cobrados por concursos na área de infra:TCP/IP, OSI, criptografia, firewall, IDS, redes WAN, OSPF, RIP, DNS, SNMP, política de segurança, etc. Com questões de concursos de dificil entendimento que foram debatidas em forum especializados com comentários. Dessa vez tive tempo de dar uma organizada preenchendo com cores, tabelas e figuras para facilitar o entendimento. Bons estudos!!TRANSCRIPT
Memorex de Redes para Concursos - Versão 2.1 - 16/02/2009 por Paulo Marcelo (paulo1410)
Encontrou algum erro? Ajude com dicas, sugestões, materiais: [email protected]
VOIP
A recomendação H.323 tem o objetivo de especificar sistemas de comunicação multimídia em redes baseadas em pacotes e que não provêem uma Qualidade de Serviço (QoS) garantida. SIP - O protocolo se assemelha ao HTTP, é baseado em texto, e é bastante aberto e flexível. Portanto, substituiu amplamente o padrão H323.
13. A MIB II usa uma arquitetura de árvore, definida na ISO ASN.1, para organizar todas as suas informações, sendo que, cada parte da informação da árvore é um nó rotulado. Nessa árvore, o MIB II pode ser localizado, percorrendo, sucessivamente, os nós a) joint-iso-ccitt(2) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) b) ccitt(0) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) c) iso(1) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(1) d) ccitt(0) _ iso(1) _ joint-iso-ccitt(2) _org(3) _ mgmt(4) _ mibII(5)
e) iso(1) _ org(3) _ dod(6) _ Internet(1) _ directory(1) _ mibII(1)
O Padrão IEEE 802.11 estabelece que cada LAN sem fio deve fornecer certa quantidade de serviços que são devidos em duas categorias: serviço de distribuição e serviço de estação, na quantidade respectiva de A) 4 e 5 B) 5 e 5 C) 5 e 4 D) 4 e 4 E) 6 e 4
Serviço de Distribuição: distribuição, integração, associação, reassociação e disassociação. Serviço de Estação: autenticação, desautenticação, privacidade e entrega de MSDU ("MAC Service Data Unit"). O padrão 802.11 prescreve um protocolo de segurança do nível de enlace de dados, chamado WEP (Wired Equivalent Privacy)
Protocolos de Roteamentos (RIP, OSPF, BGP)
RIP (Router Information Protocol) Os algoritmos de roteamento com vetor de distância operam fazendo cada roteador manter uma tabela (isto é, um vetor) que fornece a melhor distância conhecida até cada destino e determina qual linha deve ser utilizada para se chegar lá. Essas tabelas são atualizadas através da troca de informações com os vizinhos. Mesmo que não exista nenhuma alteração nas rotas da rede, os roteadores baseados em RIP, continuarão a trocar mensagens de atualização em intervalos regulares, por padrão a cada 30 segundos. Cada mensagem do protocolo RIP comporta, no máximo, informações sobre 25 rotas diferentes. A contagem máxima de hopes usada pelos roteadores RIP é 15, ou seja, as redes que estejam a 16 hopes ou mais de distância, serão consideradas inacessíveis. A maior vantagem do RIP é que ele é extremamente simples para configurar e implementar em uma rede. Sua maior desvantagem é a incapacidade de ser ampliado para interconexões de redes de tamanho grande a muito grande. O protocolo RIP v2, oferece diversas melhorias em relação ao RIP v1, dentre as quais vamos destacar as seguintes:
Os anúncios do protocolo RIP v2 são baseados em tráfego multicast e não mais broadcast. Informações sobre a máscara de sub-rede são enviadas nos anúncios do protocolo RIP v2 (CIDR). Segurança, autenticação e proteção contra a utilização de roteadores não autorizados
Split horizon (horizonte dividido): Com esta técnica o roteador registra a interface através da qual recebeu informações sobre uma rota e não difunde informações sobre esta rota, através desta mesma interface. No nosso exemplo, o Roteador B receberia informações sobre a rota para a rede 1, a partir do Roteador B, logo o Roteador A não iria enviar informações sobre Rotas para a rede 1, de volta para o Roteador B. Com isso já seria evitado o problema do count-to-infinity. Em outras palavras, esta característica pode ser resumida assim: Eu aprendi sobre uma rota para a rede X através de você, logo você não pode aprender sobre uma rota para a rede X, através de minhas informações.
Split horizon with poison reverse (Inversão danificada): Nesta técnica, quando um roteador aprende o caminho para uma determinada rede, ele anuncia o seu caminho, de volta para esta rede, com um hope de 16. No exemplo da Figura anterior, o Roteador B, recebe a informação do Roteador A, que a rede 1 está a 1 hope de distância. O Roteador B anuncia para o roteador A, que a rede 1 está a 16 hope de distância. Com isso, jamais o Roteador A vai tentar achar um caminha para a rede 1, através do Roteador B, o que faz sentido, já que o Roteador A está diretamente conectado à rede 1. Vetor de distância:
Iterativo: Continua até que os nós não troquem mais informações. Self-terminating: Não há sinal de parada
Assíncrono: Os nós não precisam trocar informações simultaneamente! Distribuído: Cada nó se comunica apenas com os seus vizinhos diretamente conectados
OSPF – Open Shorted Path First: Os roteadores que usam OSPF trocam informações somente sobre as rotas que sofreram alterações e não toda a tabela de roteamento, como é feito com o uso do RIP. Conhecido como algorítmo de Dijkstra. O OSPF usa um algoritmo conhecido como Shortest Path First (SPF). O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de ligação ou estado de vínculo). Lembre que o RIP usava um algoritmo baseado em distância vetorial. É importante salientar que somente informações sobre as mudanças são trocadas entre os roteadores usando OSPF e não toda a tabela de roteamento, como acontece com o uso do RIP IGP – Interior Gateway Protocol) -> OSPF usa IGP EGP – Exterior Gateway Protocol BGP – Border Gateway Protocol Vantages do OSPF em relação ao RIP:
As rotas calculadas pelo algoritmo SPF são sempre livres de loops. O OSPF pode ser dimensionado para interconexões de redes grandes ou muito grandes. A reconfiguração para as alterações da topologia de rede é muito rápida, ou seja, o tempo de
convergência da rede, após alterações na topologia é muito menor do que o tempo de convergência do protocolo RIP.
O tráfego de informações do protocolo OSPF é muito menor do que o do protocolo RIP. O OSPF permite a utilização de diferentes mecanismos de autenticação entre os roteadores que
utilizam OSPF. OSPF RFC 2328: A router periodically advertises its state, which is also called link state. Link state is
also advertised when a router's state changes." "Hello packets are OSPF packet type 1. These packets are sent periodically on all interfaces (including virtual links) in order to establish and maintain neighbor relationships." "InactivityTimer The inactivity Timer has fired. This means that no Hello packets have been seen recently from the neighbor. The neighbor reverts to Down state."
Considerando especificamente o algoritmo Link State é um algoritmo distribuído porque cada nó recebe alguma informação de um ou mais vizinhos diretamente.
Errado, pois são centralizados (globais) e portanto fácil de prevenir loops. Roteamento global: calcula o caminho de menor custo entre uma fonte e um destino usando conhecimento completo e global sobre a rede. O cálculo pode ser rodado em um local ou duplicado em vários locais. No link LS a topologia da rede e todos os custos de enlace são conhecidos;
BGP-4(Border Gateway Protocol) - tornou-se o sucessor natural do EGP, efetivamente atacando suas deficiências mais sérias, ou seja, evitando "loops" de roteamento e permitindo o uso de políticas de roteamento entre Ass (Sistemas Autônomos) baseado em regras arbitrárias por eles definidas. Além disso, o BGP-4 foi a primeira versão do BGP a suportar endereços agregados (Classless Interdomain Routing, ou simplesmente CIDR) e o conceito de supernets. Outra característica do BGP-4 é atualização das tabelas de rotas feitas de forma incremental, como nos algoritmos de estado de enlace. A atualização completa da tabela de rotas é feita somente uma vez, quando se estabelece a sessão entre os neighbors ou peers. Pares de roteadores participantes de um esquema de roteamento BGP se comunicam entre si utilizando conexões TCP na porta 179
Sistemas Autonomos (SA) - conjunto de roteadores e redes sob a mesma administração Entre os protocolos de roteamento OSPF e RIP, observam-se as seguintes diferenças: métodos de cálculo empregados para roteamento de pacotes, que permitem balanceamento de carga no caso do OSPF; uso de IP pelo OSPF e de datagramas no RIP; e uso de multicast pelo OSPF e de broadcast no RIP.
OBS: RIPv2 também utiliza multicast! RIP e OSPF operam sobre o protocolo UDP, enquanto BGP opera sobre o protocolo TCP. Errado pois OSPF não usa camada 4.
Roteadores que executam o protocolo OSPF são necessariamente roteadores internos a um sistema autônomo, não possuindo conexões com roteadores de outros sistemas autônomos. (errado)
Dentro do contexto OSPF há 4 tipos de roteadores: roteador interno, roteador de borda de área (ABR), roteador backbone e roteador de borda/fronteira de AS (ASBR). No ASBR há tanto o OSPF quanto um protocolo de roteamento externo (EGPs), como por exemplo o BGP. É aí que a questão está errada. O ASBR executa o OSPF (internamente) e ainda se comunica com outros ASBR (externamente). O detalhe é que:
Fora do contexto OSPF: roteador externo = roteador de borda Dentro do contexto OSPF: roteador de borda de área (ABR) = OSPF, roteador de borda de AS (ASBR) =
OSPF + qualquer um EGP (BGP mais comum).
O OSPF é um protocolo que, para operar corretamente em grandes inter-redes, necessita do projeto da arquitetura de roteamento, pois trata-se de um protocolo de roteamento hierárquico.
Figura: Necessariamente deve existir uma área central, chamada de Backbone (Área 0), que deverá atuar como elo de ligação com as demais áreas existentes. Cada roteador OSPF mantém um banco de dados do estado de vínculo apenas para aquelas áreas que a ele estão conectadas. Os ABRs (Area Border Routers, roteadores de borda de área) conectam a área de backbone a outras áreas. O roteamento dentro de cada sistema autônomo é feito usando os chamados protocolos de roteamento interno (IGP – Interior Gateway Protocol). O OSPF é um protocolo IGP, ou seja, para roteamento dentro dos sistemas autônomos. O roteamento entre os diversos sistemas autônomos é feito por protocolos de
roteamento externos (EGP – Exterior Gateway Protocol) e pelos chamados protocolos de roteamento de borda (BGP – Border Gateway Protocol). Os dois EGPs mais utilizados são:
Exterior Gateway Protocol (EGP); O EGP é usado entre routers de diferentes AS e assume que existe apenas uma rede de backbone, ou seja, que existe apenas um único caminho entre dois quaisquer AS. Esta é uma das razões para que o seu uso esteja remetido para grandes redes privadas (Intranets). Na Internet o EGP está a ser substituido por BGP.
Border Gateway Protocol (BGP-4): baseado em CIDR, permite agregação de rotas, evita loops, usa TCP 179 A negociação entre vizinhos BGP é baseada:
Sucesso do estabelecimento da ligação TCP; Sucesso do processamento da mensagem de OPEN; Detecção periódica de mensagens de KEEPALIVE ou deUPDATE.
O protocolo BGP-4 introduz a junção de múltiplas rotas de AS (Autonomous System) em entradas únicas ou agregadas. Tal agregação pode reduzir a quantidade de informação de roteamento. (CORRETO) O BGP-4 modela conceitualmente os dados de um BGPS em dois tipos de RIBs (Routing Information Base) — um para os dados obtidos por meio dos vizinhos e outro para os dados locais obtidos por meio das políticas de roteamento local. Errado, apenas entre vizinhos. A métrica indica o custo relativo da utilização da rota para alcançar o destino. Uma métrica típica são os saltos, ou o número de roteadores a serem atravessados para se alcançar o destino. Se existirem diversos roteadores com o mesmo destino, o roteador com a métrica mais baixa é o melhor roteador. OSPF é um protocolo embasado no algoritmo link-state que roda diretamente sobre o IP e que utiliza a designação 89 para protocolo nos datagramas IP. (CORRETO)
A operação de protocolos link-state obedece às seguintes fases: descoberta dos roteadores vizinhos e de suas redes; cálculo do custo do envio de mensagens para cada vizinho; formatação e envio das informações coletadas para os vizinhos; cálculo do menor caminho para os outros roteadores. (CORRETA) No protocolo OSPF existe um anúncio periódico do estado de enlace, em que a ausência de um anúncio recente indica aos vizinhos que o roteador não está ativo. Usando como entrada a base de dados dos estados de enlace das áreas em que está conectado, um roteador executa o algoritmo SPF (Shortest Path First) para atualizar sua tabela de roteamento a partir da última atualização realizada. Questão Polêmica. Considerado errado pelo CESPE. Para alguns especialistas o erro seria: “o algorítmo Dijkstra(SPF) é usado para calcular custos das rotas em função da tabela, ele não atualiza a tabela.” Para outros (e eu me incluo nessa lista) a questão não contém erro.
Criptografias:
Os protocolos IPSec fornecem protecção de dados e identidade para cada pacote IP, adicionando o próprio cabeçalho de protocolo de segurança a cada pacote. Dois modos: AH e do ESP.
A implementação do IPSec na Camada de rede 3 fornece proteção para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de
informações seguras nessa camada é que todos os aplicativos e serviços que usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modificação nos aplicativos ou serviços (para proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP).
Um aspecto um tanto surpreendente do IPsec é que, embora esteja na camada IP, ele é orientado a conexões.
Tunelamento em Nível 2 - Enlace - (PPP sobre IP) O objetivo é transportar protocolos de nível 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar: PPTP, L2TP, L2F Tunelamento em Nível 3 - Rede - (IP sobre IP) : encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los através da rede.
O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste mesmo protocolo para serem transportados numa rede IP pública ou privada. O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padrão para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptações possibilitando, também, a sua utilização com o IPv4.
A administração do IPSec no windows 2003 server com base em diretivas de segurança, configuradas via GPOs
.Server (Request Security): Ao habilitar esta diretiva, também serão aceitas comunicações não seguras, porém para estabelecer uma conexão segura, os clientes devem utilizar um método de autenticação aceito pelo servidor. Com esta política serão aceitas comunicações não seguras (não utilizando IPSec), se o outro lado não suportar o uso do IPSec. Ou seja, quando o cliente tenta se comunicar com o servidor, o Servidor tenta estabelecer uma comunicação usando IPSec. Se o cliente não estiver configurado para utilizar o IPSec, a comunicação será estabelecida mesmo assim, sem a utilização de IPSec.
.Client (Respond only): Esta política é indicada para computadores da rede interna, da Intranet da empresa. Ao iniciar a comunicação com outros computadores, não será utilizado o IPSec. Contudo se o outro computador exigir o uso do IPSec, a comunicação via IPSec será estabelecida.
.Security Server (Request Security): Aceita um início de comunicação não seguro, mas requer que os clientes estabeleçam uma comunicação segura, usando IPSec e um dos métodos aceitos pelo servidor. Se o cliente não puder atender estas condições, a comunicação não será estabelecida.
Chave privada (chave enviada junto com a mensagem) Método da chave privada é inviável por dois motivos: 1- Um hacker interceptar os dados, terá também acesso a chave de criptografia. 2 - Ele não permite a verificação da identidade de quem envio a mensagem.om este método não é possível verificar e garantir que o emissor seja quem ele diz ser (não – repúdio) A PKI – Public Key Infrastructure é baseada no uso de certificados digitais e de um par de chaves: uma chave pública e uma chave privada. De uma maneira simples, podemos resumir uma PKI como sendo uma infra-estrutura de segurança, baseada no uso de um par de chaves (uma pública e uma privada) e de Certificados Digitais. A maioria dos certificados em uso hoje em dia são baseados no padrão X.509. Esta é a
tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do Windows Server 2003. Normalmente, os certificados contêm as seguintes informações:
Chave pública do usuário Informações da identificação do usuário (como o nome e o endereço de correio eletrônico) Período de validade (o período de tempo em que o certificado é considerado válido) Informações sobre a identificação do emissor do certificado. A assinatura digital do emissor, que atesta a validade da ligação entre a chave pública do usuário e as
informações de identificação do usuário. Lembre-se que autoridades certificadoras corporativas são integradas com o Active Directory, utilizam modelos de certificados para a criação de novos certificados. Já as autoridades certificadoras autônomas não dependem do Active Directory e não utilizam modelos de certificados. Secure Sockets Layer (SSL) e Transport Layer Security (TLS)-> Oferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simétricos, message digest (hashing) e métodos de autenticação e gerência de chaves (assimétricos). An SSL Session is an association between a client and a server (created by the Handshake Protocol). There are a set of security parameters associated with each session. An SSL Connection is a peer-to-peer relationship, and is transient. There may be many connections associated with one session. The same security parameters may apply to many connections. 116. O criptossistema RSA é seguro caso o problema da fatoração de números inteiros seja intratável, ou seja, não exista um algoritmo de fatoração de tempo polinomial. (ERRADO) 117. A segurança do algoritmo RSA reside no fato de que não são conhecidos algoritmos suficientemente rápidos de fatoração de números inteiros. (CORRETO) Sobre o RSA: Situação 1: Provando-se ou não possibilidade de um algoritmo de tempo polinomial que fatore inteiros ainda assim o RSA não é seguro. Por quê? Situação 2. Porque ainda sobra a possibilidade de conseguirmos achar a função inversa. Em 1. achamos a chave privada. Em 2. chegamos na mensagem original sem precisar achar a chave privada. A questão 116 generaliza demais e por isso está errada. (Ignora a existência da situação 2). A questão 117 está incompleta, mas isso não a invalida. (Apenas não cita a situação 2) O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. É, atualmente, o algoritmo de chave pública (assimétrica) mais amplamente utilizado, além de ser uma das mais poderosas formas de criptografia de chave pública. conhecidas até o momento. O RSA utiliza números primos. Pertence a classe de algoritmos baseados no problema da fatorização de inteiros, o que em parte já justifica o grande interesse neste tipo de problema. Algorítmos simétricos: AES (mais usado), DES, Triple DES,IDEA, RC2, Blowfish OBS: algorítmos simétricos não oferecem assinatura digital. Algorítmos assimétricos: RSA (mais usado), ElGamal, Diffie-Hellman Funçoes Hashing: MD5 (message digest), SHA-1
Assinaturas digitais: RSA, DSA. A criptografia simétrica provê sigilo e integridade. (CORRETO) A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados cifrados. (CORRETO). A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e não-repudiação). (CORRETO) Um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública.
[FCC - TRF/5ª região, analista judiciário/informática, 2003] Os algoritmos de criptografia assimétricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar. b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar. c)duas chaves públicas diferentes, sendo uma para cifrar e outra para decifrar. d) duas chaves, sendo uma privada para cifrar e outra pública para decifrar. e) duas chaves, sendo uma pública para cifrar e outra privada para decifrar.
Cada um dos envolvidos em um sistema de criptografia de chave assimétrica possuirá duas chaves, uma pública, a qual será distribuída para os demais envolvidos para que eles possam cifrar mensagens destinadas a um envolvido específico, e outra privada, que será a única chave possível de ser utilizada para decifrar uma mensagem cifrada com a chave pública correspondente. Se a questão se referisse a assinatura digital seria o inverso (privada para cifrar e pública para decifrar).
3. [FCC - TRT/23ª região, analista judiciário/análise de sistemas, 2004] Nos sistemas criptográficos simétricos e assimétricos, é correto afirmar que a) a geração de chaves para assinaturas RSA é diferente da geração de chaves para a codificação criptográfica RSA. b) o software PGP (Pretty Good Privacy) criptografa mensagens para e-mail ou arquivos extensos utilizando somente o protocolo RSA c) o segredo da segurança do algoritmo DES (Data Encryption Standard) é a presença de S-Boxes. d) o ambiente de segurança pessoal (PSE) serve para armazenar chaves privadas com segurança, não se propondo a efetuar decifragens ou mesmo assinaturas. e) o número de iterações e o número de bytes da chave são fixos no RC5, de forma semelhante ao que ocorre com o DES (Data Encryption Standard).
b) o PGP também utiliza DSA , não apenas RSA. c) Os s-boxes fornecem o núcleo da segurança do DES - sem eles, a cifra seria linear e quebrada de forma trivial.
Na criptografia de chave simétrica, I. há dois tipos de algoritmos: cifragem de bloco e cifragem de fluxo. II. as cifragens de bloco são mais rápidas que as cifragens de fluxo. III. as cifragens de fluxo utilizam mais código que as cifragens de bloco. IV. as cifragens de bloco podem reutilizar as chaves. Está correto o que consta APENAS em: (A) I e II. (B) I e III. (C) I e IV. (D) II e III. (E) I, II e IV.
São dois princípios fundamentais da criptografia: Princípio criptográfico 1: Redundância: as mensagens devem conter alguma redundância. Princípio criptográfico 2: Atualidade: algum método é necessário para anular ataques de repetição. IPSec vs Kerberos: In making your security decisions, you might wonder whether to use IPSec or Kerberos for authentication and encryption. The main difference between them is that IPSec authenticates computer-to-computer communications and Kerberos authenticates user-to-service communications. IPSec doesn't control access to services running on a server; it controls whether a user can connect to the computer at . . . Kerberos é um protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticação ao usuário. Para garantir a segurança, ele usa criptografia de chave simétrica, com o DES. Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP, necessária para estabelecer conexões TCP através desses roteadores, de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP, necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.
Embora esteja na camada de Internet, o IPsec é orientado a conexões. Uma “conexão”, no contexto, do IPsec é chamada SA (security agreement/association - acordo/associação de segurança). Um SA é uma conexão simplex, ou seja, unidirecional, e tem um identificador de segurança. Se houver a necessidade de tráfego seguro em ambos os sentidos, serão exigidos dois SAs.
O protocolo de encapsulamento de carga útil — encapsulation security payload (ESP) — fornece os serviços de autenticação, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP. [C] Uma VPN pode ser estabelecida em várias camadas, tal como aplicação, transporte, redes ou enlace. (correto)
O protocolo de Diffie-Hellman permite efectuar a troca de chaves secretas (simétricas). A segurança do Diffie-Helmman baseia-se na complexidade computacional do problema do logaritmo discreto.
O criptossistema Diffie Hellman define uma forma segura de troca de chaves. Errado: Diffie Hellman não é um criptossistema, ou seja, ele não é usado para cifrar e decifrar mensagens. Uma condição necessária para a segurança de uma função de hash e seu respectivo uso em assinaturas
digitais é a inexistência de colisões. A inexistência de colisões não é condição necessária para a segurança de uma função de hash. O hash trata as colisões, se exisitrem. O AES, também conhecido por Rjindael devido à aglutinação dos nomes dos autores, Vincent Rijmen e Joan Daemen. Utiliza uma chave de tamanho variável, 128, 192 ou 256 bits, que é aplicada a blocos de dados com 128 bits. O DES utiliza uma chave de 56 bits que é aplicada a blocos de dados com 64 bits Para assinsar o hash: 1 - A assinatura RSA é uma adaptação directa do algoritmo de chave assimétrica RSA e utiliza o algoritmo de sumário MD5. Os cálculos matemáticos são exactamente os mesmos, mas neste caso a cifragem é efectuada com a chave privada e a decifragem com a chave pública.
2 - O DSA (digital signature algorithm) é o standard de assinaturas digitais do Governo dos EUA que foi proposto pela agência americana NIST em 1991 e formalmente adoptado em 1993. A decisão causou imensa polémica, uma vez que muitas aplicações já tinham sido desenvolvidas com base no RSA. Apesar de ser um algoritmo mais lento do que o RSA, o DSA não tem royalties. O PGP codifica dados usando uma cifra de bloco chamada IDEA (International Data Encryption Algorithm), que utiliza chaves de 128 bits. Ele foi criado na Suíça em uma época na qual o DES era considerado decadente e o AES ainda não tinha surgido. O gerenciamento de chaves do PGP utiliza o RSA e a integridade de dados utiliza o MD5. Vale a pena observar que o RSA só é usado em duas situações: para criptografar o hash MD bits e para criptografar a chave IDEA de 128 bits. Apesar do RSA ser lento, ele só precisa criptografar 256 bits, e não um grande volume de dados. O trabalho de criptografia é feito pelo IDEA, que é várias ordens de magnitude mais rápido que o RSA. Portanto, o PGP oferece segurança, compactação e assinatura digital
Figura: PGP – Hash + RSA e IDEA
Segurança Firewall e IDS: Bastion Host: um computador que deve ser altamente seguro por estar mais exposto `a Internet sendo, portanto, mais vulnerável a ataques. O Bastion Host seria o ponto de entrada, tipicamente dos seguintes serviços: Sessões de E-mail que estejam chegando (SMTP) e distribuí-las para o site, requisões de FTP para o servidor de FTP anônimo, para consultas ao servidor de DNS interno. Muito do papel do Bastion Host consiste em atuar como um servidores proxy para vários serviços, tanto rodando software proxy especializado para alguns protocolos (tais como HTTP ou FTP), ou através de servidores padrão de protocolos self-proxy (como o SMTP). “Ataques passivos são difíceis de detectar, pois não envolvem alterações nos dados. Portanto, a melhor forma de lidar com esses ataques é a prevenção.” Falsificações (spoofing): Existem dois tipos de falsificações. A falsificação de IPs gera pacotes que aparentam ter sido originados em um endereço IP diferente. Essa técnica é usada principalmente em ataques de uma via (como os ataques de negação de serviço, ou DoS). Se os pacotes aparentarem vir de um computador da rede local, poderão passar pela segurança do firewall (que foi projetado para proteger contra ameaças externas). Os ataques de falsificação de IP são difíceis de detectar e exigem técnicas e meios de monitorar e analisar pacotes de dados. Já os emails falsificados são mensagens cujo endereço de origem não indica o verdadeiro endereço do remetente. Por exemplo, no final de 2003, circulou pela Internet um trote via email que imitava um aviso de atualizações oficiais de segurança da Microsoft e utilizava um endereço de email falso da empresa. Inspeção de estado é uma das técnicas de implementação de firewall: Em vez de filtrar os pacotes apenas baseado na origem e destino dos endereços IP, o firewall compara o padrão de bits do pacote com um padrão conhecido, sem necessidade de processar toda a mensagem. Para obter esse padrão "confiável", o firewall armazena características do estabelecimento da conexão (como número da porta, endereço de origem e destino, etc), podendo, portanto, decidir se uma porta de retorno pode ou não ser aberta. Os dispositivos de IDS – Intrusion Detection System – têm como finalidade básica detectar ataques maliciosos em tempo real permitindo que algumas ações sejam tomadas. São características do IDS, EXCETO: (A) O agente Network based é capaz de detectar ataques baseados na rede e tomar ações como terminar a conexão ou enviar alerta ao administrador. (B) O IDS pode identificar um ataque em andamento, mesmo em redes onde o tráfego é criptografado. (C) O agente Network based deve ser posicionado no segmento cujo ataque se deseja detectar. (D) O agente Host based deve ser instalado no servidor que se deseja proteger. (E) Os IDSs, de modo geral, atuam como uma sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante. As limitações dos sistemas de detecção de intrusão usados atualmente incluem o fato de serem projetos para detectar apenas ataques conhecidos, para os quais é possível se especificar uma assinatura de ataque.
Dentre os vários tipos de IDS eles se classificam em IDS baseados em redes e IDS baseados em host e dentro desses baseado em conhecimento (uso indevido ou padrões de assinaturas de ataques) e baseado em comportamento (anomalias).
Firewall de aplicação permite um acompanhamento mais preciso do tráfego entre a rede e a Internet enquanto o firewall de filtragem de pacotes é capaz de analisar informações sobre a conexão e notar alterações suspeitas. (CORRETO) 1 [C] Firewalls e IDS são soluções eficientes que não impacta os serviços de uma rede 2.[E] Os buffers overflow exploram deficiências de programas que utilizam linguagem fracamente tipificadas. 3 [E] Firewalls e IDS provêm defesa adequada a ataques de buffer overflow.
1 - IDS é um elemento passivo que fica lendo os pacotes promíscuamente, então o seu pacote não precisa passar pelo IDS antes de chegar ao seu destino. O firewall já processa o pacote antes de enviá-los, mas eles são eficientes a ponto de não impactar os serviços. 2 -Os Buffers são áreas de memória criadas pelos programas para armazenar dados que estão sendo processados. Cada buffer tem um certo tamanho, dependendo do tipo de dados que ele irá armazenar. Um buffer overflow ocorre quando o programa recebe mais dados do que está preparado para armazenar no buffer. Se o programa não foi adequadamente escrito, este excesso de dados pode acabar sendo armazenado em áreas de memória próximas, corrompendo dados ou travando o programa, ou mesmo ser executada, que é a possibilidade mais perigosa. 3 - Na verdade, os firewalls nada podem fazer contra esses ataques e os IDS talvez possam evitar alguns ataques conhecidos. Porém esses elementos não impedem de acontecer um novo ataque a algum servidor web que eles estejam protegendo, por exemplo.
Os IDS podem ser embasados em rede ou em host. No primeiro caso, inspecionam o tráfego de rede para detectar atividade maliciosa; no outro, residem no host e, tipicamente, atuam com o objetivo de deter ataques, sem que seja necessária a intervenção do administrador.
(E) -> IDS requerem intervenção do adm.
Os IPS detectam anomalias na operação da rede e as reportam aos administradores para análise e ação posterior.
(E) -> IPS podem agir sem esperar pela ação do adm.
Os ataques de MAC flooding: Tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissões para as portas corretas), de forma que, ao receber um grande número de pacotes com endereços MAC forjados, a tabela é completamente preenchida com os endereços falsos, não deixando espaço para os verdadeiros.Nessa situação, existem apenas duas opções: ou o switch simplesmente trava, derrubando a rede, ou abandona o uso da tabela de endereços e passa a trabalhar em modo failopen, onde os frames são simplesmente retransmitidos para todas as portas, da mesma forma que um hub burro, permitindo que o atacante capture todo o tráfego da rede (até que o switch seja reiniciado).
Filtro De Pacotes Inspeção Statefull
ARP Poisoning: O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas. ARP-Poisoning ou ARP Spoofing é um tipo de ataque no qual uma falsa resposta ARP é enviada à uma requisição ARP original. Enviando uma resposta falsa, o roteador pode ser convencido a enviar dados destinados ao computador 1 para o computador 2, e o computador por último redireciona os dados para o computador 1. Se o envenenamento ocorre, o computador 1 não tem idéia do redirecionamento das informações. A atualização do cache do computador alvo (computador 1) com uma entrada falsa é chamado de Poisoning (envenenamento).
Sniffing: Os switches determinam quais dados vão para qual porta através da comparação do endereço MAC nos dados com uma tabela. Esta tabela consiste de uma lista de porta e endereços MAC relativos a elas. A tabela é construída quando o switch é ligado, examinando o MAC origem dos primeiros dados enviados a cada porta. Placas de rede podem entrar em um estado chamado de Modo Promíscuo onde é permitido examinar dados destinados a endereços MAC outros que não o seu. Em redes com switch isso não é permitido, pois o switch faz o direcionamento dos dados baseado na tabela descrita acima. Isso previne contra o sniffing dos dados de outras máquina. Entretanto, utilizando o ARP Poisoning há muitas formas através das quais o sniffing pode ser realizado em uma rede com switch. DRDoS: Distributed Reflection Denial of Service: Similar to a DDoS, a large number of machines can be used to send SYN packets, with the source IP of the targeted machine, to multiple reflection servers, which will in turn generate large number of SYN/ACK packets that flood the victim. Compared to DDoS, a DRDoS is a more intelligent attack and can be used to cause more damage with less number of machines. Adware é qualquer programa que automaticamente executa, mostra ou baixa publicidade para o computador depois de instalado ou enquanto a aplicação é executada. Alguns programas shareware são também adware, e em neles, os usuários têm a opção de pagar por uma versão registrada, que normalmente elimina os anúncios.
Backdoors - Porta dos fundos é um trecho de código mal-intencionado que cria uma ou mais falhas de segurança para dar acesso ao sistema operacional à pessoas não autorizadas. Esta falha de segurança criada é análoga a uma porta dos fundos por onde a pessoa mal-intencionada pode entrar (invadir) o sistema. Backdoors podem ser inseridos propositalmente pelos criadores do sistema ou podem ser obra de terceiros, usando para isso um vírus, verme ou cavalo de tróia. Em geral, quando nos referimos a um Backdoor, trata-se de um Backdoor que possa ser explorado através da internet, mas o termo pode ser usado de forma mais ampla para designar formas furtivas de se obter informações privilegiadas em sistemas de todo tipo. O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, trojan horses (cavalos de tróia) e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada. Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação. Nessus é um programa de verificação de falhas/vulnerabilidades de segurança. Ele é composto por um cliente e servidor, sendo que o scan propriamente dito é feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vários scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurança Como regra geral, quanto menor for a MTU de um enlace de rede, maior tenderá a ser a fragmentação de segmentos que trafegam nessa rede. Devido à fragmentação, assinaturas de ataques com o protocolo ICMP poderão ser mais difíceis de detectar, especialmente no caso de o firewall em uso ser do tipo de filtragem de pacotes. (correto) A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes, o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem.
Correto, a filtragem de pacotes por estados (statefull) é mais rápida e mais eficiente que a filtragem de
pacotes stateless. Fonte: Nakamura Uma rede com endereços IP privativos, conectada à Internet por meio de um sistema proxy de rede usando NAT, possui a mesma conectividade com a Internet de uma rede que esteja diretamente ligada à Internet e que utilize endereços IP verdadeiros.
Errado: Uma rede com ip's públicos permite que qualquer dos computadores na rede interna seja acessado a partir da rede externa sem necessidade de qualquer configuração. O NAT funciona como um firewall, protegendo os computadores que usam ip's privados. Esses ip's privados não são roteáveis portanto não podem ser acessados diretamente. Só o IP público do roteador responsável pelo NAT é acessível.
NAT não permite, em geral, o estabelecimento de conexões TCP da Internet para a rede privativa, a não ser em casos especiais que devem ser tratados separadamente do mecanismo convencional de realização do mapeamento de endereços. [C] De modo geral o port-mapped NAT não funcionará se os aplicativos trocam endereços IP ou portas como dados, como exemplo FTP: Como parte do protocolo, o cliente obtém um número de porta na máquina local, converte para ASCII e passa o resultado por uma conexão TCP para o servidor. O servidor então abre a conexão de dados para a porta local (do cliente). Se houver um NAT entre eles, a segunda conexão falhará, ao menos que o NAT implemente a “tradução” da porta dentro do campo de dados da primeira conexão. As conexões devem ser iniciadas sempre no sentido da rede interna para a rede externa (internet), exceto quando é utilizado mapeamento estático. As caixas NAT são utilizadas por provedores de Internet para minimizar o problema de escassez de números IP. Ao receberem um pacote que deve ser enviado para a Internet, além de converterem o endereço IP de origem, elas armazenam o índice para sua tabela interna de mapeamento dentro do pacote, no campo: Source port do cabeçalho TCP ou UDP. [C]
Servidores DNS: Entendendo como funcionam as pesquisas do DNS: A mensagem envida pelo resolver (cliente, ex: win xp), para o servidor DNS, contém três partes de informação, conforme descrito a seguir: * O nome a ser resolvido. No exemplo: www.paulomarcelo.br * O tipo de pesquisa a ser realizado. Normalmente é uma pesquisa do tipo “resource record”, ou seja, um registro associado a um nome, para retornar o respectivo endereço IP. No nosso exemplo, a pesquisa seria por um registro do tipo A, na qual o resultado da consulta é o número IP associado com o nome que está sendo pesquisado. É como se o cliente perguntasse para o sevidor DNS: “Você conhece o número IP associado com o nome www.paulomarcelo.br?” E o servidor responde: “Sim, conheço. O número IP associado com o nome www.paulomarcelo.br é o seguinte... Também podem ser consultas especializadas, como por exemplo, para localizar um DC (controlador de domínio) no domínio ou um servidor de autenticação baseado no protocolo Kerberos. * Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows 2000 Server e Windows Server 2003, a classe será sempre uma classe de Internet (IN), mesmo que o nome seja referente a um servidor da Intranet da empresa. OBS: Por padrão o Servidor DNS utiliza um arquivo chamado Cache.dns, o qual fica gravado na pasta systemroot\System32\Dns. Este arquivo não tem a ver com o Cache de nomes do servidor DNS. Neste
arquivo está contida a lista de servidores root hints. O conteúdo deste arquivo é carregado na memória do servidor, durante a inicialização do serviço do DNS e é utilizado para localizar os servidores root hints da Internet, servidores estes utilizados durante o processo de recursão. A zona é chamada primária porque ela ainda não existe e está sendo criada para conter as informações do domínio – no nosso exemplo, o domínio xyz.com.br. Ela é chamada direta, porque conterá informações para resolução de nomes para endereço IP, ou seja, fornecido um nome no domínio xyz.com.br, esta zona conterá informações para retornar o endereço IP associado com o nome. Uma zona reversa, que será descrita em uma das próximas partes deste tutorial, faria o contrário, ou seja, dado um endereço IP, o DNS pesquisa na zona reversa para encontrar o nome associado ao endereço IP. As zonas secundárias somente podem ser criadas se já existir uma zona primária. As zonas secundárias contém uma cópia integral dos registros da zona primária e recebem as atualiações efetuadas na zona primária através do mecanismo de replicação de zonas. Somente o servidor onde está a zona DNS primária é que pode receber as atualizações dinâmicas. Porém, pode acontecer, de um cliente estar utilizando um servidor DNS onde está uma zona secundária para o domínio do cliente. Neste caso a solicitação de atualização é enviada para o servidor onde está a zona secundária. Este repassa a mensagem de atualização para o servidor DNS onde está a zona primária. As atualiações são feitas na zona primária. Após ter sido atualizada a zona primária, o servidor DNS primário envia mensagens para os servidores onde existem zonas secundárias, notificando que novas atualiações estão disponíveis. As alterações são copiadas da zona primária para todas as zonas secundárias.
Figura: Resolução de nomes DNS
DNS (protocolo da camada de APLICACAO) - é o ÚNICO protocolo que tem caráter híbrido. Utiliza a camada de transporte UDP para recebimento de pedidos de consultas de resolução de hosts/ip (vice-versa) ATÉ um tamanho de 512 bytes, se o tamanho da mensagem for maior que 512 bytes o protocolo TCP é utilizado mesmo para consultas ao servidor. E, por fim, utiliza TCP para troca de informações de zonas com os servidores DNS vizinhos. O DNS utiliza a portas 53 UDP nas consultas e a 53 TCP nas tranferências de zona em servidores primários e secundários. (GABARITO: ERRADO ?!?) QUESTÃO POLÊMICA. A maioria dos analistas de redes considera esse item como correto. O gabarito é equivocado pois faltou a palavra EXCLUSIVAMENTE referindo-se ao uso do UDP para invalidar a questão. Resumindo esse ponto:
1. para consultas (queries): mensagem menor que 512 bytes: RECOMENDA-SE UDP (não impede que se use também aqui TCP) 2. troca de zonas: SEMPRE TCP A implementação de DNS mais usada no Unix é o BIND, tendo como alternativa o djbdns. Este último, porém, apresenta mais falhas de segurança que o BIND. Errado, djbdns mais seguro!
Armazenamento de zona padrão usando um arquivo baseado em texto: As zonas armazenadas dessa maneira estão localizadas em arquivos de texto, com a extensão .Dns, os quais são armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que você escolhe para a zona durante a sua criação, como Exemplo.abc.com.dns é o arquivo que armazena informações para a zona abc.com.
Armazenamento de zona integrada ao diretório usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira estão localizadas na árvore do Active Directory . Cada zona integrada ao diretório é armazenada em um objeto do tipo dnsZone identificado pelo nome que você escolhe para a zona durante a sua criação. Apenas as zonas primárias podem ser armazenadas no Active Directory. Um servidor DNS não pode armazenar zonas secundárias no diretório. Ele deverá armazená-las em arquivos de texto padrão. Para traduzir um nome de máquina em um endereço IP, independentemente do modo como a consulta seja feita aos servidores Domain Name System (DNS), uma aplicação que seja cliente desse serviço de tradução tem que percorrer a hierarquia de nomes enviando consultas para vários servidores ao longo da hierarquia.
O item foi dado como errado pq existem duas formas de consultas (dos clientes DNS para os servidores): iterativa e recursiva. O item descreve a consulta iterativa. Na consulta recursiva, o cliente não precisa percorrer a hierarquia de nomes enviando consultas para vários servidores. Esse trabalho eh feito via delegação a apenas 1 servidor, que se encarregará de resolver o hostname. O processo de busca de dados no DNS é chamado de resolução de nomes ou simplesmente resolução. Existem dois modos de resolução de nomes no DNS: interativo e recursivo. No modo interativo o servidor DNS não assume a responsabilidade de resolver a requisição recebida. Ele envia uma resposta contendo a resolução do nome questionado caso ele tenha a informação solicitada armazenada em cache ou ele envia a indicação de outros servidores DNS que estão aptos a enviar uma resposta mais exata. No modo recursivo o servidor DNS assume a responsabilidade de resolver a requisição recebida. Este servidor terá que encontrar uma resposta para a requisição solicitada e enviá-la ao requisitante O protocolo UDP, que integra a camada de transporte na arquitetura TCP/IP, é orientado a datagrama, ou seja, cada operação de saída corresponde a pelo menos um datagrama. (correto) O Windows 2003 permite que servidores normais sejam convertidos em controladores de domínio, mas não o contrário. (errado) No Windows 2003, a conversão de servidores normais em controladores de domínio pode ser realizada com o active directory installation wizard. (correto)
O serviço DNS (domain name system) tem como principal objetivo converter nomes em endereços IP. Em sua arquitetura de funcionamento no mínimo está prevista a utilização de um servidor principal por domínio e de vários servidores secundários do domínio principal.
Questão Polêmica. Considerado correto no gabarito definitivo da CESPE, mas analisada como errada pela maioria dos especialistas, pois afirma que o funcionamento mínimo precisa de vários servidores secundário, quando o funcionamento mínimo pode ser obtido com um servidor principal por domínio e um único servidor secundário do domínio principal.
Políticas de Segurança
A Política de Segurança é um conjunto de diretrizes, normas, procedimentos e instruções, destinadas respectivamente aos níveis estratégico, tático e operacional, com o objetivo de estabelecer, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico. Política de Segurança Objetivo: Prover à administração uma orientação e apoio para a segurança da informação. Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização. O que é Forense Computacional? É a ciência que estuda a aquisição, preservação, recuperação e análise de dados armazenados em mídias computadorizadas e procura caracterizar crimes de informática de acordo com as evidências digitais encontradas no sistema invadido Disponibilidade: O acessos aos serviços oferecidos pelo sistema deve ser sempre possível para um usuário, entidade ou processo autorizado. O objetivo da análise de risco é identificar vulnerabilidades e ameaças associadas às informações, identificar o impacto nos negócios em caso de sua ocorrência e sugerir planos de contingências.
Planejamento (Plain): identificar os riscos, definir a politica de segurança, avaliar os riscos, identificar e validar as opções para tratamento dos risco
Implementar(do): Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos, implementar programas de treinamento e conscientização.
Monitorar (check) e Revisar o SGSI (Check) Manter e Melhorar o SGSI (Act)
Tendo #1 (espectativas e requisitos de segurança da informação), Plain #2 (estabelecimento do SGSI), Do #3 (implementação e operação do SGSI), Check #4 (monitoramento e analise critica do SGSI), Act #5 (manutenção e melhoria do SGSI) temos: O estado ou fase indicado por #1 é o mais conveniente para a coleta de informações visando ao estabelecimento de aspectos de segurança em acordos de níveis de serviço (correto) O estado ou fase indicado por #2 é o mais conveniente para a declaração formal, no nível corporativo, dos critérios para avaliação dos riscos de segurança da informação. (correto) A fase numerada por #3 é o momento mais conveniente para a realização de procedimentos como classificação e rotulagem de documentos. (correto) As auditorias de primeira parte, ou auditorias internas, do sistema de gestão de segurança da informação (SGSI) devem ocorrer durante o momento numerado por #4. (correto) Utilização de scheduler, de senhas e de sistemas de permissão de acesso e atribuição de privilégios são alguns dos principais elementos da segurança de host. (errado) A funçao do Schedule é acionar jobs em cluster e backups.
Windows e Linux O serviço de diretórios active directory permite a realização de atividades administrativas comuns, como adicionar um novo usuário ou gerenciar impressoras. Outra facilidade desse serviço é a Windows Scripting Host, que automatiza tarefas como criar grandes grupos e múltiplas contas. (CORRETO) O Windows 2000 server possui a facilidade RADIUS (Remote Authentication Dial-In User Server), que provê serviços de autenticação e contabilização em redes discadas. Além disso, possui serviço de atualização dinâmica de DNS, não necessitando a replicação da base de dados do DNS a cada modificação. (CORRETO) Abreviatura de Remote Authentication Dial-In User Service (Serviço Remoto de Autenticação da Discagem do Usuário), o RADIUS foi desenvolvido inicialmente como um sistema padrão "peso-leve" de identificação e autenticação para autenticar os usuários que discavam para bancos de modems para acesso remoto. Desde então, o RADIUS tem evoluído para um método de autenticação comumente suportado, usado com muitos sistemas operacionais e dispositivos de rede. O RADIUS é considerado de fato o padrão para a autenticação do usuário remoto. NetBEUI é um protocolo "não-roteável". no NetBEUI não existe configuração de endereços, pois os micros conversam diretamente usando os endereços MAC. Apesar de suas limitações, o NetBEUI ainda é usado em algumas redes Windows, por ser rápido, fácil de instalar e usar. Você não pode usá-lo para acessar a Internet, acessar outras máquinas da rede via SSH nem nenhum outro dos serviços, mas ele permite que as máquinas Windows compartilhem arquivos entre si. O protocolo DAP era implementado sobre o padrão OSI de sete camadas, o que o deixava um tanto quanto incompatível e pesado. Já o LDAP* é implementado sobre o sistema TCP/IP, que atualmente é mundialmente difundido, o que permite uma boa portabilidade entre os sistemas que desejam utilizar LDAP, além de possuir um menor overhead que o DAP nos pacotes enviados. Os servidores LDAP podem manter a informação replicada, permitindo levar a informação para instalações remotas, aumentando a segurança. O LDAP tem 5 vantagens principais:
É um standard aberto (independente da implementação) Está disponível em virtualmente todos os sistemas operativos (independente da plataforma) É relativamente fácil produzir aplicações que lidam com LDAP (implementação fácil), permitindo aos
programadores abstraírem-se das questões de baixo nível dos directórios Rapidez no acesso à informação Replicação da Informação
As mensagens LDAP são transportadas pelo protocolo TCP (com conexão), o que implica que existam também operações para estabelecer ou desligar uma sessão entre cliente e servidor LDAP O sistema de arquivo NFS (network file system) realiza chamadas RPC (remote procedure call) para comunicação entre servidor e clientes. Com relação ao uso da Conexão de Área de Trabalho Remota para se conectar a um Servidor Windows 2003 Server é correto afirmar que (A) é possível conectar vários servidores por instância. (B) não é possível exibir as conexões em tela cheia. (C) conecta-se apenas um servidor por instância. (D) só é possível exibir as conexões em tela cheia.
Que tipo de volume de disco é usado apenas em partições NTFS para aumentar o espaço de armazenamento quando é necessário espaço adicional, mas não há espaço não alocado suficiente disponível? (A) Volume Simples (B) Volume Estendido (C) Volume Expandido (D) Volume Distribuído No Windows 2003, o gerenciamento do active directory é feito utilizando-se o MMC (Microsoft management console) (correto) Sobre unix dns: Os arquivos de configuração de zona e mapas localizam-se tipicamente em um diretório de nome namedb. (correto) O arquivo de configuração que contém os parâmetros de inicialização tem o nome named.boot. (correto) O comando route é usado para gerenciar as rotas estáticasem um host Unix. (correto)
Um aspecto importante da configuração de um cliente Samba em ambiente Windows é o uso de nomes de computador e workgroup apropriados. (correto) Um servidor Unix não pode executar, simultaneamente, mais de uma instância do serviço Samba. (errado) Toda a configuração do Samba, incluindo as configurações gerais do servidor, impressoras e todos os compartilhamentos, é feita em um único arquivo de configuração, o "/etc/samba/smb.conf". O Iptables(kernel 2.6.x) é stateful, ou seja, trabalha com os estados das conexões. O ipfwadm(kernel 2.0.x) e o ipchains(kernel 2.2.x) são stateless. Um típico exemplo de carregamento de regras de iptables, após a inicialização do sistema, seria: #echo 1 > /proc/sys/net/ipv4/ip_forward #iptables-restore < /etc/iptables.rules Isso pode ser inserido no fim do arquivo /etc/rc.d/rc.local. Uma diretiva do Linux para ajudar em caso de esquecimento da senha do root é iniciar o sistema com o parâmetro: linux single Em uma instalação padrão Linux, o arquivos de log ficam geralmente em: /var O comando chown executado pelo root permite alterar o proprietário ou grupo do arquivo ou diretório, alterando o dono do arquivo ou grupo. Linux: o comando chage pode ser usado para solicitar aos usuários, a alteração periódica das senhas. dd if=boot.img of=/dev/fd0 --> Para clonar partições no Linux é recomendável usar o dd, que faz uma cópia bit-a-bit das partições
Ativos de Redes e meios físicos de transmissão
O HUB gerenciavel é aquele que possui um firmware (software embutido) capaz de controlar algumas atividades do HUB, como por exemplo, excesso de colisões, portas ativas, temperatura, etc. Estas coletas de dados podem ser transferidas para um sistema de gerenciamento que trabalha com SNMP-Simple Network Management Protocol, ou CMIP-Common Management Information Protocol. Existe uma situação em que a ponte encaminha os pacotes entre todos os segmentos, indiferente de qual segmento as máquinas envolvidas no processo de transmissão estão. É quando em sua tabela não consta nenhuma informação de qual segmento estão as máquinas envolvidas. Isso acontece por exemplo quando a ponte é inicializada e portanto a sua tabela se encontra vazia ou quando uma máquina nova é adicionada ao segmento. Um Gateway, ou porta de ligação, é uma máquina intermediária geralmente destinado a interligar redes, separar domínios de colisão, ou mesmo traduzir protocolos. Exemplos de gateway podem ser os routers (ou roteadores) e firewalls (corta-fogos), já que ambos servem de intermediários entre o utilizador e a rede. Um proxy também pode ser interpretado como um gateway (embora a outro nível, aquele da camada em que opere), já que serve de intermediário também.
Para uma melhor qualidade nos serviços oferecidos pela rede, a ISO dividiu a gerencia de redes em cinco áreas funcionais, também chamadas Funções de Sistema de Gerência (SMF – System Management Functions). São elas: gerência de desempenho, gerência de falhas, gerência de configuração, gerência de contabilidade e gerência de segurança. Na sua instalação e utilização padrão, o SNMP (Simple Network Management Protocol), utilizado para gerenciamento de equipamentos de rede, permite falhas de segurança relacionadas ao vazamento de informações sobre o sistema, tabelas de rotas, tabelas ARP e conexões UDP e TCP. (correto)
A mais recente versão de SNMP, SNMPv2, somou alguns mecanismos de segurança que ajudam a combater os 3 principais problemas de segurança: privacidade de dados (prevenir os intrusos de ganhar acesso a informação levadas pela rede), autenticação (impedir os intrusos de enviar falsos dados pela rede), e controle de acesso (que restringe acesso de variáveis particulares a certos usuários, removendo assim a possibilidade de um usuário derrubar a rede acidentalmente).
A denominação do equipamento utilizado tanto para ligar redes locais próximas, isolando o trafego entre ambas, como para conectar duas redes distantes por meio da comunicação por modem e um canal de comunicação é: ___________ Resp: Bridge (ponte). “por meio da comunicação por modem” exclui a possibilidade do roteador. A diafonia (crostalk) ocorre quando um sinal transmitido em um fio interfere ou até mesmo corrompe o sinal que está sendo transmitido no fio adjacente. Fisicamente falando, isto ocorre porque quando um dado está sendo transmitido em um fio, ele gera um campo eletromagnético ao seu redor, e um fio posicionado dentro deste campo eletromagnético funciona como uma antena, capturando o sinal e, assim, modificando o sinal que estava sendo transmitido por este fio. Tipo de modulação mais utilizado em modens, é modulação: PSK. No caso da transmissão por fibras ópticas, a modulação se dá pela variação de intensidade do feixe de luz, portanto, também os dados são transmitidos por: modulação em amplitude Throughput (ou taxa de transferência) é a quantidade de dados transferidos de um lugar a outro, ou a quantidade de dados processados em um determinado espaço de tempo, pode-se usar o termo throughput para referir-se a quantidade de dados transferidos em discos rígidos ou em uma rede, por exemplo; tendo como unidades básicas de medidas o Kbps, o Mbps e o Gbps. O throughput pode ser traduzido como a taxa de transferência efetiva de um sistema. Algorítmo Nagle: Nagle's document, Congestion Control in IP/TCP Internetworks (RFC896) describes what he called the 'small packet problem', where an application repeatedly emits data in small chunks, frequently only 1 byte in size. Since TCP packets have a 40 byte header (20 bytes for TCP, 20 bytes for IPv4), this results in a 41 byte packet for 1 byte of useful information, a huge overhead. Os pacotes serão enviados apenas quando o dado a transmitir for igual ao MMS ou quando o quando o transmissor receber o ACK do ultimo pacote enviado..
Síncrono vs assíncrono: Referem ao comportamento do emissor das mensagens. Se o emissor aguarda uma resposta ou confirmação antes de transmitir novas informações, é um protocolo síncrono. O HTTP é síncrono, o SNMP é assíncrono. Switch camada 3 vs roteador: A diferenca nao existe em 80% das funcionalidades. Um switch camada 3 é um switch que pode fazer quase todas as mesmas funções de um router (roteamento estatico/dinamico, protocolos de alta disponibilidade, balanceamento de carga, roteamento baseado em politica, qos, etc), alem de claro desempenhar todas as funções de um switch. Contudo, a funcionalidade de NAT por exemplo nao é suportada na maioria dos switches camada 3 e nos switches da linha 35xx e 37xx voce nao tem a mesma modularidade de um roteador (nao da pra instalar uma placa ATM neles por exemplo). Basicamente um switch camada 3 atende bem quando não precisa-se integrá-lo a serviços de WAN (frame-relay, linhas dedicadas, etc..).
OSI E TCP/IP
O modelo Open Systems Interconnection (OSI) foi proposto pela International Standards Organization (ISO), com objetivo de padronizar os protocolos usados para a conexão de sistemas que estão abertos para a comunicação com outros sistemas. (correto) O tratamento de erros no IP consiste no descarte de datagramas e, se for o caso, no envio de uma mensagem ICMP. (C) Apesar de o IP manter informações de estado sobre a transmissão de sucessivos datagramas, cada datagrama é enviado independentemente e pode, inclusive, ser entregue fora da ordem original de envio.
O IP não mantém informações de estado
No modelo OSI, cada camada corresponde a uma abstração e a funções bem definidas no que diz respeito à interoperabilidade entre hosts e(ou) serviços. (correto)
A camada de aplicação na arquitetura TCP/IP é responsável por funções idênticas às das três camadas mais altas da arquitetura OSI. (correta) A camada mais baixa da arquitetura TCP/IP reúne as funções das camadas física e de enlace da arquitetura OSI, definindo explicitamente os protocolos a serem utilizados. (errada) Quando vários usuários estão utilizando o serviço TCP simultaneamente, o TCP identifica cada um deles por uma porta diferente. Porém, os identificadores de portas de entidades TCP diferentes podem não ser únicos na inter-rede. (correto) O estabelecimento de conexão SMTP começa com o cliente SMTP estabelecendo uma conexão UDP com o servidor SMTP. Depois, espera que o servidor envie uma mensagem “220 Service ready” ou “421 Service not available”. Errado Para o estabelecimento de uma sessão SMTP, o emissor estabelece uma conexão TCP com o destino e aguarda uma mensagem 220 service ready. Para se iniciar atransmissão, o emissor deve enviar um comando MAIL ao receptor, e esse deve responder com uma mensagem 250 OK. (correto)
Ethernet: A autoconfiguração é uma facilidade que permite que a capacidade de transmissão mais alta seja selecionada automaticamente. É necessário que o cabeamento utilizado seja compatível com a capacidade de transmissão mais alta (correto) 8 bytes iniciais do quadro ethernet = preambulo e são descartados pela placa de rede recpetora. Tamanho da janela de transmissão no TCP: para garantir o controle do fluxo o destinatário pode aumtentar ou diminuir durante a transmissão /conexão. A tecnologia Ethernet baseia-se na transmissão de pacotes compostos por cabeçalhos e dados, sendo que os pacotes podem ter tamanhos variados, com suporte a detecção e correção de erros de transmissão.
Apenas cabeçalho, dados e FCS e não dão suporte a correção, apenas detecção.
O modelo TCP/IP, adotado na Internet, está expressamente normatizado em uma RFC (request for comments) que identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicação compatível com a Internet. Errado, pois o Modelo TCP/IP não identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicação compatível com a Internet. Ele faz isso para uma comunicação de computadores em rede. Além disso, o modelo TCP/IP não é normatizado em apenas uma RFC.
O modelo OSI é hierárquico, de modo que uma camada superior consome serviços das camadas inferiores. Faltou a palavra IMEDIATAMENTE inferior para a questão estar correta. "O Osi é um modelo estratificado, que define 7 niveis ou camadas de funções a serem desempenhadas pelos sistemas de comunicacao, formando uma pilha hierarquica. Cada nivel oferece, ao nivel imediatamente superior, um conjunto de funções que é implementado utilizando serviços oferecidos pelos níveis inferiores. " Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente é configurada para mapear diretamente uma rede ou sub-rede IP, o que dá a impressão que a camada 3 está envolvida. [C] TFTP (Trivial File Transfer Protocol): É baseado em UDP (usa a port 69) ao contrário do FTP que se basea no TCP (usa a port 21), sem mecanismos de autenticação ou encriptação de dados. FTP uses two connections. TFTP uses one connection (stop and wait) O IGMP (Internet group message protocol) é utilizado para formação de grupos multicast em uma rede IP. O campo ToS (type of service) no protocolo IP é utilizado pela arquitetura de serviços diferenciados. Atualmente, é definido como DSCP (diff serv code point). O ICMP (Internet control message protocol) faz uso de vários códigos para definição e solicitação de informações, entre elas a máscara de rede de uma estação. (C) 1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp 28 (frag 242:36@0+) 2 IP 10.0.2.1.3964 > 10.0.1.1.45959: (frag 242:4@0+)
A) As linhas 1 e 2 apresentam fragmentos de diferentes pacotes IP. B) Na linha 1, o fragmento inicial carrega 28 bytes na área de dados do IP. Está errada, pois o fragmento inicial carrega 36 bytes na área de dados do IP, onde 8 são do cabeçalho UDP e 28 de dados de aplicação (área de dados do UDP). C) O fragmento inicial na linha 2 carrega 4 bytes na sua área de dados e carrega um segmento TCP. Está errada, pois o fragmento não carrega um segmento TCP carrega apenas 4 bytes de dados de aplicação. D) Na remontagem, os dados do fragmento na linha 2 se superpõem aos da linha 1, podendo causar negação de serviço em alguns sistemas operacionais. Correto. Os dois hosts recebem e enviam dados pela mesmas portas, caso o número de dados seja muito volumoso poderá causar negação de serviço E) A linha 2 apresenta o fragmento final. A presença do '+' indica que haverá mais dados nos fragmentos subsequentes. Portanto ele não é o final.
(frag id:size@offset+) frag id: identificação do fragmento. size: tamanho do fragmento em bytes, excluindo o cabeçalho IP. offset (em bytes): deslocamento de fragmentação.
0.xxx.xxx.xxx: Nenhum endereço IP pode começar com zero, pois ele é usado para o endereço da rede. A única situação em que um endereço começado com zero é usado, é quando um servidor DHCP responde à requisição da estação. Como ela ainda não possui um endereço definido, o pacote do servidor é endereçado ao endereço MAC da estação e ao endereço IP "0.0.0.0", o que faz com que o switch o envie para todos os micros da rede. 127.xxx.xxx.xxx: Nenhum endereço IP pode começar com o número 127, pois essa faixa de endereços é reservada para testes e para a interface de loopback. Se por exemplo você tiver um servidor de SMTP e configurar seu programa de e-mail para usar o servidor 127.0.0.1, ele acabará usando o servidor instalado na sua própria máquina. O mesmo acontece ao tentar acessar o endereço 127.0.0.1 no navegador: você vai cair em um servidor web habilitado na sua máquina. Além de testes em geral, a interface de loopback é usada para comunicação entre diversos programas, sobretudo no Linux e outros sistemas Unix. No CIDR(Classless Inter-Domain Routing) são utilizadas máscaras de tamanho variável (o termo em inglês é VLSM, ou (Variable-Length Subnet Mask), que permitem uma flexibilidade muito maior na criação das faixas de endereços. Além do TCP e do UDP, temos o ICMP (Internet Control Message Protocol), um protocolo de controle, que opera no nível 3 do modelo OSI (junto com o protocolo IP). Ao contrário do TCP e do UDP, o ICMP não é usado para a transmissão de dados, mas nem por isso deixa de desempenhar diversas funções importantes. Nos endereços IPV4, dividimos os endereços em 4 grupos de 8 bits, cada um representado por um número de 0 a 255, como em "206.45.32.234". Os endereços IPV6 utilizam uma notação diferente, onde temos oito quartetos de caracteres em hexa, separados por “dois pontos”. Exemplo de endereço IPV6, válido na Internet, seria: 2001:bce4:5641:3412:341:45ae:fe32:65. "2001:bce4:0:0:0:0:0:1" pode ser abreviado para apenas "2001:bce4::1", onde omitimos todo o trecho central "0:0:0:0:0". O IPV6 também oferece um recurso de compatibilidade com endereços IPV4, permitindo que você continue utilizando os mesmos endereços ao migrar para ele. Neste caso, você usaria o endereço "::FFFF:" seguido pelo endereço IPV4 usado atualmente, como em: ::FFFF:192.168.0.1 Por estranho que possa parecer, este é um endereço IPV6 completamente válido, que você pode usar para todos os fins.
Com relação a redes de computadores, no modelo OSI e seus protocolos, um dos objetivos do Nível de Rede é: a) garantir, obrigatoriamente, que um pacote chegue ao seu destino, garantindo que a entidade do nível de rede da máquina de destino se comunique diretamente com a mesma entidade da máquina de origem. b) o controle de congestionamento em redes ponto a ponto. c) a multiplexação. d) realizar transformações necessárias aos dados antes de seu envio ao nível de sessão, entre elas, a criptografi a. e) o controle de fl uxo, garantindo que o transmissor não envie mensagem a uma taxa superior à capacidade do receptor. O controle de fluxo ocorre tanto na camada de enlace (ponto a ponto entre nós subsequentes) quanto na camada de transporte (ponto a ponto entre processos). O controle de congestionamento ocorre na camada de rede e controla uma sub-rede. "Vale a pena destacar explicitamente a diferença entre controle de congestionamento e controle de fluxo, pois o relacionamento entre ele é sutil. O controle de congestionamento se baseia na garantia de que a sub-rede é capaz de transportar o tráfego oferecido. É uma questão global, envolvendo o comportamento de todos os hosts, de todos os roteadores, do processamento de operações store-and-forward dentro dos roteadores e de todos os outros fatores que tendem a reduzir a capacidade de transporte da sub-rede. Por outro lado, o controle de fluxo se baseia no tráfego ponto a ponto entre um determinado transmissor e um determinado receptor. Sua tarefa é garantir que um transmissor rápido não possa transmitir dados continuamente com maior rapidez que o receptor é capaz de absorver. O controle de fluxo quase sempre envolve algum feedback dentro do receptor para o transmissor. Dessa forma, o transmissor fica sabendo como tudo está sendo feito na outra extremidade"
Redes WAN A resolução de endereços em uma sub-rede lógica IP/ATM (LIS) pode ser realizada por meio do protocolo ATMARP — o mesmo que o protocolo ARP com extensões para que funcione em um ambiente com servidor unicast ATM. (CORRETO) O asynchronous transfer mode (ATM) define ambiente de rede de múltipla velocidade que provê grande variedade de serviços complexos para aplicações como transmissão de dados, voz e vídeo — separada ou simultaneamente — sobre o mesmo caminho de rede. Esse protocolo tem sido usado tanto em redes públicas quanto em redes privadas. (CORRETO) CRC de 8 bits para proteger o cabeçalho de 5 bytes em células ATM. No caso de redes locais baseadas nos padrões mantidos pelo IEEE, o CRC 32 bits foi adotado na camada de enlace. O parâmetro CIR (Commited information rate) em rede Frame-Relay indica a velocidade mínima contratada. O Frame-Relay é um protocolo de redes estatístico, voltado principalmente para o tráfego tipo rajada, exigindo, no entanto, infra-estrutura de linha privada (dedicada) para poder implementar um de seus melhores recursos, o CIR (Commited Information Rate) (ERRADO)
O Frame Relay é um protocolo de redes estatístico, voltado principalmente para o tráfego tipo rajada, em que a sua infra-estrutura é compartilhada pela operadora de telefonia e, conseqüentemente, tem um custo mais acessível do que uma linha privada.
ICMP - (protocolo da camada de REDE) - funciona sobre IP, também da camada de REDE, portanto não há de se falar em conexão, nem em confiabilidade. Tomando como critérios o caminho de comunicação usado e a forma como os dados são transmitidos, uma rede por comutação por circuito é aquela em que um circuito físico é estabelecido entre os nós terminais antes de ocorrer a comunicação. (CORRETO) A arquitetura do protocolo X.25 é constituída de três níveis : físico, quadro e pacotes (fisica, enlace, rede). O MPLS é um esquema de encaminhamento de pacotes que atua entre as camadas 2 (camada de Enlace) e 3 (camada de Rede) Frame Relay atua na camada 2 (enlace). Entre as tecnologias ISDN, Wireless, ATM e Frame Relay, esta última é a mais indicada quando os escritórios de uma empresa precisam estar conectados a uma rede WAN, baseada na comutação de pacotes e cuja matriz seja o ponto focal da topologia. (correto) Qual o serviço definido como de suporte modo pacotes orientado à conexão, prestado por redes de suporte que oferecem interfaces de acesso a terminais de usuários? Resp: Frame Relay Dentre os diversos sinais trocados entre DTE e DCE, temos um sinal enviado pelo terminal (DTE) ao modem para prepará-lo para a transmissão de dados. Qual o nome desse sinal? Resp: RST
servidor web: Devem possuir um servidor de aplicação ou se comunicar com um servidor de aplicação para permitir a execução de scripts de servidor. (correto) A Internet, também denominada de World Wide Web (WWW), é formada por um conjunto de redes interligadas, formando a maior rede de comunicação dos dias atuais.(E)
The World Wide Web, or simply Web, is a way of accessing information over the medium of the Internet. It is an information-sharing model that is built on top of the Internet. The Web uses the HTTP protocol, only one of the languages spoken over the Internet, to transmit data. Web services In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials – in the form of a user name and password – when making a request. Before transmission, the username and password are encoded as a sequence of base-64 characters Uma solução de backup que contemple a duplicação, em um sítio hot, de todos os dados digitais e equipamentos e linhas de transmissão de dados necessários ao provimento de serviços de informação por meio da Internet e da Web garantirá que a empresa alcance plena recuperação de sua capacidade de negócios, após eventual ocorrência de desastre que não afete esse sítio hot.
Existe diferença entre sítio hot e site espelho, no site espelho você faz uma cópia exata do website, enquanto que o sítio hot (hot site) é um equipamento dedicado a espelhar os sistemas críticos de um ambiente empresarial, pronto para assumir imediatamente as operações sem perda de dados. Ou seja, o hot site pode utilizar um site espelho, mas a recíproca não é verdadeira. No final da frase o examinador está apenas querendo dizer que a máquina que possui o backup não foi alvo da invasão. Pois se também tivesse sido alvo da invasão, aí a estratégia de hot site tinha ido por água abaixo. Existe um erro logo na primeira frase, quando ele afirma que o hot site "contemple a duplicação de todos os dados digitais e equipamentos e linhas de transmissão de dados necessários ao provimento de serviços de informação por meio da Internet e da Web". Ele na verdade, ele contempla a duplicação apenas dos sistemas críticos, como não necessariamente todos os sistemas são críticos, para mim já inválida a questão. Além disso, vejo outro erro - que acaba sendo conseqüência do anterior - em "alcance plena recuperação de sua capacidade de negócios". Como não será todos os serviços que voltarão, mas sim apenas os críticos, então não podemos falar de recuperação plena da capacidade de negócio de uma empresa, uma vez que os outros serviços que não são críticos não voltarão por essa estratégia de segurança.
