Memorex de Redes para Concursos - Verso 2.1 - 16/02/2009 por Paulo Marcelo (paulo1410) Encontrou algum erro?

Ajude com dicas, sugestes, materiais: paulo1410@hotmail.com

VOIP A recomendao H.323 tem o objetivo de especificar sistemas de comunicao multimdia em redes baseadas em pacotes e que no provem uma Qualidade de Servio (QoS) garantida. SIP - O protocolo se assemelha ao HTTP, baseado em texto, e bastante aberto e flexvel. Portanto, substituiu amplamente o padro H323.

13. A MIB II usa uma arquitetura de rvore, definida na ISO ASN.1, para organizar todas as suas informaes, sendo que, cada parte da informao da rvore um n rotulado. Nessa rvore, o MIB II pode ser localizado, percorrendo, sucessivamente, os ns a) joint-iso-ccitt(2) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) b) ccitt(0) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) c) iso(1) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(1) d) ccitt(0) _ iso(1) _ joint-iso-ccitt(2) _org(3) _ mgmt(4) _ mibII(5)

e) iso(1) _ org(3) _ dod(6) _ Internet(1) _ directory(1) _ mibII(1)

O Padro IEEE 802.11 estabelece que cada LAN sem fio deve fornecer certa quantidade de servios que so devidos em duas categorias: servio de distribuio e servio de estao, na quantidade respectiva de A) 4 e 5 B) 5 e 5 C) 5 e 4 D) 4 e 4 E) 6 e 4 Servio de Distribuio: distribuio, integrao, associao, reassociao e disassociao. Servio de Estao: autenticao, desautenticao, privacidade e entrega de MSDU ("MAC Service Data Unit"). O padro 802.11 prescreve um protocolo de segurana do nvel de enlace de dados, chamado WEP (Wired Equivalent Privacy)

Protocolos de Roteamentos (RIP, OSPF, BGP) RIP (Router Information Protocol) Os algoritmos de roteamento com vetor de distncia operam fazendo cada roteador manter uma tabela (isto , um vetor) que fornece a melhor distncia conhecida at cada destino e determina qual linha deve ser utilizada para se chegar l. Essas tabelas so atualizadas atravs da troca de informaes com os vizinhos. Mesmo que no exista nenhuma alterao nas rotas da rede, os roteadores baseados em RIP, continuaro a trocar mensagens de atualizao em intervalos regulares, por padro a cada 30 segundos. Cada mensagem do protocolo RIP comporta, no mximo, informaes sobre 25 rotas diferentes. A contagem mxima de hopes usada pelos roteadores RIP 15, ou seja, as redes que estejam a 16 hopes ou mais de distncia, sero consideradas inacessveis. A maior vantagem do RIP que ele extremamente simples para configurar e implementar em uma rede. Sua maior desvantagem a incapacidade de ser ampliado para interconexes de redes de tamanho grande a muito grande. O protocolo RIP v2, oferece diversas melhorias em relao ao RIP v1, dentre as quais vamos destacar as seguintes: Os anncios do protocolo RIP v2 so baseados em trfego multicast e no mais broadcast. Informaes sobre a mscara de sub-rede so enviadas nos anncios do protocolo RIP v2 (CIDR). Segurana, autenticao e proteo contra a utilizao de roteadores no autorizados

Split horizon (horizonte dividido): Com esta tcnica o roteador registra a interface atravs da qual recebeu informaes sobre uma rota e no difunde informaes sobre esta rota, atravs desta mesma interface. No nosso exemplo, o Roteador B receberia informaes sobre a rota para a rede 1, a partir do Roteador B, logo o Roteador A no iria enviar informaes sobre Rotas para a rede 1, de volta para o Roteador B. Com isso j seria evitado o problema do count-to-infinity. Em outras palavras, esta caracterstica pode ser resumida assim: Eu aprendi sobre uma rota para a rede X atravs de voc, logo voc no pode aprender sobre uma rota para a rede X, atravs de minhas informaes. Split horizon with poison reverse (Inverso danificada): Nesta tcnica, quando um roteador aprende o caminho para uma determinada rede, ele anuncia o seu caminho, de volta para esta rede, com um hope de 16. No exemplo da Figura anterior, o Roteador B, recebe a informao do Roteador A, que a rede 1 est a 1 hope de distncia. O Roteador B anuncia para o roteador A, que a rede 1 est a 16 hope de distncia. Com isso, jamais o Roteador A vai tentar achar um caminha para a rede 1, atravs do Roteador B, o que faz sentido, j que o Roteador A est diretamente conectado rede 1. Vetor de distncia: Iterativo: Continua at que os ns no troquem mais informaes. Self-terminating: No h sinal de parada

 Assncrono: Os ns no precisam trocar informaes simultaneamente! Distribudo: Cada n se comunica apenas com os seus vizinhos diretamente conectados

OSPF Open Shorted Path First: Os roteadores que usam OSPF trocam informaes somente sobre as rotas que sofreram alteraes e no toda a tabela de roteamento, como feito com o uso do RIP. Conhecido como algortmo de Dijkstra. O OSPF usa um algoritmo conhecido como Shortest Path First (SPF). O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de ligao ou estado de vnculo). Lembre que o RIP usava um algoritmo baseado em distncia vetorial. importante salientar que somente informaes sobre as mudanas so trocadas entre os roteadores usando OSPF e no toda a tabela de roteamento, como acontece com o uso do RIP IGP Interior Gateway Protocol) -> OSPF usa IGP EGP Exterior Gateway Protocol BGP Border Gateway Protocol Vantages do OSPF em relao ao RIP: As rotas calculadas pelo algoritmo SPF so sempre livres de loops. O OSPF pode ser dimensionado para interconexes de redes grandes ou muito grandes. A reconfigurao para as alteraes da topologia de rede muito rpida, ou seja, o tempo de convergncia da rede, aps alteraes na topologia muito menor do que o tempo de convergncia do protocolo RIP. O trfego de informaes do protocolo OSPF muito menor do que o do protocolo RIP. O OSPF permite a utilizao de diferentes mecanismos de autenticao entre os roteadores que utilizam OSPF. OSPF RFC 2328: A router periodically advertises its state, which is also called link state. Link state is also advertised when a router's state changes." "Hello packets are OSPF packet type 1. These packets are sent periodically on all interfaces (including virtual links) in order to establish and maintain neighbor relationships." "InactivityTimer The inactivity Timer has fired. This means that no Hello packets have been seen recently from the neighbor. The neighbor reverts to Down state." Considerando especificamente o algoritmo Link State um algoritmo distribudo porque cada n recebe alguma informao de um ou mais vizinhos diretamente. Errado, pois so centralizados (globais) e portanto fcil de prevenir loops. Roteamento global: calcula o caminho de menor custo entre uma fonte e um destino usando conhecimento completo e global sobre a rede. O clculo pode ser rodado em um local ou duplicado em vrios locais. No link LS a topologia da rede e todos os custos de enlace so conhecidos; BGP-4(Border Gateway Protocol) - tornou-se o sucessor natural do EGP, efetivamente atacando suas deficincias mais srias, ou seja, evitando "loops" de roteamento e permitindo o uso de polticas de roteamento entre Ass (Sistemas Autnomos) baseado em regras arbitrrias por eles definidas. Alm disso, o BGP-4 foi a primeira verso do BGP a suportar endereos agregados (Classless Interdomain Routing, ou simplesmente CIDR) e o conceito de supernets. Outra caracterstica do BGP-4 atualizao das tabelas de rotas feitas de forma incremental, como nos algoritmos de estado de enlace. A atualizao completa da tabela de rotas feita somente uma vez, quando se estabelece a sesso entre os neighbors ou peers. Pares de roteadores participantes de um esquema de roteamento BGP se comunicam entre si utilizando conexes TCP na porta 179

Sistemas Autonomos (SA) - conjunto de roteadores e redes sob a mesma administrao

Entre os protocolos de roteamento OSPF e RIP, observam-se as seguintes diferenas: mtodos de clculo empregados para roteamento de pacotes, que permitem balanceamento de carga no caso do OSPF; uso de IP pelo OSPF e de datagramas no RIP; e uso de multicast pelo OSPF e de broadcast no RIP. OBS: RIPv2 tambm utiliza multicast! RIP e OSPF operam sobre o protocolo UDP, enquanto BGP opera sobre o protocolo TCP. Errado pois OSPF no usa camada 4.

Roteadores que executam o protocolo OSPF so necessariamente roteadores internos a um sistema autnomo, no possuindo conexes com roteadores de outros sistemas autnomos. (errado) Dentro do contexto OSPF h 4 tipos de roteadores: roteador interno, roteador de borda de rea (ABR), roteador backbone e roteador de borda/fronteira de AS (ASBR). No ASBR h tanto o OSPF quanto um protocolo de roteamento externo (EGPs), como por exemplo o BGP. a que a questo est errada. O ASBR executa o OSPF (internamente) e ainda se comunica com outros ASBR (externamente). O detalhe que: Fora do contexto OSPF: roteador externo = roteador de borda Dentro do contexto OSPF: roteador de borda de rea (ABR) = OSPF, roteador de borda de AS (ASBR) = OSPF + qualquer um EGP (BGP mais comum). O OSPF um protocolo que, para operar corretamente em grandes inter-redes, necessita do projeto da arquitetura de roteamento, pois trata-se de um protocolo de roteamento hierrquico.

Figura: Necessariamente deve existir uma rea central, chamada de Backbone (rea 0), que dever atuar como elo de ligao com as demais reas existentes. Cada roteador OSPF mantm um banco de dados do estado de vnculo apenas para aquelas reas que a ele esto conectadas. Os ABRs (Area Border Routers, roteadores de borda de rea) conectam a rea de backbone a outras reas. O roteamento dentro de cada sistema autnomo feito usando os chamados protocolos de roteamento interno (IGP Interior Gateway Protocol). O OSPF um protocolo IGP, ou seja, para roteamento dentro dos sistemas autnomos. O roteamento entre os diversos sistemas autnomos feito por protocolos de

roteamento externos (EGP Exterior Gateway Protocol) e pelos chamados protocolos de roteamento de borda (BGP Border Gateway Protocol). Os dois EGPs mais utilizados so: Exterior Gateway Protocol (EGP); O EGP usado entre routers de diferentes AS e assume que existe apenas uma rede de backbone, ou seja, que existe apenas um nico caminho entre dois quaisquer AS. Esta uma das razes para que o seu uso esteja remetido para grandes redes privadas (Intranets). Na Internet o EGP est a ser substituido por BGP. Border Gateway Protocol (BGP-4): baseado em CIDR, permite agregao de rotas, evita loops, usa TCP 179 A negociao entre vizinhos BGP baseada: Sucesso do estabelecimento da ligao TCP; Sucesso do processamento da mensagem de OPEN; Deteco peridica de mensagens de KEEPALIVE ou deUPDATE. O protocolo BGP-4 introduz a juno de mltiplas rotas de AS (Autonomous System) em entradas nicas ou agregadas. Tal agregao pode reduzir a quantidade de informao de roteamento. (CORRETO) O BGP-4 modela conceitualmente os dados de um BGPS em dois tipos de RIBs (Routing Information Base) um para os dados obtidos por meio dos vizinhos e outro para os dados locais obtidos por meio das polticas de roteamento local. Errado, apenas entre vizinhos. A mtrica indica o custo relativo da utilizao da rota para alcanar o destino. Uma mtrica tpica so os saltos, ou o nmero de roteadores a serem atravessados para se alcanar o destino. Se existirem diversos roteadores com o mesmo destino, o roteador com a mtrica mais baixa o melhor roteador. OSPF um protocolo embasado no algoritmo link-state que roda diretamente sobre o IP e que utiliza a designao 89 para protocolo nos datagramas IP. (CORRETO) A operao de protocolos link-state obedece s seguintes fases: descoberta dos roteadores vizinhos e de suas redes; clculo do custo do envio de mensagens para cada vizinho; formatao e envio das informaes coletadas para os vizinhos; clculo do menor caminho para os outros roteadores. (CORRETA)

No protocolo OSPF existe um anncio peridico do estado de enlace, em que a ausncia de um anncio recente indica aos vizinhos que o roteador no est ativo. Usando como entrada a base de dados dos estados de enlace das reas em que est conectado, um roteador executa o algoritmo SPF (Shortest Path First) para atualizar sua tabela de roteamento a partir da ltima atualizao realizada. Questo Polmica. Considerado errado pelo CESPE. Para alguns especialistas o erro seria: o algortmo Dijkstra(SPF) usado para calcular custos das rotas em funo da tabela, ele no atualiza a tabela. Para outros (e eu me incluo nessa lista) a questo no contm erro.

Criptografias: Os protocolos IPSec fornecem proteco de dados e identidade para cada pacote IP, adicionando o prprio cabealho de protocolo de segurana a cada pacote. Dois modos: AH e do ESP. A implementao do IPSec na Camada de rede 3 fornece proteo para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de

informaes seguras nessa camada que todos os aplicativos e servios que usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modificao nos aplicativos ou servios (para proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP). Um aspecto um tanto surpreendente do IPsec que, embora esteja na camada IP, ele orientado a conexes. Tunelamento em Nvel 2 - Enlace - (PPP sobre IP) O objetivo transportar protocolos de nvel 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar: PPTP, L2TP, L2F Tunelamento em Nvel 3 - Rede - (IP sobre IP) : encapsulam pacotes IP com um cabealho adicional deste mesmo protocolo antes de envi-los atravs da rede. O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabealho adicional deste mesmo protocolo para serem transportados numa rede IP pblica ou privada. O IPSec um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padro para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptaes possibilitando, tambm, a sua utilizao com o IPv4.

A administrao do IPSec no windows 2003 server com base em diretivas de segurana, configuradas via GPOs .Server (Request Security): Ao habilitar esta diretiva, tambm sero aceitas comunicaes no seguras, porm para estabelecer uma conexo segura, os clientes devem utilizar um mtodo de autenticao aceito pelo servidor. Com esta poltica sero aceitas comunicaes no seguras (no utilizando IPSec), se o outro lado no suportar o uso do IPSec. Ou seja, quando o cliente tenta se comunicar com o servidor, o Servidor tenta estabelecer uma comunicao usando IPSec. Se o cliente no estiver configurado para utilizar o IPSec, a comunicao ser estabelecida mesmo assim, sem a utilizao de IPSec. .Client (Respond only): Esta poltica indicada para computadores da rede interna, da Intranet da empresa. Ao iniciar a comunicao com outros computadores, no ser utilizado o IPSec. Contudo se o outro computador exigir o uso do IPSec, a comunicao via IPSec ser estabelecida. .Security Server (Request Security): Aceita um incio de comunicao no seguro, mas requer que os clientes estabeleam uma comunicao segura, usando IPSec e um dos mtodos aceitos pelo servidor. Se o cliente no puder atender estas condies, a comunicao no ser estabelecida.

Chave privada (chave enviada junto com a mensagem) Mtodo da chave privada invivel por dois motivos: 1- Um hacker interceptar os dados, ter tambm acesso a chave de criptografia. 2 - Ele no permite a verificao da identidade de quem envio a mensagem.om este mtodo no possvel verificar e garantir que o emissor seja quem ele diz ser (no repdio) A PKI Public Key Infrastructure baseada no uso de certificados digitais e de um par de chaves: uma chave pblica e uma chave privada. De uma maneira simples, podemos resumir uma PKI como sendo uma infra-estrutura de segurana, baseada no uso de um par de chaves (uma pblica e uma privada) e de Certificados Digitais. A maioria dos certificados em uso hoje em dia so baseados no padro X.509. Esta a

tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do Windows Server 2003. Normalmente, os certificados contm as seguintes informaes: Chave pblica do usurio Informaes da identificao do usurio (como o nome e o endereo de correio eletrnico) Perodo de validade (o perodo de tempo em que o certificado considerado vlido) Informaes sobre a identificao do emissor do certificado. A assinatura digital do emissor, que atesta a validade da ligao entre a chave pblica do usurio e as informaes de identificao do usurio.

Lembre-se que autoridades certificadoras corporativas so integradas com o Active Directory, utilizam modelos de certificados para a criao de novos certificados. J as autoridades certificadoras autnomas no dependem do Active Directory e no utilizam modelos de certificados. Secure Sockets Layer (SSL) e Transport Layer Security (TLS)-> Oferecem suporte de segurana criptogrfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simtricos, message digest (hashing) e mtodos de autenticao e gerncia de chaves (assimtricos). An SSL Session is an association between a client and a server (created by the Handshake Protocol). There are a set of security parameters associated with each session. An SSL Connection is a peer-to-peer relationship, and is transient. There may be many connections associated with one session. The same security parameters may apply to many connections. 116. O criptossistema RSA seguro caso o problema da fatorao de nmeros inteiros seja intratvel, ou seja, no exista um algoritmo de fatorao de tempo polinomial. (ERRADO) 117. A segurana do algoritmo RSA reside no fato de que no so conhecidos algoritmos suficientemente rpidos de fatorao de nmeros inteiros. (CORRETO) Sobre o RSA: Situao 1: Provando-se ou no possibilidade de um algoritmo de tempo polinomial que fatore inteiros ainda assim o RSA no seguro. Por qu? Situao 2. Porque ainda sobra a possibilidade de conseguirmos achar a funo inversa. Em 1. achamos a chave privada. Em 2. chegamos na mensagem original sem precisar achar a chave privada. A questo 116 generaliza demais e por isso est errada. (Ignora a existncia da situao 2). A questo 117 est incompleta, mas isso no a invalida. (Apenas no cita a situao 2) O RSA um algoritmo assimtrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977 no MIT. , atualmente, o algoritmo de chave pblica (assimtrica) mais amplamente utilizado, alm de ser uma das mais poderosas formas de criptografia de chave pblica. conhecidas at o momento. O RSA utiliza nmeros primos. Pertence a classe de algoritmos baseados no problema da fatorizao de inteiros, o que em parte j justifica o grande interesse neste tipo de problema. Algortmos simtricos: AES (mais usado), DES, Triple DES,IDEA, RC2, Blowfish OBS: algortmos simtricos no oferecem assinatura digital. Algortmos assimtricos: RSA (mais usado), ElGamal, Diffie-Hellman Funoes Hashing: MD5 (message digest), SHA-1

Assinaturas digitais: RSA, DSA. A criptografia simtrica prov sigilo e integridade. (CORRETO) A criptografia assimtrica prov sigilo, integridade, autenticidade e no-repdio dos dados cifrados. (CORRETO). A criptografia simtrica no garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e no-repudiao). (CORRETO) Um certificado digital pode ser definido como um documento eletrnico, assinado digitalmente por uma terceira parte confivel, que associa o nome (e atributos) de uma pessoa ou instituio a uma chave criptogrfica pblica. [FCC - TRF/5 regio, analista judicirio/informtica, 2003] Os algoritmos de criptografia assimtricos utilizam: a) uma mesma chave privada, tanto para cifrar quanto para decifrar. b) duas chaves privadas diferentes, sendo uma para cifrar e outra para decifrar. c)duas chaves pblicas diferentes, sendo uma para cifrar e outra para decifrar. d) duas chaves, sendo uma privada para cifrar e outra pblica para decifrar. e) duas chaves, sendo uma pblica para cifrar e outra privada para decifrar. Cada um dos envolvidos em um sistema de criptografia de chave assimtrica possuir duas chaves, uma pblica, a qual ser distribuda para os demais envolvidos para que eles possam cifrar mensagens destinadas a um envolvido especfico, e outra privada, que ser a nica chave possvel de ser utilizada para decifrar uma mensagem cifrada com a chave pblica correspondente. Se a questo se referisse a assinatura digital seria o inverso (privada para cifrar e pblica para decifrar).

3. [FCC - TRT/23 regio, analista judicirio/anlise de sistemas, 2004] Nos sistemas criptogrficos simtricos e assimtricos, correto afirmar que a) a gerao de chaves para assinaturas RSA diferente da gerao de chaves para a codificao criptogrfica RSA. b) o software PGP (Pretty Good Privacy) criptografa mensagens para e-mail ou arquivos extensos utilizando somente o protocolo RSA c) o segredo da segurana do algoritmo DES (Data Encryption Standard) a presena de S-Boxes. d) o ambiente de segurana pessoal (PSE) serve para armazenar chaves privadas com segurana, no se propondo a efetuar decifragens ou mesmo assinaturas. e) o nmero de iteraes e o nmero de bytes da chave so fixos no RC5, de forma semelhante ao que ocorre com o DES (Data Encryption Standard). b) o PGP tambm utiliza DSA , no apenas RSA. c) Os s-boxes fornecem o ncleo da segurana do DES - sem eles, a cifra seria linear e quebrada de forma trivial.

Na criptografia de chave simtrica, I. h dois tipos de algoritmos: cifragem de bloco e cifragem de fluxo. II. as cifragens de bloco so mais rpidas que as cifragens de fluxo. III. as cifragens de fluxo utilizam mais cdigo que as cifragens de bloco. IV. as cifragens de bloco podem reutilizar as chaves. Est correto o que consta APENAS em: (A) I e II. (B) I e III. (C) I e IV. (D) II e III. (E) I, II e IV. So dois princpios fundamentais da criptografia: Princpio criptogrfico 1: Redundncia: as mensagens devem conter alguma redundncia. Princpio criptogrfico 2: Atualidade: algum mtodo necessrio para anular ataques de repetio. IPSec vs Kerberos: In making your security decisions, you might wonder whether to use IPSec or Kerberos for authentication and encryption. The main difference between them is that IPSec authenticates computer-to-computer communications and Kerberos authenticates user-to-service communications. IPSec doesn't control access to services running on a server; it controls whether a user can connect to the computer at . . . Kerberos um protocolo desenvolvido para fornecer poderosa autenticao em aplicaes usurio/servidor, onde ele funciona como a terceira parte neste processo, oferendo autenticao ao usurio. Para garantir a segurana, ele usa criptografia de chave simtrica, com o DES.

Um acordo de segurana (security association) do protocolo de segurana IP (IPsec) consiste de uma relao bidirecional entre dois roteadores IP, necessria para estabelecer conexes TCP atravs desses roteadores, de modo a oferecer servios de autenticao e confidencialidade das conexes TCP, necessrios formao de redes privadas virtuais (virtual private networks (VPN) fim-a-fim. Embora esteja na camada de Internet, o IPsec orientado a conexes. Uma conexo, no contexto, do IPsec chamada SA (security agreement/association - acordo/associao de segurana). Um SA uma conexo simplex, ou seja, unidirecional, e tem um identificador de segurana. Se houver a necessidade de trfego seguro em ambos os sentidos, sero exigidos dois SAs. O protocolo de encapsulamento de carga til encapsulation security payload (ESP) fornece os servios de autenticao, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formao de redes privadas virtuais entre entidades operando na camada de rede IP. [C] Uma VPN pode ser estabelecida em vrias camadas, tal como aplicao, transporte, redes ou enlace. (correto) O protocolo de Diffie-Hellman permite efectuar a troca de chaves secretas (simtricas). A segurana do Diffie-Helmman baseia-se na complexidade computacional do problema do logaritmo discreto. O criptossistema Diffie Hellman define uma forma segura de troca de chaves. Errado: Diffie Hellman no um criptossistema, ou seja, ele no usado para cifrar e decifrar mensagens. Uma condio necessria para a segurana de uma funo de hash e seu respectivo uso em assinaturas

digitais a inexistncia de colises. A inexistncia de colises no condio necessria para a segurana de uma funo de hash. O hash trata as colises, se exisitrem. O AES, tambm conhecido por Rjindael devido aglutinao dos nomes dos autores, Vincent Rijmen e Joan Daemen. Utiliza uma chave de tamanho varivel, 128, 192 ou 256 bits, que aplicada a blocos de dados com 128 bits. O DES utiliza uma chave de 56 bits que aplicada a blocos de dados com 64 bits Para assinsar o hash: 1 - A assinatura RSA uma adaptao directa do algoritmo de chave assimtrica RSA e utiliza o algoritmo de sumrio MD5. Os clculos matemticos so exactamente os mesmos, mas neste caso a cifragem efectuada com a chave privada e a decifragem com a chave pblica. 2 - O DSA (digital signature algorithm) o standard de assinaturas digitais do Governo dos EUA que foi proposto pela agncia americana NIST em 1991 e formalmente adoptado em 1993. A deciso causou imensa polmica, uma vez que muitas aplicaes j tinham sido desenvolvidas com base no RSA. Apesar de ser um algoritmo mais lento do que o RSA, o DSA no tem royalties. O PGP codifica dados usando uma cifra de bloco chamada IDEA (International Data Encryption Algorithm), que utiliza chaves de 128 bits. Ele foi criado na Sua em uma poca na qual o DES era considerado decadente e o AES ainda no tinha surgido. O gerenciamento de chaves do PGP utiliza o RSA e a integridade de dados utiliza o MD5. Vale a pena observar que o RSA s usado em duas situaes: para criptografar o hash MD bits e para criptografar a chave IDEA de 128 bits. Apesar do RSA ser lento, ele s precisa criptografar 256 bits, e no um grande volume de dados. O trabalho de criptografia feito pelo IDEA, que vrias ordens de magnitude mais rpido que o RSA. Portanto, o PGP oferece segurana, compactao e assinatura digital

Figura: PGP Hash + RSA e IDEA

Segurana Firewall e IDS: Bastion Host: um computador que deve ser altamente seguro por estar mais exposto `a Internet sendo, portanto, mais vulnervel a ataques. O Bastion Host seria o ponto de entrada, tipicamente dos seguintes servios: Sesses de E-mail que estejam chegando (SMTP) e distribu-las para o site, requises de FTP para o servidor de FTP annimo, para consultas ao servidor de DNS interno. Muito do papel do Bastion Host consiste em atuar como um servidores proxy para vrios servios, tanto rodando software proxy especializado para alguns protocolos (tais como HTTP ou FTP), ou atravs de servidores padro de protocolos self-proxy (como o SMTP). Ataques passivos so difceis de detectar, pois no envolvem alteraes nos dados. Portanto, a melhor forma de lidar com esses ataques a preveno. Falsificaes (spoofing): Existem dois tipos de falsificaes. A falsificao de IPs gera pacotes que aparentam ter sido originados em um endereo IP diferente. Essa tcnica usada principalmente em ataques de uma via (como os ataques de negao de servio, ou DoS). Se os pacotes aparentarem vir de um computador da rede local, podero passar pela segurana do firewall (que foi projetado para proteger contra ameaas externas). Os ataques de falsificao de IP so difceis de detectar e exigem tcnicas e meios de monitorar e analisar pacotes de dados. J os emails falsificados so mensagens cujo endereo de origem no indica o verdadeiro endereo do remetente. Por exemplo, no final de 2003, circulou pela Internet um trote via email que imitava um aviso de atualizaes oficiais de segurana da Microsoft e utilizava um endereo de email falso da empresa. Inspeo de estado uma das tcnicas de implementao de firewall: Em vez de filtrar os pacotes apenas baseado na origem e destino dos endereos IP, o firewall compara o padro de bits do pacote com um padro conhecido, sem necessidade de processar toda a mensagem. Para obter esse padro "confivel", o firewall armazena caractersticas do estabelecimento da conexo (como nmero da porta, endereo de origem e destino, etc), podendo, portanto, decidir se uma porta de retorno pode ou no ser aberta. Os dispositivos de IDS Intrusion Detection System tm como finalidade bsica detectar ataques maliciosos em tempo real permitindo que algumas aes sejam tomadas. So caractersticas do IDS, EXCETO: (A) O agente Network based capaz de detectar ataques baseados na rede e tomar aes como terminar a conexo ou enviar alerta ao administrador. (B) O IDS pode identificar um ataque em andamento, mesmo em redes onde o trfego criptografado. (C) O agente Network based deve ser posicionado no segmento cujo ataque se deseja detectar. (D) O agente Host based deve ser instalado no servidor que se deseja proteger. (E) Os IDSs, de modo geral, atuam como uma sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante.

As limitaes dos sistemas de deteco de intruso usados atualmente incluem o fato de serem projetos para detectar apenas ataques conhecidos, para os quais possvel se especificar uma assinatura de ataque. Dentre os vrios tipos de IDS eles se classificam em IDS baseados em redes e IDS baseados em host e dentro desses baseado em conhecimento (uso indevido ou padres de assinaturas de ataques) e baseado em comportamento (anomalias).

Firewall de aplicao permite um acompanhamento mais preciso do trfego entre a rede e a Internet enquanto o firewall de filtragem de pacotes capaz de analisar informaes sobre a conexo e notar alteraes suspeitas. (CORRETO) 1 [C] Firewalls e IDS so solues eficientes que no impacta os servios de uma rede 2.[E] Os buffers overflow exploram deficincias de programas que utilizam linguagem fracamente tipificadas. 3 [E] Firewalls e IDS provm defesa adequada a ataques de buffer overflow. 1 - IDS um elemento passivo que fica lendo os pacotes promscuamente, ento o seu pacote no precisa passar pelo IDS antes de chegar ao seu destino. O firewall j processa o pacote antes de envi-los, mas eles so eficientes a ponto de no impactar os servios. 2 -Os Buffers so reas de memria criadas pelos programas para armazenar dados que esto sendo processados. Cada buffer tem um certo tamanho, dependendo do tipo de dados que ele ir armazenar. Um buffer overflow ocorre quando o programa recebe mais dados do que est preparado para armazenar no buffer. Se o programa no foi adequadamente escrito, este excesso de dados pode acabar sendo armazenado em reas de memria prximas, corrompendo dados ou travando o programa, ou mesmo ser executada, que a possibilidade mais perigosa. 3 - Na verdade, os firewalls nada podem fazer contra esses ataques e os IDS talvez possam evitar alguns ataques conhecidos. Porm esses elementos no impedem de acontecer um novo ataque a algum servidor web que eles estejam protegendo, por exemplo.

Os IDS podem ser embasados em rede ou em host. No primeiro caso, inspecionam o trfego de rede para detectar atividade maliciosa; no outro, residem no host e, tipicamente, atuam com o objetivo de deter ataques, sem que seja necessria a interveno do administrador. (E) -> IDS requerem interveno do adm. Os IPS detectam anomalias na operao da rede e as reportam aos administradores para anlise e ao posterior. (E) -> IPS podem agir sem esperar pela ao do adm. Os ataques de MAC flooding: Tem como alvo o switch da rede e trabalham dentro de um princpio bastante simples. O switch possui uma rea limitada de memria para armazenar a tabela com os endereos MAC dos micros da rede (que permite que ele encaminhe as transmisses para as portas corretas), de forma que, ao receber um grande nmero de pacotes com endereos MAC forjados, a tabela completamente preenchida com os endereos falsos, no deixando espao para os verdadeiros.Nessa situao, existem apenas duas opes: ou o switch simplesmente trava, derrubando a rede, ou abandona o uso da tabela de endereos e passa a trabalhar em modo failopen, onde os frames so simplesmente retransmitidos para todas as portas, da mesma forma que um hub burro, permitindo que o atacante capture todo o trfego da rede (at que o switch seja reiniciado).

Filtro De Pacotes

Inspeo Statefull

ARP Poisoning: O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informaes confidenciais posicionando-se no meio de uma conexo entre duas ou mais mquinas. ARP-Poisoning ou ARP Spoofing um tipo de ataque no qual uma falsa resposta ARP enviada uma requisio ARP original. Enviando uma resposta falsa, o roteador pode ser convencido a enviar dados destinados ao computador 1 para o computador 2, e o computador por ltimo redireciona os dados para o computador 1. Se o envenenamento ocorre, o computador 1 no tem idia do redirecionamento das informaes. A atualizao do cache do computador alvo (computador 1) com uma entrada falsa chamado de Poisoning (envenenamento).

Sniffing: Os switches determinam quais dados vo para qual porta atravs da comparao do endereo MAC nos dados com uma tabela. Esta tabela consiste de uma lista de porta e endereos MAC relativos a elas. A tabela construda quando o switch ligado, examinando o MAC origem dos primeiros dados enviados a cada porta. Placas de rede podem entrar em um estado chamado de Modo Promscuo onde permitido examinar dados destinados a endereos MAC outros que no o seu. Em redes com switch isso no permitido, pois o switch faz o direcionamento dos dados baseado na tabela descrita acima. Isso previne contra o sniffing dos dados de outras mquina. Entretanto, utilizando o ARP Poisoning h muitas formas atravs das quais o sniffing pode ser realizado em uma rede com switch. DRDoS: Distributed Reflection Denial of Service: Similar to a DDoS, a large number of machines can be used to send SYN packets, with the source IP of the targeted machine, to multiple reflection servers, which will in turn generate large number of SYN/ACK packets that flood the victim. Compared to DDoS, a DRDoS is a more intelligent attack and can be used to cause more damage with less number of machines. Adware qualquer programa que automaticamente executa, mostra ou baixa publicidade para o computador depois de instalado ou enquanto a aplicao executada. Alguns programas shareware so tambm adware, e em neles, os usurios tm a opo de pagar por uma verso registrada, que normalmente elimina os anncios. Backdoors - Porta dos fundos um trecho de cdigo mal-intencionado que cria uma ou mais falhas de segurana para dar acesso ao sistema operacional pessoas no autorizadas. Esta falha de segurana criada anloga a uma porta dos fundos por onde a pessoa mal-intencionada pode entrar (invadir) o sistema. Backdoors podem ser inseridos propositalmente pelos criadores do sistema ou podem ser obra de terceiros, usando para isso um vrus, verme ou cavalo de tria. Em geral, quando nos referimos a um Backdoor, trata-se de um Backdoor que possa ser explorado atravs da internet, mas o termo pode ser usado de forma mais ampla para designar formas furtivas de se obter informaes privilegiadas em sistemas de todo tipo. O termo malware proveniente do ingls malicious software; um software destinado a se infiltrar em um sistema de computador alheio de forma ilcita, com o intuito de causar algum dano ou roubo de informaes (confidenciais ou no). Vrus de computador, trojan horses (cavalos de tria) e spywares so considerados malware. Tambm pode ser considerada malware uma aplicao legal que por uma falha de programao (intencional ou no) execute funes que se enquadrem na definio supra citada. Um rootkit um trojan que busca se esconder de softwares de segurana e do usurio utilizando diversas tcnicas avanadas de programao. Nessus um programa de verificao de falhas/vulnerabilidades de segurana. Ele composto por um cliente e servidor, sendo que o scan propriamente dito feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vrios scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurana Como regra geral, quanto menor for a MTU de um enlace de rede, maior tender a ser a fragmentao de segmentos que trafegam nessa rede. Devido fragmentao, assinaturas de ataques com o protocolo ICMP podero ser mais difceis de detectar, especialmente no caso de o firewall em uso ser do tipo de filtragem de pacotes. (correto) A filtragem com informao de estado leva em considerao o estado das conexes para aceitar ou no pacotes, o que reduz o esforo computacional da inspeo em si e aumenta a granularidade da filtragem. Correto, a filtragem de pacotes por estados (statefull) mais rpida e mais eficiente que a filtragem de

pacotes stateless. Fonte: Nakamura Uma rede com endereos IP privativos, conectada Internet por meio de um sistema proxy de rede usando NAT, possui a mesma conectividade com a Internet de uma rede que esteja diretamente ligada Internet e que utilize endereos IP verdadeiros. Errado: Uma rede com ip's pblicos permite que qualquer dos computadores na rede interna seja acessado a partir da rede externa sem necessidade de qualquer configurao. O NAT funciona como um firewall, protegendo os computadores que usam ip's privados. Esses ip's privados no so roteveis portanto no podem ser acessados diretamente. S o IP pblico do roteador responsvel pelo NAT acessvel. NAT no permite, em geral, o estabelecimento de conexes TCP da Internet para a rede privativa, a no ser em casos especiais que devem ser tratados separadamente do mecanismo convencional de realizao do mapeamento de endereos. [C] De modo geral o port-mapped NAT no funcionar se os aplicativos trocam endereos IP ou portas como dados, como exemplo FTP: Como parte do protocolo, o cliente obtm um nmero de porta na mquina local, converte para ASCII e passa o resultado por uma conexo TCP para o servidor. O servidor ento abre a conexo de dados para a porta local (do cliente). Se houver um NAT entre eles, a segunda conexo falhar, ao menos que o NAT implemente a traduo da porta dentro do campo de dados da primeira conexo. As conexes devem ser iniciadas sempre no sentido da rede interna para a rede externa (internet), exceto quando utilizado mapeamento esttico. As caixas NAT so utilizadas por provedores de Internet para minimizar o problema de escassez de nmeros IP. Ao receberem um pacote que deve ser enviado para a Internet, alm de converterem o endereo IP de origem, elas armazenam o ndice para sua tabela interna de mapeamento dentro do pacote, no campo: Source port do cabealho TCP ou UDP. [C]

Servidores DNS:
Entendendo como funcionam as pesquisas do DNS: A mensagem envida pelo resolver (cliente, ex: win xp), para o servidor DNS, contm trs partes de informao, conforme descrito a seguir: * O nome a ser resolvido. No exemplo: www.paulomarcelo.br * O tipo de pesquisa a ser realizado. Normalmente uma pesquisa do tipo resource record, ou seja, um registro associado a um nome, para retornar o respectivo endereo IP. No nosso exemplo, a pesquisa seria por um registro do tipo A, na qual o resultado da consulta o nmero IP associado com o nome que est sendo pesquisado. como se o cliente perguntasse para o sevidor DNS: Voc conhece o nmero IP associado com o nome www.paulomarcelo.br? E o servidor responde: Sim, conheo. O nmero IP associado com o nome www.paulomarcelo.br o seguinte... Tambm podem ser consultas especializadas, como por exemplo, para localizar um DC (controlador de domnio) no domnio ou um servidor de autenticao baseado no protocolo Kerberos. * Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows 2000 Server e Windows Server 2003, a classe ser sempre uma classe de Internet (IN), mesmo que o nome seja referente a um servidor da Intranet da empresa. OBS: Por padro o Servidor DNS utiliza um arquivo chamado Cache.dns, o qual fica gravado na pasta systemroot\System32\Dns. Este arquivo no tem a ver com o Cache de nomes do servidor DNS. Neste

arquivo est contida a lista de servidores root hints. O contedo deste arquivo carregado na memria do servidor, durante a inicializao do servio do DNS e utilizado para localizar os servidores root hints da Internet, servidores estes utilizados durante o processo de recurso. A zona chamada primria porque ela ainda no existe e est sendo criada para conter as informaes do domnio no nosso exemplo, o domnio xyz.com.br. Ela chamada direta, porque conter informaes para resoluo de nomes para endereo IP, ou seja, fornecido um nome no domnio xyz.com.br, esta zona conter informaes para retornar o endereo IP associado com o nome. Uma zona reversa, que ser descrita em uma das prximas partes deste tutorial, faria o contrrio, ou seja, dado um endereo IP, o DNS pesquisa na zona reversa para encontrar o nome associado ao endereo IP. As zonas secundrias somente podem ser criadas se j existir uma zona primria. As zonas secundrias contm uma cpia integral dos registros da zona primria e recebem as atualiaes efetuadas na zona primria atravs do mecanismo de replicao de zonas. Somente o servidor onde est a zona DNS primria que pode receber as atualizaes dinmicas. Porm, pode acontecer, de um cliente estar utilizando um servidor DNS onde est uma zona secundria para o domnio do cliente. Neste caso a solicitao de atualizao enviada para o servidor onde est a zona secundria. Este repassa a mensagem de atualizao para o servidor DNS onde est a zona primria. As atualiaes so feitas na zona primria. Aps ter sido atualizada a zona primria, o servidor DNS primrio envia mensagens para os servidores onde existem zonas secundrias, notificando que novas atualiaes esto disponveis. As alteraes so copiadas da zona primria para todas as zonas secundrias.

Figura: Resoluo de nomes DNS DNS (protocolo da camada de APLICACAO) - o NICO protocolo que tem carter hbrido. Utiliza a camada de transporte UDP para recebimento de pedidos de consultas de resoluo de hosts/ip (vice-versa) AT um tamanho de 512 bytes, se o tamanho da mensagem for maior que 512 bytes o protocolo TCP utilizado mesmo para consultas ao servidor. E, por fim, utiliza TCP para troca de informaes de zonas com os servidores DNS vizinhos. O DNS utiliza a portas 53 UDP nas consultas e a 53 TCP nas tranferncias de zona em servidores primrios e secundrios. (GABARITO: ERRADO ?!?) QUESTO POLMICA. A maioria dos analistas de redes considera esse item como correto. O gabarito equivocado pois faltou a palavra EXCLUSIVAMENTE referindo-se ao uso do UDP para invalidar a questo. Resumindo esse ponto:

1. para consultas (queries): mensagem menor que 512 bytes: RECOMENDA-SE UDP (no impede que se use tambm aqui TCP) 2. troca de zonas: SEMPRE TCP A implementao de DNS mais usada no Unix o BIND, tendo como alternativa o djbdns. Este ltimo, porm, apresenta mais falhas de segurana que o BIND. Errado, djbdns mais seguro! Armazenamento de zona padro usando um arquivo baseado em texto: As zonas armazenadas dessa maneira esto localizadas em arquivos de texto, com a extenso .Dns, os quais so armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que voc escolhe para a zona durante a sua criao, como Exemplo.abc.com.dns o arquivo que armazena informaes para a zona abc.com. Armazenamento de zona integrada ao diretrio usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira esto localizadas na rvore do Active Directory . Cada zona integrada ao diretrio armazenada em um objeto do tipo dnsZone identificado pelo nome que voc escolhe para a zona durante a sua criao. Apenas as zonas primrias podem ser armazenadas no Active Directory. Um servidor DNS no pode armazenar zonas secundrias no diretrio. Ele dever armazen-las em arquivos de texto padro. Para traduzir um nome de mquina em um endereo IP, independentemente do modo como a consulta seja feita aos servidores Domain Name System (DNS), uma aplicao que seja cliente desse servio de traduo tem que percorrer a hierarquia de nomes enviando consultas para vrios servidores ao longo da hierarquia. O item foi dado como errado pq existem duas formas de consultas (dos clientes DNS para os servidores): iterativa e recursiva. O item descreve a consulta iterativa. Na consulta recursiva, o cliente no precisa percorrer a hierarquia de nomes enviando consultas para vrios servidores. Esse trabalho eh feito via delegao a apenas 1 servidor, que se encarregar de resolver o hostname. O processo de busca de dados no DNS chamado de resoluo de nomes ou simplesmente resoluo. Existem dois modos de resoluo de nomes no DNS: interativo e recursivo. No modo interativo o servidor DNS no assume a responsabilidade de resolver a requisio recebida. Ele envia uma resposta contendo a resoluo do nome questionado caso ele tenha a informao solicitada armazenada em cache ou ele envia a indicao de outros servidores DNS que esto aptos a enviar uma resposta mais exata. No modo recursivo o servidor DNS assume a responsabilidade de resolver a requisio recebida. Este servidor ter que encontrar uma resposta para a requisio solicitada e envi-la ao requisitante

O protocolo UDP, que integra a camada de transporte na arquitetura TCP/IP, orientado a datagrama, ou seja, cada operao de sada corresponde a pelo menos um datagrama. (correto) O Windows 2003 permite que servidores normais sejam convertidos em controladores de domnio, mas no o contrrio. (errado) No Windows 2003, a converso de servidores normais em controladores de domnio pode ser realizada com o active directory installation wizard. (correto)

O servio DNS (domain name system) tem como principal objetivo converter nomes em endereos IP. Em sua arquitetura de funcionamento no mnimo est prevista a utilizao de um servidor principal por domnio e de vrios servidores secundrios do domnio principal. Questo Polmica. Considerado correto no gabarito definitivo da CESPE, mas analisada como errada pela maioria dos especialistas, pois afirma que o funcionamento mnimo precisa de vrios servidores secundrio, quando o funcionamento mnimo pode ser obtido com um servidor principal por domnio e um nico servidor secundrio do domnio principal.

Polticas de Segurana A Poltica de Segurana um conjunto de diretrizes, normas, procedimentos e instrues, destinadas respectivamente aos nveis estratgico, ttico e operacional, com o objetivo de estabelecer, padronizar e normatizar a segurana tanto no escopo humano como no tecnolgico. Poltica de Segurana Objetivo: Prover administrao uma orientao e apoio para a segurana da informao. Convm que Alta Direo estabelea uma Poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda organizao. O que Forense Computacional? a cincia que estuda a aquisio, preservao, recuperao e anlise de dados armazenados em mdias computadorizadas e procura caracterizar crimes de informtica de acordo com as evidncias digitais encontradas no sistema invadido Disponibilidade: O acessos aos servios oferecidos pelo sistema deve ser sempre possvel para um usurio, entidade ou processo autorizado. O objetivo da anlise de risco identificar vulnerabilidades e ameaas associadas s informaes, identificar o impacto nos negcios em caso de sua ocorrncia e sugerir planos de contingncias.

 Planejamento (Plain): identificar os riscos, definir a politica de segurana, avaliar os riscos, identificar e validar as opes para tratamento dos risco Implementar(do): Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos, implementar programas de treinamento e conscientizao. Monitorar (check) e Revisar o SGSI (Check) Manter e Melhorar o SGSI (Act) Tendo #1 (espectativas e requisitos de segurana da informao), Plain #2 (estabelecimento do SGSI), Do #3 (implementao e operao do SGSI), Check #4 (monitoramento e analise critica do SGSI), Act #5 (manuteno e melhoria do SGSI) temos: O estado ou fase indicado por #1 o mais conveniente para a coleta de informaes visando ao estabelecimento de aspectos de segurana em acordos de nveis de servio (correto) O estado ou fase indicado por #2 o mais conveniente para a declarao formal, no nvel corporativo, dos critrios para avaliao dos riscos de segurana da informao. (correto) A fase numerada por #3 o momento mais conveniente para a realizao de procedimentos como classificao e rotulagem de documentos. (correto) As auditorias de primeira parte, ou auditorias internas, do sistema de gesto de segurana da informao (SGSI) devem ocorrer durante o momento numerado por #4. (correto) Utilizao de scheduler, de senhas e de sistemas de permisso de acesso e atribuio de privilgios so alguns dos principais elementos da segurana de host. (errado) A funao do Schedule acionar jobs em cluster e backups.

Windows e Linux O servio de diretrios active directory permite a realizao de atividades administrativas comuns, como adicionar um novo usurio ou gerenciar impressoras. Outra facilidade desse servio a Windows Scripting Host, que automatiza tarefas como criar grandes grupos e mltiplas contas. (CORRETO) O Windows 2000 server possui a facilidade RADIUS (Remote Authentication Dial-In User Server), que prov servios de autenticao e contabilizao em redes discadas. Alm disso, possui servio de atualizao dinmica de DNS, no necessitando a replicao da base de dados do DNS a cada modificao. (CORRETO) Abreviatura de Remote Authentication Dial-In User Service (Servio Remoto de Autenticao da Discagem do Usurio), o RADIUS foi desenvolvido inicialmente como um sistema padro "peso-leve" de identificao e autenticao para autenticar os usurios que discavam para bancos de modems para acesso remoto. Desde ento, o RADIUS tem evoludo para um mtodo de autenticao comumente suportado, usado com muitos sistemas operacionais e dispositivos de rede. O RADIUS considerado de fato o padro para a autenticao do usurio remoto. NetBEUI um protocolo "no-rotevel". no NetBEUI no existe configurao de endereos, pois os micros conversam diretamente usando os endereos MAC. Apesar de suas limitaes, o NetBEUI ainda usado em algumas redes Windows, por ser rpido, fcil de instalar e usar. Voc no pode us-lo para acessar a Internet, acessar outras mquinas da rede via SSH nem nenhum outro dos servios, mas ele permite que as mquinas Windows compartilhem arquivos entre si. O protocolo DAP era implementado sobre o padro OSI de sete camadas, o que o deixava um tanto quanto incompatvel e pesado. J o LDAP* implementado sobre o sistema TCP/IP, que atualmente mundialmente difundido, o que permite uma boa portabilidade entre os sistemas que desejam utilizar LDAP, alm de possuir um menor overhead que o DAP nos pacotes enviados. Os servidores LDAP podem manter a informao replicada, permitindo levar a informao para instalaes remotas, aumentando a segurana. O LDAP tem 5 vantagens principais: um standard aberto (independente da implementao) Est disponvel em virtualmente todos os sistemas operativos (independente da plataforma) relativamente fcil produzir aplicaes que lidam com LDAP (implementao fcil), permitindo aos programadores abstrarem-se das questes de baixo nvel dos directrios Rapidez no acesso informao Replicao da Informao As mensagens LDAP so transportadas pelo protocolo TCP (com conexo), o que implica que existam tambm operaes para estabelecer ou desligar uma sesso entre cliente e servidor LDAP O sistema de arquivo NFS (network file system) realiza chamadas RPC (remote procedure call) para comunicao entre servidor e clientes. Com relao ao uso da Conexo de rea de Trabalho Remota para se conectar a um Servidor Windows 2003 Server correto afirmar que (A) possvel conectar vrios servidores por instncia. (B) no possvel exibir as conexes em tela cheia. (C) conecta-se apenas um servidor por instncia. (D) s possvel exibir as conexes em tela cheia.

Que tipo de volume de disco usado apenas em parties NTFS para aumentar o espao de armazenamento quando necessrio espao adicional, mas no h espao no alocado suficiente disponvel? (A) Volume Simples (B) Volume Estendido (C) Volume Expandido (D) Volume Distribudo No Windows 2003, o gerenciamento do active directory feito utilizando-se o MMC (Microsoft management console) (correto) Sobre unix dns: Os arquivos de configurao de zona e mapas localizam-se tipicamente em um diretrio de nome namedb. (correto) O arquivo de configurao que contm os parmetros de inicializao tem o nome named.boot. (correto) O comando route usado para gerenciar as rotas estticasem um host Unix. (correto) Um aspecto importante da configurao de um cliente Samba em ambiente Windows o uso de nomes de computador e workgroup apropriados. (correto) Um servidor Unix no pode executar, simultaneamente, mais de uma instncia do servio Samba. (errado) Toda a configurao do Samba, incluindo as configuraes gerais do servidor, impressoras e todos os compartilhamentos, feita em um nico arquivo de configurao, o "/etc/samba/smb.conf". O Iptables(kernel 2.6.x) stateful, ou seja, trabalha com os estados das conexes. O ipfwadm(kernel 2.0.x) e o ipchains(kernel 2.2.x) so stateless. Um tpico exemplo de carregamento de regras de iptables, aps a inicializao do sistema, seria: #echo 1 > /proc/sys/net/ipv4/ip_forward #iptables-restore < /etc/iptables.rules Isso pode ser inserido no fim do arquivo /etc/rc.d/rc.local. Uma diretiva do Linux para ajudar em caso de esquecimento da senha do root iniciar o sistema com o parmetro: linux single Em uma instalao padro Linux, o arquivos de log ficam geralmente em: /var O comando chown executado pelo root permite alterar o proprietrio ou grupo do arquivo ou diretrio, alterando o dono do arquivo ou grupo. Linux: o comando chage pode ser usado para solicitar aos usurios, a alterao peridica das senhas. dd if=boot.img of=/dev/fd0 --> Para clonar parties no Linux recomendvel usar o dd, que faz uma cpia bit-a-bit das parties

Ativos de Redes e meios fsicos de transmisso O HUB gerenciavel aquele que possui um firmware (software embutido) capaz de controlar algumas atividades do HUB, como por exemplo, excesso de colises, portas ativas, temperatura, etc. Estas coletas de dados podem ser transferidas para um sistema de gerenciamento que trabalha com SNMP-Simple Network Management Protocol, ou CMIP-Common Management Information Protocol. Existe uma situao em que a ponte encaminha os pacotes entre todos os segmentos, indiferente de qual segmento as mquinas envolvidas no processo de transmisso esto. quando em sua tabela no consta nenhuma informao de qual segmento esto as mquinas envolvidas. Isso acontece por exemplo quando a ponte inicializada e portanto a sua tabela se encontra vazia ou quando uma mquina nova adicionada ao segmento. Um Gateway, ou porta de ligao, uma mquina intermediria geralmente destinado a interligar redes, separar domnios de coliso, ou mesmo traduzir protocolos. Exemplos de gateway podem ser os routers (ou roteadores) e firewalls (corta-fogos), j que ambos servem de intermedirios entre o utilizador e a rede. Um proxy tambm pode ser interpretado como um gateway (embora a outro nvel, aquele da camada em que opere), j que serve de intermedirio tambm.

Para uma melhor qualidade nos servios oferecidos pela rede, a ISO dividiu a gerencia de redes em cinco reas funcionais, tambm chamadas Funes de Sistema de Gerncia (SMF System Management Functions). So elas: gerncia de desempenho, gerncia de falhas, gerncia de configurao, gerncia de contabilidade e gerncia de segurana. Na sua instalao e utilizao padro, o SNMP (Simple Network Management Protocol ), utilizado para gerenciamento de equipamentos de rede, permite falhas de segurana relacionadas ao vazamento de informaes sobre o sistema, tabelas de rotas, tabelas ARP e conexes UDP e TCP. (correto)

A mais recente verso de SNMP, SNMPv2, somou alguns mecanismos de segurana que ajudam a combater os 3 principais problemas de segurana: privacidade de dados (prevenir os intrusos de ganhar acesso a informao levadas pela rede), autenticao (impedir os intrusos de enviar falsos dados pela rede), e controle de acesso (que restringe acesso de variveis particulares a certos usurios, removendo assim a possibilidade de um usurio derrubar a rede acidentalmente). A denominao do equipamento utilizado tanto para ligar redes locais prximas, isolando o trafego entre ambas, como para conectar duas redes distantes por meio da comunicao por modem e um canal de comunicao : ___________ Resp: Bridge (ponte). por meio da comunicao por modem exclui a possibilidade do roteador. A diafonia (crostalk) ocorre quando um sinal transmitido em um fio interfere ou at mesmo corrompe o sinal que est sendo transmitido no fio adjacente. Fisicamente falando, isto ocorre porque quando um dado est sendo transmitido em um fio, ele gera um campo eletromagntico ao seu redor, e um fio posicionado dentro deste campo eletromagntico funciona como uma antena, capturando o sinal e, assim, modificando o sinal que estava sendo transmitido por este fio. Tipo de modulao mais utilizado em modens, modulao: PSK. No caso da transmisso por fibras pticas, a modulao se d pela variao de intensidade do feixe de luz, portanto, tambm os dados so transmitidos por: modulao em amplitude Throughput (ou taxa de transferncia) a quantidade de dados transferidos de um lugar a outro, ou a quantidade de dados processados em um determinado espao de tempo, pode-se usar o termo throughput para referir-se a quantidade de dados transferidos em discos rgidos ou em uma rede, por exemplo; tendo como unidades bsicas de medidas o Kbps, o Mbps e o Gbps. O throughput pode ser traduzido como a taxa de transferncia efetiva de um sistema. Algortmo Nagle: Nagle's document, Congestion Control in IP/TCP Internetworks (RFC896) describes what he called the 'small packet problem', where an application repeatedly emits data in small chunks, frequently only 1 byte in size. Since TCP packets have a 40 byte header (20 bytes for TCP, 20 bytes for IPv4), this results in a 41 byte packet for 1 byte of useful information, a huge overhead. Os pacotes sero enviados apenas quando o dado a transmitir for igual ao MMS ou quando o quando o transmissor receber o ACK do ultimo pacote enviado.. Sncrono vs assncrono: Referem ao comportamento do emissor das mensagens. Se o emissor aguarda uma resposta ou confirmao antes de transmitir novas informaes, um protocolo sncrono. O HTTP sncrono, o SNMP assncrono. Switch camada 3 vs roteador: A diferenca nao existe em 80% das funcionalidades. Um switch camada 3 um switch que pode fazer quase todas as mesmas funes de um router (roteamento estatico/dinamico, protocolos de alta disponibilidade, balanceamento de carga, roteamento baseado em politica, qos, etc), alem de claro desempenhar todas as funes de um switch. Contudo, a funcionalidade de NAT por exemplo nao suportada na maioria dos switches camada 3 e nos switches da linha 35xx e 37xx voce nao tem a mesma modularidade de um roteador (nao da pra instalar uma placa ATM neles por exemplo). Basicamente um switch camada 3 atende bem quando no precisa-se integr-lo a servios de WAN (framerelay, linhas dedicadas, etc..).

OSI E TCP/IP O modelo Open Systems Interconnection (OSI) foi proposto pela International Standards Organization (ISO), com objetivo de padronizar os protocolos usados para a conexo de sistemas que esto abertos para a comunicao com outros sistemas. (correto) O tratamento de erros no IP consiste no descarte de datagramas e, se for o caso, no envio de uma mensagem ICMP. (C) Apesar de o IP manter informaes de estado sobre a transmisso de sucessivos datagramas, cada datagrama enviado independentemente e pode, inclusive, ser entregue fora da ordem original de envio. O IP no mantm informaes de estado

No modelo OSI, cada camada corresponde a uma abstrao e a funes bem definidas no que diz respeito interoperabilidade entre hosts e(ou) servios. (correto) A camada de aplicao na arquitetura TCP/IP responsvel por funes idnticas s das trs camadas mais altas da arquitetura OSI. (correta) A camada mais baixa da arquitetura TCP/IP rene as funes das camadas fsica e de enlace da arquitetura OSI, definindo explicitamente os protocolos a serem utilizados. (errada) Quando vrios usurios esto utilizando o servio TCP simultaneamente, o TCP identifica cada um deles por uma porta diferente. Porm, os identificadores de portas de entidades TCP diferentes podem no ser nicos na inter-rede. (correto) O estabelecimento de conexo SMTP comea com o cliente SMTP estabelecendo uma conexo UDP com o servidor SMTP. Depois, espera que o servidor envie uma mensagem 220 Service ready ou 421 Service not available. Errado Para o estabelecimento de uma sesso SMTP, o emissor estabelece uma conexo TCP com o destino e aguarda uma mensagem 220 service ready. Para se iniciar atransmisso, o emissor deve enviar um comando MAIL ao receptor, e esse deve responder com uma mensagem 250 OK. (correto)

Ethernet: A autoconfigurao uma facilidade que permite que a capacidade de transmisso mais alta seja selecionada automaticamente. necessrio que o cabeamento utilizado seja compatvel com a capacidade de transmisso mais alta (correto) 8 bytes iniciais do quadro ethernet = preambulo e so descartados pela placa de rede recpetora. Tamanho da janela de transmisso no TCP: para garantir o controle do fluxo o destinatrio pode aumtentar ou diminuir durante a transmisso /conexo. A tecnologia Ethernet baseia-se na transmisso de pacotes compostos por cabealhos e dados, sendo que os pacotes podem ter tamanhos variados, com suporte a deteco e correo de erros de transmisso. Apenas cabealho, dados e FCS e no do suporte a correo, apenas deteco.

O modelo TCP/IP, adotado na Internet, est expressamente normatizado em uma RFC (request for comments) que identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicao compatvel com a Internet. Errado, pois o Modelo TCP/IP no identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicao compatvel com a Internet. Ele faz isso para uma comunicao de computadores em rede. Alm disso, o modelo TCP/IP no normatizado em apenas uma RFC. O modelo OSI hierrquico, de modo que uma camada superior consome servios das camadas inferiores. Faltou a palavra IMEDIATAMENTE inferior para a questo estar correta. "O Osi um modelo estratificado, que define 7 niveis ou camadas de funes a serem desempenhadas pelos sistemas de comunicacao, formando uma pilha hierarquica. Cada nivel oferece, ao nivel imediatamente superior, um conjunto de funes que implementado utilizando servios oferecidos pelos nveis inferiores. " Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente configurada para mapear diretamente uma rede ou sub-rede IP, o que d a impresso que a camada 3 est envolvida. [C] TFTP (Trivial File Transfer Protocol): baseado em UDP (usa a port 69) ao contrrio do FTP que se basea no TCP (usa a port 21), sem mecanismos de autenticao ou encriptao de dados. FTP uses two connections. TFTP uses one connection (stop and wait) O IGMP (Internet group message protocol) utilizado para formao de grupos multicast em uma rede IP. O campo ToS (type of service) no protocolo IP utilizado pela arquitetura de servios diferenciados. Atualmente, definido como DSCP (diff serv code point). O ICMP (Internet control message protocol) faz uso de vrios cdigos para definio e solicitao de informaes, entre elas a mscara de rede de uma estao. (C) 1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp 28 (frag 242:36@0+) 2 IP 10.0.2.1.3964 > 10.0.1.1.45959: (frag 242:4@0+)

A) As linhas 1 e 2 apresentam fragmentos de diferentes pacotes IP. B) Na linha 1, o fragmento inicial carrega 28 bytes na rea de dados do IP. Est errada, pois o fragmento inicial carrega 36 bytes na rea de dados do IP, onde 8 so do cabealho UDP e 28 de dados de aplicao (rea de dados do UDP). C) O fragmento inicial na linha 2 carrega 4 bytes na sua rea de dados e carrega um segmento TCP. Est errada, pois o fragmento no carrega um segmento TCP carrega apenas 4 bytes de dados de aplicao. D) Na remontagem, os dados do fragmento na linha 2 se superpem aos da linha 1, podendo causar negao de servio em alguns sistemas operacionais. Correto. Os dois hosts recebem e enviam dados pela mesmas portas, caso o nmero de dados seja muito volumoso poder causar negao de servio E) A linha 2 apresenta o fragmento final. A presena do '+' indica que haver mais dados nos fragmentos subsequentes. Portanto ele no o final. (frag id:size@offset+) frag id: identificao do fragmento. size: tamanho do fragmento em bytes, excluindo o cabealho IP. offset (em bytes): deslocamento de fragmentao.

0.xxx.xxx.xxx: Nenhum endereo IP pode comear com zero, pois ele usado para o endereo da rede. A nica situao em que um endereo comeado com zero usado, quando um servidor DHCP responde requisio da estao. Como ela ainda no possui um endereo definido, o pacote do servidor endereado ao endereo MAC da estao e ao endereo IP "0.0.0.0", o que faz com que o switch o envie para todos os micros da rede. 127.xxx.xxx.xxx: Nenhum endereo IP pode comear com o nmero 127, pois essa faixa de endereos reservada para testes e para a interface de loopback. Se por exemplo voc tiver um servidor de SMTP e configurar seu programa de e-mail para usar o servidor 127.0.0.1, ele acabar usando o servidor instalado na sua prpria mquina. O mesmo acontece ao tentar acessar o endereo 127.0.0.1 no navegador: voc vai cair em um servidor web habilitado na sua mquina. Alm de testes em geral, a interface de loopback usada para comunicao entre diversos programas, sobretudo no Linux e outros sistemas Unix. No CIDR(Classless Inter-Domain Routing) so utilizadas mscaras de tamanho varivel (o termo em ingls VLSM, ou (Variable-Length Subnet Mask), que permitem uma flexibilidade muito maior na criao das faixas de endereos. Alm do TCP e do UDP, temos o ICMP (Internet Control Message Protocol), um protocolo de controle, que opera no nvel 3 do modelo OSI (junto com o protocolo IP). Ao contrrio do TCP e do UDP, o ICMP no usado para a transmisso de dados, mas nem por isso deixa de desempenhar diversas funes importantes. Nos endereos IPV4, dividimos os endereos em 4 grupos de 8 bits, cada um representado por um nmero de 0 a 255, como em "206.45.32.234". Os endereos IPV6 utilizam uma notao diferente, onde temos oito quartetos de caracteres em hexa, separados por dois pontos. Exemplo de endereo IPV6, vlido na Internet, seria: 2001:bce4:5641:3412:341:45ae:fe32:65. "2001:bce4:0:0:0:0:0:1" pode ser abreviado para apenas "2001:bce4::1", onde omitimos todo o trecho central "0:0:0:0:0". O IPV6 tambm oferece um recurso de compatibilidade com endereos IPV4, permitindo que voc continue utilizando os mesmos endereos ao migrar para ele. Neste caso, voc usaria o endereo "::FFFF:" seguido pelo endereo IPV4 usado atualmente, como em: ::FFFF:192.168.0.1 Por estranho que possa parecer, este um endereo IPV6 completamente vlido, que voc pode usar para todos os fins.

Com relao a redes de computadores, no modelo OSI e seus protocolos, um dos objetivos do Nvel de Rede : a) garantir, obrigatoriamente, que um pacote chegue ao seu destino, garantindo que a entidade do nvel de rede da mquina de destino se comunique diretamente com a mesma entidade da mquina de origem. b) o controle de congestionamento em redes ponto a ponto. c) a multiplexao. d) realizar transformaes necessrias aos dados antes de seu envio ao nvel de sesso, entre elas, a criptografi a. e) o controle de fl uxo, garantindo que o transmissor no envie mensagem a uma taxa superior capacidade do receptor.
O controle de fluxo ocorre tanto na camada de enlace (ponto a ponto entre ns subsequentes) quanto na camada de transporte (ponto a ponto entre processos). O controle de congestionamento ocorre na camada de rede e controla uma sub-rede. "Vale a pena destacar explicitamente a diferena entre controle de congestionamento e controle de fluxo, pois o relacionamento entre ele sutil. O controle de congestionamento se baseia na garantia de que a subrede capaz de transportar o trfego oferecido. uma questo global, envolvendo o comportamento de todos os hosts, de todos os roteadores, do processamento de operaes store-and-forward dentro dos roteadores e de todos os outros fatores que tendem a reduzir a capacidade de transporte da sub-rede. Por outro lado, o controle de fluxo se baseia no trfego ponto a ponto entre um determinado transmissor e um determinado receptor. Sua tarefa garantir que um transmissor rpido no possa transmitir dados continuamente com maior rapidez que o receptor capaz de absorver. O controle de fluxo quase sempre envolve algum feedback dentro do receptor para o transmissor. Dessa forma, o transmissor fica sabendo como tudo est sendo feito na outra extremidade"

Redes WAN A resoluo de endereos em uma sub-rede lgica IP/ATM (LIS) pode ser realizada por meio do protocolo ATMARP o mesmo que o protocolo ARP com extenses para que funcione em um ambiente com servidor unicast ATM. (CORRETO) O asynchronous transfer mode (ATM) define ambiente de rede de mltipla velocidade que prov grande variedade de servios complexos para aplicaes como transmisso de dados, voz e vdeo separada ou simultaneamente sobre o mesmo caminho de rede. Esse protocolo tem sido usado tanto em redes pblicas quanto em redes privadas. (CORRETO) CRC de 8 bits para proteger o cabealho de 5 bytes em clulas ATM. No caso de redes locais baseadas nos padres mantidos pelo IEEE, o CRC 32 bits foi adotado na camada de enlace. O parmetro CIR (Commited information rate) em rede Frame-Relay indica a velocidade mnima contratada. O Frame-Relay um protocolo de redes estatstico, voltado principalmente para o trfego tipo rajada, exigindo, no entanto, infra-estrutura de linha privada (dedicada) para poder implementar um de seus melhores recursos, o CIR (Commited Information Rate) (ERRADO) O Frame Relay um protocolo de redes estatstico, voltado principalmente para o trfego tipo rajada, em que a sua infra-estrutura compartilhada pela operadora de telefonia e, conseqentemente, tem um custo mais acessvel do que uma linha privada.

ICMP - (protocolo da camada de REDE) - funciona sobre IP, tambm da camada de REDE, portanto no h de se falar em conexo, nem em confiabilidade. Tomando como critrios o caminho de comunicao usado e a forma como os dados so transmitidos, uma rede por comutao por circuito aquela em que um circuito fsico estabelecido entre os ns terminais antes de ocorrer a comunicao. (CORRETO) A arquitetura do protocolo X.25 constituda de trs nveis : fsico, quadro e pacotes (fisica, enlace, rede). O MPLS um esquema de encaminhamento de pacotes que atua entre as camadas 2 (camada de Enlace) e 3 (camada de Rede) Frame Relay atua na camada 2 (enlace). Entre as tecnologias ISDN, Wireless, ATM e Frame Relay, esta ltima a mais indicada quando os escritrios de uma empresa precisam estar conectados a uma rede WAN, baseada na comutao de pacotes e cuja matriz seja o ponto focal da topologia. (correto) Qual o servio definido como de suporte modo pacotes orientado conexo, prestado por redes de suporte que oferecem interfaces de acesso a terminais de usurios? Resp: Frame Relay Dentre os diversos sinais trocados entre DTE e DCE, temos um sinal enviado pelo terminal (DTE) ao modem para prepar-lo para a transmisso de dados. Qual o nome desse sinal? Resp: RST

servidor web: Devem possuir um servidor de aplicao ou se comunicar com um servidor de aplicao para permitir a execuo de scripts de servidor. (correto) A Internet, tambm denominada de World Wide Web (WWW), formada por um conjunto de redes interligadas, formando a maior rede de comunicao dos dias atuais.(E) The World Wide Web, or simply Web, is a way of accessing information over the medium of the Internet. It is an information-sharing model that is built on top of the Internet. The Web uses the HTTP protocol, only one of the languages spoken over the Internet, to transmit data. Web services In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials in the form of a user name and password when making a request. Before transmission, the username and password are encoded as a sequence of base-64 characters Uma soluo de backup que contemple a duplicao, em um stio hot, de todos os dados digitais e equipamentos e linhas de transmisso de dados necessrios ao provimento de servios de informao por meio da Internet e da Web garantir que a empresa alcance plena recuperao de sua capacidade de negcios, aps eventual ocorrncia de desastre que no afete esse stio hot. Existe diferena entre stio hot e site espelho, no site espelho voc faz uma cpia exata do website, enquanto que o stio hot (hot site) um equipamento dedicado a espelhar os sistemas crticos de um ambiente empresarial, pronto para assumir imediatamente as operaes sem perda de dados. Ou seja, o hot site pode utilizar um site espelho, mas a recproca no verdadeira. No final da frase o examinador est apenas querendo dizer que a mquina que possui o backup no foi alvo da invaso. Pois se tambm tivesse sido alvo da invaso, a a estratgia de hot site tinha ido por gua abaixo. Existe um erro logo na primeira frase, quando ele afirma que o hot site "contemple a duplicao de todos os dados digitais e equipamentos e linhas de transmisso de dados necessrios ao provimento de servios de informao por meio da Internet e da Web". Ele na verdade, ele contempla a duplicao apenas dos sistemas crticos, como no necessariamente todos os sistemas so crticos, para mim j invlida a questo. Alm disso, vejo outro erro - que acaba sendo conseqncia do anterior - em "alcance plena recuperao de sua capacidade de negcios". Como no ser todos os servios que voltaro, mas sim apenas os crticos, ento no podemos falar de recuperao plena da capacidade de negcio de uma empresa, uma vez que os outros servios que no so crticos no voltaro por essa estratgia de segurana.