Você está na página 1de 23

Execícios de Revisão

Redes de Computadores
Edgard Jamhour

Proxy, NAT
Filtros de Pacotes
Exercício 1
• Configure as regras do filtro de pacotes "E" para permitir que os computadores
da rede interna tenham acesso a serviços HTTP, HTTPS e DNS na Internet.
Todos os demais acessos devem ser proibidos.

servidor
DNS (53)

servidor
E
HTTP (80)
HTTPs (443)

INTERNET
200.0.0.0/24 0.0.0.0/0
rede interna rede externa
Auxilio

Rede Interna DNS HTTP HTTPS


200.0.0.0/24 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
N,R,E

>=1024 53 UDP
R,E

ACK 0,1

>=1024 80 TCP
ACK 1

ACK 0,1
>=1024 443 TCP
ACK 1

Firewall
Exercício 1: Regras do Filtro

regra ação protocolo ip origem ip destino porta origem porta destino ACK/Estado
(P/B)

Ação: (P)ermitir ou (B)loquear


Protocolo: TCP, UDP, ICMP, etc.
ACK: 0, 1
Estado: N(ew), R(elated), (E)stablished
Cenário para os Exercícios 2 e 3

• No cenário abaixo, o cliente A efetua uma comunicação HTTP


(requisição e resposta) como o servidor Z. O roteador 1 está
configurado como NAPT.

80
Z
C D E V X Y
1 2

210.0.0.1/24

210.0.0.2/24
192.168.0.1/24

A
200.0.0.1/24

1024
INTERNET
192.168.0.2/24
Exercício 2: Defina o Formato dos Quadros

Mac Mac ip origem ip destino porta origem porta destino


Destino Origem

Pacote enviado por A

Pacote enviado pelo roteador 1

Pacote recebido pelo roteador 2

Pacote recebido pelo servidor HTTP

Pacote enviado pelo servidor HTTP

Pacote enviado pelo roteador 2

Pacote recebido pelo roteador 1

Pacote recebido por A


Exercício 3: Indique as afirmativas verdadeiras

Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a
porta do servidor HTTP.

( ) O NAPT efetua dois tipos de substituição nos pacotes recebidos. Primeiro, ele substitui o
endereço IP de origem do cliente pelo seu próprio IP. Segundo, e substitui a porta de origem
TCP por uma porta que ainda não esteja sendo usada em nenhuma outra requisição ativa.

( ) Com um único endereço IP público o NAPT permite atender mais de 60 mil requisições
simultâneas de clientes com endereços IP privados.

( ) O servidor de destino é incapaz de identificar o endereço IP do cliente que fez a


requisição, uma vez que a requisição chega com o endereço IP do NAPT.

( ) O uso do NAPT é transparente para o cliente, uma vez que este envia o pacote
diretamente para o servidor HTTP de destino, como faria caso tivesse um endereço IP público
e não houvesse NAPT na rede.
Exercício 4

• Configure as regras dos filtros de pacotes para rede abaixo. Observe que o
roteador da rede interna implementa SNAT. Permita que:
– a) hosts internos tenham acesso a serviços HTTP na Internet
– b) hosts externos tenham acesso aos serviço DNS, HTTP e HTTPs na DMZ
– c) o servidor DNS na DMZ possa consultar servidores DNS na Internet.
– d) todos os demais acessos são proibidos.

192.168.0.1 200.0.0.1

DMZ
nat E

INTERNET
200.0.0.3
200.0.0.2
192.168.0.0/24
rede interna HTTP (80)
DNS (53)
HTTPs (443)
Auxilio

Rede Interna DNS HTTP DNS HTTP


192.168.0.0/24 200.0.0.2 200.0.0.3 0.0.0/0 0.0.0/0

N,R,E
≥1024 53 UDP
R,E

N,R,E
UDP 53 ≥1024
R,E

N,R,E
≥1024 53 UDP
R,E

ACK 0,1
≥1024 80 TCP
ACK 1

ACK 0,1
80 TCP
≥1024
ACK 1

NAT
(200.0.0.1) Firewall
Exercício 4: Regras do Filtro

regra ação protocolo ip origem ip destino porta origem porta destino ACK/Estado
(P/B)
Cenário para os exercícios 5 e 6

• No cenário abaixo, o cliente A efetua uma comunicação HTTP


(requisição e resposta) como o servidor Z através do Proxy B.

192.168.0.2/24

3128 80
200.0.0.2/24
Z
B C D E V X Y
1 2

210.0.0.1/24
200.0.0.1/24

210.0.0.2/24
A

1024
INTERNET
192.168.0.1/24
Auxílio: Funcionamento do Proxy
Exercício 5: Formato dos Quadros

Mac Mac ip origem ip destino porta origem porta destino


Destino Origem

Pacote enviado por A

Pacote enviado pelo proxy

Pacote enviado pelo roteador 1

Pacote recebido pelo servidor HTTP

Pacote enviado pelo servidor HTTP

Pacote recebido pelo roteador 1

Pacote recebido pelo proxy

Pacote recebido por A


Exercício 6: Indique as afirmativas verdadeiras

Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a
porta do servidor Proxy.

( ) O servidor Proxy recebe as requisições dos clientes sempre na mesma porta (3128), e
abre uma conexão com o servidor de destino utilizando portas de origem diferentes, isto é,
uma porta diferente para cada conexão.

( ) Com um único endereço IP público o proxy permite atender mais de 60 mil requisições
simultâneas de clientes com endereços IP privados.

( ) O servidor de destino é incapaz de identificar o endereço IP do cliente que fez a


requisição, uma vez que a requisição chega com o endereço IP do proxy.

( ) O uso do proxy não é transparente para o cliente, uma vez que este precisa enviar o
pacote para o proxy e não para o destino final, como faria, se tivesse um endereço IP público e
não houvesse proxy na rede.
Exercício 7

• Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.Permita
que:
– a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ
– b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet
– c) o servidor de email consulte servidores DNS e troque emails com outros
servidores na Internet via SMTP
– d) os demais acessos são proibidos

DMZ
I E

INTERNET
192.168.0.0/24 200.0.0.2
200.0.0.4
rede interna
PROXY (3128) SMTP (25)
POP3 (110)
Auxilio para Configuração do Firewall I
Exercício 7: Regras do Filtro "I"

regra ação protocol ip origem ip destino porta porta ACK/


(P/B) o origem destino Estado
LIBERA ACESSO AO P Rede Interna Proxy
PROXY 192.168.0.0/24 200.0.0.4
P Proxy Rede Interna
200.0.0.4 192.168.0.0/24
LIBERA ACESSO AO P Rede Interna Servidor email
POP E SMTP 192.168.0.0/24 200.0.0.2
P Servidor email Rede Interna
200.0.0.2 192.168.0.0/24
REGRA DEFAULT B * * * * * *

FORMA ALTERNATIVA
LIBERA ACESSO AOS P Rede Interna DMZ
SERVIÇOS NA DMZ 192.168.0.0/24 200.0.0.0/24
P DMZ Rede Internet
200.0.0.0/24 192.168.0.0/24
REGRA DEFAULT B * * * * * *
Auxílio para Configuração do Firewall E
Exercício 7: Regras do Filtro "E"

regra ação protocolo ip origem ip destino porta porta ACK/


(P/B) origem destino Estado

LIBERA ACESSO DA P DMZ Internet


DMZ AO DNS 200.0.0.0/24 0.0.0.0/0
P Internet DMZ
0.0.0.0/0 200.0.0.0/24
LIBERA ACESSO DO P Proxy Internet
PROXY A 200.0.0.4 0.0.0.0/0
SERVIDORES HTTP e
HTTPS P Internet Proxy
0.0.0.0/0 200.0.0.4
LIBERA ENVIO DE P Servidor Email Internet
EMAIL 200.0.0.2 0.0.0.0/0
P Internet Servidor Email
0.0.0.0/0 200.0.0.2
LIBERA P Internet Servidor Email
RECEBIMENTO DE 0.0.0.0/0 200.0.0.2
EMAIL
P Servidor Email Internet
200.0.0.2 0.0.0.0/0
REGRA DEFAULT B * * * * * *
Exercício 8: Indique as afirmativas verdadeiras

Considere um firewall configurado com as seguintes regras:


a) Permitir o envio de pacotes TCP da rede interna para qualquer computador na Internet,
desde que a porta de destino seja 80 ou 443.
b) Permitir o recebimento de pacotes TCP vindo da Internet para rede internet, desde que a
porta de origem seja 80 ou 443, e o flag ACK esteja setado (ACK=1)
( ) O firewall poderá deixar passar pacotes enviados por um servidor para uma porta TCP
diferente daquela usada pelo cliente para contatá-lo, mas o cliente irá descartar o pacote
recebido.

( ) O firewall poderá deixar passar pacotes enviados por um servidor em uma porta TCP
diferente daquela usada pelo cliente para contatá-lo e o cliente aceitará o pacote recebido.

( ) O firewall poderá deixar passar pacotes enviados por um servidor com o qual o cliente
jamais se comunicou anteriormente.

( ) O firewall deixará passar apenas pacotes enviados por um servidor para a mesma porta
que o cliente usou para contatá-lo previamente.

( ) O firewall permite que computadores na Internet abram conexões TCP em portas


utilizadas pelos clientes da rede Interna.
Exercício 9: Relacione

CARACTERÍSTICA ALGORITMO
( ) Quebra o modelo cliente-servidor. 1. Firewall com estado
( ) Não é capaz de proteger comunicações UDP contra 2. Firewall sem estado
spoofing de porta. 3. Firewall com estado de
( ) Permite criar regras utilizando informações do protocolo camada 7
de aplicação, como identificar o tipo MIME em uma sessão 4. Proxy
HTTP. 5. Nenhuma das anteriores
( ) Libera todas as portas dos clientes acima de 1023.
( ) Libera apenas a porta do cliente utilizada para
estabelecer a conexão com o servidor.
( ) Permite proteger comunicações TCP contra spoofing de
porta.
( ) A decisão sobre a passagem ou não de um pacote é
tomada utilizando apenas informações contidas no próprio
pacote.
Exercício 10: Relacione

CARACTERÍSTICA ALGORITMO
( ) Podem bloquear o acesso a servidores externos pelo 1. Firewall sem estado
endereço IP? 2. Firewall com estado
( ) Podem bloquear o acesso a servidores HTTP externos 3. Firewall com estado de
pelo nome (FQDN)? camada 7
4. Todos os anteriores
( ) Podem bloquear o acesso a servidores HTTPS externos
5. Todos menos a 1
pelo nome (FQDN)?
6. Nenhuma das anteriores
( ) Podem bloquear um ataque de SYN flood?
( ) Podem evitar um ataque “smurf” (broadcast usando o IP
da vítima como origem)?
( ) Podem evitar o download de arquivos executáveis
usando HTTP?
( ) Podem evitar um ataque do tipo “password dictionary” na
porta telnet de uma máquina interna?
( ) Podem bloquear o uso do protocolo RDP (remote
desktop protocol) para acessar servidores na nuvem?
( ) Pode bloquear um vírus em um anexo de um e-mail?
Exercício 11: Relacione as colunas

( ) Permite que vários computadores com endereços 1. SOCKS v4/v5


IP privados acessem a Internet utilizando um único 2. SNAT com tradução de porta
endereço IP público. 3. SNAT sem tradução de porta
( ) Necessita que os computadores com IP privado
4. DNAT
sejam configurados com informações do tradutor de IP 5. Proxy de Aplicação
para acessar recursos na Internet. 6. Proxy Reverso
7. Todas as anteriores
( ) Funciona apenas para poucos tipos de protocolos 8. Alternativas 1 e 5.
de aplicação. 9. Alternativas 1, 2 e 5.
10. Alternativas de 1 a 4
( ) Funciona para praticamente qualquer protocolo de
aplicação baseado em TCP ou UDP.
11. Nenhuma das anteriores.

( ) Permite que vários servidores HTTP que hospedam


conteúdos diferentes sejam vistos como um único
servidor pelos clientes.

( ) O número de conexões simultâneas é igual ao


número de endereços públicos disponíveis.

( ) Permite que dois computadores com IP privados se


comuniquem através da Internet.