Em determinada empresa, o servidor de firewall de borda em ...
Considerando que o servidor de firewall possua ferramentas distintas para cada camada do protocolo TCP/IP, para a liberação solicitada, é correto
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é D - utilizar o filtro de pacotes, que trabalha na camada de transporte do protocolo TCP/IP.
Vamos entender melhor por que esta alternativa é a correta e por que as outras estão incorretas.
Em um servidor de firewall, o filtro de pacotes é uma técnica para controlar o tráfego de rede com base em um conjunto de regras definidas pelo administrador. Ele atua na camada de transporte do modelo TCP/IP, onde os protocolos TCP e UDP funcionam. Isso é relevante porque a aplicação web mencionada utiliza o protocolo HTTP, que por sua vez opera sobre o protocolo TCP na porta 80.
Portanto, para liberar o tráfego HTTP na porta 80, deve-se configurar o filtro de pacotes para permitir pacotes TCP nesta porta. Esta configuração é feita na camada de transporte do modelo TCP/IP, justificando por que a alternativa D é a correta.
Vamos agora analisar por que as outras alternativas estão incorretas:
A - utilizar o filtro de conteúdo, que trabalha na camada de Internet do protocolo TCP/IP.
O filtro de conteúdo não se aplica aqui, pois ele normalmente é usado para verificar e bloquear conteúdos inadequados ou maliciosos em uma camada mais alta, geralmente na camada de aplicação, não na camada de Internet.
B - colocar a interface de rede em modo promíscuo, para filtrar na camada de Internet do protocolo TCP/IP.
Colocar a interface de rede em modo promíscuo permite que a interface capture todos os pacotes de rede, não apenas os destinados a ela. Isso é útil para monitoramento e diagnóstico, mas não para configurar filtros de acesso.
C - utilizar o filtro de aplicação, que trabalha na camada de Internet do protocolo TCP/IP.
O filtro de aplicação trabalha na camada de aplicação, não na camada de Internet. Ele é utilizado para verificar os dados de aplicação, como URLs, cabeçalhos HTTP, etc.
E - utilizar o filtro de enlace, que trabalha na camada de enlace do protocolo TCP/IP.
O filtro de enlace atua na camada de enlace, onde os pacotes são transmitidos entre dois dispositivos adjacentes. Isso é mais baixo no modelo de rede e não apropriado para controlar tráfego HTTP na porta 80.
Portanto, a configuração necessária para liberar a aplicação web solicitada pela empresa deve ser feita através do filtro de pacotes na camada de transporte, justificando assim a alternativa D como correta.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
a) Não quero filtrar conteúdo, mas sim uma porta e um protocolo.
b) Iria abrir a rede para qualquer pacote
c) O filtro de aplicação até pode liberar/bloquear o http:80, mas ele é da camada de aplicação e não da internet
d) Correta
e) Acho que não existe esse tipo de filtro.
Abs
Complementando o colega sobre o filtro que trabalha na camada de enlace:
-Firewall Bridge: Esse tipo de firewall atua na camada de enlace do modelo OSI.
Justamente por atuar na camada de enlace, temos que ele não possui um endereço IP. Logo, sua configuração e acesso se dá diretamente no dispositivo, através de uma interface de conexão física ou através do seu endereço MAC estando no mesmo domínio de Broadcast. Algo semelhante acontece quando se deseja acessar um switch L2 para configuração.
Desse modo, este tipo de firewall é considerado estratégico por não possuir visibilidade externa frente a sua falta de endereçamento IP, incorrendo em mais uma camada de segurança. Entretanto, perceba que este firewall possui certas limitações a respeito do tipo de informação que ele é capaz de filtrar.
Gente, essa questao não deveria ser anulada? Vejam:
Firewalls em estado de conexão mapeiam os pacotes para conexões e usam campos do cabeçalho TCP/IP para cuidar da conectividade. Isso permite o uso de regras que, por exemplo, possibilitam que um servidor Web exter-no envie pacotes para um host interno, mas somente se o host interno primeiro estabelecer uma conexão com o ser-vidor Web externo. Essa regra não é possível em redes que não mantêm o estado das conexões , que precisam passar ou descartar todos os pacotes vindos do servidor Web externo. Outro nível de sofisticação possível com o processa-mento em estado de conexão é que o firewall implemente gateways em nível de aplicação. Esse processamento envolve o firewall examinando dentro dos pacotes, mes-mo além do cabeçalho TCP, para ver o que a aplicação está fazendo. Com essa capacidade, é possível distinguir entre o tráfego HTTP usado para navegação Web e o tráfego HTTP usado para compartilhamento de arquivos peer-to-peer. Os administradores podem escrever regras para livrar a em-presa do compartilhamento de arquivos peer-to-peer, mas permitir a navegação Web, que é vital para os negócios.
Para todos esses métodos, o tráfego de saída pode ser ins-pecionado assim como o tráfego de entrada, por exemplo,
para impedir que documentos confidenciais sejam remeti-dos para fora da empresa por correio eletrônico.
Como a discussão anterior deve deixar claro, os fi-rewalls violam a disposição de camadas do padrão de pro-tocolos. Eles são dispositivos da camada de rede, mas, para realizar sua filtragem, examinam as camadas de transporte e aplicação. Isso os torna frágeis. [1]
Fonte:
[1] Redes, Tanenbaum, 5ed
TAMBÉM ACHEI ESTRANHO, CQN.
CONFORME FOROUZAN: Um firewall pode ser usado como um filtro de pacotes. E pode encaminhar ou bloquear pacotes com base nas informações contidas em cabeçalhos da camada de rede ou de transporte: endereços IP de origem e de destino, endereços de porta de origem e de destino e o tipo de protocolo (TCP ou UDP). Um firewall de filtragem de pacotes é um roteador que usa uma tabela de filtragem para decidir quais pacotes devem ser descartados (não encaminhados).
Complementando a resposta do David:
e) Enlace seria modelo OSI não TCP\IP
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo