Um órgão que lida com muitos documentos sigilosos sinalizou ...

A alternativa correta é a E - filtro de estado.

Vamos entender a questão e o tema em detalhes:

Um órgão preocupado com a segurança de documentos sigilosos decidiu aumentar a proteção de sua rede contra invasões cibernéticas. A solução adotada pela equipe de TI foi a instalação de um equipamento que verifica as conexões TCP em andamento antes de permitir a passagem de um pacote.

Essa descrição aponta diretamente para um conceito específico de segurança de redes: o filtro de estado (stateful inspection).

Explicação do Conceito:

O filtro de estado, também conhecido como stateful firewall, é uma tecnologia de firewall que monitora o estado das conexões de rede (como TCP streams) e toma decisões de filtragem de pacotes com base nesses estados. Em outras palavras, ele não apenas examina cabeçalhos e protocolos, mas também mantém o controle de todas as conexões que passam por ele.

Por que a alternativa E está correta?

O enunciado menciona que o equipamento verifica as conexões TCP em andamento. Isso significa que o dispositivo verifica o estado das conexões antes de permitir a passagem de pacotes. Tal capacidade é característica dos filtros de estado, que conseguem acompanhar e analisar o estado das conexões, diferentemente dos filtros de pacotes tradicionais, que apenas verificam pacotes de forma isolada.

Comentando as outras alternativas:

A - IDS (Intrusion Detection System): O IDS é um sistema de detecção de intrusões que monitora a rede em busca de atividades maliciosas ou violações de políticas, mas não atua diretamente na verificação do estado das conexões em andamento.

B - gateway VPN: Um gateway VPN estabelece túneis seguros entre redes distintas, mas não desempenha o papel descrito na questão de verificar conexões TCP em andamento.

C - gateway de aplicação: Um gateway de aplicação, ou proxy, opera em um nível mais alto na pilha de protocolos (nível de aplicação) e não é especializado em verificar estados de conexão TCP.

D - filtro de pacotes tradicionais: Esse tipo de filtro examina pacotes individualmente, sem levar em conta o estado das conexões, o que não se alinha com a descrição fornecida na questão.

Portanto, é o filtro de estado que corresponde exatamente à capacidade descrita no problema, justificando a alternativa E como a correta.

Capaz de verificar as conexões TCP em andamento antes de permitir a passagem de um determinado pacote. = Firewall STATEFULL

A = Sinaliza erro

B = Conteúdo de VPN

C = ANALISA PACOTES NA CAMADA DE APLICAÇÃO

D = Firewall STATELESS

GABARITO E

FIREWALL STATEFULL

O Firewall de Estado (Stateful) é um firewall mais robusto que a filtragem de pacotes e atua em todas as 7 camadas do modelo OSI. 

Lamento discordar, mas a alternativa D também está correta mediante ao texto da descrição.

Sendo objetivo o firewall de pacotes tradicional realiza sim o bloqueio conforme a descrição: "verificar as conexões TCP em andamento antes de permitir a passagem de um determinado pacote."

Existem sim diferença entre os de pacote e o de estado, mas nesse caso pode ser utilizado ambos!

Um breve texto para esclarecimento!

Os filtros de pacotes com estados surgiram para sanar as desvantagens existentes nos filtros de pacotes “tradicionais”. Seu funcionamento interno é bem mais complexo, por isso, normalmente, só são encontrados em computadores com sistema operacional apropriado ou hardware de propósito específico. Uma das vantagens desse tipo de firewall é: a possibilidade de se criar regras mais especializadas, que levam em conta, por exemplo, os flags de estado do protocolo TCP.

Contudo, sua principal vantagem está no fato de que, apesar de ter um funcionamento interno mais complexo, eles exigem bem menos memória e processamento que os filtros de pacotes “tradicionais”. Isso ocorre porque em um filtro tradicional todos os pacotes que pertencem, por exemplo, a uma mesma conexão TCP serão, obrigatoriamente, analisados pelas regras de filtragem. Em um filtro com estados, isso não é necessário. Neles, apenas os pacotes de abertura de conexão precisam ser realmente analisados pelo conjunto de regras de filtragem. Caso a conexão seja permitida, essa informação será inserida na base de estados como uma conexão autorizada. Todos os pacotes subsequentes, pertencentes a essa mesma conexão, serão “automaticamente” autorizados, sem que seja necessário percorrer as regras novamente.

Fonte: https://materialpublic.imd.ufrn.br/curso/disciplina/4/62/8/9