Julgue os itens seguintes, acerca de VPN e VPN-SSL.Quando se...

A alternativa correta é: E - errado

Vamos entender o porquê e abordar os conceitos necessários:

Quando se fala em VPN (Virtual Private Network), estamos nos referindo a uma tecnologia que permite criar uma conexão segura e criptografada sobre uma rede menos segura, como a Internet. Existem diferentes tipos de VPNs, e dois dos mais comuns são VPN-IPsec e VPN-SSL.

VPN-IPsec (Internet Protocol Security) é uma suíte de protocolos de segurança que autenticam e criptografam cada pacote IP em uma sessão de comunicação. Esta tecnologia opera na camada 3 do modelo OSI (Camada de Rede), o que significa que a criptografia e descriptografia das mensagens ocorrem antes do nível de aplicação.

Por outro lado, a VPN-SSL (Secure Sockets Layer) usa o protocolo SSL/TLS para fornecer uma conexão segura. Esta tecnologia normalmente opera na camada 4 (Transporte) ou na camada 7 (Aplicação) do modelo OSI. Porém, mesmo neste caso, a descriptografia não ocorre exclusivamente no nível de aplicação, pois o SSL/TLS pode atuar também no nível de transporte.

No contexto da questão, quando se afirma que "as mensagens entram cifradas na rede e somente são decifradas no nível de aplicação", isso está incorreto. Na prática, a descriptografia ocorre em um ponto intermediário antes de chegar ao nível de aplicação, seja na camada de transporte ou na camada de rede, dependendo do tipo de VPN utilizado.

Dessa forma, a alternativa E - errado está correta, pois a descriptografia não ocorre exclusivamente no nível de aplicação.

Os firewalls, que podem ser de filtros de pacote e filtros de pacote baseados em estados, atuam nas camadas 3(IP) e 4 (TCP). Ou seja, uma solução com firewall não pode ser utilizada com sucesso quando as mensagens são decifradas somente no nível de aplicação (nível 7), pois estes não atuam nessa camada. Por esse motivo, a questão está ERRADA.

Discordo do colega Sergio.

Existem firewalls de nível de aplicação, chamados justamente firewalls ou gateways de aplicação.

O erro está no fato de que, se o firewall tem suporte a VPN, ele é capaz de desencapsular os dados e aplicar os filtros no próprio firewall. O ato de decifrar somente na aplicação ocorreria se o firewall NÃO tivesse suporte a VPN.

Segundo Nakamura(2010,p.406),"As cinco possíveis localizações da VPN, com relação ao firewall, são: Em frente ao firewall, atrás do firewall, NO FIREWALL, paralelamente ao firewall, na interface dedicada do firewall."

A respeito da posição NO FIREWALL, olhem abaixo.

Segundo Nakamura(2010,p.409),"12.2.3 No firewall

[...] essa configuração não é mais eficiente em um ambiente cooperativo, por exigir que todo o processo de cifragem/decifragem das informações, além do gerenciamento de todas as sessões de IPsec, seja realizada nesse único ponto." O único ponto mencionado é a VPN no firewall.

**Portanto, acredito que o erro da questão seja afirmar que a decifragem só é realizada no nível de aplicação, quando na verdade pode ser realizada a cifragem e decifragem no próprio firewall/VPN.

Bibliografia:

SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010

Localização da VPN/Firewall

- Em Frente ao Firewall

- Representa um ponto único de falha.

- Impossibilidade de verificar o comprometimento do Gateway VPN, pois Firewall Aceita os pacotes vindos do Dispositivo.

*Caso a VPN seja comprometida, Firewall deixara passar todos os Pacotes.

- Atrás Do Firewall

- Também se Constitui um Ponto unido de falha

- Agravante, obriga que o firewall deixe passa todo trafego cifrado.

- Dessa forma, a política de segurança deixa de ser efetivamente cumprida em relação as regra de filtragem.

- Atacante realizariam ataques através de pacotes cifrados.

- No firewall

- Administração e gerenciamento simplificado

- Continua sendo ponto único de falha

- Falhas na implementação da VPN pode significar o controle do dispositivo ao atacante, possibilitando a alteração de regras de firewall e todas as conexões.

- Paralelo ao Firewall

- A VPN deixa de ser um ponto único de falha

- Mas ele fica passível de ataques oriundos da internet.

- Viabilizando um caminho alternativo ao atacante.

- Não haverá regras de filtragem atribuídas as conexões de VPN.

- Na Interface do Firewall

- Configuração mais indicada

- O firewall realiza a proteção do dispositivo VPN

- Todo o pacote é filtrado pelas regras de Firewall.

*Funcionamento - Pacotes IPSec são enviados diretamente ao dispositivo VPN.

- Eles são decifrados e enviados de volta ao Firewall para filtragem segundo suas Regras

Se o firewall deixasse passar, de nada serveria essa configuração.