Considere que a Manausprev adota um conjunto de boas prática...

Alternativa Correta: B

Vamos analisar o tema da questão, que aborda boas práticas em configuração, administração e operação segura de redes conectadas à Internet. Para resolver esta questão, é necessário ter um entendimento claro sobre conceitos de firewalls, proxy web, e segurança em redes wireless.

Justificativa da Alternativa Correta:

A alternativa B está correta ao descrever os dois critérios básicos de filtragem que podem ser empregados em firewalls:

• Default Deny: Todo o tráfego que não for explicitamente permitido é bloqueado.
• Default Allow: Todo o tráfego que não for explicitamente proibido é liberado.

Esses conceitos são fundamentais em segurança de rede, pois determinam a abordagem que o firewall usará para permitir ou bloquear o tráfego. A abordagem default deny é geralmente considerada mais segura, pois bloqueia tudo que não foi previamente autorizado.

Análise das Alternativas Incorretas:

A: A alternativa está incorreta ao afirmar que a configuração correta de um proxy web libera o acesso a todos os endereços IP e depois verifica se são de usuários da rede. Isso vai contra as boas práticas de segurança, pois abrir todos os endereços IP inicialmente pode resultar em acessos não autorizados.

C: A alternativa descreve erroneamente o funcionamento dos filtros de pacotes dinâmicos (stateful). Esses filtros, na verdade, consideram o contexto das conexões, mantendo o estado das conexões ativas, ao contrário do que foi afirmado.

D: A descrição fornecida é referente aos filtros de pacotes dinâmicos (stateful), mas a alternativa menciona erroneamente que são filtros de pacotes estáticos (stateless). Filtros stateless não rastreiam o estado das conexões, analisam cada pacote de forma isolada.

E: Esta alternativa está incorreta ao afirmar que, ao se isolar a rede wireless da rede interna, dispensa a implementação de medidas como autenticação e criptografia. Mesmo isolada, a rede wireless deve utilizar esses mecanismos de segurança para proteger os dados e controlar o acesso.

Espero que essa explicação tenha ajudado a esclarecer o tema e as razões para a escolha da alternativa correta. Se precisar de mais alguma orientação ou tiver dúvidas adicionais, estarei à disposição para ajudar.

Existem basicamente dois critérios de filtragem que podem ser empregados em firewalls. O primeiro é o de default deny, ou seja, todo o tráfego que não for explicitamente permitido é bloqueado. O segundo,default allow, é o contrário, ou seja, todo o tráfego que não for explicitamente proibido é liberado.

A configuração dos firewalls deve seguir a política de segurança da rede. Se a política permitir, é recomendável adotar uma postura de default deny. Esta abordagem é, geralmente, mais segura, pois requer uma intervenção explícita do administrador para liberar o tráfego desejado, o que minimiza o impacto de eventuais erros de configuração na segurança da rede. Além disso, ela tende a simplificar a configuração dos firewalls.

No perímetro da rede, pelo menos as seguintes categorias de tráfego devem ser filtradas:

Na filtragem estática, os dados são bloqueados ou liberados meramente com base nas regras, não importando a ligação que cada pacote tem com outro. A princípio, esta abordagem não é um problema, mas determinados serviços ou aplicativos podem depender de respostas ou requisições específicas para iniciar e manter a transmissão. É possível então que os filtros contenham regras que permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas/requisições necessárias, impedindo a execução da tarefa.

Esta situação é capaz de ocasionar um sério enfraquecimento da segurança, uma vez que um administrador poderia se ver obrigado a criar regras menos rígidas para evitar que os serviços sejam impedidos de trabalhar, aumentando os riscos de o firewall não filtrar pacotes que deveriam ser, de fato, bloqueados.

A filtragem dinâmica surgiu para superar as limitações dos filtros estáticos. Nesta categoria, os filtros consideram o contexto em que os pacotes estão inseridos para "criar" regras que se adaptam ao cenário, permitindo que determinados pacotes trafeguem, mas somente quando necessário e durante o período correspondente. Desta forma, as chances de respostas de serviços serem barradas, por exemplo, cai consideravelmente.

fonte: http://www.infowester.com/firewall.php

Simplesmente copiou e colou.. http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf

Erros em negrito:

A) Dispositivos que fazem proxy de web também podem ser abusados se não forem tomadas as devidas precauções. A configuração correta para um proxy web libera o acesso a todos os endereços IP e depois utiliza outro mecanismo para verificar se são de usuários da rede. (FALSO)

"A configuração correta para um  proxy Web e aquela que libera o acesso somente aos endereços IP de usuários autorizados (pertencentes  a sua rede). Consulte a documentação do seu software ou o suporte técnico  do seu fornecedor para obter maiores informações sobre como configurar o controle de acesso no seu  proxy."

C e D estão invertidas (stateful vs stateless)

E) Ao se definir a topologia de uma rede wireless deve-se isolar esta rede da rede interna da instituição. (VERDADEIRO)

Isso impede o vazamento de sinal e dispensa que o administrador precise implementar medidas como o uso de autenticação e criptografia, que são recursos caros. (FALSO)

O vazamento de sinal que a questão se refere é ao posicionamento de APs dentro da instituição e a força que o sinal deve ter. Por fim, as redes wifi devem ser separadas, mas isso não impede o vazamento de sinal. Depois, o uso de autenticação e criptografia não são recursos caros.

Fonte: http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.pdf