Execícios de Revisão
Redes de Computadores
Edgard Jamhour
Proxy, NAT
Filtros de Pacotes
INTERNET
Exercício 1
•
Configure as regras do filtro de pacotes "E" para permitir que os computadores
da rede interna tenham acesso a serviços HTTP, HTTPS e DNS na Internet.
Todos os demais acessos devem ser proibidos.
200.0.0.0/24 rede interna servidor DNS (53) servidor HTTP (80) HTTPs (443) 0.0.0.0/0 rede externa E
Auxilio
>=1024
Firewall
DNS
0.0.0.0/0
HTTP
0.0.0.0/0
HTTPS
0.0.0.0/0
53
Rede Interna
200.0.0.0/24
N,R,E R,E>=1024
80
443
UDP
TCP
TCP
>=1024
ACK 0,1 ACK 1 ACK 0,1 ACK 1Exercício 1: Regras do Filtro
regra ação (P/B)
protocolo ip origem ip destino porta origem porta destino ACK/Estado
Ação: (P)ermitir ou (B)loquear
Protocolo: TCP, UDP, ICMP, etc.
ACK: 0, 1
INTERNET
Cenário para os Exercícios 2 e 3
•
No cenário abaixo, o cliente A efetua uma comunicação HTTP
(requisição e resposta) como o servidor Z. O roteador 1 está
configurado como NAPT.
1 192.168.0.2/24 2
1024
80
A C D E V Z Y X 200.0.0.1/24 192.168.0.1/24 210.0.0.1/24 210.0.0.2/24Exercício 2: Defina o Formato dos Quadros
MacDestino
Mac Origem
ip origem ip destino porta origem porta destino
Pacote enviado por A
Pacote enviado pelo roteador 1
Pacote recebido pelo roteador 2
Pacote recebido pelo servidor HTTP Pacote enviado pelo servidor HTTP Pacote enviado pelo roteador 2 Pacote recebido pelo roteador 1 Pacote recebido por A
Exercício 3: Indique as afirmativas verdadeiras
Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a porta do servidor HTTP.
( ) O NAPT efetua dois tipos de substituição nos pacotes recebidos. Primeiro, ele substitui o endereço IP de origem do cliente pelo seu próprio IP. Segundo, e substitui a porta de origem TCP por uma porta que ainda não esteja sendo usada em nenhuma outra requisição ativa.
( ) Com um único endereço IP público o NAPT permite atender mais de 60 mil requisições simultâneas de clientes com endereços IP privados.
( ) O servidor de destino é incapaz de identificar o endereço IP do cliente que fez a requisição, uma vez que a requisição chega com o endereço IP do NAPT.
( ) O uso do NAPT é transparente para o cliente, uma vez que este envia o pacote
diretamente para o servidor HTTP de destino, como faria caso tivesse um endereço IP público e não houvesse NAPT na rede.
INTERNET
Exercício 4
•
Configure as regras dos filtros de pacotes para rede abaixo. Observe que o
roteador da rede interna implementa SNAT. Permita que:
– a) hosts internos tenham acesso a serviços HTTP na Internet
– b) hosts externos tenham acesso aos serviço DNS, HTTP e HTTPs na DMZ – c) o servidor DNS na DMZ possa consultar servidores DNS na Internet. – d) todos os demais acessos são proibidos.
192.168.0.0/24 rede interna 200.0.0.2 DMZ DNS (53) HTTP (80) HTTPs (443) 200.0.0.3 200.0.0.1 192.168.0.1 nat E
Auxilio
≥1024 Firewall DNS 0.0.0/0 HTTP 0.0.0/0 Rede Interna 192.168.0.0/24 N,R,E R,E 53 80 UDP TCP ACK 0,1 NAT (200.0.0.1) DNS 200.0.0.2 HTTP 200.0.0.3 53 80 UDP 53 ≥1024 ≥1024 ≥1024 UDP N,R,E R,E N,R,E R,E ACK 1 ≥1024 ACK 0,1 ACK 1 TCPExercício 4: Regras do Filtro
regra ação (P/B)
INTERNET
Cenário para os exercícios 5 e 6
•
No cenário abaixo, o cliente A efetua uma comunicação HTTP
(requisição e resposta) como o servidor Z através do Proxy B.
1 192.168.0.1/24 192.168.0.2/24 2
1024
200.0.0.2/24 200.0.0.1/243128
80
A B C D E V X Y Z 210.0.0.2/24 210.0.0.1/24Exercício 5: Formato dos Quadros
MacDestino
Mac Origem
ip origem ip destino porta origem porta destino
Pacote enviado por A Pacote enviado pelo proxy
Pacote enviado pelo roteador 1
Pacote recebido pelo servidor HTTP Pacote enviado pelo servidor HTTP Pacote recebido pelo roteador 1 Pacote recebido pelo proxy Pacote recebido por A
Exercício 6: Indique as afirmativas verdadeiras
Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a porta do servidor Proxy.
( ) O servidor Proxy recebe as requisições dos clientes sempre na mesma porta (3128), e abre uma conexão com o servidor de destino utilizando portas de origem diferentes, isto é, uma porta diferente para cada conexão.
( ) Com um único endereço IP público o proxy permite atender mais de 60 mil requisições simultâneas de clientes com endereços IP privados.
( ) O servidor de destino é incapaz de identificar o endereço IP do cliente que fez a requisição, uma vez que a requisição chega com o endereço IP do proxy.
( ) O uso do proxy não é transparente para o cliente, uma vez que este precisa enviar o
pacote para o proxy e não para o destino final, como faria, se tivesse um endereço IP público e não houvesse proxy na rede.
INTERNET
Exercício 7
•
Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.Permita
que:
– a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ – b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet
– c) o servidor de email consulte servidores DNS e troque emails com outros servidores na Internet via SMTP
– d) os demais acessos são proibidos
192.168.0.0/24 rede interna DMZ SMTP (25) POP3 (110) 200.0.0.2 I E 200.0.0.4 PROXY (3128)
Exercício 7: Regras do Filtro "I"
regra ação (P/B)
Exercício 7: Regras do Filtro "E"
regra ação (P/B)
Exercício 8: Relacione
CARACTERÍSTICA ALGORITMO
( ) Quebra o modelo cliente-servidor.
( ) Não é capaz de proteger comunicações UDP contra spoofing de porta.
( ) Permite criar regras utilizando informações do protocolo de aplicação, como identificar o tipo MIME em uma sessão HTTP.
( ) Libera todas as portas dos clientes acima de 1023. ( ) Libera apenas a porta do cliente utilizada para estabelecer a conexão com o servidor.
( ) Permite proteger comunicações TCP contra spoofing de porta.
( ) A decisão sobre a passagem ou não de um pacote é tomada utilizando apenas informações contidas no próprio pacote.
1. Firewall com estado 2. Firewall sem estado 3. Firewall com estado de
camada 7 4. Proxy
Exercício 9: Relacione as colunas
( ) Permite que vários computadores com endereços IP privados acessem a Internet utilizando um único endereço IP público.
( ) Necessita que os computadores com IP privado sejam configurados com informações do tradutor de IP para acessar recursos na Internet.
( ) Funciona apenas para poucos tipos de protocolos de aplicação.
( ) Funciona para praticamente qualquer protocolo de aplicação baseado em TCP ou UDP.
( ) Permite que vários servidores HTTP que hospedam conteúdos diferentes sejam vistos como um único
servidor pelos clientes.
( ) O número de conexões simultâneas é igual ao número de endereços públicos disponíveis.
( ) Permite que dois computadores com IP privados se comuniquem através da Internet.
1. SOCKS v4/v5
2. SNAT com tradução de porta 3. SNAT sem tradução de porta 4. DNAT 5. Proxy de Aplicação 6. Proxy Reverso 7. Todas as anteriores 8. Alternativas 1 e 5. 9. Alternativas 1, 2 e 5. 10. Alternativas de 1 a 4 11. Nenhuma das anteriores.