Professional Documents
Culture Documents
Redes de Computadores
Edgard Jamhour
Proxy, NAT
Filtros de Pacotes
Exercício 1
• Configure as regras do filtro de pacotes "E" para permitir que os computadores
da rede interna tenham acesso a serviços HTTP, HTTPS e DNS na Internet.
Todos os demais acessos devem ser proibidos.
servidor
DNS (53)
servidor
E
HTTP (80)
HTTPs (443)
INTERNET
200.0.0.0/24 0.0.0.0/0
rede interna rede externa
Auxilio
>=1024 53 UDP
R,E
ACK 0,1
>=1024 80 TCP
ACK 1
ACK 0,1
>=1024 443 TCP
ACK 1
Firewall
Exercício 1: Regras do Filtro
regra ação protocolo ip origem ip destino porta origem porta destino ACK/Estado
(P/B)
80
Z
C D E V X Y
1 2
210.0.0.1/24
210.0.0.2/24
192.168.0.1/24
A
200.0.0.1/24
1024
INTERNET
192.168.0.2/24
Exercício 2: Defina o Formato dos Quadros
Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a
porta do servidor HTTP.
( ) O NAPT efetua dois tipos de substituição nos pacotes recebidos. Primeiro, ele substitui o
endereço IP de origem do cliente pelo seu próprio IP. Segundo, e substitui a porta de origem
TCP por uma porta que ainda não esteja sendo usada em nenhuma outra requisição ativa.
( ) Com um único endereço IP público o NAPT permite atender mais de 60 mil requisições
simultâneas de clientes com endereços IP privados.
( ) O uso do NAPT é transparente para o cliente, uma vez que este envia o pacote
diretamente para o servidor HTTP de destino, como faria caso tivesse um endereço IP público
e não houvesse NAPT na rede.
Exercício 4
• Configure as regras dos filtros de pacotes para rede abaixo. Observe que o
roteador da rede interna implementa SNAT. Permita que:
– a) hosts internos tenham acesso a serviços HTTP na Internet
– b) hosts externos tenham acesso aos serviço DNS, HTTP e HTTPs na DMZ
– c) o servidor DNS na DMZ possa consultar servidores DNS na Internet.
– d) todos os demais acessos são proibidos.
192.168.0.1 200.0.0.1
DMZ
nat E
INTERNET
200.0.0.3
200.0.0.2
192.168.0.0/24
rede interna HTTP (80)
DNS (53)
HTTPs (443)
Auxilio
N,R,E
≥1024 53 UDP
R,E
N,R,E
UDP 53 ≥1024
R,E
N,R,E
≥1024 53 UDP
R,E
ACK 0,1
≥1024 80 TCP
ACK 1
ACK 0,1
80 TCP
≥1024
ACK 1
NAT
(200.0.0.1) Firewall
Exercício 4: Regras do Filtro
regra ação protocolo ip origem ip destino porta origem porta destino ACK/Estado
(P/B)
Cenário para os exercícios 5 e 6
192.168.0.2/24
3128 80
200.0.0.2/24
Z
B C D E V X Y
1 2
210.0.0.1/24
200.0.0.1/24
210.0.0.2/24
A
1024
INTERNET
192.168.0.1/24
Auxílio: Funcionamento do Proxy
Exercício 5: Formato dos Quadros
Afirmativas:
( ) O endereço IP e aporta do pacote enviado pelo cliente correspondem ao endereço IP e a
porta do servidor Proxy.
( ) O servidor Proxy recebe as requisições dos clientes sempre na mesma porta (3128), e
abre uma conexão com o servidor de destino utilizando portas de origem diferentes, isto é,
uma porta diferente para cada conexão.
( ) Com um único endereço IP público o proxy permite atender mais de 60 mil requisições
simultâneas de clientes com endereços IP privados.
( ) O uso do proxy não é transparente para o cliente, uma vez que este precisa enviar o
pacote para o proxy e não para o destino final, como faria, se tivesse um endereço IP público e
não houvesse proxy na rede.
Exercício 7
• Configure as regras dos filtros de pacotes "I" e "E" para rede abaixo.Permita
que:
– a) hosts internos tenham acesso ao Proxy e ao serviços SMTP e POP3 na DMZ
– b) o proxy tenha acesso a servidores DNS, HTTP e HTTPs na Internet
– c) o servidor de email consulte servidores DNS e troque emails com outros
servidores na Internet via SMTP
– d) os demais acessos são proibidos
DMZ
I E
INTERNET
192.168.0.0/24 200.0.0.2
200.0.0.4
rede interna
PROXY (3128) SMTP (25)
POP3 (110)
Auxilio para Configuração do Firewall I
Exercício 7: Regras do Filtro "I"
FORMA ALTERNATIVA
LIBERA ACESSO AOS P Rede Interna DMZ
SERVIÇOS NA DMZ 192.168.0.0/24 200.0.0.0/24
P DMZ Rede Internet
200.0.0.0/24 192.168.0.0/24
REGRA DEFAULT B * * * * * *
Auxílio para Configuração do Firewall E
Exercício 7: Regras do Filtro "E"
( ) O firewall poderá deixar passar pacotes enviados por um servidor em uma porta TCP
diferente daquela usada pelo cliente para contatá-lo e o cliente aceitará o pacote recebido.
( ) O firewall poderá deixar passar pacotes enviados por um servidor com o qual o cliente
jamais se comunicou anteriormente.
( ) O firewall deixará passar apenas pacotes enviados por um servidor para a mesma porta
que o cliente usou para contatá-lo previamente.
CARACTERÍSTICA ALGORITMO
( ) Quebra o modelo cliente-servidor. 1. Firewall com estado
( ) Não é capaz de proteger comunicações UDP contra 2. Firewall sem estado
spoofing de porta. 3. Firewall com estado de
( ) Permite criar regras utilizando informações do protocolo camada 7
de aplicação, como identificar o tipo MIME em uma sessão 4. Proxy
HTTP. 5. Nenhuma das anteriores
( ) Libera todas as portas dos clientes acima de 1023.
( ) Libera apenas a porta do cliente utilizada para
estabelecer a conexão com o servidor.
( ) Permite proteger comunicações TCP contra spoofing de
porta.
( ) A decisão sobre a passagem ou não de um pacote é
tomada utilizando apenas informações contidas no próprio
pacote.
Exercício 10: Relacione
CARACTERÍSTICA ALGORITMO
( ) Podem bloquear o acesso a servidores externos pelo 1. Firewall sem estado
endereço IP? 2. Firewall com estado
( ) Podem bloquear o acesso a servidores HTTP externos 3. Firewall com estado de
pelo nome (FQDN)? camada 7
4. Todos os anteriores
( ) Podem bloquear o acesso a servidores HTTPS externos
5. Todos menos a 1
pelo nome (FQDN)?
6. Nenhuma das anteriores
( ) Podem bloquear um ataque de SYN flood?
( ) Podem evitar um ataque “smurf” (broadcast usando o IP
da vítima como origem)?
( ) Podem evitar o download de arquivos executáveis
usando HTTP?
( ) Podem evitar um ataque do tipo “password dictionary” na
porta telnet de uma máquina interna?
( ) Podem bloquear o uso do protocolo RDP (remote
desktop protocol) para acessar servidores na nuvem?
( ) Pode bloquear um vírus em um anexo de um e-mail?
Exercício 11: Relacione as colunas