Memorex de Redes para Concursos - Versão 2.0 - 12/02/2009 por Paulo Marcelo (paulo1410) Encontrou algum erro?

Ajude com dicas sugestões, materiais e questões: paulo1410@hotmail.com

VOIP A recomendação H.323 tem o objetivo de especificar sistemas de comunicação multimídia em redes baseadas em pacotes e que não provêem uma Qualidade de Serviço (QoS) garantida. SIP - O protocolo se assemelha ao HTTP, é baseado em texto, e é bastante aberto e flexível. Portanto, substituiu amplamente o padrão H323.

13. A MIB II usa uma arquitetura de árvore, definida na ISO ASN.1, para organizar todas as suas informações, sendo que, cada parte da informação da árvore é um nó rotulado. Nessa árvore, o MIB II pode ser localizado, percorrendo, sucessivamente, os nós a) joint-iso-ccitt(2) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) b) ccitt(0) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(2) c) iso(1) _ org(3) _ dod(6) _ Internet(1) _ mgmt(2) _ mibII(1) d) ccitt(0) _ iso(1) _ joint-iso-ccitt(2) _org(3) _ mgmt(4) _ mibII(5) e) iso(1) _ org(3) _ dod(6) _ Internet(1) _ directory(1) _ mibII(1)

-------------------------------------------------------------------------------------------O Padrão IEEE 802.11 estabelece que cada LAN sem fio deve fornecer certa quantidade de serviços que são devidos em duas categorias: serviço de distribuição e serviço de estação, na quantidade respectiva de A) 4 e 5 B) 5 e 5 C) 5 e 4 D) 4 e 4 E) 6 e 4 Serviço de Distribuição: distribuição, integração, associação, reassociação e disassociação. Serviço de Estação: autenticação, desautenticação, privacidade e entrega de MSDU ("MAC Service Data Unit"). O padrão 802.11 prescreve um protocolo de segurança do nível de enlace de dados, chamado WEP (Wired Equivalent Privacy)

Protocolos de Roteamentos (RIP, OSPF, BGP) RIP (Router Information Protocol) Os algoritmos de roteamento com vetor de distância operam fazendo cada roteador manter uma tabela (isto é, um vetor) que fornece a melhor distância conhecida até cada destino e determina qual linha deve ser utilizada para se chegar lá. Essas tabelas são atualizadas através da troca de informações com os vizinhos. Mesmo que não exista nenhuma alteração nas rotas da rede, os roteadores baseados em RIP, continuarão a trocar mensagens de atualização em intervalos regulares, por padrão a cada 30 segundos. Cada mensagem do protocolo RIP comporta, no máximo, informações sobre 25 rotas diferentes. A contagem máxima de hopes usada pelos roteadores RIP é 15, ou seja, as redes que estejam a 16 hopes ou mais de distância, serão consideradas inacessíveis. A maior vantagem do RIP é que ele é extremamente simples para configurar e implementar em uma rede. Sua maior desvantagem é a incapacidade de ser ampliado para interconexões de redes de tamanho grande a muito grande. O protocolo RIP v2, oferece diversas melhorias em relação ao RIP v1, dentre as quais vamos destacar as seguintes:  Os anúncios do protocolo RIP v2 são baseados em tráfego multicast e não mais broadcast.  Informações sobre a máscara de sub-rede são enviadas nos anúncios do protocolo RIP v2 (CIDR).  Segurança, autenticação e proteção contra a utilização de roteadores não autorizados

 Split horizon (horizonte dividido): Com esta técnica o roteador registra a interface através da qual recebeu informações sobre uma rota e não difunde informações sobre esta rota, através desta mesma interface. No nosso exemplo, o Roteador B receberia informações sobre a rota para a rede 1, a partir do Roteador B, logo o Roteador A não iria enviar informações sobre Rotas para a rede 1, de volta para o Roteador B. Com isso já seria evitado o problema do count-to-infinity. Em outras palavras, esta característica pode ser resumida assim: Eu aprendi sobre uma rota para a rede X através de você, logo você não pode aprender sobre uma rota para a rede X, através de minhas informações.  Split horizon with poison reverse (Inversão danificada): Nesta técnica, quando um roteador aprende o caminho para uma determinada rede, ele anuncia o seu caminho, de volta para esta rede, com um hope de 16. No exemplo da Figura anterior, o Roteador B, recebe a informação do Roteador A, que a rede 1 está a 1 hope de distância. O Roteador B anuncia para o roteador A, que a rede 1 está a 16 hope de distância. Com isso, jamais o Roteador A vai tentar achar um caminha para a rede 1, através do Roteador B, o que faz sentido, já que o Roteador A está diretamente conectado à rede 1. Vetor de distância:  Iterativo: Continua até que os nós não troquem mais informações. Self-terminating: Não há sinal de parada  Assíncrono: Os nós não precisam trocar informações simultaneamente!

 Distribuído: Cada nó se comunica apenas com os seus vizinhos diretamente conectados OSPF – Open Shorted Path First: Os roteadores que usam OSPF trocam informações somente sobre as rotas que sofreram alterações e não toda a tabela de roteamento.  A reconfiguração para as alterações da topologia de rede é muito rápida. É importante salientar que somente informações sobre as mudanças são trocadas entre os roteadores usando OSPF e não toda a tabela de roteamento. O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de ligação ou estado de vínculo).  O tráfego de informações do protocolo OSPF é muito menor do que o do protocolo RIP. ou simplesmente CIDR) e o conceito de supernets. quando se estabelece a sessão entre os neighbors ou peers. Conhecido como algorítmo de Dijkstra. como é feito com o uso do RIP. evitando "loops" de roteamento e permitindo o uso de políticas de roteamento entre Ass (Sistemas Autônomos) baseado em regras arbitrárias por eles definidas. Pares de roteadores participantes de um esquema de roteamento BGP se comunicam entre si utilizando conexões TCP. efetivamente atacando suas deficiências mais sérias. O OSPF usa um algoritmo conhecido como Shortest Path First (SPF). Roteamento global: calcula o caminho de menor custo entre uma fonte e um destino usando conhecimento completo e global sobre a rede." "Hello packets are OSPF packet type 1. BGP-4(Border Gateway Protocol) . These packets are sent periodically on all interfaces (including virtual links) in order to establish and maintain neighbor relationships. O cálculo pode ser rodado em um local ou duplicado em vários locais.  O OSPF permite a utilização de diferentes mecanismos de autenticação entre os roteadores que utilizam OSPF. Link state is also advertised when a router's state changes. .  O OSPF pode ser dimensionado para interconexões de redes grandes ou muito grandes. Além disso. Errado. como nos algoritmos de estado de enlace. The neighbor reverts to Down state. como acontece com o uso do RIP IGP – Interior Gateway Protocol) -> OSPF usa IGP EGP – Exterior Gateway Protocol BGP – Border Gateway Protocol Vantages do OSPF em relação ao RIP:  As rotas calculadas pelo algoritmo SPF são sempre livres de loops.  OSPF RFC 2328: A router periodically advertises its state. which is also called link state. o tempo de convergência da rede.tornou-se o sucessor natural do EGP. ou seja. No link LS a topologia da rede e todos os custos de enlace são conhecidos. pois são centralizados (globais) e portanto fácil de prevenir loops." "InactivityTimer The inactivity Timer has fired. Outra característica do BGP-4 é atualização das tabelas de rotas feitas de forma incremental." Considerando especificamente o algoritmo Link State é um algoritmo distribuído porque cada nó recebe alguma informação de um ou mais vizinhos diretamente. This means that no Hello packets have been seen recently from the neighbor. após alterações na topologia é muito menor do que o tempo de convergência do protocolo RIP. Lembre que o RIP usava um algoritmo baseado em distância vetorial. ou seja. A atualização completa da tabela de rotas é feita somente uma vez. o BGP-4 foi a primeira versão do BGP a suportar endereços agregados (Classless Interdomain Routing.

que permitem balanceamento de carga no caso do OSPF. roteador backbone e roteador de borda/fronteira de AS (ASBR). O roteamento dentro de cada sistema autônomo é feito usando os chamados protocolos de roteamento interno (IGP – Interior Gateway Protocol). OBS: RIPv2 também utiliza multicast! RIP e OSPF operam sobre o protocolo UDP. O OSPF é um protocolo que. O ASBR executa o OSPF (internamente) e ainda se comunica com outros ASBR (externamente). É aí que a questão está errada. e uso de multicast pelo OSPF e de broadcast no RIP. enquanto BGP opera sobre o protocolo TCP. roteador de borda de área (ABR). O detalhe é que:  Fora do contexto OSPF: roteador externo = roteador de borda  Dentro do contexto OSPF: roteador de borda de área (ABR) = OSPF. Figura: Necessariamente deve existir uma área central. O OSPF é um protocolo IGP. O roteamento entre os diversos sistemas autônomos é feito por protocolos de . roteadores de borda de área) conectam a área de backbone a outras áreas. como por exemplo o BGP. para operar corretamente em grandes inter-redes. ou seja. não possuindo conexões com roteadores de outros sistemas autônomos. Errado pois OSPF não usa camada 4. chamada de Backbone (Área 0). observam-se as seguintes diferenças: métodos de cálculo empregados para roteamento de pacotes. para roteamento dentro dos sistemas autônomos. No ASBR há tanto o OSPF quanto um protocolo de roteamento externo (EGPs).Sistemas Autonomos (SA) . (errado) Dentro do contexto OSPF há 4 tipos de roteadores: roteador interno. que deverá atuar como elo de ligação com as demais áreas existentes. Os ABRs (Area Border Routers. pois trata-se de um protocolo de roteamento hierárquico. uso de IP pelo OSPF e de datagramas no RIP. Roteadores que executam o protocolo OSPF são necessariamente roteadores internos a um sistema autônomo. necessita do projeto da arquitetura de roteamento. roteador de borda de AS (ASBR) = OSPF + qualquer um EGP (BGP mais comum). Cada roteador OSPF mantém um banco de dados do estado de vínculo apenas para aquelas áreas que a ele estão conectadas.conjunto de roteadores e redes sob a mesma administração Entre os protocolos de roteamento OSPF e RIP.

cálculo do custo do envio de mensagens para cada vizinho. evita loops. que existe apenas um único caminho entre dois quaisquer AS.roteamento externos (EGP – Exterior Gateway Protocol) e pelos chamados protocolos de roteamento de borda (BGP – Border Gateway Protocol). Se existirem diversos roteadores com o mesmo destino. Questão Polêmica. OSPF é um protocolo embasado no algoritmo link-state que roda diretamente sobre o IP e que utiliza a designação 89 para protocolo nos datagramas IP. permite agregação de rotas. um roteador executa o algoritmo SPF (Shortest Path First) para atualizar sua tabela de roteamento a partir da última atualização realizada.” Para outros (e eu me incluo nessa lista) a questão não contém erro. adicionando o próprio cabeçalho de protocolo de segurança a cada pacote. A principal vantagem de . ele não atualiza a tabela. Na Internet o EGP está a ser substituido por BGP. apenas entre vizinhos. Usando como entrada a base de dados dos estados de enlace das áreas em que está conectado. ou o número de roteadores a serem atravessados para se alcançar o destino. (CORRETA) No protocolo OSPF existe um anúncio periódico do estado de enlace. (CORRETO) A operação de protocolos link-state obedece às seguintes fases: descoberta dos roteadores vizinhos e de suas redes. ou seja. etc. O protocolo BGP-4 introduz a junção de múltiplas rotas de AS (Autonomous System) em entradas únicas ou agregadas. formatação e envio das informações coletadas para os vizinhos.  Border Gateway Protocol (BGP-4): baseado em CIDR. Dois modos: AH e do ESPl. ICMP. UDP. em que a ausência de um anúncio recente indica aos vizinhos que o roteador não está ativo.  Detecção periódica de mensagens de KEEPALIVE ou deUPDATE. Considerado errado pelo CESPE. Esta é uma das razões para que o seu uso esteja remetido para grandes redes privadas (Intranets).  Sucesso do processamento da mensagem de OPEN. cálculo do menor caminho para os outros roteadores. Errado. o roteador com a métrica mais baixa é o melhor roteador. A implementação do IPSec na Camada de rede 3 fornece proteção para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP. Tal agregação pode reduzir a quantidade de informação de roteamento. A métrica indica o custo relativo da utilização da rota para alcançar o destino. O EGP é usado entre routers de diferentes AS e assume que existe apenas uma rede de backbone. Os dois EGPs mais utilizados são:  Exterior Gateway Protocol (EGP). usa TCP 179 A negociação entre vizinhos BGP é baseada:  Sucesso do estabelecimento da ligação TCP. (CORRETO) O BGP-4 modela conceitualmente os dados de um BGPS em dois tipos de RIBs (Routing Information Base) — um para os dados obtidos por meio dos vizinhos e outro para os dados locais obtidos por meio das políticas de roteamento local. como TCP. Para alguns especialistas o erro seria: “o algorítmo Dijkstra(SPF) é usado para calcular custos das rotas em função da tabela. Uma métrica típica são os saltos. Criptografias: Os protocolos IPSec fornecem protecção de dados e identidade para cada pacote IP.

a comunicação será estabelecida mesmo assim. baseada no uso de um par de chaves (uma pública e uma privada) e de Certificados Digitais. sem nenhuma modificação nos aplicativos ou serviços (para proteger protocolos diferentes de IP. De uma maneira simples. tais como o IP e IPX na Internet.  . devendo. Com esta política serão aceitas comunicações não seguras (não utilizando IPSec). sem a utilização de IPSec. porém para estabelecer uma conexão segura.informações seguras nessa camada é que todos os aplicativos e serviços que usam IP para transporte de dados podem ser protegidos com IPSec. Se o cliente não puder atender estas condições.  O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste mesmo protocolo para serem transportados numa rede IP pública ou privada.509.Ele não permite a verificação da identidade de quem envio a mensagem. encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol).Enlace . L2TP. usando IPSec e um dos métodos aceitos pelo servidor.  . O IPSec é um protocolo desenvolvido para IPv6. não será utilizado o IPSec. os pacotes devem ser encapsulados por IP). L2F Tunelamento em Nível 3 . Um aspecto um tanto surpreendente do IPsec é que. O IPSec sofreu adaptações possibilitando. da Intranet da empresa.Client (Respond only): Esta política é indicada para computadores da rede interna. no futuro. a comunicação via IPSec será estabelecida.Server (Request Security): Ao habilitar esta diretiva. embora esteja na camada IP. ele é orientado a conexões. 2 . se constituir como padrão para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. A administração do IPSec no windows 2003 server com base em diretivas de segurança. Ao iniciar a comunicação com outros computadores.Security Server (Request Security): Aceita um início de comunicação não seguro. se o outro lado não suportar o uso do IPSec. mas requer que os clientes estabeleçam uma comunicação segura. Esta é a . os clientes devem utilizar um método de autenticação aceito pelo servidor. também. Contudo se o outro computador exigir o uso do IPSec. Ou seja. a sua utilização com o IPv4. também serão aceitas comunicações não seguras.Rede .(IP sobre IP) : encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los através da rede. Se o cliente não estiver configurado para utilizar o IPSec. Como exemplos podemos citar: PPTP. Tunelamento em Nível 2 .(PPP sobre IP) O objetivo é transportar protocolos de nível 3. Chave privada (chave enviada junto com a mensagem) Método da chave privada é inviável por dois motivos: 1. podemos resumir uma PKI como sendo uma infra-estrutura de segurança. terá também acesso a chave de criptografia. A maioria dos certificados em uso hoje em dia são baseados no padrão X.Um hacker interceptar os dados.om este método não é possível verificar e garantir que o emissor seja quem ele diz ser (não – repúdio) A PKI – Public Key Infrastructure é baseada no uso de certificados digitais e de um par de chaves: uma chave pública e uma chave privada. Os protocolos utilizam quadros como unidade de troca. configuradas via GPOs  . o Servidor tenta estabelecer uma comunicação usando IPSec. quando o cliente tenta se comunicar com o servidor. a comunicação não será estabelecida.

chegamos na mensagem original sem precisar achar a chave privada. DES. The same security parameters may apply to many connections.tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do Windows Server 2003. É. RC2. Em 1. conhecidas até o momento. (ERRADO) 117. There are a set of security parameters associated with each session. Permitem utilizar diferentes algoritmos simétricos. Em 2. Por quê? Situação 2. There may be many connections associated with one session. Blowfish OBS: algorítmos simétricos não oferecem assinatura digital. mas isso não a invalida. Pertence a classe de algoritmos baseados no problema da fatorização de inteiros. ElGamal. SMTP e Telnet. atualmente. Diffie-Hellman Funçoes Hashing: MD5 (message digest). (CORRETO) Sobre o RSA: Situação 1: Provando-se ou não possibilidade de um algoritmo de tempo polinomial que fatore inteiros ainda assim o RSA não é seguro. além de ser uma das mais poderosas formas de criptografia de chave pública. HTTP. Secure Sockets Layer (SSL) e Transport Layer Security (TLS)-> Oferecem suporte de segurança criptográfica para os protocolos NTTP. A questão 117 está incompleta. Algorítmos simétricos: AES (mais usado). Normalmente. A segurança do algoritmo RSA reside no fato de que não são conhecidos algoritmos suficientemente rápidos de fatoração de números inteiros.IDEA. A questão 116 generaliza demais e por isso está errada. Triple DES. (Ignora a existência da situação 2). message digest (hashing) e métodos de autenticação e gerência de chaves (assimétricos). que o criaram em 1977 no MIT. Já as autoridades certificadoras autônomas não dependem do Active Directory e não utilizam modelos de certificados. (Apenas não cita a situação 2) O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest. O RSA utiliza números primos. and is transient. o algoritmo de chave pública (assimétrica) mais amplamente utilizado. 116. SHA-1 . Porque ainda sobra a possibilidade de conseguirmos achar a função inversa. O criptossistema RSA é seguro caso o problema da fatoração de números inteiros seja intratável. que atesta a validade da ligação entre a chave pública do usuário e as informações de identificação do usuário. Lembre-se que autoridades certificadoras corporativas são integradas com o Active Directory. Algorítmos assimétricos: RSA (mais usado). An SSL Session is an association between a client and a server (created by the Handshake Protocol). utilizam modelos de certificados para a criação de novos certificados. An SSL Connection is a peer-to-peer relationship. os certificados contêm as seguintes informações:      Chave pública do usuário Informações da identificação do usuário (como o nome e o endereço de correio eletrônico) Período de validade (o período de tempo em que o certificado é considerado válido) Informações sobre a identificação do emissor do certificado. não exista um algoritmo de fatoração de tempo polinomial. o que em parte já justifica o grande interesse neste tipo de problema. ou seja. achamos a chave privada. A assinatura digital do emissor. Adi Shamir e Len Adleman.

não se propondo a efetuar decifragens ou mesmo assinaturas. [FCC .TRT/23ª região. b) duas chaves privadas diferentes. tanto para cifrar quanto para decifrar. a cifra seria linear e quebrada de forma trivial. d) duas chaves. sendo uma para cifrar e outra para decifrar. Se a questão se referisse a assinatura digital seria o inverso (privada para cifrar e pública para decifrar). que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública. A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e não-repudiação). c) Os s-boxes fornecem o núcleo da segurança do DES . A criptografia simétrica provê sigilo e integridade. analista judiciário/informática. sendo uma pública para cifrar e outra privada para decifrar. analista judiciário/análise de sistemas.Assinaturas digitais: RSA. é correto afirmar que a) a geração de chaves para assinaturas RSA é diferente da geração de chaves para a codificação criptográfica RSA. a qual será distribuída para os demais envolvidos para que eles possam cifrar mensagens destinadas a um envolvido específico. sendo uma privada para cifrar e outra pública para decifrar. sendo uma para cifrar e outra para decifrar. de forma semelhante ao que ocorre com o DES (Data Encryption Standard). 2004] Nos sistemas criptográficos simétricos e assimétricos. Cada um dos envolvidos em um sistema de criptografia de chave assimétrica possuirá duas chaves. DSA. e) o número de iterações e o número de bytes da chave são fixos no RC5. c)duas chaves públicas diferentes. (CORRETO). b) o software PGP (Pretty Good Privacy) criptografa mensagens para e-mail ou arquivos extensos utilizando somente o protocolo RSA c) o segredo da segurança do algoritmo DES (Data Encryption Standard) é a presença de S-Boxes. não apenas RSA. b) o PGP também utiliza DSA . 3. (CORRETO) A criptografia assimétrica provê sigilo. e) duas chaves.sem eles. [FCC . d) o ambiente de segurança pessoal (PSE) serve para armazenar chaves privadas com segurança. uma pública.TRF/5ª região. e outra privada. autenticidade e não-repúdio dos dados cifrados. integridade. que será a única chave possível de ser utilizada para decifrar uma mensagem cifrada com a chave pública correspondente. (CORRETO) Um certificado digital pode ser definido como um documento eletrônico. assinado digitalmente por uma terceira parte confiável. . 2003] Os algoritmos de criptografia assimétricos utilizam: a) uma mesma chave privada.

ele usa criptografia de chave simétrica. Se houver a necessidade de tráfego seguro em ambos os sentidos. necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim. (D) II e III. oferendo autenticação ao usuário. IPSec vs Kerberos: In making your security decisions. e tem um identificador de segurança. Para garantir a segurança. São dois princípios fundamentais da criptografia: Princípio criptográfico 1: Redundância: as mensagens devem conter alguma redundância. há dois tipos de algoritmos: cifragem de bloco e cifragem de fluxo. o IPsec é orientado a conexões. Uma “conexão”. Uma condição necessária para a segurança de uma função de hash e seu respectivo uso em assinaturas . Princípio criptográfico 2: Atualidade: algum método é necessário para anular ataques de repetição. A segurança do Diffie-Helmman baseia-se na complexidade computacional do problema do logaritmo discreto. transporte. you might wonder whether to use IPSec or Kerberos for authentication and encryption. Embora esteja na camada de Internet. ou seja. as cifragens de fluxo utilizam mais código que as cifragens de bloco. III. IV. it controls whether a user can connect to the computer at . integridade de dados e confidencialidade que. The main difference between them is that IPSec authenticates computer-to-computer communications and Kerberos authenticates user-to-service communications. unidirecional. as cifragens de bloco são mais rápidas que as cifragens de fluxo. necessária para estabelecer conexões TCP através desses roteadores. II e IV. serão exigidos dois SAs. com o DES. I. Kerberos é um protocolo desenvolvido para fornecer poderosa autenticação em aplicações usuário/servidor. (correto) O protocolo de Diffie-Hellman permite efectuar a troca de chaves secretas (simétricas). IPSec doesn't control access to services running on a server. ou seja.Na criptografia de chave simétrica. Errado: Diffie Helmman não é um criptosistema. tal como aplicação. . no contexto.acordo/associação de segurança). . Está correto o que consta APENAS em: (A) I e II. (B) I e III. (E) I. do IPsec é chamada SA (security agreement/association . [C] Uma VPN pode ser estabelecida em várias camadas. Um SA é uma conexão simplex. onde ele funciona como a terceira parte neste processo. no contexto de IPsec. as cifragens de bloco podem reutilizar as chaves. ele não é usado para cifrar e decifrar mensagens. Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP. de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP. permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP. (C) I e IV. O criptossistema Diffie Hellman define uma forma segura de troca de chaves. II. O protocolo de encapsulamento de carga útil — encapsulation security payload (ESP) — fornece os serviços de autenticação. redes ou enlace.

tipicamente dos seguintes serviços: * Sessões de E-mail que estejam chegando (SMTP) e distribuí-las para o site. o PGP oferece segurança.dom. O DES utiliza uma chave de 56 bits que é aplicada a blocos de dados com 64 bits Para assinsar o hash: 1 . Utiliza uma chave de tamanho variável. Os cálculos matemáticos são exactamente os mesmos.dom. A decisão causou imensa polémica.place. Contacto de correio electrónico = postmaster@Place. O gerenciamento de chaves do PGP utiliza o RSA e a integridade de dados utiliza o MD5. O PGP codifica dados usando uma cifra de bloco chamada IDEA (International Data Encryption Algorithm). e não um grande volume de dados.O DSA (digital signature algorithm) é o standard de assinaturas digitais do Governo dos EUA que foi proposto pela agência americana NIST em 1991 e formalmente adoptado em 1993. 2 . Vincent Rijmen e Joan Daemen. serial number 3600 .place. que é várias ordens de magnitude mais rápido que o RSA. refresh [1h] 600 .A assinatura RSA é uma adaptação directa do algoritmo de chave assimétrica RSA e utiliza o algoritmo de sumário MD5. Vale a pena observar que o RSA só é usado em duas situações: para criptografar o hash MD bits e para criptografar a chave IDEA de 128 bits.Place. que utiliza chaves de 128 bits. também conhecido por Rjindael devido à aglutinação dos nomes dos autores. compactação e assinatura digital @ IN SOA nameserver. postmaster. que é aplicada a blocos de dados com 128 bits. ele só precisa criptografar 256 bits. Apesar de ser um algoritmo mais lento do que o RSA.dom. O Bastion Host seria o ponto de entrada. * Para consultas ao servidor de DNS interno. expire [1d] 3600 ) . min TTL [1h] Origem Host = NameServer. 128. O hash trata as colisões. 192 ou 256 bits. O AES. . Ele foi criado na Suíça em uma época na qual o DES era considerado decadente e o AES ainda não tinha surgido. mas neste caso a cifragem é efectuada com a chave privada e a decifragem com a chave pública.digitais é a inexistência de colisões. mais vulnerável a ataques. retry [10m] 86400 . Portanto. O trabalho de criptografia é feito pelo IDEA. ( 1 .dom. Apesar do RSA ser lento. A inexistência de colisões não é condição necessária para a segurança de uma função de hash. uma vez que muitas aplicações já tinham sido desenvolvidas com base no RSA. portanto. o DSA não tem royalties. Segurança Firewall e IDS: Bastion Host: um computador que deve ser altamente seguro por estar mais exposto `a Internet sendo. * Requisões de FTP para o servidor de FTP anônimo. se exisitrem.

mesmo em redes onde o tráfego é criptografado. circulou pela Internet um trote via email que imitava um aviso de atualizações oficiais de segurança da Microsoft e utilizava um endereço de email falso da empresa. Essa técnica é usada principalmente em ataques de uma via (como os ataques de negação de serviço. Os dispositivos de IDS – Intrusion Detection System – têm como finalidade básica detectar ataques maliciosos em tempo real permitindo que algumas ações sejam tomadas. Se os pacotes aparentarem vir de um computador da rede local. (B) O IDS pode identificar um ataque em andamento. no final de 2003. As limitações dos sistemas de detecção de intrusão usados atualmente incluem o fato de serem projetos para detectar apenas ataques conhecidos. decidir se uma porta de retorno pode ou não ser aberta. atuam como uma sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante. (E) Os IDSs. de modo geral. o firewall armazena características do estabelecimento da conexão (como número da porta. (D) O agente Host based deve ser instalado no servidor que se deseja proteger. podendo. Dentre os vários tipos de IDS eles se classificam em IDS baseados em redes e IDS baseados em host e dentro desses baseado em conhecimento(uso indevido ou padrões de assinaturas de ataques) e baseado em comportamento (anomalias). ou DoS). Os ataques de falsificação de IP são difíceis de detectar e exigem técnicas e meios de monitorar e analisar pacotes de dados. “Ataques passivos são difíceis de detectar. Para obter esse padrão "confiável". endereço de origem e destino. para os quais é possível se especificar uma assinatura de ataque. portanto. Existem dois tipos de falsificações. ou através de servidores padrão de protocolos self-proxy (como o SMTP). A falsificação de IPs gera pacotes que aparentam ter sido originados em um endereço IP diferente. EXCETO: (A) O agente Network based é capaz de detectar ataques baseados na rede e tomar ações como terminar a conexão ou enviar alerta ao administrador. etc). tanto rodando software proxy especializado para alguns protocolos (tais como HTTP ou FTP). pois não envolvem alterações nos dados. a melhor forma de lidar com esses ataques é a prevenção. . São características do IDS. o firewall compara o padrão de bits do pacote com um padrão conhecido. Já os emails falsificados são mensagens cujo endereço de origem não indica o verdadeiro endereço do remetente. poderão passar pela segurança do firewall (que foi projetado para proteger contra ameaças externas). sem necessidade de processar toda a mensagem.” Falsificações (spoofing).Muito do papel do Bastion Host consiste em atuar como um servidores proxy para vários serviços. (C) O agente Network based deve ser posicionado no segmento cujo ataque se deseja detectar. Inspeção de estado é uma das técnicas de implementação de firewall: Em vez de filtrar os pacotes apenas baseado na origem e destino dos endereços IP. Por exemplo. Portanto.

então o seu pacote não precisa passar pelo IDS antes de chegar ao seu destino. 1 . por exemplo. Cada buffer tem um certo tamanho. os firewalls nada podem fazer contra esses ataques e os IDS talvez possam evitar alguns ataques conhecidos. mas eles são eficientes a ponto de não impactar os serviços.[E] Os buffers overflow exploram deficiências de programas que utilizam linguagem fracamente tipificadas. Os IDS podem ser embasados em rede ou em host.Firewall de aplicação permite um acompanhamento mais preciso do tráfego entre a rede e a Internet enquanto o firewall de filtragem de pacotes é capaz de analisar informações sobre a conexão e notar alterações suspeitas. 3 [E] Firewalls e IDS provêm defesa adequada a ataques de buffer overflow.Na verdade. residem no host e. corrompendo dados ou travando o programa. Um buffer overflow ocorre quando o programa recebe mais dados do que está preparado para armazenar no buffer. No primeiro caso. este excesso de dados pode acabar sendo armazenado em áreas de memória próximas. Se o programa não foi adequadamente escrito. inspecionam o tráfego de rede para detectar atividade maliciosa. atuam com o objetivo de deter ataques. O firewall já processa o pacote antes de enviá-los. . que é a possibilidade mais perigosa. sem que seja necessária a intervenção do administrador. ou mesmo ser executada. no outro. (E) -> IDS requerem intervenção do adm. dependendo do tipo de dados que ele irá armazenar. 2 -Os Buffers são áreas de memória criadas pelos programas para armazenar dados que estão sendo processados. tipicamente. Porém esses elementos não impedem de acontecer um novo ataque a algum servidor web que eles estejam protegendo. (CORRETO) 1 [C] Firewalls e IDS são soluções eficientes que não impacta os serviços de uma rede 2. 3 .IDS é um elemento passivo que fica lendo os pacotes promíscuamente.

Entretanto. que normalmente elimina os anúncios.Os IPS detectam anomalias na operação da rede e as reportam aos administradores para análise e ação posterior. mas o termo pode ser usado de forma mais ampla para designar formas furtivas de se obter informações privilegiadas em sistemas de todo tipo. Alguns programas shareware são também adware. which will in turn generate large number of SYN/ACK packets that flood the victim. Esta falha de segurança criada é análoga a uma porta dos fundos por onde a pessoa mal-intencionada pode entrar (invadir) o sistema. e o computador por último redireciona os dados para o computador 1. Placas de rede podem entrar em um estado chamado de Modo Promíscuo onde é permitido examinar dados destinados a endereços MAC outros que não o seu. Se o envenenamento ocorre. mostra ou baixa publicidade para o computador depois de instalado ou enquanto a aplicação é executada. DRDoS: Distributed Reflection Denial of Service: Similar to a DDoS. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissões para as portas corretas). . Os ataques de MAC flooding: Tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples.Nessa situação. Backdoors . a large number of machines can be used to send SYN packets. utilizando o ARP Poisoning há muitas formas através das quais o sniffing pode ser realizado em uma rede com switch. verme ou cavalo de tróia. to multiple reflection servers. da mesma forma que um hub burro. Em geral. que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas. ARP-Poisoning ou ARP Spoofing é um tipo de ataque no qual uma falsa resposta ARP é enviada à uma requisição ARP original. a tabela é completamente preenchida com os endereços falsos. usando para isso um vírus. ARP Poisoning: O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle. os usuários têm a opção de pagar por uma versão registrada. de forma que. onde os frames são simplesmente retransmitidos para todas as portas. existem apenas duas opções: ou o switch simplesmente trava. derrubando a rede. Isso previne contra o sniffing dos dados de outras máquina. ao receber um grande número de pacotes com endereços MAC forjados. Esta tabela consiste de uma lista de porta e endereços MAC relativos a elas. trata-se de um Backdoor que possa ser explorado através da internet. (E) -> IPS podem agir sem esperar pela ação do adm. Enviando uma resposta falsa. Adware é qualquer programa que automaticamente executa. permitindo que o atacante capture todo o tráfego da rede (até que o switch seja reiniciado). A atualização do cache do computador alvo (computador 1) com uma entrada falsa é chamado de Poisoning (envenenamento). Compared to DDoS. não deixando espaço para os verdadeiros. Sniffing: Os switches determinam quais dados vão para qual porta através da comparação do endereço MAC nos dados com uma tabela. examinando o MAC origem dos primeiros dados enviados a cada porta. ou abandona o uso da tabela de endereços e passa a trabalhar em modo failopen. Backdoors podem ser inseridos propositalmente pelos criadores do sistema ou podem ser obra de terceiros. o computador 1 não tem idéia do redirecionamento das informações. A tabela é construída quando o switch é ligado. o roteador pode ser convencido a enviar dados destinados ao computador 1 para o computador 2. Em redes com switch isso não é permitido. a DRDoS is a more intelligent attack and can be used to cause more damage with less number of machines. e em neles. with the source IP of the targeted machine. pois o switch faz o direcionamento dos dados baseado na tabela descrita acima.Porta dos fundos é um trecho de código mal-intencionado que cria uma ou mais falhas de segurança para dar acesso ao sistema operacional à pessoas não autorizadas. quando nos referimos a um Backdoor.

Nessus é um programa de verificação de falhas/vulnerabilidades de segurança. assinaturas de ataques com o protocolo ICMP poderão ser mais difíceis de detectar. conectada à Internet por meio de um sistema proxy de rede usando NAT. As conexões devem ser iniciadas sempre no sentido da rede interna para a rede externa (internet). ao menos que o NAT implemente a “tradução” da porta dentro do campo de dados da primeira conexão. o estabelecimento de conexões TCP da Internet para a rede privativa. Só o IP público do roteador responsável pelo NAT é acessível. Fonte: Nakamura Uma rede com endereços IP privativos. O nessusd (servidor Nessus) faz um port scan ao computador alvo. Esses ip's privados não são roteáveis portanto não podem ser acessados diretamente. Ele é composto por um cliente e servidor. Vírus de computador. trojan horses (cavalos de tróia) e spywares são considerados malware. Correto. maior tenderá a ser a fragmentação de segmentos que trafegam nessa rede. o cliente obtém um número de porta na máquina local. Errado: Uma rede com ip's públicos permite que qualquer dos computadores na rede interna seja acessado a partir da rede externa sem necessidade de qualquer configuração. [C] De modo geral o port-mapped NAT não funcionará se os aplicativos trocam endereços IP ou portas como dados. no campo: Source port do cabeçalho TCP ou UDP. como exemplo FTP: Como parte do protocolo. especialmente no caso de o firewall em uso ser do tipo de filtragem de pacotes. a segunda conexão falhará. com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurança Como regra geral. a filtragem de pacotes por estados (statefull) é mais rápida e mais eficiente que a filtragem de pacotes stateless. elas armazenam o índice para sua tabela interna de mapeamento dentro do pacote. converte para ASCII e passa o resultado por uma conexão TCP para o servidor. além de converterem o endereço IP de origem. [C] . As caixas NAT são utilizadas por provedores de Internet para minimizar o problema de escassez de números IP. depois disso vários scripts (escritos em NASL. a não ser em casos especiais que devem ser tratados separadamente do mecanismo convencional de realização do mapeamento de endereços. protegendo os computadores que usam ip's privados. quanto menor for a MTU de um enlace de rede. é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita. Ao receberem um pacote que deve ser enviado para a Internet. em geral. sendo que o scan propriamente dito é feito pelo servidor. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada. Devido à fragmentação. O servidor então abre a conexão de dados para a porta local (do cliente). (correto) A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes.O termo malware é proveniente do inglês malicious software. O NAT funciona como um firewall. possui a mesma conectividade com a Internet de uma rede que esteja diretamente ligada à Internet e que utilize endereços IP verdadeiros. NAT não permite. Se houver um NAT entre eles. exceto quando é utilizado mapeamento estático. o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem. Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

o domínio xyz. a classe será sempre uma classe de Internet (IN).br é o seguinte. É como se o cliente perguntasse para o sevidor DNS: “Você conhece o número IP associado com o nome www. No nosso exemplo. um registro associado a um nome. Este repassa a mensagem de atualização para o servidor DNS onde está a zona primária. conheço. A zona é chamada primária porque ela ainda não existe e está sendo criada para conter as informações do domínio – no nosso exemplo. dado um endereço IP. durante a inicialização do serviço do DNS e é utilizado para localizar os servidores root hints da Internet. Uma zona reversa.paulomarcelo. ex: win xp).br.. faria o contrário. pode acontecer. O número IP associado com o nome www.com. Neste caso a solicitação de atualização é enviada para o servidor onde está a zona secundária. para localizar um DC (controlador de domínio) no domínio ou um servidor de autenticação baseado no protocolo Kerberos. O conteúdo deste arquivo é carregado na memória do servidor. esta zona conterá informações para retornar o endereço IP associado com o nome. As zonas secundárias somente podem ser criadas se já existir uma zona primária. o qual fica gravado na pasta systemroot\System32\Dns.com. fornecido um nome no domínio xyz. ou seja. As alterações são copiadas da zona primária para todas as zonas secundárias. Ela é chamada direta. servidores estes utilizados durante o processo de recursão.Servidores DNS: Entendendo como funcionam as pesquisas do DNS: A mensagem envida pelo resolver (cliente. As zonas secundárias contém uma cópia integral dos registros da zona primária e recebem as atualiações efetuadas na zona primária através do mecanismo de replicação de zonas.br.dns. porque conterá informações para resolução de nomes para endereço IP. para o servidor DNS. Após ter sido atualizada a zona primária. Para os servidores DNS baseados no Windows 2000 Server e Windows Server 2003. Neste arquivo está contida a lista de servidores root hints. conforme descrito a seguir: * O nome a ser resolvido. para retornar o respectivo endereço IP. na qual o resultado da consulta é o número IP associado com o nome que está sendo pesquisado. Normalmente é uma pesquisa do tipo “resource record”. * Uma classe associada com o nome DNS. Porém. No exemplo: www.paulomarcelo. a pesquisa seria por um registro do tipo A. . As atualiações são feitas na zona primária. que será descrita em uma das próximas partes deste tutorial. mesmo que o nome seja referente a um servidor da Intranet da empresa..br * O tipo de pesquisa a ser realizado. OBS: Por padrão o Servidor DNS utiliza um arquivo chamado Cache.br?” E o servidor responde: “Sim. o DNS pesquisa na zona reversa para encontrar o nome associado ao endereço IP. como por exemplo. contém três partes de informação. notificando que novas atualiações estão disponíveis. Este arquivo não tem a ver com o Cache de nomes do servidor DNS. de um cliente estar utilizando um servidor DNS onde está uma zona secundária para o domínio do cliente. Também podem ser consultas especializadas.paulomarcelo. ou seja. Somente o servidor onde está a zona DNS primária é que pode receber as atualizações dinâmicas. o servidor DNS primário envia mensagens para os servidores onde existem zonas secundárias. ou seja.

abc. Resumindo esse ponto: 1. tendo como alternativa o djbdns. E. djbdns mais seguro!  Armazenamento de zona padrão usando um arquivo baseado em texto: As zonas armazenadas dessa maneira estão localizadas em arquivos de texto.com. Os nomes de arquivo de zona correspondem ao nome que você escolhe para a zona durante a sua criação.Dns. porém. os quais são armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Ele deverá armazená-las em arquivos de texto padrão. Cada zona integrada ao diretório é armazenada em um objeto do tipo dnsZone identificado pelo nome que você escolhe para a zona durante a sua criação. O gabarito se é equivocado pois faltou a palavra EXCLUSIVAMENTE referindo-se ao uso do UDP para invalidar a questão. se o tamanho da mensagem for maior que 512 bytes o protocolo TCP é utilizado mesmo para consultas ao servidor. troca de zonas: SEMPRE TCP A implementação de DNS mais usada no Unix é o BIND.dns é o arquivo que armazena informações para a zona abc.com.é o ÚNICO protocolo que tem caráter híbrido.  Armazenamento de zona integrada ao diretório usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira estão localizadas na árvore do Active Directory . Errado. (GABARITO: ERRADO ?!?) QUESTÃO POLÊMICA. O DNS utiliza a portas 53 UDP nas consultas e a 53 TCP nas tranferências de zona em servidores primários e secundários. Utiliza a camada de transporte UDP para recebimento de pedidos de consultas de resolução de hosts/ip (vice-versa) ATÉ um tamanho de 512 bytes. por fim. A maioria dos analistas de redes considera esse item como correto. com a extensão . como Exemplo. Apenas as zonas primárias podem ser armazenadas no Active Directory. utiliza TCP para troca de informações de zonas com os servidores DNS vizinhos. .Figura: Resolução de nomes DNS DNS (protocolo da camada de APLICACAO) . Um servidor DNS não pode armazenar zonas secundárias no diretório. Este último. para consultas (queries): mensagem menor que 512 bytes: RECOMENDA-SE UDP (não impede que se use também aqui TCP) 2. apresenta mais falhas de segurança que o BIND.

Existem dois modos de resolução de nomes no DNS: interativo e recursivo. Em sua arquitetura de funcionamento no mínimo está prevista a utilização de um servidor principal por domínio e de vários servidores secundários do domínio principal.Para traduzir um nome de máquina em um endereço IP. Considerado correto no gabarito definitivo da CESPE. (errado) No Windows 2003. Ele envia uma resposta contendo a resolução do nome questionado caso ele tenha a informação solicitada armazenada em cache ou ele envia a indicação de outros servidores DNS que estão aptos a enviar uma resposta mais exata. o gerenciamento do active directory é feito utilizando-se o MMC (Microsoft management console) (correto) Sobre unix dns: Os arquivos de configuração de zona e mapas localizam-se tipicamente em um diretório de nome namedb. No modo recursivo o servidor DNS assume a responsabilidade de resolver a requisição recebida. O processo de busca de dados no DNS é chamado de resolução de nomes ou simplesmente resolução. a conversão de servidores normais em controladores de domínio pode ser realizada com o active directory installation wizard. que se encarregará de resolver o hostname. procedimentos e instruções. padronizar e normatizar a segurança tanto no escopo humano como no tecnológico. mas não o contrário. uma aplicação que seja cliente desse serviço de tradução tem que percorrer a hierarquia de nomes enviando consultas para vários servidores ao longo da hierarquia. O item descreve a consulta iterativa. que integra a camada de transporte na arquitetura TCP/IP. Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e comprometimento com a segurança da . é orientado a datagrama. pois afirma que o funcionamento mínimo precisa de vários servidores secundário. normas. com o objetivo de estabelecer. quando o funcionamento mínimo pode ser obtido com um servidor principal por domínio e um único servidor secundário do domínio principal. ou seja. o cliente não precisa percorrer a hierarquia de nomes enviando consultas para vários servidores. independentemente do modo como a consulta seja feita aos servidores Domain Name System (DNS). mas analisada como errada pela maioria dos especialistas. tático e operacional. Este servidor terá que encontrar uma resposta para a requisição solicitada e enviá-la ao requisitante O protocolo UDP. cada operação de saída corresponde a pelo menos um datagrama. No Windows 2003. Política de Segurança Objetivo: Prover à administração uma orientação e apoio para a segurança da informação. destinadas respectivamente aos níveis estratégico. Esse trabalho eh feito via delegação a apenas 1 servidor. No modo interativo o servidor DNS não assume a responsabilidade de resolver a requisição recebida. (correto) Políticas de Segurança A Política de Segurança é um conjunto de diretrizes. Na consulta recursiva. O item foi dado como errado pq existem duas formas de consultas (dos clientes DNS para os servidores): iterativa e recursiva. (correto) O serviço DNS (domain name system) tem como principal objetivo converter nomes em endereços IP. (correto) O Windows 2003 permite que servidores normais sejam convertidos em controladores de domínio. Questão Polêmica.

(correto) . no nível corporativo. Do #3 (implementação e operação do SGSI). implementar programas de treinamento e conscientização. dos critérios para avaliação dos riscos de segurança da informação. (correto) A fase numerada por #3 é o momento mais conveniente para a realização de procedimentos como classificação e rotulagem de documentos. identificar o impacto nos negócios em caso de sua ocorrência e sugerir planos de contingências. recuperação e análise de dados armazenados em mídias computadorizadas e procura caracterizar crimes de informática de acordo com as evidências digitais encontradas no sistema invadido Disponibilidade: O acessos aos serviços oferecidos pelo sistema deve ser sempre possível para um usuário.  Monitorar (check) e Revisar o SGSI (Check)  Manter e Melhorar o SGSI (Act) Tendo #1 (espectativas e requisitos de segurança da informação). O que é Forense Computacional? É a ciência que estuda a aquisição. Plain #2 (estabelecimento do SGSI). entidade ou processo autorizado. definir a politica de segurança. Check #4 (monitoramento e analise critica do SGSI).  Planejamento (Plain): identificar os riscos. identificar e validar as opções para tratamento dos risco  Implementar(do): Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos. Act #5 (manutenção e melhoria do SGSI) temos: O estado ou fase indicado por #1 é o mais conveniente para a coleta de informações visando ao estabelecimento de aspectos de segurança em acordos de níveis de serviço (correto) O estado ou fase indicado por #2 é o mais conveniente para a declaração formal. preservação.informação através da emissão e manutenção de uma política de segurança da informação para toda organização. O objetivo da análise de risco é identificar vulnerabilidades e ameaças associadas às informações. avaliar os riscos.

o RADIUS tem evoluído para um método de autenticação comumente suportado. que provê serviços de autenticação e contabilização em redes discadas. (CORRETO) O Windows 2000 server possui a facilidade RADIUS (Remote Authentication Dial-In User Server). Você não pode usá-lo para acessar a Internet. acessar outras máquinas da rede via SSH nem nenhum outro dos serviços. usado com muitos sistemas operacionais e dispositivos de rede. o que permite uma boa portabilidade entre os sistemas que desejam utilizar LDAP. o que implica que existam também operações para estabelecer ou desligar uma sessão entre cliente e servidor LDAP . não necessitando a replicação da base de dados do DNS a cada modificação. ou auditorias internas. o NetBEUI ainda é usado em algumas redes Windows. Além disso. O RADIUS é considerado de fato o padrão para a autenticação do usuário remoto. NetBEUI é um protocolo "não-roteável". possui serviço de atualização dinâmica de DNS. no NetBEUI não existe configuração de endereços. por ser rápido.As auditorias de primeira parte. Windows e Linux O serviço de diretórios active directory permite a realização de atividades administrativas comuns. o RADIUS foi desenvolvido inicialmente como um sistema padrão "peso-leve" de identificação e autenticação para autenticar os usuários que discavam para bancos de modems para acesso remoto. de senhas e de sistemas de permissão de acesso e atribuição de privilégios são alguns dos principais elementos da segurança de host. além de possuir um menor overhead que o DAP nos pacotes enviados. Apesar de suas limitações. permitindo levar a informação para instalações remotas. pois os micros conversam diretamente usando os endereços MAC. (correto) Utilização de scheduler. aumentando a segurança. O protocolo DAP era implementado sobre o padrão OSI de sete camadas. fácil de instalar e usar. que automatiza tarefas como criar grandes grupos e múltiplas contas. O LDAP tem 5 vantagens principais:  É um standard aberto (independente da implementação)  Está disponível em virtualmente todos os sistemas operativos (independente da plataforma)  É relativamente fácil produzir aplicações que lidam com LDAP (implementação fácil). permitindo aos programadores abstraírem-se das questões de baixo nível dos directórios  Rapidez no acesso à informação  Replicação da Informação As mensagens LDAP são transportadas pelo protocolo TCP (com conexão). Outra facilidade desse serviço é a Windows Scripting Host. Desde então. o que o deixava um tanto quanto incompatível e pesado. do sistema de gestão de segurança da informação (SGSI) devem ocorrer durante o momento numerado por #4. Os servidores LDAP podem manter a informação replicada. (errado) A funçao do Schedule é acionar jobs em cluster e backups. Já o LDAP* é implementado sobre o sistema TCP/IP. como adicionar um novo usuário ou gerenciar impressoras. que atualmente é mundialmente difundido. mas ele permite que as máquinas Windows compartilhem arquivos entre si. (CORRETO) Abreviatura de Remote Authentication Dial-In User Service (Serviço Remoto de Autenticação da Discagem do Usuário).

0.local. trabalha com os estados das conexões.d/rc. (correto) Um aspecto importante da configuração de um cliente Samba em ambiente Windows é o uso de nomes de computador e workgroup apropriados.2. O Iptables(kernel 2. incluindo as configurações gerais do servidor. é feita em um único arquivo de configuração.6. alterando o dono do arquivo ou grupo. dd if=boot. (errado) Toda a configuração do Samba. mais de uma instância do serviço Samba. simultaneamente. ou seja. mas não há espaço não alocado suficiente disponível? (A) Volume Simples (B) Volume Estendido (C) Volume Expandido (D) Volume Distribuído O arquivo de configuração que contém os parâmetros de inicialização tem o nome named. após a inicialização do sistema.x) são stateless.boot. (B) não é possível exibir as conexões em tela cheia. a alteração periódica das senhas.x) e o ipchains(kernel 2.img of=/dev/fd0 --> Para clonar partições no Linux é recomendável usar o dd. impressoras e todos os compartilhamentos. o arquivos de log ficam geralmente em: /var O comando chown executado pelo root permite alterar o proprietário ou grupo do arquivo ou diretório. (correto) O comando route é usado para gerenciar as rotas estáticasem um host Unix. Uma diretiva do Linux para ajudar em caso de esquecimento da senha do root é iniciar o sistema com o parâmetro: linux single Em uma instalação padrão Linux. Que tipo de volume de disco é usado apenas em partições NTFS para aumentar o espaço de armazenamento quando é necessário espaço adicional.O sistema de arquivo NFS (network file system) realiza chamadas RPC (remote procedure call) para comunicação entre servidor e clientes. seria: #echo 1 > /proc/sys/net/ipv4/ip_forward #iptables-restore < /etc/iptables. que faz uma cópia bit-a-bit das partições . Com relação ao uso da Conexão de Área de Trabalho Remota para se conectar a um Servidor Windows 2003 Server é correto afirmar que (A) é possível conectar vários servidores por instância. Um típico exemplo de carregamento de regras de iptables. Linux: o comando chage pode ser usado para solicitar aos usuários. (C) conecta-se apenas um servidor por instância. O ipfwadm(kernel 2. o "/etc/samba/smb.rules Isso pode ser inserido no fim do arquivo /etc/rc.conf". (correto) Um servidor Unix não pode executar. (D) só é possível exibir as conexões em tela cheia.x) é stateful.

Um proxy também pode ser interpretado como um gateway (embora a outro nível. excesso de colisões. aquele da camada em que opere). Isso acontece por exemplo quando a ponte é inicializada e portanto a sua tabela se encontra vazia ou quando uma máquina nova é adicionada ao segmento. é uma máquina intermediária geralmente destinado a interligar redes. ou mesmo traduzir protocolos. ou porta de ligação. Existe uma situação em que a ponte encaminha os pacotes entre todos os segmentos. Na sua instalação e utilização padrão. (correto) . São elas: gerência de desempenho. Para uma melhor qualidade nos serviços oferecidos pela rede. como por exemplo. gerência de contabilidade e gerência de segurança. a ISO dividiu a gerencia de redes em cinco áreas funcionais.Ativos de Redes e meios físicos de transmissão O HUB gerenciavel é aquele que possui um firmware (software embutido) capaz de controlar algumas atividades do HUB. É quando em sua tabela não consta nenhuma informação de qual segmento estão as máquinas envolvidas. tabelas de rotas. já que ambos servem de intermediários entre o utilizador e a rede. permite falhas de segurança relacionadas ao vazamento de informações sobre o sistema. indiferente de qual segmento as máquinas envolvidas no processo de transmissão estão. já que serve de intermediário também. gerência de falhas. Exemplos de gateway podem ser os routers (ou roteadores) e firewalls (corta-fogos). portas ativas. Estas coletas de dados podem ser transferidas para um sistema de gerenciamento que trabalha com SNMP-Simple Network Management Protocol. etc. também chamadas Funções de Sistema de Gerência (SMF – System Management Functions). ou CMIP-Common Management Information Protocol. Um Gateway. separar domínios de colisão. utilizado para gerenciamento de equipamentos de rede. o SNMP (Simple Network Management Protocol). tabelas ARP e conexões UDP e TCP. gerência de configuração. temperatura.

qos. Algorítmo Nagle: Nagle's document. SNMPv2. ele gera um campo eletromagnético ao seu redor. o Mbps e o Gbps. e um fio posicionado dentro deste campo eletromagnético funciona como uma antena. isolando o trafego entre ambas. frequently only 1 byte in size. tendo como unidades básicas de medidas o Kbps. where an application repeatedly emits data in small chunks. o SNMP é assíncrono. Congestion Control in IP/TCP Internetworks (RFC896) describes what he called the 'small packet problem'. Síncrono vs assíncrono: Referem ao comportamento do emissor das mensagens. modificando o sinal que estava sendo transmitido por este fio. Os pacotes serão enviados apenas quando o dado a transmitir for igual ao MMS ou quando o quando o transmissor receber o ACK do ultimo pacote enviado. é modulação: PSK.A mais recente versão de SNMP. No caso da transmissão por fibras ópticas. etc). Um switch camada 3 é um switch que pode fazer quase todas as mesmas funções de um router (roteamento estatico/dinamico. roteamento baseado em politica. A denominação do equipamento utilizado tanto para ligar redes locais próximas. também os dados são transmitidos por: modulação em amplitude Throughput (ou taxa de transferência) é a quantidade de dados transferidos de um lugar a outro. a huge overhead. A diafonia (crostalk) ocorre quando um sinal transmitido em um fio interfere ou até mesmo corrompe o sinal que está sendo transmitido no fio adjacente. por exemplo.. balanceamento de carga. a funcionalidade de NAT por exemplo nao é suportada na maioria dos switches camada 3 e nos switches da linha 35xx e 37xx voce nao tem a mesma modularidade de um roteador (nao da pra instalar uma placa ATM neles por exemplo).. Se o emissor aguarda uma resposta ou confirmação antes de transmitir novas informações. a modulação se dá pela variação de intensidade do feixe de luz. etc. O HTTP é síncrono. capturando o sinal e. alem de claro desempenhar todas as funções de um switch. ou a quantidade de dados processados em um determinado espaço de tempo. “por meio da comunicação por modem” exclui a possibilidade do roteador. Switch camada 3 vs roteador: A diferenca nao existe em 80% das funcionalidades. Basicamente um switch camada 3 atende bem quando não precisa-se integrá-lo a serviços de WAN (framerelay. somou alguns mecanismos de segurança que ajudam a combater os 3 principais problemas de segurança: privacidade de dados (prevenir os intrusos de ganhar acesso a informação levadas pela rede). 20 bytes for IPv4). this results in a 41 byte packet for 1 byte of useful information. Contudo. linhas dedicadas. como para conectar duas redes distantes por meio da comunicação por modem e um canal de comunicação é: ___________ Resp: Bridge (ponte). Fisicamente falando. O throughput pode ser traduzido como a taxa de transferência efetiva de um sistema. portanto. removendo assim a possibilidade de um usuário derrubar a rede acidentalmente). é um protocolo síncrono.). Since TCP packets have a 40 byte header (20 bytes for TCP. pode-se usar o termo throughput para referir-se a quantidade de dados transferidos em discos rígidos ou em uma rede. protocolos de alta disponibilidade. . e controle de acesso (que restringe acesso de variáveis particulares a certos usuários. isto ocorre porque quando um dado está sendo transmitido em um fio. Tipo de modulação mais utilizado em modens. assim. autenticação (impedir os intrusos de enviar falsos dados pela rede).

OSI E TCP/IP O modelo Open Systems Interconnection (OSI) foi proposto pela International Standards Organization (ISO). Errado Para o estabelecimento de uma sessão SMTP. (correto) Ethernet: A autoconfiguração é uma facilidade que permite que a capacidade de transmissão mais alta seja selecionada automaticamente. os identificadores de portas de entidades TCP diferentes podem não ser únicos na inter-rede. É necessário que o cabeamento utilizado seja compatível com a capacidade de transmissão mais alta (correto) 8 bytes iniciais do quadro ethernet = preambulo e são descartados pela placa de rede recpetora. O IP não mantém informações de estado No modelo OSI. (correta) A camada mais baixa da arquitetura TCP/IP reúne as funções das camadas física e de enlace da arquitetura OSI. (correto) O estabelecimento de conexão SMTP começa com o cliente SMTP estabelecendo uma conexão UDP com o servidor SMTP. Depois. espera que o servidor envie uma mensagem “220 Service ready” ou “421 Service not available”. (C) Apesar de o IP manter informações de estado sobre a transmissão de sucessivos datagramas. dados e FCS e não dão suporte a correção. Apenas cabeçalho. o TCP identifica cada um deles por uma porta diferente. com suporte a detecção e correção de erros de transmissão. no envio de uma mensagem ICMP. cada datagrama é enviado independentemente e pode. Tamanho da janela de transmissão no TCP: para garantir o controle do fluxo o destinatário pode aumtentar ou diminuir durante a transmissão /conexão. . sendo que os pacotes podem ter tamanhos variados. apenas detecção. inclusive. e esse deve responder com uma mensagem 250 OK. (errada) Quando vários usuários estão utilizando o serviço TCP simultaneamente. Para se iniciar atransmissão. o emissor estabelece uma conexão TCP com o destino e aguarda uma mensagem 220 service ready. (correto) O tratamento de erros no IP consiste no descarte de datagramas e. Porém. o emissor deve enviar um comando MAIL ao receptor. definindo explicitamente os protocolos a serem utilizados. cada camada corresponde a uma abstração e a funções bem definidas no que diz respeito à interoperabilidade entre hosts e(ou) serviços. se for o caso. ser entregue fora da ordem original de envio. com objetivo de padronizar os protocolos usados para a conexão de sistemas que estão abertos para a comunicação com outros sistemas. A tecnologia Ethernet baseia-se na transmissão de pacotes compostos por cabeçalhos e dados. (correto) A camada de aplicação na arquitetura TCP/IP é responsável por funções idênticas às das três camadas mais altas da arquitetura OSI.

3964: udp 28 (frag 242:36@0+) 2 IP 10. sem mecanismos de autenticação ou encriptação de dados. entre elas a máscara de rede de uma estação. um conjunto de funções que é implementado utilizando serviços oferecidos pelos níveis inferiores. Ele faz isso para uma comunicação de computadores em rede. adotado na Internet.45959 > 10. de modo que uma camada superior consome serviços das camadas inferiores.45959: (frag 242:4@0+) . está expressamente normatizado em uma RFC (request for comments) que identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicação compatível com a Internet.0. "O Osi é um modelo estratificado. Errado. O campo ToS (type of service) no protocolo IP é utilizado pela arquitetura de serviços diferenciados.0. Atualmente. (C) 1 IP 10.0.1. formando uma pilha hierarquica.1.0.1. pois o Modelo TCP/IP não identifica quais camadas e protocolos fundamentais devem ser considerados em um sistema de comunicação compatível com a Internet.O modelo TCP/IP.1. Cada nivel oferece. que define 7 niveis ou camadas de funções a serem desempenhadas pelos sistemas de comunicacao. o modelo TCP/IP não é normatizado em apenas uma RFC.3964 > 10. o que dá a impressão que a camada 3 está envolvida.1. é definido como DSCP (diff serv code point). TFTP uses one connection (stop and wait) O IGMP (Internet group message protocol) é utilizado para formação de grupos multicast em uma rede IP. FTP uses two connections.2. Além disso. O ICMP (Internet control message protocol) faz uso de vários códigos para definição e solicitação de informações. " Redes virtuais operam na camada 2 do modelo OSI. O modelo OSI é hierárquico.1. uma VLAN geralmente é configurada para mapear diretamente uma rede ou sub-rede IP. No entanto. Faltou a palavra IMEDIATAMENTE inferior para a questão estar correta.2. [C] TFTP (Trivial File Transfer Protocol): É baseado em UDP (usa a port 69) ao contrário do FTP que se basea no TCP (usa a port 21). ao nivel imediatamente superior.

caso o número de dados seja muito volumoso poderá causar negação de serviço E) A linha 2 apresenta o fragmento final.xxx.32. Neste caso. Como ela ainda não possui um endereço definido. um protocolo de controle.1. como em: ::FFFF:192. é quando um servidor DHCP responde à requisição da estação. Portanto ele não é o final. A única situação em que um endereço começado com zero é usado. "2001:bce4:0:0:0:0:0:1" pode ser abreviado para apenas "2001:bce4::1".0. que permitem uma flexibilidade muito maior na criação das faixas de endereços. temos o ICMP (Internet Control Message Protocol). Além do TCP e do UDP. No CIDR(Classless Inter-Domain Routing) são utilizadas máscaras de tamanho variável (o termo em inglês é VLSM.0. podendo causar negação de serviço em alguns sistemas operacionais. excluindo o cabeçalho IP. Correto.45. . como em "206. onde temos oito quartetos de caracteres em hexa.0.0". pois ele é usado para o endereço da rede.1 no navegador: você vai cair em um servidor web habilitado na sua máquina. que você pode usar para todos os fins. onde 8 são do cabeçalho UDP e 28 de dados de aplicação (área de dados do UDP).xxx: Nenhum endereço IP pode começar com o número 127. offset (em bytes): deslocamento de fragmentação. os dados do fragmento na linha 2 se superpõem aos da linha 1. C) O fragmento inicial na linha 2 carrega 4 bytes na sua área de dados e carrega um segmento TCP. 127.234". Se por exemplo você tiver um servidor de SMTP e configurar seu programa de e-mail para usar o servidor 127. pois o fragmento não carrega um segmento TCP carrega apenas 4 bytes de dados de aplicação. A presença do '+' indica que haverá mais dados nos fragmentos subsequentes. Nos endereços IPV4. Está errada. O mesmo acontece ao tentar acessar o endereço 127. size: tamanho do fragmento em bytes.0. (frag id:size@offset+) frag id: identificação do fragmento. o que faz com que o switch o envie para todos os micros da rede.0. Exemplo de endereço IPV6. O IPV6 também oferece um recurso de compatibilidade com endereços IPV4.xxx. Ao contrário do TCP e do UDP. Os dois hosts recebem e enviam dados pela mesmas portas. o pacote do servidor é endereçado ao endereço MAC da estação e ao endereço IP "0. cada um representado por um número de 0 a 255. que opera no nível 3 do modelo OSI (junto com o protocolo IP).1 Por estranho que possa parecer. pois essa faixa de endereços é reservada para testes e para a interface de loopback. você usaria o endereço "::FFFF:" seguido pelo endereço IPV4 usado atualmente. Está errada.xxx. D) Na remontagem. 0. este é um endereço IPV6 completamente válido.168.0. mas nem por isso deixa de desempenhar diversas funções importantes. sobretudo no Linux e outros sistemas Unix.0. onde omitimos todo o trecho central "0:0:0:0:0". ou (Variable-Length Subnet Mask).xxx. dividimos os endereços em 4 grupos de 8 bits. a interface de loopback é usada para comunicação entre diversos programas. seria: 2001:bce4:5641:3412:341:45ae:fe32:65.xxx: Nenhum endereço IP pode começar com zero. ele acabará usando o servidor instalado na sua própria máquina. válido na Internet. Os endereços IPV6 utilizam uma notação diferente. permitindo que você continue utilizando os mesmos endereços ao migrar para ele.A) As linhas 1 e 2 apresentam fragmentos de diferentes pacotes IP. pois o fragmento inicial carrega 36 bytes na área de dados do IP. separados por “dois pontos”. o ICMP não é usado para a transmissão de dados. o fragmento inicial carrega 28 bytes na área de dados do IP. Além de testes em geral. B) Na linha 1.

garantindo que o transmissor não envie mensagem a uma taxa superior à capacidade do receptor. O controle de congestionamento se baseia na garantia de que a subrede é capaz de transportar o tráfego oferecido. no entanto. O controle de fluxo quase sempre envolve algum feedback dentro do receptor para o transmissor. infra-estrutura de linha privada (dedicada) para poder implementar um de seus melhores recursos. É uma questão global. do processamento de operações store-and-forward dentro dos roteadores e de todos os outros fatores que tendem a reduzir a capacidade de transporte da sub-rede. (CORRETO) CRC de 8 bits para proteger o cabeçalho de 5 bytes em células ATM. e) o controle de fl uxo. No caso de redes locais baseadas nos padrões mantidos pelo IEEE. Esse protocolo tem sido usado tanto em redes públicas quanto em redes privadas. obrigatoriamente. entre elas. garantindo que a entidade do nível de rede da máquina de destino se comunique diretamente com a mesma entidade da máquina de origem. O parâmetro CIR (Commited information rate) em rede Frame-Relay indica a velocidade mínima contratada. de todos os roteadores. exigindo. "Vale a pena destacar explicitamente a diferença entre controle de congestionamento e controle de fluxo. o controle de fluxo se baseia no tráfego ponto a ponto entre um determinado transmissor e um determinado receptor. . que um pacote chegue ao seu destino. envolvendo o comportamento de todos os hosts. no modelo OSI e seus protocolos. O controle de congestionamento ocorre na camada de rede e controla uma sub-rede.Com relação a redes de computadores. Sua tarefa é garantir que um transmissor rápido não possa transmitir dados continuamente com maior rapidez que o receptor é capaz de absorver. O controle de fluxo ocorre tanto na camada de enlace (ponto a ponto entre nós subsequentes) quanto na camada de transporte (ponto a ponto entre processos). conseqüentemente. em que a sua infra-estrutura é compartilhada pela operadora de telefonia e. c) a multiplexação. a criptografi a. o CIR (Commited Information Rate) (ERRADO) O Frame Relay é um protocolo de redes estatístico. Dessa forma. o CRC 32 bits foi adotado na camada de enlace. voz e vídeo — separada ou simultaneamente — sobre o mesmo caminho de rede. d) realizar transformações necessárias aos dados antes de seu envio ao nível de sessão. Por outro lado. voltado principalmente para o tráfego tipo rajada. um dos objetivos do Nível de Rede é: a) garantir. tem um custo mais acessível do que uma linha privada. pois o relacionamento entre ele é sutil. (CORRETO) O asynchronous transfer mode (ATM) define ambiente de rede de múltipla velocidade que provê grande variedade de serviços complexos para aplicações como transmissão de dados. o transmissor fica sabendo como tudo está sendo feito na outra extremidade" Redes WAN A resolução de endereços em uma sub-rede lógica IP/ATM (LIS) pode ser realizada por meio do protocolo ATMARP — o mesmo que o protocolo ARP com extensões para que funcione em um ambiente com servidor unicast ATM. voltado principalmente para o tráfego tipo rajada. b) o controle de congestionamento em redes ponto a ponto. O Frame-Relay é um protocolo de redes estatístico.

Tomando como critérios o caminho de comunicação usado e a forma como os dados são transmitidos. Qual o nome desse sinal? Resp: RST .ICMP . enlace. temos um sinal enviado pelo terminal (DTE) ao modem para prepará-lo para a transmissão de dados. ATM e Frame Relay.25 é constituída de três níveis : físico. prestado por redes de suporte que oferecem interfaces de acesso a terminais de usuários? Resp: Frame Relay Dentre os diversos sinais trocados entre DTE e DCE. Entre as tecnologias ISDN. portanto não há de se falar em conexão. também da camada de REDE. (correto) Qual o serviço definido como de suporte modo pacotes orientado à conexão. Wireless.funciona sobre IP. nem em confiabilidade. (CORRETO) A arquitetura do protocolo X. O MPLS é um esquema de encaminhamento de pacotes que atua entre as camadas 2 (camada de Enlace) e 3 (camada de Rede) Frame Relay atua na camada 2 (enlace). quadro e pacotes (fisica. rede). uma rede por comutação por circuito é aquela em que um circuito físico é estabelecido entre os nós terminais antes de ocorrer a comunicação. esta última é a mais indicada quando os escritórios de uma empresa precisam estar conectados a uma rede WAN. baseada na comutação de pacotes e cuja matriz seja o ponto focal da topologia.(protocolo da camada de REDE) .

or other client program. . Além disso.que acaba sendo conseqüência do anterior . vejo um outro erro . is a way of accessing information over the medium of the Internet. the basic access authentication is a method designed to allow a web browser. mas sim apenas os críticos. pronto para assumir imediatamente as operações sem perda de dados. Before transmission. to transmit data.em "alcance plena recuperação de sua capacidade de negócios". no site espelho você faz uma cópia exata do website. Web services In the context of an HTTP transaction. Ele na verdade. em um sítio hot. only one of the languages spoken over the Internet. de todos os dados digitais e equipamentos e linhas de transmissão de dados necessários ao provimento de serviços de informação por meio da Internet e da Web garantirá que a empresa alcance plena recuperação de sua capacidade de negócios. aí a estratégia de hot site tinha ido por água abaixo. or simply Web. quando ele afirma que o hot site "contemple a duplicação de todos os dados digitais e equipamentos e linhas de transmissão de dados necessários ao provimento de serviços de informação por meio da Internet e da Web".servidor web: Devem possuir um servidor de aplicação ou se comunicar com um servidor de aplicação para permitir a execução de scripts de servidor. como não necessariamente todos os sistemas são críticos. The Web uses the HTTP protocol. uma vez que os outros serviços que não são críticos não voltarão por essa estratégia de segurança. formando a maior rede de comunicação dos dias atuais. então não podemos falar de recuperação plena da capacidade de negócio de uma empresa. Existe diferença entre sítio hot e site espelho. é formada por um conjunto de redes interligadas.(E) The World Wide Web. para mim já inválida a questão. (correto) A Internet. Ou seja. após eventual ocorrência de desastre que não afete esse sítio hot. to provide credentials – in the form of a user name and password – when making a request. Existe um erro logo na primeira frase. the username and password are encoded as a sequence of base-64 characters Uma solução de backup que contemple a duplicação. It is an information-sharing model that is built on top of the Internet. o hot site pode utilizar um site espelho. No final da frase o examinador está apenas querendo dizer que a máquina que possui o backup não foi alvo da invasão. também denominada de World Wide Web (WWW). Como não será todos os serviços que voltarão. Pois se também tivesse sido alvo da invasão. enquanto que o sítio hot (hot site) é um equipamento dedicado a espelhar os sistemas críticos de um ambiente empresarial. ele contempla a duplicação apenas dos sistemas críticos. mas a recíproca não é verdadeira.

Sign up to vote on this title
UsefulNot useful