PCF-3

Questões comentadas, artigos e notícias

Prova de 2002: Questão 35 – Redes

Posted by papacharliefox3 em 10/03/2009

Dando continuidade à resolução de questões de Redes das provas anteriores, seguiremos direto para a questão 35 da prova de 2002.

Reconhecendo que a segurança do protocolo IP é um importante
aspecto no contexto de uma rede segura com arquitetura TCP/IP, o
IETF vem publicando várias RFCs que definem uma capacidade
específica de segurança no nível IP (IPSec), incluindo
funcionalidades de autentificação e de confidencialidade como
extensões para esse protocolo nas suas versões 4 e 6. Acerca do
IPSec, julgue os itens abaixo.

1 Um conceito-chave que aparece tanto nos mecanismos de
autentificação, quanto de confidencialidade do IPSec é a
associação de segurança. Uma associação desse tipo consiste em
um relacionamento bidirecional entre um transmissor e um
receptor.

2 O mecanismo de authentication header (AH) do IPSec provê
suporte tanto para a integridade dos dados, quanto para a
autentificação dos pacotes IP.

3 O suporte a IPSec é opcional em IPv4 e IPv6.

4 Para efeito do AH, os dados de autentificação são calculados
sobre o pacote IP integral, excluindo qualquer campo que possa
ser modificado em trânsito. Tais campos são considerados como
bits zero para o propósito de cálculos nos pontos de origem e
destino.

5 O mecanismo de encapsulating security payload (ESP) provê
suporte tanto à integridade quanto à confidencialidade dos pacotes
IP. Em função de requisitos de aplicação, esse mecanismo pode
ser usado para cifrar tanto o segmento da camada de transporte
(TCP e UDP, por exemplo), quanto o pacote IP inteiro, sendo tais
modos de utilização conhecidos, respectivamente, como ESP em
modo transporte e ESP em modo túnel.

Comentários:

35.1 Um conceito-chave que aparece tanto nos mecanismos de autentificação, quanto de confidencialidade do IPSec é a associação de segurança. Uma associação desse tipo consiste em um relacionamento bidirecional entre um transmissor e um receptor.

Na verdade, o relacionamento é unidirecional.

35.2 O mecanismo de authentication header (AH) do IPSec provê suporte tanto para a integridade dos dados, quanto para a autentificação dos pacotes IP.

Perfeito. O AH provê integridade (alteração de dados) e autenticação (falsificação de endereços) em pacotes IP.

35.3 O suporte a IPSec é opcional em IPv4 e IPv6.

Na versão 4, é opcional; na versão 6, é necessário.

35.4 Para efeito do AH, os dados de autentificação são calculados sobre o pacote IP integral, excluindo qualquer campo que possa ser modificado em trânsito. Tais campos são considerados como bits zero para o propósito de cálculos nos pontos de origem e destino.

Para a autenticação, utiliza-se os códigos de autenticação de mensagens – MAC – de tal modo que, dados imutáveis, ou seja, cujo conteúdo é o mesmo na origem e destino, são objeto do cálculo. O restante (mutáveis, “Tais campos”, na questão) é tratado com valores zero para realização do cálculo.

35.5 O mecanismo de encapsulating security payload (ESP) provê suporte tanto à integridade quanto à confidencialidade dos pacotes IP. Em função de requisitos de aplicação, esse mecanismo pode ser usado para cifrar tanto o segmento da camada de transporte (TCP e UDP, por exemplo), quanto o pacote IP inteiro, sendo tais modos de utilização conhecidos, respectivamente, como ESP em modo transporte e ESP em modo túnel.

Perfeita a afirmação.

Gabarito

1-E  2-C  3-E  4-C  5-C

12 Respostas to “Prova de 2002: Questão 35 – Redes”

  1. foxtrote said

    Excelente!

  2. rhino said

    Muito bom!
    Não sabia que no cálculo do HMAC o conteúdo mutável era tratado com valor zero.. achava que eles não eram nem levados em consideração!

  3. papacharliefox3 said

    É isso aí, vivendo e aprendendo! Ajude o blog e aprenderemos mais :)

  4. foxtrote said

    HMAC? Você quis dizer isso mesmo?

  5. Julio said

    O MAC (Message Autentication Code) utlizado no IPSEC é o HMAC. Ele se baseia em algoritmos de hash como SHA-1 e o MD5.

  6. foxtrote said

    Essa também é boa de anotar:

    O cabeçalho UDP possui o campo checksum, calculado em cima de todo o segmento UDP. Entretanto, o cálculo do checksum no UDP é opcional.

    Desta forma, o que fazer para indicar que o checksum não foi calculado? Basta que se coloque todos os bits como ZERO.

    Entetanto, é possível que o cálculo do checksum resulte no valor ZERO! E aí?

    O segredo é o seguinte: o cálculo do checksum utiliza a representação em Complemento a 1 que possue duas representações para o zero: 0000000000000000 e 1111111111111111

    – Sendo assim, quando o checksum não esta sendo usado: 0000000000000000

    – Quando foi usado e o valor resultou em zero no cálculo: 1111111111111111.

    []´s

  7. foxtrote said

    Julio,

    Eu conheço códigos MAC sim! Escrevi até em meu post anterior…
    Só achei que você tinha errado de post..rs
    Beleza, depois eu vi que o papacharliefox3 tinha citado códigos MAC no post dele.

  8. papacharliefox3 said

    Perfeito, MAC neste contexto é HMAC, ou seja, Hashed MACs.

    Bem observado esta característica do UDP foxtrote, já li em algum lugar isso.

    Ótima discussão!

    Bons estudos!

  9. Julio said

    Blza… o nível é excelente mesmo…mais uma vez: excelente iniciativa PCF3 !!! Outra coisa… eu ainda não li todos os posts, vou segurar a onda um pouco antes de comentar…rs rs… tem muito material bom neste site.

  10. Julio said

    Revendo a 35.2 Fiquei em dúvida se o AH garante integridade. Vide link http://unixwiz.net/techtips/iguide-ipsec.html . Não sei se entendi direito “Authentication Header” (AH) and “Encapsulating Security Payload” (ESP) are the two main wire-level protocols used by IPsec, and they authenticate (AH) and encrypt+authenticate (ESP) the data flowing over that connection.

  11. papacharliefox3 said

    Não entendi seu ponto, Julio.

    Existem várias ações aí: autenticar, encriptar (cifrar, criptografar), verificar ou garantir (intergridade).

  12. Julio said

    Realmente, você tem razão (tinha feito confusão mesmo). O AH não garante sigilo, mas evita, por exemplo, que sofra ataques man-in-the-middle (garantindo a integridade do pacote). Value mais uma vez.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: