PCF-3

Questões comentadas, artigos e notícias

Archive for the ‘Redes’ Category

Serpro 2008: Análise de Tráfego 76-80

Posted by papacharliefox3 em 30/07/2009

Salve! Mais uma de análise de log de tcpdump! Imagine a emoção de se deparar com a figura abaixo na sua prova – mais de meia página de logs! :)

ser2

ser21

Comentários:

76 O que impede a captura ter sido feita – também – no host 10.10.100.101 ou no segmento no qual ele se encontrava?

77 Percebe-se que o mesmo segmento é requisitado várias vezes pelo host 10.10.100.101, inclusive enquanto segmentos posteriores são recebidos. Sendo que esse segmento requisitado várias vezes é enviado ao final do diálogo apresentado. Logo, houve chegada fora de ordem, entretanto, devido a falta ou perda de tal segmento. O que gerou a perda? Sei lá eu!

78 Eu não vi, você viu? Aliás, na hora da prova todas as linhas parecem iguais, não?

79 Sinceramente, não entendi o gabarito ser C. A opção sack indica exatamente o contrário: segmentos que não foram perdidos, mas armazenados pelo receptor, mesmo se tratando de segmentos posteriores ao último requisitado.

80 Verdade. No trecho 24, identifica-se o segmento 48181, ou a existência dele; este ainda não foi enviado ou processado pelo host 10.10.100.101 (receptor), de acordo com os logs apresentados.

Gabarito Oficial

76-E  77-E  78-E  79-C  80-C

Posted in Questões Cenário, Questões Serpro, Redes | Etiquetado: | 3 Comments »

Serpro 2008: Análise de Tráfego 71-75

Posted by papacharliefox3 em 30/07/2009

Salve, concurseiros de TI! (aka nerds wanna go public service)

Desta vez comentarei mais uma das temíveis questões de análise de tráfego do CESPE. A questão foi retirada da prova de 2008 – Analista de Redes. Quem me enviou esta questão foi o colega Alan Ricardo (demorou, mas foi!). Se tiverem mais alguma aí do mesmo nível ou pior, mandem nos comentários que a gente discute mais!

ser1

Comentários:

71 O que é payload? Neste contexto, basicamente, retirando-se o cabeçalho (header) de um pacote IP, tem-se a carga de dados do pacote – payload. Do host 1 para o host 2, foi enviado apenas um pacote Ping (ICMP Echo Request), o que compreende os pacotes de 1 a 3 do log. Assim, basta identificar o último pacote e somar o offset com o tamanho dos dados contidos naquele, menos o tamanho dos cabeçalhos (IP e ICMP): (2944 + 84) – (20 + 8) = 3000. Existem outra maneiras de ‘enxergar’ a questão, fica aí minha sugestão.

72 Dizem por aí que esta questão poderia ser anulada por não ser possível identificar o pacote 4 no texto da questão (não dá mesmo?). Enfim, o 4 está entre o 3 e o 5 (eu sou um gênio!), e nesse é possível perceber o sinal ‘[ ]’ que o diferencia de alguns outros pacotes. Isso indica que a flag More Fragments não está setada, logo, ele é o último fragmento e não o primeiro.

73 Fragmentos de resposta = pacotes 4-8. Fica aí o desafio: existem duas informações no trecho que indicam que os pacotes – possivelmente – passaram por rotas diferentes, quais são elas? :) Nem adianta apelar pro TTL porque todos contêm o mesmo número… ah, um salve aí pros mano da pizzaria Pôr do Sol!

74 Neste caso, o processo de remontagem (reassembly) procede normalmente. No IP, se um fragmento se perde, o pacote inteiro é descartado, o que leva a perda do buffer recém armazenado. Isso pode ocorrer, por exemplo, após o timer de recepção expirar.

75 Não enxergo uma maneira de determinar esta informação com o trecho mostrado. Se alguém souber esta, manda aí! Eu arriscaria 764.

Gabarito Definitivo

71-C  72-E  73-C  74-E  75-C

Posted in Questões Cenário, Questões Serpro, Redes | Etiquetado: | 3 Comments »

TCU 2009: Questões de redes de longa distância 151-154

Posted by fuchoa em 27/07/2009

Salvem concurseiros de plantão!

Vamos lá ao meu primeiro post. Vou dar início por uma questão de redes de longa distância do recente concurso do TCU de 2009 que abordou especificamente o assunto MPLS .

2009TCU151-154

151 – Entre outros benefícios, o uso do MPLS viabiliza a engenharia de tráfego e facilita a formação de VPNs IP, além de suportar múltiplos protocolos, tecnologias e tipos de tráfego.

Comumente referido com um protocolo de camada 2,5 (situado entre as camadas de enlace e rede), o MPLS (MultiProtocol Label Switching), indiferente do tipo de dado ou tecnologia que está transportando, utiliza rótulos (labels) nos pacotes de dados para efetuar o encaminhamento do tráfego pelo backbone da rede. Todo este encaminhamento, que passa a ser feito com base nestes rótulos, torna-o em comparação a um encaminhamento IP superior. Isto se deve ao fato de, primordialmente, não utilizar consultas a tabelas de roteamento, cada vez maiores, e por não examinar o pacote em si para a tomada de decisão. Além disso, o MPLS permite também a criação de Redes Privadas Virtuais (Virtual Private Network – VPN) dentro da rede, com a criação de tabelas de rótulos exclusivas de cada VPN, garantindo isolamento do tráfego.

152 – A etiqueta MPLS tem comprimento de 3 bytes, tendo, entre outros, um campo Label (20 bits) e um campo TTL (8 bits), este último com função diferente do campo homônimo do cabeçalho IP

mpls

A etiqueta MPLS possui comprimento de 4 bytes 32 bits, sendo:

  • 20 bits atribuídos ao rótulo (label);
  • 3 bits para o campo que classifica o tipo de tráfego (Traffic Class Field) utilizado para fins de QoS;
  • 1 bit atribuído ao Bottom of Stack Flag. Se este bit está ativado o label em questão é considerado o último na pilha de rótulos;
  • 8 bits para o TTL (Time To Live) que, diferente do colocado na questão , possui a função de determinar o tempo que o pacote levará dentro da rede antes de ser descartado.

153 – O MPLS não dispõe de mecanismo de pilha da etiqueta que permita realizar uma operação hierárquica no domínio MPLS.

O MPLS possui mecanismo de empilhamento dos rótulos, que diga o campo Bottom of Stack Label. Ao receber um pacote rotulado, o roteador MPLS examina o rótulo superior e com base neste decide que tipo de operação será executada, por exemplo uma operação de Swap, Push ou POP.

154 – A etiqueta MPLS pode ser inserida tanto como informação de enlace como entre os cabeçalhos de camadas 2 e 3.

Em um ambiente de roteamento convencional, os frames seguem da origem ao destino com base no paradigma hop-by-hop. Os roteadores utilizando o cabeçalho da camada 3 de cada frame efetuam uma consulta à tabela de roteamento para determinar o next hop. Isto tende a reduzir a vazão de dados na rede por exigir um alto processamento. Para quebrar este paradigma do roteamento baseado em hop-by-hop o multiprotocol label switching (MPLS) possibilitou aos dispositivos de rede determinar rotas com base tomando como base informações contidas na camada 2 e de demandas de QoS e banda. Assim a etiqueta MPLS é inserida tanto como informação de enlace como de camada 3.

Gabarito preliminar oficial

151 – C   152 – E  153 – E  154 -C

Posted in Questões TCU, Redes | Etiquetado: | 2 Comments »

TCU 2009: questões de captura de tráfego 144-147

Posted by papacharliefox3 em 25/07/2009

Um salve pro vardeci da pizzaria pôr do sol…ah um salve pra geral da XURUPITA!

Salve, concurseiros!

A temível prova do TCU deste ano deu o que falar, mais ainda pelas questões de Redes e Segurança. Nível altíssimo de dificuldade, realmente. Tentarei comentar as questões de Redes (análise de logs de tráfego) e Segurança. Começando pela primeira questão desses temas encontrados na prova.

tcu144-147144 Se utilizarem a mesma máscara de rede, qualquer que seja,
então os hosts envolvidos na captura de tráfego estarão na
mesma sub-rede.

145 A chegada fora de ordem dos pacotes de resposta deve-se à
retransmissão de alguns deles ao longo do percurso.

146 É consistente com a captura que há quatro nós intermediários
entre os hosts nela presentes.

147 É consistente com a captura que o processo de fragmentação
tenha sido aplicado mais de uma vez nos pacotes de resposta.

Comentários:

144 Precisa olhar pra figura? Sim! A informação de máscara é carregada nos pacotes e, por conseguinte, nos logs? Não! Dá para saber se estes caras estão no mesmo domínio de broadcast (sem roteadores entre eles) baseado na análise do tráfego? Sei lá eu…então como fazer?

Perceba que, existem apenas 2 endereços distintos, envolvidos no tráfego apresentado: 10.1.1.100 e 10.1.1.200. Agora imagine estes caras com uma mesma máscara (qualquer), digamos a famosa ‘/24’. Imaginamos isso:

Rede => 10.1.1.0 e Máscara =>255.255.255.0

Os IPs .100 e .200 estariam nesta faixa, sem dúvidas. Mas, e se atuarmos da forma contrária, ou seja, encontramos uma situação hipotética de exclusão? Imagine os 2 IPs pertencentes a uma rede ‘/30’. Como poderia ficar?

Rede 1 => 10.1.1.99  Máscara=> 255.255.255.252  Host 1 => 10.1.1.1.100

Rede 2 => 10.1.1.199  Máscara=> 255.255.255.252  Host 2 => 10.1.1.1.200

Teria que haver um roteador entre eles! Logo, não estariam na mesma sub-rede.

Mas, se o leitor estiver atento, basta enxergar o processo de Fragmentação. Como e quando esta ocorre? Em enlaces com diferentes valores de MTU! Se eles não estão no mesmo enlace, devem existir roteadores entre eles, logo, eles não podem estar na mesma (sub) rede! Pegadinha do malandro examinador…

145 Como checar a chegada fora de ordem? Pelo offset! Como identificar retransmissão? Identifique no payload a string ‘Houston, we have a problem!’ Brincadeira…caríssimos leitores, estamos falando de IP (ICMP), onde haverá retransmissão?

146 Ah, um salve pro pessoal do trabalho! Cabeça e Japa! Esta questão é a mais difícil, sem dúvida! Alguns pontos interessantes: ‘há quatro’ é diferente de ‘somente quatro’! O examinador não seria a mãe Diná para afirmar exatamente quantos hops existem entre os 2 hosts, baseado apenas nesses logs!

Pense da seguinte maneira. Se eles estão em redes diferentes (como mostrado acima), existem pelo menos 2 nós (roteadores, hops) entre eles! (Básico, hein?) Mas, é possível identificar 3 MTU’s diferentes (serve para próxima questão)! E agora? Lembre-se que, o MTU é estabelecido entre 2 nós, geralmente roteadores. Assim, dá para imaginar – suficiente para concordar com a afirmação da questão – a seguinte figura (fiz no Paint Visio!):

mtu

147 Sem dúvida, perceba os pacotes 5-8 com tamanhos (length) diferentes: 764 e 756.

Achou difícil? Não entendeu alguma mer explicação? Tem outra questão da prova que achou mais difícil? Mande nos comentários!

Até a próxima!

Gabarito Preliminar Oficial

144-E  145-E  146-C  147-C

Posted in Questões Cenário, Questões TCU, Redes | 6 Comments »

Protegido: Prova de 2002: Cenário TCPdump – Questão 45 (senha está no Desafio de Forense I)

Posted by papacharliefox3 em 11/04/2009

Este conteúdo está protegido por senha. Para vê-lo, digite sua senha abaixo:

Posted in Prova 2002, Questões Cenário, Redes | Etiquetado: , | Digite sua senha para ver os comentários.

Prova de 2004 Regional: Segurança – Questões 104-106

Posted by papacharliefox3 em 09/04/2009

Salve amigos! Mais 3 questões que envolvem conhecimentos de Segurança e Redes. Mandem seus comentários!

104 Entre os diversos equipamentos que podem ser utilizados
para aumentar o nível de segurança de uma rede de
computadores corporativa, os firewalls exercem um papel
fundamental. Para que sua ação possa ser eficaz, eles
devem ser instalados entre a rede interna da organização e
as redes do mundo externo e têm por objetivo filtrar o
conteúdo que chega até a rede interna impedindo que
ataques conhecidos sejam realizados.

105 Um dos mais conhecidos ataques a um computador
conectado a uma rede é o de negação de serviço (DoS –
denial of service), que ocorre quando um determinado
recurso torna-se indisponível devido à ação de um agente
que tem por finalidade, em muitos casos, diminuir a
capacidade de processamento ou de armazenagem de
dados.

106 Um IDS (intrusion detection system) ou sistema de
detecção de intrusão pode estar fundamentado em
computador (IDS de host) ou em rede de computadores
(IDS de rede). Em ambos os casos, esse sistema procura
por ataques que ainda não estejam registrados e
catalogados, deixando os problemas conhecidos para serem
solucionados por outros mecanismos de segurança, tais
como firewalls.

Comentários:

104 Antes de comentar a questão em si. Tente responder as seguintes perguntas:

  1. Qual é a melhor forma de utilização de um firewall?
  2. Proteção à rede interna, localizando-se entre essa rede e a Internet? Pode responder “Sei lá eu!”, deve ser a melhor resposta mesmo!
  3. A eficácia de um firewall está ligada a que ponto? Pacotes processados por segundo?
  4. O objetivo, diferente de “um objetivo”, é filtrar o que entra e não que sai da corporação?

Imagina sua rede sendo vítima de um worm (‘Vôrme’ como alguns colegas – da área de SI! – pronunciam) cujo objetivo é implantar um sistema de mass spam a partir da sua rede. Se a porta 25/tcp de servidores externos for alcançável a partir de hosts infectados, sua rede poderá ser responsabilizada por SPAM, correto? O texto aparenta restringir o objetivo de um firewall a filtragem de ataques em direção da rede interna, o que não é verdade.

Além disso, o firewall não impede apenas ataques conhecidos. Imagina um novo ataque ao SSH (porta 22/tcp). Se o firewall possui filtros de restrição por origem, ele foi eficaz em bloquear ataques oriundos de IPs sem permissão.

105 O CESPE tem o ‘dom’ de preparar essas questões: tudo começa bonitinho, ‘copy/paste’ do livro, ‘C na cabeça’! Entretanto, nas últimas duas palavras, muda-se tudo. E agora?

“…torna-se indisponível devido à ação de um agente que tem por finalidade, em muitos casos, diminuir a capacidade de processamento ou de armazenagem de dados.”

“Ação de agente com finalidade”, nem brinca. O DoS diminui a capacidade de processamento de dados? Pesquisa aí sobre fork bomb. O DoS diminui a capacidade de armazenamento? Pesquisa aí sobre mac flooding, o que gera a incapacidade de armazenar endereços físicos em um Switch. Não é que ficou bonito a definição de DoS na questão? “O ataque de DoS tem por finalidade diminuir a capacidade de processamento ou armazenamento de um dado recurso computacional por meio da ação de um agente”

Lindo! Lembra disso na hora da prova! Tem gente que vai decorar isso! Sério! Não faça isso, muito menos com os mnemônicos malucos que uns professores insistem em enfiar na cabeça dos alunos por aí. Aliás, esse mal já contaminou até o Wikipedia, olha o que fizeram com o Ozzy OSI Model (disponível nos 2 sentidos!):

Please Do Not Throw Sausage Pizza Away
All People Seem To Need Data Processing

Tem gente que só decora assim; aliás, tem que decorar alguma coisa nisso? Enfim, cada um possui seus métodos.

106 O primeiro período trata de HIDS e NIDS, respectivamente. Inclusive, estou ‘brincando’ com o primeiro na empresa em que trabalho (se precisarem de HIDS pra Unix, me avisem). O segundo período…bom, o que é aquilo? Nem merece comentários. Até a próxima!

Gabarito:

104-E  105-C  106-E

Posted in Prova 2004 REG, Redes, Segurança | Etiquetado: , , | 2 Comments »

NFTables: mais matéria para o concurso?

Posted by papacharliefox3 em 07/04/2009

Salve monges concurseiros! Afinal, tem que ser um pra acreditar na existência de um próximo concurso, não? Enfim, a velha dica continua valendo: continue estudando que uma hora sai.

Você conhece o IPTables? E o IPChains? E o NFTables? Este último é a implementação mais atual da família de firewalls do Linux, trata-se de um software codificado do zero. De acordo com os desenvolvedores, a manutenção e adição de novas funcionalidades e módulos ao Netfilter estava tornando-se impraticável.

Para se ter uma ideia, lembra das regras abaixo?

iptables -A INPUT -s 1.1.1.1 -p tcp -dport 80 -j LOG

iptables -A INPUT -s 1.1.1.1 -p tcp –dport 80 -j ACCEPT

Aquilo tudo virou isso:

nft add rule input tcp saddr 1.1.1.1 dport 80 log accept

Fácil, não? Pra ver mais exemplos, olha esse link!

Existem mais funcionalidades e grandes diferenças. O anúncio da nova versão pode ser lido na lista de desenvolvimento do Netfilter, o post é do líder do projeto – o francês maluco aí da foto. Seguindo os últimos boatos, em 2011 será a próxima prova, quem sabe até lá o governo adota esta nova versão :)

Até a próxima!

Posted in News & Clipping, Redes, Segurança, Sist. Operacionais | Etiquetado: , , , , | 3 Comments »

Nmap Básico

Posted by mike em 03/04/2009

Enquanto nosso amigo indígena (papacharliefox) vai escrevendo sobre criptografia, vou fazer uma introdução rápida no port scanner mais utilizado nesta galáxia, o Nmap.

Nmap surgiu da simples idéia de se identificar portas e serviços de um host qualquer. Durante os anos a ferramenta foi evoluindo de tal forma, que hoje há poucas implementações do mesmo nível.

Não vamos abordar neste artigo como usar a ferramenta, seus parâmetros e técnicas avançadas, a abordagem é totalmente teórica e todos que usam a ferramenta deveriam entender o funcionamento interno. Sem mais delongas vamos logo ao que interessa.

Leia o resto deste post »

Posted in Fundamentos, Redes, Segurança | 4 Comments »

SANS Pocket Reference

Posted by papacharliefox3 em 01/04/2009

1Não é brincadeira de 1o de Abril, o conteúdo deste PDF é muito bom! :)

Façam bom uso nas questões de redes, sobretudo nos cenários ‘carvernosos’! Abraços e bons estudos!

http://www.sans.org/resources/tcpip.pdf?ref=3871

Posted in Redes | Etiquetado: | 2 Comments »

Protegido: Prova 2004 Regional: Cenário TCPDump – Questões 118-120

Posted by papacharliefox3 em 01/04/2009

Este conteúdo está protegido por senha. Para vê-lo, digite sua senha abaixo:

Posted in Prova 2004 REG, Questões Cenário, Redes, Segurança | Etiquetado: | Digite sua senha para ver os comentários.