58
2002, Edgard Jamho FIREWALLS Edgard Jamhour

2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

Embed Size (px)

Citation preview

Page 1: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

FIREWALLS

Edgard Jamhour

Page 2: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Segurança de Redes

• Firewalls– Firewalls com estado e sem estado. Arquiteturas de Firewall.

• Criptografia– Simétrica, Assimétrica, Certificados Digitais e SSL.

• VPN– Arquiteturas de VPN, PPTP e L2TP.

• IPsec– Políticas IPsec, Modos de Utilização, Topologias de uso

Page 3: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Bibliografia

• BIBLIOGRAFIA– TCP/IP Tutorial e Técnico: Martin W. Murhammer et al., 2000,

Makron Books. – FIREWALLS - GUIA COMPLETO, GONCALVES,MARCUS,

EDITORA CIENCIA MODERNA LTDA.

Page 4: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Firewalls

• Definição:– Termo genérico utilizado para designar um tipo de proteção de

rede que restringe o acesso a certos serviços de um computador ou rede de computadores pela filtragem dos pacotes da rede.

• Os firewalls podem ser de dois tipos:– Sem estado (stateless)

• A decisão sobre a passagem ou não de um pacote considera apenas as informações carregadas no próprio pacote.

– Com estado (stateful) – Stateful Inspection• A decisão sobre a passagem ou não de um pacote leva em

outros pacotes que atravessaram anteriormente o firewall.

Page 5: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Firewall = Bloqueio de Pacotes

Aplicativo

Aplicação

TCP

IP

Enlace

Física

Aplicação

Sistema operacional

Placa de rede

DISPOSITIVO DE REDE

UDP

Aplicação

Serviço

Programaexterno

Page 6: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Firewalls Sem Estado

• O tipo mais comum de firewall é o sem estado:– A decisão sobre a passagem ou não de um pacote

considera apenas as informações carregadas no próprio pacote.

• Utiliza usualmente apenas informações das camadas de rede e transporte. – Essa simplificação permite:

• Tornar o firewall mais rápido.• Tornar o firewall independente do protocolo

transportado.• Tornar o firewall independente de criptografia e

tunelamento.

Page 7: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtragem de Pacotes sem Estado

Protolco de Aplicação

FTP, SMTP, HTTP, Telnet, SNM, etc.

TCP, UDP

Data LinkEthernet, Token Ring, FDDI, etc

IP

Física

Aplicações

A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos.

Tecnologia heterogênea

aplicação

transporte

rede

enlace

física

Seqüência de empacotamento

Page 8: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtragem de Pacotes

Aplicativo

Aplicação

TCP

IP

Enlace

Física

Aplicação

Sistema operacional

Placa de rede

FIREWALL DE REDE

UDP

Aplicação

Aplicativo

Programaexterno

FIREWALL PESSOAL

Page 9: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Implementação Física

• No software do Roteador: screening routers• No software de uma estação dedicada (um PC com duas placas de

rede).

REDE EXTERNA

FIREWALL

ROTEADOR

FIREWALL

ROTEADOR

REDE EXTERNA

REDE INTERNA

REDE INTERNA

PERSONAL FIREWALL

Page 10: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo

• Roteadores Cisco– PIX Firewall– Firewall– Roteador– Proxy– Detetor de ataques (SMTP, etc)– Defesa contra fragmentação de IP– Implementa VPN com IPsec– Mais de 256K sessões simultâneas.

Page 11: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo

• Implementação por Software– Check Point Firewall

• Interface Gráfica• Módulo de Firewall• Módulo de Gerenciamento

– Mútiplas Plataformas• Windows, Solaris, Linux, HP-UX, IBM AIX

– Controle de Segurança e Qualidade de Serviço.

Page 12: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Algorítmo dos Firewalls sem Estado

Recebe pacote

Seleciona Primeira Regra

OK para Passar?

OK para Bloquear

Última Regra?

Bloquear Pacote

Encaminhar Pacote

S

S

N

N

N

S

Regra Default(Bloquear Tudo)

Seleciona Proxima

Regra

Page 13: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtragem por Aplicação

• Os firewalls sem estado não analisam o protocolo de aplicação para determinar o tipo de serviço transportado pelo pacote.

• A dedução do tipo de serviço é feito indiretamente:– Pelo campo “Protocol Type” do IP

• RFC 1700: Assigned Numbers– TCP = 6, UDP = 17, ICMP = 1, etc.

– Pelas portas quando o tipo de protocolo for 6 ou 17• http://www.iana.org/assignments/port-numbers

• Todas as numerações são padronizada pela IANA (The Internet Assigned Numbers Authority)

Page 14: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Distribuição das Portas

• Portas Bem conhecidas (well known ports):– Geralmente usada pelos

servidores de serviços padronizados.

• Portas Registradas– Geralmente usada por servidores

proprietários.

• Portas Dinâmicas ou Privadas:– Usadas pelos clientes e pelos

serviços não padronizados.

0

….

10231024

….

49151

PORTAS

TCP ou UDP

49152

….

65535

Page 15: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Distribuição das Portas

• Portas Bem Conhecidas:– Definidas pela IANA– Acessíveis apenas por processos de sistema (que

tenham privilégios do tipo root).– Desina servícos padronizados para Internet:

• FTP (21), HTTP (80), DNS (53), etc.– Range: 0 a 1023– Geralmente, a porta é mapeada a um serviço em

ambos os protocolos (TCP e UDP), mesmo que usualmente só seja utilizado um deles.

Page 16: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Distribuição de Portas

• Portas Registradas:– Listada pela IANA– Serviço oferecido para conveniência da comunidade– Acessiveis por processos de usuário– Usadas geralmente para designar serviços

proprietários:• Corba Management Agente (1050), Microsoft SQL

Server (1433), Oracle Server (1525), etc.– Range: 1024 a 49151.

Page 17: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplos de portas bem conhecidas

Porta 21

Cliente

FTP

Dados armazenados

programa servidor de terminal remoto

Porta 23

Porta 25

Porta 80

programa servidor de transferência de arquivos

programa servidor de correio eletrônico

programa servidor de hipertexto e outros serviços

WWW

programa servidor de notícias Porta 119

programa servidor de serviços chat

Porta 194

TELNET

SMTP

HTTP

NNTP

IRC portas livres

Porta 49152

Porta 65535

portas bem conhecidas

Page 18: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo de Regras de Filtragem

regra

ação interface/sentido

protocolo IPorigem

IPdestino

Portaorigem

Portadestino

Flag ACK

1 aceitar rede interna/para fora

TCP interno externo > 1024 80 *[1]

2 aceitar rede externa/para dentro

TCP externo interno 80 > 1023 1

3 rejeitar * * * * * * *

[1] O símbolo "*" indica que qualquer valor é aceitável para regra.

Page 19: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Problema: Spoofing de Porta

• Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno?

10241024

...

80 80

80 80 10241024

80 80 1024... 655351024... 65535

É necessário liberar pacotes com porta

de origem 80 para que a resposta possa passar .

Como evitar que a porta 80 seja usada para atacar

usuários internos?

Page 20: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Característica da Comunicação TCP

• Comunicação bidirecional, confiável e orientada a conexão.

• O destino recebe os dados na mesma ordem em que foram transmitidos.

• O destino recebe todos os dados transmitidos.• O destino não recebe nenhum dado duplicado.

• O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.

Page 21: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Flags TCP

HLEN Reservado BITS DE CÓDIGO Janela de Recepção

Checksum Ponteiro de Urgência

Número de Seqüência

Número de Confirmação

Opções

Dados

Byte 1 Byte 2 Byte 3 Byte 4

0 4 8 12 16 20 24 28 31

…..

Porta de origem Porta de destino

• RES: Reservado (2 bits)• URG: Urgent Point• ACK: Acknowlegment

• PSH: Push Request• RST: Reset Connection• SYN: Synchronize Seqüence Number• FIN: Mais dados do transmissor

Page 22: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Flag ACK

• Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.

ACK=0

ACK=1

ACK=1

tempo tempo

ACK=1

...

Page 23: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtragem com Protocolo UDP

• Comunicação bidirecional, sem nenhum tipo de garantia.– Os pacotes UDP podem chegar fora de ordem.– Pode haver duplicação de pacotes.– Os pacotes podem ser perdidos.

• Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes.

Page 24: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Mensagem UDP

Porta de Origem

Comprimento da Mensagem checksum

Dados

…..

Porta de Destino0 16 31

• As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.

Page 25: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Dynamic Packet Filtering com UDP

• Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas.

200.0.0.1:1025 >>> 210.0.0.2:53

tempo tempo...

210.0.0.2:53 >>> 200.0.0.1:1025

210.0.0.2:53 >>> 200.0.0.1:1026

210.0.0.2:53 >>> 200.0.0.2:1025

Page 26: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Regras para Filtragem de Pacotes

• Implementação:– Analisar o cabeçalho de cada pacote que chega

da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado.

• ESTRATÉGIAS– A) TUDO QUE NÃO É PROIBIDO É

PERMITIDO.– B) TUDO QUE NÃO É PERMITIDO É

PROIBIDO.

Page 27: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo: TUDO QUE NÃO É PERMITIDO É PROIBIDO

Ação

permitir

permitir

negar

Protocolo

tcp

tcp

*

IP Origem

interno

*

*

Porta Origem

> 1023

23

*

IP Destino

*

interno

*

Porta Destino

23

> 1023

*

ACK

*

1

*

• Interpretação:– Hosts Internos podem acessar servidores de telnet

internos ou externos.– Hosts externos podem apenas responder a

requisições, não podem iniciar um diálogo (estabelecer uma conexão).

Direção

Sair

Entrar

*

Page 28: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo

INTERNET1 2

200.17.98.? ?.?.?.?

23

Ação

permitir

negar

Protocolo

tcp

*

IP Origem

200.17.98.0:24

*

Porta Origem

> 1023

*

IP Destino

*

*

Porta Destino

23

*

ACK

*

*

INTERFACE 1

INTERFACE 2Ação

permitir

negar

Protocolo

tcp

*

IP Origem

*

*

Porta Origem

23

*

IP Destino

200.17.98.0:24

*

Porta Destino

> 1023

*

ACK

1

*

>1023>1023

Page 29: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo

• Interpretação:– Hosts Internos podem acessar servidores de telnet internos ou

externos.– Hosts externos podem acessar servidores de web internos.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

80

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

80

> 1023

*

ACK

*

1

*

1

*

Direção

Out

In

In

Out

*

Page 30: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Seqüência de Criação de Regras

• A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

23

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

23

> 1023

*

ACK

*

1

*

1

*

Direção

Out

In

In

Out

*

O deslocamento de uma regra genérica para cima anula as demais.

Page 31: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Ciclos CPU 100 MHz

2860008000160016016

Desempenho do Filtro de Pacotes

• O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido.

• Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede.

Conexão

56 Kbit/s2 Mbit/s

10 Mbit/s100 Mbit/s

1Gbit/s

Pacotes/s(20 bytes)

3501250062500

6250006250000

Tempo disponível

2.86 ms80 s16 s1.6 s

0.16 s

Page 32: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Arquitetura DMZ

• Perimeter Network– Uma rede adicionada entre a rede protegida e uma

rede externa, com o objetivo de proporcionar uma camada a mais de segurança.

– Também chamada de DMZ (De-Militarized Zone).• Bastion Host

– Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.

Page 33: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Exemplo de DMZ

Host Host InternoInterno

InternetInternet

Roteador Interno Bastion Bastion

HostHost

DMZ - Rede de PerímetroDMZ - Rede de Perímetro

Rede InternaRede Interna

Roteador Externo

Page 34: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Roteador Interno (Choke Router)

• Protege a rede interna da rede externa e da rede de perímetro.

• É responsável pela maioria das ações de filtragem de pacotes do firewall.

Ação

permitir

permitir

negar

Protocolo

tcp

tcp

*

IP Origem

interno

*

*

Porta Origem

> 1023

*

*

IP Destino

*

interno

*

Porta Destino

*

> 1023

*

ACK

*

1

*

Direção

Out

In

*

EXEMPLO DE REGRAS PARA O CHOKE ROUTER

Page 35: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Roteador Externo (Access Router)

• Protege a rede interna e a rede de perímetro da rede externa.

• Muitas vezes, a função o roteador externo está localizado no provedor de acesso.

• Em geral, utiliza regras de filtragem pouco severas.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

dmz

*

Porta Origem

> 1023

*

> 1023

*

*

IP Destino

*

interno

dmz

*

*

Porta Destino

*

> 1023

*

> 1023

*

ACK

*

1

*

*

*

Direção

Out

In

In

Out

*

EXEMPLO DE REGRAS PARA O ACCESS ROUTER

Page 36: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Rede de Perímetro com Proxy

Hosts InternosHosts InternosCom IP’s PrivadosCom IP’s Privados

InternetInternet

Bastion Bastion HostHost

DMZ - Rede de PerímetroDMZ - Rede de Perímetro

Rede InternaRede Interna

Roteador Externo

Servidor Servidor ProxyProxy

Page 37: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

EXERCÍCIO

Hosts Hosts InternoInterno

Internet

Roteador Interno

Bastion Host

DMZ - Rede de Perímetro

Rede Interna

Roteador Externo

I1

I2

E1

E2

200.0.0.1 200.0.0.2 200.0.0.3

200.0.0.4

200.1.0.1 200.1.0.2

200.1.0.3

200.2.0.1

Page 38: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

DEFINIÇÃO DAS ROTAS

• Indique as Rotas que Devem Existir:

• A) Computadores da Rede Interna• B) Roteador Interno• C) Bastion Host• D) Roteador Externo

Page 39: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

EXERCÍCIO

• Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para:– A) Permitir aos computadores externos acessarem o

serviço HTTP no bastion HOST.– B) Permitir aos computadores externos acessar o

serviço SMTP no bastion HOST.– C) Permitir aos usuários internos acessarem o serviço

POP, SMTP e HTTP no bastion HOST.– D) Permitir aos usuários internos acessarem qualquer

servidor HTTP externo.– E) Proibir todos os demais acessos.

Page 40: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Roteador Interno

AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM

PORTA DESTINO

FLAG ACK

Page 41: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Roteador Externo

AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM

PORTA DESTINO

FLAG ACK

Page 42: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Stateful Inspection

• As primeiras gerações de firewall eram ditos "stateless".– Cada pacote é analisado individualmente, sem

levar em conta pacotes anteriores trocados na mesma conexão.

– Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação.

Page 43: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtro de Pacotes

• Usualmente implementado em roteadores.

• São idependentes da aplicação (analisam apenas informações de IP e Porta).

• Tem alto desempenho.

Page 44: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Filtro de Pacotes: Problemas de Segurança

• São stateless:– Precisam liberar

todas as portas de cliente (> 1023) para permitir uma comunicação FTP.

• Apenas duas opções:– Ou libera-se todas

as portas ou bloqueia-se o serviço todo.

Page 45: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Gateways de Aplicação

• Uma alternativa para os filtros de pacotes são os gateways de aplicação.– Gateways de aplicação (Proxy) são "statefull": Isto é,

eles guardam o estado das conexões inciadas pelos clientes.

– Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes.

– Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho.

Page 46: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Application Layer Gateways

• Usualmente Implementados como serviços.

• O Gateway de Aplicação é visto pelos clientes como um Servidor.

• Abrem apenas a porta do cliente utilizada para fazer a conexão com o servidor.

Page 47: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Gateways de Aplicação

• Dependentes de Aplicação– Examinam o conteúdo dos pacotes, incluido os protoclos de aplicação.– Exemplo: Proxy HTTP

• Independentes da Aplicação– Não precisa examinar o conteúdo.– Exemplo: Socks

8080

1024

1025

1026

1024

1024

80

80

1025

1

2

3

1*

2*

3*

Page 48: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Proxy Socks X Proxy de Aplicação

Cliente Socks

Socks Proxy

Server

CONNECT: IP_Destino, Porta_Destino, UserID

8010801024 1024

O cliente SOCKS inclui automaticamente informações adicionais (durante a conexão TCP ou nos pacotes UDP), que são utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino.

AplicaçãoProxy-

Enabled

Proxy de Aplicação

Server

Get http:www.pucpr.br

8010801024 1024

O proxy de aplicação localiza o Servidor de Destino analisando as informações do protocolo de aplicação.

Page 49: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Limitações dos Gateways de Aplicação

• Proxys de Aplicação– Limitam o tipo de aplicativo que pode ser utilizado na

rede.– Funcionam apenas para os aplicativos que foram

reescritos para utilizar o Proxy.• Proxy Socks

– A versão corrente do protocolo SOCKs é 5.0• RFC1928: suporta TCP , UDP e autenticação

– A versão 4 suporta apenas TCP.– Algumas soluções proprietárias suportam também

ICMP.

Page 50: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Application Layer GatewayProblemas de Desempenho

• Quebram o esquema cliente-servidor (o proxy cria uma nova conexão para cada cliente).– O número de

sessões no Gateway é duplicado.

– Cada conexão mantém um processo no Proxy.

Page 51: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Stateful Inspection

• Tecnologia Desenvolvida pela CheckPoint.• Implementa o conceito de estado sem criar novas

conexões no roteador.– Um módulo de software analisa permanentemente o conteúdo

dos pacotes que atravessam o firewall.– As informações relevantes dos pacotes são armazenadas em

tabelas dinâmicas para porterior uso.– A decisão quanto a passagem ou não de um pacote leva em

conta o conteúdo de pacotes anteriormente trocados na mesma conexão.

Page 52: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Stateful Inspection

• Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente.

200.0.0.1:1024 >>> 210.0.0.2:53

tempo tempo...

210.0.0.2:53 >>> 200.0.0.1:1024

210.0.0.2:53 >>> 200.0.0.1:1026

210.0.0.2:53 >>> 200.0.0.2:1025

200.0.0.1:1024 >>> 210.0.0.2:53

Page 53: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Stateful Inspection

• Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor.

• A informação de estado é capturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.

Page 54: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Stateful Inspection

• Quando o cliente requisita um serviço FTP, o Firewall armazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente.

Page 55: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Segurança de Conteúdo

• Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall.

• Normalmente, apenas os protocolos mais comuns são analisados.– HTTP: Permite Filtrar:

• Métodos de acesso (GET, POST), URLs ("*.sk"), etc• TAGS em HTML com referências a Applets em Java ou Objetos

Active X.• Dowload de certos tipos MIME.

– FTP: Permite Filtrar• Comandos específicos (PUT, GET), Nomes de Arquivo• Pode disparar antivirus para verificação de arquivos.

– SMTP: Permite criar regras de Filtragem baseadas• Nos campos FROM e TO• Tipo MIME• Etc.

Page 56: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Integração com Métodos de Autenticação

• Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP.

• Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando.

• Esta tecnologia só é possível para firewalls "Stateful".• Três métodos são usualmente disponíveis:

– User Authentication (transparente)– Session Autentication– Mapeamento Transparente do Usuário em Endereço

Page 57: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Integração com Métodos de Autenticação

– User Authentication (transparente)• Permite a usuário remoto acessar um serviço da rede

independente do seu IP.• O firewall reconhece o login do usuário analisando o conteúdo

dos protocolos FTP, HTTP, TELNET e RLOGIN.– Session Authentication

• Quando o usuário tenta acessar um serviço da rede o Firewall envia para o cliente um pedido de login (challange message).

• O cliente deve ter um software especial para confirmar a senha.

• Só então o acesso é permitido (ou negado).

Page 58: 2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

2002, Edgard Jamhour

Integração com Métodos de Autenticação

• Mapeamento Transparente entre Usuário e Endereço– O Firewall captura mensagens DHCP para as máquinas.– O Firewall captura as mensagens de login trocadas entre o

usuário e o servidores de domínio da rede.• CHECK POINT, por exemplo, suporta as mensagens do

Windows NT.• O usuário não se loga no Firewall, o sucesso do login é

identificado pelo Firewall também capturando as mensagens do servidor.