of 70/70
2009, Edgard Jamho FIREWALLS Edgard Jamhour

2009, Edgard Jamhour FIREWALLS Edgard Jamhour. 2009, Edgard Jamhour FILTRO Riscos a Segurança de uma Rede sniffing Invasão spoofing Invasão

  • View
    111

  • Download
    1

Embed Size (px)

Text of 2009, Edgard Jamhour FIREWALLS Edgard Jamhour. 2009, Edgard Jamhour FILTRO Riscos a Segurança de...

  • Slide 1
  • 2009, Edgard Jamhour FIREWALLS Edgard Jamhour
  • Slide 2
  • 2009, Edgard Jamhour FILTRO Riscos a Segurana de uma Rede sniffing Invaso spoofing Invaso
  • Slide 3
  • 2009, Edgard Jamhour Tipos de Ameaas a Segurana de uma Rede Invaso de Rede (Network Intrusion) Algum de fora acessa a uma mquina da rede com poderes de administrador. A invaso feita descobrindo-se a senha ou usando algum furo escondido do sistema operacional. IP Address Spoofing Algum da rede externa se faz passa por um IP da sua rede interna. Packet Sniffing Escuta do trfego local que se propaga pela Ethernet.
  • Slide 4
  • 2009, Edgard Jamhour Camada Fsica e Enlace de Dados Tecnologias de Redes Locais, como Ethernet, funcionam com broadcast fsico, o que permite fazer sniffing na rede. MAC 01-02-03-04-05-06 MAC 01-02-03-04-05-07 MAC 01-02-03-04-05-08 destino 01-02-03-04-05-07 origem 01-02-03-04-05-06 Se a interface do computador for colocada em modo promscuo, a informao pode ser facilmente interceptada sniffing
  • Slide 5
  • 2009, Edgard Jamhour Switch: Isolando Domnios de Coliso Packet sniffing pode ser combativo de duas formas: com criptografia e com switches. Os computadores que esto conectados a portas isoladas de um switch so imunes a sniffing. ABC SWITCH HUB DEF HUB G Mesmo domnio de broadcast No h possibilidade de sniffing
  • Slide 6
  • 2009, Edgard Jamhour Filtragem de Pacotes Protolco de Aplicao FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Fsica Aplicaes A filtragem de pacotes feita com base nas informaes contidas no cabealho dos protocolos. Tecnologia heterognea aplicao transporte rede enlace fsica Seqncia de empacotamento
  • Slide 7
  • 2009, Edgard Jamhour Implementao Fsica No software do Roteador: screening routers No software de uma estao dedicada (um PC com duas placas de rede). REDE EXTERNA FIREWALL ROTEADOR FIREWALL ROTEADOR REDE EXTERNA REDE INTERNA REDE INTERNA PERSONAL FIREWALL
  • Slide 8
  • 2009, Edgard Jamhour Exemplo Roteadores Cisco PIX Firewall Firewall Roteador Proxy Detetor de ataques (SMTP, etc) Defesa contra fragmentao de IP Implementa VPN com IPsec Mais de 256K sesses simultneas.
  • Slide 9
  • 2009, Edgard Jamhour Exemplo Implementao por Software Check Point Firewall Interface Grfica Mdulo de Firewall Mdulo de Gerenciamento Mtiplas Plataformas Windows, Solaris, Linux, HP-UX, IBM AIX Controle de Segurana e Qualidade de Servio.
  • Slide 10
  • 2009, Edgard Jamhour Segurana na Camada IP = Roteamento Seletivo Roteador Filtro Roteador REDE 200.17.98.X REDE 200.134.51.X Bloquear pacotes recebidos de uma rede diferente de 200.17.134.X Bloquear pacotes destinados a uma rede diferente de 200.17.134.X
  • Slide 11
  • 2009, Edgard Jamhour Filtragem de Pacotes Internet screening router O roteamento ou rejeio de pacotes feito de acordo com a poltica de segurana da empresa. Interface interna Interface externa
  • Slide 12
  • 2009, Edgard Jamhour Exemplos de Objetivos do Roteamento Seletivo Bloquear todas as conexes que chegam de um sistema externo da rede interna, exceto conexes SMTP. Liberar conexes externas apenas para uma mquina especfica da rede (e.g. servidor Web). Permitir aos usurios internos iniciarem conexes de Telnet com o meio externo, mas no o contrrio. Liberar acesso a Internet apenas para algumas mquinas da rede interna.
  • Slide 13
  • 2009, Edgard Jamhour Regras de Filtragem Recebe pacote Analisa Cabealho OK para encaminhar? Precisa para bloquear? ltima Regra? Bloquear Pacote Encaminhar Pacote S S N N N S
  • Slide 14
  • 2009, Edgard Jamhour Exemplo AO permitir negar IP ORIGEM 200.17.98.0: 200.17.98.255 * IP DESTION * 200.17.98.0: 200.17.98.255 * Interpretao: Geralmente, as regras so definidas individualmente para cada interface. Cada interface controla apenas os pacotes que entram no roteador. INTERFACE 1 (sair) 2 (entrar) * INTERFACE 1INTERFACE 2 Rede Externa No -Confivel Rede Interna Confivel
  • Slide 15
  • 2009, Edgard Jamhour Filtragem com base nas Portas TCP e UDP As informaes introduzidas no cabealho de controle dos protocolos TCP e UPD permitem identificar o tipo de servio executado na Internet. Essa caracterstica permite estabelecer regras diferenciadas para cada tipo de aplicao executada na Internet, ou numa Intranet. Por exemplo, possvel estabelecer regras de segurana que se aplique somente ao servio de ftp ou somente ao servio de telnet. PORTA DE DESTINO PORTA DE ORIGEM datagrama DADOS
  • Slide 16
  • 2009, Edgard Jamhour Portas bem Conhecidas Portas Bem conhecidas (well known ports): Funo padronizada pela IANA (The Internet Assigned Numbers Authority) Geralmente usada pelos servidores de servios padronizados. Portas livres: Usadas pelos clientes e pelos servios no padronizados 0 . 1023 1024 . 65535 PORTAS TCP ou UDP
  • Slide 17
  • 2009, Edgard Jamhour Exemplos de portas bem conhecidas
  • Slide 18
  • 2009, Edgard Jamhour Exemplo de Regras de Filtragem regra aointerface/ sentido protocoloIP origem IP destino Porta origem Porta destino Flag ACK 1aceitarrede interna/ para fora TCPinternoexterno> 102480*[1][1] 2aceitarrede externa/ para dentro TCPexternointerno80> 10231 3rejeitar******* [1][1] O smbolo "*" indica que qualquer valor aceitvel para regra.
  • Slide 19
  • 2009, Edgard Jamhour Problema:Spoofing de Porta Como diferenciar um ataque externo de uma resposta solicitada por um usurio interno? 1024... 80 80 1024 23 necessrio liberar pacotes com porta de origem 80 para que a resposta possa passar. Como evitar que a porta 80 seja usada para atacar usurios internos?
  • Slide 20
  • 2009, Edgard Jamhour Caracterstica da Comunicao TCP Comunicao bidirecional, confivel e orientada a conexo. O destino recebe os dados na mesma ordem em que foram transmitidos. O destino recebe todos os dados transmitidos. O destino no recebe nenhum dado duplicado. O protocolo TCP rompe a conexo se algumas das propriedades acima no puder ser garantida.
  • Slide 21
  • 2009, Edgard Jamhour Flags TCP RES: Reservado (2 bits) URG: Urgent Point ACK: Acknowlegment PSH: Push Request RST: Reset Connection SYN: Synchronize Seqence Number FIN: Mais dados do transmissor
  • Slide 22
  • 2009, Edgard Jamhour Flag ACK Uma conexo TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0. ACK=0 ACK=1 tempo ACK=1...
  • Slide 23
  • 2009, Edgard Jamhour Filtragem com Protocolo UDP Comunicao bidirecional, sem nenhum tipo de garantia. Os pacotes UDP podem chegar fora de ordem. Pode haver duplicao de pacotes. Os pacotes podem ser perdidos. Cada pacote UDP independente no contm informaes equivalentes ao flag ACK dos pacotes.
  • Slide 24
  • 2009, Edgard Jamhour Mensagem UDP As mensagens UDP no possuem flags de controle pois o protocolo UDP no oferece a mesma qualidade de servio que o protocolo TCP.
  • Slide 25
  • 2009, Edgard Jamhour Dynamic Packet Filtering com UDP Para poder criar regras sobre quem inicia uma comunicao no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas. 200.0.0.1:1025 >>> 210.0.0.2:53 tempo... 210.0.0.2:53 >>> 200.0.0.1:1025 210.0.0.2:53 >>> 200.0.0.1:1026 210.0.0.2:53 >>> 200.0.0.2:1025
  • Slide 26
  • 2009, Edgard Jamhour Regras para Filtragem de Pacotes Implementao: Analisar o cabealho de cada pacote que chega da rede externa, e aplicar uma srie de regras para determinar se o pacote ser bloqueado ou encaminhado. ESTRATGIAS A) TUDO QUE NO PROIBIDO PERMITIDO. B) TUDO QUE NO PERMITIDO PROIBIDO.
  • Slide 27
  • 2009, Edgard Jamhour Exemplo: TUDO QUE NO PERMITIDO PROIBIDO Ao permitir negar Protocolo tcp * IP Origem interno * Porta Origem > 1023 23 * IP Destino * interno * Porta Destino 23 > 1023 * ACK * 1 * Interpretao: Hosts Internos podem acessar servidores de telnet internos ou externos. Hosts externos podem apenas responder a requisies, no podem iniciar um dilogo (estabelecer uma conexo). Direo Sair Entrar *
  • Slide 28
  • 2009, Edgard Jamhour Regras de Filtragem Recebe pacote Analisa Cabealho OK para encaminhar? Precisa para bloquear? ltima Regra? Bloquear Pacote Encaminhar Pacote S S N N N S
  • Slide 29
  • 2009, Edgard Jamhour Exemplo INTERNET 1 2 200.17.98.? ?.?.?.? 23 Ao permitir negar Protocolo tcp * IP Origem 200.17.98.0:24 * Porta Origem > 1023 * IP Destino * Porta Destino 23 * ACK * INTERFACE 1 INTERFACE 2 Ao permitir negar Protocolo tcp * IP Origem * Porta Origem 23 * IP Destino 200.17.98.0:24 * Porta Destino > 1023 * ACK 1 * > 1023
  • Slide 30
  • 2009, Edgard Jamhour Exemplo Interpretao: Hosts Internos podem acessar servidores de telnet internos ou externos. Hosts externos podem acessar servidores de web internos. Ao permitir negar Protocolo tcp * IP Origem interno * interno * Porta Origem > 1023 23 > 1023 80 * IP Destino * interno * Porta Destino 23 > 1023 80 > 1023 * ACK * 1 * 1 * Direo Out In Out *
  • Slide 31
  • 2009, Edgard Jamhour Seqncia de Criao de Regras A seqncia na qual as regras so aplicadas pode alterar completamente o resultado da poltica de segurana. Por exemplo, as regras de aceite ou negao incondicional devem ser sempre as ltimas regras da lista. Ao permitir negar Protocolo tcp * IP Origem interno * interno * Porta Origem > 1023 23 > 1023 23 * IP Destino * interno * Porta Destino 23 > 1023 23 > 1023 * ACK * 1 * 1 * Direo Out In Out * O deslocamento de uma regra genrica para cima anula as demais.
  • Slide 32
  • 2009, Edgard Jamhour Ciclos CPU 100 MHz 286000 8000 1600 160 16 Desempenho do Filtro de Pacotes O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmisso, esse processamento pode ou no causar uma degradao do desempenho da rede. Conexo 56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s Pacotes/s (20 bytes) 350 12500 62500 625000 6250000 Tempo disponvel 2.86 ms 80 s 16 s 1.6 s 0.16 s
  • Slide 33
  • 2009, Edgard Jamhour Exerccio 1 INTERNET 200.17.98.0 255.255.255.0 ?.?.?.? > 1023 TCP 80TCP 25 UDP 53 TCP 80TCP 25 UDP 53 200.17.98.2200.17.98.3 200.17.98.4
  • Slide 34
  • 2009, Edgard Jamhour Exerccio 1 Defina as regras de filtragem implementar a seguinte poltica de segurana: a)Os computadores da rede Interna podem acessar qualquer servidor Web na Internet. b)Computadores da rede Externa podem acessar apenas o servidor Web da rede Interna. c)O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet. d)O servidor de email interno deve poder se comunicar com outros servidores de email da Internet. e)Todos os demais acessos so proibidos.
  • Slide 35
  • 2009, Edgard Jamhour Exerccio 1 AOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK
  • Slide 36
  • 2009, Edgard Jamhour Arquiteturas de Filtros de Pacotes Filtros de Pacotes so os principais componentes dos Firewalls. Rede Interna Confivel Rede Externa No -Confivel Estratgia de Firewall Filtros de Pacotes e Gateways de Aplicao
  • Slide 37
  • 2009, Edgard Jamhour A - Definies Firewall Um componente ou conjunto de componentes que restringem o acesso entre um rede protegida e a Internet, ou entre outro conjunto de redes. Host Um computador conectado a rede. Bastion Host Um computador que precisa ser altamente protegido, pois suscetvel a sofrer ataques. O bastion host um computador exposto simultaneamente a Internet e a rede interna.
  • Slide 38
  • 2009, Edgard Jamhour Definies Dual-homed host Qualquer computador com duas interfaces (placas) de rede. Packet Unidade fundamental de comunicao na Internet. Packet Filtering (screening) Controle seletivo do fluxo de dados que entra e sai de uma rede. A filtragem de pacotes feita especificando um conjunto de regras que determinam que tipos de pacotes (baseados em IP e portas) so permitidos e que tipos devem ser bloqueados.
  • Slide 39
  • 2009, Edgard Jamhour Definies Perimeter Network Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurana. Tambm chamada de DMZ (De-Militarized Zone). Proxy Server Um programa que intermedia o contado de clientes internos com servidores externos.
  • Slide 40
  • 2009, Edgard Jamhour B) Arquiteturas Bsicas de Firewall I) Dual-Homed Host com Proxy II) Filtragem Simples de Pacotes III) DMZ (Rede de Permetro)
  • Slide 41
  • 2009, Edgard Jamhour Proteo por Tipos de IP IPs pblicos Tem acesso a qualquer servio na Internet. Podem ser protegidos por firewalls: Filtragem Simples de Pacotes ou DMZ. IPs privados So naturalmente protegidos de acessos externos. Elementos so colocados na rede para permitir o seu acesso a servios disponveis na Internet.
  • Slide 42
  • 2009, Edgard Jamhour I) Dual-Homed com Proxy Interface interna Interface externa Dual-Homed Host Hosts Internos Proxy Bastion Host RoteamentoDesabilitado INTERNET Rede com IPs Privados IP privado IP pblico
  • Slide 43
  • 2009, Edgard Jamhour Proteo com Roteador e NAT Interface interna Interface externa Roteador com NAT Hosts Internos Firewall RoteamentoDesabilitado INTERNET Rede com IPs Privados IP privado IP pblico
  • Slide 44
  • 2009, Edgard Jamhour II) Filtragem Simples Interface interna Interface externa Screening Router Host Interno Bastion Host FIREWALL INTERNET
  • Slide 45
  • 2009, Edgard Jamhour Regras de Filtragem O bastion host diferenciado dos demais computadores pelas regras do filtro de pacotes. No exemplo abaixo, o bastion host o nico computador que pode receber conexes externas. Todavia, o nico servio habilitado o http. Ao permitir negar Protocolo tcp * IP Origem interno * b.host * Porta Origem > 1023 * > 1023 80 * IP Destino * interno b.host * Porta Destino * > 1023 80 > 1023 * ACK * 1 * Direo Out In Out *
  • Slide 46
  • 2009, Edgard Jamhour III) Rede de Permetro (DMZ) Host Interno Internet Roteador Interno Bastion Host DMZ - Rede de Permetro Rede Interna Roteador Externo
  • Slide 47
  • 2009, Edgard Jamhour Roteador Interno (Choke Router) Protege a rede interna da rede externa e da rede de permetro. responsvel pela maioria das aes de filtragem de pacotes do firewall. Ao permitir negar Protocolo tcp * IP Origem interno * Porta Origem > 1023 * IP Destino * interno * Porta Destino * > 1023 * ACK * 1 * Direo Out In * EXEMPLO DE REGRAS PARA O CHOKE ROUTER
  • Slide 48
  • 2009, Edgard Jamhour Roteador Externo (Access Router) Protege a rede interna e a rede de permetro da rede externa. Muitas vezes, a funo o roteador externo est localizado no provedor de acesso. Em geral, utiliza regras de filtragem pouco severas. Ao permitir negar Protocolo tcp * IP Origem interno * dmz * Porta Origem > 1023 * > 1023 * IP Destino * interno dmz * Porta Destino * > 1023 * > 1023 * ACK * 1 * Direo Out In Out * EXEMPLO DE REGRAS PARA O ACCESS ROUTER
  • Slide 49
  • 2009, Edgard Jamhour Rede de Permetro com Proxy Hosts Internos Com IPs Privados Internet Bastion Host DMZ - Rede de Permetro Rede Interna Roteador Externo Servidor Proxy
  • Slide 50
  • 2009, Edgard Jamhour EXERCCIO Hosts Interno Internet Roteador Interno Bastion Host DMZ - Rede de Permetro Rede Interna Roteador Externo I1 I2 E1 E2 200.0.0.1 200.0.0.2 200.0.0.3 200.0.0.4 200.1.0.1 200.1.0.2 200.1.0.3 200.2.0.1
  • Slide 51
  • 2009, Edgard Jamhour DEFINIO DAS ROTAS Indique as Rotas que Devem Existir: A) Computadores da Rede Interna B) Roteador Interno C) Bastion Host D) Roteador Externo
  • Slide 52
  • 2009, Edgard Jamhour EXERCCIO Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para: A) Permitir aos computadores externos acessarem o servio HTTP no bastion HOST. B) Permitir aos computadores externos acessar o servio SMTP no bastion HOST. C) Permitir aos usurios internos acessarem o servio POP, SMTP e HTTP no bastion HOST. D) Permitir aos usurios internos acessarem qualquer servidor HTTP externo. E) Proibir todos os demais acessos.
  • Slide 53
  • 2009, Edgard Jamhour Roteador Interno AOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK
  • Slide 54
  • 2009, Edgard Jamhour Roteador Externo AOINTERFACEPROTOCOLOIP ORIGEMIP DESTINOPORTA ORIGEM PORTA DESTINO FLAG ACK
  • Slide 55
  • 2009, Edgard Jamhour Novas Tecnologias para Firewalls PARTE 1: Stateful Inspection PARTE 2: IP Sec PARTE 3: Integrao com Servios de Diretrio (LDAP)
  • Slide 56
  • 2009, Edgard Jamhour Stateful Inspection As primeiras geraes de firewall eram ditos "stateless". Cada pacote analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexo. Os firewalls baseados em filtros de pacotes no olham o contedo dos protocolos de aplicao. Uma alternativa para os filtros de pacotes so os gateways de aplicao. Gateways de aplicao (Proxy) so "stateful": Isto , eles guardam o estado das conexes inciadas pelos clientes. Alguns tipos de gateways de aplicao (Proxy) so capazes de analisar o contedo dos pacotes. Todavia, so dependentes da aplicao (no funcionam para aplicaes desconhecidas) e tem baixo desempenho.
  • Slide 57
  • 2009, Edgard Jamhour Filtro de Pacotes Usualmente implementado em roteadores. So idependentes da aplicao (analisam apenas informaes de IP e Porta). Tem alto desempenho.
  • Slide 58
  • 2009, Edgard Jamhour Filtro de Pacotes: Problemas de Segurana So stateless: Precisam liberar todas as portas de cliente (> 1023) para permitir uma comunicao FTP. Apenas duas opes: Ou libera-se todas as portas ou bloqueia-se o servio todo.
  • Slide 59
  • 2009, Edgard Jamhour Application Layer Gateways Usualmente Implementados em Servidores. Duas verses: Dependentes de Aplicao Examinam o contedo dos pacotes, incluido os protoclos de aplicao. No abrem as portas dos clientes. Socks No precisa examinar o contedo.
  • Slide 60
  • 2009, Edgard Jamhour Socks Proxy Um proxy pode ser configurado de duas maneiras: A) Em cada aplicao cliente Browser, FTP, etc. B) No sistema operacional Substituindo o driver de sockets. Neste caso, o cliente e o proxy conversam atravs de um protocolo denominado Socks. Este protocolo redireciona todos as informaes transmitidas pelo cliente par ao Proxy, e inclui novos campos para identificar o destino das mensagens. WinSock Socks Aplicao Sockets TCPUDP IP
  • Slide 61
  • 2009, Edgard Jamhour Procolo Socks A verso corrente do protocolo SOCKs 5.0 RFC1928: suporta TCP, UDP e autenticao As implementaes atuais, entretanto, esto na verso 4 Suporta apenas TCP. Algumas solues proprietrias suportam tambm ICMP. Cliente Socks Socks Proxy Server CONNECT: IP_Destino, Porta_Destino, UserID IP destino, Porta Destino PORTA
  • Slide 62
  • 2009, Edgard Jamhour Application Layer Gateway Problemas de Desempenho Quebram o esquema cliente- servidor (o proxy cria uma nova conexo para cada cliente). O nmero de sesses no Gateway duplicado. Cada conexo mantm um processo no Proxy.
  • Slide 63
  • 2009, Edgard Jamhour Stateful Inspection Tecnologia Desenvolvida pela CheckPoint. Implementa o conceito de estado sem criar novas conexes no roteador. Um mdulo de software analisa permanentemente o contedo dos pacotes que atravessam o firewall. As informaes relevantes dos pacotes so armazenadas em tabelas dinmicas para porterior uso. A deciso quanto a passagem ou no de um pacote leva em conta o contedo de pacotes anteriormente trocados na mesma conexo.
  • Slide 64
  • 2009, Edgard Jamhour Stateful Inspection Para poder criar regras sobre quem inicia uma comunicao, o firewall armazena informaes sobre as portas utilizadas pelo cliente. 200.0.0.1:1025 >>> 210.0.0.2:53 tempo... 210.0.0.2:53 >>> 200.0.0.1:1025 210.0.0.2:53 >>> 200.0.0.1:1026 210.0.0.2:53 >>> 200.0.0.2:1025
  • Slide 65
  • 2009, Edgard Jamhour Stateful Inspection Analisa o contedo dos pacotes sem quebrar o modelo cliente servidor. A informao de estado capturada quando o pacote atravs o firewall e armazenadas em tabelas dinmicas.
  • Slide 66
  • 2009, Edgard Jamhour Stateful Inspection Quando o cliente requisita um servio FTP, o Firewall armazena a porta utilizada numa tabela dinmica, no liberando nenhuma outra porta do cliente.
  • Slide 67
  • 2009, Edgard Jamhour Segurana de Contedo Alm das informaes de portas, as informaes de contedo tambm so utilizadas pelo Firewall. Normalmente, apenas os protocolos mais comuns so analisados. HTTP: Permite Filtrar: Mtodos de acesso (GET, POST), URLs ("*.sk"), etc TAGS em HTML com referncias a Applets em Java ou Objetos Active X. Dowload de certos tipos MIME. FTP: Permite Filtrar Comandos especficos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificao de arquivos. SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.
  • Slide 68
  • 2009, Edgard Jamhour Integrao com Mtodos de Autenticao Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usurio ao invs do endereo IP. Estas tcnicas simplificam o processo de criar regras de filtragem pois o usurio pode acesar o servio independentemente da mquina que estiver usando. Esta tecnologia s possvel para firewalls "Stateful". Trs mtodos so usualmente disponveis: User Authentication (transparente) Session Autentication Mapeamento Transparente do Usurio em Endereo
  • Slide 69
  • 2009, Edgard Jamhour Integrao com Mtodos de Autenticao User Authentication (transparente) Permite a usurio remoto acessar um servio da rede independente do seu IP. O firewall reconhece o login do usurio analisando o contedo dos protocolos FTP, HTTP, TELNET e RLOGIN. Session Authentication Quando o usurio tenta acessar um servio da rede o Firewall envia para o cliente um pedido de login (challange message). O cliente deve ter um software especial para confirmar a senha. S ento o acesso permitido (ou negado).
  • Slide 70
  • 2009, Edgard Jamhour Integrao com Mtodos de Autenticao Mapeamento Transparente entre Usurio e Endereo O Firewall captura mensagens DHCP para as mquinas. O Firewall captura as mensagens de login trocadas entre o usurio e o servidores de domnio da rede. CHECK POINT, por exemplo, suporta as mensagens do Windows NT. O usurio no se loga no Firewall, o sucesso do login identificado pelo Firewall tambm capturando as mensagens do servidor.