Prof. Celso Cardoso Neto

2

RoteiroRoteiro

IntroduçãoIntrodução Características do Características do FirewallFirewall Tipo de FirewallTipo de Firewall

• Filtro de PacotesFiltro de Pacotes

• Servidores ProxyServidores Proxy

Tipos avançados de Tipos avançados de FirewallFirewall• Bastion HostBastion Host

• FirewallsFirewalls híbridos híbridos

3

Roteiro Roteiro (cont)(cont)

Arquiteturas de Arquiteturas de FirewallFirewall

• Screened HostScreened Host

• Screened SubnetScreened Subnet

ConclusãoConclusão

ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA EMPRESA

INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE REDE, FILTRANDO O QUE PODE PASSAR OU NÃO

FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS PLACAS DE REDE

DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A REDE É PRIVADA (SEGURA)

FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES: RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)

INTRODUÇÃO

ESQUEMA BÁSICO DE IMPLANTAÇÃO DE UM “FIREWALL”

ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL PROTEGENDO UMA REDE CONECTADA À INTERNET

ESQUEMA EMPREGANDO UM “FIREWALL” E UM ROTEADOR PARA CONECTAR UMA REDE À INTERNET

É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES

ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL

A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO MUDOU.A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES

UM HACKER QUE INVADISSE UM SERVIDOR WEB NA REDE INTERNA PODERIA CAUSAR DANOS NA REDE DA EMPRESA. ASSIM, SURGIU A SOLUÇÃO AO LADO.O SERVIDOR WEB FICA FORA DA ZONA DE PROTEÇÃO DO FIREWALL

ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL, MAS COM O SERVIDOR DE BD WEB DENTRO

A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA REDE INTERNA.NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA

A SOLUÇÃO APONTOU PARA O ESQUEMA AO LADO, COLOCANDO O BD NA REDE INTERNA E ABRINDO UMA REGRA NO FIREWALL PERMITINDO QUE O SERVIDOR WEB ACESSASSE ESTE BD.É SOLUÇÃO SEGURA ? NÃO.

QUAL A SOLUÇÃO PARA O PROBLEMA ?

É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁ-LO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ? A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”)

ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - FALHA)

REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO OS SERVIDORES WEB E DE BDNO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE INTERNA. AGORA TUDO ESTAVA PROTEGIDO, O ACESSO À REDE INTERNA NEGADO, MAS SE UM HACKER OBTÉM ACESSO AO SERVIDOR WEB TAMBÉM ACESSA O BDQUEM DESEJA ACESSO À REDE INTERNA SE JÁ TEM ACESSO AO BD DE UM HOME BANKING (POR EXEMPLO) ?

ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - SOLUÇÃO PARA A FALHA)

OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ INDICADA NA FIGURA

AGORA APENAS O SERVIDOR WEB ESTÁ NA DMZ. O FIREWALL 2 (INTERNO) PERMITE APENAS O ACESSO NECESSÁRIO AO BD, EVITANDO MUITAS DAS ALTERAÇÕES QUE UM ACESSO TOTAL À MÁQUINA ONDE ESTÁ O SERVIDOR PERMITIRIA

12

ObjetivosObjetivos

Alto índice de ataques a redesAlto índice de ataques a redes

Necessidade de controle de Necessidade de controle de

tráfegotráfego

Garantir integridade aos serviçosGarantir integridade aos serviços

Alta demanda dos serviços da Alta demanda dos serviços da

InternetInternet

13

FirewallFirewall

Definição de Definição de FirewallFirewall Funções do FirewallFunções do Firewall Estrutura de um FirewallEstrutura de um Firewall Classificação básicaClassificação básica

14

FirewallFirewall

Ilustração:

15

Princípios BásicosPrincípios Básicos

Toda solicitação chega ao Toda solicitação chega ao FirewallFirewall

Somente tráfego autorizado passa Somente tráfego autorizado passa pelo pelo FirewallFirewall

O próprio O próprio FirewallFirewall deve ser imune deve ser imune a penetraçãoa penetração

16

O que um Firewall O que um Firewall pode fazer?pode fazer?

É um foco para a tomada de É um foco para a tomada de decisõesdecisões

• Pode ser usado como um ponto de Pode ser usado como um ponto de partida para a política de segurançapartida para a política de segurança

Pode gravar requisiçõesPode gravar requisições

Limita a exposição da redeLimita a exposição da rede

17

O que um Firewall O que um Firewall não pode fazer?não pode fazer?

Proteger uma rede contra usuários Proteger uma rede contra usuários internosinternos

Proteger uma rede contra Proteger uma rede contra conexões que não passam por eleconexões que não passam por ele

Proteger contra ameaças Proteger contra ameaças completamente novascompletamente novas

Proteger contra vírusProteger contra vírus

18

Tipos de Tipos de FirewallFirewall

Existem dois principais tipos:Existem dois principais tipos:

• Filtro de Pacotes;Filtro de Pacotes;

• Servidores Proxy.Servidores Proxy.

19

Filtro de PacotesFiltro de Pacotes

Filtrar = peneirar, separarFiltrar = peneirar, separar

Controle do tráfego que entra e saiControle do tráfego que entra e sai

Filtro de pacotes em RoteadoresFiltro de pacotes em Roteadores

Incrementa a segurançaIncrementa a segurança

Transparente aos usuáriosTransparente aos usuários

Grande variedade no mercadoGrande variedade no mercado

20

As regras dos filtros se contém:As regras dos filtros se contém:• Endereço IP de origemEndereço IP de origem

• Endereço IP de destinoEndereço IP de destino

• Protocolos TCP, UDP, ICMPProtocolos TCP, UDP, ICMP

• Portas TCP ou UDP origemPortas TCP ou UDP origem

• Portas TCP ou UDP destinoPortas TCP ou UDP destino

• Tipo de mensagem ICMPTipo de mensagem ICMP

Filtro de PacotesFiltro de Pacotes

Internet

Roteador comFiltro de Pacotes

Rede Interna

Router

21

Filtro de PacotesFiltro de Pacotes

22

Filtragem por adapatador de rede Filtragem por adapatador de rede

– vantagem ao administrador– vantagem ao administrador

Principais problemas do filtro:Principais problemas do filtro:• IP SpoofingIP Spoofing

• Serviço troca de portaServiço troca de porta

Filtros de pacotes não tratam Filtros de pacotes não tratam

protocolos da camada de aplicaçãoprotocolos da camada de aplicação

Filtro de PacotesFiltro de Pacotes

23

Filtragem = atraso no roteamentoFiltragem = atraso no roteamento

Filtros com Filtros com Inspeção com EstadoInspeção com Estado• Utilizam as flags do TCP (ACK, SYN, Utilizam as flags do TCP (ACK, SYN,

FIN)FIN)

• Vantagens: maior controleVantagens: maior controle

Filtros de pacotes não são uma Filtros de pacotes não são uma

solução única – é um complementosolução única – é um complemento

Filtro de PacotesFiltro de Pacotes

24

Exemplos de Exemplos de regrasregras do do IP FilterIP Filter::• block in log on tun0 proto tcp from any to

any

• pass in quick on eth0 proto tcp from any to

200.28.33.22 port 23 flags S keep state

keep frags

Filtro de PacotesFiltro de Pacotes

25

Servidores Proxy Servidores Proxy

Assumem requisições de usuários Assumem requisições de usuários de uma redede uma rede

Atuam em nome do cliente de Atuam em nome do cliente de uma forma transparenteuma forma transparente

Não permitem que pacotes Não permitem que pacotes passem diretamente entre cliente passem diretamente entre cliente e servidore servidor

26

Ilustração do funcionamentoIlustração do funcionamento

Servidores Proxy Servidores Proxy

27

Métodos de utilização:Métodos de utilização:

• Método da Conexão Direta;Método da Conexão Direta;

• Método do Cliente Modificado;Método do Cliente Modificado;

• Método do Proxy Invisível.Método do Proxy Invisível.

Servidores Proxy Servidores Proxy

28

Vantagens de utilização do Vantagens de utilização do proxyproxy::

• Permite ao usuário acesso direto Permite ao usuário acesso direto

aos serviços na Internet;aos serviços na Internet;

• Possui bons mecanismos de Possui bons mecanismos de loglog;;

• Provê uma ótima separação Provê uma ótima separação

entre as redes.entre as redes.

Servidores Proxy Servidores Proxy

29

Desvantagens do Desvantagens do proxyproxy::

• Cada serviço possui o seu servidor Cada serviço possui o seu servidor

pproxyroxy; ;

• Deve ser desenvolvida uma nova Deve ser desenvolvida uma nova

aplicação para cada novo serviço;aplicação para cada novo serviço;

• Existem alguns serviços inviáveis.Existem alguns serviços inviáveis.

Servidores Proxy Servidores Proxy

30

Servidores Proxy Servidores Proxy X X Filtro Filtro de Pacotes de Pacotes

Tomada de decisões:Tomada de decisões:

• Servidor Servidor proxyproxy toma decisões toma decisões

baseado em informações baseado em informações

fornecidas pelo serviço;fornecidas pelo serviço;

• Filtro de pacotes utiliza o Filtro de pacotes utiliza o

cabeçalho do pacote.cabeçalho do pacote.

31

Desempenho:Desempenho:• Filtro de pacotes possui uma Filtro de pacotes possui uma

vantagem por estar em nível mais vantagem por estar em nível mais baixo.baixo.

Auditoria:Auditoria:• Servidor Servidor proxyproxy possui vantagem por possui vantagem por

permitir auditoria sobre o controle do permitir auditoria sobre o controle do tráfego.tráfego.

Servidores Proxy Servidores Proxy X X Filtro Filtro de Pacotes de Pacotes

32

Tipos Adicionais de Tipos Adicionais de FirewallsFirewalls

Existem dois outros tipos de Existem dois outros tipos de

firewalls alternativos:firewalls alternativos:

• Firewalls Firewalls Híbridos;Híbridos;

• FirewallsFirewalls Bastion HostsBastion Hosts..

33

Firewalls Firewalls HibrídosHibrídos

A maioria dos A maioria dos firewallsfirewalls podem ser podem ser

classificados como Filtro de classificados como Filtro de

Pacotes ou Servidores Pacotes ou Servidores ProxyProxy

Outros tipos de Outros tipos de firewalls firewalls oferecem oferecem

uma combinação entre estes doisuma combinação entre estes dois

34

Ilustração exemploIlustração exemplo

Firewalls Firewalls HibrídosHibrídos

35

Firewalls Bation HostsFirewalls Bation Hosts

Hosts fortemente protegidos

Único computador da rede que pode

ser acessado pelo lado de fora do

firewall

Pode ser projetado para ser um

servidor Web, servidor FTP, dentre

outros

36

Firewalls Bation HostsFirewalls Bation Hosts

Ilustração :

37

Honey PotChamariz para crackers;

Função de coletar dados de

tentativas de invasão;

Ferramentas de registros de logs são

mantidas o mais seguro possível.

Firewalls Bation HostsFirewalls Bation Hosts

38

Arquiteturas de FWArquiteturas de FW

O que é uma arquitetura de O que é uma arquitetura de Firewall Firewall ??

Principais:Principais:• Screened hostScreened host

• Screened subnetScreened subnet

ScreenedScreened = proteger, peneirar, = proteger, peneirar,

investigarinvestigar

39

Screened hostScreened host

Sem sub-rede de proteçãoSem sub-rede de proteção

Elementos = 1 roteador e 1 Elementos = 1 roteador e 1 bation bation

hosthost

Rede protegida sem acesso direto Rede protegida sem acesso direto

ao “mundo”ao “mundo”

Bastion hostBastion host realiza o papel de realiza o papel de

procurador – só ele passa pelo procurador – só ele passa pelo

roteadorroteador

40

• Ilustração desta arquitetura

Screened hostScreened host

41

Screened SubnetScreened Subnet

Apresenta múltiplos níveis de Apresenta múltiplos níveis de redundânciaredundância

É a mais seguraÉ a mais segura Componentes:Componentes:

• Roteador externoRoteador externo• Subrede intermediária (DMZ)Subrede intermediária (DMZ)• Bastion HostBastion Host• Roteador InternoRoteador Interno

42

O que é a DMZ (O que é a DMZ (De Militarized ZoneDe Militarized Zone)?)?

• Sub-rede entre a rede externa e a Sub-rede entre a rede externa e a protegida. Proporciona segurança.protegida. Proporciona segurança.

Rede interna somente têm acesso Rede interna somente têm acesso ao ao Bastion HostBastion Host

Somente a subrede DMZ é Somente a subrede DMZ é conhecida pela Internetconhecida pela Internet

Screened SubnetScreened Subnet

43

Ilustração desta arquiteturaIlustração desta arquiteturaScreened SubnetScreened Subnet

44

ConclusãoConclusão

Importante ferramenta na proteção Importante ferramenta na proteção

FirewallFirewall não deve ser o único não deve ser o único

componente da política de componente da política de

segurançasegurança

Qual é a melhor solução de Qual é a melhor solução de

projeto de projeto de firewallfirewall para para

redes?redes?

45

Links ÚteisLinks Úteis

Firewalls – UFRJ - Firewalls – UFRJ - http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.hthttp://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.ht

mm

Internet Firewalls – UFRGS -Internet Firewalls – UFRGS -

http://penta.ufrgs.br/redes296/firewall/fire.htmlhttp://penta.ufrgs.br/redes296/firewall/fire.html

46

PerguntasPerguntas