Upload
carlos-veiga
View
52
Download
1
Embed Size (px)
Citation preview
Centro Universidade Anhanguera de Campo Grande – Unidade 1
Superint. CENTRO-OESTE
Tec. Em Redes de Computadores
Aula 0x – Ferramentas de Proteção de
Dispositivos
Firewall - Definição
• É um mecanismo de proteção que controla a passagem de pacotes
entre redes, tanto locais como externas.
• É um dispositivo que possui um conjunto de regras especificando que
tráfego ele permitirá ou negará.
• É um dispositivo que permite a comunicação entre redes, de acordo
com a política de segurança definida e que são utilizados quando há
uma necessidade de que redes com níveis de confiança variados se
comuniquem entre si.
2
Firewall - Definição
• Firewall pode ser definido como uma barreira de proteção, que controla
o tráfego de dados entre a LAN e a Internet;
• Seu objetivo é permitir somente a transmissão e a recepção de dados
autorizados.
• Existem firewalls baseados na combinação de hardware e software e
firewalls baseados somente em software. Este último é o tipo
recomendado ao uso doméstico e também é o mais comum.
3
Firewall – Política Padrão
• Existem dois tipos de modelo de acesso, ou política padrão, que
podem ser aplicados ao firewall:
• Tudo é permitido, exceto o que for expressamente proibido;
• Tudo é proibido, exceto o que for expressamente permitido.
4
O que os Firewalls não protegem
• Proteger a rede de usuários internos mal intencionados;
• Proteger a rede de ligações alheias à firewall;
• Proteger a rede de novas ameaças;
• Proteger a rede interna de vírus;
• Proteger de ataques de engenharia Social;
5
A História do Firewall
• Os sistemas firewall nasceram no final dos anos 80, com o intuito de
criar restrições de acesso entre as redes existentes naquela época;
• Em 1988, Robert T. Morris Jr. Criou um worm que se alastrou por todos
os sistemas existentes na época (Sistemas acadêmicos e
governamentais), provocando um caos em apenas um dia.
• Com o passar dos anos os firewalls foram evoluindo sendo
adicionadas novas funcionalidades de segurança, onde veremos
logo a seguir.
6
Evolução de um Firewall
7
FIREWALL - CLASSIFICAÇÃO
• Filtros de Pacotes;
• Stateful Firewall (Firewall de Estado de Sessão);
• Proxy Firewall ou Gateways de Aplicação;
• Firewall de Aplicação;
8
Filtros de Pacotes
• É um conjunto de regras que analisam e filtram pacotes enviados por
redes distintas de comunicação.
• O termo se popularizou a partir dos anos 90, época que surgiram as
primeiras implementações comerciais (ex: TIS, ipfw, Cisco Systems,
Checkpoint, NAI) baseadas na suíte de protocolos TCP/IP.
• Um filtro de pacotes pode elevar o nível de segurança de uma rede por
fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP, ou seja, nos
cabeçalhos do IP e dos protocolos da camada de transporte utilizados
(TCP, UDP, ICMP e outros).
9
Filtros de Pacotes
• Este tipo de firewall é implementado como um roteador que, ao realizar
suas funções de roteamento, verifica as seguintes informaçes dos
pacotes:
• Endereços IP de origem e de destino;
• Tipo de protocolo – TCP, UDP e ICMP;
• Portas de origem e de destino;
• Flags IP e TCP;
• Tipos de mensagens ICMP;
• Tamanho do pacote.
10
Filtros de Pacotes
• A principal desvantagem desse tipo de tecnologia para a
segurança reside na falta de controle de estado do pacote, o que
permite que agentes maliciosos possam produzir pacotes
simulados (com endereço IP falsificado, técnica conhecida como IP
Spoofing), fora de contexto ou ainda para serem injetados em uma
sessão válida.
• A principal vantagem dos filtros de pacotes é a sua eficiência ,
pois cada operação de filtragem estará restrita a verificar somente
informações básicas do cabeçalho do pacote.• É amplamente utilizado em roteadores como listas de controle
de acesso(ACLs).11
Firewall – Filtro de Estado das Conexões (Stateful)
• O firewall de filtro de estado tenta rastrear o estado das conexões de
rede enquanto filtra os pacotes.
• Suas capacidades são resultado do cruzamento das funções de um
filtro de pacotes com a inteligência adicional do protocolo.
• Este tipo de firewall examina predominantemente as
• informações das camadas IP e de transporte de um pacote que inicia
uma conexão.
• Se o pacote inspecionado combinar com a regra de firewall existente
que o permita, uma entrada é acrescentada em uma tabela de estados.
12
Firewall – Filtro de Estado das Conexões (Stateful) - Regras
• Todas do filtro de pacotes;
• Restringir o tráfego para início de conexões (NEW);
• Restringir o tráfego de pacotes que não tenham sido iniciados a partir
da rede protegida (ESTABLISHED);
• Restringir o tráfego de pacotes que não tenham número de sequência
corretos.
• Armazena o estado das conexões e filtra com base nesse estado. Três
estados para uma conexão: - NEW: Novas conexões;- -
ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões
relacionadas a outras existentes.
13
Firewall – Filtro de Estado das Conexões (Stateful)
• Vantagens:
• Alto desempenho da rede;
• Aceita quase todos os tipos serviços;
• Transparente para o usuário.
• Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos;
• Não oferece autenticação de usuários.
14
Firewall – Proxy de Serviços
• Os conceitos de gateways de aplicação (application-level gateways) e
"bastion hosts" foram introduzidos por Marcus Ranum em 1995.
• Em geral, um proxy é algo ou alguém que faz algo em nome de outra
pessoa.
• Os serviços proxy são aplicativos ou servidores especializados que
recebem as solicitações dos usuários e as encaminha para os
respectivos servidores reais.
15
Firewall – Proxy de Serviços
16
Firewall – Proxy de Serviços
• Vantagens:
• Não permite conexões diretas entre hosts internos e hosts externos;
• Aceita autenticação do usuário;
• Analisa comandos da aplicação no payload dos pacotes de dados,
• ao contrário do filtro de pacotes.
• Desvantagens:
• Mais lento do que os filtros de pacotes (somente os gateways de
aplicação);
• Requer um proxy específico pra cada aplicação;
• Não trata pacotes ICMP;
• Não possui transparência.17
Topologias
• Screened Router
• Dual-Homed
• Screened Hosts
• Screened Subnet
18
Topologias: Screened Router
• É a arquitetura mais simples utilizada;
• caracteriza-se pela presença de um roteador de filtro de pacotes entre
a rede interna e a internet;
• Nessa arquitetura existe comunicação direta entre múltiplos servidores
internos e múltiplos servidores externos;
• A sua zona de risco é proporcional ao número de servidores na rede
interna e os tipos de serviço de tráfego permitidos pelo roteador;
• Para cada tipo de serviço permitido a zona de risco aumenta
consideravelmente;
• Controle de danos é igualmente difícil, já que o administrador da rede
teria que verificar cada servidor a procura de traços de invasão
regularmente;19
Screened Router
20
Topologias: Dual-Homed
• A arquitetura Dual-Homed é montada sobre um computador com o
mínimo duas interfaces de rede.
• Este computador age como um roteador entre as redes que estão
conectadas às suas placas de rede.
• Topologia muito vulnerável, pelo fato de haver somente um ponto de
falhas.
• A arquitetura Dual-Homed host é apropriada em firewall para um
sistema com as seguintes características:
• Pequeno Tráfego na internet;
• Tráfego pela internet não é crítico para a empresa;
• Não há serviços a prover aos usuários da internet;
• A rede protegida não contém dados de alto valor;21
Topologias: Dual-Homed
22
Topologias: Screened Hosts
• O Bastion Host está situado na rede interna.
• O filtro de pacotes do roteador é configurado de tal maneira que o
bastion host da rede interna por onde os hosts da rede
externa(internet) pode abrir conexões com a rede interna; assim
mesmo, somente alguns tipos de conexão são permitidas;
• Principal desvantagem: Os serviços públicos encontram-se colocados
nas redes internas protegidas.
23
Topologias: Screened Hosts
• A arquitetura Screened Host é apropriada para um firewall num sistema com as
seguintes características:
• Poucas conexões chegam pela internet.
• A rede internet deve ser relativamente bem protegida.
• Esta arquitetura não é recomendada para sistemas onde o Screened Host
seja um web server.
24
Topologias: Screened Hosts
25
Topologias: Screened Subnet
• O firewall é constituida por dois routers, um que liga a rede protegida a
uma DMZ e outro que liga a DMZ ao exterior.
• As principais vantagens são:
• Balanceamento de carga;
• Servidores públicos na DMZ;
• Baseia-se na criação de uma sub-rede;
A principal desvantagem é o pouco controle entre a atividade das
máquinas na DMZ.
Um invasor teria que passar por dois roteadores antes de atingir a rede
interna;
26
Topologias: Screened Subnet
27
DMZ – Demilitarized Zone
• DMZ – Fonte Wikipedia• Em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona
desmilitarizada", em português. Também conhecida como Rede de Perímetro, a
DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável,
geralmente entre a rede local e a Internet.
• A função de uma DMZ é manter todos os serviços que possuem acesso externo
(tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede
local, limitando assim o potencial dano em caso de comprometimento de algum
destes serviços por um invasor. Para atingir este objetivo os computadores
presentes em uma DMZ não devem conter nenhuma forma de acesso à rede
local.
28
DMZ – Demilitarized Zone
• Objetivos:
• Evitar que a Internet acesse diretamente serviços
• Dentro de uma rede interna;
• Separar o tráfego de rede interno do externo;
• Ligação de uma rede interna com a Internet ou com
uma rede de outra organização.
29
Referências
• http://www.cefetrio.hpg.ig.com.br/ciencia_e_educacao/8/trabalhos/segu
ranca2/FIREWALL.HTM
• http://www.infowester.com/firewall.php
• http://www.scarniel.com.br/arquivos/Sidimar_Carniel_Firewall.pdf
• http://pt.wikipedia.org/wiki/Firewall
• Guia Foca http://focalinux.cipsga.org.br/guia/avancado/ch-fw-
iptables.html
• http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/
30