Post on 21-Oct-2015
1
Firewalls
2
Roteiro
Introdução
Características do Firewall
Tipo de Firewall– Filtro de Pacotes
– Servidores Proxy
Tipos avançados de Firewall– Bastion Host
– Firewalls híbridos
3
Roteiro (cont)
Arquiteturas de Firewall
– Screened Host
– Screened Subnet
Conclusão
Bibliografia
4
Introdução
Alto índice de ataques a redes
Necessidade de controle de tráfego
Garantir integridade aos serviços
Alta demanda dos serviços da Internet
Bastion Host
Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna; constituindo-se na presença pública na Internet, provendo os serviços permitidos segundo a política de segurança da empresa.
O bastion host tem responsabilidades diferentes do packet filter, dependendo do seu tipo. Alguns autores enfatizam que enquanto o packet filter atua em um nível mais baixo o bastion host se encarrega de todos os níveis (referentes ao modelo OSI).
5
6
Firewall
Definição de Firewall Funções do Firewall Estrutura de um Firewall Classificação básica
7
Firewall(2)
Ilustração:
8
Princípios Básicos
Toda solicitação chega ao Firewall
Somente tráfego autorizado passa pelo Firewall
O próprio Firewall deve ser imune a penetração
9
O que um Firewall pode fazer?
1. É um foco para a tomada de decisões
2. Pode ser usado como um ponto de partida para a política de segurança
3. Pode gravar requisições
4. Limita a exposição da rede
10
O que um Firewall não pode fazer?
1. Proteger uma rede contra usuários internos
2. Proteger uma rede contra conexões que não passam por ele
3. Proteger contra ameaças completamente novas
4. Proteger contra vírus
11
Tipos de Firewall
Existem dois principais tipos:
– Filtro de Pacotes;
– Servidores Proxy.
12
Filtro de Pacotes
Filtrar = peneirar, separar
Controle do tráfego que entra e sai
Filtro de pacotes em Roteadores
Incrementa a segurança
Transparente aos usuários
Grande variedade no mercado
13
Filtro de Pacotes (2)
As regras dos filtros se contém:
– Endereço IP de origem
– Endereço IP de destino
– Protocolos TCP, UDP, ICMP
– Portas TCP ou UDP origem
– Portas TCP ou UDP destino
– Tipo de mensagem ICMP
14
Filtro de Pacotes (3)
Internet
Roteador comFiltro de Pacotes
Rede Interna
Router
15
Filtro de Pacotes (4)
Filtragem por adapatador de rede –
vantagem ao administrador
Principais problemas do filtro:
– IP Spoofing
– Serviço troca de porta
Filtros de pacotes não tratam
protocolos da camada de aplicação
16
Filtro de Pacotes (5)
Filtragem = atraso no roteamento
Filtros com Inspeção com Estado
– Utilizam as flags do TCP (ACK, SYN, FIN)
– Vantagens: maior controle
Filtros de pacotes não são uma solução
única – é um complemento
17
Servidores Proxy
Assumem requisições de usuários de uma rede
Atuam em nome do cliente de uma forma transparente
Não permitem que pacotes passem diretamente entre cliente e servidor
18
Servidores Proxy(2)
Ilustração do funcionamento
19
Servidores Proxy(3)
Métodos de utilização:
– Método da Conexão Direta;
– Método do Cliente Modificado;
– Método do Proxy Invisível.
20
Servidores Proxy(4)
Vantagens de utilização do proxy:
– Permite ao usuário acesso direto aos
serviços na Internet;
– Possui bons mecanismos de log;
– Provê uma ótima separação entre as
redes.
21
Servidores Proxy(5)
Desvantagens do proxy:
– Cada serviço possui o seu servidor
proxy;
– Deve ser desenvolvida uma nova
aplicação para cada novo serviço;
– Existem alguns serviços inviáveis.
22
Servidores Proxy X Filtro de Pacotes
Tomada de decisões:
– Servidor proxy toma decisões
baseado em informações fornecidas
pelo serviço;
– Filtro de pacotes utiliza o cabeçalho
do pacote.
23
Servidores Proxy X Filtro de Pacotes (2)
Desempenho:– Filtro de pacotes possui uma vantagem por
estar em nível mais baixo. Auditoria:
– Servidor proxy possui vantagem por permitir auditoria sobre o controle do tráfego.
24
Tipos Adicionais de Firewalls
Existem dois outros tipos de firewalls
alternativos:
– Firewalls Híbridos;
– Firewalls Bastion Hosts.
25
Firewalls Hibrídos
A maioria dos firewalls podem ser
classificados como Filtro de Pacotes ou
Servidores Proxy
Outros tipos de firewalls oferecem uma
combinação entre estes dois
26
Firewalls Hibrídos(2)
Ilustração exemplo
27
Firewalls Bation Hosts
Hosts fortemente protegidos
Único computador da rede que pode ser
acessado pelo lado de fora do firewall
Pode ser projetado para ser um servidor
Web, servidor FTP, dentre outros
28
Firewalls Bation Hosts (2)
Ilustração :
29
Firewalls Bation Hosts (2)
Honey PotChamariz para crackers;
Função de coletar dados de tentativas
de invasão;
Ferramentas de registros de logs são
matidas o mais seguro possível.
30
Arquiteturas de FW
O que é uma arquitetura de Firewall ?
Principais:
– Screened host
– Screened subnet
Screened = proteger, peneirar,
investigar
31
Screened host
Sem sub-rede de proteção
Elementos = 1 roteador e 1 bation host
Rede protegida sem acesso direto ao
“mundo”
Bastion host realiza o papel de
procurador – só ele passa pelo roteador
32
Screened host (2)
Ilustração desta arquitetura
33
Screened Subnet
Apresenta múltiplos níveis de redundância
É a mais segura Componentes:
– Roteador externo– Subrede intermediária (DMZ)– Bastion Host– Roteador Interno
34
Screened Subnet (2)
O que é a DMZ (De Militarized Zone)?
– Sub-rede entre a rede externa e a protegida. Proporciona segurança.
Rede interna somente têm acesso ao Bastion Host
Somente a subrede DMZ é conhecida pela Internet
35
Screened Subnet (3)
Ilustração desta arquitetura
36
Conclusão
Importante ferramenta na proteção
Firewall não deve ser o único
componente da política de segurança
Qual é a melhor solução de
projeto de firewall para
redes?
37
Bibliografia
Zwicky, E; Cooper, Simon –
Contruindo Firewalls para a
Internet. Editora O´Reilly, 2000.
Oliveira, W – Segurança da
Informação. Editora Visual Books,
2001
38
Links Úteis
Firewalls – UFRJ - http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm
Internet Firewalls – UFRGS -
http://penta.ufrgs.br/redes296/firewall/fire.html
39
Perguntas