Post on 20-Feb-2017
Gerência de Redes de Computadores
- Firewalls -
Prof. André Peresandre.peres@poa.ifrs.edu.br
Sobre este material
• Vídeos da apresentação em:
https://www.youtube.com/watch?v=31OJvytBtsQ&feature=youtu.be
Este trabalho está licenciado sob uma Licença Creative Commons Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma
cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.
Firewalls
• Arquitetura (HW e SW)• Objetivo:
• Criação de perímetro de segurança (barreira)• Análise dos dados de cabeçalhos e PDU• Restrição ou liberação de tráfego• Permite controlar a exposição de uma rede ou host
na rede
• Tipos:• Firewalls de host → internos ao servidor/estação• Firewalls de rede → entre duas subredes
Firewalls
• Objetivo:Firewall de Rede → Barreira lógica entre redes
Firewall de Host → Barreira lógica entre host e rede
Firewalls
• Objetivo:Firewall de Rede → Barreira lógica entre redes• Serve a todas as estações• Controle centralizado por dados de cabeçalhos• Perímetro lógico da rede
Firewall de Host → Barreira lógica entre host e rede• Serve a um host• Controle por processo/dados de cabeçalho
Firewalls
• Objetivo:
• O termo “firewall” identifica uma estrutura, que pode ser formada por diversos elementos:
• Filtros de pacotes (layer 4)• Proxy de aplicações (layer 7)
• Esta estrutura deve ser aplicada de acordo com a necessidade da rede
Firewalls
• Filtro de pacotes:• Regras para o tráfego• Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ação
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
UDP 0.0.0.0/0 53 10.1.0.0/24 * Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
TCP 0.0.0.0/0 80 10.1.0.0/24 * Permite
* * * * * Nega
Firewalls
• Filtro de pacotes:• Stateless:
→ considera cada pacote de maneira independente → não existe correlacionamento de pacotes→ visão antiga de filtros de pacotes→ não é aconselhável seu uso !
• Stateful:→ correlaciona pacotes (após um SYN → SYN/ACK → …)→ permite liberação apenas do primeiro pacote de uma comunicação (TCP, UDP, ICMP, ...)→ deve ser explicitamente configurado
Firewalls
• Filtro de pacotes:• Regras para o tráfego stateful• Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ação
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
* * * * * Nega
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:• Motivo de tantos conjuntos de regras:
→ organização→ cada grupo de regras é responsável por uma função específica no filtro de pacotes
• FILTER – filtragem de pacotesINPUT, FORWARD, OUTPUT
• NAT – redirecionamento (SNAT e DNAT)PREROUTING e POSTROUTING
Firewalls
• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux
Firewalls
• Filtro de pacotes:
• PREROUTING: Altera o endereço IP destino de um pacote
• POSTROUTING: Altera o endereço IP origem de um pacote
• INPUT: Filtra os pacotes que podem “entrar” no servidor local
• OUTPUT: Filtra os pacotes que podem “sair” do servidor local
• FORWARD: Filtra os pacotes que podem “entrar” e/ou “sair” entre as redes
Firewalls
• Exemplo de Filtro de Pacotes
Firewalls
• Exemplo de Filtro de Pacotes
Firewalls
• Proxy:• Servidor de aplicação intermediário• Cliente se conecta ao proxy → proxy se conecta ao servidor• Permite:
• cache de dados para a rede• adaptação de dados de aplicação• análise de dados para filtragem
Firewalls
• Proxy:
• cada protocolo de aplicação possui um proxy específico• ex:
• HTTP• FTP• SMTP (anti-spam)• Jogos• ...
Firewalls
• Proxy HTTP:
• usuário especifica o endereço do proxy HTTP no navegador
• navegador se conecta ao proxy e envia requisição HTTP
• o proxy HTTP:• realiza cache global de objetos para todos os clientes• realiza operações de filtragem por URL e conteúdo
• Proxy HTTP:Utiliza HTTP GET condicional (uso de cache)Se o objeto não foi alterado, o servidor responde com código 304 Not ModifiedSe o objeto FOI alterado, o servidor responde com código 200 (objeto na mensagem)
Firewalls
Firewalls
• Exemplo de Solução de Firewall (filtro+proxy)