Post on 21-Jul-2020
Segurança de Redes de Computadores
Ricardo José Cabeça de Souza
www.ricardojcsouza.com.br
ricardo.souza@ifpa.edu.br
Camada Rede
• CAMADA INTER-REDE (REDE)– Controla as operações da sub-rede
– Efetua operações de funções características:• Mapeamento entre endereços de rede e endereços de
enlace
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
enlace
• Endereçamento- Utilização de endereços para identificação de usuários de
forma não-ambígua
• Roteamento
• Estabelece e libera conexões de rede
• Detecção e recuperação de erros
Arquitetura TCP/IPwww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Host A
Transporte
Inter-rede
Aplicação
Host B
Transporte
Inter-rede
Aplicação
Inter-rede
Gateway
Pacote Idêntico
Mensagem Idêntica
Inter-rede
Interfacede Rede
Rede Física 1Intra-Rede
Inter-rede
Interfacede Rede
Rede Física 2Intra-Rede
Interface de Rede
Interface de Rede
QuadroIdêntico
DatagramaIdêntico
QuadroIdêntico
DatagramaIdêntico
Camadas Conceituais da Arquitetura Internet TCP/IP
Camada Rede
• CAMADA INTER-REDE (REDE)– Efetua operações de funções características:
• Sequenciação
• Controle de congestionamento
• Seleção de qualidade de serviço
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Seleção de qualidade de serviço- Especificação de parâmetros para garantir nível de qualidade
de serviço (taxa de erro, disponibilidade do serviço, confiabilidade, throughput (vazão), atraso, etc.)
• Multiplexação da conexão de rede- Várias conexões de rede em uma conexão de enlace
Camada Rede
• Camada Rede (Internet)
– Datagrama IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
VERS (4 bits): Versão do protocolo IP em uso. Por exemplo: IPv4 = 4.HLEN (4 bits): Tamanho do header do datagrama em 32 bits ou 4 bytes. Em geral possui 20 bytes: HLEN = 5.SERVICE TYPE ou TOS (TYPE OF SERVICE) (8 bits) – SERVIÇOS DIFERENCIADOS – Bits de Precedência (3) e Bits TOS (4). Precedência nunca foi usado. TOS de acordo com a tabela.TOTAL LENGTH: Tamanho total do datagrama em bytes.IDENTIFICATION: Identifica o datagrama fragmentado para associar estes fragmentos quando da remontagem no destino.FRAGMENT OFFSET: Posição do Fragmento no datagrama original, sendo que o primeiro Fragmento tem este campo = 0. Os demais, o número_byte / 8, assim sucessivamente.número_byte / 8, assim sucessivamente.FLAGS: Bit 1 (MF) – More Fragments (fragmento intermediário).Bit 2 (DF) – Don’t Fragment (não pode ser fragmentado).Bit 3 (RES) – Reserved (sem uso).TIME TO LIVE (TTL): Indica o tempo de vida que resta a um datagrama(originalmente em segundos); na prática, uma unidade é descontada em cada roteador. Hoje se utiliza o número de saltos (hops).PROTOCOL: Indica qual protocolo cujas informações estão sendo encapsuladas no campo DATA do datagrama (ex.: TCP = 6, UDP = 17, ICMP = 1).HEADER CHECKSUM: Garantia da integridade apenas do Header e não do campo DATA.SOURCE IP ADDRESS: Endereço IP de origem.DESTINATION IP ADDRESS: Endereço IP de destino.IP OPTIONS: Opções para operações especiais no tratamento dos datagramas.PADDING: Possibilita arredondamento do tamanho do Header IP para um valor múltiplo de 4 bytes, já que o campo HLEN utiliza esta unidade.DATA: Dados encapsulados do protocolo que faz uso deste datagramaIP para entrega de seus “dados” a seu “destino”.
Camada Rede
• ENDEREÇAMENTO IP– O roteamento dos datagramas através das sub-
redes são feitos baseados no seu endereço IP
– Números de 32 bits (4 bytes) normalmente escritos com quatro octetos (em decimal)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
escritos com quatro octetos (em decimal)
– 232 endereços possíveis• Exemplo:
191.179.12.66
– Cada parte pode variar de 0 a 255
Camada Rede
• ENDEREÇAMENTO IP
– O endereço IP, com seus 32 bits, torna-se demasiado grande para a notação decimal
– Utilizada a notação decimal pontuada (separada
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Utilizada a notação decimal pontuada (separada por pontos)
– Os 32 bits são divididos em quatro grupos de 8 bits cada
– Exemplo:
Camada Rede
• ENDEREÇAMENTO IP
– O endereço IP é constituído basicamente de dois campos :
• netid: identifica a Rede a qual este host
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• netid: identifica a Rede a qual este host pertence;
• hostid: identifica o host na Rede.
– Máquinas dentro do mesmo NetId devem ter HostIds diferentes
Camada Rede• Regulamentação para Atribuição de
Endereços– No mundo
• IANA (Internet Assigned Numbers Authority) delegouao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
ao ICANN (Internet Corporation for Assigned Names and Numbers) controle numeração desde 1998
– América Latina- Registro Regional de Endereçamento IP para América
Latina e Caribe (LACNIC)
www.lacnic.net
- No Brasil- registro.br (Comitê Gestor da Internet no Brasil - 1995)
www.registro.br
Camada Rede• Controle Endereços
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Endereçamento IPwww.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Endereçamento IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Classe do endereço
Primeiro endereço de rede
Último endereço de rede
Classe A 1.0.0.0 126.0.0.0
Endereçamento IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Classe do endereço
Primeiro endereço de rede
Último endereço de rede
Classe B 128.0.0.0 191.255.0.0
Endereçamento IP
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Classe do endereço Primeiro endereço de rede
Último endereço de rede
Classe C 192.0.0.0 223.255.255.0
Endereçamento IP
• Rede Interna
– Norma escrita pelo IANA (Internet Assigned NumbersAuthority) recomenda o uso dos seguintes endereços para rede interna:
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
para rede interna:
– Classe A: 10.0.0.0 até 10.255.255.255
– Classe B: 172.16.0.0 até 172.31.255.255
– Classe C: 192.168.0.0 até a 192.168.255.255
Endereçamento IP
• RESTRIÇÕES DE ENDEREÇOS
– O número zero significa a rede corrente
– O número 127.0.0.1 é um endereço de teste (loopback)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
(loopback)
– O número 255 representa todos os hosts
– Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados
Endereçamento IP
• RESTRIÇÕES DE ENDEREÇOS
– O número zero significa a rede corrente
– O número 127.0.0.1 é um endereço de teste (loopback)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
(loopback)
– O número 255 representa todos os hosts
– Os NetId de 224 a 254 estão reservados para protocolos especiais e não devem ser usados
Endereçamento IP
• MÁSCARA DA SUB-REDE
– Indica como separar o NetId do HostId, especificada em nível de bits
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• Máscara das Sub-Redes Padrões
– Classe A: 255.0.0.0
– Classe B: 255.255.0.0
– Classe C: 255.255.255.0
Segurança de Redes
• Segurança Camada Rede– Tipo de VLAN
• VLAN de nível 3– Distinguem-se vários tipos de VLAN de nível 3
• VLAN por sub-rede (em inglês Network Address-BasedVLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
VLAN) – Associa sub-redes de acordo com o endereço IP fonte dos
datagramas– Este tipo de solução confere uma grande flexibilidade, na medida
em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação
– Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente
Segurança de Redes
• VLAN por sub-rede (em inglês Network Address-
Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Endereçamento IP
• CRIAÇÃO DE SUB-REDES
– Criar sub-redes eficientes, que reflitam as necessidades de sua rede, requer três procedimentos básicos:
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
procedimentos básicos:
• 1°. Determinar o número de bits de host a serem usados para sub-redes
• 2º. Listar as novas identificações de sub-redes
• 3º. Listar os endereços IPs para cada nova identificação de sub-rede
• 4º. Definição da Máscara da Sub-Rede
Segurança de Redes
• Segurança Camada Rede
– Tipo de VLAN
• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
inglês Protocol-Based VLAN) – Permite criar uma rede virtual por tipo de protocolo (por
exemplo TCP/IP, IPX/SPX, AppleTalk, etc.)
– Agrupa todas as máquinas que utilizam o mesmo protocolo numa mesma rede
Segurança de Redes
• VLAN de nível 3 - VLAN por protocolo (em inglês Protocol-
Based VLAN)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• IP Spoofing– Consiste basicamente em alterar o endereço origem em
um cabeçalho IP
– Simples programação em Sockets pode nos ensinar como fazer isso
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
fazer isso
– Existem várias técnicas utilizadas:• Blind Spoof
• Non Blind Spoof
• DNS Spoof
• ARP Spoof
– Ataque usado por Kevin Mitnick(dez/1994) a rede particular de Tsutomo Shimomura (Especialista Segurança)
Segurança de Redes
• Blind Spoofing
– Consiste basicamente em se predizer os números de sequência(ISN) utilizado no Three-wayhandshaking (Camada Transporte) e utilizá-los na
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
handshaking (Camada Transporte) e utilizá-los na exploração de serviços r*(rlogind, rshd, rexecd)
Protocolo TCP/IP
• Camada Transporte
– TCP (Transmission Control Protocol)
• Estabelecimento da Conexão– Three-way handshaking
– Processo começa no servidor, informando ao TCP que está pronto para
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Processo começa no servidor, informando ao TCP que está pronto para aceitar uma conexão (abertura passiva)
– Programa cliente envia uma solicitação de abertura ativa
Protocolo TCP/IP• Estabelecimento da Conexão TCP
– Three-way handshaking
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
1. Cliente transmite SYN, usando um número de sequência gerado número de sequência gerado randomicamente.2. Servidor transmite um segmento SYN com seu número de sequência + ACK com o número de confirmação3. Cliente transmite um segmento ACK com o número de confirmação e o seu próximo número de sequência.Está estabelecida a conexão. Os dados já podem ser transmitidos.
Protocolo TCP/IP• Encerrando Conexão TCP
– Three-way handshaking
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
1. Cliente transmite FIN com um número de sequência.número de sequência.2. Servidor transmite um segmento FIN com seu número de sequência + ACK com o número de confirmação3. Cliente transmite um segmento ACKcom o número de confirmação.
Segurança de Redes
• Non Blind Spoofing– Semelhante ao Blind Spoofing, só que não é feito “às
cegas"(Blind)
– O atacante já obteve acesso a um sistema no meio das conexões alvos(hosts de confiança) e ele passa a
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
conexões alvos(hosts de confiança) e ele passa aanalisar o tráfego e com base na análise feita através de um sniffer, ele é capaz de "sequestrar"a conexão
– Esta técnica também recebe nomes variados como IP Hijacking, e também costumam se referir a ela com Man-in-the-middle
Segurança de Redes
• DNS Spoofing– Um servidor de DNS(Domain Name Server) é o
responsável por associar um determinado IP a um determinado nome de host
– Um atacante pode se utilizar disso de várias formas, desde usar técnicas de man-in-the-middle(invadindo um server
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
usar técnicas de man-in-the-middle(invadindo um server no meio do caminho) até mesmo utilizando problemas no protocolo DNS(UDP/53)
– Existe um campo no cabeçalho DNS responsável pela ID que pode ser atacado como se ataca um cache, enviando múltiplas requisições até entupir a pilha
– Este tipo de ataque também é conhecido como DNS Cache Spoof
Segurança de Redes
• IP Spoofing – Como Prevenir
– É necessário criar uma Access-List(ACL) no roteador que está conectado a Internet (Ingress Filtering)
– Nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outsidede um roteador conectado a Internet
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
de um roteador conectado a Internet
Fonte imagem: http://www.brainwork.com.br/blog/wp-content/uploads/2008/11/image1.png
Segurança de Redes
• Firewall– Uma barreira de proteção, que controla o tráfego de
dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet)
– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Pontos de conexão entre duas redes não confiáveis que permitem que a comunicação entre elas seja monitorada e segura
– Objetivo: permitir somente a transmissão e a recepção de dados autorizados
– Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software
Segurança de Redes
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Firewall
– São localizados entre uma organização e o mundo externo (Internet)
– Também podem ser utilizados dentro de uma
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Também podem ser utilizados dentro de uma organização, com a finalidade de isolar diferentes domínios de segurança (também chamados de domínios administrativos)
• Um domínio de segurança consiste em um conjunto de máquinas sobre um controle administrativo comum, com políticas e níveis de segurança comuns
Segurança de Redes
• Firewall– Podem ser implementados através de um
roteador, um PC (personal computer) com software especial, um sistema UNIX com esta capacidade ou um conjunto de hosts, todos
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
capacidade ou um conjunto de hosts, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis
– Soluções encontradas podem ser tanto baseadas em hardware quanto em software ou ambas
Segurança de Redes
• Firewall– Tecnologias de projeto de firewall: a tradicional
(ou estática) e a dinâmica• Firewalls estáticos: o principal propósito (política) é
permitir qualquer serviço a menos que ele seja
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
permitir qualquer serviço a menos que ele seja
expressamente negado ou negar qualquer serviço a
menos que ele seja expressamente permitido
• Firewall dinâmico: irá permitir ou negar qualquer
serviço para quando e por quanto tempo for desejado
– Firewall apresenta habilidade de se adaptar ao tráfego e projeto da rede
Segurança de Redes
• Firewall– Um firewall consiste, de maneira geral, dos seguintes
componentes:• filtro: também chamado de screen ou screening router,
bloqueia a transmissão de certas classes de tráfego, protegendo a rede interna contra ameaças
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
protegendo a rede interna contra ameaças • gateway: máquina ou conjunto de máquinas que oferece
serviços através de proxy
– A rede inabitada por este componente é chamada de Zona Desmilitarizada (DMZ - Demilitarized Zone) ou rede perimetral ou Rede de Perímetro
– Muitas vezes, um gateway nesta zona é auxiliado por um gateway interno
Segurança de Redes
• Firewall
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Firewall
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Firewall
– Uma máquina gateway exposta é frequentemente chamada de bastion host
– Existem três tipos principais de firewalls
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Existem três tipos principais de firewalls
• packet filtering
• application-level gateway
• circuit-level gateway
– Na prática, mais de um tipo é usado ao mesmo tempo
Segurança de Redes
• Packet Filtering
– Sistemas packet filtering roteiam pacotes entre hosts
internos e externos de maneira seletiva
– Eles permitem ou bloqueiam certos tipos de pacotes, refletindo a política de segurança adotada pelo site
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
refletindo a política de segurança adotada pelo site
– Pacotes permitidos são roteados para o destino, ao passo que pacotes não permitidos ou suspeitos são descartados ou manipulados (ferramentas de rastreamento)
– O tipo de roteador utilizado nestes sistemas é conhecido como screening router
Segurança de Redes
• Packet Filtering
– sistemas packet filtering devem apresentar as seguintes características:
• filtragem baseada nos endereços fonte e destino, nas
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem
• filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos
• habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console
Segurança de Redes
• Packet Filtering
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Packet Filtering
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Sistemas packet filtering são úteis na definição de regras do tipo: – bloqueio todas as conexões oriundas de sistemas
localizados fora da rede interna• Exceto para conexões SMTP (simple mail transport protocol) que
chegam (ou seja, permita apenas o recebimento de mails)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
chegam (ou seja, permita apenas o recebimento de mails)• Permita serviços FTP (file transfer protocol) e telnet
• Bloqueio outros serviços tais como TFTP (trivial file transfer protocol) e RPC (remote procedure call)
– Pelo simples fato de que certos serviços Internet residem em certos números de porta, isto permite que screening routers bloqueiem ou permitam certos tipos de conexão simplesmente especificando-se o número da porta
• Por exemplo, porta 23 para conexões telnet
Segurança de Redes
• Configurar um packet filtering consiste em um processo de três passos:
– Determinar o que deve e o que não deve ser permitido (política de segurança)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
permitido (política de segurança)
– Especificar formalmente os tipos de pacotes permitidos, em termos de expressões lógicas (regras)
– Reescrever estas expressões de acordo com o produto utilizado
Segurança de Redes
• Suponha que a política de segurança de um site determine que todo o tráfego IP entre um host externo conhecido (endereço IP 172.161.51.50) e os hosts da rede interna (endereço IP 192.168.10) seja permitido – interno = 192.168.10.0
• As seguintes regras são derivadas:
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
between host 172.161.51.50 e net 192.168.10 accept;
between host any and host any reject;
Segurança de Redes
• Application-Level Gateway– É um host que executa aplicações especiais, chamadas
proxy, as quais são responsáveis pela propagação de serviços para dentro da rede protegida
– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– O controle do tráfego entre a rede interna e a rede externa não confiável (como exemplo, Internet) é efetuado em nível de aplicação através de código especialmente escrito para cada serviço a ser disponibilizado, segundo requisitos próprios de segurança
– Somente serviços que possuam proxy conseguem passar pelo gateway
Segurança de Redes
• A principal funcionalidade de um application-
level gateway é a sua capacidade de controlar todo tráfego entre a rede interna e a rede externa
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
externa
• Permite um completo monitoramento do sistema, o qual pode gerar informações sobre o uso de serviços e seu posterior armazenamento em um arquivo de log
Segurança de Redes
• Application-level Gateway
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• O servidor proxy é responsável por avaliar pedidos de serviços, podendo permitir ou negar tais pedidos de acordo com a política de segurança vigente
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• o cliente "acredita" que está lidando diretamente com o servidor real e o servidor real "acredita" que está lidando diretamente com um usuário presente no application-level
gateway
Segurança de Redes
• Circuit-Level Gateway
– Circuit-level gateway possui funcionalidade semelhante a sistemas packet filtering, mas via aplicação
– Responsável pela transmissão de conexões TCP– Pode possuir controles adicionais, tais como tempo limite
de utilização de uma porta e intervalo de tempo mínimo
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
de utilização de uma porta e intervalo de tempo mínimo entre subsequentes usos de uma porta
– Todo o controle de conexões é efetuado com base no endereço fonte e portas fonte e destino
– Um cliente requisita um serviço através de uma porta fonte, sendo de responsabilidade do gateway a conexão com o destino e posterior propagação de bytes entre ambos
Segurança de Redes
• Circuit-Level Gateway
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Arquiteturas de Firewall
– packet filtering
– dual-homed host
– screened host
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– screened host
– screened subnet
• Obs: Não existe uma arquitetura dita universal, a qual resolve todos os problemas de segurança
Segurança de Redes
• Packet Filtering
– utiliza-se exclusivamente de um roteador inteligente para proteger uma rede interna
– não requer que aplicações cliente e servidor sejam
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– não requer que aplicações cliente e servidor sejam modificadas, mas é a arquitetura menos desejável como firewall
Segurança de Redes
• Packet Filtering
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Packet Filtering
– desvantagens:• uma falha de segurança do roteador compromete toda
a rede interna
• o número de regras geralmente é limitado
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
• o número de regras geralmente é limitado
• o desempenho pode ser comprometido em função do número de regras
• impossibilidade de modificar serviços através do tratamento de operações individuais
• complexidade de configuração e tratamento de exceções, dentre outras
Segurança de Redes
• Dual-Homed Host
– é implementada através de um host que possui duas interfaces de rede, uma para a rede interna e outra para a rede não confiável
– Este host é a única porta de entrada para a rede
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Este host é a única porta de entrada para a rede interna, sendo acessível tanto por hosts internos quanto externos
– a função de roteamento é desabilitada e assim pacotes não conseguem ser roteados entre as redes, garantindo o isolamento de tráfego
Segurança de Redes
• Dual-Homed Host
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes• Screened Host
– possui dois componentes• screening router
– atua com primeiro nível de defesa contra uma rede não confiável e é responsável por restringir conexões de hosts externos que não sejam direcionadas a um host específico, chamado bastion host (segundo componente)
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
componente)
– É responsável por restringir certos tipos de conexão independente do host destino, por restringir que hosts internos abram uma conexão direta com a rede externa e por permitir que o bastion host abra alguns tipos de conexão com a rede externa
• bastion host
– localizado na rede interna e portanto sem possuir interface com a rede externa
– é o único host da rede interna acessível por hosts externos
– todo o tráfego entre a rede interna e externa deve passar primeiro pelo bastion host, o qual utiliza funções em nível de aplicação para selecionar serviços (proxy)
Windows Hardening
• Screened Host
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Windows Hardening
• Screened Subnet
– adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
confiável
– Tal camada (DMZ - Demilitarized Zone) abriga três componentes,
• dois roteadores
• um bastion host
Windows Hardening
• Screened Subnet
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Stateful Inspection Firewall– Combina aspectos da packet-filtering, firewall,
circuit-level gateway e do application-level gateway
– Como o packet-filtering firewall, um stateful
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Como o packet-filtering firewall, um statefulinspection firewall opera do nível de REDE até a camada de APLICAÇÃO do modelo OSI
– Filtra todas as entradas e saídas baseadas no endereço IP de origem e destino e no número de porta de origem e destino
Segurança de Redes
• Stateful Inspection Firewall
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Stateful Inspection Firewall
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Firewall do Windows
– Anteriormente conhecido como Firewall de Conexão com a Internet ou ICF
– É uma barreira protetora que monitora e restringe
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– É uma barreira protetora que monitora e restringe as informações passadas entre o seu computador e uma rede ou a Internet
– Isso fornece uma defesa contra pessoas que podem tentar acessar seu computador de fora do Firewall do Windows sem a sua permissão
Segurança de Redes
• Firewall do Windows
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Como funciona o Firewall do Windows– Quando alguém na Internet ou em uma rede tenta se
conectar ao seu computador, essa tentativa é chamada “pedido não solicitado”
– Quando o computador recebe um pedido não
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
– Quando o computador recebe um pedido não solicitado, o Firewall do Windows bloqueia a conexão
– Se você executar um programa como o de mensagens instantâneas ou um jogo em rede com vários participantes que precise receber informações da Internet ou da rede, o firewall perguntará se você deseja bloquear ou desbloquear (permitir) a conexão
Segurança de Redes
• Como funciona o Firewall do Windows
– Você deverá ver uma janela semelhante a esta:
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Segurança de Redes
• Firewall– Existe uma quantidade grande de soluções firewall
disponível
– Para usuários domésticos que usam o sistema Windows, um dos mais conhecidos é o ZoneAlarm,
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Windows, um dos mais conhecidos é o ZoneAlarm, que dispõe de uma versão gratuita e outra paga, com mais recursos
– Em ambos os casos, é possível utilizar configurações pré-definidas, que oferecem bons níveis de segurança
– O site para fazer o download do software é o www.zonealarm.com
Referências• FOROUZAN, Behrouz A. Comunicação de dados e redes de computadores.
4. ed. São Paulo: McGraw-Hill, 2008.
• CIFERRI, Cristina D. A. CIFERRI , Ricardo R. FRANÇA, Sônia V. A. Firewall.
• Lima, Marcelo. Nakamura, Emílio. Segurança de Redes e Sistemas. Versão 1.1.0. Escola Superior de Redes RNP:2007.
• MEDEIROS, Carlos Diego Russo. SEGURANÇA DA INFORMAÇÃO: Implantação de Medidas e Ferramentas de Segurança da Informação.
www.ricardojcsouza.com.brricardo.souza@ifpa.edu.br
Implantação de Medidas e Ferramentas de Segurança da Informação. Universidade da Região de Joinville – UNIVILLE, 2001.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede. Versão 2.0, 2003.
• NIC BR Security Office. Cartilha de Segurança para Internet. Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. Versão 2.0, 2003.