5 - segurança - firewall

31
Gerência de Redes de Computadores - Firewalls - Prof. André Peres [email protected]

Transcript of 5 - segurança - firewall

Page 1: 5  - segurança - firewall

Gerência de Redes de Computadores

- Firewalls -

Prof. André [email protected]

Page 2: 5  - segurança - firewall

Sobre este material

• Vídeos da apresentação em:

https://www.youtube.com/watch?v=31OJvytBtsQ&feature=youtu.be

Este trabalho está licenciado sob uma Licença Creative Commons Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma

cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.

Page 3: 5  - segurança - firewall

Firewalls

• Arquitetura (HW e SW)• Objetivo:

• Criação de perímetro de segurança (barreira)• Análise dos dados de cabeçalhos e PDU• Restrição ou liberação de tráfego• Permite controlar a exposição de uma rede ou host

na rede

• Tipos:• Firewalls de host → internos ao servidor/estação• Firewalls de rede → entre duas subredes

Page 4: 5  - segurança - firewall

Firewalls

• Objetivo:Firewall de Rede → Barreira lógica entre redes

Firewall de Host → Barreira lógica entre host e rede

Page 5: 5  - segurança - firewall

Firewalls

• Objetivo:Firewall de Rede → Barreira lógica entre redes• Serve a todas as estações• Controle centralizado por dados de cabeçalhos• Perímetro lógico da rede

Firewall de Host → Barreira lógica entre host e rede• Serve a um host• Controle por processo/dados de cabeçalho

Page 6: 5  - segurança - firewall

Firewalls

• Objetivo:

• O termo “firewall” identifica uma estrutura, que pode ser formada por diversos elementos:

• Filtros de pacotes (layer 4)• Proxy de aplicações (layer 7)

• Esta estrutura deve ser aplicada de acordo com a necessidade da rede

Page 7: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Regras para o tráfego• Exemplo

protocolo IP origem Porta Origem Ip Destino Porta Destino Ação

UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite

UDP 0.0.0.0/0 53 10.1.0.0/24 * Permite

TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite

TCP 0.0.0.0/0 80 10.1.0.0/24 * Permite

* * * * * Nega

Page 8: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Stateless:

→ considera cada pacote de maneira independente → não existe correlacionamento de pacotes→ visão antiga de filtros de pacotes→ não é aconselhável seu uso !

• Stateful:→ correlaciona pacotes (após um SYN → SYN/ACK → …)→ permite liberação apenas do primeiro pacote de uma comunicação (TCP, UDP, ICMP, ...)→ deve ser explicitamente configurado

Page 9: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Regras para o tráfego stateful• Exemplo

protocolo IP origem Porta Origem Ip Destino Porta Destino Ação

UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite

TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite

* * * * * Nega

Page 10: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 11: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 12: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 13: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 14: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 15: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 16: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 17: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 18: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 19: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 20: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 21: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 22: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Motivo de tantos conjuntos de regras:

→ organização→ cada grupo de regras é responsável por uma função específica no filtro de pacotes

• FILTER – filtragem de pacotesINPUT, FORWARD, OUTPUT

• NAT – redirecionamento (SNAT e DNAT)PREROUTING e POSTROUTING

Page 23: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:• Exemplo de implementação: Arquitetura Netfilter do linux

Page 24: 5  - segurança - firewall

Firewalls

• Filtro de pacotes:

• PREROUTING: Altera o endereço IP destino de um pacote

• POSTROUTING: Altera o endereço IP origem de um pacote

• INPUT: Filtra os pacotes que podem “entrar” no servidor local

• OUTPUT: Filtra os pacotes que podem “sair” do servidor local

• FORWARD: Filtra os pacotes que podem “entrar” e/ou “sair” entre as redes

Page 25: 5  - segurança - firewall

Firewalls

• Exemplo de Filtro de Pacotes

Page 26: 5  - segurança - firewall

Firewalls

• Exemplo de Filtro de Pacotes

Page 27: 5  - segurança - firewall

Firewalls

• Proxy:• Servidor de aplicação intermediário• Cliente se conecta ao proxy → proxy se conecta ao servidor• Permite:

• cache de dados para a rede• adaptação de dados de aplicação• análise de dados para filtragem

Page 28: 5  - segurança - firewall

Firewalls

• Proxy:

• cada protocolo de aplicação possui um proxy específico• ex:

• HTTP• FTP• SMTP (anti-spam)• Jogos• ...

Page 29: 5  - segurança - firewall

Firewalls

• Proxy HTTP:

• usuário especifica o endereço do proxy HTTP no navegador

• navegador se conecta ao proxy e envia requisição HTTP

• o proxy HTTP:• realiza cache global de objetos para todos os clientes• realiza operações de filtragem por URL e conteúdo

Page 30: 5  - segurança - firewall

• Proxy HTTP:Utiliza HTTP GET condicional (uso de cache)Se o objeto não foi alterado, o servidor responde com código 304 Not ModifiedSe o objeto FOI alterado, o servidor responde com código 200 (objeto na mensagem)

Firewalls

Page 31: 5  - segurança - firewall

Firewalls

• Exemplo de Solução de Firewall (filtro+proxy)