Aula 05
-
Upload
jorge-avila-miranda -
Category
Documents
-
view
1.047 -
download
5
description
Transcript of Aula 05
FirewallJorge Ávila
FIREWALL (filtro de pacotes)•Camadas de rede e de transporte da pilha
TCP/IP
FIREWALL (filtro de pacotes)
• Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
FIREWALL (filtro de pacotes)
•Decisões baseadas no cabeçalho dos pacotes:▫Endereço de origem
É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
FIREWALL (filtro de pacotes)
•Decisões baseadas no cabeçalho dos pacotes:▫Endereço de destino
É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
FIREWALL (filtro de pacotes)
•Decisões baseadas no cabeçalho dos pacotes:▫Porta de origem/Porta de destino
O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
FIREWALL (filtro de pacotes)
•Verificação do sentido do pacote – redeinterna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
FIREWALL
• IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
IP spoofing
•Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
IP spoofing
•Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
FIREWALL
•Desvantagens:▫Difícil de gerenciar em ambientes
complexos▫ Dificuldade de filtrar serviços que utilizam
portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
FIREWALL
•Desvantagens (cont.):▫Deixa “brechas” permanentes abertas no
perímetro da rede Ex:
FIREWALL
•Vantagens:▫Alto desempenho▫Barato, simples e flexível▫Transparente para o usuário
Firewall (Filtro de pacotes baseados em estados)•Também conhecidos como Firewalls
dinâmicos ou Stateful Packet Filter• Trabalha na camada de rede e transporte• Toma decisões de filtragem com base em:
▫ Informações dos cabeçalhos dos pacotes▫ Uma tabela de estados, que guarda o
estados de todas as conexões▫ Verifica o primeiro pacote de cada conexão –
os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
Firewall (Filtro de pacotes baseados em estados)•Caso da “brecha” deixada pelo filtro de
pacotes simples
O retorno é permitido com a verificação dos pacotes de acordo com atabela de estados do Firewall.
Firewall (Filtro de pacotes baseados em estados)•Timeout de conexões x
Ataques de SYN flooding▫ Adaptação do timeout
para evitar ataques de negação de serviço (encher a tabela de estados)
Firewall (Filtro de pacotes baseados em estados)•Vantagens
▫Aberturas apenas temporárias do perímetro da rede (conexões de retorno)
▫Alto desempenho
Firewall (Filtro de pacotes baseados em estados)•Desvantagens
▫Maior consumo de recursos de memória da máquina do Firewall (tabela de estados)
▫Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
Arquitetura de um Firewall
•Dual-homed host
• Zona Desmilitarizada (DMZ)
• Bastion Host
• Bastion Host + DMZ
Arquitetura de um Firewall
•Dual-homed host▫É um host que tem,
no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
Dual-homed host
•Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
Dual-homed host
•Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual-homed host.
Zona Desmilitarizada (DMZ)
• Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
Zona Desmilitarizada (DMZ)
•A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
Bastion Host + DMZ•Bastion host é qualquer máquina configurada
para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
Bastion Host• Um bastion host deve ter uma estrutura simples,
de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP.
• Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
Bastion Host + DMZ
•Criação de uma zona desmilitarizada que hospeda o Bastion host
• Maior segurança no caso do comprometimento do Bastion Host
Avaliação de um Firewall
•Fabricante / Fornecedor• Suporte técnico• Tempo para entrar em funcionamento• Logs (auditoria)• Gerenciamento - facilidade de
manutenção• Desempenho• Capacitação do pessoal
Teste Firewall
•Tentar passar pelo Firewall para validar o conjunto de regras
• Validação da Política de Segurança• Identificação de erros comuns• Devem ser realizados com uma
determinada frequência• Quem deve fazer o teste?
▫Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
Problemas relacionados
•Firewalls mal configurados•Implementação incorreta da política de
segurança•Gerenciamento falho – controle de
mudanças▫Usuários requisitando novos serviços
(precisam ou querem?)▫ Ignorar arquivos de logs▫ Drible da segurança (conexões extras, etc)
• Falta de atualizações
Exercicio•Qual a importância da segmentação entre as
redes de servidores públicos e a rede local?• Qual o papel do Firewall como parte da
infraestrutura de segurança?• Cite exemplos onde a segmentação de rede
deve ser aplicada para uma maior proteção dos ambientes corporativos.
• Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?