Firewall 1. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de...
48
Firewall 1
Transcript of Firewall 1. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de...
Firewall
1
Firewall
Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre duas ou mais redes.
Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados.
Atua como "defesa" de uma rede ou computador, controlando o acesso ao sistema por meio de regras e a filtragem de dados.
O Firewall é um dos principais componentes de segurança de qualquer organização.
2
Firewall
Um firewall pode ser um software, um hardware ou a combinação de ambos.
3
Porque utilizar um Firewall?
As 3 principais razões para se usar um firewall:
o firewall pode ser usado para impedir que sua rede seja invadida.
o firewall é um grande aliado no combate a vírus e Trojans, já que ele pode bloquear portas usadas pelas "pragas digitais“. (Cuidado, nem sempre evita vírus, ou garante proteção contra vírus.)
em redes corporativas, é possível evitar que os usuários acessem serviços ou sites indevidos.
4
Porque utilizar um Firewall?
Se você ainda pensa que sua empresa é pequena ou que você não tem nada para proteger....... Você errou!
Dados perdidos: se sua empresa ou você perdesse todos os dados, custaria dinheiro para re-criar tudo?
Responsabilidade vertical: um invasor tomar o controle de seu computador e usá-lo para atacar um terceiro.
5
Firewall pessoal
Esses tipos de firewalls estão disponíveis para (ou incluídos com) a maioria dos Sistemas Operacionais.
6
Firewall tudo-em-um
Este tipo de firewall é muito utilizado por assinantes de Internet banda larga, que possuem em um único dispositivo as funcionalidades de:
Roteador, switch Ethernet, Access Point e Firewall
7
Firewall baseado em Hardware
Firewalls como os da Cisco, 3COM, Alcatel são projetados para grandes organizações, com milhares de usuários.
Estes equipamentos poder ser capazes de tratar até 500.000 conexões simultâneas.
Os preços variam, de acordo com a necessidade da empresa.... R$4.000,00 a R$ 72.000,00.
8
Firewall baseado em Hardware
Proporciona uma forte segurança sem impactar o desempenho da rede.
9
Firewall
A arquitetura do Firewall utiliza componentes como roteadores, filtros, proxies, DMZ, Bastion Hosts, NAT ...
10
Filtro de pacotes
Filtro de pacotes corresponde a um conjunto de regras que filtram e analisam pacotes enviados e recebidos por redes distintas de comunicação.
A utilização de um filtro de pacotes pode elevar o nível de segurança de uma rede por fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP.
Ou seja, nos cabeçalhos do IP e dos protocolos da camada de transporte utilizados (TCP, UDP, ICMP e outros).
11
Filtro de pacotes
Como qualquer informação que entra ou sai de uma rede TCP/IP estará dentro de um pacote IP, o filtro de pacotes poderá bloquear a entrada (ou saída) dessa informação.
Essa decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização.
Os filtros de pacotes podem fornecer um nível de segurança útil e barato (vêm com o software do roteador).
E você precisa de um roteador para conectar-se à Internet...
12
Proxies
Proxies são sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições.
Eles podem também realizar uma filtragem mais apurada dos pacotes, por atuar na camada de aplicação.
Quando um cliente faz uma requisição, o web proxy verifica se o cliente possui permissão para acesso àquela página.
Se tiver, procede da forma tradicional, porém se o cliente for proibido, ele recebe uma página de alerta.
13
Proxies
Outra definição: Proxy é um servidor que atende a requisições repassando os dados a outros servidores.
Um usuário conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor.
14
Web Proxy
O Proxy pode também aumentar em até 500% a performance de seu acesso aos recursos de WWW, FTP e outros.
Rede com proxy na 1ª requisição à um recurso na internet
Na próxima requisição a sensação do usuário é uma enorme velocidade.
15
Proxy Transparente
Um proxy transparente é um método para obrigar os usuários de uma rede a utilizarem o proxy.
Esse tipo de proxy redireciona os pacotes que passam pelo firewall para um servidor proxy local de modo transparente.
Além das características de caching dos proxies convencionais, eles podem impor políticas de utilização.
16
Proxies
Vantagens:
Não permite conexões diretas entre hosts internos e externos;
Aceita autenticação do usuário;
Analisa o conteúdo dos pacotes de dados, ao contrário do filtro de pacotes;
Permite criar logs do tráfego e de atividades específicas.
Desvantagens:
É mais lento do que os filtros de pacotes;
Não trata pacotes ICMP.
17
DMZ
Permitir o tráfego da Internet para sua rede privada é uma idéia ruim.
18Mas o que fazer se for preciso acessar serviços da sua rede privada pela Internet.
DMZ
DMZ é uma sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português.
É um termo usado no meio militar para definir uma área isolada entre dois inimigos.
Também conhecida como rede de perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
19
DMZ
No contexto de redes o propósito da DMZ é criar uma área com acesso aberto a internet, mas com controle e seleção dos ativos que estão disponíveis nesta área.
Em outras palavras, disponibilizar acesso apenas a determinados serviços, separando-os da rede principal e protegendo outras informações.
20
DMZ - analogia
Analogia:
Você está oferecendo um serviço de manutenção de computadores a diferentes pessoas.
Não seria uma boa ideia, pessoas estranhas entrarem dentro da sua casa, para consertar um micro, seria?
Imagine alguém solicitando a troca de um HD e olhando as fotos dos seus parentes, abrindo a geladeira, pegando alguma coisa “emprestado”...
Para solucionar esta questão, uma alternativa seria você criar uma pequena oficina na garagem, ou do lado de fora da casa, impedindo assim este conveniente. Esta é sua DMZ.
21
DMZ
22
DMZ
A função de uma DMZ é manter todos os serviços que possuem acesso externo (HTTP, FTP, e-mail, etc.) separados da rede local, limitando o dano em caso de comprometimento de algum serviço nela presente, por algum invasor.
Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada (um bastion host) seja comprometido, a rede interna continue intacta e segura.
23
DMZ- Bastion Host
Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques.
O bastion host é um computador exposto à Internet e a rede interna.
Uma grande interação ocorre entre os bastion hosts e a DMZ, pois os serviços que serão oferecidos pela DMZ devem ser instalados em Bastion Hosts.
O Bastion Host irá “defender” a rede interna contra ataques da rede externa.
24
Pense como se fosse a recepção de um prédio.
Estranhos podem não ter permissão de subir as escadas ou utilizar os elevadores.
Mas podem vagar livremente pela recepção e se informarem com os porteiros ou a segurança.
Tal qual ocorre com os porteiros na recepção (DMZ), os Bastion Hosts estão expostos a possíveis elementos hostis, que não poderão ter acesso à rede interna.
25
DMZ- Bastion Host
Um ataque a um servidor (bastion host) não compromete a rede interna, apenas a DMZ.
Quanto mais simples for o Bastion Host, mais simples será mantê-lo seguro.
Múltiplos Bastion HostsMúltiplos Bastion HostsInternet
rede interna
FTP
Rede de Perímetro - DMZRede de Perímetro - DMZ
WWWSMTP
Quebra de segurança nãopermite visibilidade dotráfego da rede interna
26
DMZ- Bastion Host
Existem diferentes maneiras de se implementar uma DMZ.
Normalmente para se criar uma DMZ é preciso pelo menos uma placa extra no seu Firewall, sendo que em algumas soluções, um mesmo Firewall pode trabalhar com até 3 conexões de rede, uma para a WAN, outra para LAN e uma para a Rede de Perímetro (DMZ).
27
DMZ- Exemplos
3Leg ou 3Homed hosts – é uma configuração onde seu firewall irá possuir 3 placas de rede, sendo uma para sua LAN, outra para sua rede de Perímetro (DMZ) e a terceira para conectar o firewall a Internet (WAN).
28
DMZ- Exemplos
29
3Leg ou 3Homed hosts
DMZ- Exemplos
Back-to-Back – Uma opção não necessariamente mais segura que a opção anterior, porém normalmente mais eficiente e mais cara também, requer um segundo firewall. Neste caso sua DMZ fica protegida entre dois Firewall.
O Back-End, fará o papel de Proxy e Caching para os usuários da LAN.
O Front-End Firewall controlará as publicações de serviços e liberação de portas para conexões externas.
30
DMZ- Exemplos
31
DMZ- Exemplos
32
Misto
NAT (Network Adress Translation)
O NAT não foi criado propriamente com a intenção de ser usado como um componente de segurança, mas sim para tratar o problemas de escassez de endereços IP .
Assim, a rede interna pode utilizar endereços IP reservados, sendo o NAT o responsável pela conversão desses endereços inválidos para endereços válidos e roteáveis, quando a rede externa é acessada.
33
NAT (Network Adress Translation)
Sob o ponto de vista da segurança, o NAT pode esconder os endereços dos equipamentos da rede interna e sua topologia de rede, dificultando os eventuais ataques externos
34
200.233.15.25
Evolução Técnica
O firewall é considerado uma tecnologia “antiga” na indústria de segurança, mas ainda não pode ser definido como estável, devido à uma constante evolução.
Os primeiros firewalls foram implementados em roteadores, no final da década de 80, por serem os pontos de ligação natural entre duas redes.
As regras de filtragem dos roteadores ou Listas de Controle de Acesso (Acess Control List – ACL), tinham como base decisões do tipo “permitir”ou “descartar” os pacotes.
35
Evolução Técnica
Atualmente existe uma tendência de adicionar cada vez mais funcionalidades aos firewalls, que podem não estar relacionadas necessariamente à segurança.
Essa integração entre firewalls e novas funcionalidades, deve ser feita com cuidado, pois vai ao encontro do “dogma” da segurança, que diz:
A segurança e a complexidade são inversamente proporcionais.
36
Filtro de pacotes
A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da pilha TCP/IP, de modo que realiza as decisões de filtragem com base nas informações do cabeçalho dos pacotes, tais como:
o endereço de origem, o endereço de destino, a porta de origem, a porta de destino e a direção das conexões.
As regras dos filtros de pacotes são definidas de acordo com endereços IP ou com os serviços (portas TCP/UDP relacionadas) permitidos ou proibidos.
37
Filtro de pacotes
Estas regras são estáticas, de modo que esse tipo de firewall é conhecido também como Static Packet Filtering.
O fato de trabalhar na camada de rede e de transporte faz com que ele seja simples, fácil, barato e flexível de ser implementado.
Assim a maioria dos roteadores que atuam como gateways tem também essa capacidade.
O filtro de pacotes garante um menor grau de segurança, pois os pacotes podem ser falsificados para que passem pelas regras de filtragem definidas.
38
Filtro de pacotes
Um filtro de pacotes não é capaz de distinguir entre pacotes verdadeiros e falsificados.
A capacidade de verificação do sentido dos pacotes para determinar se um pacote vem da rede externa ou interna é essencial para evitar ataques como o IP spoofing.
Na realidade, o que pode ser evitado é a exploração de endereços de equipamentos internos por um host externo.
Ou seja, proibir a entrada de pacotes na rede, com endereços originados da sua rede.
39
Filtro de pacotes
Outro problema que pode acontecer com os filtros de pacotes está relacionado ao tipo de resposta que é enviada pelo Firewall a um pedido de conexão que é bloqueado.
Dependendo da configuração, a organização pode ser alvo de port scanning e outras técnicas de mapeamento.
40
Filtro de pacotes
Vantagens:
Alto desempenho da rede / baixo overhead;
É barato e simples;
Bom para o gerenciamento de tráfego;
Transparente para o usuário.
Desvantagens:
Difícil de gerenciar em ambientes complexos;
Vulnerável a ataques como o IP spoofing
Não oferece a autenticação do usuário;
41
Filtro de pacotes
As ameaças são muitas, e devemos sempre nos precaver contra intrusos, não importando a sua origem: rede externa, rede interna ou dial-up.
Normalmente, o filtro de pacotes diferencia a máquina que pode ou não acessar algum serviço, analisando o IP origem, o destino, e o serviço a ser acessado.
Portanto, ele deve ser considerado como uma parte de um sistema de proteção, e não como única forma de defesa.
42
Distribuição das Portas
Portas Bem conhecidas (well known ports):
Usada por servidores que oferecem serviços padronizados.
Portas Registradas:
Usada por programas de usuários (clientes) e outros serviços.
Portas Dinâmicas ou Privadas:
Usadas pelos clientes ou serviços não padronizados.
0
….
1023
1024
….
49151
PORTAS
TCP ou UDP
49152
….
65535
43
Distribuição das Portas
Portas Bem Conhecidas:
Designada a serviços padronizados para Internet, como FTP (21), HTTP (80), DNS (53), SMTP(25), etc...
Range: 0 a 1023
A ativação desses serviços exige privilégios de administrador do sistema.
Portas Registradas:
Usada para os programas clientes, que podem ser ativados sem privilégios de administrador.
Usadas geralmente para designar serviços proprietários como MS SQL Server (1433), Oracle Server (1525), etc.
Range: 1024 a 49151. 44
Exemplos de portas bem conhecidas
Porta 21
Cliente
FTP
Dados armazenados
programa servidor de terminal remoto Porta 23
Porta 25
Porta 80
programa servidor de transferência de arquivos
programa servidor de correio eletrônico
programa servidor de hipertexto e outros serviços
WWW
programa servidor de serviços chat
Porta 194
TELNET
SMTP
HTTP
IRC
portas livres
Porta 49152
Porta 65535
…
portas bem conhecidas
45
Regras de Filtragem
Exemplo de Regras de Filtragem do filtro de pacotes:
A regra 1 permite que os usuários da rede interna iniciem a requisição de uma página Web.
Uma porta alta, com número maior do que 1023 é usada pelo cliente de uma forma aleatória, para iniciar a requisição na porta 80 do servidor Web.
Uma vez que a conexão é estabelecida, a resposta da requisição (a própria página) é recebida pelo cliente, passando pela Regra 2 de filtro de pacotes.
A regra 3 nega qualquer outra tentativa de conexão e é recomendado que seja usada explicitamente.
46
Regra End. de origem: Porta de origem End. de destino: Porta de destino Ação
1 IP da rede interna : porta alta (> 1024) Qualquer endereço : 80 (HTTP) Permitir
2 Qualquer endereço : 80 (HTTP) IP da rede interna : porta alta (> 1024) Permitir
3 Qualquer endereço : qualquer porta Qualquer endereço : qualquer porta Negar
Firewall - limitações e
vulnerabilidades
Um Firewall não protege uma rede contra usuários internos.
Não proteger uma rede contra conexões que não passam por ele (usuários com modems).
Os firewalls são ineficientes contra riscos de segurança não-técnicos, como Engenharia Social.
Não protege contra ameaças completamente novas.
Não protege a rede contra vírus
47
Questões para responder
Quais as principais diferenças dos filtros de pacote para os filtros de aplicação?
Além de prover segurança, o uso do Proxy traz quais outras vantagens? E quais são as desvantagens?
O que é uma DMZ? Qual seu objetivo?
Comente sobre Firewalls baseados em Hardware e em Software, vantagens e desvantagens de cada um.
48
