Unidade 2.3 firewall

SRC SRC (Segurança em Redes de (Segurança em Redes de Computadores)Computadores)

Tecnologia em Redes de ComputadoresProf. Esp. Juan Carlos Oliveira LamarãoAbril - 2016

AgendaAgenda

2. Segurança de Redes2.1 Introdução a Segurança de Redes

2.2 Ameaças

2.2.1 Ataques

2.2.2 Atacantes

2.3 Firewall

2.4 Detecção de Intrusão

Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 2

AgendaAgenda

Firewall– Definição– Tipos de Firewall– Layouts de Firewall– Protocolo de Redundância– DMZ


FIREWALLUnidade 2.3


DefiniçãoDefinição

É um mecanismo de segurança que controla a troca de informações entre redes confiáveis (por exemplo, redes internas) e redes não confiáveis (por exemplo, a Internet).

“Um firewall é uma combinação de hardware e software que isola a rede interna de uma organização da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros”.

Kurose e Ross (2014)


DefiniçãoDefinição

Um firewall possui três objetivos:

Todo tráfego de fora para dentro, e vice-versa, passa por um firewall

Somente o tráfego autorizado, como definido pela política de segurança local, poderá passar

O próprio firewall está imune à penetração


Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)

Firewall Host-based

É um software de aplicação instalado em um único computador. Firewall pessoal do host, o quel o mesmo é responsável pela sua configuração.

Desvantagem:

Maior dificuldade de implementação (correta) em todo o parque computacional

Não realiza filtragem de pacotes

Vantagem:

Mais segurança aos hosts


Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)

Firewall Network-based

Funcionam em nível de rede, o que significa que este tipo de firewall filtra dados que trafegam da internet em direção aos computadores da rede e vice-versa Garante um perímetro de segurança

– Desvantagens:

Não proporciona tanta segurança quanto o firewall baseado em host

Não fecha portas específicas do host

– Vantagens:

Mais proteção à rede


Tipos de FirewallTipos de Firewall

Os firewall podem ser classificados em três categorias:

Filtros de Pacotes Tradicionais

Filtros de Estado e

Gateways de Aplicação


Tipos de Firewall (filtro de pacote Tipos de Firewall (filtro de pacote tradicional)tradicional)

Filtro de Pacotes Tradicionais

Normalmente uma organização tem um roteador de borda que conecta sua rede interna com seu ISP. Todo tráfego que sai ou que entra na rede interna passa por esse roteador e é nele que ocorre a filtragem de pacotes.

Um filtro de pacote examina cada datagrama que está sozinho, determinando se ele deve passar ou ficar baseado nas regras específicadas pelo administrador (ACL’s)




As decisões de filtragem costumam ser baseadas em:

Endereço IP de Origem e de destino;

Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPD etc

Porta TCP ou UDP de origem e de destino

Bits de flag do TCP: SYN, ACK etc

Tipos de mensagem ICMP

Regras diferentes para datagramas que entram e saem da rede

Regras diferentes para interfaces do roteador




Um administrador de rede configura o firewall com base na política da organização.

Ex. Largura de Banda; bloquear sites como youtube, radio online, etc.

Uma política de filtragem também pode ser baseada na combinação de endereços e número de porta.

Ex. Bloquear telnet, a não ser de um range específico.

O que é prioridade?

Basear a política em endereços externos não oferece nenhuma preocupação contra datagramas cujo endereço de origem foi falsificado




A filtragem também pode ser baseada em o bit TCP ACK estar ou não marcado.

“O primeiro segmento de todas as conexões TCP tem o bit ACK com valor 0, ao passo que todos os outros segmentos da conexão têm o bit ACK com valor 1” Kurose e Ross (2014)


Tipos de Firewall (filtro de pacote com Tipos de Firewall (filtro de pacote com controle de estado)controle de estado)

Filtro de Pacote com Controle de Estado

Em um filtro de pacotes tradicional, as decisões de filtragem são feitas em cada pacote isolado. Os filtros de estado rastreiam conexões TCP e usam esse conhecimento para tomar decisões sobre filtragem.

Filtro mais inteligente, registrando logs e analisando os mesmos

Ex. Um usuário interno queria navegar em um site externo. Como o usuário primeiro envia um segmento TCP SYN, sua conexão TCP é registrada na tabela de conexão. Quando o servidor envia pacotes de volta (com o o ACK necessariamente definido), o firewall verifica a tabela e observa que uma conexão correspondente está em andamento. O firewall, então, deixa esses pacotes passarem, sem interferir na navegação do usuário interno.


Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)

Gateway de Aplicação

Em um cenário onde a empresa quer fornecer o serviço de telnet a um conjunto restrito de usuários internos (em vez de a endereços IP), nesta empresa há a necessidade de que usuários privilegiados se autentiquem antes de obter permissão para criar sessões Telnet com o mundo externo, os firewalls de filtro de pacote não conseguem fazer este tipos de restrição, pois as informações sobre a identidade de usuários internos não estão incluídas nos cabeçalhos IP/TCP/UDP; elas estão nos dados da camada de aplicação.

Para assegurar um nível mais refinado de segurança, os firewalls tem que combinar flitro de pacotes com gateways de aplicação.




Gateways de aplicação fazem mais do que examinar cabeçalhos IP/TCP/UDP e tomam decisões com base em dados da aplicação.

Um gateway de aplicação é um servidor específico de aplicação, através do qual todos os dados da aplicação (de entrada e saída) devem passar.

Vários gateways de aplicação podem ser executados no mesmo hospedeiro, mas cada gateway é um servidor separado, com seus próprios processos.




Para que o pedido da empresa do cenário anterior funcione corretamente (permitir que somente usuários internos com privilégios realizem Telnet à máquinas ou servidores externos) é necessário utilizar um filtro para bloquear todas as conexões Telnet, exceto as que se originam do endereço IP do gateway de aplicação. Para acessar o gateway de aplicação será exigido um usuário e senha.

Assim, o gateway de aplicação Telnet não só autoriza o usuário, mas também atua como um servidor Telnet e um cliente Telnet, repassando informações entre o usuário e o servidor Telnet remoto.


Layout de FirewallLayout de Firewall


Protocolo de RedundânciaProtocolo de Redundância

Virtual Routing Redundancy Protocol / Protocolo de Redundancia Virtual de Roteadores

Voltador para Roteadores

Tem a capacidade de executar o Failover, caso um roteador deixe de funcionar, o roteador de backup assume a conexão e o IP


Protocolo de RedundânciaProtocolo de Redundância


DMZDMZ

DeMilitarized Zone / Zona Desmilitarizada

Área intermediária entre a rede interna e a externa, onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo. (a fim de trazer segurança a rede interna)

“A DMZ é a parte da rede da empresa que se encontra fora do perímetro de segurança. Tudo passa por ali” Tannuenbaum 2015

Falta de segurança para rede interna e externa?


DMZDMZ


Unidade 2.3 firewall

Technology

Transcript of Unidade 2.3 firewall