Unidade 2.3 firewall
-
Upload
juan-carlos-lamarao -
Category
Technology
-
view
53 -
download
0
Transcript of Unidade 2.3 firewall
SRC SRC (Segurança em Redes de (Segurança em Redes de Computadores)Computadores)
Tecnologia em Redes de ComputadoresProf. Esp. Juan Carlos Oliveira LamarãoAbril - 2016
AgendaAgenda
2. Segurança de Redes2.1 Introdução a Segurança de Redes
2.2 Ameaças
2.2.1 Ataques
2.2.2 Atacantes
2.3 Firewall
2.4 Detecção de Intrusão
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 2
AgendaAgenda
Firewall– Definição– Tipos de Firewall– Layouts de Firewall– Protocolo de Redundância– DMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 3
FIREWALLUnidade 2.3
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 4
DefiniçãoDefinição
É um mecanismo de segurança que controla a troca de informações entre redes confiáveis (por exemplo, redes internas) e redes não confiáveis (por exemplo, a Internet).
“Um firewall é uma combinação de hardware e software que isola a rede interna de uma organização da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros”.
Kurose e Ross (2014)
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 5
DefiniçãoDefinição
Um firewall possui três objetivos:
Todo tráfego de fora para dentro, e vice-versa, passa por um firewall
Somente o tráfego autorizado, como definido pela política de segurança local, poderá passar
O próprio firewall está imune à penetração
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 6
Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Host-based
É um software de aplicação instalado em um único computador. Firewall pessoal do host, o quel o mesmo é responsável pela sua configuração.
Desvantagem:
Maior dificuldade de implementação (correta) em todo o parque computacional
Não realiza filtragem de pacotes
Vantagem:
Mais segurança aos hosts
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 7
Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Network-based
Funcionam em nível de rede, o que significa que este tipo de firewall filtra dados que trafegam da internet em direção aos computadores da rede e vice-versa Garante um perímetro de segurança
– Desvantagens:
Não proporciona tanta segurança quanto o firewall baseado em host
Não fecha portas específicas do host
– Vantagens:
Mais proteção à rede
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 8
Tipos de FirewallTipos de Firewall
Os firewall podem ser classificados em três categorias:
Filtros de Pacotes Tradicionais
Filtros de Estado e
Gateways de Aplicação
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 9
Tipos de Firewall (filtro de pacote Tipos de Firewall (filtro de pacote tradicional)tradicional)
Filtro de Pacotes Tradicionais
Normalmente uma organização tem um roteador de borda que conecta sua rede interna com seu ISP. Todo tráfego que sai ou que entra na rede interna passa por esse roteador e é nele que ocorre a filtragem de pacotes.
Um filtro de pacote examina cada datagrama que está sozinho, determinando se ele deve passar ou ficar baseado nas regras específicadas pelo administrador (ACL’s)
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 10
Tipos de Firewall (filtro de pacote Tipos de Firewall (filtro de pacote tradicional)tradicional)
Filtro de Pacotes Tradicionais
As decisões de filtragem costumam ser baseadas em:
Endereço IP de Origem e de destino;
Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPD etc
Porta TCP ou UDP de origem e de destino
Bits de flag do TCP: SYN, ACK etc
Tipos de mensagem ICMP
Regras diferentes para datagramas que entram e saem da rede
Regras diferentes para interfaces do roteador
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 11
Tipos de Firewall (filtro de pacote Tipos de Firewall (filtro de pacote tradicional)tradicional)
Filtro de Pacotes Tradicionais
Um administrador de rede configura o firewall com base na política da organização.
Ex. Largura de Banda; bloquear sites como youtube, radio online, etc.
Uma política de filtragem também pode ser baseada na combinação de endereços e número de porta.
Ex. Bloquear telnet, a não ser de um range específico.
O que é prioridade?
Basear a política em endereços externos não oferece nenhuma preocupação contra datagramas cujo endereço de origem foi falsificado
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 12
Tipos de Firewall (filtro de pacote Tipos de Firewall (filtro de pacote tradicional)tradicional)
Filtro de Pacotes Tradicionais
A filtragem também pode ser baseada em o bit TCP ACK estar ou não marcado.
“O primeiro segmento de todas as conexões TCP tem o bit ACK com valor 0, ao passo que todos os outros segmentos da conexão têm o bit ACK com valor 1” Kurose e Ross (2014)
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 13
Tipos de Firewall (filtro de pacote com Tipos de Firewall (filtro de pacote com controle de estado)controle de estado)
Filtro de Pacote com Controle de Estado
Em um filtro de pacotes tradicional, as decisões de filtragem são feitas em cada pacote isolado. Os filtros de estado rastreiam conexões TCP e usam esse conhecimento para tomar decisões sobre filtragem.
Filtro mais inteligente, registrando logs e analisando os mesmos
Ex. Um usuário interno queria navegar em um site externo. Como o usuário primeiro envia um segmento TCP SYN, sua conexão TCP é registrada na tabela de conexão. Quando o servidor envia pacotes de volta (com o o ACK necessariamente definido), o firewall verifica a tabela e observa que uma conexão correspondente está em andamento. O firewall, então, deixa esses pacotes passarem, sem interferir na navegação do usuário interno.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 14
Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Em um cenário onde a empresa quer fornecer o serviço de telnet a um conjunto restrito de usuários internos (em vez de a endereços IP), nesta empresa há a necessidade de que usuários privilegiados se autentiquem antes de obter permissão para criar sessões Telnet com o mundo externo, os firewalls de filtro de pacote não conseguem fazer este tipos de restrição, pois as informações sobre a identidade de usuários internos não estão incluídas nos cabeçalhos IP/TCP/UDP; elas estão nos dados da camada de aplicação.
Para assegurar um nível mais refinado de segurança, os firewalls tem que combinar flitro de pacotes com gateways de aplicação.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 15
Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Gateways de aplicação fazem mais do que examinar cabeçalhos IP/TCP/UDP e tomam decisões com base em dados da aplicação.
Um gateway de aplicação é um servidor específico de aplicação, através do qual todos os dados da aplicação (de entrada e saída) devem passar.
Vários gateways de aplicação podem ser executados no mesmo hospedeiro, mas cada gateway é um servidor separado, com seus próprios processos.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 16
Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Para que o pedido da empresa do cenário anterior funcione corretamente (permitir que somente usuários internos com privilégios realizem Telnet à máquinas ou servidores externos) é necessário utilizar um filtro para bloquear todas as conexões Telnet, exceto as que se originam do endereço IP do gateway de aplicação. Para acessar o gateway de aplicação será exigido um usuário e senha.
Assim, o gateway de aplicação Telnet não só autoriza o usuário, mas também atua como um servidor Telnet e um cliente Telnet, repassando informações entre o usuário e o servidor Telnet remoto.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 17
Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 18
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 19
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 20
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 21
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 22
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 23
Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 24
Protocolo de RedundânciaProtocolo de Redundância
Virtual Routing Redundancy Protocol / Protocolo de Redundancia Virtual de Roteadores
Voltador para Roteadores
Tem a capacidade de executar o Failover, caso um roteador deixe de funcionar, o roteador de backup assume a conexão e o IP
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 25
Protocolo de RedundânciaProtocolo de Redundância
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 26
DMZDMZ
DeMilitarized Zone / Zona Desmilitarizada
Área intermediária entre a rede interna e a externa, onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo. (a fim de trazer segurança a rede interna)
“A DMZ é a parte da rede da empresa que se encontra fora do perímetro de segurança. Tudo passa por ali” Tannuenbaum 2015
Falta de segurança para rede interna e externa?
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 27
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 28
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 29
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 30
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 31
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 32
DMZDMZ
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 33