FIREWALL
This presentation is the property of its rightful owner.
Sponsored Links
1 / 46

Prof. Celso Cardoso Neto PowerPoint PPT Presentation


  • 53 Views
  • Uploaded on
  • Presentation posted in: General

FIREWALL. Prof. Celso Cardoso Neto. Roteiro. Introdução Características do Firewall Tipo de Firewall Filtro de Pacotes Servidores Proxy Tipos avançados de Firewall Bastion Host Firewalls híbridos. Roteiro (cont). Arquiteturas de Firewall Screened Host Screened Subnet Conclusão.

Download Presentation

Prof. Celso Cardoso Neto

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Prof celso cardoso neto

FIREWALL

Prof. Celso Cardoso Neto


Roteiro

Roteiro

  • Introdução

  • Características do Firewall

  • Tipo de Firewall

    • Filtro de Pacotes

    • Servidores Proxy

  • Tipos avançados de Firewall

    • BastionHost

    • Firewalls híbridos


Roteiro cont

Roteiro (cont)

  • Arquiteturas de Firewall

    • Screened Host

    • ScreenedSubnet

  • Conclusão


Prof celso cardoso neto

INTRODUÇÃO

ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA EMPRESA

INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE REDE, FILTRANDO O QUE PODE PASSAR OU NÃO

FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS PLACAS DE REDE

DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A REDE É PRIVADA (SEGURA)

FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES: RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)


Prof celso cardoso neto

ESQUEMA BÁSICO DE IMPLANTAÇÃO DE UM “FIREWALL”

ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL PROTEGENDO UMA REDE CONECTADA À INTERNET


Prof celso cardoso neto

ESQUEMA EMPREGANDO UM “FIREWALL” E UM ROTEADOR PARA CONECTAR UMA REDE À INTERNET

É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES


Prof celso cardoso neto

ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL

A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO MUDOU.

A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES

UM HACKER QUE INVADISSE UM SERVIDOR WEB NA REDE INTERNA PODERIA CAUSAR DANOS NA REDE DA EMPRESA. ASSIM, SURGIU A SOLUÇÃO AO LADO.

O SERVIDOR WEB FICA FORA DA ZONA DE PROTEÇÃO DO FIREWALL


Prof celso cardoso neto

ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL, MAS COM O SERVIDOR DE BD WEB DENTRO

A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA REDE INTERNA.

NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA

A SOLUÇÃO APONTOU PARA O ESQUEMA AO LADO, COLOCANDO O BD NA REDE INTERNA E ABRINDO UMA REGRA NO FIREWALL PERMITINDO QUE O SERVIDOR WEB ACESSASSE ESTE BD.

É SOLUÇÃO SEGURA ? NÃO.


Prof celso cardoso neto

QUAL A SOLUÇÃO PARA O PROBLEMA ?

É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁ-LO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ?

A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”)


Prof celso cardoso neto

ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - FALHA)

REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO OS SERVIDORES WEB E DE BD

NO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.

O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE INTERNA.

AGORA TUDO ESTAVA PROTEGIDO, O ACESSO À REDE INTERNA NEGADO, MAS SE UM HACKER OBTÉM ACESSO AO SERVIDOR WEB TAMBÉM ACESSA O BD

QUEM DESEJA ACESSO À REDE INTERNA SE JÁ TEM ACESSO AO BD DE UM HOME BANKING (POR EXEMPLO) ?


Prof celso cardoso neto

ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - SOLUÇÃO PARA A FALHA)

OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ INDICADA NA FIGURA

AGORA APENAS O SERVIDOR WEB ESTÁ NA DMZ.

O FIREWALL 2 (INTERNO) PERMITE APENAS O ACESSO NECESSÁRIO AO BD, EVITANDO MUITAS DAS ALTERAÇÕES QUE UM ACESSO TOTAL À MÁQUINA ONDE ESTÁ O SERVIDOR PERMITIRIA


Objetivos

Objetivos

  • Alto índice de ataques a redes

  • Necessidade de controle de tráfego

  • Garantir integridade aos serviços

  • Alta demanda dos serviços da Internet


Firewall

Firewall

  • Definição de Firewall

  • Funções do Firewall

  • Estrutura de um Firewall

  • Classificação básica


Firewall1

Firewall

Ilustração:


Princ pios b sicos

Princípios Básicos

  • Toda solicitação chega ao Firewall

  • Somente tráfego autorizado passa pelo Firewall

  • O próprio Firewall deve ser imune a penetração


O que um firewall pode fazer

O que um Firewall pode fazer?

  • É um foco para a tomada de decisões

    • Pode ser usado como um ponto de partida para a política de segurança

  • Pode gravar requisições

  • Limita a exposição da rede


O que um firewall n o pode fazer

O que um Firewall não pode fazer?

  • Proteger uma rede contra usuários internos

  • Proteger uma rede contra conexões que não passam por ele

  • Proteger contra ameaças completamente novas

  • Proteger contra vírus


Tipos de firewall

Tipos de Firewall

  • Existem dois principais tipos:

    • Filtro de Pacotes;

    • Servidores Proxy.


Filtro de pacotes

1

Filtro de Pacotes

  • Filtrar = peneirar, separar

  • Controle do tráfego que entra e sai

  • Filtro de pacotes em Roteadores

  • Incrementa a segurança

  • Transparente aos usuários

  • Grande variedade no mercado


Filtro de pacotes1

2

Filtro de Pacotes

  • As regras dos filtros se contém:

    • Endereço IP de origem

    • Endereço IP de destino

    • Protocolos TCP, UDP, ICMP

    • Portas TCP ou UDP origem

    • Portas TCP ou UDP destino

    • Tipo de mensagem ICMP


Filtro de pacotes2

3

Filtro de Pacotes

Rede

Interna

Router

Internet

Roteador com

Filtro de Pacotes


Filtro de pacotes3

4

Filtro de Pacotes

  • Filtragem por adapatador de rede – vantagem ao administrador

  • Principais problemas do filtro:

    • IP Spoofing

    • Serviço troca de porta

  • Filtros de pacotes não tratam protocolos da camada de aplicação


Filtro de pacotes4

5

Filtro de Pacotes

  • Filtragem = atraso no roteamento

  • Filtros com Inspeção com Estado

    • Utilizam as flags do TCP (ACK, SYN, FIN)

    • Vantagens: maior controle

  • Filtros de pacotes não são uma solução única – é um complemento


Filtro de pacotes5

6

Filtro de Pacotes

  • Exemplos de regras do IP Filter:

  • block in log on tun0 prototcpfromany to

    any

  • pass in quickon eth0 prototcpfromany to

    200.28.33.22 port 23 flags S keepstate

    keepfrags


Servidores proxy

1

Servidores Proxy

  • Assumem requisições de usuários de uma rede

  • Atuam em nome do cliente de uma forma transparente

  • Não permitem que pacotes passem diretamente entre cliente e servidor


Servidores proxy1

2

Servidores Proxy

  • Ilustração do funcionamento


Servidores proxy2

3

Servidores Proxy

  • Métodos de utilização:

    • Método da Conexão Direta;

    • Método do Cliente Modificado;

    • Método do Proxy Invisível.


Servidores proxy3

4

Servidores Proxy

  • Vantagens de utilização do proxy:

    • Permite ao usuário acesso direto aos serviços na Internet;

    • Possui bons mecanismos de log;

    • Provê uma ótima separação entre as redes.


Servidores proxy4

5

Servidores Proxy

  • Desvantagens do proxy:

    • Cada serviço possui o seu servidor proxy;

    • Deve ser desenvolvida uma nova aplicação para cada novo serviço;

    • Existem alguns serviços inviáveis.


Servidores proxy x filtro de pacotes

Servidores Proxy X Filtro de Pacotes

  • Tomada de decisões:

    • Servidor proxy toma decisões baseado em informações fornecidas pelo serviço;

    • Filtro de pacotes utiliza o cabeçalho do pacote.


Servidores proxy x filtro de pacotes1

Servidores Proxy X Filtro de Pacotes

  • Desempenho:

    • Filtro de pacotes possui uma vantagem por estar em nível mais baixo.

  • Auditoria:

    • Servidor proxy possui vantagem por permitir auditoria sobre o controle do tráfego.


Tipos adicionais de firewalls

Tipos Adicionais de Firewalls

  • Existem dois outros tipos de firewalls alternativos:

    • Firewalls Híbridos;

    • FirewallsBastion Hosts.


Firewalls hibr dos

Firewalls Hibrídos

  • A maioria dos firewalls podem ser classificados como Filtro de Pacotes ou Servidores Proxy

  • Outros tipos de firewalls oferecem uma combinação entre estes dois


Firewalls hibr dos1

Firewalls Hibrídos

  • Ilustração exemplo


Firewalls bation hosts

Firewalls Bation Hosts

  • Hosts fortemente protegidos

  • Único computador da rede que pode ser acessado pelo lado de fora do firewall

  • Pode ser projetado para ser um servidor Web, servidor FTP, dentre outros


Firewalls bation hosts1

Firewalls Bation Hosts

  • Ilustração :


Firewalls bation hosts2

Firewalls Bation Hosts

Honey Pot

  • Chamariz para crackers;

  • Função de coletar dados de tentativas de invasão;

  • Ferramentas de registros de logs são mantidas o mais seguro possível.


Arquiteturas de fw

Arquiteturas de FW

  • O que é uma arquitetura de Firewall ?

  • Principais:

    • Screened host

    • Screenedsubnet

  • Screened = proteger, peneirar, investigar


Screened host

Screened host

  • Sem sub-rede de proteção

  • Elementos = 1 roteador e 1 bation host

  • Rede protegida sem acesso direto ao “mundo”

  • Bastion host realiza o papel de procurador – só ele passa pelo roteador


Screened host1

Screened host

  • Ilustração desta arquitetura


Screened subnet

ScreenedSubnet

  • Apresenta múltiplos níveis de redundância

  • É a mais segura

  • Componentes:

    • Roteador externo

    • Subrede intermediária (DMZ)

    • Bastion Host

    • Roteador Interno


Screened subnet1

ScreenedSubnet

  • O que é a DMZ (De Militarized Zone)?

    • Sub-rede entre a rede externa e a protegida. Proporciona segurança.

  • Rede interna somente têm acesso ao Bastion Host

  • Somente a subrede DMZ é conhecida pela Internet


Screened subnet2

ScreenedSubnet

  • Ilustração desta arquitetura


Conclus o

Conclusão

  • Importante ferramenta na proteção

  • Firewall não deve ser o único componente da política de segurança

    Qual é a melhor solução de projeto de firewall para redes?


Links teis

Links Úteis

  • Firewalls – UFRJ - http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm

  • Internet Firewalls – UFRGS -

    http://penta.ufrgs.br/redes296/firewall/fire.html


Perguntas

Perguntas


  • Login