Firewall           Jorge Ávila
FIREWALL (filtro de pacotes)• Camadas de rede e de transporte da pilha  TCP/IP
FIREWALL (filtro de pacotes)• Filtro de pacotes são regras que avaliam as  informações no cabeçalho de um pacote toda vez ...
FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem    É o endereço de IP que ...
FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino    É o endereço de IP par...
FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino    O numero ...
FIREWALL (filtro de pacotes)• Verificação do sentido  do pacote – rede  interna ou externa –  tem relação direta com  a de...
FIREWALL• IP spoofing é um  ataque que  consiste em  mascarar (spoof)  pacotes IP  utilizando  endereços de  remetentes  f...
IP spoofing• Devido às características do protocolo IP, o  reencaminhamento de pacotes é feito com base  numa premissa mui...
IP spoofing• Assim, torna-se trivial falsificar o endereço de  origem através de uma manipulação simples do  cabeçalho IP....
FIREWALL• Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam porta...
FIREWALL• Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no   perímetro da rede  Ex:
FIREWALL• Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
Firewall (Filtro de pacotesbaseados em estados)• Também conhecidos como Firewalls dinâmicos  ou Stateful Packet Filter• Tr...
Firewall (Filtro de pacotesbaseados em estados)• Caso da “brecha” deixada pelo filtro de pacotes  simples    O retorno é p...
Firewall (Filtro de pacotesbaseados em estados)• Timeout de conexões x  Ataques de SYN flooding ▫ Adaptação do timeout par...
Firewall (Filtro de pacotesbaseados em estados)• Vantagens ▫ Aberturas apenas temporárias do perímetro da   rede (conexões...
Firewall (Filtro de pacotesbaseados em estados)• Desvantagens ▫ Maior consumo de recursos de memória da   máquina do Firew...
Arquitetura de um Firewall• Dual-homed host• Zona Desmilitarizada  (DMZ)• Bastion Host• Bastion Host + DMZ
Arquitetura de um Firewall• Dual-homed host ▫ É um host que tem, no   mínimo,duas   interfaces de rede.   Cada uma se comu...
Dual-homed host• Um computador que fica entre duas redes pode  ser um dual-homed gateway, já que este pode  atuar como um ...
Dual-homed host• Desta forma, os pacotes IP vindos da Internet  não são repassados diretamente para a rede  interna. Siste...
Zona Desmilitarizada (DMZ)• Também conhecida  como Rede de  Perímetro, a DMZ é  uma pequena rede  situada entre uma rede  ...
Zona Desmilitarizada (DMZ)• A função de uma DMZ é manter todos os  serviços que possuem acesso externo (tais como  servido...
Bastion Host + DMZ• Bastion host é qualquer máquina configurada  para desempenhar algum papel crítico na  segurança da red...
Bastion Host• Um bastion host deve ter uma estrutura simples, de  forma que seja fácil de garantir a segurança. São  norma...
Bastion Host + DMZ• Criação de uma zona desmilitarizada que hospeda  o Bastion host• Maior segurança no caso do comprometi...
Avaliação de um Firewall•   Fabricante / Fornecedor•   Suporte técnico•   Tempo para entrar em funcionamento•   Logs (audi...
Teste Firewall• Tentar passar pelo Firewall para validar o  conjunto de regras• Validação da Política de Segurança• Identi...
Problemas relacionados• Firewalls mal configurados• Implementação incorreta da política de  segurança• Gerenciamento falho...
Exercicio• Qual a importância da segmentação entre as  redes de servidores públicos e a rede local?• Qual o papel do Firew...
Próximos SlideShares
Carregando em…5
×

Aula 05

972 visualizações

Publicada em

Segurança da Informação 13/11/2012

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
972
No SlideShare
0
A partir de incorporações
0
Número de incorporações
271
Ações
Compartilhamentos
0
Downloads
45
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Aula 05

  1. 1. Firewall Jorge Ávila
  2. 2. FIREWALL (filtro de pacotes)• Camadas de rede e de transporte da pilha TCP/IP
  3. 3. FIREWALL (filtro de pacotes)• Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
  4. 4. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem  É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
  5. 5. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino  É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
  6. 6. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino  O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
  7. 7. FIREWALL (filtro de pacotes)• Verificação do sentido do pacote – rede interna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
  8. 8. FIREWALL• IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
  9. 9. IP spoofing• Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
  10. 10. IP spoofing• Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
  11. 11. FIREWALL• Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
  12. 12. FIREWALL• Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no perímetro da rede Ex:
  13. 13. FIREWALL• Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
  14. 14. Firewall (Filtro de pacotesbaseados em estados)• Também conhecidos como Firewalls dinâmicos ou Stateful Packet Filter• Trabalha na camada de rede e transporte• Toma decisões de filtragem com base em: ▫ Informações dos cabeçalhos dos pacotes ▫ Uma tabela de estados, que guarda o estados de todas as conexões ▫ Verifica o primeiro pacote de cada conexão – os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
  15. 15. Firewall (Filtro de pacotesbaseados em estados)• Caso da “brecha” deixada pelo filtro de pacotes simples O retorno é permitido com a verificação dos pacotes de acordo com a tabela de estados do Firewall.
  16. 16. Firewall (Filtro de pacotesbaseados em estados)• Timeout de conexões x Ataques de SYN flooding ▫ Adaptação do timeout para evitar ataques de negação de serviço (encher a tabela de estados)
  17. 17. Firewall (Filtro de pacotesbaseados em estados)• Vantagens ▫ Aberturas apenas temporárias do perímetro da rede (conexões de retorno) ▫ Alto desempenho
  18. 18. Firewall (Filtro de pacotesbaseados em estados)• Desvantagens ▫ Maior consumo de recursos de memória da máquina do Firewall (tabela de estados) ▫ Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
  19. 19. Arquitetura de um Firewall• Dual-homed host• Zona Desmilitarizada (DMZ)• Bastion Host• Bastion Host + DMZ
  20. 20. Arquitetura de um Firewall• Dual-homed host ▫ É um host que tem, no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
  21. 21. Dual-homed host• Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
  22. 22. Dual-homed host• Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual- homed host.
  23. 23. Zona Desmilitarizada (DMZ)• Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
  24. 24. Zona Desmilitarizada (DMZ)• A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
  25. 25. Bastion Host + DMZ• Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
  26. 26. Bastion Host• Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP.• Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
  27. 27. Bastion Host + DMZ• Criação de uma zona desmilitarizada que hospeda o Bastion host• Maior segurança no caso do comprometimento do Bastion Host
  28. 28. Avaliação de um Firewall• Fabricante / Fornecedor• Suporte técnico• Tempo para entrar em funcionamento• Logs (auditoria)• Gerenciamento - facilidade de manutenção• Desempenho• Capacitação do pessoal
  29. 29. Teste Firewall• Tentar passar pelo Firewall para validar o conjunto de regras• Validação da Política de Segurança• Identificação de erros comuns• Devem ser realizados com uma determinada frequência• Quem deve fazer o teste? ▫ Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
  30. 30. Problemas relacionados• Firewalls mal configurados• Implementação incorreta da política de segurança• Gerenciamento falho – controle de mudanças ▫ Usuários requisitando novos serviços (precisam ou querem?) ▫ Ignorar arquivos de logs ▫ Drible da segurança (conexões extras, etc)• Falta de atualizações
  31. 31. Exercicio• Qual a importância da segmentação entre as redes de servidores públicos e a rede local?• Qual o papel do Firewall como parte da infraestrutura de segurança?• Cite exemplos onde a segmentação de rede deve ser aplicada para uma maior proteção dos ambientes corporativos.• Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?

×