O documento discute conceitos de segurança em redes de computadores, incluindo tipos de firewalls, layouts de firewall e DMZ. É apresentada uma introdução sobre ameaças à segurança e métodos de detecção de intrusão. Em seguida, são descritos tipos de firewall como host-based, network-based e gateway de aplicação. Layouts comuns de firewall e o uso de DMZ e protocolos de redundância também são explicados.
Unidade 3.2 instalação do sistemas operacionais livres
Unidade 2.3 firewall
1. SRCSRC (Segurança em Redes de(Segurança em Redes de
Computadores)Computadores)
Tecnologia em Redes de Computadores
Prof. Esp. Juan Carlos Oliveira Lamarão
Abril - 2016
2. AgendaAgenda
2. Segurança de Redes
2.1 Introdução a Segurança de Redes
2.2 Ameaças
2.2.1 Ataques
2.2.2 Atacantes
2.3 Firewall
2.4 Detecção de Intrusão
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 2
3. AgendaAgenda
Firewall
– Definição
– Tipos de Firewall
– Layouts de Firewall
– Protocolo de Redundância
– DMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 3
4. FIREWALL
Unidade 2.3
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 4
5. DefiniçãoDefinição
É um mecanismo de segurança que controla a troca de informações
entre redes confiáveis (por exemplo, redes internas) e redes não
confiáveis (por exemplo, a Internet).
“Um firewall é uma combinação de hardware e software que isola a
rede interna de uma organização da Internet em geral, permitindo que
alguns pacotes passem e bloqueando outros”.
Kurose e Ross (2014)
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 5
6. DefiniçãoDefinição
Um firewall possui três objetivos:
Todo tráfego de fora para dentro, e vice-versa, passa por
um firewall
Somente o tráfego autorizado, como definido pela política
de segurança local, poderá passar
O próprio firewall está imune à penetração
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 6
7. Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Host-based
É um software de aplicação instalado em um único
computador. Firewall pessoal do host, o quel o mesmo é
responsável pela sua configuração.
Desvantagem:
Maior dificuldade de implementação (correta) em todo o
parque computacional
Não realiza filtragem de pacotes
Vantagem:
Mais segurança aos hosts
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 7
8. Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Network-based
Funcionam em nível de rede, o que significa que este tipo
de firewall filtra dados que trafegam da internet em direção
aos computadores da rede e vice-versa Garante um
perímetro de segurança
– Desvantagens:
Não proporciona tanta segurança quanto o firewall
baseado em host
Não fecha portas específicas do host
– Vantagens:
Mais proteção à rede
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 8
9. Tipos de FirewallTipos de Firewall
Os firewall podem ser classificados em três categorias:
Filtros de Pacotes Tradicionais
Filtros de Estado e
Gateways de Aplicação
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 9
10. Tipos de Firewall (filtro de pacoteTipos de Firewall (filtro de pacote
tradicional)tradicional)
Filtro de Pacotes Tradicionais
Normalmente uma organização tem um roteador de borda
que conecta sua rede interna com seu ISP. Todo tráfego
que sai ou que entra na rede interna passa por esse
roteador e é nele que ocorre a filtragem de pacotes.
Um filtro de pacote examina cada datagrama que está
sozinho, determinando se ele deve passar ou ficar
baseado nas regras específicadas pelo administrador
(ACL’s)
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 10
11. Tipos de Firewall (filtro de pacoteTipos de Firewall (filtro de pacote
tradicional)tradicional)
Filtro de Pacotes Tradicionais
As decisões de filtragem costumam ser baseadas em:
Endereço IP de Origem e de destino;
Tipo de protocolo no campo do datagrama IP: TCP, UDP,
ICMP, OSPD etc
Porta TCP ou UDP de origem e de destino
Bits de flag do TCP: SYN, ACK etc
Tipos de mensagem ICMP
Regras diferentes para datagramas que entram e saem da
rede
Regras diferentes para interfaces do roteador
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 11
12. Tipos de Firewall (filtro de pacoteTipos de Firewall (filtro de pacote
tradicional)tradicional)
Filtro de Pacotes Tradicionais
Um administrador de rede configura o firewall com base na política
da organização.
Ex. Largura de Banda; bloquear sites como youtube, radio
online, etc.
Uma política de filtragem também pode ser baseada na combinação
de endereços e número de porta.
Ex. Bloquear telnet, a não ser de um range específico.
O que é prioridade?
Basear a política em endereços externos não oferece nenhuma
preocupação contra datagramas cujo endereço de origem foi
falsificado
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 12
13. Tipos de Firewall (filtro de pacoteTipos de Firewall (filtro de pacote
tradicional)tradicional)
Filtro de Pacotes Tradicionais
A filtragem também pode ser baseada em o bit TCP ACK estar ou
não marcado.
“O primeiro segmento de todas as conexões TCP tem o bit ACK
com valor 0, ao passo que todos os outros segmentos da conexão
têm o bit ACK com valor 1” Kurose e Ross (2014)
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 13
14. Tipos de Firewall (filtro de pacote comTipos de Firewall (filtro de pacote com
controle de estado)controle de estado)
Filtro de Pacote com Controle de Estado
Em um filtro de pacotes tradicional, as decisões de filtragem são
feitas em cada pacote isolado. Os filtros de estado rastreiam
conexões TCP e usam esse conhecimento para tomar decisões
sobre filtragem.
Filtro mais inteligente, registrando logs e analisando os mesmos
Ex. Um usuário interno queria navegar em um site externo. Como o
usuário primeiro envia um segmento TCP SYN, sua conexão TCP é
registrada na tabela de conexão. Quando o servidor envia pacotes
de volta (com o o ACK necessariamente definido), o firewall verifica
a tabela e observa que uma conexão correspondente está em
andamento. O firewall, então, deixa esses pacotes passarem, sem
interferir na navegação do usuário interno.
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 14
15. Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Em um cenário onde a empresa quer fornecer o serviço de telnet a
um conjunto restrito de usuários internos (em vez de a endereços
IP), nesta empresa há a necessidade de que usuários privilegiados
se autentiquem antes de obter permissão para criar sessões Telnet
com o mundo externo, os firewalls de filtro de pacote não
conseguem fazer este tipos de restrição, pois as informações sobre
a identidade de usuários internos não estão incluídas nos
cabeçalhos IP/TCP/UDP; elas estão nos dados da camada de
aplicação.
Para assegurar um nível mais refinado de segurança, os firewalls
tem que combinar flitro de pacotes com gateways de aplicação.
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 15
16. Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Gateways de aplicação fazem mais do que examinar cabeçalhos
IP/TCP/UDP e tomam decisões com base em dados da aplicação.
Um gateway de aplicação é um servidor específico de aplicação,
através do qual todos os dados da aplicação (de entrada e saída)
devem passar.
Vários gateways de aplicação podem ser executados no mesmo
hospedeiro, mas cada gateway é um servidor separado, com seus
próprios processos.
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 16
17. Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Para que o pedido da empresa do cenário anterior funcione
corretamente (permitir que somente usuários internos com
privilégios realizem Telnet à máquinas ou servidores externos) é
necessário utilizar um filtro para bloquear todas as conexões Telnet,
exceto as que se originam do endereço IP do gateway de aplicação.
Para acessar o gateway de aplicação será exigido um usuário e
senha.
Assim, o gateway de aplicação Telnet não só autoriza o usuário,
mas também atua como um servidor Telnet e um cliente Telnet,
repassando informações entre o usuário e o servidor Telnet remoto.
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 17
18. Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 18
19. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 19
20. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 20
21. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 21
22. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 22
23. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 23
24. Layout de FirewallLayout de Firewall
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 24
25. Protocolo de RedundânciaProtocolo de Redundância
Virtual Routing Redundancy Protocol /
Protocolo de Redundancia Virtual de
Roteadores
Voltador para Roteadores
Tem a capacidade de executar o
Failover, caso um roteador deixe de
funcionar, o roteador de backup
assume a conexão e o IP
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 25
26. Protocolo de RedundânciaProtocolo de Redundância
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 26
27. DMZDMZ
DeMilitarized Zone / Zona Desmilitarizada
Área intermediária entre a rede interna e a externa, onde os
servidores que recebem tráfego externo estão hospedados de
maneira separada da rede interna de uma empresa, por
exemplo. (a fim de trazer segurança a rede interna)
“A DMZ é a parte da rede da empresa que se encontra fora do
perímetro de segurança. Tudo passa por ali” Tannuenbaum
2015
Falta de segurança para rede interna e externa?
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 27
28. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 28
29. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 29
30. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 30
31. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 31
32. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 32
33. DMZDMZ
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 33