SlideShare uma empresa Scribd logo
SEGURANÇA EM
      SISTEMAS
   COMPUTACIONAIS



Fabrício Leão            Figueiredo Leão
                Fabrício
José Martin     José Martin Celso Júnior
Firewall

 1. Definição e Função
 2. Funcionalidades
 3. A evolução técnica
 4. As arquiteturas
 5. O desempenho
 6. O mercado
 7. Avaliação do Firewall
 8. Teste do Firewall
 9. Problemas relacionados
 10. O Firewall não é solução total de segurança
Definição
    “firewall é um ponto entre duas ou mais


    redes, no qual circula todo o tráfego” (CHESWICK;
    BELLOVIN, 1994 apud NAKAMURA; GEUS, 2007, p.221)




    “firewall é um componente ou um conjunto de


    componentes que restringe o acesso entre
    uma rede protegida e a Internet ou entre
    outros conjuntos de redes”      (CHAPMAN, 1995 apud
    NAKAMURA; GEUS, 2007, p.221)
Definição
    Baseando-se nessas duas definições clássicas,

    pode-se dizer que:

    “firewall é um ponto entre duas ou mais redes,

    que pode ser um componente ou um conjunto
    de componentes, por onde passa todo o
    tráfego, permitindo que o controle, autenticação
    e os registros de todo o tráfego sejam
    realizados”
Definição
                       Ponto único



                                           Rede 2
         Rede 1


                           Firewall



  Um ou mais componentes
                                       Controle
                                       Autenticação
                                                   de tráfego
                                       Registro
Função
    Proteger geralmente, uma rede confiável de


    uma rede pública não-confiável

    Separar diferentes sub-redes, grupos de


    trabalho ou LANs dentro de uma organização

    Reforçar a política de segurança no controle de

    acesso entre duas redes
Composição
    O firewall é um conjunto de componentes e

    funcionalidades que definem a arquitetura de
    segurança, utilizando uma ou mais tecnologias de
    filtragem:

                                 Componentes
                             •

                                 Funcionalidades
                             •
                Firewall
                             • Arquitetura

                                 Tecnologias
                             •
Funcionalidades
                     Filtros
                     Proxies
                Bastion hosts
                Zona desmilitarizada
Funcionalidades
                Network address translation (NAT)
   do Firewall
                Rede privada virtual (VPN)
                Autenticação/certificação
                Balanceamento de cargas
                Alta disponibilidade
Funcionalidades
    Filtros – Realizam o roteamento de pacotes de

    maneira seletiva

    Proxies – São sistemas que atuam como um

    gateway entre duas redes

    Bastion hosts – São equipamentos em que são

    instalados os serviços a serem oferecidos para a
    Internet

    Zona desmilitarizada (DMZ) – É uma rede que

    fica entre uma rede interna, que deve ser protegida,
    e a rede externa
Funcionalidades
    Network address translation (NAT) – Responsável

    pela conversão de endereços IP inválidos e
    reservados, em grandes redes, para válidos e roteáveis
    quando a rede externa é acessada

    Rede Privada virtual (VPN) – Utiliza conceitos de

    criptografia e o IP Security (IPSec) que garantem
    sigilo, integridade e autenticação dos dados

    Autenticação/certificação – Podem ser baseadas em

    endereços IP, senhas, certificados
    digitais, tokens, smartcards ou biometria que utilizam
    chaves públicas (PKI) e o Single-On (SSO)
Funcionalidades
    Balanceamento de cargas – É um mecanismo

    que visa a divisão do tráfego entre dois firewalls
    que trabalham paralelamente na qual cada um
    recebe uma conexão de cada vez

    Alta disponibilidade – Tem como objetivo o

    estabelecimento de mecanismos para manutenção
    dos serviços, de modo que eles estejam sempre
    acessíveis para os usuários
A evolução técnica
    O firewall é considerado uma tecnologia „antiga‟ na


    indústria de segurança, mas ainda não pode ser
    definido como estável, pois continua em um constante
    processo de evolução

    Os primeiros, foram implementados em roteadores na


    década de 80

    Atualmente, existe uma tendência de adicionar cada

    vez mais funcionalidades aos firewalls, que podem
    não estar relacionadas necessariamente à segurança
A evolução técnica
    As principais tecnologias de firewalls e suas

    variações são:
        Filtro de pacotes
    •
        Filtro de pacotes baseados em estados
    •
        Proxy
    •
        Firewalls híbridos
    •
        Proxies adaptativos
    •
        Firewalls reativos
    •
        Firewalls individuais
    •
A evolução técnica
    Filtro de pacotes – Funciona na camada de rede e

    de transporte e baseia a filtragem nas informações do
    cabeçalhos dos pacotes.

    Tem como vantagem:


        Baixo overhead / alto desempenho da rede
    •

        É barato, simples e flexível
    •

        É bom para o gerenciamento de tráfego
    •

        É transparente para o usuário
    •
A evolução técnica
    Filtro de pacotes – As desvantagens são:


      Permite a conexão direta para hosts internos de clientes
    •
    externos
    • É difícil gerenciar em ambientes complexos
    • É vulnerável a ataques como o IP spoofing, salvo se for
    configurado
    • Dificuldade de filtrar serviços que utilizam portas
    dinâmicas, como o RPC
    • Não oferece a autenticação do usuário
    • Deixa „brechas‟ permanentes abertas no perímetro da
    rede
A evolução técnica
    Filtro de pacotes





                      IP
         Cabeçalho         Cabeçalho TCP




                      UDP                ICMP
         Cabeçalho         Cabeçalho
A evolução técnica
     Filtro de pacotes baseado em estados




                                                de pacotes baseado em estados
                                         Filtro
        de pacotes baseado em estados
 Filtro
                                         trabalhando na chegada dos demais pacotes
 trabalhando na chegada de pacotes SYN




        de pacotes baseado em estados
 Filtro
                                                de pacotes baseado em estados
                                          Filtro
 trabalhando na chegada de pacotes ACK    tratando os pacotes ACK
A evolução técnica
    Filtro de pacotes baseado em estados

    Também conhecido como filtro de pacotes
    dinâmicos, baseia a filtragem tendo como
    referência dois elementos:

        As informações dos cabeçalhos dos pacotes
    •
        de dados, como no filtro de pacotes

        Uma tabela de estados, que guarda os
    •
        estados de todas as conexões
A evolução técnica
    Filtro de pacotes baseado em estados


    Vantagens:
    . Abertura apenas temporária no perímetro da rede
    . Baixo overhead / alto desempenho da rede
    . Aceita quase todos os tipos de serviço

    Desvantagens:
    . Permite a conexão direta para hosts internos a partir
    de redes externas
    . Não oferece autenticação do usuário, a não ser via
    gateway de aplicação
A evolução técnica
    Proxy - Pode trabalhar tanto na camada de sessão ou

    de transporte, quanto na camada de aplicação o que
    lhe dá mais controle sobre a interação entre o cliente e
    o servidor




                               tipos de proxies
                         Os
A evolução técnica
    Proxy


    Vantagens:
    . Não permite conexões diretas entre hosts
    internos e externos
    . Aceita autenticação do usuário
    . Analisa comandos da aplicação no payload dos
    pacotes de dados, ao contrário do filtro de pacotes
    . Permite criar logs do tráfego e de atividades
    específicas
A evolução técnica
    Proxy


    Desvantagens:
    . É mais lento que os filtros de pacotes (somente o
    application level gateway)
    . Requer um proxy específico para cada aplicação
    . Não trata pacotes ICMP
    . Não aceita todos os serviços
    . Requer que os clientes internos saibam sobre ele
A evolução técnica
    Proxy transparente – É um servidor proxy modificado,


    que exige mudança na camada de aplicação e no Kernel
    do firewall
    - Esse tipo de proxy redireciona as sessões que passam
    pelo firewall para um servidor proxy local de modo
    transparente
    - Os clientes (software e usuário) não precisam saber
    que sua sessões são manipuladas por um proxy, de
    modo que suas conexões são transparentes, como se
    elas fossem diretas para o servidor
A evolução técnica
    Firewalls híbridos - Misturam os elementos de

    três tecnologias apresentadas de modo a garantir:
    - A proteção dos proxies para os serviços que
    exigem alto grau de segurança
    - E a segurança do filtro de pacotes, ou do filtro de
    pacotes com base em estados, para os serviços em
    que o desempenho é o mais importante
    - Atualmente, a maioria dos firewalls comerciais é
    híbrida, aproveitando as melhores características
    dessas tecnologias para cada um dos serviços
    específicos
A evolução técnica
    Proxies adaptativos – A diferença entre o

    firewall híbrido e o proxy adaptativo está na forma
    de usar diferentes tecnologias simultaneamente
    - Utiliza mecanismos de segurança em série, o que
    traz benefícios para nível de segurança da rede da
    organização
    - É capaz de utilizar dois mecanismos de segurança
    diferentes para a filtragem de um mesmo protocolo
A evolução técnica
    Proxies adaptativos – A arquitetura possui duas

    características não encontradas em outros firewalls:
    - Monitoramento bidirecional e mecanismos de controle
    entre o proxy adaptativo e o filtro de pacotes baseado em
    estados
    - Controle dos pacotes que passam pelo proxy
    adaptativo, com habilidade de dividir o processamento do
    controle e dos dados entre a camada de aplicação
    (application level gateway) e a camada de rede (filtro de
    pacotes e filtro de pacotes baseado em estado)

         Exemplo: servidor FTP entrega duas conexões:
    -




             Tráfego de controle e transferência de dados
A evolução técnica
    Proxies adaptativos


    - O mecanismo de controle bidirecional permite que o
    proxy adaptativo gerencie as duas conexões, de modo
    que, caso a conexão de controle seja encerrada, a
    conexão de dados também é finalizada
    - Um exemplo de firewall adaptativo:
        Gauntlet, da Network Associates Inc.
A evolução técnica
    Firewalls reativos


    - Assim são chamados por alguns de seus
    fabricantes, devido apresentarem a integração do IDS
    e Sistemas de respostas
    - Incluem funções de detecção de intrusão e alarmes
    de modo que a segurança é mais ativa que pasiva
    - Podem policiar acessos e serviços, além de ser
    capaz de mudar a configuração de suas regras de
    filtragem de modo dinâmico, enviar mensagens aos
    usuários e ativar alarmes
A evolução técnica
    Firewall individual ou pessoal


    - É uma das alternativas para a proteção das conexões
    de hosts individuais
    - A característica desse tipo de firewall é que ele não atua
    na borda da rede da organização e sim no próprio equipa-
    mento do usuário
    - Os diversos produtos atuam na camada de enlace de
    dados e filtram pacotes IP (TCP,UDP,ICMP etc.)
    - É capaz de controlar o acesso aos recursos, bloquear
    determinadas conexões, monitorar todo o tráfego gerado
    ou que chega ao sistema
A evolução técnica

     Firewall individual ou pessoal




            hacker pode acessar a rede da organização por meio do cliente VPN
      Um
A evolução técnica
    Firewall individual ou pessoal


    - Gera regras de acordo com uma aplicação específica
    que está funcionando e cria logs de todos os acessos do
    sistema dependendo da especificação de cada produto
    - Não se deve esquecer de um vírus sempre pode
    reescrever essa regras
    - Para os usuários domésticos, a proteção de seu
    sistema tornou-se uma necessidade tão grande quanto a
    dos servidores das organizações
A evolução técnica
    A melhor tecnologia de firewall


    - A questão da melhor tecnologia a ser utilizada por
    uma organização é relativa, pois tudo deve ser
    analisado de acordo com o ambiente onde o firewall
    deverá funcionar
    - A melhor tecnologia é, sem dúvida, aquela que melhor
    se adapta as necessidades da empresa, levando-se
    em consideração o grau de segurança requerido e a
    disponibilidade de recursos (técnicos e financeiros)
    para sua implantação
As Arquiteturas

    Dual Homed Host Architecture


    Screened Host Architecture


    Screened Subnet Architecture


    Firewall Cooperativo

Dual Homed Host Architecture


    Conectado a duas redes (2 placas de rede)




    Atua como proxy:


       máq interna → firewall → máq externa
                         ou
       máq externa → firewall → máq interna
Dual Homed Host Architecture
Screened Host Architecture


    Formada por 2 elementos:


     Filtro de pacotes
     Bastion Host



    O filtro deve possuir uma regra que


    obrigue o tráfego da rede interna a passar
    pelo bastion host (onde normalmente
    estão as regras de acesso)
Screened Host Architecture
Screened Subnet Architecture



 Melhora em relação à
 Screened Host Architecture ao
 adicionar a rede DMZ
 (perimeter network no
 desenho)
Screened Subnet Architecture
Screened Subnet Architecture
         Variação
                      Inernet




                                                             Bastion Host
  Filtro de Pacotes
        Externo

                                Zona Desmilitarizada - DMZ

  Filtro de Pacotes
                                                                ...
        Interno

                                                                     FIREWALL




                   Rede
                  Interna
Firewall Cooperativo
    Arquitetura onde são inseridos novos


    componentes, como VPN, IDS e PKI
    Usuários internos tratados como usuário


    externos (não tem acesso direto – sem firewall
    – a servidores e demais recursos críticos)
    Idéia de Bolsões de Segurança

Firewall Cooperativo

                                  Inernet




                                                3
                                                Z
                                            M
                                                      Concentrador




                                            D
                                                         VPN

  Zona Desmilitarizada– DMZ 2
                                                    Zona Desmilitarizada – DMZ 1
          (interna)


...                                                                                ...




                                 Rede
                                Interna
Desempenho
    Devem possuir altíssimo desempenho


    Em 2003, já existiam firewalls capazes de


    operar a 1 Gbps e suportando 500 mil
    conexões concorrentes e 25 mil túneis VPN
Desempenho - Considerações


                              Software:
 Hardware:
                                  código do firewall
                              
     velocidade da placa de
 
     rede                         sistema operacional
                              
     número de placas de          pilha TCP/IP
                              
 
     rede                         quantidade de processos
                              
     tipo de barramento           sendo executados
 

     (SCSI, EISA, PCI, ...)       configuração
                              
                                  (complexidade)
     velocidade da CPU
 

                                  tipo de firewall
                              
     quantidade de memória
 
Desempenho

    Proxy → priorizar CPU


    Filtro de pacotes baseados em estados →

    RAM
    VPN → CPU


    Todos os tipos → Rede




Tendência recente → utilização de appliances

Dica: tente configurar o mínimo de regras de
  forma a manter o firewall seguro
Mercado
Divisões
      Provedores de Serviço (ISP s)
  
          Sofisticados
      

      Corporativo (> 1000 usuários)
  
          Clássicos
      

      Small and Midsize Business – SMB (50 > x > 1000
  
      usuários)
          Vários funcionalidades integradas (proxy/cache, anti-
      
          vírus, ...)
      Small Office Home Office – SOHO (< 50 usuários)
  
          Múltiplos produtos integrados (firewall, servidor web, ...)
      
Avaliação do Firewall


O melhor produto é o que garante
que a sua política de segurança
possa ser bem implementada e
que melhor se ajuste à
experiência e capacidade do
profissional responsável.
Avaliação do Firewall

Aspectos:
 Fabricante/Fornecedor – Deve ser fabricado

  por empresa sólida e conhecida.
 Suporte Técnico – Existe? Quanto custa?

 Tempo – Necessário para que a solução esteja
  funcionando.
 Projeto – defesa contra ataques

  clássicos, interações com hardware e outras
  soluções (IDS/IPS, ...)
Avaliação do Firewall

Aspectos (cont.):
 Logs – Quem fará a análise, onde guardar, por
  quanto tempo, ferramenta de análise, ...
 Desempenho

 Gerenciamento – Facilidade de
  configuração, de analise dos logs, envio de
  alertas, criptografia, ...
 Teste – Desempenho, furos de conf → scanner
  de vulnerabilidades, ...
 Capacitação do pessoal
Teste do Firewall


Verificar se a política de
segurança foi bem desenvolvida,
se foi implementada de modo
correto e se o firewall realiza
aquilo que declarava realizar.
Teste do Firewall

Etapas de um teste de firewall:
      Coleta de informações indiretas
  
          via mecanismos de busca, DNS, whois, ...
      

      Coleta de informações diretas
  
          firewalking, envio de e-mails e leitura de cabeçalho, port
      
          scanning, ...
      Ataques externos (“penetration test”)
  
          scanning de vulnerabilidades, ...
      

      Ataques Internos
  
          verificar se a rede interna pode realizar ataques à rede externa
      
Teste do Firewall


    Devem ser feitos com freqüência


    Por quem?


        Funcionários
    

        Hackers
    

        Revendedores
    

        Empresa especializada
    
Problemas Relacionados


Principais causas:
      Instalações de firewalls mal configuradas
  

      Implementação incorreta da política de segurança
  

      Gerenciamento falho
  

      Falta de atualizações
  
Problemas Relacionados

Conf. e Gerenc. – Equívocos comuns:
      Liberar novos serviços pq os usuários dizem que
  
      precisam deles
      Desvincular a rede VPN do Firewall
  

      Concentrar esforços no firewall e ignorar outras
  
      medidas de segurança
      Ignorar arquivos de logs
  

      Desligar mensagens de alerta
  
Problemas Relacionados

Conf. e Gerenc. – Equívocos comuns (cont.):
      Adicionar contas de usuários no firewall
  

      Permitir que diversas pessoas administrem o
  
      firewall
      Presença de modems (atrás do firewall → war
  
      dialing)
      Driblar a segurança do firewall e utilizar uma
  
      política própria (facilitar a vida do adm)
      Não ter uma política de segurança
  
O Firewall não é a Solução Total de
Segurança



    Apenas 1ª linha de defesa




    Geram falsa sensação de

    proteção
CONCLUSÃO
    Apesar de não ser a solução de todos os problemas de
•
    segurança o firewall é um componente essencial em
    uma organização, ao atuar na borda de sua
    rede, protegendo-a contra ataque e acessos indevidos.
    E essencial entender seu funcionamento e planejar bem
    a política de segurança, nunca esquecendo de não
    comprometer o trabalho e as funcionalidades dos
    serviços sabendo dosar segurança com funcionalidade.
    Hoje o mais importante de tudo, para uma segurança
•
    efetiva é não apenas permitir ou negar mais sim, ter
    uma controle efetivo sobre os usuários, verificando o
    que cada um pode acessar na rede, seus níveis de
    acesso, serviços e se eles estão fazendo aquilo que
    lhes foi explicitamente permitido.
O firewall Cooperativo hoje

Mais conteúdo relacionado

Mais procurados

Firewall
FirewallFirewall
Firewall
danielrcom
 
Introducao as rede de computadores
Introducao as rede de computadoresIntroducao as rede de computadores
Introducao as rede de computadores
Beldo Antonio Jaime Mario
 
Cabeamento Estruturado
Cabeamento EstruturadoCabeamento Estruturado
Cabeamento Estruturado
Anderson Zardo
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Rede de computadores
Rede de computadoresRede de computadores
Rede de computadores
Jairo Soares Dolores Mosca
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
Pjpilin
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresAula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
Dalton Martins
 
Topologia em redes
Topologia em redesTopologia em redes
Topologia em redes
Yohana Alves
 
Equipamentos de Rede
Equipamentos de RedeEquipamentos de Rede
Equipamentos de Rede
Ana Julia F Alves Ferreira
 
PROJETO DE REDE
PROJETO DE REDEPROJETO DE REDE
PROJETO DE REDE
WELLINGTON MARTINS
 
Redes 6 equipamentos ativos da rede
Redes 6 equipamentos ativos da redeRedes 6 equipamentos ativos da rede
Redes 6 equipamentos ativos da rede
Mauro Pereira
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Modelo osi
Modelo osiModelo osi
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)
Ferramentas Didáticas
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadores
Aron Sporkens
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
Reginaldo José Silva
 
Aula1 historia das redes
Aula1   historia das redesAula1   historia das redes
Aula1 historia das redes
Berenildo Felix JR
 
Hardware e redes de computadores (Componente, tipos de redes e topologias)
Hardware e redes de computadores (Componente, tipos de redes e topologias)Hardware e redes de computadores (Componente, tipos de redes e topologias)
Hardware e redes de computadores (Componente, tipos de redes e topologias)
Augusto Nogueira
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de Rede
Natanael Simões
 

Mais procurados (20)

Firewall
FirewallFirewall
Firewall
 
Introducao as rede de computadores
Introducao as rede de computadoresIntroducao as rede de computadores
Introducao as rede de computadores
 
Cabeamento Estruturado
Cabeamento EstruturadoCabeamento Estruturado
Cabeamento Estruturado
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Modelo TCP/IP
 
Rede de computadores
Rede de computadoresRede de computadores
Rede de computadores
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de ComputadoresAula 01 - Introdução ao curso - Projeto de Redes de Computadores
Aula 01 - Introdução ao curso - Projeto de Redes de Computadores
 
Topologia em redes
Topologia em redesTopologia em redes
Topologia em redes
 
Equipamentos de Rede
Equipamentos de RedeEquipamentos de Rede
Equipamentos de Rede
 
PROJETO DE REDE
PROJETO DE REDEPROJETO DE REDE
PROJETO DE REDE
 
Redes 6 equipamentos ativos da rede
Redes 6 equipamentos ativos da redeRedes 6 equipamentos ativos da rede
Redes 6 equipamentos ativos da rede
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Modelo osi
Modelo osiModelo osi
Modelo osi
 
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadores
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
Aula1 historia das redes
Aula1   historia das redesAula1   historia das redes
Aula1 historia das redes
 
Hardware e redes de computadores (Componente, tipos de redes e topologias)
Hardware e redes de computadores (Componente, tipos de redes e topologias)Hardware e redes de computadores (Componente, tipos de redes e topologias)
Hardware e redes de computadores (Componente, tipos de redes e topologias)
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de Rede
 

Destaque

Firewall
FirewallFirewall
Actividad 1 Firewall (FortiGate)
Actividad 1   Firewall (FortiGate)Actividad 1   Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)
Yeider Fernandez
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
Luiz Arthur
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 
Presentacion Productos Fortinet
Presentacion Productos FortinetPresentacion Productos Fortinet
Presentacion Productos Fortinet
Ricardo S Steffens G
 
Backup com ferramentas livres - Jerônimo Medina Madruga
Backup com ferramentas livres - Jerônimo Medina MadrugaBackup com ferramentas livres - Jerônimo Medina Madruga
Backup com ferramentas livres - Jerônimo Medina Madruga
Tchelinux
 
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
Jerônimo Medina Madruga
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
Sebastião de Aquino Ribeiro Junior
 
ISA11 - Walter Cybis: Monitorando a Experiência do Usuário
ISA11 - Walter Cybis: Monitorando a Experiência do UsuárioISA11 - Walter Cybis: Monitorando a Experiência do Usuário
ISA11 - Walter Cybis: Monitorando a Experiência do Usuário
Interaction South America
 
Anti spyware
Anti spywareAnti spyware
Anti spyware
Tony Venegas
 
Fortinet seguridad integral_en_tiempo_real
Fortinet seguridad integral_en_tiempo_realFortinet seguridad integral_en_tiempo_real
Fortinet seguridad integral_en_tiempo_real
holaey
 
382
382382
Copias de seguranca
Copias de segurancaCopias de seguranca
Copias de seguranca
Tiago Ângelo
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
alexandrino1
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier int
alberto_arroyo
 
Riscos associados ao ambiente térmico
Riscos associados ao ambiente térmicoRiscos associados ao ambiente térmico
Riscos associados ao ambiente térmico
isabelourenco
 
Segurança no Armazenamento: Backups
Segurança no Armazenamento: BackupsSegurança no Armazenamento: Backups
Segurança no Armazenamento: Backups
elliando dias
 
Temperatura e Humidade do Ar
Temperatura e Humidade do ArTemperatura e Humidade do Ar
Temperatura e Humidade do Ar
Beatriz Antunes
 
Riscos associados a electricidade
Riscos associados a electricidadeRiscos associados a electricidade
Riscos associados a electricidade
isabelourenco
 

Destaque (20)

Firewall
FirewallFirewall
Firewall
 
Actividad 1 Firewall (FortiGate)
Actividad 1   Firewall (FortiGate)Actividad 1   Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Segurança Lógica de Redes
Segurança Lógica de RedesSegurança Lógica de Redes
Segurança Lógica de Redes
 
Presentacion Productos Fortinet
Presentacion Productos FortinetPresentacion Productos Fortinet
Presentacion Productos Fortinet
 
Backup com ferramentas livres - Jerônimo Medina Madruga
Backup com ferramentas livres - Jerônimo Medina MadrugaBackup com ferramentas livres - Jerônimo Medina Madruga
Backup com ferramentas livres - Jerônimo Medina Madruga
 
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
Backup 101: Planejamento & Ferramentas - Tchelinux Alegrete 2010
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
ISA11 - Walter Cybis: Monitorando a Experiência do Usuário
ISA11 - Walter Cybis: Monitorando a Experiência do UsuárioISA11 - Walter Cybis: Monitorando a Experiência do Usuário
ISA11 - Walter Cybis: Monitorando a Experiência do Usuário
 
Anti spyware
Anti spywareAnti spyware
Anti spyware
 
Fortinet seguridad integral_en_tiempo_real
Fortinet seguridad integral_en_tiempo_realFortinet seguridad integral_en_tiempo_real
Fortinet seguridad integral_en_tiempo_real
 
382
382382
382
 
Copias de seguranca
Copias de segurancaCopias de seguranca
Copias de seguranca
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier int
 
Riscos associados ao ambiente térmico
Riscos associados ao ambiente térmicoRiscos associados ao ambiente térmico
Riscos associados ao ambiente térmico
 
Segurança no Armazenamento: Backups
Segurança no Armazenamento: BackupsSegurança no Armazenamento: Backups
Segurança no Armazenamento: Backups
 
Temperatura e Humidade do Ar
Temperatura e Humidade do ArTemperatura e Humidade do Ar
Temperatura e Humidade do Ar
 
Riscos associados a electricidade
Riscos associados a electricidadeRiscos associados a electricidade
Riscos associados a electricidade
 

Semelhante a Firewall

Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
Carlos Veiga
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos   parte 01Aula04 – sistemas de proteção de dispositivos   parte 01
Aula04 – sistemas de proteção de dispositivos parte 01
Carlos Veiga
 
Aula 05
Aula 05Aula 05
Firewall
FirewallFirewall
Firewall
mauricio souza
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
Frederico Madeira
 
Aula 08 meios de comunicação de dados
Aula 08 meios de comunicação de dadosAula 08 meios de comunicação de dados
Aula 08 meios de comunicação de dados
Jorge Ávila Miranda
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall
Marco Guimarães
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma Microsoft
Uilson Souza
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
odairjose23
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
Evandro Gama (Prof. Dr.)
 
Histórico e Fundamentos das Redes de Nova Geração (NGN)
Histórico e Fundamentos das Redes de Nova Geração (NGN)Histórico e Fundamentos das Redes de Nova Geração (NGN)
Histórico e Fundamentos das Redes de Nova Geração (NGN)
Frederico Madeira
 
NAC - Network Acess Control
NAC - Network Acess ControlNAC - Network Acess Control
NAC - Network Acess Control
Gionni Lúcio
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
marcesil
 
TrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoTrustWave - Visão Geral da Solução
TrustWave - Visão Geral da Solução
INSPIRIT BRASIL
 
Unidade 2.3 firewall
Unidade 2.3   firewallUnidade 2.3   firewall
Unidade 2.3 firewall
Juan Carlos Lamarão
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
Rodrigo Piovesana
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
guest4e5ab
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
Alexandre Freire
 
Nagios
NagiosNagios
SEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFWSEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFW
SEC4YOU Consulting
 

Semelhante a Firewall (20)

Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos   parte 01Aula04 – sistemas de proteção de dispositivos   parte 01
Aula04 – sistemas de proteção de dispositivos parte 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Firewall
FirewallFirewall
Firewall
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
 
Aula 08 meios de comunicação de dados
Aula 08 meios de comunicação de dadosAula 08 meios de comunicação de dados
Aula 08 meios de comunicação de dados
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma Microsoft
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
 
Histórico e Fundamentos das Redes de Nova Geração (NGN)
Histórico e Fundamentos das Redes de Nova Geração (NGN)Histórico e Fundamentos das Redes de Nova Geração (NGN)
Histórico e Fundamentos das Redes de Nova Geração (NGN)
 
NAC - Network Acess Control
NAC - Network Acess ControlNAC - Network Acess Control
NAC - Network Acess Control
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
 
TrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoTrustWave - Visão Geral da Solução
TrustWave - Visão Geral da Solução
 
Unidade 2.3 firewall
Unidade 2.3   firewallUnidade 2.3   firewall
Unidade 2.3 firewall
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Nagios
NagiosNagios
Nagios
 
SEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFWSEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFW
 

Firewall

  • 1. SEGURANÇA EM SISTEMAS COMPUTACIONAIS Fabrício Leão Figueiredo Leão Fabrício José Martin José Martin Celso Júnior
  • 2. Firewall 1. Definição e Função 2. Funcionalidades 3. A evolução técnica 4. As arquiteturas 5. O desempenho 6. O mercado 7. Avaliação do Firewall 8. Teste do Firewall 9. Problemas relacionados 10. O Firewall não é solução total de segurança
  • 3. Definição “firewall é um ponto entre duas ou mais  redes, no qual circula todo o tráfego” (CHESWICK; BELLOVIN, 1994 apud NAKAMURA; GEUS, 2007, p.221) “firewall é um componente ou um conjunto de  componentes que restringe o acesso entre uma rede protegida e a Internet ou entre outros conjuntos de redes” (CHAPMAN, 1995 apud NAKAMURA; GEUS, 2007, p.221)
  • 4. Definição Baseando-se nessas duas definições clássicas,  pode-se dizer que: “firewall é um ponto entre duas ou mais redes,  que pode ser um componente ou um conjunto de componentes, por onde passa todo o tráfego, permitindo que o controle, autenticação e os registros de todo o tráfego sejam realizados”
  • 5. Definição Ponto único Rede 2 Rede 1 Firewall Um ou mais componentes Controle Autenticação de tráfego Registro
  • 6. Função Proteger geralmente, uma rede confiável de  uma rede pública não-confiável Separar diferentes sub-redes, grupos de  trabalho ou LANs dentro de uma organização Reforçar a política de segurança no controle de  acesso entre duas redes
  • 7. Composição O firewall é um conjunto de componentes e  funcionalidades que definem a arquitetura de segurança, utilizando uma ou mais tecnologias de filtragem: Componentes • Funcionalidades • Firewall • Arquitetura Tecnologias •
  • 8. Funcionalidades Filtros Proxies Bastion hosts Zona desmilitarizada Funcionalidades Network address translation (NAT) do Firewall Rede privada virtual (VPN) Autenticação/certificação Balanceamento de cargas Alta disponibilidade
  • 9. Funcionalidades Filtros – Realizam o roteamento de pacotes de  maneira seletiva Proxies – São sistemas que atuam como um  gateway entre duas redes Bastion hosts – São equipamentos em que são  instalados os serviços a serem oferecidos para a Internet Zona desmilitarizada (DMZ) – É uma rede que  fica entre uma rede interna, que deve ser protegida, e a rede externa
  • 10. Funcionalidades Network address translation (NAT) – Responsável  pela conversão de endereços IP inválidos e reservados, em grandes redes, para válidos e roteáveis quando a rede externa é acessada Rede Privada virtual (VPN) – Utiliza conceitos de  criptografia e o IP Security (IPSec) que garantem sigilo, integridade e autenticação dos dados Autenticação/certificação – Podem ser baseadas em  endereços IP, senhas, certificados digitais, tokens, smartcards ou biometria que utilizam chaves públicas (PKI) e o Single-On (SSO)
  • 11. Funcionalidades Balanceamento de cargas – É um mecanismo  que visa a divisão do tráfego entre dois firewalls que trabalham paralelamente na qual cada um recebe uma conexão de cada vez Alta disponibilidade – Tem como objetivo o  estabelecimento de mecanismos para manutenção dos serviços, de modo que eles estejam sempre acessíveis para os usuários
  • 12. A evolução técnica O firewall é considerado uma tecnologia „antiga‟ na  indústria de segurança, mas ainda não pode ser definido como estável, pois continua em um constante processo de evolução Os primeiros, foram implementados em roteadores na  década de 80 Atualmente, existe uma tendência de adicionar cada  vez mais funcionalidades aos firewalls, que podem não estar relacionadas necessariamente à segurança
  • 13. A evolução técnica As principais tecnologias de firewalls e suas  variações são: Filtro de pacotes • Filtro de pacotes baseados em estados • Proxy • Firewalls híbridos • Proxies adaptativos • Firewalls reativos • Firewalls individuais •
  • 14. A evolução técnica Filtro de pacotes – Funciona na camada de rede e  de transporte e baseia a filtragem nas informações do cabeçalhos dos pacotes. Tem como vantagem:  Baixo overhead / alto desempenho da rede • É barato, simples e flexível • É bom para o gerenciamento de tráfego • É transparente para o usuário •
  • 15. A evolução técnica Filtro de pacotes – As desvantagens são:  Permite a conexão direta para hosts internos de clientes • externos • É difícil gerenciar em ambientes complexos • É vulnerável a ataques como o IP spoofing, salvo se for configurado • Dificuldade de filtrar serviços que utilizam portas dinâmicas, como o RPC • Não oferece a autenticação do usuário • Deixa „brechas‟ permanentes abertas no perímetro da rede
  • 16. A evolução técnica Filtro de pacotes  IP Cabeçalho Cabeçalho TCP UDP ICMP Cabeçalho Cabeçalho
  • 17. A evolução técnica Filtro de pacotes baseado em estados de pacotes baseado em estados Filtro de pacotes baseado em estados Filtro trabalhando na chegada dos demais pacotes trabalhando na chegada de pacotes SYN de pacotes baseado em estados Filtro de pacotes baseado em estados Filtro trabalhando na chegada de pacotes ACK tratando os pacotes ACK
  • 18. A evolução técnica Filtro de pacotes baseado em estados  Também conhecido como filtro de pacotes dinâmicos, baseia a filtragem tendo como referência dois elementos: As informações dos cabeçalhos dos pacotes • de dados, como no filtro de pacotes Uma tabela de estados, que guarda os • estados de todas as conexões
  • 19. A evolução técnica Filtro de pacotes baseado em estados  Vantagens: . Abertura apenas temporária no perímetro da rede . Baixo overhead / alto desempenho da rede . Aceita quase todos os tipos de serviço Desvantagens: . Permite a conexão direta para hosts internos a partir de redes externas . Não oferece autenticação do usuário, a não ser via gateway de aplicação
  • 20. A evolução técnica Proxy - Pode trabalhar tanto na camada de sessão ou  de transporte, quanto na camada de aplicação o que lhe dá mais controle sobre a interação entre o cliente e o servidor tipos de proxies Os
  • 21. A evolução técnica Proxy  Vantagens: . Não permite conexões diretas entre hosts internos e externos . Aceita autenticação do usuário . Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes . Permite criar logs do tráfego e de atividades específicas
  • 22. A evolução técnica Proxy  Desvantagens: . É mais lento que os filtros de pacotes (somente o application level gateway) . Requer um proxy específico para cada aplicação . Não trata pacotes ICMP . Não aceita todos os serviços . Requer que os clientes internos saibam sobre ele
  • 23. A evolução técnica Proxy transparente – É um servidor proxy modificado,  que exige mudança na camada de aplicação e no Kernel do firewall - Esse tipo de proxy redireciona as sessões que passam pelo firewall para um servidor proxy local de modo transparente - Os clientes (software e usuário) não precisam saber que sua sessões são manipuladas por um proxy, de modo que suas conexões são transparentes, como se elas fossem diretas para o servidor
  • 24. A evolução técnica Firewalls híbridos - Misturam os elementos de  três tecnologias apresentadas de modo a garantir: - A proteção dos proxies para os serviços que exigem alto grau de segurança - E a segurança do filtro de pacotes, ou do filtro de pacotes com base em estados, para os serviços em que o desempenho é o mais importante - Atualmente, a maioria dos firewalls comerciais é híbrida, aproveitando as melhores características dessas tecnologias para cada um dos serviços específicos
  • 25. A evolução técnica Proxies adaptativos – A diferença entre o  firewall híbrido e o proxy adaptativo está na forma de usar diferentes tecnologias simultaneamente - Utiliza mecanismos de segurança em série, o que traz benefícios para nível de segurança da rede da organização - É capaz de utilizar dois mecanismos de segurança diferentes para a filtragem de um mesmo protocolo
  • 26. A evolução técnica Proxies adaptativos – A arquitetura possui duas  características não encontradas em outros firewalls: - Monitoramento bidirecional e mecanismos de controle entre o proxy adaptativo e o filtro de pacotes baseado em estados - Controle dos pacotes que passam pelo proxy adaptativo, com habilidade de dividir o processamento do controle e dos dados entre a camada de aplicação (application level gateway) e a camada de rede (filtro de pacotes e filtro de pacotes baseado em estado) Exemplo: servidor FTP entrega duas conexões: - Tráfego de controle e transferência de dados
  • 27. A evolução técnica Proxies adaptativos  - O mecanismo de controle bidirecional permite que o proxy adaptativo gerencie as duas conexões, de modo que, caso a conexão de controle seja encerrada, a conexão de dados também é finalizada - Um exemplo de firewall adaptativo: Gauntlet, da Network Associates Inc.
  • 28. A evolução técnica Firewalls reativos  - Assim são chamados por alguns de seus fabricantes, devido apresentarem a integração do IDS e Sistemas de respostas - Incluem funções de detecção de intrusão e alarmes de modo que a segurança é mais ativa que pasiva - Podem policiar acessos e serviços, além de ser capaz de mudar a configuração de suas regras de filtragem de modo dinâmico, enviar mensagens aos usuários e ativar alarmes
  • 29. A evolução técnica Firewall individual ou pessoal  - É uma das alternativas para a proteção das conexões de hosts individuais - A característica desse tipo de firewall é que ele não atua na borda da rede da organização e sim no próprio equipa- mento do usuário - Os diversos produtos atuam na camada de enlace de dados e filtram pacotes IP (TCP,UDP,ICMP etc.) - É capaz de controlar o acesso aos recursos, bloquear determinadas conexões, monitorar todo o tráfego gerado ou que chega ao sistema
  • 30. A evolução técnica Firewall individual ou pessoal hacker pode acessar a rede da organização por meio do cliente VPN Um
  • 31. A evolução técnica Firewall individual ou pessoal  - Gera regras de acordo com uma aplicação específica que está funcionando e cria logs de todos os acessos do sistema dependendo da especificação de cada produto - Não se deve esquecer de um vírus sempre pode reescrever essa regras - Para os usuários domésticos, a proteção de seu sistema tornou-se uma necessidade tão grande quanto a dos servidores das organizações
  • 32. A evolução técnica A melhor tecnologia de firewall  - A questão da melhor tecnologia a ser utilizada por uma organização é relativa, pois tudo deve ser analisado de acordo com o ambiente onde o firewall deverá funcionar - A melhor tecnologia é, sem dúvida, aquela que melhor se adapta as necessidades da empresa, levando-se em consideração o grau de segurança requerido e a disponibilidade de recursos (técnicos e financeiros) para sua implantação
  • 33. As Arquiteturas Dual Homed Host Architecture  Screened Host Architecture  Screened Subnet Architecture  Firewall Cooperativo 
  • 34. Dual Homed Host Architecture Conectado a duas redes (2 placas de rede)  Atua como proxy:  máq interna → firewall → máq externa ou máq externa → firewall → máq interna
  • 35. Dual Homed Host Architecture
  • 36. Screened Host Architecture Formada por 2 elementos:   Filtro de pacotes  Bastion Host O filtro deve possuir uma regra que  obrigue o tráfego da rede interna a passar pelo bastion host (onde normalmente estão as regras de acesso)
  • 38. Screened Subnet Architecture Melhora em relação à Screened Host Architecture ao adicionar a rede DMZ (perimeter network no desenho)
  • 40. Screened Subnet Architecture Variação Inernet Bastion Host Filtro de Pacotes Externo Zona Desmilitarizada - DMZ Filtro de Pacotes ... Interno FIREWALL Rede Interna
  • 41. Firewall Cooperativo Arquitetura onde são inseridos novos  componentes, como VPN, IDS e PKI Usuários internos tratados como usuário  externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos) Idéia de Bolsões de Segurança 
  • 42. Firewall Cooperativo Inernet 3 Z M Concentrador D VPN Zona Desmilitarizada– DMZ 2 Zona Desmilitarizada – DMZ 1 (interna) ... ... Rede Interna
  • 43. Desempenho Devem possuir altíssimo desempenho  Em 2003, já existiam firewalls capazes de  operar a 1 Gbps e suportando 500 mil conexões concorrentes e 25 mil túneis VPN
  • 44. Desempenho - Considerações Software: Hardware: código do firewall  velocidade da placa de  rede sistema operacional  número de placas de pilha TCP/IP   rede quantidade de processos  tipo de barramento sendo executados  (SCSI, EISA, PCI, ...) configuração  (complexidade) velocidade da CPU  tipo de firewall  quantidade de memória 
  • 45. Desempenho Proxy → priorizar CPU  Filtro de pacotes baseados em estados →  RAM VPN → CPU  Todos os tipos → Rede  Tendência recente → utilização de appliances Dica: tente configurar o mínimo de regras de forma a manter o firewall seguro
  • 46. Mercado Divisões Provedores de Serviço (ISP s)  Sofisticados  Corporativo (> 1000 usuários)  Clássicos  Small and Midsize Business – SMB (50 > x > 1000  usuários) Vários funcionalidades integradas (proxy/cache, anti-  vírus, ...) Small Office Home Office – SOHO (< 50 usuários)  Múltiplos produtos integrados (firewall, servidor web, ...) 
  • 47. Avaliação do Firewall O melhor produto é o que garante que a sua política de segurança possa ser bem implementada e que melhor se ajuste à experiência e capacidade do profissional responsável.
  • 48. Avaliação do Firewall Aspectos:  Fabricante/Fornecedor – Deve ser fabricado por empresa sólida e conhecida.  Suporte Técnico – Existe? Quanto custa?  Tempo – Necessário para que a solução esteja funcionando.  Projeto – defesa contra ataques clássicos, interações com hardware e outras soluções (IDS/IPS, ...)
  • 49. Avaliação do Firewall Aspectos (cont.):  Logs – Quem fará a análise, onde guardar, por quanto tempo, ferramenta de análise, ...  Desempenho  Gerenciamento – Facilidade de configuração, de analise dos logs, envio de alertas, criptografia, ...  Teste – Desempenho, furos de conf → scanner de vulnerabilidades, ...  Capacitação do pessoal
  • 50. Teste do Firewall Verificar se a política de segurança foi bem desenvolvida, se foi implementada de modo correto e se o firewall realiza aquilo que declarava realizar.
  • 51. Teste do Firewall Etapas de um teste de firewall: Coleta de informações indiretas  via mecanismos de busca, DNS, whois, ...  Coleta de informações diretas  firewalking, envio de e-mails e leitura de cabeçalho, port  scanning, ... Ataques externos (“penetration test”)  scanning de vulnerabilidades, ...  Ataques Internos  verificar se a rede interna pode realizar ataques à rede externa 
  • 52. Teste do Firewall Devem ser feitos com freqüência  Por quem?  Funcionários  Hackers  Revendedores  Empresa especializada 
  • 53. Problemas Relacionados Principais causas: Instalações de firewalls mal configuradas  Implementação incorreta da política de segurança  Gerenciamento falho  Falta de atualizações 
  • 54. Problemas Relacionados Conf. e Gerenc. – Equívocos comuns: Liberar novos serviços pq os usuários dizem que  precisam deles Desvincular a rede VPN do Firewall  Concentrar esforços no firewall e ignorar outras  medidas de segurança Ignorar arquivos de logs  Desligar mensagens de alerta 
  • 55. Problemas Relacionados Conf. e Gerenc. – Equívocos comuns (cont.): Adicionar contas de usuários no firewall  Permitir que diversas pessoas administrem o  firewall Presença de modems (atrás do firewall → war  dialing) Driblar a segurança do firewall e utilizar uma  política própria (facilitar a vida do adm) Não ter uma política de segurança 
  • 56. O Firewall não é a Solução Total de Segurança Apenas 1ª linha de defesa  Geram falsa sensação de  proteção
  • 57. CONCLUSÃO Apesar de não ser a solução de todos os problemas de • segurança o firewall é um componente essencial em uma organização, ao atuar na borda de sua rede, protegendo-a contra ataque e acessos indevidos. E essencial entender seu funcionamento e planejar bem a política de segurança, nunca esquecendo de não comprometer o trabalho e as funcionalidades dos serviços sabendo dosar segurança com funcionalidade. Hoje o mais importante de tudo, para uma segurança • efetiva é não apenas permitir ou negar mais sim, ter uma controle efetivo sobre os usuários, verificando o que cada um pode acessar na rede, seus níveis de acesso, serviços e se eles estão fazendo aquilo que lhes foi explicitamente permitido.