SlideShare uma empresa Scribd logo

Firewall - Stateful Inspection

Francisco das Chagas
Francisco das Chagas

O documento descreve a verificação por contexto (stateful inspection), incluindo a análise de cada pacote no contexto dos pacotes anteriores e posteriores. Os principais critérios de verificação são listas de acesso, regras de autorização, padrões de bits e bytes, cabeçalhos e status de conexão. A arquitetura monitora o estado das conexões em uma tabela de estados.

Internet
1 de 18
Baixar para ler offline
STATEFUL INSPECTION Timóteo de Araújo | Francisco das Chagas | José Edcarlos | Danilo Vital Iguatu-CE, 2018
Stateful Inspection (Verificação por Contexto) Nessa arquitetura cada pacote é individualmente verificado de acordo com o pacote anterior ou subsequente, considerando o contexto em que os pacotes estão inseridos para “criar” regras que se adaptam ao cenário. A verificação ocorre nas camadas de transporte e sessão.
Stateful Inspection (Verificação por Contexto) Os principais critérios de verificação do Stateful Inspection são: ● Lista de acesso (ACL); ● Regras de autorização; ● Verificação de padrões conhecidos de bits e bytes; ● Avaliação do cabeçalho; ● Verificação do endereço IP de origem; ● Tamanho do cabeçalho IP; ● Indicador do fragmento IP; ● Avaliação do status de conexão.
Stateful Inspection (Verificação por Contexto) Essa arquitetura também monitora e acompanha o estado das conexões (sessões), mantendo as informações em uma tabela de estados. Em protocolos não orientados à conexão (como UDP e ICMP), são criadas “pseudo” sessões.
Stateful Inspection (Verificação por Contexto) Tabela de Estados (State Table) A Tabela de Estados contém entradas de todas as sessões de comunicação das quais o firewall está ciente. Cada entrada nesta tabela contém uma lista de informações que identificam a sessão da conexão que ela representa (endereço IP de origem e de destino, números de sequência SEQ, números ACK, flags etc). ● Número Sequencial (SEQ#): identifica os bytes no fluxo de dados. ● Número ACK (Acknowledgement): próximo número sequencial que o transmissor espera receber (confirmação).
Stateful Inspection (Verificação por Contexto) Flags (sinalizadores) Funcionam como controladores de comunicação entre os pares TCP (transmissor e receptor). Podem ser: ● SYN/FIN: estabelecimento (sincronização) e finalização da conexão. ● ACK: sinal de confirmação da comunicação/transação. ● URG: indica que o pacote contém dados importantes (urgentes). ● PSH (push): indica o envio imediato de dados. ● RST (reset): indica que a conexão deve ser abortada devido a algum erro.
Stateful Inspection (Verificação por Contexto) Three-Way Handshake (Handshake de Três-Vias)
Stateful Inspection (Verificação por Contexto) Three-Way Handshake (Handshake de Três-Vias)
Protocolo TCP/IP de Transmissão
Verificação de padrões conhecidos de bits ou bytes Este critério considera os padrões de bits e bytes do cabeçalho e payload do pacote avaliado, que devem ser semelhantes aos demais pacotes da conexão analisada. Cada byte transmitido recebe um número sequencial (SEQ) e é esperado um ACK positivo do receptor.
Avaliação do cabeçalho Verificação do Endereço IP de origem - Avalia se o IP de origem corresponde ao que se encontra na Tabela de Estados. Tamanho do cabeçalho IP - Verifica se o campo Header Length é compatível com os pacotes anteriores. Indicador do Fragmento IP - Possibilita detectar se o pacote sofreu fragmentação e se possui um número sequencial, possibilitando a sua reconstrução.
Avaliação do cabeçalho O Cabeçalho do Pacote é analisado conforme o formato padrão TCP e cada campo é comparado com as informações que constam na Tabela de Estados.
Regras de Autorização O Firewall inteligente usa dois tipos de regras de firewall: ● Regras de programas: Controlam o acesso à rede dos programas em seu computador. ● Regras de tráfego: Controlam todo o tráfego de entrada e saída da rede.
Lista de Acesso (ACL) Lista de controle de acesso - (ACL, do inglês Access Control List) é uma lista que define as permissões de acesso de um usuário a um determinado componente ou serviço de um sistema, como um arquivo ou diretório. Em um firewall Stateful as regras e políticas de acesso são dinâmicas e focadas na sessão analisada.
Avaliação do status de conexão A verificação do status verificará se o pacote analisado pertence a alguma conexão estabelecida na Tabela de Estados. Caso o pacote não pertença a nenhuma conexão estabelecida, ele será descartado. Os principais status são LISTEN, ESTABLISHED e CLOSED.
Avaliação do status de conexão
Referências ALECRIM, Emerson. O que é firewall? - Conceito, tipos e arquiteturas. Infowester. 2013. Disponível em: <https://www.infowester.com/firewall.php>. Acesso em: 18 nov. 2018. BRODBECK, Cassio. Firewall stateful e stateless, conheça os mecanismos de filtragem. Ostec. 2017. Disponível em: <https://ostec.blog/seguranca-perimetro/firewall-stateful-stateless>. Acesso em: 16 nov. 2018. Cisco Systems. Personal Stateful Firewall Overview. 2017. Disponível em: <https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-4_N5-7/PSF/21-4-PSF-Admin/21-1-PSF-Admin_chap ter_01.pdf>. Acesso em: 19 nov. 2018. Computer Português. Como é que um Firewall difere de uma ACL. Disponível em: <http://ptcomputador.com/Networking/network-security/75613.html>. Acesso em: 18 nov. 2018. GTA/UFRJ - Grupo de Teleinformática e Automação. Classificações de um firewall. Disponível em: <https://www.gta.ufrj.br/grad/13_1/firewall/classificacao.html>. Acesso em: 20 nov. 2018. MORAES, Alexandre Fernandes de. Firewalls. In: _____. Segurança em Redes: Fundamentos. 1. ed. São Paulo: Érica, 2010. cap. 6.
Referências Norton. Regras de firewall. Disponível em: <https://support.norton.com/sp/pt/br/home/current/solutions/v1028028_ns_retail_pt_br>. Acesso em: 18 nov. 2018. ROECKL, Chris. Stateful Inspection Firewalls. Juniper Networks. 2004. Disponível em: <http://www.eircomictdirect.ie/docs/juniper/wp_firewall.pdf>. Acesso em: 19 nov. 2018. SILVEIRA, Cristiano Bertulucci. Entenda como Funciona o Protocolo TCP-IP. Citisystems. 2016. Disponível em: <https://www.citisystems.com.br/protocolo-tcp-ip/>. Acesso em: 16 nov. 2018. Wikipédia. Lista de controles de acesso. 2018. Disponível em: <https://pt.wikipedia.org/wiki/Lista_de_controle_de_acesso>. Acesso em: 18 nov. 2018.

Recomendados

Trabalho acl
Trabalho aclTrabalho acl
Trabalho acl
Anderson Zardo
 
Firewall
FirewallFirewall
Firewall
mauricio souza
 
Firewall baseado em pacotes
Firewall baseado em pacotesFirewall baseado em pacotes
Firewall baseado em pacotes
eusouloko
 
Firewall baseado em_pacotes
Firewall baseado em_pacotesFirewall baseado em_pacotes
Firewall baseado em_pacotes
eusouloko
 
Analisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e usoAnalisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e uso
Jerônimo Medina Madruga
 
Acompanhamento - IC - Levindo GTN [02]
Acompanhamento - IC - Levindo GTN [02]Acompanhamento - IC - Levindo GTN [02]
Acompanhamento - IC - Levindo GTN [02]
Levindo Gabriel Taschetto Neto
 
Camada de rede danilo
Camada de rede daniloCamada de rede danilo
Camada de rede danilo
DANILO RODRIGUES ALMEIDA
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - Nagios
Eduardo Legatti
 

Recomendados

Trabalho acl
Trabalho aclTrabalho acl
Trabalho acl
Anderson Zardo
 
Firewall
FirewallFirewall
Firewall
mauricio souza
 
Firewall baseado em pacotes
Firewall baseado em pacotesFirewall baseado em pacotes
Firewall baseado em pacotes
eusouloko
 
Firewall baseado em_pacotes
Firewall baseado em_pacotesFirewall baseado em_pacotes
Firewall baseado em_pacotes
eusouloko
 
Analisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e usoAnalisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e uso
Jerônimo Medina Madruga
 
Acompanhamento - IC - Levindo GTN [02]
Acompanhamento - IC - Levindo GTN [02]Acompanhamento - IC - Levindo GTN [02]
Acompanhamento - IC - Levindo GTN [02]
Levindo Gabriel Taschetto Neto
 
Camada de rede danilo
Camada de rede daniloCamada de rede danilo
Camada de rede danilo
DANILO RODRIGUES ALMEIDA
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - Nagios
Eduardo Legatti
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
SQLServerRS
 
PostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicaçõesPostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicações
Fabio Telles Rodriguez
 
Apresentação SIC 2016
Apresentação SIC 2016Apresentação SIC 2016
Apresentação SIC 2016
Levindo Gabriel Taschetto Neto
 
M4 tarefa video
M4 tarefa videoM4 tarefa video
M4 tarefa video
gonxalox
 
Primeiros Passos Com Elasticsearch
Primeiros Passos Com ElasticsearchPrimeiros Passos Com Elasticsearch
Primeiros Passos Com Elasticsearch
Anael Ferraz de Carvalho
 
Camadasrede
CamadasredeCamadasrede
Camadasrede
Elisabete Pantoja
 

Mais conteúdo relacionado

Semelhante a Firewall - Stateful Inspection

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
SQLServerRS
 
PostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicaçõesPostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicações
Fabio Telles Rodriguez
 
Apresentação SIC 2016
Apresentação SIC 2016Apresentação SIC 2016
Apresentação SIC 2016
Levindo Gabriel Taschetto Neto
 
M4 tarefa video
M4 tarefa videoM4 tarefa video
M4 tarefa video
gonxalox
 
Primeiros Passos Com Elasticsearch
Primeiros Passos Com ElasticsearchPrimeiros Passos Com Elasticsearch
Primeiros Passos Com Elasticsearch
Anael Ferraz de Carvalho
 
Camadasrede
CamadasredeCamadasrede
Camadasrede
Elisabete Pantoja
 

Semelhante a Firewall - Stateful Inspection (6)

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 
PostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicaçõesPostgreSQL Conceitos e aplicações
PostgreSQL Conceitos e aplicações
 
Apresentação SIC 2016
Apresentação SIC 2016Apresentação SIC 2016
Apresentação SIC 2016
 
M4 tarefa video
M4 tarefa videoM4 tarefa video
M4 tarefa video
 
Primeiros Passos Com Elasticsearch
Primeiros Passos Com ElasticsearchPrimeiros Passos Com Elasticsearch
Primeiros Passos Com Elasticsearch
 
Camadasrede
CamadasredeCamadasrede
Camadasrede
 

Firewall - Stateful Inspection

  • 1. STATEFUL INSPECTION Timóteo de Araújo | Francisco das Chagas | José Edcarlos | Danilo Vital Iguatu-CE, 2018
  • 2. Stateful Inspection (Verificação por Contexto) Nessa arquitetura cada pacote é individualmente verificado de acordo com o pacote anterior ou subsequente, considerando o contexto em que os pacotes estão inseridos para “criar” regras que se adaptam ao cenário. A verificação ocorre nas camadas de transporte e sessão.
  • 3. Stateful Inspection (Verificação por Contexto) Os principais critérios de verificação do Stateful Inspection são: ● Lista de acesso (ACL); ● Regras de autorização; ● Verificação de padrões conhecidos de bits e bytes; ● Avaliação do cabeçalho; ● Verificação do endereço IP de origem; ● Tamanho do cabeçalho IP; ● Indicador do fragmento IP; ● Avaliação do status de conexão.
  • 4. Stateful Inspection (Verificação por Contexto) Essa arquitetura também monitora e acompanha o estado das conexões (sessões), mantendo as informações em uma tabela de estados. Em protocolos não orientados à conexão (como UDP e ICMP), são criadas “pseudo” sessões.
  • 5. Stateful Inspection (Verificação por Contexto) Tabela de Estados (State Table) A Tabela de Estados contém entradas de todas as sessões de comunicação das quais o firewall está ciente. Cada entrada nesta tabela contém uma lista de informações que identificam a sessão da conexão que ela representa (endereço IP de origem e de destino, números de sequência SEQ, números ACK, flags etc). ● Número Sequencial (SEQ#): identifica os bytes no fluxo de dados. ● Número ACK (Acknowledgement): próximo número sequencial que o transmissor espera receber (confirmação).
  • 6. Stateful Inspection (Verificação por Contexto) Flags (sinalizadores) Funcionam como controladores de comunicação entre os pares TCP (transmissor e receptor). Podem ser: ● SYN/FIN: estabelecimento (sincronização) e finalização da conexão. ● ACK: sinal de confirmação da comunicação/transação. ● URG: indica que o pacote contém dados importantes (urgentes). ● PSH (push): indica o envio imediato de dados. ● RST (reset): indica que a conexão deve ser abortada devido a algum erro.
  • 7. Stateful Inspection (Verificação por Contexto) Three-Way Handshake (Handshake de Três-Vias)
  • 8. Stateful Inspection (Verificação por Contexto) Three-Way Handshake (Handshake de Três-Vias)
  • 9. Protocolo TCP/IP de Transmissão
  • 10. Verificação de padrões conhecidos de bits ou bytes Este critério considera os padrões de bits e bytes do cabeçalho e payload do pacote avaliado, que devem ser semelhantes aos demais pacotes da conexão analisada. Cada byte transmitido recebe um número sequencial (SEQ) e é esperado um ACK positivo do receptor.
  • 11. Avaliação do cabeçalho Verificação do Endereço IP de origem - Avalia se o IP de origem corresponde ao que se encontra na Tabela de Estados. Tamanho do cabeçalho IP - Verifica se o campo Header Length é compatível com os pacotes anteriores. Indicador do Fragmento IP - Possibilita detectar se o pacote sofreu fragmentação e se possui um número sequencial, possibilitando a sua reconstrução.
  • 12. Avaliação do cabeçalho O Cabeçalho do Pacote é analisado conforme o formato padrão TCP e cada campo é comparado com as informações que constam na Tabela de Estados.
  • 13. Regras de Autorização O Firewall inteligente usa dois tipos de regras de firewall: ● Regras de programas: Controlam o acesso à rede dos programas em seu computador. ● Regras de tráfego: Controlam todo o tráfego de entrada e saída da rede.
  • 14. Lista de Acesso (ACL) Lista de controle de acesso - (ACL, do inglês Access Control List) é uma lista que define as permissões de acesso de um usuário a um determinado componente ou serviço de um sistema, como um arquivo ou diretório. Em um firewall Stateful as regras e políticas de acesso são dinâmicas e focadas na sessão analisada.
  • 15. Avaliação do status de conexão A verificação do status verificará se o pacote analisado pertence a alguma conexão estabelecida na Tabela de Estados. Caso o pacote não pertença a nenhuma conexão estabelecida, ele será descartado. Os principais status são LISTEN, ESTABLISHED e CLOSED.
  • 16. Avaliação do status de conexão
  • 17. Referências ALECRIM, Emerson. O que é firewall? - Conceito, tipos e arquiteturas. Infowester. 2013. Disponível em: <https://www.infowester.com/firewall.php>. Acesso em: 18 nov. 2018. BRODBECK, Cassio. Firewall stateful e stateless, conheça os mecanismos de filtragem. Ostec. 2017. Disponível em: <https://ostec.blog/seguranca-perimetro/firewall-stateful-stateless>. Acesso em: 16 nov. 2018. Cisco Systems. Personal Stateful Firewall Overview. 2017. Disponível em: <https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-4_N5-7/PSF/21-4-PSF-Admin/21-1-PSF-Admin_chap ter_01.pdf>. Acesso em: 19 nov. 2018. Computer Português. Como é que um Firewall difere de uma ACL. Disponível em: <http://ptcomputador.com/Networking/network-security/75613.html>. Acesso em: 18 nov. 2018. GTA/UFRJ - Grupo de Teleinformática e Automação. Classificações de um firewall. Disponível em: <https://www.gta.ufrj.br/grad/13_1/firewall/classificacao.html>. Acesso em: 20 nov. 2018. MORAES, Alexandre Fernandes de. Firewalls. In: _____. Segurança em Redes: Fundamentos. 1. ed. São Paulo: Érica, 2010. cap. 6.
  • 18. Referências Norton. Regras de firewall. Disponível em: <https://support.norton.com/sp/pt/br/home/current/solutions/v1028028_ns_retail_pt_br>. Acesso em: 18 nov. 2018. ROECKL, Chris. Stateful Inspection Firewalls. Juniper Networks. 2004. Disponível em: <http://www.eircomictdirect.ie/docs/juniper/wp_firewall.pdf>. Acesso em: 19 nov. 2018. SILVEIRA, Cristiano Bertulucci. Entenda como Funciona o Protocolo TCP-IP. Citisystems. 2016. Disponível em: <https://www.citisystems.com.br/protocolo-tcp-ip/>. Acesso em: 16 nov. 2018. Wikipédia. Lista de controles de acesso. 2018. Disponível em: <https://pt.wikipedia.org/wiki/Lista_de_controle_de_acesso>. Acesso em: 18 nov. 2018.