Unidade 2.3 firewall

SRCSRC (Segurança em Redes de(Segurança em Redes de
Computadores)Computadores)
Tecnologia em Redes de Computadores
Prof. Esp. Juan Carlos Oliveira Lamarão
Abril - 2016

AgendaAgenda
2. Segurança de Redes
2.1 Introdução a Segurança de Redes
2.2 Ameaças
2.2.1 Ataques
2.2.2 Atacantes
2.3 Firewall
2.4 Detecção de Intrusão
Faculdade de Tecnologia do Amapá - META
Curso de Tecnologia em Redes de Computadores - juan@meta.edu.br Página 2

AgendaAgenda
Firewall
– Definição
– Tipos de Firewall
– Layouts de Firewall
– Protocolo de Redundância
– DMZ

FIREWALL
Unidade 2.3

DefiniçãoDefinição
É um mecanismo de segurança que controla a troca de informações
entre redes confiáveis (por exemplo, redes internas) e redes não
confiáveis (por exemplo, a Internet).
“Um firewall é uma combinação de hardware e software que isola a
rede interna de uma organização da Internet em geral, permitindo que
alguns pacotes passem e bloqueando outros”.
Kurose e Ross (2014)

DefiniçãoDefinição
Um firewall possui três objetivos:
Todo tráfego de fora para dentro, e vice-versa, passa por
um firewall
Somente o tráfego autorizado, como definido pela política
de segurança local, poderá passar
O próprio firewall está imune à penetração

Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Host-based
É um software de aplicação instalado em um único
computador. Firewall pessoal do host, o quel o mesmo é
responsável pela sua configuração.
Desvantagem:
Maior dificuldade de implementação (correta) em todo o
parque computacional
Não realiza filtragem de pacotes
Vantagem:
Mais segurança aos hosts

Tipos de Firewall (alvo de atuação)Tipos de Firewall (alvo de atuação)
Firewall Network-based
Funcionam em nível de rede, o que significa que este tipo
de firewall filtra dados que trafegam da internet em direção
aos computadores da rede e vice-versa Garante um
perímetro de segurança
– Desvantagens:
Não proporciona tanta segurança quanto o firewall
baseado em host
Não fecha portas específicas do host
– Vantagens:
Mais proteção à rede

Tipos de FirewallTipos de Firewall
Os firewall podem ser classificados em três categorias:
Filtros de Pacotes Tradicionais
Filtros de Estado e
Gateways de Aplicação

Tipos de Firewall (filtro de pacoteTipos de Firewall (filtro de pacote
tradicional)tradicional)
Filtro de Pacotes Tradicionais
Normalmente uma organização tem um roteador de borda
que conecta sua rede interna com seu ISP. Todo tráfego
que sai ou que entra na rede interna passa por esse
roteador e é nele que ocorre a filtragem de pacotes.
Um filtro de pacote examina cada datagrama que está
sozinho, determinando se ele deve passar ou ficar
baseado nas regras específicadas pelo administrador
(ACL’s)

As decisões de filtragem costumam ser baseadas em:
Endereço IP de Origem e de destino;
Tipo de protocolo no campo do datagrama IP: TCP, UDP,
ICMP, OSPD etc
Porta TCP ou UDP de origem e de destino
Bits de flag do TCP: SYN, ACK etc
Tipos de mensagem ICMP
Regras diferentes para datagramas que entram e saem da
rede
Regras diferentes para interfaces do roteador

Um administrador de rede configura o firewall com base na política
da organização.
Ex. Largura de Banda; bloquear sites como youtube, radio
online, etc.
Uma política de filtragem também pode ser baseada na combinação
de endereços e número de porta.
Ex. Bloquear telnet, a não ser de um range específico.
O que é prioridade?
Basear a política em endereços externos não oferece nenhuma
preocupação contra datagramas cujo endereço de origem foi
falsificado

A filtragem também pode ser baseada em o bit TCP ACK estar ou
não marcado.
“O primeiro segmento de todas as conexões TCP tem o bit ACK
com valor 0, ao passo que todos os outros segmentos da conexão
têm o bit ACK com valor 1” Kurose e Ross (2014)

Tipos de Firewall (filtro de pacote comTipos de Firewall (filtro de pacote com
controle de estado)controle de estado)
Filtro de Pacote com Controle de Estado
Em um filtro de pacotes tradicional, as decisões de filtragem são
feitas em cada pacote isolado. Os filtros de estado rastreiam
conexões TCP e usam esse conhecimento para tomar decisões
sobre filtragem.
Filtro mais inteligente, registrando logs e analisando os mesmos
Ex. Um usuário interno queria navegar em um site externo. Como o
usuário primeiro envia um segmento TCP SYN, sua conexão TCP é
registrada na tabela de conexão. Quando o servidor envia pacotes
de volta (com o o ACK necessariamente definido), o firewall verifica
a tabela e observa que uma conexão correspondente está em
andamento. O firewall, então, deixa esses pacotes passarem, sem
interferir na navegação do usuário interno.

Tipos de Firewall (gateway de aplicação)Tipos de Firewall (gateway de aplicação)
Gateway de Aplicação
Em um cenário onde a empresa quer fornecer o serviço de telnet a
um conjunto restrito de usuários internos (em vez de a endereços
IP), nesta empresa há a necessidade de que usuários privilegiados
se autentiquem antes de obter permissão para criar sessões Telnet
com o mundo externo, os firewalls de filtro de pacote não
conseguem fazer este tipos de restrição, pois as informações sobre
a identidade de usuários internos não estão incluídas nos
cabeçalhos IP/TCP/UDP; elas estão nos dados da camada de
aplicação.
Para assegurar um nível mais refinado de segurança, os firewalls
tem que combinar flitro de pacotes com gateways de aplicação.

Gateways de aplicação fazem mais do que examinar cabeçalhos
IP/TCP/UDP e tomam decisões com base em dados da aplicação.
Um gateway de aplicação é um servidor específico de aplicação,
através do qual todos os dados da aplicação (de entrada e saída)
devem passar.
Vários gateways de aplicação podem ser executados no mesmo
hospedeiro, mas cada gateway é um servidor separado, com seus
próprios processos.

Para que o pedido da empresa do cenário anterior funcione
corretamente (permitir que somente usuários internos com
privilégios realizem Telnet à máquinas ou servidores externos) é
necessário utilizar um filtro para bloquear todas as conexões Telnet,
exceto as que se originam do endereço IP do gateway de aplicação.
Para acessar o gateway de aplicação será exigido um usuário e
senha.
Assim, o gateway de aplicação Telnet não só autoriza o usuário,
mas também atua como um servidor Telnet e um cliente Telnet,
repassando informações entre o usuário e o servidor Telnet remoto.

Layout de FirewallLayout de Firewall

Protocolo de RedundânciaProtocolo de Redundância
Virtual Routing Redundancy Protocol /
Protocolo de Redundancia Virtual de
Roteadores
Voltador para Roteadores
Tem a capacidade de executar o
Failover, caso um roteador deixe de
funcionar, o roteador de backup
assume a conexão e o IP

Protocolo de RedundânciaProtocolo de Redundância

DMZDMZ
DeMilitarized Zone / Zona Desmilitarizada
Área intermediária entre a rede interna e a externa, onde os
servidores que recebem tráfego externo estão hospedados de
maneira separada da rede interna de uma empresa, por
exemplo. (a fim de trazer segurança a rede interna)
“A DMZ é a parte da rede da empresa que se encontra fora do
perímetro de segurança. Tudo passa por ali” Tannuenbaum
2015
Falta de segurança para rede interna e externa?

DMZDMZ

Unidade 2.3 firewall

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Unidade 2.3 firewall

Mais de Juan Carlos Lamarão

Unidade 2.3 firewall