firewall - wordpress.com€¦ · firewall - introdução definição dispositivo que conecta redes...
TRANSCRIPT
Firewall
Prof. Marciano dos Santos Dionizio
Por que do nome firewall ? Antigamente, quando as casas eram feitas de madeira o fogo era um
grande problema, pois se alastrava facilmente de uma casa para outra. Paraevitar isso eram construídos muros de pedra entre as casas. A esses murosfoi dado o nome de firewall
“Isolar o fogo que existe na Internet para que não se alastre
para sua rede privada”
Firewall (definições)
ConexãoSegura
Infraestrutura de rede
Proteção de Redes: Firewall
Firewall - Introdução
DefiniçãoDispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso).
Implementa e garante política de segurança entre as redes conectadas.
Internet
Intranet
Segmento de Acesso Público
Corporação
Firewall
•Sistemas confiáveis que são colocados entre duas redes;
•Política de Segurança define o que passa;
•Rede interna é confiável (blue net), nem sempre;
•Rede externa é não-confiável (red net).
Infraestrutura de rede
Firewall - Conceitos
Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet.
Internet
Intranet
Segmento de Acesso Público
Corporação
Firewall
Firewall -Introdução
Proteção de redes - Firewall
1) Não protege contra usuários autorizados maliciosos;
2) Não pode proteger contra conexões que não passam através dele;
3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo).
4) Não oferece proteção contra virus.
Firewall -Introdução
Saiba o que um Firewall não faz:
Um Firewall pode administrar a política de segurança para usuários da rede:- Define quem ou o que pode cruzar as fronteiras entre redes;- Define uma maneira padrão de identificação de usuários.
Um Firewall pode manter “logs”:- Logs de passagem;- Logs de ataques;- Alertar o administrador.
Infraestrutura de rede
O que um firewall pode fazer?
Roteador
O que proteger ?
As regras de filtragem de um Firewall estão baseadas nas políticas deseguranças da organização
Para o desenvolvimento dessa política deverá ponderar dois fatores
Nível de proteção X Usabilidade
Deixar o nível de proteção o mais alto possível, porém sem deixar quepartes importantes do sistema fiquem inoperantes
Bloquear tudo a princípio e ir liberando os serviços necessários para aorganização ou
O que não é expressamente proibido é permitido
Implementação Física
FIREWALL
ROTEADOR
REDE
EXTERNA
REDE
INTERNA
No software do Roteador
REDE
EXTERNA
FIREWALL
ROTEADOR
REDE
INTERNA
No software de uma estação dedicada (duas placas de rede)
Roteador
Filtragem de Pacotes
Internet
Interface interna
Interface externa
O roteamento ou
rejeição de pacotes
é feito de acordo
com a política de
segurança
da empresa.
Exemplos de Objetivos de Filtragem
Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexõesHTTP.
Liberar conexões externas apenas para uma máquina específica da rede (ex. servidor Web).
SMTP
HTTP
TELNET
etc
HTTP
HTTP
Permitir aos usuários internos iniciarem conexões deTelnet com o meio externo, mas não o contrário
Liberar acesso Web a Internet apenas para algumasmáquinas da rede interna.
TELNETTELNET
HTTP HTTP
TELNET
HTTP
Exemplos de Objetivos de Filtragem
Regras de filtragem
Regras de filtragem são baseadas em: Endereço IP de origem
Endereço IP de destino
Protocolo (TCP, UDP ou ICMP)
Porta TCP ou UDP de origem
Porta TCP ou UDP de destino (que define uma aplicação)
A interface por onde os pacotes chegam
A interface por onde os pacotes saem
Filtragem com Base nos Endereços IP
Os datagramas IP trazem no seu cabeçalho de controle o endereço IP deorigem e IP de destino.
Baseado na análise desses endereços, os roteadores podem efetuar a proteçãoda rede através da filtragem de pacotes
Regras de filtragem podem ser estabelecidas para hosts específicos ou pararedes inteiras.
ENDERECO
DA REDE
ENDERECO
DO HOST
200.17.98. 78
IP DESTINO IP ORIGEM DADOS
Roteamento Seletivo
Roteador
Roteador
REDE 200.134.51.X
Bloquear pacotes recebidos de uma rede diferente de 200.134.51.X
Bloquear pacotes destinados a uma rede diferente de 200.134.51.X
REDE 200.17.98.X
Filtro
Roteador
Filtragem com base nas Portas TCP e UDP
As informações introduzidas no cabeçalho de controle dos protocolos TCP e UDP permitem identificar o tipo de serviço executado na Internet. Essa característica permite estabelecer regras diferenciadas para cada tipo de
aplicação executada na Internet, ou numa Intranet.
Por exemplo, é possível estabelecer regras desegurança que se aplique somente ao serviço de ftpou somente ao serviço de telnet.
PORTA DE DESTINO PORTA DE ORIGEM
datagrama
DADOS
Portas bem Conhecidas
Portas Bem conhecidas (well known ports):
Função padronizada pela IANA (The Internet Assigned Numbers Authority)
Geralmente usada pelos servidores de serviços padronizados.
Portas livres:
Usadas pelos clientes e pelos serviços não padronizados
0
….
1023
1024
….
65535
PORTAS
TCP ou UDP
Exemplos de portas bem conhecidas
Porta 21
Cliente
FTP
Dadosarmazenados
programa servidor de
terminal remoto
Porta 23
Porta 25
Porta 80
programa servidor detransferência de arquivos
programa servidor de correio
eletrônico
programa servidor de
hipertexto e outros serviçosWWW
programa servidor de notíciasPorta 119
programa servidor de
serviços chat
Porta 194
TELNET
SMTP
HTTP
NNTP
IRC
portas livres
Porta 1024
Porta 65535
…
portas bemconhecidas
Regras de Filtragem
Recebe pacote
Bloquear
Pacote
SIM
Encaminhar
Pacote
SIM
Precisa para
bloquear?
Não
Não
Última
Regra?
Não
SIM
OK para
encaminhar?
Analisa Cabeçalho
Exemplo
Geralmente, as regras são definidas individualmente para cada interface.
Cada interface controla apenas os pacotes que entram no roteador.
AÇÃO
permitir
permitir
bloquear
IP ORIGEM
*
200.134.51.*
*
IP DESTINO
200.134.51.*
*
*
INTERFACE
1 (sair)
2 (entrar)
*
INTERFACE 1 INTERFACE 2
Rede Externa Não -Confiável
Rede Interna Confiável
Exemplo
Ação
permitir
permitir
negar
Protocolo
tcp
tcp
*
IP Origem
interno
*
*
Porta Origem
> 1023
23
*
IP Destino
*
interno
*
Porta Destino
23
> 1023
*
Interpretação:
Hosts Internos podem acessar servidores de telnet internos ou externos.
Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão).
Direção
Sair
Entrar
*
Exemplo
Interpretação: Hosts Internos podem acessar servidores de telnet internos ou externos.
Hosts externos podem acessar servidores de web internos.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
80
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
80
> 1023
*
Direção
Out
In
In
Out
*
Seqüência de Criação de Regras
A seqüência na qual as regras são aplicadas pode alterar completamente oresultado da política de segurança (são escritas de cima para baixo). Por exemplo,as regras de aceite ou negação incondicional devem ser sempre as últimas regrasda lista.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
23
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
23
> 1023
*
ACK
*
1
*
1
*
Direção
Out
In
In
Out
*
O deslocamento de uma regra genérica para cima anula as demais.
Firewall Pessoal
Software utilizado para proteger um computador contra acessos não autorizados
Tipo específico de firewall
Se bem configurado: Pode barrar o acesso a backdoors
Alguns podem analisar continuamente o conteúdo das conexões
Filtrando cavalos de tróia e vírus de email
Pacotes de firewall que funcionam em conjunto com os anti-vírus
Razões para considerar o uso: Possibilidade de configurar o tráfego de entrada e saída
Pode especificar quais aplicativos terão acesso à rede
Problemas: Regras podem ser complexas
Escalabilidade pode ser um problema
Firewalls de mercado
Melhores práticas para clientes firewall
Todo o tráfego deve passar pelo firewall
Uso eficaz de Firewall
A simples instalação de um firewall não garante que sua rede esteja segura contra invasores
Não pode ser a sua única linha de defesa
Protegem apenas contra ataques externos ao firewall
Referencias Bibliográficas
• STRACCIALANO, André L.; et al. Segurança eServiços de Redes. In: Livro Didático do CursoTécnico em Redes de Computadores – Módulo 3.Anhanguera Publicações.
• LOPES, Raquel. Melhores Práticas para a Gerênciade Redes de Computadores. Rio de Janeiro:Campus, 2003
• Nakamura, Emílio Tissato e GEUS, Paulo Lício de.Segurança em Redes. 4ª ed. São Paulo: Novatec,2007.