firewalls - programa de pós-graduação em informáticajamhour/pessoal/graduacao/ciencia/... ·...
TRANSCRIPT
2009, Edgard Jamhour
FIREWALLS
Edgard Jamhour
2009, Edgard Jamhour
FILTRO
Riscos a Segurança de uma Rede
sniffingsniffing
Invasão
spoofing
Invasão
2009, Edgard Jamhour
Tipos de Ameaças a Segurança de uma Rede
• Invasão de Rede (Network Intrusion)– Alguém de fora acessa a uma máquina da rede com poderes de administrador.
– A invasão é feita descobrindo-se a senha ou usando algum “furo”escondido do sistema operacional.
• IP Address Spoofing– Alguém da rede externa se faz passa por um IP da sua rede interna.
• Packet Sniffing– Escuta do tráfego local que se propaga pela Ethernet.
2009, Edgard Jamhour
Camada Física e Enlace de Dados
• Tecnologias de Redes Locais, como Ethernet, funcionam com broadcast físico, o que permite fazer sniffing na rede.
MAC 01-02-03-04-05-06
MAC 01-02-03-04-05-07
MAC 01-02-03-04-05-08
destino01-02-03-04-05-07
origem01-02-03-04-05-06
Se a interface do computadorfor colocada em modo promíscuo, a informação pode ser facilmente
interceptada
sniffingsniffing
2009, Edgard Jamhour
Switch: Isolando Domínios de Colisão
• Packet sniffing pode ser combativo de duas formas: com criptografia e com switches. Os computadores que estão conectados a portas isoladas de um switch são imunes a sniffing.
A B C
SWITCH
HUBHUB
D E F
HUBHUB
G
Mesmo domínio
de broadcast
Não hápossibilidade de sniffing
2009, Edgard Jamhour
Filtragem de Pacotes
Protolco de Aplicação
FTP, SMTP, HTTP, Telnet, SNM, etc.
TCP, UDP
Data LinkEthernet, TokenRing, FDDI, etc
IP
Física
Aplicações
A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos.
Tecnologia heterogênea
aplicação
transporte
rede
enlace
física
Seqüência de empacotamento
2009, Edgard Jamhour
Implementação Física
• No software do Roteador: screening routers
• No software de uma estação dedicada (um PC com duas placas de rede).
REDE EXTERNA
FIREWALL
ROTEADOR
FIREWALL
ROTEADOR
REDE EXTERNA
REDE INTERNA
REDE INTERNA
PERSONAL FIREWALL
2009, Edgard Jamhour
Exemplo
• Roteadores Cisco– PIX Firewall
– Firewall
– Roteador
– Proxy
– Detetor de ataques (SMTP, etc)
– Defesa contra fragmentação de IP
– Implementa VPN com IPsec
– Mais de 256K sessões simultâneas.
2009, Edgard Jamhour
Exemplo
• Implementação por Software– Check Point Firewall
• Interface Gráfica
• Módulo de Firewall
• Módulo de Gerenciamento
– Mútiplas Plataformas
• Windows, Solaris, Linux, HP-UX, IBM AIX
– Controle de Segurança e Qualidade de Serviço.
2009, Edgard Jamhour
Segurança na Camada IP = Roteamento Seletivo
Roteador
Roteador
Filtro
Roteador
REDE 200.17.98.X
REDE 200.134.51.X
Bloquear pacotes recebidos de uma rede diferente de 200.17.134.X
Bloquear pacotes destinados a uma rede diferente de 200.17.134.X
2009, Edgard Jamhour
Filtragem de Pacotes
InternetInternet
screeningrouter
O roteamento ou rejeição de pacotes é feito de acordocom a política de segurançada empresa.
Interface internaInterface interna
Interface externaInterface externa
2009, Edgard Jamhour
Exemplos de Objetivos do Roteamento Seletivo
• Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexões SMTP.
• Liberar conexões externas apenas para uma máquina específica da rede (e.g. servidor Web).
• Permitir aos usuários internos iniciarem conexões de Telnet com o meio externo, mas não o contrário.
• Liberar acesso a Internet apenas para algumas máquinasda rede interna.
2009, Edgard Jamhour
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
OK para encaminhar?
Precisa para bloquear?
Última Regra?
Bloquear Pacote
EncaminharPacote
S
S
N
N
N
S
2009, Edgard Jamhour
Exemplo
AÇÃO
permitir
permitir
negar
IP ORIGEM
200.17.98.0: 200.17.98.255
*
*
IP DESTION
*
200.17.98.0: 200.17.98.255
*
• Interpretação:– Geralmente, as regras são definidas individualmente para cada interface.
– Cada interface controla apenas os pacotes que entram no roteador.
INTERFACE
1 (sair)
2 (entrar)
*
INTERFACE 1 INTERFACE 2
Rede Externa Rede Externa Não Não --ConfiConfiáávelvel
Rede Interna Rede Interna ConfiConfiáávelvel
2009, Edgard Jamhour
Filtragem com base nas Portas TCP e UDP
• As informações introduzidas no cabeçalho de controle dos protocolos TCP e UPD permitem identificar o tipo de serviço executado na Internet.
• Essa característica permite estabelecer regras diferenciadas para cada tipo de aplicação executada na Internet, ou numa Intranet.
• Por exemplo, é possível estabelecer regras de segurança que se aplique somente ao serviço de ftp ou somente ao serviço de telnet.
PORTA DE DESTINOPORTA DE DESTINO PORTA DE ORIGEMPORTA DE ORIGEM
datagrama
DADOS
2009, Edgard Jamhour
Portas bem Conhecidas
• Portas Bem conhecidas (wellknown ports):
• Função padronizada pela IANA (The Internet Assigned NumbersAuthority)
• Geralmente usada pelos servidores de serviços padronizados.
• Portas livres:
• Usadas pelos clientes e pelos serviços não padronizados
0
….
1023
1024
….
65535
PORTAS
TCP ou UDP
2009, Edgard Jamhour
Exemplos de portas bem conhecidas
Porta 21
Cliente
FTP
Dadosarmazenados
programa servidor determinal remoto
Porta 23
Porta 25
Porta 80
programa servidor detransferência de arquivos
programa servidor de correioeletrônico
programa servidor dehipertexto e outros serviços
WWW
programa servidor de notíciasPorta 119
programa servidor deserviços chat
Porta 194
TELNET
SMTP
HTTP
NNTP
IRC
portas livres
Porta 1024
Porta 65535
…
portas bemconhecidas
2009, Edgard Jamhour
Exemplo de Regras de Filtragem
regra ação interface/
sentido
protocolo IP
origem
IP
destino
Porta
origem
Porta
destino
Flag ACK
1 aceitar rede interna/
para fora
TCP interno externo > 1024 80 *[1]
2 aceitar rede externa/
para dentro
TCP externo interno 80 > 1023 1
3 rejeitar * * * * * * *
[1] O símbolo "*" indica que qualquer valor é aceitável para regra.
2009, Edgard Jamhour
Problema:Spoofing de Porta
• Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno?
10241024
...
80 80
80 80 10241024
80 80 2323
É necessário liberar pacotes com porta
de origem 80 para que a resposta possa passar .
Como evitar que a porta 80 seja usada para atacar usuários internos?
2009, Edgard Jamhour
Característica da Comunicação TCP
• Comunicação bidirecional, confiável e orientada a conexão.
• O destino recebe os dados na mesma ordem em que foram transmitidos.
• O destino recebe todos os dados transmitidos.
• O destino não recebe nenhum dado duplicado.
• O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.
2009, Edgard Jamhour
Flags TCP
HLEN Reservado BITS DE CÓDIGO Janela de Recepção
Checksum Ponteiro de Urgência
Número de Seqüência
Número de Confirmação
Opções
Dados
Byte 1 Byte 2 Byte 3 Byte 4
0 4 8 12 16 20 24 28 31
…..
Porta de origem Porta de destino
• RES: Reservado (2 bits)
• URG: Urgent Point
• ACK: Acknowlegment
• PSH: Push Request• RST: Reset Connection• SYN: Synchronize Seqüence Number• FIN: Mais dados do transmissor
2009, Edgard Jamhour
Flag ACK
• Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.
ACK=0
ACK=1
ACK=1
tempo tempo
ACK=1
...
2009, Edgard Jamhour
Filtragem com Protocolo UDP
• Comunicação bidirecional, sem nenhum tipo de garantia.– Os pacotes UDP podem chegar fora de ordem.
– Pode haver duplicação de pacotes.
– Os pacotes podem ser perdidos.
• Cada pacote UDP é independente é não contéminformações equivalentes ao flag ACK dos pacotes.
2009, Edgard Jamhour
Mensagem UDP
Porta de Origem
Comprimento da Mensagem checksum
Dados
…..
Porta de Destino
0 16 31
• As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.
2009, Edgard Jamhour
Dynamic Packet Filtering com UDP
• Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas.
200.0.0.1:1025 >>> 210.0.0.2:53
tempo tempo...
210.0.0.2:53 >>> 200.0.0.1:1025
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
2009, Edgard Jamhour
Regras para Filtragem de Pacotes
• Implementação:– Analisar o cabeçalho de cada pacote que chega da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado.
• ESTRATÉGIAS– A) TUDO QUE NÃO É PROIBIDO ÉPERMITIDO.
– B) TUDO QUE NÃO É PERMITIDO ÉPROIBIDO.
2009, Edgard Jamhour
Exemplo: TUDO QUE NÃO É PERMITIDO ÉPROIBIDO
Ação
permitir
permitir
negar
Protocolo
tcp
tcp
*
IP Origem
interno
*
*
Porta Origem
> 1023
23
*
IP Destino
*
interno
*
Porta Destino
23
> 1023
*
ACK
*
1
*
• Interpretação:– Hosts Internos podem acessar servidores de telnetinternos ou externos.
– Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão).
Direção
Sair
Entrar
*
2009, Edgard Jamhour
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
OK para encaminhar?
Precisa para bloquear?
Última Regra?
Bloquear Pacote
EncaminharPacote
S
S
N
N
N
S
2009, Edgard Jamhour
Exemplo
INTERNET1 2
200.17.98.? ?.?.?.?
23
Ação
permitir
negar
Protocolo
tcp
*
IP Origem
200.17.98.0:24
*
Porta Origem
> 1023
*
IP Destino
*
*
Porta Destino
23
*
ACK
*
*
INTERFACE 1
INTERFACE 2Ação
permitir
negar
Protocolo
tcp
*
IP Origem
*
*
Porta Origem
23
*
IP Destino
200.17.98.0:24
*
Porta Destino
> 1023
*
ACK
1
*
>1023>1023
2009, Edgard Jamhour
Exemplo
• Interpretação:– Hosts Internos podem acessar servidores de telnet internos ou externos.
– Hosts externos podem acessar servidores de web internos.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
80
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
80
> 1023
*
ACK
*
1
*
1
*
Direção
Out
In
In
Out
*
2009, Edgard Jamhour
Seqüência de Criação de Regras
• A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
23
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
23
> 1023
*
ACK
*
1
*
1
*
Direção
Out
In
In
Out
*
O deslocamento de uma regra genérica para cima anula as demais.
2009, Edgard Jamhour
Ciclos CPU100 MHz
2860008000160016016
Desempenho do Filtro de Pacotes
• O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido.
• Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede.
Conexão
56 Kbit/s2 Mbit/s10 Mbit/s100 Mbit/s1Gbit/s
Pacotes/s(20 bytes)
35012500625006250006250000
Tempo disponível
2.86 ms80 µs16 µs1.6 µs0.16 µµµµs
2009, Edgard Jamhour
Exercício 1
INTERNET
200.17.98.0255.255.255.0
?.?.?.?
>1023
TCP 80 TCP 25 UDP 53
TCP 80 TCP 25 UDP 53
200.17.98.2 200.17.98.3 200.17.98.4
2009, Edgard Jamhour
Exercício 1
• Defina as regras de filtragem implementar a seguinte política de segurança:
a) Os computadores da rede Interna podem acessar qualquer servidor Web na Internet.
b) Computadores da rede Externa podem acessar apenas o servidor Web da rede Interna.
c) O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet.
d) O servidor de email interno deve poder se comunicar com outros servidores de email da Internet.
e) Todos os demais acessos são proibidos.
2009, Edgard Jamhour
Exercício 1
FLAG ACK
PORTA DESTINO
PORTA ORIGEM
IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO
2009, Edgard Jamhour
Arquiteturas de Filtros de Pacotes
• Filtros de Pacotes são os principais componentes dos Firewalls.
Rede Interna Confiável
Rede Externa Não -Confiável
EstratEstratéégia gia de de FirewallFirewall
Filtros de Filtros de PacotesPacotese e
GatewaysGatewaysde de
AplicaAplicaççãoão
2009, Edgard Jamhour
A - Definições
• Firewall– Um componente ou conjunto de componentes que restringem o acesso entre um rede protegida e a Internet, ou entre outro conjunto de redes.
• Host– Um computador conectado a rede.
• Bastion Host– Um computador que precisa ser altamente protegido, pois ésuscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.
2009, Edgard Jamhour
Definições
• Dual-homed host– Qualquer computador com duas interfaces (placas) de rede.
• Packet– Unidade fundamental de comunicação na Internet.
• Packet Filtering (screening)– Controle seletivo do fluxo de dados que entra e sai de uma rede.
– A filtragem de pacotes é feita especificando um conjunto de regras que determinam que tipos de pacotes (baseados em IP e portas) são permitidos e que tipos devem ser bloqueados.
2009, Edgard Jamhour
Definições
• Perimeter Network– Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. Também chamada de DMZ (De-Militarized Zone).
• Proxy Server– Um programa que intermedia o contado de clientes internos com servidores externos.
2009, Edgard Jamhour
B) Arquiteturas Básicas de Firewall
• I) Dual-Homed Host com Proxy
• II) Filtragem Simples de Pacotes
• III) DMZ (Rede de Perímetro)
2009, Edgard Jamhour
Proteção por Tipos de IP
• IP’s públicos– Tem acesso a qualquer serviço na Internet.
– Podem ser protegidos por firewalls: Filtragem Simples de Pacotes ou DMZ.
• IP’s privados– São naturalmente protegidos de acessos externos.
– Elementos são colocados na rede para permitir o seu acesso a serviços disponíveis na Internet.
2009, Edgard Jamhour
I) Dual-Homed com Proxy
Interface interna
Interface externa
Dual-Homed Host
HostsHostsInternosInternos
ProxyProxyBastion HostBastion Host
Roteamento Roteamento DesabilitadoDesabilitado
INTERNET
Rede com IP’s Privados IP privado
IP público
2009, Edgard Jamhour
Proteção com Roteador e NAT
Interface interna
Interface externa
Roteador com NAT
HostsHostsInternosInternos
FirewallFirewallRoteamento Roteamento DesabilitadoDesabilitado
INTERNET
Rede com IP’s Privados IP privado
IP público
2009, Edgard Jamhour
II) Filtragem Simples
Interface internaInterface interna
Interface externaInterface externa
Screening Router
HostHostInternoInterno
Bastion HostBastion Host
FIREWALLFIREWALL
INTERNETINTERNET
2009, Edgard Jamhour
Regras de Filtragem
• O bastion host é diferenciado dos demais computadores pelas regras do filtro de pacotes.
• No exemplo abaixo, o bastion host é o único computador que pode receber conexões externas. Todavia, o único serviço habilitado é o http.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
b.host
*
Porta Origem
> 1023
*
> 1023
80
*
IP Destino
*
interno
b.host
*
*
Porta Destino
*
> 1023
80
> 1023
*
ACK
*
1
*
*
*
Direção
Out
In
In
Out
*
2009, Edgard Jamhour
III) Rede de Perímetro (DMZ)
HostHostInternoInterno
InternetInternet
RoteadorInterno
Bastion HostBastion Host
DMZ DMZ -- Rede de PerRede de Períímetrometro
Rede InternaRede Interna
RoteadorExterno
2009, Edgard Jamhour
Roteador Interno (Choke Router)
• Protege a rede interna da rede externa e da rede de perímetro.
• É responsável pela maioria das ações de filtragem de pacotes do firewall.
Ação
permitir
permitir
negar
Protocolo
tcp
tcp
*
IP Origem
interno
*
*
Porta Origem
> 1023
*
*
IP Destino
*
interno
*
Porta Destino
*
> 1023
*
ACK
*
1
*
Direção
Out
In
*
EXEMPLO DE REGRAS PARA O CHOKE ROUTER
2009, Edgard Jamhour
Roteador Externo (Access Router)
• Protege a rede interna e a rede de perímetro da rede externa.
• Muitas vezes, a função o roteador externo está localizado no provedor de acesso.
• Em geral, utiliza regras de filtragem pouco severas.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
dmz
*
Porta Origem
> 1023
*
> 1023
*
*
IP Destino
*
interno
dmz
*
*
Porta Destino
*
> 1023
*
> 1023
*
ACK
*
1
*
*
*
Direção
Out
In
In
Out
*
EXEMPLO DE REGRAS PARA O ACCESS ROUTER
2009, Edgard Jamhour
Rede de Perímetro com Proxy
HostsHosts InternosInternosCom IPCom IP’’s Privadoss Privados
InternetInternet
Bastion HostBastion Host
DMZ DMZ -- Rede de PerRede de Períímetrometro
Rede InternaRede Interna
RoteadorExterno
Servidor Servidor ProxyProxy
2009, Edgard Jamhour
EXERCÍCIO
HostsHostsInternoInterno
Internet
RoteadorInterno
Bastion Host
DMZ - Rede de Perímetro
Rede Interna
RoteadorExterno
I1
I2
E1
E2
200.0.0.1 200.0.0.2 200.0.0.3
200.0.0.4
200.1.0.1 200.1.0.2
200.1.0.3
200.2.0.1
2009, Edgard Jamhour
DEFINIÇÃO DAS ROTAS
• Indique as Rotas que Devem Existir:
• A) Computadores da Rede Interna
• B) Roteador Interno
• C) Bastion Host
• D) Roteador Externo
2009, Edgard Jamhour
EXERCÍCIO
• Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para:– A) Permitir aos computadores externos acessarem o serviço HTTP no bastion HOST.
– B) Permitir aos computadores externos acessar o serviço SMTP no bastion HOST.
– C) Permitir aos usuários internos acessarem o serviço POP, SMTP e HTTP no bastion HOST.
– D) Permitir aos usuários internos acessarem qualquer servidor HTTP externo.
– E) Proibir todos os demais acessos.
2009, Edgard Jamhour
Roteador Interno
FLAG ACK
PORTA DESTINO
PORTA ORIGEM
IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO
2009, Edgard Jamhour
Roteador Externo
FLAG ACK
PORTA DESTINO
PORTA ORIGEM
IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO
2009, Edgard Jamhour
Novas Tecnologias para Firewalls
• PARTE 1:– Stateful Inspection
• PARTE 2:– IP Sec
• PARTE 3:– Integração com Serviços de Diretório (LDAP)
2009, Edgard Jamhour
Stateful Inspection
• As primeiras gerações de firewall eram ditos "stateless".– Cada pacote é analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexão.
– Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação.
• Uma alternativa para os filtros de pacotes são os gateways de aplicação.– Gateways de aplicação (Proxy) são "stateful": Isto é, eles guardam o estado das conexões inciadas pelos clientes.
– Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes.
– Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho.
2009, Edgard Jamhour
Filtro de Pacotes
• Usualmente implementado em roteadores.
• São idependentes da aplicação (analisam apenas informações de IP e Porta).
• Tem alto desempenho.
2009, Edgard Jamhour
Filtro de Pacotes: Problemas de Segurança
• São stateless:– Precisam liberar todas as portas de cliente (> 1023) para permitir uma comunicação FTP.
• Apenas duas opções:– Ou libera-se todas as portas ou bloqueia-se o serviço todo.
2009, Edgard Jamhour
Application Layer Gateways
• Usualmente Implementados em Servidores.
• Duas versões:• Dependentes de
Aplicação– Examinam o conteúdo dos pacotes, incluidoos protoclos de aplicação.
– Não abrem as portas dos clientes.
• Socks– Não precisa examinar o conteúdo.
2009, Edgard Jamhour
Socks Proxy
• Um proxy pode ser configurado de duas maneiras:– A) Em cada aplicação cliente
• Browser, FTP, etc.
– B) No sistema operacional
• Substituindo o driver de sockets.
• Neste caso, o cliente e o proxy conversam através de um protocolo denominado Socks.
• Este protocolo redireciona todos as informações transmitidas pelo cliente par ao Proxy, e inclui novos campos para identificar o destino das mensagens.
WinSock
Socks
Aplicação Aplicação
Sockets
TCP UDP
IP
2009, Edgard Jamhour
Procolo Socks
• A versão corrente do protocolo SOCKs é 5.0– RFC1928: suporta TCP , UDP e autenticação
• As implementações atuais, entretanto, estão na versão 4– Suporta apenas TCP.
• Algumas soluções proprietárias suportam também ICMP.
Cliente Socks
Socks Proxy
Server
CONNECT: IP_Destino, Porta_Destino, UserIDIP destino,Porta Destino
PORTAPORTA
2009, Edgard Jamhour
Application Layer GatewayProblemas de Desempenho
• Quebram o esquema cliente-servidor (o proxy cria uma nova conexão para cada cliente).– O número de sessões no Gatewayé duplicado.
– Cada conexão mantém um processo no Proxy.
2009, Edgard Jamhour
Stateful Inspection
• Tecnologia Desenvolvida pela CheckPoint.
• Implementa o conceito de estado sem criar novas conexões no roteador.– Um módulo de software analisa permanentemente o conteúdo dos pacotes que atravessam o firewall.
– As informações relevantes dos pacotes são armazenadas em tabelas dinâmicas para porterior uso.
– A decisão quanto a passagem ou não de um pacote leva em conta o conteúdo de pacotes anteriormente trocados na mesma conexão.
2009, Edgard Jamhour
Stateful Inspection
• Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente.
200.0.0.1:1025 >>> 210.0.0.2:53
tempo tempo...
210.0.0.2:53 >>> 200.0.0.1:1025
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
2009, Edgard Jamhour
Stateful Inspection
• Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor.
• A informação de estado écapturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.
2009, Edgard Jamhour
Stateful Inspection
• Quando o cliente requisita um serviço FTP, o Firewallarmazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente.
2009, Edgard Jamhour
Segurança de Conteúdo
• Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall.
• Normalmente, apenas os protocolos mais comuns são analisados.– HTTP: Permite Filtrar:
• Métodos de acesso (GET, POST), URLs ("*.sk"), etc
• TAGS em HTML com referências a Applets em Java ou Objetos Active X.
• Dowload de certos tipos MIME.
– FTP: Permite Filtrar
• Comandos específicos (PUT, GET), Nomes de Arquivo
• Pode disparar antivirus para verificação de arquivos.
– SMTP: Permite criar regras de Filtragem baseadas
• Nos campos FROM e TO
• Tipo MIME
• Etc.
2009, Edgard Jamhour
Integração com Métodos de Autenticação
• Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP.
• Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando.
• Esta tecnologia só é possível para firewalls "Stateful".
• Três métodos são usualmente disponíveis:– User Authentication (transparente)
– Session Autentication
– Mapeamento Transparente do Usuário em Endereço
2009, Edgard Jamhour
Integração com Métodos de Autenticação
– User Authentication (transparente)
• Permite a usuário remoto acessar um serviço da rede independente do seu IP.
• O firewall reconhece o login do usuário analisando o conteúdo dos protocolos FTP, HTTP, TELNET e RLOGIN.
– Session Authentication
• Quando o usuário tenta acessar um serviço da rede o Firewallenvia para o cliente um pedido de login (challange message).
• O cliente deve ter um software especial para confirmar a senha.
• Só então o acesso é permitido (ou negado).
2009, Edgard Jamhour
Integração com Métodos de Autenticação
• Mapeamento Transparente entre Usuário e Endereço– O Firewall captura mensagens DHCP para as máquinas.
– O Firewall captura as mensagens de login trocadas entre o usuário e o servidores de domínio da rede.
• CHECK POINT, por exemplo, suporta as mensagens do Windows NT.
• O usuário não se loga no Firewall, o sucesso do login éidentificado pelo Firewall também capturando as mensagens do servidor.