FIREWALLS
Edgard Jamhour
2009, Edgard Jamhour
Riscos a Segurança de uma Rede
Invasão
FILTRO
sniffing
Invasão
spoofing
2009, Edgard Jamhour
Tipos de Ameaças a Segurança de uma
Rede
• Invasão de Rede (Network Intrusion)
– Alguém de fora acessa a uma máquina da rede com poderes de
administrador.
– A invasão é feita descobrindo-se a senha ou usando algum “furo”
escondido do sistema operacional.
• IP Address Spoofing
– Alguém da rede externa se faz passa por um IP da sua rede
interna.
• Packet Sniffing
– Escuta do tráfego local que se propaga pela Ethernet.
2009, Edgard Jamhour
Camada Física e Enlace de Dados
• Tecnologias de Redes Locais, como Ethernet, funcionam com
broadcast físico, o que permite fazer sniffing na rede.
destino
01-02-03-04-05-07
MAC
01-02-03-04-05-06
origem
01-02-03-04-05-06
Se a interface do computador
for colocada em modo promíscuo,
a informação pode ser facilmente
interceptada
MAC
01-02-03-04-05-07
sniffing
MAC
01-02-03-04-05-08
2009, Edgard Jamhour
Switch: Isolando Domínios de Colisão
•
Packet sniffing pode ser combativo de duas formas: com criptografia
e com switches. Os computadores que estão conectados a portas
isoladas de um switch são imunes a sniffing.
Mesmo
domínio
de broadcast
SWITCH
HUB
A
B
Não há
possibilidade
de sniffing
HUB
C
D
E
F
G
2009, Edgard Jamhour
Filtragem de Pacotes
A filtragem de pacotes é feita com base nas informações contidas no
cabeçalho dos protocolos.
Aplicações
Protolco de
Aplicação
FTP, SMTP, HTTP,
Telnet, SNM, etc.
Seqüência de
empacotamento
aplicação
TCP, UDP
transporte
rede
IP
Tecnologia
heterogênea
Data Link
Ethernet, Token
Ring, FDDI, etc
Física
enlace
física
2009, Edgard Jamhour
Implementação Física
•
•
No software do Roteador: screening routers
No software de uma estação dedicada (um PC com duas placas de
rede).
ROTEADOR
REDE
INTERNA
REDE
EXTERNA
FIREWALL
PERSONAL
FIREWALL
ROTEADOR
REDE
EXTERNA
REDE
INTERNA
FIREWALL
2009, Edgard Jamhour
Exemplo
• Roteadores Cisco
– PIX Firewall
– Firewall
– Roteador
– Proxy
– Detetor de ataques (SMTP, etc)
– Defesa contra fragmentação de IP
– Implementa VPN com IPsec
– Mais de 256K sessões simultâneas.
2009, Edgard Jamhour
Exemplo
• Implementação por Software
– Check Point Firewall
• Interface Gráfica
• Módulo de Firewall
• Módulo de Gerenciamento
– Mútiplas Plataformas
• Windows, Solaris, Linux, HP-UX, IBM AIX
– Controle de Segurança e Qualidade de Serviço.
2009, Edgard Jamhour
Segurança na Camada IP = Roteamento
Seletivo
REDE 200.134.51.X
REDE 200.17.98.X
Bloquear pacotes
destinados a uma
rede diferente de
200.17.134.X
Bloquear pacotes
recebidos de uma
rede diferente de
200.17.134.X
Filtro
Roteador
Roteador
Roteador
2009, Edgard Jamhour
Filtragem de Pacotes
Interface interna
O roteamento ou
rejeição de pacotes
é feito de acordo
com a política de
segurança
da empresa.
screening
router
Interface externa
Internet
2009, Edgard Jamhour
Exemplos de Objetivos do Roteamento
Seletivo
• Bloquear todas as conexões que chegam de um sistema
externo da rede interna, exceto conexões SMTP.
• Liberar conexões externas apenas para uma máquina
específica da rede (e.g. servidor Web).
• Permitir aos usuários internos iniciarem conexões de
Telnet com o meio externo, mas não o contrário.
• Liberar acesso a Internet apenas para algumas máquinas
da rede interna.
2009, Edgard Jamhour
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
S
Encaminhar
Pacote
OK para
encaminhar?
N
Precisa para
bloquear?
S
Bloquear
Pacote
N
Última
Regra?
N
S
2009, Edgard Jamhour
Exemplo
AÇÃO
INTERFACE
IP ORIGEM
IP DESTION
permitir
1 (sair)
200.17.98.0: 200.17.98.255
*
2 (entrar)
*
200.17.98.0: 200.17.98.255
*
*
*
permitir
negar
• Interpretação:
– Geralmente, as regras são definidas individualmente para cada interface.
– Cada interface controla apenas os pacotes que entram no roteador.
Rede Interna
Confiável
INTERFACE 1
Rede Externa
Não -Confiável
INTERFACE 2
2009, Edgard Jamhour
Filtragem com base nas Portas TCP e
UDP
• As informações introduzidas no cabeçalho de controle
dos protocolos TCP e UPD permitem identificar o tipo de
serviço executado na Internet.
• Essa característica permite estabelecer regras
diferenciadas para cada tipo de aplicação executada na
Internet, ou numa Intranet.
• Por exemplo, é possível estabelecer regras de segurança
que se aplique somente ao serviço de ftp ou somente ao
serviço de telnet.
datagrama
PORTA DE DESTINO
PORTA DE ORIGEM
DADOS
2009, Edgard Jamhour
Portas bem Conhecidas
0
….
PORTAS
TCP ou UDP
1023
1024
• Portas Bem conhecidas (well
known ports):
• Função padronizada pela IANA
(The Internet Assigned Numbers
Authority)
• Geralmente usada pelos
servidores de serviços
padronizados.
• Portas livres:
• Usadas pelos clientes e pelos
serviços não padronizados
….
65535
2009, Edgard Jamhour
Exemplos de portas bem conhecidas
Dados
armazenados
portas bem
conhecidas
Porta 1024
FTP
Porta 21
programa servidor de
transferência de arquivos
TELNET
Porta 23
programa servidor de
terminal remoto
Porta 25
programa servidor de correio
eletrônico
HTTP
Porta 80
programa servidor de
hipertexto e outros serviços
WWW
NNTP
Porta 119
IRC
Porta 194
SMTP
…
Porta 65535
Cliente
portas livres
programa servidor de notícias
programa servidor de
serviços chat
2009, Edgard Jamhour
Exemplo de Regras de Filtragem
regra
ação
interface/
sentido
protocolo
IP
origem
IP
destino
Porta
origem
Porta
destino
Flag ACK
1
aceitar
rede interna/
para fora
TCP
interno
externo
> 1024
80
*[1]
2
aceitar
rede externa/
para dentro
TCP
externo
interno
80
> 1023
1
3
rejeitar
*
*
*
*
*
*
*
[1] O símbolo "*" indica que qualquer valor é aceitável para regra.
2009, Edgard Jamhour
Problema:Spoofing de Porta
• Como diferenciar um ataque externo de uma resposta
solicitada por um usuário interno?
1024
80
80
É necessário liberar
pacotes com porta
de origem 80 para que
a resposta possa passar .
1024
Como evitar que a porta 80
seja usada para atacar
usuários internos?
80
23
...
2009, Edgard Jamhour
Característica da Comunicação TCP
• Comunicação bidirecional, confiável e orientada
a conexão.
• O destino recebe os dados na mesma ordem em
que foram transmitidos.
• O destino recebe todos os dados transmitidos.
• O destino não recebe nenhum dado duplicado.
• O protocolo TCP rompe a conexão se algumas
das propriedades acima não puder ser garantida.
2009, Edgard Jamhour
Flags TCP
•
•
•
•
• RES: Reservado (2 bits)
• URG: Urgent Point
• ACK: Acknowlegment
0
4
8
PSH: Push Request
RST: Reset Connection
SYN: Synchronize Seqüence Number
FIN: Mais dados do transmissor
12
Byte 1
16
Byte 2
20
Byte 3
Porta de origem
24
28
31
Byte 4
Porta de destino
Número de Seqüência
Número de Confirmação
HLEN
Reservado
Janela de Recepção
BITS DE CÓDIGO
Ponteiro de Urgência
Checksum
Opções
Dados
…..
2009, Edgard Jamhour
Flag ACK
• Uma conexão TCP sempre se inicia com o cliente enviando
um pacote com o flag ACK= 0.
ACK=0
ACK=1
ACK=1
ACK=1
...
tempo
tempo
2009, Edgard Jamhour
Filtragem com Protocolo UDP
• Comunicação bidirecional, sem nenhum tipo de
garantia.
– Os pacotes UDP podem chegar fora de ordem.
– Pode haver duplicação de pacotes.
– Os pacotes podem ser perdidos.
• Cada pacote UDP é independente é não contém
informações equivalentes ao flag ACK dos
pacotes.
2009, Edgard Jamhour
Mensagem UDP
• As mensagens UDP não possuem flags de controle pois
o protocolo UDP não oferece a mesma qualidade de
serviço que o protocolo TCP.
16
0
31
Porta de Origem
Porta de Destino
Comprimento da Mensagem
checksum
Dados
…..
2009, Edgard Jamhour
Dynamic Packet Filtering com UDP
• Para poder criar regras sobre quem inicia uma
comunicação no protocolo UDP, os roteadores precisam se
lembrar das portas utilizadas.
200.0.0.1:1025 >>> 210.0.0.2:53
210.0.0.2:53 >>> 200.0.0.1:1025
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
...
tempo
tempo
2009, Edgard Jamhour
Regras para Filtragem de Pacotes
• Implementação:
– Analisar o cabeçalho de cada pacote que chega
da rede externa, e aplicar uma série de regras
para determinar se o pacote será bloqueado ou
encaminhado.
• ESTRATÉGIAS
– A) TUDO QUE NÃO É PROIBIDO É
PERMITIDO.
– B) TUDO QUE NÃO É PERMITIDO É
PROIBIDO.
2009, Edgard Jamhour
Exemplo: TUDO QUE NÃO É PERMITIDO É
PROIBIDO
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Sair
tcp
interno
*
> 1023
23
*
permitir
Entrar
tcp
*
interno
23
> 1023
1
*
*
*
*
*
*
*
negar
• Interpretação:
– Hosts Internos podem acessar servidores de telnet
internos ou externos.
– Hosts externos podem apenas responder a
requisições, não podem iniciar um diálogo
(estabelecer uma conexão).
2009, Edgard Jamhour
Regras de Filtragem
Recebe pacote
Analisa Cabeçalho
S
Encaminhar
Pacote
OK para
encaminhar?
N
Precisa para
bloquear?
S
Bloquear
Pacote
N
Última
Regra?
N
S
2009, Edgard Jamhour
Exemplo
>1023
>1023
1
23
2
INTERNET
200.17.98.?
?.?.?.?
INTERFACE 1
Ação
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
tcp
200.17.98.0:24
*
> 1023
23
*
negar
*
*
*
*
*
*
INTERFACE 2
Ação
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
tcp
*
200.17.98.0:24
23
> 1023
1
negar
*
*
*
*
*
*
2009, Edgard Jamhour
Exemplo
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Out
tcp
interno
*
> 1023
23
*
permitir
In
tcp
*
interno
23
> 1023
1
permitir
In
tcp
*
interno
> 1023
80
*
permitir
Out
tcp
interno
*
80
> 1023
1
negar
*
*
*
*
*
*
*
• Interpretação:
– Hosts Internos podem acessar servidores de telnet internos ou
externos.
– Hosts externos podem acessar servidores de web internos.
2009, Edgard Jamhour
Seqüência de Criação de Regras
• A seqüência na qual as regras são aplicadas pode alterar
completamente o resultado da política de segurança. Por
exemplo, as regras de aceite ou negação incondicional
devem ser sempre as últimas regras da lista.
O deslocamento de uma regra genérica para cima anula as demais.
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Out
tcp
interno
*
> 1023
23
*
permitir
In
tcp
*
interno
23
> 1023
1
permitir
In
tcp
*
interno
> 1023
23
*
permitir
Out
tcp
interno
*
23
> 1023
1
negar
*
*
*
*
*
*
*
2009, Edgard Jamhour
Desempenho do Filtro de Pacotes
• O processo de filtragem de pacotes exige que um certo
processamento adicional seja executado pelo roteador para cada
pacote que chega ou precisa ser transmitido.
• Dependendo da velocidade da linha de transmissão, esse
processamento pode ou não causar uma degradação do
desempenho da rede.
Conexão
Pacotes/s
(20 bytes)
Tempo
disponível
Ciclos CPU
100 MHz
56 Kbit/s
2 Mbit/s
10 Mbit/s
100 Mbit/s
1Gbit/s
350
12500
62500
625000
6250000
2.86 ms
80 s
16 s
1.6 s
0.16 s
286000
8000
1600
160
16
2009, Edgard Jamhour
Exercício 1
200.17.98.0
255.255.255.0
>1023
INTERNET
?.?.?.?
TCP 80
200.17.98.2
TCP 25
200.17.98.3
UDP 53
200.17.98.4
TCP 80
TCP 25
UDP 53
2009, Edgard Jamhour
Exercício 1
•
Defina as regras de filtragem implementar a seguinte
política de segurança:
a) Os computadores da rede Interna podem acessar
qualquer servidor Web na Internet.
b) Computadores da rede Externa podem acessar apenas
o servidor Web da rede Interna.
c) O servidor DNS interno deve poder se comunicar com
outros servidores DNS na Internet.
d) O servidor de email interno deve poder se comunicar
com outros servidores de email da Internet.
e) Todos os demais acessos são proibidos.
2009, Edgard Jamhour
Exercício 1
AÇÃO
INTERFACE PROTOCOLO
IP ORIGEM
IP DESTINO
PORTA
ORIGEM
PORTA
DESTINO
FLAG
ACK
2009, Edgard Jamhour
Arquiteturas de Filtros de Pacotes
• Filtros de Pacotes são os principais
componentes dos Firewalls.
Estratégia
de Firewall
Rede Interna
Confiável
Filtros de
Pacotes
e
Gateways
de
Aplicação
Rede Externa
Não -Confiável
2009, Edgard Jamhour
A - Definições
• Firewall
– Um componente ou conjunto de componentes que restringem o
acesso entre um rede protegida e a Internet, ou entre outro
conjunto de redes.
• Host
– Um computador conectado a rede.
• Bastion Host
– Um computador que precisa ser altamente protegido, pois é
suscetível a sofrer ataques. O bastion host é um computador
exposto simultaneamente a Internet e a rede interna.
2009, Edgard Jamhour
Definições
• Dual-homed host
– Qualquer computador com duas interfaces (placas) de rede.
• Packet
– Unidade fundamental de comunicação na Internet.
• Packet Filtering (screening)
– Controle seletivo do fluxo de dados que entra e sai de uma rede.
– A filtragem de pacotes é feita especificando um conjunto de regras
que determinam que tipos de pacotes (baseados em IP e portas)
são permitidos e que tipos devem ser bloqueados.
2009, Edgard Jamhour
Definições
• Perimeter Network
– Uma rede adicionada entre a rede protegida e uma rede externa,
com o objetivo de proporcionar uma camada a mais de
segurança. Também chamada de DMZ (De-Militarized Zone).
• Proxy Server
– Um programa que intermedia o contado de clientes internos com
servidores externos.
2009, Edgard Jamhour
B) Arquiteturas Básicas de Firewall
• I) Dual-Homed Host com Proxy
• II) Filtragem Simples de Pacotes
• III) DMZ (Rede de Perímetro)
2009, Edgard Jamhour
Proteção por Tipos de IP
• IP’s públicos
– Tem acesso a qualquer serviço na Internet.
– Podem ser protegidos por firewalls: Filtragem
Simples de Pacotes ou DMZ.
• IP’s privados
– São naturalmente protegidos de acessos
externos.
– Elementos são colocados na rede para permitir o
seu acesso a serviços disponíveis na Internet.
2009, Edgard Jamhour
I) Dual-Homed com Proxy
Hosts
Internos
Rede com IP’s Privados
Roteamento
Desabilitado
IP privado
Interface interna
Proxy
Bastion Host
Dual-Homed Host
Interface externa
IP público
INTERNET
2009, Edgard Jamhour
Proteção com Roteador e NAT
Hosts
Internos
Rede com IP’s Privados
IP privado
Interface interna
Firewall
Roteamento
Desabilitado
Roteador com NAT
Interface externa
IP público
INTERNET
2009, Edgard Jamhour
II) Filtragem
Simples
Bastion Host
Host
Interno
Interface interna
Screening
Router
FIREWALL
Interface externa
INTERNET
2009, Edgard Jamhour
Regras de Filtragem
• O bastion host é diferenciado dos demais computadores
pelas regras do filtro de pacotes.
• No exemplo abaixo, o bastion host é o único computador
que pode receber conexões externas. Todavia, o único
serviço habilitado é o http.
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Out
tcp
interno
*
> 1023
*
*
permitir
In
tcp
*
interno
*
> 1023
1
permitir
In
tcp
*
b.host
> 1023
80
*
permitir
Out
tcp
b.host
*
80
> 1023
*
negar
*
*
*
*
*
*
*
2009, Edgard Jamhour
III) Rede de Perímetro (DMZ)
Host
Interno
Rede Interna
Roteador
Interno
Bastion Host
DMZ - Rede de Perímetro
Roteador
Externo
Internet
2009, Edgard Jamhour
Roteador Interno (Choke Router)
• Protege a rede interna da rede externa e da rede
de perímetro.
• É responsável pela maioria das ações de
filtragem de pacotes do firewall.
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Out
tcp
interno
*
> 1023
*
*
permitir
In
tcp
*
interno
*
> 1023
1
negar
*
*
*
*
*
*
*
EXEMPLO DE REGRAS PARA O CHOKE ROUTER
2009, Edgard Jamhour
Roteador Externo (Access Router)
• Protege a rede interna e a rede de perímetro da rede
externa.
• Muitas vezes, a função o roteador externo está localizado
no provedor de acesso.
• Em geral, utiliza regras de filtragem pouco severas.
Ação
Direção
Protocolo
IP Origem
IP Destino
Porta Origem
Porta Destino
ACK
permitir
Out
tcp
interno
*
> 1023
*
*
permitir
In
tcp
*
interno
*
> 1023
1
permitir
In
tcp
*
dmz
> 1023
*
*
permitir
Out
tcp
dmz
*
*
> 1023
*
negar
*
*
*
*
*
*
*
EXEMPLO DE REGRAS PARA O ACCESS ROUTER
2009, Edgard Jamhour
Rede de Perímetro com Proxy
Hosts Internos
Com IP’s Privados
Rede Interna
Servidor
Proxy
Bastion Host
DMZ - Rede de Perímetro
Roteador
Externo
Internet
2009, Edgard Jamhour
EXERCÍCIO
200.0.0.1
200.0.0.2
200.0.0.3
Hosts
Interno
Rede Interna
I1
200.0.0.4
Roteador
Interno
Bastion Host
I2
200.1.0.1
E1
200.1.0.3
E2
200.2.0.1
200.1.0.2
DMZ - Rede de Perímetro
Roteador
Externo
Internet
2009, Edgard Jamhour
DEFINIÇÃO DAS ROTAS
• Indique as Rotas que Devem Existir:
•
•
•
•
A) Computadores da Rede Interna
B) Roteador Interno
C) Bastion Host
D) Roteador Externo
2009, Edgard Jamhour
EXERCÍCIO
• Defina as regras para filtragem de pacotes dos
roteadores da arquitetura DMZ para:
– A) Permitir aos computadores externos acessarem o
serviço HTTP no bastion HOST.
– B) Permitir aos computadores externos acessar o
serviço SMTP no bastion HOST.
– C) Permitir aos usuários internos acessarem o serviço
POP, SMTP e HTTP no bastion HOST.
– D) Permitir aos usuários internos acessarem qualquer
servidor HTTP externo.
– E) Proibir todos os demais acessos.
2009, Edgard Jamhour
Roteador Interno
AÇÃO
INTERFACE PROTOCOLO
IP ORIGEM
IP DESTINO
PORTA
ORIGEM
PORTA
DESTINO
FLAG
ACK
2009, Edgard Jamhour
Roteador Externo
AÇÃO
INTERFACE PROTOCOLO
IP ORIGEM
IP DESTINO
PORTA
ORIGEM
PORTA
DESTINO
FLAG
ACK
2009, Edgard Jamhour
Novas Tecnologias para Firewalls
• PARTE 1:
– Stateful Inspection
• PARTE 2:
– IP Sec
• PARTE 3:
– Integração com Serviços de Diretório (LDAP)
2009, Edgard Jamhour
Stateful Inspection
• As primeiras gerações de firewall eram ditos "stateless".
– Cada pacote é analisado individualmente, sem levar em conta
pacotes anteriores trocados na mesma conexão.
– Os firewalls baseados em filtros de pacotes não olham o
conteúdo dos protocolos de aplicação.
• Uma alternativa para os filtros de pacotes são os
gateways de aplicação.
– Gateways de aplicação (Proxy) são "stateful": Isto é, eles
guardam o estado das conexões inciadas pelos clientes.
– Alguns tipos de gateways de aplicação (Proxy) são capazes de
analisar o conteúdo dos pacotes.
– Todavia, são dependentes da aplicação (não funcionam para
aplicações desconhecidas) e tem baixo desempenho.
2009, Edgard Jamhour
Filtro de Pacotes
• Usualmente
implementado em
roteadores.
• São idependentes da
aplicação (analisam
apenas informações de
IP e Porta).
• Tem alto desempenho.
2009, Edgard Jamhour
Filtro de Pacotes:
Problemas de Segurança
• São stateless:
– Precisam liberar
todas as portas de
cliente (> 1023)
para permitir uma
comunicação FTP.
• Apenas duas
opções:
– Ou libera-se todas
as portas ou
bloqueia-se o
serviço todo.
2009, Edgard Jamhour
Application Layer Gateways
• Usualmente
Implementados em
Servidores.
• Duas versões:
• Dependentes de
Aplicação
– Examinam o
conteúdo dos
pacotes, incluido
os protoclos de
aplicação.
– Não abrem as
portas dos
clientes.
• Socks
– Não precisa
examinar o
conteúdo.
2009, Edgard Jamhour
Socks Proxy
•
Um proxy pode ser configurado de duas maneiras:
– A) Em cada aplicação cliente
• Browser, FTP, etc.
– B) No sistema operacional
• Substituindo o driver de sockets.
• Neste caso, o cliente e o proxy conversam através de um protocolo
denominado Socks.
• Este protocolo redireciona todos as informações transmitidas pelo cliente par
ao Proxy, e inclui novos campos para identificar o destino das mensagens.
Aplicação Aplicação
Socks
WinSock
Sockets
TCP
UDP
IP
2009, Edgard Jamhour
Procolo Socks
• A versão corrente do protocolo SOCKs é 5.0
– RFC1928: suporta TCP , UDP e autenticação
• As implementações atuais, entretanto, estão na versão 4
– Suporta apenas TCP.
• Algumas soluções proprietárias suportam também ICMP.
IP destino,
Porta Destino
CONNECT: IP_Destino, Porta_Destino, UserID
Cliente
Socks
PORTA
Socks
Proxy
PORTA
Server
2009, Edgard Jamhour
Application Layer Gateway
Problemas de Desempenho
• Quebram o
esquema clienteservidor (o proxy cria
uma nova conexão
para cada cliente).
– O número de
sessões no Gateway
é duplicado.
– Cada conexão
mantém um processo
no Proxy.
2009, Edgard Jamhour
Stateful Inspection
• Tecnologia Desenvolvida pela CheckPoint.
• Implementa o conceito de estado sem criar novas
conexões no roteador.
– Um módulo de software analisa permanentemente o conteúdo
dos pacotes que atravessam o firewall.
– As informações relevantes dos pacotes são armazenadas em
tabelas dinâmicas para porterior uso.
– A decisão quanto a passagem ou não de um pacote leva em
conta o conteúdo de pacotes anteriormente trocados na mesma
conexão.
2009, Edgard Jamhour
Stateful Inspection
• Para poder criar regras sobre quem inicia uma
comunicação, o firewall armazena informações sobre as
portas utilizadas pelo cliente.
200.0.0.1:1025 >>> 210.0.0.2:53
210.0.0.2:53 >>> 200.0.0.1:1025
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
...
tempo
tempo
2009, Edgard Jamhour
Stateful Inspection
• Analisa o
conteúdo dos
pacotes sem
quebrar o
modelo cliente
servidor.
• A informação
de estado é
capturada
quando o
pacote através
o firewall e
armazenadas
em tabelas
dinâmicas.
2009, Edgard Jamhour
Stateful Inspection
• Quando o
cliente requisita
um serviço FTP,
o Firewall
armazena a
porta utilizada
numa tabela
dinâmica, não
liberando
nenhuma outra
porta do cliente.
2009, Edgard Jamhour
Segurança de Conteúdo
• Além das informações de portas, as informações de conteúdo
também são utilizadas pelo Firewall.
• Normalmente, apenas os protocolos mais comuns são analisados.
– HTTP: Permite Filtrar:
• Métodos de acesso (GET, POST), URLs ("*.sk"), etc
• TAGS em HTML com referências a Applets em Java ou Objetos
Active X.
• Dowload de certos tipos MIME.
– FTP: Permite Filtrar
• Comandos específicos (PUT, GET), Nomes de Arquivo
• Pode disparar antivirus para verificação de arquivos.
– SMTP: Permite criar regras de Filtragem baseadas
• Nos campos FROM e TO
• Tipo MIME
• Etc.
2009, Edgard Jamhour
Integração com Métodos de Autenticação
• Firewalls com Tecnlogia Stateful permitem criar regras de
filtragem baseados no login do usuário ao invés do
endereço IP.
• Estas técnicas simplificam o processo de criar regras de
filtragem pois o usuário pode acesar o serviço
independentemente da máquina que estiver usando.
• Esta tecnologia só é possível para firewalls "Stateful".
• Três métodos são usualmente disponíveis:
– User Authentication (transparente)
– Session Autentication
– Mapeamento Transparente do Usuário em Endereço
2009, Edgard Jamhour
Integração com Métodos de Autenticação
– User Authentication (transparente)
• Permite a usuário remoto acessar um serviço da rede
independente do seu IP.
• O firewall reconhece o login do usuário analisando o conteúdo
dos protocolos FTP, HTTP, TELNET e RLOGIN.
– Session Authentication
• Quando o usuário tenta acessar um serviço da rede o Firewall
envia para o cliente um pedido de login (challange message).
• O cliente deve ter um software especial para confirmar a
senha.
• Só então o acesso é permitido (ou negado).
2009, Edgard Jamhour
Integração com Métodos de Autenticação
• Mapeamento Transparente entre Usuário e Endereço
– O Firewall captura mensagens DHCP para as máquinas.
– O Firewall captura as mensagens de login trocadas entre o
usuário e o servidores de domínio da rede.
• CHECK POINT, por exemplo, suporta as mensagens do
Windows NT.
• O usuário não se loga no Firewall, o sucesso do login é
identificado pelo Firewall também capturando as mensagens
do servidor.
2009, Edgard Jamhour