Firewalls
1
Roteiro

Introdução

Características do Firewall

Tipo de Firewall
– Filtro de Pacotes
– Servidores Proxy

Tipos avançados de Firewall
– Bastion Host
– Firewalls híbridos
2
Roteiro

(cont)
Arquiteturas de Firewall
– Screened Host
– Screened Subnet

Conclusão

Bibliografia
3
Introdução

Alto índice de ataques a redes

Necessidade de controle de tráfego

Garantir integridade aos serviços

Alta demanda dos serviços da Internet
4
Firewall
Definição de Firewall
 Funções do Firewall
 Estrutura de um Firewall
 Classificação básica

5
Firewall(2)
Ilustração:
6
Princípios Básicos

Toda solicitação chega ao Firewall

Somente tráfego autorizado passa pelo
Firewall

O próprio Firewall deve ser imune a
penetração
7
O que um Firewall
pode fazer?
1.
É um foco para a tomada de decisões
2.
Pode ser usado como um ponto de
partida para a política de segurança
3.
Pode gravar requisições
4.
Limita a exposição da rede
8
O que um Firewall
não pode fazer?
1.
2.
3.
4.
Proteger uma rede contra usuários
internos
Proteger uma rede contra conexões
que não passam por ele
Proteger contra ameaças
completamente novas
Proteger contra vírus
9
Tipos de Firewall

Existem dois principais tipos:
– Filtro de Pacotes;
– Servidores Proxy.
10
Filtro de Pacotes

Filtrar = peneirar, separar

Controle do tráfego que entra e sai

Filtro de pacotes em Roteadores

Incrementa a segurança

Transparente aos usuários

Grande variedade no mercado
11
Filtro de Pacotes

(2)
As regras dos filtros se contém:
– Endereço IP de origem
– Endereço IP de destino
– Protocolos TCP, UDP, ICMP
– Portas TCP ou UDP origem
– Portas TCP ou UDP destino
– Tipo de mensagem ICMP
12
Filtro de Pacotes
Internet
Router
(3)
Rede
Interna
Roteador com
Filtro de Pacotes
13
Filtro de Pacotes
(4)

Filtragem por adapatador de rede –
vantagem ao administrador

Principais problemas do filtro:
– IP Spoofing
– Serviço troca de porta

Filtros de pacotes não tratam
protocolos da camada de aplicação
14
Filtro de Pacotes
(5)

Filtragem = atraso no roteamento

Filtros com Inspeção com Estado
– Utilizam as flags do TCP (ACK, SYN, FIN)
– Vantagens: maior controle

Filtros de pacotes não são uma solução
única – é um complemento
15
Filtro de Pacotes

(5)
Exemplos de regras do IP Filter:
block in log on tun0 proto tcp from any to
any
pass in quick on eth0 proto tcp from any to
200.28.33.22 port 23 flags S keep state
keep frags
16
Servidores Proxy

Assumem requisições de usuários de
uma rede

Atuam em nome do cliente de uma
forma transparente

Não permitem que pacotes passem
diretamente entre cliente e servidor
17
Servidores Proxy(2)

Ilustração do funcionamento
18
Servidores Proxy(3)

Métodos de utilização:
– Método da Conexão Direta;
– Método do Cliente Modificado;
– Método do Proxy Invisível.
19
Servidores Proxy(4)

Vantagens de utilização do proxy:
– Permite ao usuário acesso direto aos
serviços na Internet;
– Possui bons mecanismos de log;
– Provê uma ótima separação entre as
redes.
20
Servidores Proxy(5)

Desvantagens do proxy:
– Cada serviço possui o seu servidor
proxy;
– Deve ser desenvolvida uma nova
aplicação para cada novo serviço;
– Existem alguns serviços inviáveis.
21
Servidores Proxy X
Filtro de Pacotes

Tomada de decisões:
– Servidor proxy toma decisões
baseado em informações fornecidas
pelo serviço;
– Filtro de pacotes utiliza o cabeçalho
do pacote.
22
Servidores Proxy X
Filtro de Pacotes (2)

Desempenho:
– Filtro de pacotes possui uma vantagem por
estar em nível mais baixo.

Auditoria:
– Servidor proxy possui vantagem por
permitir auditoria sobre o controle do
tráfego.
23
Tipos Adicionais de
Firewalls

Existem dois outros tipos de firewalls
alternativos:
– Firewalls Híbridos;
– Firewalls Bastion Hosts.
24
Firewalls Hibrídos

A maioria dos firewalls podem ser
classificados como Filtro de Pacotes ou
Servidores Proxy

Outros tipos de firewalls oferecem uma
combinação entre estes dois
25
Firewalls Hibrídos(2)

Ilustração exemplo
26
Firewalls Bation Hosts

Hosts fortemente protegidos

Único computador da rede que pode
ser acessado pelo lado de fora do
firewall

Pode ser projetado para ser um
servidor Web, servidor FTP, dentre
outros
27
Firewalls Bation Hosts
(2)
 Ilustração :
28
Firewalls Bation Hosts
(2)
Honey Pot
 Chamariz
 Função
para crackers;
de coletar dados de
tentativas de invasão;
 Ferramentas
de registros de logs são
matidas o mais seguro possível.
29
Arquiteturas de FW

O que é uma arquitetura de Firewall ?

Principais:
– Screened host
– Screened subnet

Screened = proteger, peneirar,
investigar
30
Screened host

Sem sub-rede de proteção

Elementos = 1 roteador e 1 bation host

Rede protegida sem acesso direto ao
“mundo”

Bastion host realiza o papel de
procurador – só ele passa pelo roteador
31
Screened host
(2)
Ilustração desta arquitetura
32
Screened Subnet
Apresenta múltiplos níveis de
redundância
 É a mais segura
 Componentes:

– Roteador externo
– Subrede intermediária (DMZ)
– Bastion Host
– Roteador Interno
33
Screened Subnet

(2)
O que é a DMZ (De Militarized Zone)?
– Sub-rede entre a rede externa e a
protegida. Proporciona segurança.

Rede interna somente têm acesso ao
Bastion Host

Somente a subrede DMZ é conhecida
pela Internet
34
Screened Subnet

(3)
Ilustração desta arquitetura
35
Conclusão

Importante ferramenta na proteção

Firewall não deve ser o único
componente da política de segurança
Qual é a melhor solução de
projeto de firewall para
redes?
36
Bibliografia
–
a

Zwicky, E; Cooper, Simon
Contruindo
Firewalls
para
Internet. Editora O´Reilly, 2000.

Oliveira, W – Segurança da
Informação. Editora Visual Books,
2001
37
Links Úteis

Firewalls – UFRJ http://www.gta.ufrj.br/~jaime/trabalho
s/firewall/firewall.htm

Internet Firewalls – UFRGS http://penta.ufrgs.br/redes296/firewall
/fire.html
38
Perguntas
39