Prof. Celso Cardoso Neto
Roteiro
 Introdução
 Características do Firewall
 Tipo de Firewall
• Filtro de Pacotes
• Servidores Proxy
 Tipos avançados de Firewall
• Bastion Host
• Firewalls híbridos
2
Roteiro
(cont)
 Arquiteturas de Firewall
• Screened Host
• Screened Subnet
 Conclusão
3
INTRODUÇÃO
ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA
EMPRESA
INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE
REDE, FILTRANDO O QUE PODE PASSAR OU NÃO
FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR
INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS
PLACAS DE REDE
DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A
REDE É PRIVADA (SEGURA)
FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES
UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM
NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES:
RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)
ESQUEMA BÁSICO DE IMPLANTAÇÃO DE
UM “FIREWALL”
ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL
PROTEGENDO UMA REDE CONECTADA À INTERNET
ESQUEMA EMPREGANDO UM “FIREWALL”
E UM ROTEADOR PARA CONECTAR UMA
REDE À INTERNET
É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM
ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA
APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL
A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR
COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO
MUDOU.
A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO
EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA
DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES
UM HACKER QUE INVADISSE
UM SERVIDOR WEB NA REDE
INTERNA PODERIA CAUSAR
DANOS NA REDE DA
EMPRESA. ASSIM, SURGIU A
SOLUÇÃO AO LADO.
O SERVIDOR WEB FICA FORA
DA ZONA DE PROTEÇÃO DO
FIREWALL
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL, MAS
COM O SERVIDOR DE BD WEB DENTRO
A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO
IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA
REDE INTERNA.
NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM
GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A
QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES
DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA
A SOLUÇÃO APONTOU PARA
O ESQUEMA AO LADO,
COLOCANDO O BD NA REDE
INTERNA E ABRINDO UMA
REGRA NO FIREWALL
PERMITINDO QUE O
SERVIDOR WEB ACESSASSE
ESTE BD.
É SOLUÇÃO SEGURA ? NÃO.
QUAL A SOLUÇÃO PARA O PROBLEMA ?
É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁLO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A
SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ?
A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE
A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”)
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) - FALHA)
REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO
OS SERVIDORES WEB E DE BD
NO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO
SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.
O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE
INTERNA.
AGORA TUDO ESTAVA
PROTEGIDO, O ACESSO À
REDE INTERNA NEGADO,
MAS SE UM HACKER OBTÉM
ACESSO AO SERVIDOR WEB
TAMBÉM ACESSA O BD
QUEM DESEJA ACESSO À
REDE INTERNA SE JÁ TEM
ACESSO AO BD DE UM HOME
BANKING (POR EXEMPLO) ?
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) SOLUÇÃO PARA A FALHA)
OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ
INDICADA NA FIGURA
AGORA APENAS O
SERVIDOR WEB ESTÁ
NA DMZ.
O FIREWALL 2
(INTERNO) PERMITE
APENAS O ACESSO
NECESSÁRIO AO BD,
EVITANDO MUITAS DAS
ALTERAÇÕES QUE UM
ACESSO TOTAL À
MÁQUINA ONDE ESTÁ O
SERVIDOR PERMITIRIA
Objetivos
 Alto índice de ataques a redes
 Necessidade de controle de tráfego
 Garantir integridade aos serviços
 Alta demanda dos serviços da Internet
12
Firewall
 Definição de Firewall
 Funções do Firewall
 Estrutura de um Firewall
 Classificação básica
13
Firewall
Ilustração:
14
Princípios Básicos
 Toda solicitação chega ao Firewall
 Somente tráfego autorizado passa pelo
Firewall
 O próprio Firewall deve ser imune a
penetração
15
O que um Firewall
pode fazer?
 É um foco para a tomada de decisões
•
Pode ser usado como um ponto de partida
para a política de segurança
 Pode gravar requisições
 Limita a exposição da rede
16
O que um Firewall
não pode fazer?
 Proteger uma rede contra usuários
internos
 Proteger uma rede contra conexões que
não passam por ele
 Proteger contra ameaças completamente
novas
 Proteger contra vírus
17
Tipos de Firewall
 Existem dois principais tipos:
• Filtro de Pacotes;
• Servidores Proxy.
18
Filtro de Pacotes
 Filtrar = peneirar, separar
 Controle do tráfego que entra e sai
 Filtro de pacotes em Roteadores
 Incrementa a segurança
 Transparente aos usuários
 Grande variedade no mercado
19
Filtro de Pacotes
 As regras dos filtros se contém:
• Endereço IP de origem
• Endereço IP de destino
• Protocolos TCP, UDP, ICMP
• Portas TCP ou UDP origem
• Portas TCP ou UDP destino
• Tipo de mensagem ICMP
20
Filtro de Pacotes
Internet
Router
Rede
Interna
Roteador com
Filtro de Pacotes
21
Filtro de Pacotes

Filtragem por adapatador de rede –
vantagem ao administrador

Principais problemas do filtro:

•
IP Spoofing
•
Serviço troca de porta
Filtros de pacotes não tratam protocolos
da camada de aplicação
22
Filtro de Pacotes

Filtragem = atraso no roteamento

Filtros com Inspeção com Estado

•
Utilizam as flags do TCP (ACK, SYN, FIN)
•
Vantagens: maior controle
Filtros de pacotes não são uma solução
única – é um complemento
23
Filtro de Pacotes

•
Exemplos de regras do IP Filter:
block in log on tun0 proto tcp from any to
any
•
pass in quick on eth0 proto tcp from any to
200.28.33.22 port 23 flags S keep state
keep frags
24
Servidores Proxy

Assumem requisições de usuários de uma
rede

Atuam em nome do cliente de uma forma
transparente

Não permitem que pacotes passem
diretamente entre cliente e servidor
25
Servidores Proxy

Ilustração do funcionamento
26
Servidores Proxy

Métodos de utilização:
• Método da Conexão Direta;
• Método do Cliente Modificado;
• Método do Proxy Invisível.
27
Servidores Proxy

Vantagens de utilização do proxy:
• Permite ao usuário acesso direto aos
serviços na Internet;
• Possui bons mecanismos de log;
• Provê uma ótima separação entre as
redes.
28
Servidores Proxy

Desvantagens do proxy:
• Cada serviço possui o seu servidor proxy;
• Deve ser desenvolvida uma nova
aplicação para cada novo serviço;
• Existem alguns serviços inviáveis.
29
Servidores Proxy X
Filtro de Pacotes

Tomada de decisões:
• Servidor proxy toma decisões baseado
em informações fornecidas pelo serviço;
• Filtro de pacotes utiliza o cabeçalho do
pacote.
30
Servidores Proxy X
Filtro de Pacotes
Desempenho:

•
Filtro de pacotes possui uma vantagem por
estar em nível mais baixo.
Auditoria:

•
Servidor proxy possui vantagem por permitir
auditoria sobre o controle do tráfego.
31
Tipos Adicionais de
Firewalls

Existem dois outros tipos de firewalls
alternativos:
• Firewalls Híbridos;
• Firewalls Bastion Hosts.
32
Firewalls Hibrídos

A maioria dos firewalls podem ser
classificados como Filtro de Pacotes ou
Servidores Proxy

Outros tipos de firewalls oferecem uma
combinação entre estes dois
33
Firewalls Hibrídos

Ilustração exemplo
34
Firewalls Bation Hosts

Hosts fortemente protegidos

Único computador da rede que pode
ser acessado pelo lado de fora do
firewall

Pode ser projetado para ser um
servidor Web, servidor FTP, dentre
outros
35
Firewalls Bation Hosts
 Ilustração :
36
Firewalls Bation Hosts
Honey Pot
 Chamariz
 Função
para crackers;
de coletar dados de
tentativas de invasão;
 Ferramentas
de registros de logs são
mantidas o mais seguro possível.
37
Arquiteturas de FW

O que é uma arquitetura de Firewall ?

Principais:

•
Screened host
•
Screened subnet
Screened = proteger, peneirar, investigar
38
Screened host

Sem sub-rede de proteção

Elementos = 1 roteador e 1 bation host


Rede protegida sem acesso direto ao
“mundo”
Bastion host realiza o papel de procurador
– só ele passa pelo roteador
39
Screened host
• Ilustração desta arquitetura
40
Screened Subnet
 Apresenta múltiplos níveis de redundância
 É a mais segura
 Componentes:
•
•
•
•
Roteador externo
Subrede intermediária (DMZ)
Bastion Host
Roteador Interno
41
Screened Subnet
 O que é a DMZ (De Militarized Zone)?
• Sub-rede entre a rede externa e a protegida.
Proporciona segurança.
 Rede interna somente têm acesso ao
Bastion Host
 Somente a subrede DMZ é conhecida pela
Internet
42
Screened Subnet
 Ilustração desta arquitetura
43
Conclusão

Importante ferramenta na proteção

Firewall não deve ser o único componente
da política de segurança
Qual é a melhor solução de
projeto de firewall para
redes?
44
Links Úteis

Firewalls – UFRJ http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm

Internet Firewalls – UFRGS http://penta.ufrgs.br/redes296/firewall/fire.html
45
Perguntas
46
Download

08 firewall - Celso Cardoso Neto