Centro Universidade Anhanguera de Campo Grande – Unidade 1

Superint. CENTRO-OESTE

Tec. Em Redes de Computadores

Aula 04 – Ferramentas de

Proteção de Dispositivos – Parte

01

Firewall - Definição

• É um mecanismo de proteção que controla a passagem de pacotes

entre redes, tanto locais como externas.

• É um dispositivo que possui um conjunto de regras especificando que

tráfego ele permitirá ou negará.

• É um dispositivo que permite a comunicação entre redes, de acordo

com a política de segurança definida e que são utilizados quando há

uma necessidade de que redes com níveis de confiança variados se

comuniquem entre si.

2

Firewall - Definição

• Firewall pode ser definido como uma barreira de proteção, que controla

o tráfego de dados entre a LAN e a Internet;

• Seu objetivo é permitir somente a transmissão e a recepção de dados

autorizados.

• Existem firewalls baseados na combinação de hardware e software e

firewalls baseados somente em software. Este último é o tipo

recomendado ao uso doméstico e também é o mais comum.

3

Firewall – Política Padrão

• Existem dois tipos de modelo de acesso, ou política padrão, que

podem ser aplicados ao firewall:

• Tudo é permitido, exceto o que for expressamente proibido;

• Tudo é proibido, exceto o que for expressamente permitido.

4

O que os Firewalls não protegem

• Proteger a rede de usuários internos mal intencionados;

• Proteger a rede de ligações alheias à firewall;

• Proteger a rede de novas ameaças;

• Proteger a rede interna de vírus;

• Proteger de ataques de engenharia Social;

5

A História do Firewall

• Os sistemas firewall nasceram no final dos anos 80, com o intuito de

criar restrições de acesso entre as redes existentes naquela época;

• Em 1988, Robert T. Morris Jr. Criou um worm que se alastrou por todos

os sistemas existentes na época (Sistemas acadêmicos e

governamentais), provocando um caos em apenas um dia.

• Com o passar dos anos os firewalls foram evoluindo sendo

adicionadas novas funcionalidades de segurança, onde veremos

logo a seguir.

6

Evolução de um Firewall

7

FIREWALL - CLASSIFICAÇÃO

• Filtros de Pacotes;

• Stateful Firewall (Firewall de Estado de Sessão);

• Proxy Firewall ou Gateways de Aplicação;

• Firewall de Aplicação;

8

Filtros de Pacotes

• É um conjunto de regras que analisam e filtram pacotes enviados por

redes distintas de comunicação.

• O termo se popularizou a partir dos anos 90, época que surgiram as

primeiras implementações comerciais (ex: TIS, ipfw, Cisco Systems,

Checkpoint, NAI) baseadas na suíte de protocolos TCP/IP.

• Um filtro de pacotes pode elevar o nível de segurança de uma rede por

fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP, ou seja, nos

cabeçalhos do IP e dos protocolos da camada de transporte utilizados

(TCP, UDP, ICMP e outros).

9

Filtros de Pacotes

• Este tipo de firewall é implementado como um roteador que, ao realizar

suas funções de roteamento, verifica as seguintes informaçes dos

pacotes:

• Endereços IP de origem e de destino;

• Tipo de protocolo – TCP, UDP e ICMP;

• Portas de origem e de destino;

• Flags IP e TCP;

• Tipos de mensagens ICMP;

• Tamanho do pacote.

10

Filtros de Pacotes

• A principal desvantagem desse tipo de tecnologia para a

segurança reside na falta de controle de estado do pacote, o que

permite que agentes maliciosos possam produzir pacotes

simulados (com endereço IP falsificado, técnica conhecida como IP

Spoofing), fora de contexto ou ainda para serem injetados em uma

sessão válida.

• A principal vantagem dos filtros de pacotes é a sua eficiência ,

pois cada operação de filtragem estará restrita a verificar somente

informações básicas do cabeçalho do pacote.• É amplamente utilizado em roteadores como listas de controle

de acesso(ACLs).11

Firewall – Filtro de Estado das Conexões (Stateful)

• O firewall de filtro de estado tenta rastrear o estado das conexões de

rede enquanto filtra os pacotes.

• Suas capacidades são resultado do cruzamento das funções de um

filtro de pacotes com a inteligência adicional do protocolo.

• Este tipo de firewall examina predominantemente as

• informações das camadas IP e de transporte de um pacote que inicia

uma conexão.

• Se o pacote inspecionado combinar com a regra de firewall existente

que o permita, uma entrada é acrescentada em uma tabela de estados.

12

Firewall – Filtro de Estado das Conexões (Stateful) - Regras

• Todas do filtro de pacotes;

• Restringir o tráfego para início de conexões (NEW);

• Restringir o tráfego de pacotes que não tenham sido iniciados a partir

da rede protegida (ESTABLISHED);

• Restringir o tráfego de pacotes que não tenham número de sequência

corretos.

• Armazena o estado das conexões e filtra com base nesse estado. Três

estados para uma conexão: - NEW: Novas conexões;- -

ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões

relacionadas a outras existentes.

13

Firewall – Filtro de Estado das Conexões (Stateful)

• Vantagens:

• Alto desempenho da rede;

• Aceita quase todos os tipos serviços;

• Transparente para o usuário.

• Desvantagens:

• Permite a conexão direta para hosts internos de clientes externos;

• Não oferece autenticação de usuários.

14

Firewall – Proxy de Serviços

• Os conceitos de gateways de aplicação (application-level gateways) e

"bastion hosts" foram introduzidos por Marcus Ranum em 1995.

• Em geral, um proxy é algo ou alguém que faz algo em nome de outra

pessoa.

• Os serviços proxy são aplicativos ou servidores especializados que

recebem as solicitações dos usuários e as encaminha para os

respectivos servidores reais.

15

Firewall – Proxy de Serviços

16

Firewall – Proxy de Serviços

• Vantagens:

• Não permite conexões diretas entre hosts internos e hosts externos;

• Aceita autenticação do usuário;

• Analisa comandos da aplicação no payload dos pacotes de dados,

• ao contrário do filtro de pacotes.

• Desvantagens:

• Mais lento do que os filtros de pacotes (somente os gateways de

aplicação);

• Requer um proxy específico pra cada aplicação;

• Não trata pacotes ICMP;

• Não possui transparência.17

Topologias

• Screened Router

• Dual-Homed

• Screened Hosts

• Screened Subnet

18

Topologias: Screened Router

• É a arquitetura mais simples utilizada;

• caracteriza-se pela presença de um roteador de filtro de pacotes entre

a rede interna e a internet;

• Nessa arquitetura existe comunicação direta entre múltiplos servidores

internos e múltiplos servidores externos;

• A sua zona de risco é proporcional ao número de servidores na rede

interna e os tipos de serviço de tráfego permitidos pelo roteador;

• Para cada tipo de serviço permitido a zona de risco aumenta

consideravelmente;

• Controle de danos é igualmente difícil, já que o administrador da rede

teria que verificar cada servidor a procura de traços de invasão

regularmente;19

Screened Router

20

Topologias: Dual-Homed

• A arquitetura Dual-Homed é montada sobre um computador com o

mínimo duas interfaces de rede.

• Este computador age como um roteador entre as redes que estão

conectadas às suas placas de rede.

• Topologia muito vulnerável, pelo fato de haver somente um ponto de

falhas.

• A arquitetura Dual-Homed host é apropriada em firewall para um

sistema com as seguintes características:

• Pequeno Tráfego na internet;

• Tráfego pela internet não é crítico para a empresa;

• Não há serviços a prover aos usuários da internet;

• A rede protegida não contém dados de alto valor;21

Topologias: Dual-Homed

22

Topologias: Screened Hosts

• O Bastion Host está situado na rede interna.

• O filtro de pacotes do roteador é configurado de tal maneira que o

bastion host da rede interna por onde os hosts da rede

externa(internet) pode abrir conexões com a rede interna; assim

mesmo, somente alguns tipos de conexão são permitidas;

• Principal desvantagem: Os serviços públicos encontram-se colocados

nas redes internas protegidas.

23

Topologias: Screened Hosts

• A arquitetura Screened Host é apropriada para um firewall num sistema com as

seguintes características:

• Poucas conexões chegam pela internet.

• A rede internet deve ser relativamente bem protegida.

• Esta arquitetura não é recomendada para sistemas onde o Screened Host

seja um web server.

24

Topologias: Screened Hosts

25

Topologias: Screened Subnet

• O firewall é constituida por dois routers, um que liga a rede protegida a

uma DMZ e outro que liga a DMZ ao exterior.

• As principais vantagens são:

• Balanceamento de carga;

• Servidores públicos na DMZ;

• Baseia-se na criação de uma sub-rede;

A principal desvantagem é o pouco controle entre a atividade das

máquinas na DMZ.

Um invasor teria que passar por dois roteadores antes de atingir a rede

interna;

26

Topologias: Screened Subnet

27

DMZ – Demilitarized Zone

• DMZ – Fonte Wikipedia

• Em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona

desmilitarizada", em português. Também conhecida como Rede de

Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e

uma não confiável, geralmente entre a rede local e a Internet.

• A função de uma DMZ é manter todos os serviços que possuem acesso

externo (tais como servidores HTTP, FTP, de correio eletrônico, etc)

separados da rede local, limitando assim o potencial dano em caso de

comprometimento de algum destes serviços por um invasor. Para atingir este

objetivo os computadores presentes em uma DMZ não devem conter

nenhuma forma de acesso à rede local.

28

DMZ – Demilitarized Zone

• Objetivos:

• Evitar que a Internet acesse diretamente serviços

• Dentro de uma rede interna;

• Separar o tráfego de rede interno do externo;

• Ligação de uma rede interna com a Internet ou com

uma rede de outra organização.

29

Referências

• http://www.cefetrio.hpg.ig.com.br/ciencia_e_educacao/8/trabalhos/seguranca2/FIREWALL.HTM

• http://www.infowester.com/firewall.php• http://www.scarniel.com.br/arquivos/Sidimar_Carniel_Firewall.pdf• http://pt.wikipedia.org/wiki/Firewall• Guia Foca http://focalinux.cipsga.org.br/guia/avancado/ch-fw-

iptables.html• http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/

30