Subir Archivo

Download - Firewalls 2015

Transcript

  • Firewalls*

  • um dos principais, mais conhecidos e antigos componentes de seguranaContribui as vezes para uma falsa expectativa quanto a segurana da organizao. *

  • um ponto entre duas ou mais redes, onde circula todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados. um componente ou um conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre um conjuntos de redes.*

  • Firewall um sistema integrado, utilizado em redes de computadores para a sua proteo. Tal sistema composto por filtros de pacotes, filtros de estados, IDS, IPS, proxies etc. Assim sendo, errado, por exemplo, dizer que uma mquina rodando Iptables o firewall de uma rede. *

  • Podem ser definidos como barreiras interpostas entre a rede privada e a rede externa com a finalidade de evitar intrusos (ataques).So mecanismos (dispositivos) de segurana que protegem os recursos de hardware e software da empresa dos perigos (ameaas) aos quais o sistema est exposto. *

  • Um Firewall tambm pode ser utilizado para separar as LANs dentro de uma mesma organizao.Um Firewall implementado com base na poltica de segurana (o que proteger????).*

  • *

  • Quando se est construindo um firewall, a primeira coisa com que se preocupar com o que proteger. Dados Confidencialidade;Integridade; eDisponibilidade.Recursos Evitar danos lgicos aos equipamentos;Evitar a utilizao dos recursos da empresa (roubo de CPU);A reputao da empresa - fundamental para o negcio da empresa. *

  • Para que serve??Restringe o acesso de usurios externos a rede interna. A verificao realizada cuidadosamente, via um ponto de controle;Previne contra ataques; eRestringe que usurios internos da rede tenham acesso a Internet e sites no autorizados.*

  • *

  • Funcionalidades dos FirewallsBsicasFiltro de pacotesProxiesZonas Desmilitarizadas (DMZ)EstendidasNATRede Privada Virtual VPNAutenticao / Certificao*

  • Roteiam pacotes entre mquinas internas e externas de forma seletiva. As regras de filtragem baseiam-se na poltica de segurana. Acarreta num overhead no sistema.Toma decises baseado nos cabealhos das camadas 3 e 4 e na tabela de estados das conexes. *O FW tambm faz

  • Age como um gateway entre duas redes;Pode trabalhar na camada de aplicao, recebendo de clientes as requisies de servios Internet (HTTP, FTP, etc), analisando-as e redirecionando estas requisies; eSubstitui as conexes diretas entre clientes e servidores (mascaramento do cliente e de sua rede). *

  • Perimeter network DMZ (De-Militarized Zone) a rede colocada entre a rede protegida e a rede externa;Possui o objetivo de acrescentar uma camada de segurana. *

  • *

    Cloud

    Terminal

  • Screened subnets independentes - apropriada em redes com uma forte necessidade de redundncia*

  • Firewalls Internos - proteger as partes da rede interna de outras partes *

  • NAT

    Admite que uma rede utilize um conjunto de endereos internos e um conjunto diferente de endereos quando negociando com redes externas. *

  • Quando uma mquina da rede interna envia um pacote para fora da rede, o NAT modifica o seu endereo de origem, de forma que o pacote parea ter vindo de um endereo vlido para a internet. Quando uma mquina externa envia um pacote para dentro da rede, o NAT modifica o endereo de destino, visvel externamente, em um endereo interno.*

  • *

  • Vantagens de se utilizar o NAT:Ajuda a melhorar o controle do firewall sobre as coneces externas.Ajuda a restringir o trfego que chega na rede, proveniente da rede externa.Ajuda a ocultar a configurao da rede interna.

    Desvantagens de se utilizar o NAT:Pode interferir com sistemas de criptografia e autenticao.*

  • Alguns tipos de NAT1:1 - aloca um endereo externo para cada endereo interno.1:N - alocar de forma dinmica um endereo externo a cada vez que uma mquina interna inicia uma conexo, sem modificar o nmero das portas. N:1 - Criar um mapeamento entre os endereos internos e os endereos externos. *

  • Tecnologias de Firewalls*

  • Filtro de Pacotes;Filtro de Pacotes com Estado;Servidores Proxy.Next Generation Firewall (NGFW)*

  • Os firewalls trabalham com duas tecnologias quanto ao contexto de seus dispositivos:Filtro de pacotesFiltro com base no estado de conexo. *

  • Filtro de Pacotes O filtro de pacotes realiza um controle efetivo do fluxo de dados de um segmento de rede, habilitando ou no o bloqueio de pacotes com base em regras especificadas via: Endereos IPProtocolos (portas)Tratamento do incio da conexo (tcp syn).*

  • A figura abaixo posiciona o filtro de pacotes no contexto do modelo OSI.*

  • Filtrar = peneirar, separarFunciona na camada de rede e de transporteControle do trfego que entra e saiTransparente aos usuriosAs regras so estticas - static packet filterAs regras dos filtros contm:Endereo IP de origemEndereo IP de destinoProtocolos TCP, UDP, ICMPPortas TCP ou UDP origemPortas TCP ou UDP destinoTipo de mensagem ICMP*

  • Filtragem por adaptador de rede vantagem ao administrador.Principais problemas do filtro:IP Spoofing (no distingue pacotes verdadeiros ou falsificados)Servio troca de portaFiltros de pacotes no tratam payload da camada de aplicao*

  • Filtragem = atraso no roteamento.Problemas com os pacotes fragmentados anlise apenas do primeiro pode trazer problemas.No oferece autenticao do usurio.*

  • Regra esttica e brecha Soluo: filtro de pacotes baseado em estados*

    RegraEnd. de Origem: Porta de OrigemEnd. de Destino: Porta de DestinoAo1IP da rede interna: porta altaQualquer endereo: 80Permitir2Qualquer endereo:80IP da rede Interna: porta altaPermitir3Qualquer endereo: qualquer portaQualquer endereo: qualquer portaNegar

  • Os filtros de pacotes simples tambm so chamados de

    STATELESS FIREWALL.Eles tratam cada pacote de forma isoladaEles no guardam o estado da conexo e no sabem se o pacote faz parte de uma conexo feita anteriormente.*

  • Filtro de Pacotes Sem EstadoAlta vazoBaixo OverheadAbre brechas permanentes no permetro da redeNo oferece autenticao

    *

  • Filtro de Pacote Baseado em Estados

    Realiza as mesmas funcionalidades do filtro de pacotes, mas tambm pode manter o estado das conexes por meio de mquinas de estado. Este tipo de firewall tambm possibilita o bloqueio de varreduras, controle efetivo de fluxo de dados e tratamento do cabealho TCP e verificar os campos do datagrama com o objetivo de verificar possveis ataques. *

  • Tambm so chamados de filtro de pacotes dinmicos.Tomam decises tendo como referncia dois elementos:As informaes dos cabealhosUma tabela de estados, que guarda o estado de todas as conexes*

  • *

  • O firewall verifica somente o primeiro pacote de cada conexo, de acordo com as regras de filtragemA tabela de conexes ganha uma nova entrada quando o pacote inicial aceito, e os demais pacotes so filtrados utilizando-se as informaes da tabela de estados.O estado das conexes monitorado a todo instante.Isso permite que a ao do firewall seja definida de acordo com o estado de conexes anteriores mantidas em sua tabela de estados.

    *

  • Armazenar em memria vrios atributos de uma conexo: endereamento IP, portas envolvidas, nmeros de seqncia, entre outros.Usa-se mais CPU para avaliar o primeiro segmento. Os demais so rapidamente processados.O filtro de pacotes ir se perguntar:Este pacote pertence a uma conexo pr-estabelecida?O filtro de pacotes no guarda as informaes sobre a conexo para sempre (ela tem um fim)Normal ou por timeout

    *

  • Por que um filtro com estado protege contra ataques DoS do tipo SYN Flooding?*

  • Funcionamento do Filtro de Pacote Baseado em EstadosQuando um cliente inicia a conexo TCP usando um pacote SYN, ele comparado com as regras do firewall, na ordem seqencial da tabela de regrasSe o pacote for aceito, a sesso inserida na tabela de estados do firewall, que est na memria principalPara os demais pacotes, se a sesso estiver na tabela e o pacote fizer parte dessa sesso, ele ser aceitoSe os pacotes no forem incio de conexo e no houver uma sesso correspondente, eles sero descartados*

  • O desempenho do sistema melhora, pois apenas os pacotes SYN so comparados com a tabela de regras do filtro de pacotes, e os pacotes restantes so comparados com a tabela de estados (torna o processo mais rpido)Na verdade, a tabela de regras tambm fica na memria. Mas ento, por que o desempenho melhora ?Resposta: o conjunto de regras do filtro de pacotes com estado menor quando comparado aos filtros tradicionais; a busca na tabela de estados no seqencial (funciona por meio de indexao hash)

    *

  • Filtro de Pacote Baseado em Estados*

    RegraEnd. de Origem: Porta de OrigemEnd. de Destino: Porta de DestinoAo1IP da rede interna: porta altaQualquer endereo: 80Permitir2Qualquer endereo: qualquer portaQualquer endereo: qualquer portaNegar

  • Duas coisas podem acontecer com o pacote que no incio de conexo: verificado se existe uma sesso prvia que permite o pacote (tabela de estados). Se no existir, bloqueia totalSe no existir uma sesso prvia, passa a comparar o pacote com as regras do firewall*

  • Filtragem de datagramas UDP: O UDP no utiliza o conceito de conexoNo faz distino entre uma requisio e uma respostaO filtro de pacotes com estado armazena dados de contexto de uma comunicao UDP. Assim, ele pode manter uma conexo virtual e, quando um pacote entrar na rede, ele verificado de acordo com a tabela de estados*

  • *

  • Next Generation Firewall - NGFW*

  • *Firewalls de prxima gerao j existem h vrios anos.Caso em questo: o trfego da Internet de todas as formas e tamanhos atravessa a porta 80. Ou seja, a porta 80 deve permanecer aberta. Ento, a porta 80 se torna a sua estrada de malwares privada. E cdigos maliciosos podem ter acesso.Next Generation FireWalls (NGFW) so Firewalls concebidos para filtrar pacotes com base em aplicativos. Para continuar a minha analogia, os caminhes carregados com cdigos maliciosos no pode dirigir para a direita aps o ponto de controlo, mais nada.

  • *Outras caractersticas incorporadas em NGFWs:

    Impor regulamentos da empresa: NGFWs so capazes de controlar o acesso do usurio a sites e aplicativos online, conforme necessrio.Proxy SSL: NGFWs so capazes de decifrar, inspecionar e re-estabelecer a conexo SSL criptografada. Isso elimina a encriptao como um mtodo de esconder malware.IDS / IPS: NGFWs incorporaram profunda de pacotes de inspeo para o ponto onde ficar sozinho IDS / IPS dispositivos no so necessrios.O Active Directory amigvel: Muitos NGFWs so capazes de autorizar o uso do aplicativo com base em perfis ou grupos de usurios individuais.Filtragem de Malware: NGFWs fornecer assinatura e filtragem baseada em reputao para bloquear aplicativos maliciosos que tm uma m reputao.

  • *

  • Servidores Proxy *Assumem as requisies dos usurios de uma rede.Atuam em nome do cliente como um procurador (agem como um gateway).No permitem que pacotes passem diretamente entre cliente e servidor.Possibilita o mascaramento do cliente e de sua rede, porque o servidor Internet no estabelecer a conexo direta com o cliente e sim com o proxy.Podem registrar o trfego (estatsticas).

  • Os proxies, alm de torna a rede mais segura, pode tambm torn-la com maior desempenho (uso de cache de informaes - caso mltiplas mquinas solicitem o mesmo dado, este poder estar disponvel no proxy, reduzindo o trfego na rede em virtude da reduo do nmero de coneces solicitadas. *

  • *

  • Pode filtrar o payload dos pacotesOs proxies podem atuar:Na camada de sesso ou de transporte (circuit level gateway)Na camada de aplicao (application level gateway)*

  • *

  • Mtodos de utilizao:Mtodo da Conexo Direta (usurio se conecta ao proxy);Mtodo de proxy de autenticao;Mtodo do Proxy Invisvel (transparente).*

  • Vantagens de utilizao do proxy:No permite a conexo direta entre hosts internos e hosts externos;Aceita a autenticao de usurio;Pode verificar o payload da camada 7;Permite criar logs de trfego e atividades especficas.*

  • Desvantagens do proxy:Cada servio pode possuir o seu servidor proxy; Existem alguns servios inviveis (VoIP); mais lento que os filtros de pacotes.*

  • Iluso do UsurioHTTP Proxywww.site.com*

  • Exemplo de uma requisio HTTP sem proxy:O cliente realiza a requisio HTTP.O servidor faz uso somente do path e a "poro chave" da URL requisitada.O tipo do protocolo "http:" e o nome do servidor so claros para o servidor HTTP remoto. O path requisitado especifica um documento no sistema de arquivos local do servidor; ou ainda algum outro recurso disponvel daquele servidor. Requisio do usurio:http://www.teste.com.br/segura/firewall/proxy.html *

  • O browser converte para: GET / segura/firewall/proxy.html*

  • Exemplo de uma requisio HTTP com proxy: O cliente realiza a requisio HTTP com proxy.O cliente especifica toda a URL para o proxy, Com isso, o proxy possui todas as informaes necessrias para realizar a requisio ao servidor remoto especificado na URL. Requisio do usurio:http://www.teste.com.br/segura/firewall/proxy.html O browser converte para: GET http://www.teste.com.br/segura/firewall/proxy.htmlO browser se conecta ao servidor.*

  • O proxy realiza a conexo com o servidor Internet, convertendo a requisio para:GET / segura/firewall/proxy.html *

    cliente

    servidorHTTP

    GET / segura/firewall/proxy.html

    documento

    Requisio com Proxy

    ServidorProxy

    documento

    GET http://mycompany.com/information/ProxyDetails.html

  • Firewalls Hbridos*Misturam os elementos das tecnologias apresentadas anteriormente.Proteo dos proxies para servios que exigem alto grau de segurana.Filtro de pacotes (com/sem estado) para servios em que o desempenho o mais importante.A maioria dos firewalls comerciais hbrida.

  • *

  • Firewalls AdaptativosUsa diferentes tecnologias simultaneamenteRepresenta uma maior seguranaPode utilizar dois mecanismos de segurana diferentes para a filtragem de um mesmo protocolo (ex: FTP a conexo de controle verificada pelo proxy e a conexo de dados verificada pelo filtro de pacotes com estado)*

  • Firewalls ReativosIntegrao com IDS e sistema de respostas sistema de deteco de intrusoA segurana torna-se mais ativa do que passivaMuda sua configurao de modo dinmico

    *

  • Firewalls Individuais ou PessoaisProteo de hosts individuaisNO atua na borda da rede, mas no prprio equipamento do usurioPode criar muitos logsSoftware que filtra o trfego que entra ou sai de um computador ou estaoEle faz oposio ao firewall de rede, que normalmente um dispositivo dedicado posicionado na borda da rede

    *

  • Firewall AppliancesJuniper NetworksCisco PIX, ASACheck Point FirewallAker*

    ************************************


Top Related

Segurança de RedeProf. João Bosco M. Sobral1 Firewalls A Primeira Linha de Defesa Como montar uma estrutura de firewall que impeça invasões
Segurança de RedeProf. João Bosco M. Sobral1 Firewalls A Primeira Linha de Defesa Como montar uma estrutura de firewall que impeça invasões
CADERNO DE TESTES Solução de Segurança de Rede-Firewalls
CADERNO DE TESTES Solução de Segurança de Rede-Firewalls
Metodologia 03 Firewalls
Metodologia 03 Firewalls
Firewalls NAT Proxy
Firewalls NAT Proxy
Firewalls Opensource
Firewalls Opensource
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
Firewalls usando Linux. 1 IPChainsIPChains Sucessor do ipfwadmSucessor do ipfwadm Presente no Linux a partir do kernel 2.1.102Presente no Linux a partir
Firewalls usando Linux. 1 IPChainsIPChains Sucessor do ipfwadmSucessor do ipfwadm Presente no Linux a partir do kernel 2.1.102Presente no Linux a partir
IpFilter SSéérriiee FFiirreewwaallllsscbpfindex.cbpf.br/publication_pdfs/nt00703.2010_10_04_16_00_30.pdf · IpFilter – Série Firewalls CBPF-NT-007/03 CAT – Informática 1 Prefácio
IpFilter SSéérriiee FFiirreewwaallllsscbpfindex.cbpf.br/publication_pdfs/nt00703.2010_10_04_16_00_30.pdf · IpFilter – Série Firewalls CBPF-NT-007/03 CAT – Informática 1 Prefácio