firewall professor: joão paulo de brito gonçalves disciplina: serviços de redes campus cachoeiro...
TRANSCRIPT
Firewall
Professor: João Paulo de Brito GonçalvesDisciplina: Serviços de Redes
Campus CachoeiroCurso Técnico em InformáticaCampus CachoeiroCurso Técnico em Informática
Por que do nome firewall ?Antigamente, quando as casas eram feitas de
madeira o fogo era um grande problema, pois se alastrava facilmente de uma casa para outra. Para evitar isso eram construídos muros de pedra entre as casas. A esses muros foi dado o nome de firewall
“Isolar o fogo que existe na Internet para que não se
alastre para sua rede privada”
Firewall (definições)
ConexãoSegura
Infraestrutura de rede
Proteção de Redes: Firewall
Firewall - Introdução
DefiniçãoDispositivo que conecta redes (interna e/ou externa com Dispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso).vários níveis de direito de acesso).
Implementa e garante política de segurança entre as Implementa e garante política de segurança entre as redes conectadas.redes conectadas.
Internet
Intranet
Segmento de Segmento de Acesso PúblicoAcesso Público
Corporação
Firewall
Sistemas confiáveis que são colocados entre Sistemas confiáveis que são colocados entre duas redes;duas redes;
Política de Segurança define o que passa;Política de Segurança define o que passa;
Rede interna é confiável (blue net), nem sempre;Rede interna é confiável (blue net), nem sempre;
Rede externa é não-confiável (red net).Rede externa é não-confiável (red net).
Infraestrutura de rede
Firewall - Conceitos
Quando você conecta sua rede à Internet, é de crítica Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local é colocar um Sistema de Firewall entre sua rede local e a Internet.e a Internet.
Internet
Intranet
Segmento de Segmento de Acesso PúblicoAcesso Público
Corporação
Firewall
Firewall -Introdução
Proteção de redes - Firewall
1)1) Não protege contra usuários autorizados Não protege contra usuários autorizados maliciosos;maliciosos;
2) Não pode proteger contra conexões que não 2) Não pode proteger contra conexões que não passam através dele;passam através dele;
3) Não fornece 100% de proteção contra todos os 3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo). THREATS (ataques embutidos no protocolo).
Firewall -Introdução
Saiba o que um Firewall não faz:
Um Firewall pode administrar a política de Um Firewall pode administrar a política de segurança para usuários da rede:segurança para usuários da rede:- Define quem ou o que pode cruzar as - Define quem ou o que pode cruzar as fronteiras entre redes;fronteiras entre redes;- Define uma maneira padrão de - Define uma maneira padrão de identificação de usuários.identificação de usuários.
Um Firewall pode manter “logs”:Um Firewall pode manter “logs”:- Logs de passagem;- Logs de passagem;- Logs de ataques;- Logs de ataques;- Alertar o administrador.- Alertar o administrador.
Infraestrutura de rede
O que um firewall pode fazer?
Roteador
O que proteger ?
As regras de filtragem de um Firewall estão baseadas nas políticas de seguranças da organização
Para o desenvolvimento dessa política deverá ponderar dois fatores Nível de proteção X Usabilidade
Deixar o nível de proteção o mais alto possível, porém sem deixar que partes importantes do sistema fiquem inoperantes
Bloquear tudo a princípio e ir liberando os serviços necessários para a organização ou
O que não é expressamente proibido é permitido
Implementação Física
FIREWALL
ROTEADOR
REDE EXTERNA
REDE INTERNA
No software do Roteador
REDE EXTERNA
FIREWALL
ROTEADOR
REDE INTERNA
No software de uma estação dedicada (duas placas de rede)
Roteador
Filtragem de Pacotes
InternetInternet
Interface internaInterface interna
Interface externaInterface externa
O roteamento ou rejeição de pacotes é feito de acordocom a política de segurançada empresa.
Exemplos de Objetivos de Filtragem
BloquearBloquear todas as conexões que chegam de um sistema externo da rede interna, exceto exceto conexõesconexões HTTPHTTP.
LiberarLiberar conexões externas apenasapenas para uma máquina específica da rede (e.g. servidor servidor WebWeb).
SMTP
HTTP
TELNET
etc
HTTP
HTTP
PermitirPermitir aos usuários internos iniciarem conexões de TelnetTelnet com o meio externomeio externo, mas não o contrário
LiberarLiberar acesso Web a Internet apenasapenas para algumasalgumas máquinasmáquinas da rede interna.
TELNETTELNET
HTTP HTTP
TELNET
HTTP
Exemplos de Objetivos de Filtragem
Regras de filtragem
Regras de filtragem são baseadas em:Endereço IP de origemEndereço IP de destinoProtocolo (TCP, UDP ou ICMP)Porta TCP ou UDP de origemPorta TCP ou UDP de destino (que define uma
aplicação)A interface por onde os pacotes chegamA interface por onde os pacotes saem
Filtragem com Base nos Endereços IP
Os datagramas IP trazem no seu cabeçalho de controle o endereço IP de origem e IP de destino.
Baseado na análise desses endereços, os roteadores podem efetuar a proteção da rede através da filtragem de pacotes
Regras de filtragem podem ser estabelecidas para hosts específicos ou para redes inteiras.
ENDERECOENDERECODA REDEDA REDE
ENDERECO ENDERECO DO HOSTDO HOST
200.17.98.200.17.98. 7878
IP DESTINOIP DESTINO IP ORIGEMIP ORIGEM DADOSDADOS
Roteamento Seletivo
Roteador
Roteador
REDE 200.134.51.XREDE 200.134.51.X
Bloquear pacotes recebidos de uma rede diferente de 200.134.51.X
Bloquear pacotes destinados a uma rede diferente de 200.134.51.X
REDE 200.17.98.XREDE 200.17.98.X
Filtro
Roteador
Filtragem com base nas Portas TCP e UDP
As informações introduzidas no cabeçalho de controle dos protocolos TCP e UDP permitem identificar o tipo de serviço executado na Internet.Essa característica permite estabelecer regras
diferenciadas para cada tipo de aplicação executada na Internet, ou numa Intranet.
Por exemplo, é possível estabelecer regras de segurança que se aplique somente ao serviço de ftp ou somente ao serviço de telnet.PORTA DE DESTINOPORTA DE DESTINO PORTA DE ORIGEMPORTA DE ORIGEM
datagrama
DADOS
Portas bem Conhecidas
Portas Bem conhecidas (well known ports):
Função padronizada pela IANA (The Internet Assigned Numbers Authority)
Geralmente usada pelos servidores de serviços padronizados.
Portas livres: Usadas pelos clientes e
pelos serviços não padronizados
0
….
1023
1024
….
65535
PORTAS
TCP ou UDP
Exemplos de portas bem conhecidas
Porta 21
Cliente
FTP
Dadosarmazenados
programa servidor determinal remoto
Porta 23
Porta 25
Porta 80
programa servidor detransferência de arquivos
programa servidor de correioeletrônico
programa servidor dehipertexto e outros serviços
WWW
programa servidor de notíciasPorta 119
programa servidor deserviços chat
Porta 194
TELNET
SMTP
HTTP
NNTP
IRCportas livres
Porta 1024
Porta 65535
…
portas bemconhecidas
Regras de Filtragem
Recebe pacote
Bloquear Pacote
SIM
Encaminhar Pacote
SIM
Precisa para bloquear?
Não
Não
Última Regra?
NãoSIM
OK para encaminhar?
Analisa Cabeçalho
Exemplo
Geralmente, as regras são definidas Geralmente, as regras são definidas individualmente para cada interface.individualmente para cada interface.
Cada interface controla apenas os pacotes que Cada interface controla apenas os pacotes que entram no roteador.entram no roteador.
AÇÃOAÇÃO
permitirpermitir
permitirpermitir
bloquearbloquear
IP ORIGEMIP ORIGEM
**
200.134.51.*200.134.51.*
**
IP DESTINIP DESTINOO
200.200.134.51.*134.51.*
**
**
INTERFACEINTERFACE
1 (sair)1 (sair)
2 (entrar)2 (entrar)
**
INTERFACE 1INTERFACE 1 INTERFACE 2INTERFACE 2
Rede Externa Rede Externa Não -ConfiávelNão -Confiável
Rede Interna Rede Interna ConfiávelConfiável
Exemplo
Ação
permitir
permitir
negar
ProtocoloProtocolo
tcptcp
tcptcp
**
IP OrigemIP Origem
internointerno
**
**
Porta OrigemPorta Origem
> 1023> 1023
2323
**
IP DestinoIP Destino
**
internointerno
**
Porta DestinoPorta Destino
2323
> 1023> 1023
**
Interpretação:Interpretação:Hosts Internos podem acessar Hosts Internos podem acessar
servidores de telnet internos ou servidores de telnet internos ou externos.externos.
Hosts externos podem apenas Hosts externos podem apenas responder a requisições, não podem responder a requisições, não podem iniciar um diálogo (estabelecer uma iniciar um diálogo (estabelecer uma conexão).conexão).
DireçãoDireção
SairSair
EntrarEntrar
**
Exemplo
Interpretação:Interpretação: Hosts Internos podem acessar servidores de Hosts Internos podem acessar servidores de
telnet internos ou externos.telnet internos ou externos. Hosts externos podem acessar servidores de Hosts externos podem acessar servidores de
web internos.web internos.
AçãoAção
permitirpermitir
permitirpermitir
permitirpermitir
permitirpermitir
negarnegar
ProtocoloProtocolo
tcptcp
tcptcp
tcptcp
tcptcp
**
IP OrigemIP Origem
internointerno
**
**
internointerno
**
Porta OrigemPorta Origem
> 1023> 1023
2323
> 1023> 1023
8080
**
IP DestinoIP Destino
**
internointerno
internointerno
**
**
Porta DestinoPorta Destino
2323
> 1023> 1023
8080
> 1023> 1023
**
DireçãoDireção
OutOut
InIn
InIn
OutOut
**
Seqüência de Criação de Regras
A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança (são escritas de cima para baixo). Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista.
AçãoAção
permitirpermitir
permitirpermitir
permitirpermitir
permitirpermitir
negarnegar
ProtocoloProtocolo
tcptcp
tcptcp
tcptcp
tcptcp
**
IP OrigemIP Origem
internointerno
**
**
internointerno
**
Porta OrigemPorta Origem
> 1023> 1023
2323
> 1023> 1023
2323
**
IP DestinoIP Destino
**
internointerno
internointerno
**
**
Porta DestinoPorta Destino
2323
> 1023> 1023
2323
> 1023> 1023
**
ACKACK
**
11
**
11
**
DireçãoDireção
OutOut
InIn
InIn
OutOut
**
O deslocamento de uma regra genérica para cima anula as demais.O deslocamento de uma regra genérica para cima anula as demais.
Firewall Pessoal
Software utilizado para proteger um computador contra acessos não autorizados
Tipo específico de firewall Se bem configurado:
Pode barrar o acesso a backdoorsAlguns podem analisar continuamente o conteúdo
das conexõesFiltrando cavalos de tróia e vírus de email
Pacotes de firewall que funcionam em conjunto com os anti-vírus
Razões para considerar o uso:Possibilidade de configurar o tráfego de entrada e
saídaPode especificar quais aplicativos terão acesso à
rede
Problemas:Regras podem ser complexas Escalabilidade pode ser um problema
Firewalls de mercado
Melhores práticas para clientes firewall
Todo o tráfego deve passar pelo firewall
Uso eficaz de FirewallA simples instalação de um firewall não garante
que sua rede esteja segura contra invasoresNão pode ser a sua única linha de defesaProtegem apenas contra ataques externos ao
firewall