firewalls 2015

Download Firewalls 2015

Post on 14-Sep-2015

214 views

Category:

Documents

1 download

Embed Size (px)

DESCRIPTION

Apostila introdutória de firewalls

TRANSCRIPT

  • Firewalls*

  • um dos principais, mais conhecidos e antigos componentes de seguranaContribui as vezes para uma falsa expectativa quanto a segurana da organizao. *

  • um ponto entre duas ou mais redes, onde circula todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados. um componente ou um conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre um conjuntos de redes.*

  • Firewall um sistema integrado, utilizado em redes de computadores para a sua proteo. Tal sistema composto por filtros de pacotes, filtros de estados, IDS, IPS, proxies etc. Assim sendo, errado, por exemplo, dizer que uma mquina rodando Iptables o firewall de uma rede. *

  • Podem ser definidos como barreiras interpostas entre a rede privada e a rede externa com a finalidade de evitar intrusos (ataques).So mecanismos (dispositivos) de segurana que protegem os recursos de hardware e software da empresa dos perigos (ameaas) aos quais o sistema est exposto. *

  • Um Firewall tambm pode ser utilizado para separar as LANs dentro de uma mesma organizao.Um Firewall implementado com base na poltica de segurana (o que proteger????).*

  • *

  • Quando se est construindo um firewall, a primeira coisa com que se preocupar com o que proteger. Dados Confidencialidade;Integridade; eDisponibilidade.Recursos Evitar danos lgicos aos equipamentos;Evitar a utilizao dos recursos da empresa (roubo de CPU);A reputao da empresa - fundamental para o negcio da empresa. *

  • Para que serve??Restringe o acesso de usurios externos a rede interna. A verificao realizada cuidadosamente, via um ponto de controle;Previne contra ataques; eRestringe que usurios internos da rede tenham acesso a Internet e sites no autorizados.*

  • *

  • Funcionalidades dos FirewallsBsicasFiltro de pacotesProxiesZonas Desmilitarizadas (DMZ)EstendidasNATRede Privada Virtual VPNAutenticao / Certificao*

  • Roteiam pacotes entre mquinas internas e externas de forma seletiva. As regras de filtragem baseiam-se na poltica de segurana. Acarreta num overhead no sistema.Toma decises baseado nos cabealhos das camadas 3 e 4 e na tabela de estados das conexes. *O FW tambm faz

  • Age como um gateway entre duas redes;Pode trabalhar na camada de aplicao, recebendo de clientes as requisies de servios Internet (HTTP, FTP, etc), analisando-as e redirecionando estas requisies; eSubstitui as conexes diretas entre clientes e servidores (mascaramento do cliente e de sua rede). *

  • Perimeter network DMZ (De-Militarized Zone) a rede colocada entre a rede protegida e a rede externa;Possui o objetivo de acrescentar uma camada de segurana. *

  • *

    Cloud

    Terminal

  • Screened subnets independentes - apropriada em redes com uma forte necessidade de redundncia*

  • Firewalls Internos - proteger as partes da rede interna de outras partes *

  • NAT

    Admite que uma rede utilize um conjunto de endereos internos e um conjunto diferente de endereos quando negociando com redes externas. *

  • Quando uma mquina da rede interna envia um pacote para fora da rede, o NAT modifica o seu endereo de origem, de forma que o pacote parea ter vindo de um endereo vlido para a internet. Quando uma mquina externa envia um pacote para dentro da rede, o NAT modifica o endereo de destino, visvel externamente, em um endereo interno.*

  • *

  • Vantagens de se utilizar o NAT:Ajuda a melhorar o controle do firewall sobre as coneces externas.Ajuda a restringir o trfego que chega na rede, proveniente da rede externa.Ajuda a ocultar a configurao da rede interna.

    Desvantagens de se utilizar o NAT:Pode interferir com sistemas de criptografia e autenticao.*

  • Alguns tipos de NAT1:1 - aloca um endereo externo para cada endereo interno.1:N - alocar de forma dinmica um endereo externo a cada vez que uma mquina interna inicia uma conexo, sem modificar o nmero das portas. N:1 - Criar um mapeamento entre os endereos internos e os endereos externos. *

  • Tecnologias de Firewalls*

  • Filtro de Pacotes;Filtro de Pacotes com Estado;Servidores Proxy.Next Generation Firewall (NGFW)*

  • Os firewalls trabalham com duas tecnologias quanto ao contexto de seus dispositivos:Filtro de pacotesFiltro com base no estado de conexo. *

  • Filtro de Pacotes O filtro de pacotes realiza um controle efetivo do fluxo de dados de um segmento de rede, habilitando ou no o bloqueio de pacotes com base em regras especificadas via: Endereos IPProtocolos (portas)Tratamento do incio da conexo (tcp syn).*

  • A figura abaixo posiciona o filtro de pacotes no contexto do modelo OSI.*

  • Filtrar = peneirar, separarFunciona na camada de rede e de transporteControle do trfego que entra e saiTransparente aos usuriosAs regras so estticas - static packet filterAs regras dos filtros contm:Endereo IP de origemEndereo IP de destinoProtocolos TCP, UDP, ICMPPortas TCP ou UDP origemPortas TCP ou UDP destinoTipo de mensagem ICMP*

  • Filtragem por adaptador de rede vantagem ao administrador.Principais problemas do filtro:IP Spoofing (no distingue pacotes verdadeiros ou falsificados)Servio troca de portaFiltros de pacotes no tratam payload da camada de aplicao*

  • Filtragem = atraso no roteamento.Problemas com os pacotes fragmentados anlise apenas do primeiro pode trazer problemas.No oferece autenticao do usurio.*

  • Regra esttica e brecha Soluo: filtro de pacotes baseado em estados*

    RegraEnd. de Origem: Porta de OrigemEnd. de Destino: Porta de DestinoAo1IP da rede interna: porta altaQualquer endereo: 80Permitir2Qualquer endereo:80IP da rede Interna: porta altaPermitir3Qualquer endereo: qualquer portaQualquer endereo: qualquer portaNegar

  • Os filtros de pacotes simples tambm so chamados de

    STATELESS FIREWALL.Eles tratam cada pacote de forma isoladaEles no guardam o estado da conexo e no sabem se o pacote faz parte de uma conexo feita anteriormente.*

  • Filtro de Pacotes Sem EstadoAlta vazoBaixo OverheadAbre brechas permanentes no permetro da redeNo oferece autenticao

    *

  • Filtro de Pacote Baseado em Estados

    Realiza as mesmas funcionalidades do filtro de pacotes, mas tambm pode manter o estado das conexes por meio de mquinas de estado. Este tipo de firewall tambm possibilita o bloqueio de varreduras, controle efetivo de fluxo de dados e tratamento do cabealho TCP e verificar os campos do datagrama com o objetivo de verificar possveis ataques. *

  • Tambm so chamados de filtro de pacotes dinmicos.Tomam decises tendo como referncia dois elementos:As informaes dos cabealhosUma tabela de estados, que guarda o estado de todas as conexes*

  • *

  • O firewall verifica somente o primeiro pacote de cada conexo, de acordo com as regras de filtragemA tabela de conexes ganha uma nova entrada quando o pacote inicial aceito, e os demais pacotes so filtrados utilizando-se as informaes da tabela de estados.O estado das conexes monitorado a todo instante.Isso permite que a ao do firewall seja definida de acordo com o estado de conexes anteriores mantidas em sua tabela de estados.

    *

  • Armazenar em memria vrios atributos de uma conexo: endereamento IP, portas envolvidas, nmeros de seqncia, entre outros.Usa-se mais CPU para avaliar o primeiro segmento. Os demais so rapidamente processados.O filtro de pacotes ir se perguntar:Este pacote pertence a uma conexo pr-estabelecida?O filtro de pacotes no guarda as informaes sobre a conexo para sempre (ela tem um fim)Normal ou por timeout

    *

  • Por que um filtro com estado protege contra ataques DoS do tipo SYN Flooding?*

  • Funcionamento do Filtro de Pacote Baseado em EstadosQuando um cliente inicia a conexo TCP usando um pacote SYN, ele comparado com as regras do firewall, na ordem seqencial da tabela de regrasSe o pacote for aceito, a sesso inserida na tabela de estados do firewall, que est na memria principalPara os demais pacotes, se a sesso estiver na tabela e o pacote fizer parte dessa sesso, ele ser aceitoSe os pacotes no forem incio de conexo e no houver uma sesso correspondente, eles sero descartados*

  • O desempenho do sistema melhora, pois apenas os pacotes SYN so comparados com a tabela de regras do filtro de pacotes, e os pacotes restantes so comparados com a tabela de estados (torna o processo mais rpido)Na verdade, a tabela de regras tambm fica na memria. Mas ento, por que o desempenho melhora ?Resposta: o conjunto de regras do filtro de pacotes com estado menor quando comparado aos filtros tradicionais; a busca na tabela de estados no seqencial (funciona por meio de indexao hash)

    *

  • Filtro de Pacote Baseado em Estados*

    RegraEnd. de Origem: Porta de OrigemEnd. de Destino: Porta de DestinoAo1IP da rede interna: porta altaQualquer endereo: 80Permitir2Qualquer endereo: qualquer portaQualquer endereo: qualquer portaNegar

  • Duas coisas podem acontecer com o pacote que no incio de conexo: verificado se existe uma sesso prvia que permite o pacote (tabela de estados). Se no existir, bloqueia totalSe no existir uma sesso prvia, passa a comparar o pacote com as regras do firewall*

  • Filtragem de datagramas UDP: O UDP no utiliza o conceito de conexoNo faz distino entre uma requisio e uma respostaO filtro de pacotes com estado armazena dados de contexto de uma comunicao UDP. Assim, ele pode manter uma conexo virtual e, quando um pacote entrar na rede, ele verificado de acordo com a tabela de estados*

  • *

  • Next Generation Firewall - NGFW*

  • *Firewalls de prxima gera

Recommended

View more >