firewalls pdf

Download Firewalls PDF

Post on 19-Jun-2015

281 views

Category:

Documents

2 download

Embed Size (px)

TRANSCRIPT

Implantao de Firewalls: Implantao de Firewalls: Teoria e Prtica Teoria e PrticaVincius Serafim serafim@inf.ufrgs.br

Programao Programao

1. 2.

O que um Firewall? Tecnologias Arquiteturas Implementao Firewalls usando Linux Burlando um firewall Aulas prticas

1

GSeg UFRGS

O que um Firewall? O que um Firewall?Vincius Serafim serafim@inf.ufrgs.br

Tpicos Tpicos Introduo O que um Firewall? O que um Firewall pode fazer? O que um Firewall NO pode fazer? Problemas com Firewalls Pr-requisitos para seguirmos adiante Objetos tratados pelo Firewall

3

GSeg UFRGS

Introduo Introduo Host Security varia de acordo com cada plataforma de SO varia de acordo com o papel do host indicada apenas para pequenos sites

Network Security pode proteger dezenas e at centenas de mquinas, ... evita inmeros ataques independente da plataforma dos hosts controle de pontos de acesso

FirewallGSeg UFRGS

4

O que um Firewall? O que um Firewall?

FirewallGSeg UFRGS

5

O que um Firewall? O que um Firewall? Mecanismo bastante efetivo para segurana de rede Ponto de controle controla entrada e sada de trfego mantm os atacantes longe das defesas internas

Implementado de acordo com a poltica de segurana Barreira adicional de segurana No 100% seguro e efetivo implementao configurao usurios internos6

GSeg UFRGS

O que um Firewall pode fazer? O que um Firewall pode fazer?

Foco para decises referentes segurana Aplicar a Poltica de Segurana Registrar eficientemente as atividades da rede Limitar a exposio da rede interna

7

GSeg UFRGS

O que um Firewall NO pode fazer? O que um Firewall NO pode fazer? Evitar a ao maliciosa de usurios internos levar/trazer dados usando disquetes e outras mdias

Proteger a rede de pacotes que no passam por ele modems em mquinas internas outros links

F8

GSeg UFRGS

O que um Firewall NO pode fazer? O que um Firewall NO pode fazer? Proteger contra ameaas completamente novas No fornecem boa proteo contra vrus tarefa complicada muitos formatos existentes de arquivos executveis muitas maneiras de transmitir um desses arquivos

melhor proteo utilizar um antivrus em cada mquina

Auto-configurao (no plug & play) qualquer firewall exige algum nvel de configurao

9

GSeg UFRGS

Problemas com Firewalls Problemas com Firewalls Interferem no funcionamento da internet internet baseada em comunicao fim-a-fim muitos detalhes da comunicao so ocultados dificultam a implantao de novos servios normalmente os usurios no gostam e at se revoltam

Firewalls NO resolvem o problema da segurana outros mecanismos precisam ser utilizados (ex.: host security)

10

GSeg UFRGS

Pr-requisitos para seguirmos adiante Pr-requisitos para seguirmos adiante Saber o que um pacote e um protocolo endereamentos (mscaras de rede) portas caractersticas de funcionamento

Conhecer as camadas da pilha TCP/IP aplicao transporte rede fsico

11

GSeg UFRGS

Objetos tratados pelo Firewall Objetos tratados pelo Firewall A unidade bsica e essencial o Trata protocolo do nvel de rede inspeciona: endereos e possivelmente os flags

PACOTE

suportam IP outros protocolos no so normalmente suportados (ex.: Apple Talk, IPX)

12

GSeg UFRGS

Objetos tratados pelo Firewall Objetos tratados pelo Firewall Pode tratar protocolos do nvel de transporte (portas) TCP UDP

Pode tratar protocolos auxiliares ICMP ARP

Pode tratar protocolos do nvel de aplicao HTTP SMTP FTP13

GSeg UFRGS

Tecnologias TecnologiasVincius Serafim serafim@inf.ufrgs.br

Tpicos Tpicos

Filtragem de Pacotes Proxy Services Network Address Translation (NAT) Virtual Private Network (VPN) ?

15

GSeg UFRGS

Filtragem de Pacotes Filtragem de Pacotes caso o pacote no seja permitido, ele destrudo caso seja permitido, ele roteado para o destino endereos origem/destino protocolo (TCP, UDP, ICMP) porta origem/destino tamanho do pacote tipo de mensagem ICMP

Alm das informaes contidas nos pacotes o filtro sabe em que interface o pacote chegou e para qual interface deve ir.

16

GSeg UFRGS

Filtragem de Pacotes Filtragem de Pacotes

Aes tomadas depois de um pacote ser verificado Encaminhar o pacote para o destino (Allow) Eliminar o pacote (Drop, Deny) Rejeitar o pacote, enviando um erro para o emissor do pacote (Reject) Registrar os dados do pacote (Log) inmeras outras

17

GSeg UFRGS

Filtragem de Pacotes Filtragem de Pacotes Stateless Packet Inspection cada pacote analisado isoladamente, sem nenhum tipo de correlao com outros pacotes mais comumente implementado

Stateful Packet Inspection o filtro leva em conta o histrico da conexo bem mais eficiente exige manter lista de conexes vem se tornando um padro

18

GSeg UFRGS

Filtragem de Pacotes Filtragem de Pacotes

Exemplo de regras de filtragemAllow Allow Allow Allow Drop prot tcp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 23 prot tcp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 110 prot tcp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 25 prot udp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 53 prot any src 0.0.0.0/0 port any dst 0.0.0.0/0 port any

19

GSeg UFRGS

Filtragem de Pacotes Filtragem de Pacotes Vantagens um roteador com filtragem pode proteger toda uma rede extremamente eficiente, principalmente stateless largamente disponvel, pode ser encontrado em roteadores, embutido em SOs, softwares especficos, ...

Desvantagens complicado configurar um filtro de pacotes difcil de testar reduz a performance do roteamento algumas vezes faltam recursos para implementar algumas regras desejadas20

GSeg UFRGS

Proxy Services Proxy Services Proxy = Procurador Funcionam a nvel de aplicao Aplication Level Gateways HTTP FTP

HTTP Proxy Iluso do Usurio

www.site.com 21

GSeg UFRGS

Proxy Services Proxy Services Podem realizar filtragens baseados nos dados do protocolo de aplicao ex.: HTTP nome do site contedo da pgina tipo de acesso GET/POST etc. e-mail do remetente e-mail do destinatrio comandos SMTP contedo de um e-mail22

ex.: SMTP

GSeg UFRGS

Proxy Services Proxy Services Vantagens nvel mais apurado de registro (log) filtragem mais inteligente pode realizar autenticao de usurio protege clientes de pacotes nocivos pode realizar cachingProxy Site

Desvantagens

cada servio requer um proxy especfico alguns servios, principalmente os novos, no tem proxy disponvel nem sempre transparente para o usurio23

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT) Endereos externamente visveis so endereos vlidos na Internet NO podem ser utilizados sem que sejam devidamente reservados (Registro.br)

Endereos de uso interno so endereos invlidos na Internet RFC1918 10.0.0.0 / 8 172.16.0.0 / 12 netmask 255.240.0.0 faixa: 172.16.0.0 at 172.31.0.0

192.168.0.0 / 1624

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT) Operao altera dados do pacote normalmente endereo e porta de origem em alguns casos endereo e porta de destino (Destination NAT)192.168.1.10 :: 1043 192.168.1.10 1043 143.54.23.10 :: 4030 143.54.23.10 4030

NAT192.168.1.14 :: 2032 192.168.1.14 2032 143.54.23.10 :: 4033 143.54.23.10 4033

25

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT)

Vantagens ajuda a reforar o controle do firewall os endereos internos no funcionam na rede externa, assim, qualquer conexo de dentro para fora depende de auxlio do firewall somente pacotes relativos s conexes iniciadas internamente conseguem vir da rede externa

oculta a estrutura (configurao) da rede interna

26

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT) Sem uso do NATUsurios internos podem instalar servios que podero ser acessados de fora da rede. ex.: VNC, PCAnyWhere.

143.54.23.36 143.54.23.254

As mquinas internas podem ficar expostas, assim um atacante pode conectar-se diretamente a uma mquina interna sem maiores problemas.143.54.23.15 143.54.23.130

27

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT) Usando NATTodo acesso externo realizado pelo equipamento que faz o NAT.

192.168.1.20 143.54.23.254

Mquinas internas ficam ocultas. Somente aquelas que precisam ser acessadas de fora (ex.: um servidor HTTP), possuem um IP externamente visvel.192.168.1.45 143.54.23.130

28

GSeg UFRGS

Network Address Translation (NAT) Network Address Translation (NAT)

Desvantagens o NAT altera dados do pacote, isso pode interferir em alguns protocolos, pode dificultar o registro (log) de atividades e pode ainda interferir na filtragem de pacotes maior carga no equipamento

29

GSeg UFRGS

Virtual Private Network (VPN) ? Virtual Private Network (VPN) ?

No propriamente uma tecnologia de firewall Mas o firewall um bom lugar para a criao de uma VPN controla todo o trfego de entrada/sada um firewall no consegue controlar trfego j cifrado

Firewall30

GSeg UFRGS

Arquiteturas ArquiteturasVincius Serafim serafim@inf.ufrgs.br

Tpicos Tpicos

Tipos de Arquiteturas Exemplos de Arquiteturas Bastion Hosts Exemplos de Arquiteturas Algumas Consideraes

32

GSeg UFRGS

Tipos de Arquiteturas Tipos de Arquiteturas Single-Box baseados e

Recommended

View more >