firewalls - programa de pós-graduação em informáticajamhour/pessoal/graduacao/ciencia/... ·...

70
2009, Edgard Jamhour FIREWALLS Edgard Jamhour

Upload: tranbao

Post on 13-Apr-2018

221 views

Category:

Documents


4 download

TRANSCRIPT

Page 1: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

FIREWALLS

Edgard Jamhour

Page 2: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

FILTRO

Riscos a Segurança de uma Rede

sniffingsniffing

Invasão

spoofing

Invasão

Page 3: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Tipos de Ameaças a Segurança de uma Rede

• Invasão de Rede (Network Intrusion)– Alguém de fora acessa a uma máquina da rede com poderes de administrador.

– A invasão é feita descobrindo-se a senha ou usando algum “furo”escondido do sistema operacional.

• IP Address Spoofing– Alguém da rede externa se faz passa por um IP da sua rede interna.

• Packet Sniffing– Escuta do tráfego local que se propaga pela Ethernet.

Page 4: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Camada Física e Enlace de Dados

• Tecnologias de Redes Locais, como Ethernet, funcionam com broadcast físico, o que permite fazer sniffing na rede.

MAC 01-02-03-04-05-06

MAC 01-02-03-04-05-07

MAC 01-02-03-04-05-08

destino01-02-03-04-05-07

origem01-02-03-04-05-06

Se a interface do computadorfor colocada em modo promíscuo, a informação pode ser facilmente

interceptada

sniffingsniffing

Page 5: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Switch: Isolando Domínios de Colisão

• Packet sniffing pode ser combativo de duas formas: com criptografia e com switches. Os computadores que estão conectados a portas isoladas de um switch são imunes a sniffing.

A B C

SWITCH

HUBHUB

D E F

HUBHUB

G

Mesmo domínio

de broadcast

Não hápossibilidade de sniffing

Page 6: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtragem de Pacotes

Protolco de Aplicação

FTP, SMTP, HTTP, Telnet, SNM, etc.

TCP, UDP

Data LinkEthernet, TokenRing, FDDI, etc

IP

Física

Aplicações

A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos.

Tecnologia heterogênea

aplicação

transporte

rede

enlace

física

Seqüência de empacotamento

Page 7: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Implementação Física

• No software do Roteador: screening routers

• No software de uma estação dedicada (um PC com duas placas de rede).

REDE EXTERNA

FIREWALL

ROTEADOR

FIREWALL

ROTEADOR

REDE EXTERNA

REDE INTERNA

REDE INTERNA

PERSONAL FIREWALL

Page 8: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo

• Roteadores Cisco– PIX Firewall

– Firewall

– Roteador

– Proxy

– Detetor de ataques (SMTP, etc)

– Defesa contra fragmentação de IP

– Implementa VPN com IPsec

– Mais de 256K sessões simultâneas.

Page 9: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo

• Implementação por Software– Check Point Firewall

• Interface Gráfica

• Módulo de Firewall

• Módulo de Gerenciamento

– Mútiplas Plataformas

• Windows, Solaris, Linux, HP-UX, IBM AIX

– Controle de Segurança e Qualidade de Serviço.

Page 10: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Segurança na Camada IP = Roteamento Seletivo

Roteador

Roteador

Filtro

Roteador

REDE 200.17.98.X

REDE 200.134.51.X

Bloquear pacotes recebidos de uma rede diferente de 200.17.134.X

Bloquear pacotes destinados a uma rede diferente de 200.17.134.X

Page 11: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtragem de Pacotes

InternetInternet

screeningrouter

O roteamento ou rejeição de pacotes é feito de acordocom a política de segurançada empresa.

Interface internaInterface interna

Interface externaInterface externa

Page 12: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplos de Objetivos do Roteamento Seletivo

• Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexões SMTP.

• Liberar conexões externas apenas para uma máquina específica da rede (e.g. servidor Web).

• Permitir aos usuários internos iniciarem conexões de Telnet com o meio externo, mas não o contrário.

• Liberar acesso a Internet apenas para algumas máquinasda rede interna.

Page 13: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Regras de Filtragem

Recebe pacote

Analisa Cabeçalho

OK para encaminhar?

Precisa para bloquear?

Última Regra?

Bloquear Pacote

EncaminharPacote

S

S

N

N

N

S

Page 14: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo

AÇÃO

permitir

permitir

negar

IP ORIGEM

200.17.98.0: 200.17.98.255

*

*

IP DESTION

*

200.17.98.0: 200.17.98.255

*

• Interpretação:– Geralmente, as regras são definidas individualmente para cada interface.

– Cada interface controla apenas os pacotes que entram no roteador.

INTERFACE

1 (sair)

2 (entrar)

*

INTERFACE 1 INTERFACE 2

Rede Externa Rede Externa Não Não --ConfiConfiáávelvel

Rede Interna Rede Interna ConfiConfiáávelvel

Page 15: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtragem com base nas Portas TCP e UDP

• As informações introduzidas no cabeçalho de controle dos protocolos TCP e UPD permitem identificar o tipo de serviço executado na Internet.

• Essa característica permite estabelecer regras diferenciadas para cada tipo de aplicação executada na Internet, ou numa Intranet.

• Por exemplo, é possível estabelecer regras de segurança que se aplique somente ao serviço de ftp ou somente ao serviço de telnet.

PORTA DE DESTINOPORTA DE DESTINO PORTA DE ORIGEMPORTA DE ORIGEM

datagrama

DADOS

Page 16: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Portas bem Conhecidas

• Portas Bem conhecidas (wellknown ports):

• Função padronizada pela IANA (The Internet Assigned NumbersAuthority)

• Geralmente usada pelos servidores de serviços padronizados.

• Portas livres:

• Usadas pelos clientes e pelos serviços não padronizados

0

….

1023

1024

….

65535

PORTAS

TCP ou UDP

Page 17: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplos de portas bem conhecidas

Porta 21

Cliente

FTP

Dadosarmazenados

programa servidor determinal remoto

Porta 23

Porta 25

Porta 80

programa servidor detransferência de arquivos

programa servidor de correioeletrônico

programa servidor dehipertexto e outros serviços

WWW

programa servidor de notíciasPorta 119

programa servidor deserviços chat

Porta 194

TELNET

SMTP

HTTP

NNTP

IRC

portas livres

Porta 1024

Porta 65535

portas bemconhecidas

Page 18: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo de Regras de Filtragem

regra ação interface/

sentido

protocolo IP

origem

IP

destino

Porta

origem

Porta

destino

Flag ACK

1 aceitar rede interna/

para fora

TCP interno externo > 1024 80 *[1]

2 aceitar rede externa/

para dentro

TCP externo interno 80 > 1023 1

3 rejeitar * * * * * * *

[1] O símbolo "*" indica que qualquer valor é aceitável para regra.

Page 19: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Problema:Spoofing de Porta

• Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno?

10241024

...

80 80

80 80 10241024

80 80 2323

É necessário liberar pacotes com porta

de origem 80 para que a resposta possa passar .

Como evitar que a porta 80 seja usada para atacar usuários internos?

Page 20: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Característica da Comunicação TCP

• Comunicação bidirecional, confiável e orientada a conexão.

• O destino recebe os dados na mesma ordem em que foram transmitidos.

• O destino recebe todos os dados transmitidos.

• O destino não recebe nenhum dado duplicado.

• O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.

Page 21: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Flags TCP

HLEN Reservado BITS DE CÓDIGO Janela de Recepção

Checksum Ponteiro de Urgência

Número de Seqüência

Número de Confirmação

Opções

Dados

Byte 1 Byte 2 Byte 3 Byte 4

0 4 8 12 16 20 24 28 31

…..

Porta de origem Porta de destino

• RES: Reservado (2 bits)

• URG: Urgent Point

• ACK: Acknowlegment

• PSH: Push Request• RST: Reset Connection• SYN: Synchronize Seqüence Number• FIN: Mais dados do transmissor

Page 22: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Flag ACK

• Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.

ACK=0

ACK=1

ACK=1

tempo tempo

ACK=1

...

Page 23: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtragem com Protocolo UDP

• Comunicação bidirecional, sem nenhum tipo de garantia.– Os pacotes UDP podem chegar fora de ordem.

– Pode haver duplicação de pacotes.

– Os pacotes podem ser perdidos.

• Cada pacote UDP é independente é não contéminformações equivalentes ao flag ACK dos pacotes.

Page 24: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Mensagem UDP

Porta de Origem

Comprimento da Mensagem checksum

Dados

…..

Porta de Destino

0 16 31

• As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.

Page 25: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Dynamic Packet Filtering com UDP

• Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas.

200.0.0.1:1025 >>> 210.0.0.2:53

tempo tempo...

210.0.0.2:53 >>> 200.0.0.1:1025

210.0.0.2:53 >>> 200.0.0.1:1026

210.0.0.2:53 >>> 200.0.0.2:1025

Page 26: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Regras para Filtragem de Pacotes

• Implementação:– Analisar o cabeçalho de cada pacote que chega da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado.

• ESTRATÉGIAS– A) TUDO QUE NÃO É PROIBIDO ÉPERMITIDO.

– B) TUDO QUE NÃO É PERMITIDO ÉPROIBIDO.

Page 27: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo: TUDO QUE NÃO É PERMITIDO ÉPROIBIDO

Ação

permitir

permitir

negar

Protocolo

tcp

tcp

*

IP Origem

interno

*

*

Porta Origem

> 1023

23

*

IP Destino

*

interno

*

Porta Destino

23

> 1023

*

ACK

*

1

*

• Interpretação:– Hosts Internos podem acessar servidores de telnetinternos ou externos.

– Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão).

Direção

Sair

Entrar

*

Page 28: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Regras de Filtragem

Recebe pacote

Analisa Cabeçalho

OK para encaminhar?

Precisa para bloquear?

Última Regra?

Bloquear Pacote

EncaminharPacote

S

S

N

N

N

S

Page 29: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo

INTERNET1 2

200.17.98.? ?.?.?.?

23

Ação

permitir

negar

Protocolo

tcp

*

IP Origem

200.17.98.0:24

*

Porta Origem

> 1023

*

IP Destino

*

*

Porta Destino

23

*

ACK

*

*

INTERFACE 1

INTERFACE 2Ação

permitir

negar

Protocolo

tcp

*

IP Origem

*

*

Porta Origem

23

*

IP Destino

200.17.98.0:24

*

Porta Destino

> 1023

*

ACK

1

*

>1023>1023

Page 30: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exemplo

• Interpretação:– Hosts Internos podem acessar servidores de telnet internos ou externos.

– Hosts externos podem acessar servidores de web internos.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

80

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

80

> 1023

*

ACK

*

1

*

1

*

Direção

Out

In

In

Out

*

Page 31: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Seqüência de Criação de Regras

• A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

23

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

23

> 1023

*

ACK

*

1

*

1

*

Direção

Out

In

In

Out

*

O deslocamento de uma regra genérica para cima anula as demais.

Page 32: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Ciclos CPU100 MHz

2860008000160016016

Desempenho do Filtro de Pacotes

• O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido.

• Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede.

Conexão

56 Kbit/s2 Mbit/s10 Mbit/s100 Mbit/s1Gbit/s

Pacotes/s(20 bytes)

35012500625006250006250000

Tempo disponível

2.86 ms80 µs16 µs1.6 µs0.16 µµµµs

Page 33: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exercício 1

INTERNET

200.17.98.0255.255.255.0

?.?.?.?

>1023

TCP 80 TCP 25 UDP 53

TCP 80 TCP 25 UDP 53

200.17.98.2 200.17.98.3 200.17.98.4

Page 34: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exercício 1

• Defina as regras de filtragem implementar a seguinte política de segurança:

a) Os computadores da rede Interna podem acessar qualquer servidor Web na Internet.

b) Computadores da rede Externa podem acessar apenas o servidor Web da rede Interna.

c) O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet.

d) O servidor de email interno deve poder se comunicar com outros servidores de email da Internet.

e) Todos os demais acessos são proibidos.

Page 35: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Exercício 1

FLAG ACK

PORTA DESTINO

PORTA ORIGEM

IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO

Page 36: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Arquiteturas de Filtros de Pacotes

• Filtros de Pacotes são os principais componentes dos Firewalls.

Rede Interna Confiável

Rede Externa Não -Confiável

EstratEstratéégia gia de de FirewallFirewall

Filtros de Filtros de PacotesPacotese e

GatewaysGatewaysde de

AplicaAplicaççãoão

Page 37: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

A - Definições

• Firewall– Um componente ou conjunto de componentes que restringem o acesso entre um rede protegida e a Internet, ou entre outro conjunto de redes.

• Host– Um computador conectado a rede.

• Bastion Host– Um computador que precisa ser altamente protegido, pois ésuscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.

Page 38: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Definições

• Dual-homed host– Qualquer computador com duas interfaces (placas) de rede.

• Packet– Unidade fundamental de comunicação na Internet.

• Packet Filtering (screening)– Controle seletivo do fluxo de dados que entra e sai de uma rede.

– A filtragem de pacotes é feita especificando um conjunto de regras que determinam que tipos de pacotes (baseados em IP e portas) são permitidos e que tipos devem ser bloqueados.

Page 39: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Definições

• Perimeter Network– Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. Também chamada de DMZ (De-Militarized Zone).

• Proxy Server– Um programa que intermedia o contado de clientes internos com servidores externos.

Page 40: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

B) Arquiteturas Básicas de Firewall

• I) Dual-Homed Host com Proxy

• II) Filtragem Simples de Pacotes

• III) DMZ (Rede de Perímetro)

Page 41: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Proteção por Tipos de IP

• IP’s públicos– Tem acesso a qualquer serviço na Internet.

– Podem ser protegidos por firewalls: Filtragem Simples de Pacotes ou DMZ.

• IP’s privados– São naturalmente protegidos de acessos externos.

– Elementos são colocados na rede para permitir o seu acesso a serviços disponíveis na Internet.

Page 42: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

I) Dual-Homed com Proxy

Interface interna

Interface externa

Dual-Homed Host

HostsHostsInternosInternos

ProxyProxyBastion HostBastion Host

Roteamento Roteamento DesabilitadoDesabilitado

INTERNET

Rede com IP’s Privados IP privado

IP público

Page 43: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Proteção com Roteador e NAT

Interface interna

Interface externa

Roteador com NAT

HostsHostsInternosInternos

FirewallFirewallRoteamento Roteamento DesabilitadoDesabilitado

INTERNET

Rede com IP’s Privados IP privado

IP público

Page 44: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

II) Filtragem Simples

Interface internaInterface interna

Interface externaInterface externa

Screening Router

HostHostInternoInterno

Bastion HostBastion Host

FIREWALLFIREWALL

INTERNETINTERNET

Page 45: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Regras de Filtragem

• O bastion host é diferenciado dos demais computadores pelas regras do filtro de pacotes.

• No exemplo abaixo, o bastion host é o único computador que pode receber conexões externas. Todavia, o único serviço habilitado é o http.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

b.host

*

Porta Origem

> 1023

*

> 1023

80

*

IP Destino

*

interno

b.host

*

*

Porta Destino

*

> 1023

80

> 1023

*

ACK

*

1

*

*

*

Direção

Out

In

In

Out

*

Page 46: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

III) Rede de Perímetro (DMZ)

HostHostInternoInterno

InternetInternet

RoteadorInterno

Bastion HostBastion Host

DMZ DMZ -- Rede de PerRede de Períímetrometro

Rede InternaRede Interna

RoteadorExterno

Page 47: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Roteador Interno (Choke Router)

• Protege a rede interna da rede externa e da rede de perímetro.

• É responsável pela maioria das ações de filtragem de pacotes do firewall.

Ação

permitir

permitir

negar

Protocolo

tcp

tcp

*

IP Origem

interno

*

*

Porta Origem

> 1023

*

*

IP Destino

*

interno

*

Porta Destino

*

> 1023

*

ACK

*

1

*

Direção

Out

In

*

EXEMPLO DE REGRAS PARA O CHOKE ROUTER

Page 48: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Roteador Externo (Access Router)

• Protege a rede interna e a rede de perímetro da rede externa.

• Muitas vezes, a função o roteador externo está localizado no provedor de acesso.

• Em geral, utiliza regras de filtragem pouco severas.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

dmz

*

Porta Origem

> 1023

*

> 1023

*

*

IP Destino

*

interno

dmz

*

*

Porta Destino

*

> 1023

*

> 1023

*

ACK

*

1

*

*

*

Direção

Out

In

In

Out

*

EXEMPLO DE REGRAS PARA O ACCESS ROUTER

Page 49: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Rede de Perímetro com Proxy

HostsHosts InternosInternosCom IPCom IP’’s Privadoss Privados

InternetInternet

Bastion HostBastion Host

DMZ DMZ -- Rede de PerRede de Períímetrometro

Rede InternaRede Interna

RoteadorExterno

Servidor Servidor ProxyProxy

Page 50: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

EXERCÍCIO

HostsHostsInternoInterno

Internet

RoteadorInterno

Bastion Host

DMZ - Rede de Perímetro

Rede Interna

RoteadorExterno

I1

I2

E1

E2

200.0.0.1 200.0.0.2 200.0.0.3

200.0.0.4

200.1.0.1 200.1.0.2

200.1.0.3

200.2.0.1

Page 51: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

DEFINIÇÃO DAS ROTAS

• Indique as Rotas que Devem Existir:

• A) Computadores da Rede Interna

• B) Roteador Interno

• C) Bastion Host

• D) Roteador Externo

Page 52: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

EXERCÍCIO

• Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para:– A) Permitir aos computadores externos acessarem o serviço HTTP no bastion HOST.

– B) Permitir aos computadores externos acessar o serviço SMTP no bastion HOST.

– C) Permitir aos usuários internos acessarem o serviço POP, SMTP e HTTP no bastion HOST.

– D) Permitir aos usuários internos acessarem qualquer servidor HTTP externo.

– E) Proibir todos os demais acessos.

Page 53: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Roteador Interno

FLAG ACK

PORTA DESTINO

PORTA ORIGEM

IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO

Page 54: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Roteador Externo

FLAG ACK

PORTA DESTINO

PORTA ORIGEM

IP DESTINOIP ORIGEMPROTOCOLOINTERFACEAÇÃO

Page 55: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Novas Tecnologias para Firewalls

• PARTE 1:– Stateful Inspection

• PARTE 2:– IP Sec

• PARTE 3:– Integração com Serviços de Diretório (LDAP)

Page 56: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Stateful Inspection

• As primeiras gerações de firewall eram ditos "stateless".– Cada pacote é analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexão.

– Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação.

• Uma alternativa para os filtros de pacotes são os gateways de aplicação.– Gateways de aplicação (Proxy) são "stateful": Isto é, eles guardam o estado das conexões inciadas pelos clientes.

– Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes.

– Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho.

Page 57: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtro de Pacotes

• Usualmente implementado em roteadores.

• São idependentes da aplicação (analisam apenas informações de IP e Porta).

• Tem alto desempenho.

Page 58: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Filtro de Pacotes: Problemas de Segurança

• São stateless:– Precisam liberar todas as portas de cliente (> 1023) para permitir uma comunicação FTP.

• Apenas duas opções:– Ou libera-se todas as portas ou bloqueia-se o serviço todo.

Page 59: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Application Layer Gateways

• Usualmente Implementados em Servidores.

• Duas versões:• Dependentes de

Aplicação– Examinam o conteúdo dos pacotes, incluidoos protoclos de aplicação.

– Não abrem as portas dos clientes.

• Socks– Não precisa examinar o conteúdo.

Page 60: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Socks Proxy

• Um proxy pode ser configurado de duas maneiras:– A) Em cada aplicação cliente

• Browser, FTP, etc.

– B) No sistema operacional

• Substituindo o driver de sockets.

• Neste caso, o cliente e o proxy conversam através de um protocolo denominado Socks.

• Este protocolo redireciona todos as informações transmitidas pelo cliente par ao Proxy, e inclui novos campos para identificar o destino das mensagens.

WinSock

Socks

Aplicação Aplicação

Sockets

TCP UDP

IP

Page 61: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Procolo Socks

• A versão corrente do protocolo SOCKs é 5.0– RFC1928: suporta TCP , UDP e autenticação

• As implementações atuais, entretanto, estão na versão 4– Suporta apenas TCP.

• Algumas soluções proprietárias suportam também ICMP.

Cliente Socks

Socks Proxy

Server

CONNECT: IP_Destino, Porta_Destino, UserIDIP destino,Porta Destino

PORTAPORTA

Page 62: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Application Layer GatewayProblemas de Desempenho

• Quebram o esquema cliente-servidor (o proxy cria uma nova conexão para cada cliente).– O número de sessões no Gatewayé duplicado.

– Cada conexão mantém um processo no Proxy.

Page 63: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Stateful Inspection

• Tecnologia Desenvolvida pela CheckPoint.

• Implementa o conceito de estado sem criar novas conexões no roteador.– Um módulo de software analisa permanentemente o conteúdo dos pacotes que atravessam o firewall.

– As informações relevantes dos pacotes são armazenadas em tabelas dinâmicas para porterior uso.

– A decisão quanto a passagem ou não de um pacote leva em conta o conteúdo de pacotes anteriormente trocados na mesma conexão.

Page 64: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Stateful Inspection

• Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente.

200.0.0.1:1025 >>> 210.0.0.2:53

tempo tempo...

210.0.0.2:53 >>> 200.0.0.1:1025

210.0.0.2:53 >>> 200.0.0.1:1026

210.0.0.2:53 >>> 200.0.0.2:1025

Page 65: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Stateful Inspection

• Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor.

• A informação de estado écapturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.

Page 66: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Stateful Inspection

• Quando o cliente requisita um serviço FTP, o Firewallarmazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente.

Page 67: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Segurança de Conteúdo

• Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall.

• Normalmente, apenas os protocolos mais comuns são analisados.– HTTP: Permite Filtrar:

• Métodos de acesso (GET, POST), URLs ("*.sk"), etc

• TAGS em HTML com referências a Applets em Java ou Objetos Active X.

• Dowload de certos tipos MIME.

– FTP: Permite Filtrar

• Comandos específicos (PUT, GET), Nomes de Arquivo

• Pode disparar antivirus para verificação de arquivos.

– SMTP: Permite criar regras de Filtragem baseadas

• Nos campos FROM e TO

• Tipo MIME

• Etc.

Page 68: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Integração com Métodos de Autenticação

• Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP.

• Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando.

• Esta tecnologia só é possível para firewalls "Stateful".

• Três métodos são usualmente disponíveis:– User Authentication (transparente)

– Session Autentication

– Mapeamento Transparente do Usuário em Endereço

Page 69: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Integração com Métodos de Autenticação

– User Authentication (transparente)

• Permite a usuário remoto acessar um serviço da rede independente do seu IP.

• O firewall reconhece o login do usuário analisando o conteúdo dos protocolos FTP, HTTP, TELNET e RLOGIN.

– Session Authentication

• Quando o usuário tenta acessar um serviço da rede o Firewallenvia para o cliente um pedido de login (challange message).

• O cliente deve ter um software especial para confirmar a senha.

• Só então o acesso é permitido (ou negado).

Page 70: FIREWALLS - Programa de Pós-Graduação em Informáticajamhour/Pessoal/Graduacao/Ciencia/... · Tipos de Ameaças a Segurança de uma Rede • Invasão de Rede (Network Intrusion)

2009, Edgard Jamhour

Integração com Métodos de Autenticação

• Mapeamento Transparente entre Usuário e Endereço– O Firewall captura mensagens DHCP para as máquinas.

– O Firewall captura as mensagens de login trocadas entre o usuário e o servidores de domínio da rede.

• CHECK POINT, por exemplo, suporta as mensagens do Windows NT.

• O usuário não se loga no Firewall, o sucesso do login éidentificado pelo Firewall também capturando as mensagens do servidor.