revisão - marcianodionizio.files.wordpress.com · ele cria o arquivo de log e registra todos os...
TRANSCRIPT
Por que do nome firewall ? Antigamente, quando as casas eram feitas de madeira o fogo era um
grande problema, pois se alastrava facilmente de uma casa para outra. Paraevitar isso eram construídos muros de pedra entre as casas. A esses murosfoi dado o nome de firewall
“Isolar o fogo que existe na Internet para que não se alastre
para sua rede privada”
Firewall (definições)
Firewall - Introdução
DefiniçãoDispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso).
Implementa e garante política de segurança entre as redes conectadas.
Internet
Intranet
Segmento de Acesso Público
Corporação
Firewall
•Sistemas confiáveis que são colocados entre duas redes;
•Política de Segurança define o que passa;
•Rede interna é confiável (blue net), nem sempre;
•Rede externa é não-confiável (red net).
Infraestrutura de rede
Firewall - Conceitos
Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet.
Internet
Intranet
Segmento de Acesso Público
Corporação
Firewall
Firewall -Introdução
Proteção de redes - Firewall
1) Não protege contra usuários autorizados maliciosos;
2) Não pode proteger contra conexões que não passam através dele;
3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo).
4) Não oferece proteção contra virus.
Firewall -Introdução
Saiba o que um Firewall não faz:
Um Firewall pode administrar a política de segurança para usuários da rede:- Define quem ou o que pode cruzar as fronteiras entre redes;- Define uma maneira padrão de identificação de usuários.
Um Firewall pode manter “logs”:- Logs de passagem;- Logs de ataques;- Alertar o administrador.
Infraestrutura de rede
O que um firewall pode fazer?
Roteador
O que proteger ?
As regras de filtragem de um Firewall estão baseadas nas políticas deseguranças da organização
Para o desenvolvimento dessa política deverá ponderar dois fatores
Nível de proteção X Usabilidade
Deixar o nível de proteção o mais alto possível, porém sem deixar quepartes importantes do sistema fiquem inoperantes
Bloquear tudo a princípio e ir liberando os serviços necessários para aorganização ou
O que não é expressamente proibido é permitido
Firewall Pessoal
Software utilizado para proteger um computador contra acessos não autorizados
Tipo específico de firewall
Se bem configurado: Pode barrar o acesso a backdoors
Alguns podem analisar continuamente o conteúdo das conexões
Filtrando cavalos de tróia e vírus de email
Pacotes de firewall que funcionam em conjunto com os anti-vírus
Razões para considerar o uso: Possibilidade de configurar o tráfego de entrada e saída
Pode especificar quais aplicativos terão acesso à rede
Problemas: Regras podem ser complexas
Escalabilidade pode ser um problema
Firewalls de mercado
Melhores práticas para clientes firewall
Todo o tráfego deve passar pelo firewall
Uso eficaz de Firewall
A simples instalação de um firewall não garante que sua rede esteja segura contra invasores
Não pode ser a sua única linha de defesa
Protegem apenas contra ataques externos ao firewall
Proxy
• O usuário está dentro da empresa tentaacessar a Web.
• Mudando o foco da preocupação para ousuário que está dentro da própria empresa etenta acessar uma página na Internet.
• Muita gente confunde o Proxy com o Firewall.
Proxy
• Podemos dizer que o Proxy é partefundamental da segurança da empresa, masdevemos salientar que isso não é tudo.
• Deve-se também ter um Firewall.
• O Proxy não controla IMAP, POP e SMTP, poisele é um Proxy Web.
Proxy
• Quando uma máquina (cliente) que estádentro da rede interna tenta acessar umpágina na Internet, ela pede isso ao Proxy.
• Este procura a página na Web, se encontrar,devolve a mesma para o cliente solicitante.
Proxy
• Se o cliente tentar acessar a Web de formadireta, o Proxy não deve permitir.
• Com isso, consegue-se um nível de segurançaaceitável, porque a rede interna não temconexão direta com a Internet, ficandoimpossível um invasor tentar tomar o controlede uma máquina interna diretamente.
Vantagens de um Proxy
• Controle de Sites: Pode-se fazer o controle deconteúdo, permitindo ou não, máquinasclientes de acessarem.
• Controle de Acesso: Controla quem podeacessar a Web, através de autenticação, ouainda definir quem pode acessar e em qualhorário.
Vantagens de um Proxy
• Cache de Sites: Com um Proxy Web, a grandevantagem é que se pode fazer um cache dossites mais utilizados, tornando o acesso maisrápido à Web.
Funcionamento do Proxy
• Quando o cliente faz a requisição de umapágina na Web, o Proxy verifica se ela está nocache.
• Senão estiver, o Proxy procura na Web eguarda no cache.
Funcionamento do Proxy
• Quando outro ou o mesmo cliente quiseracessar a mesma página já acessada, oservidor Proxy verifica se ela foi alterada.
• Senão, o cliente recebe a página que está nocache, mais rapidamente, aumentando assima velocidade de acesso.
Funcionamento do Proxy
• O Proxy liga a rede interna com a externa.
• Ela fala com a rede interna e com a externa.
• Mas a rede externa não fala com a interna evice-versa, a interna não fala coma externa.
Relatório do Proxy
• Uma das grandes vantagens do Squid é queele cria o arquivo de log e registra todos osacessos http.
• Utilizando esse log, pode-se analisar everificar se alguém acessou sites imprópriospara aquele momento.
VPN
• Virtual Private Network ou Rede Privada Virtual
• É uma rede de comunicações privadanormalmente utilizada por uma empresa ou umconjunto de empresas e/ou instituições,construída em cima de uma rede decomunicações pública (como por exemplo, aInternet).
• O tráfego de dados é levado pela rede públicautilizando protocolos padrão, nãonecessariamente seguros.
VPN
• Uma VPN é uma conexão estabelecida sobre umainfraestrutura pública ou compartilhada, usandotecnologias de tunelamento e criptografia paramanter seguros os dados trafegados.
• VPNs seguras usam protocolos de criptografia portunelamento que fornecem a confidencialidade,autenticação e integridade necessárias paragarantir a privacidade das comunicaçõesrequeridas.
VPN
• Quando adequadamente implementados, estesprotocolos podem assegurar comunicaçõesseguras através de redes inseguras.
• Deve ser notado que a escolha, implementação euso destes protocolos não é algo trivial, e váriassoluções de VPN inseguras são distribuídas nomercado.
• Adverte-se os usuários para que investiguem comcuidado os produtos que fornecem VPNs.
VPN
• Uma das grandes vantagens decorrentes do usodas VPNs é a redução de custos comcomunicações corporativas, pois elimina anecessidade de links dedicados de longa distânciaque podem ser substituídos pela Internet.
• As LANs podem, através de links dedicados oudiscados, conectar-se a algum provedor deacesso local e interligar-se a outras LANs,possibilitando o fluxo de dados através daInternet.
VPN
• Esta solução pode ser bastante interessantesob o ponto de vista econômico, sobretudonos casos em que enlaces internacionais ounacionais de longa distância estão envolvidos.
• Outro fator que simplifica a operacionalizaçãoda WAN é que a conexão LAN-Internet-LANfica parcialmente a cargo dos provedores deacesso.
Funcionamento
• Basicamente, quando uma rede quer enviardados para a outra rede através da VPN, umprotocolo, exemplo IPSec, faz o encapsulamentodo quadro normal com o cabeçalho IP da redelocal e adiciona o cabeçalho IP da Internetatribuída ao roteador, um cabeçalho AH, que é ocabeçalho de autenticação e o cabeçalho ESP, queé o cabeçalho que provê integridade,autenticidade e criptografia à área de dados dopacote.
Funcionamento
• Quando esses dados encapsulados chegaremà outra extremidade, é feito odesencapsulamento do IPSec e os dados sãoencaminhados ao referido destino da redelocal.
Segurança
• Quando adequadamente implementados, estesprotocolos podem assegurar comunicaçõesseguras através de redes inseguras.
• Hoje diversas empresas interligam suas basesoperacionais através de um VPN na internet.
• Um sistema de comunicação por VPN tem umcusto de implementação e manutençãoinsignificantes, se comparados aos antigossistemas de comunicação física, como o frame-relay, por exemplo - que tem um custoexorbitante e segurança muito duvidosa.
Segurança
• Por este motivo muitos sistemas de comunicaçãoestão sendo substituídos por uma VPN, que alémdo baixo custo, oferece também uma altaconfiabilidade, integridade e disponibilidade dosdados trafegados.
• Sistemas de comunicação por VPN estão sendoamplamente utilizados em diversos setores, atémesmo os setores governamentais no mundointeiro utilizam este recurso.
IPSEC – Internet Protocol Security
• O IPSec é um protocolo padrão de camada 3projetado pelo IETF que oferece transferênciasegura de informações fim a fim através de redeIP pública ou privada.
• Essencialmente, ele pega pacotes IP privados,realiza funções de segurança de dados comocriptografia, autenticação e integridade, e entãoencapsula esses pacotes protegidos em outrospacotes IP para serem transmitidos.
• As funções de gerenciamento de chaves tambémfazem parte das funções do IPSec.
IPSEC – Internet Protocol Security
• Tal como os protocolos de nível 2, o IPSectrabalha como uma solução para interligaçãode redes e conexões via linha discada.
• Ele foi projetado para suportar múltiplosprotocolos de criptografia possibilitando quecada usuário escolha o nível de segurançadesejado.
IPSEC – Internet Protocol Security
• Os requisitos de segurança podem serdivididos em 2 grupos, os quais sãoindependentes entre si, podendo ser utilizadode forma conjunta ou separada, de acordocom a necessidade de cada usuário:
• Autenticação e Integridade;
• Confidencialidade.
Aplicações para redes privadas virtuais
• ACESSO REMOTO VIA INTERNET
• O acesso remoto a redes corporativas através daInternet pode ser viabilizado com a VPN atravésda ligação local a algum provedor de acesso(Internet Service Provider - ISP).
• A estação remota disca para o provedor deacesso, conectando-se à Internet e o software deVPN cria uma rede virtual privada entre o usuárioremoto e o servidor de VPN corporativo atravésda Internet.
CONEXÃO DE LANS VIA INTERNET
• Uma solução que substitui as conexões entreLANs através de circuitos dedicados de longadistância é a utilização de circuitos dedicadoslocais interligando-as à Internet.
• O software de VPN assegura esta interconexãoformando a WAN corporativa.
ACESSO REMOTO VIA INTERNET
• A depender das aplicações também, pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito dedicado local ficando disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.
CONEXÃO DE COMPUTADORES NUMA INTRANET
• Em algumas organizações, existem dadosconfidenciais cujo acesso é restrito a um pequenogrupo de usuários.
• Nestas situações, redes locais departamentais sãoimplementadas fisicamente separadas da LANcorporativa.
• Esta solução, apesar de garantir a"confidencialidade" das informações, criadificuldades de acesso a dados da redecorporativa por parte dos departamentosisolados.
CONEXÃO DE COMPUTADORES NUMA INTRANET
• As VPNs possibilitam a conexão física entre redeslocais, restringindo acessos indesejados atravésda inserção de um servidor VPN entre elas.
• Observe que o servidor VPN não irá atuar comoum roteador entre a rede departamental e oresto da rede corporativa uma vez que o roteadorpossibilitaria a conexão entre as duas redespermitindo o acesso de qualquer usuário à rededepartamental sensitiva.
CONEXÃO DE COMPUTADORES NUMA INTRANET
• Com o uso da VPN o administrador da rede podedefinir quais usuários estarão credenciados aatravessar o servidor VPN e acessar os recursosda rede departamental restrita.
• Adicionalmente, toda comunicação ao longo daVPN pode ser criptografada assegurando a"confidencialidade" das informações.
• Os demais usuários não credenciados sequerenxergarão a rede departamental.
Tunelamento
• As redes virtuais privadas baseiam-se natecnologia de tunelamento cuja existência éanterior às VPNs.
• Ele pode ser definido como processo deencapsular um protocolo dentro de outro.
• O uso do tunelamento nas VPNs incorpora umnovo componente a esta técnica: antes deencapsular o pacote que será transportado, esteé criptografado de forma a ficar ilegível caso sejainterceptado durante o seu transporte.
Tunelamento
• O pacote criptografado e encapsulado viajaatravés da Internet até alcançar seu destino ondeé desencapsulado e decriptografado, retornandoao seu formato original.
• Uma característica importante é que pacotes deum determinado protocolo podem serencapsulados em pacotes de protocolosdiferentes.
• Por exemplo, pacotes de protocolo IPX podem serencapsulados e transportados dentro de pacotesTCP/IP.
Tunelamento
• O protocolo de tunelamento encapsula o pacotecom um cabeçalho adicional que contéminformações de roteamento que permitem atravessia dos pacotes ao longo da redeintermediária.
• Os pacotes encapsulados são roteados entre asextremidades do túnel na rede intermediária.
• Túnel é a denominação do caminho lógicopercorrido pelo pacote ao longo da redeintermediária.
Tunelamento
• Após alcançar o seu destino na redeintermediária, o pacote é desencapsulado eencaminhado ao seu destino final.
• A rede intermediária por onde o pacote trafegarápode ser qualquer rede pública ou privada.
• Note que o processo de tunelamento envolveencapsulamento, transmissão ao longo da redeintermediária e desencapsulamento do pacote.
Protocolos de tunelamento
• Para se estabelecer um túnel é necessário queas suas extremidades utilizem o mesmoprotocolo de tunelamento.
• O tunelamento pode ocorrer na camada 2 ou3 (respectivamente enlace e rede) do modelode referência OSI (Open SystemsInterconnection).
Protocolos de tunelamento
• Tunelamento em Nível 2 - Enlace - (PPP sobreIP)
• O objetivo é transportar protocolos de nível 3,tais como o IP e IPX na Internet.
• Os protocolos utilizam quadros como unidadede troca, encapsulando os pacotes da camada3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol).
O funcionamento dos túneis
• Nas tecnologias orientadas à camada 2 (enlace),um túnel é similar a uma sessão, onde as duasextremidades do túnel negociam a configuraçãodos parâmetros para estabelecimento do túnel,tais como endereçamento, criptografia eparâmetros de compressão.
• Na maior parte das vezes, são utilizado sprotocolos que implementam o serviço dedatagrama.
O funcionamento dos túneis
• A gerência do túnel é realizada atravésprotocolos de manutenção.
• Nestes casos, é necessário que o túnel sejacriado, mantido e encerrado. Nas tecnologiasde camada 3, não existe a fase de manutençãodo túnel.
• Uma vez que o túnel é estabelecido os dadospodem ser enviados.
O funcionamento dos túneis
• O cliente ou servidor do túnel utiliza umprotocolo de tunelamento de transferência dedados que acopla um cabeçalho preparando opacote para o transporte.
• Só então o cliente envia o pacote encapsulado narede que o roteará até o servidor do túnel.
• Este recebe o pacote, desencapsula removendo o cabeçalho adicional e encaminha o pacote original à rede destino.
• O funcionamento entre o servidor e o cliente do túnel é semelhante.
Referencias Bibliográficas
• STRACCIALANO, André L.; et al. Segurança eServiços de Redes. In: Livro Didático do CursoTécnico em Redes de Computadores – Módulo 3.Anhanguera Publicações.
• LOPES, Raquel. Melhores Práticas para a Gerênciade Redes de Computadores. Rio de Janeiro:Campus, 2003
• Nakamura, Emílio Tissato e GEUS, Paulo Lício de.Segurança em Redes. 4ª ed. São Paulo: Novatec,2007.