revisão - marcianodionizio.files.wordpress.com · ele cria o arquivo de log e registra todos os...

Revisão

Prof. Marciano dos Santos Dionizio

Por que do nome firewall ? Antigamente, quando as casas eram feitas de madeira o fogo era um

grande problema, pois se alastrava facilmente de uma casa para outra. Paraevitar isso eram construídos muros de pedra entre as casas. A esses murosfoi dado o nome de firewall

“Isolar o fogo que existe na Internet para que não se alastre

para sua rede privada”

Firewall (definições)

ConexãoSegura

Infraestrutura de rede

Proteção de Redes: Firewall

Firewall - Introdução

DefiniçãoDispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso).

Implementa e garante política de segurança entre as redes conectadas.

Internet

Intranet

Segmento de Acesso Público

Corporação

Firewall

•Sistemas confiáveis que são colocados entre duas redes;

•Política de Segurança define o que passa;

•Rede interna é confiável (blue net), nem sempre;

•Rede externa é não-confiável (red net).


Firewall - Conceitos

Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet.

Internet

Intranet

Segmento de Acesso Público

Corporação

Firewall

Firewall -Introdução

Proteção de redes - Firewall

1) Não protege contra usuários autorizados maliciosos;

2) Não pode proteger contra conexões que não passam através dele;

3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo).

4) Não oferece proteção contra virus.

Firewall -Introdução

Saiba o que um Firewall não faz:

Um Firewall pode administrar a política de segurança para usuários da rede:- Define quem ou o que pode cruzar as fronteiras entre redes;- Define uma maneira padrão de identificação de usuários.

Um Firewall pode manter “logs”:- Logs de passagem;- Logs de ataques;- Alertar o administrador.


O que um firewall pode fazer?

Roteador

O que proteger ?

As regras de filtragem de um Firewall estão baseadas nas políticas deseguranças da organização

Para o desenvolvimento dessa política deverá ponderar dois fatores

Nível de proteção X Usabilidade

Deixar o nível de proteção o mais alto possível, porém sem deixar quepartes importantes do sistema fiquem inoperantes

Bloquear tudo a princípio e ir liberando os serviços necessários para aorganização ou

O que não é expressamente proibido é permitido

Firewall Pessoal

Software utilizado para proteger um computador contra acessos não autorizados

Tipo específico de firewall

Se bem configurado: Pode barrar o acesso a backdoors

Alguns podem analisar continuamente o conteúdo das conexões

Filtrando cavalos de tróia e vírus de email

Pacotes de firewall que funcionam em conjunto com os anti-vírus

Razões para considerar o uso: Possibilidade de configurar o tráfego de entrada e saída

Pode especificar quais aplicativos terão acesso à rede

Problemas: Regras podem ser complexas

Escalabilidade pode ser um problema

Firewalls de mercado

Melhores práticas para clientes firewall

Todo o tráfego deve passar pelo firewall

Uso eficaz de Firewall

A simples instalação de um firewall não garante que sua rede esteja segura contra invasores

Não pode ser a sua única linha de defesa

Protegem apenas contra ataques externos ao firewall

Proxy

• O usuário está dentro da empresa tentaacessar a Web.

• Mudando o foco da preocupação para ousuário que está dentro da própria empresa etenta acessar uma página na Internet.

• Muita gente confunde o Proxy com o Firewall.

Proxy

• Podemos dizer que o Proxy é partefundamental da segurança da empresa, masdevemos salientar que isso não é tudo.

• Deve-se também ter um Firewall.

• O Proxy não controla IMAP, POP e SMTP, poisele é um Proxy Web.

Proxy

• Quando uma máquina (cliente) que estádentro da rede interna tenta acessar umpágina na Internet, ela pede isso ao Proxy.

• Este procura a página na Web, se encontrar,devolve a mesma para o cliente solicitante.

Proxy

• Se o cliente tentar acessar a Web de formadireta, o Proxy não deve permitir.

• Com isso, consegue-se um nível de segurançaaceitável, porque a rede interna não temconexão direta com a Internet, ficandoimpossível um invasor tentar tomar o controlede uma máquina interna diretamente.

Vantagens de um Proxy

• Controle de Sites: Pode-se fazer o controle deconteúdo, permitindo ou não, máquinasclientes de acessarem.

• Controle de Acesso: Controla quem podeacessar a Web, através de autenticação, ouainda definir quem pode acessar e em qualhorário.


• Cache de Sites: Com um Proxy Web, a grandevantagem é que se pode fazer um cache dossites mais utilizados, tornando o acesso maisrápido à Web.

Funcionamento do Proxy

• Quando o cliente faz a requisição de umapágina na Web, o Proxy verifica se ela está nocache.

• Senão estiver, o Proxy procura na Web eguarda no cache.


• Quando outro ou o mesmo cliente quiseracessar a mesma página já acessada, oservidor Proxy verifica se ela foi alterada.

• Senão, o cliente recebe a página que está nocache, mais rapidamente, aumentando assima velocidade de acesso.


• O Proxy liga a rede interna com a externa.

• Ela fala com a rede interna e com a externa.

• Mas a rede externa não fala com a interna evice-versa, a interna não fala coma externa.

Relatório do Proxy

• Uma das grandes vantagens do Squid é queele cria o arquivo de log e registra todos osacessos http.

• Utilizando esse log, pode-se analisar everificar se alguém acessou sites imprópriospara aquele momento.

VPN

• Virtual Private Network ou Rede Privada Virtual

• É uma rede de comunicações privadanormalmente utilizada por uma empresa ou umconjunto de empresas e/ou instituições,construída em cima de uma rede decomunicações pública (como por exemplo, aInternet).

• O tráfego de dados é levado pela rede públicautilizando protocolos padrão, nãonecessariamente seguros.

VPN

• Uma VPN é uma conexão estabelecida sobre umainfraestrutura pública ou compartilhada, usandotecnologias de tunelamento e criptografia paramanter seguros os dados trafegados.

• VPNs seguras usam protocolos de criptografia portunelamento que fornecem a confidencialidade,autenticação e integridade necessárias paragarantir a privacidade das comunicaçõesrequeridas.

VPN

• Quando adequadamente implementados, estesprotocolos podem assegurar comunicaçõesseguras através de redes inseguras.

• Deve ser notado que a escolha, implementação euso destes protocolos não é algo trivial, e váriassoluções de VPN inseguras são distribuídas nomercado.

• Adverte-se os usuários para que investiguem comcuidado os produtos que fornecem VPNs.

VPN

• Uma das grandes vantagens decorrentes do usodas VPNs é a redução de custos comcomunicações corporativas, pois elimina anecessidade de links dedicados de longa distânciaque podem ser substituídos pela Internet.

• As LANs podem, através de links dedicados oudiscados, conectar-se a algum provedor deacesso local e interligar-se a outras LANs,possibilitando o fluxo de dados através daInternet.

VPN

• Esta solução pode ser bastante interessantesob o ponto de vista econômico, sobretudonos casos em que enlaces internacionais ounacionais de longa distância estão envolvidos.

• Outro fator que simplifica a operacionalizaçãoda WAN é que a conexão LAN-Internet-LANfica parcialmente a cargo dos provedores deacesso.

Funcionamento

• Basicamente, quando uma rede quer enviardados para a outra rede através da VPN, umprotocolo, exemplo IPSec, faz o encapsulamentodo quadro normal com o cabeçalho IP da redelocal e adiciona o cabeçalho IP da Internetatribuída ao roteador, um cabeçalho AH, que é ocabeçalho de autenticação e o cabeçalho ESP, queé o cabeçalho que provê integridade,autenticidade e criptografia à área de dados dopacote.

Funcionamento

• Quando esses dados encapsulados chegaremà outra extremidade, é feito odesencapsulamento do IPSec e os dados sãoencaminhados ao referido destino da redelocal.

Segurança

• Quando adequadamente implementados, estesprotocolos podem assegurar comunicaçõesseguras através de redes inseguras.

• Hoje diversas empresas interligam suas basesoperacionais através de um VPN na internet.

• Um sistema de comunicação por VPN tem umcusto de implementação e manutençãoinsignificantes, se comparados aos antigossistemas de comunicação física, como o frame-relay, por exemplo - que tem um custoexorbitante e segurança muito duvidosa.

Segurança

• Por este motivo muitos sistemas de comunicaçãoestão sendo substituídos por uma VPN, que alémdo baixo custo, oferece também uma altaconfiabilidade, integridade e disponibilidade dosdados trafegados.

• Sistemas de comunicação por VPN estão sendoamplamente utilizados em diversos setores, atémesmo os setores governamentais no mundointeiro utilizam este recurso.

IPSEC – Internet Protocol Security

• O IPSec é um protocolo padrão de camada 3projetado pelo IETF que oferece transferênciasegura de informações fim a fim através de redeIP pública ou privada.

• Essencialmente, ele pega pacotes IP privados,realiza funções de segurança de dados comocriptografia, autenticação e integridade, e entãoencapsula esses pacotes protegidos em outrospacotes IP para serem transmitidos.

• As funções de gerenciamento de chaves tambémfazem parte das funções do IPSec.


• Tal como os protocolos de nível 2, o IPSectrabalha como uma solução para interligaçãode redes e conexões via linha discada.

• Ele foi projetado para suportar múltiplosprotocolos de criptografia possibilitando quecada usuário escolha o nível de segurançadesejado.


• Os requisitos de segurança podem serdivididos em 2 grupos, os quais sãoindependentes entre si, podendo ser utilizadode forma conjunta ou separada, de acordocom a necessidade de cada usuário:

• Autenticação e Integridade;

• Confidencialidade.

Aplicações para redes privadas virtuais

• ACESSO REMOTO VIA INTERNET

• O acesso remoto a redes corporativas através daInternet pode ser viabilizado com a VPN atravésda ligação local a algum provedor de acesso(Internet Service Provider - ISP).

• A estação remota disca para o provedor deacesso, conectando-se à Internet e o software deVPN cria uma rede virtual privada entre o usuárioremoto e o servidor de VPN corporativo atravésda Internet.

ACESSO REMOTO VIA INTERNET

CONEXÃO DE LANS VIA INTERNET

• Uma solução que substitui as conexões entreLANs através de circuitos dedicados de longadistância é a utilização de circuitos dedicadoslocais interligando-as à Internet.

• O software de VPN assegura esta interconexãoformando a WAN corporativa.


• A depender das aplicações também, pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito dedicado local ficando disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.

CONEXÃO DE COMPUTADORES NUMA INTRANET

• Em algumas organizações, existem dadosconfidenciais cujo acesso é restrito a um pequenogrupo de usuários.

• Nestas situações, redes locais departamentais sãoimplementadas fisicamente separadas da LANcorporativa.

• Esta solução, apesar de garantir a"confidencialidade" das informações, criadificuldades de acesso a dados da redecorporativa por parte dos departamentosisolados.


• As VPNs possibilitam a conexão física entre redeslocais, restringindo acessos indesejados atravésda inserção de um servidor VPN entre elas.

• Observe que o servidor VPN não irá atuar comoum roteador entre a rede departamental e oresto da rede corporativa uma vez que o roteadorpossibilitaria a conexão entre as duas redespermitindo o acesso de qualquer usuário à rededepartamental sensitiva.


• Com o uso da VPN o administrador da rede podedefinir quais usuários estarão credenciados aatravessar o servidor VPN e acessar os recursosda rede departamental restrita.

• Adicionalmente, toda comunicação ao longo daVPN pode ser criptografada assegurando a"confidencialidade" das informações.

• Os demais usuários não credenciados sequerenxergarão a rede departamental.

Tunelamento

• As redes virtuais privadas baseiam-se natecnologia de tunelamento cuja existência éanterior às VPNs.

• Ele pode ser definido como processo deencapsular um protocolo dentro de outro.

• O uso do tunelamento nas VPNs incorpora umnovo componente a esta técnica: antes deencapsular o pacote que será transportado, esteé criptografado de forma a ficar ilegível caso sejainterceptado durante o seu transporte.

Tunelamento

• O pacote criptografado e encapsulado viajaatravés da Internet até alcançar seu destino ondeé desencapsulado e decriptografado, retornandoao seu formato original.

• Uma característica importante é que pacotes deum determinado protocolo podem serencapsulados em pacotes de protocolosdiferentes.

• Por exemplo, pacotes de protocolo IPX podem serencapsulados e transportados dentro de pacotesTCP/IP.

Tunelamento

• O protocolo de tunelamento encapsula o pacotecom um cabeçalho adicional que contéminformações de roteamento que permitem atravessia dos pacotes ao longo da redeintermediária.

• Os pacotes encapsulados são roteados entre asextremidades do túnel na rede intermediária.

• Túnel é a denominação do caminho lógicopercorrido pelo pacote ao longo da redeintermediária.

Tunelamento

• Após alcançar o seu destino na redeintermediária, o pacote é desencapsulado eencaminhado ao seu destino final.

• A rede intermediária por onde o pacote trafegarápode ser qualquer rede pública ou privada.

• Note que o processo de tunelamento envolveencapsulamento, transmissão ao longo da redeintermediária e desencapsulamento do pacote.

Tunelamento

Protocolos de tunelamento

• Para se estabelecer um túnel é necessário queas suas extremidades utilizem o mesmoprotocolo de tunelamento.

• O tunelamento pode ocorrer na camada 2 ou3 (respectivamente enlace e rede) do modelode referência OSI (Open SystemsInterconnection).

Protocolos de tunelamento

• Tunelamento em Nível 2 - Enlace - (PPP sobreIP)

• O objetivo é transportar protocolos de nível 3,tais como o IP e IPX na Internet.

• Os protocolos utilizam quadros como unidadede troca, encapsulando os pacotes da camada3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol).

O funcionamento dos túneis

• Nas tecnologias orientadas à camada 2 (enlace),um túnel é similar a uma sessão, onde as duasextremidades do túnel negociam a configuraçãodos parâmetros para estabelecimento do túnel,tais como endereçamento, criptografia eparâmetros de compressão.

• Na maior parte das vezes, são utilizado sprotocolos que implementam o serviço dedatagrama.


• A gerência do túnel é realizada atravésprotocolos de manutenção.

• Nestes casos, é necessário que o túnel sejacriado, mantido e encerrado. Nas tecnologiasde camada 3, não existe a fase de manutençãodo túnel.

• Uma vez que o túnel é estabelecido os dadospodem ser enviados.


• O cliente ou servidor do túnel utiliza umprotocolo de tunelamento de transferência dedados que acopla um cabeçalho preparando opacote para o transporte.

• Só então o cliente envia o pacote encapsulado narede que o roteará até o servidor do túnel.

• Este recebe o pacote, desencapsula removendo o cabeçalho adicional e encaminha o pacote original à rede destino.

• O funcionamento entre o servidor e o cliente do túnel é semelhante.

Referencias Bibliográficas

• STRACCIALANO, André L.; et al. Segurança eServiços de Redes. In: Livro Didático do CursoTécnico em Redes de Computadores – Módulo 3.Anhanguera Publicações.

• LOPES, Raquel. Melhores Práticas para a Gerênciade Redes de Computadores. Rio de Janeiro:Campus, 2003

• Nakamura, Emílio Tissato e GEUS, Paulo Lício de.Segurança em Redes. 4ª ed. São Paulo: Novatec,2007.

revisão - marcianodionizio.files.wordpress.com · ele cria o arquivo de log e registra todos os...

Documents