stateful firewalls

Download Stateful Firewalls

Post on 18-Nov-2014

2.565 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

 

TRANSCRIPT

  • 1. FIREWALLS Edgard Jamhour
  • 2. Firewalls
    • Definio:
      • Termo genrico utilizado para designar um tipo de proteo de rede que restringe o acesso a certos servios de um computador ou rede de computadores pela filtragem dos pacotes da rede.
    • Os firewalls podem ser de dois tipos:
      • Sem estado (stateless)
        • A deciso sobre a passagem ou no de um pacote considera apenas as informaes carregadas no prprio pacote.
      • Com estado (stateful) Stateful Inspection
        • A deciso sobre a passagem ou no de um pacote leva em outros pacotes que atravessaram anteriormente o firewall.
  • 3. Firewall = Bloqueio de Pacotes Aplicativo Aplicao TCP IP Enlace Fsica Aplicao Sistema operacional Placa de rede DISPOSITIVO DE REDE UDP Aplicao Servio Programa externo
  • 4. Firewalls Sem Estado
    • O tipo mais comum de firewall o sem estado:
      • A deciso sobre a passagem ou no de um pacote considera apenas as informaes carregadas no prprio pacote.
    • Utiliza usualmente apenas informaes das camadas de rede e transporte.
      • Essa simplificao permite:
        • Tornar o firewall mais rpido.
        • Tornar o firewall independente do protocolo transportado.
        • Tornar o firewall independente de criptografia e tunelamento.
  • 5. Filtragem de Pacotes sem Estado Protolco de Aplicao FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Fsica Aplicaes A filtragem de pacotes feita com base nas informaes contidas no cabealho dos protocolos. Tecnologia heterognea aplicao transporte rede enlace fsica Seqncia de empacotamento
  • 6. Filtragem de Pacotes Aplicativo Aplicao TCP IP Enlace Fsica Aplicao Sistema operacional Placa de rede FIREWALL DE REDE UDP Aplicao Aplicativo Programa externo FIREWALL PESSOAL
  • 7. Implementao Fsica
    • No software do Roteador: screening routers
    • No software de uma estao dedicada (um PC com duas placas de rede).
    REDE EXTERNA FIREWALL ROTEADOR FIREWALL ROTEADOR REDE EXTERNA REDE INTERNA REDE INTERNA PERSONAL FIREWALL
  • 8. Exemplo
    • Roteadores Cisco
      • PIX Firewall
      • Firewall
      • Roteador
      • Proxy
      • Detetor de ataques (SMTP, etc)
      • Defesa contra fragmentao de IP
      • Implementa VPN com IPsec
      • Mais de 256K sesses simultneas.
  • 9. Exemplo
    • Implementao por Software
      • Check Point Firewall
        • Interface Grfica
        • Mdulo de Firewall
        • Mdulo de Gerenciamento
      • Mtiplas Plataformas
        • Windows, Solaris, Linux, HP-UX, IBM AIX
      • Controle de Segurana e Qualidade de Servio.
  • 10. Algortmo dos Firewalls sem Estado Recebe pacote Seleciona Primeira Regra OK para Passar? OK para Bloquear ltima Regra? Bloquear Pacote Encaminhar Pacote S S N N N S Regra Default (Bloquear Tudo) Seleciona Proxima Regra
  • 11. Filtragem por Aplicao
    • Os firewalls sem estado no analisam o protocolo de aplicao para determinar o tipo de servio transportado pelo pacote.
    • A deduo do tipo de servio feito indiretamente:
      • Pelo campo Protocol Type do IP
        • RFC 1700: Assigned Numbers
          • TCP = 6, UDP = 17, ICMP = 1, etc.
      • Pelas portas quando o tipo de protocolo for 6 ou 17
        • http://www.iana.org/assignments/port-numbers
    • Todas as numeraes so padronizada pela IANA ( The Internet Assigned Numbers Authority )
  • 12. Distribuio das Portas
    • Portas Bem conhecidas ( well known ports ):
      • Geralmente usada pelos servidores de servios padronizados.
    • Portas Registradas
      • Geralmente usada por servidores proprietrios.
    • Portas Dinmicas ou Privadas:
      • Usadas pelos clientes e pelos servios no padronizados.
    0 . 1023 1024 . 49151 PORTAS TCP ou UDP 49152 . 65535
  • 13. Distribuio das Portas
    • Portas Bem Conhecidas:
      • Definidas pela IANA
      • Acessveis apenas por processos de sistema (que tenham privilgios do tipo root).
      • Desina servcos padronizados para Internet:
        • FTP (21), HTTP (80), DNS (53), etc.
      • Range: 0 a 1023
      • Geralmente, a porta mapeada a um servio em ambos os protocolos (TCP e UDP), mesmo que usualmente s seja utilizado um deles.
  • 14. Distribuio de Portas
    • Portas Registradas:
      • Listada pela IANA
      • Servio oferecido para convenincia da comunidade
      • Acessiveis por processos de usurio
      • Usadas geralmente para designar servios proprietrios:
        • Corba Management Agente (1050), Microsoft SQL Server (1433), Oracle Server (1525), etc.
      • Range: 1024 a 49151.
  • 15. Exemplos de portas bem conhecidas
  • 16. Exemplo de Regras de Filtragem [1] O smbolo "*" indica que qualquer valor aceitvel para regra. regra ao interface/ sentido protocolo IP origem IP destino Porta origem Porta destino Flag ACK 1 aceitar rede interna/ para fora TCP interno externo > 1024 80 * [1] 2 aceitar rede externa/ para dentro TCP externo interno 80 > 1023 1 3 rejeitar * * * * * * *
  • 17. Problema: Spoofing de Porta
    • Como diferenciar um ataque externo de uma resposta solicitada por um usurio interno?
    1024 ... 80 80 1024 80 1024... 65535 necessrio liberar pacotes com porta de origem 80 para que a resposta possa passar . Como evitar que a porta 80 seja usada para atacar usurios internos?
  • 18. Caracterstica da Comunicao TCP
    • Comunicao bidirecional, confivel e orientada a conexo .
        • O destino recebe os dados na mesma ordem em que foram transmitidos.
        • O destino recebe todos os dados transmitidos.
        • O destino no recebe nenhum dado duplicado.
    • O protocolo TCP rompe a conexo se algumas das propriedades acima no puder ser garantida.
  • 19. Flags TCP
    • RES : Reservado (2 bits)
    • URG : Urgent Point
    • ACK : Acknowlegment
    • PSH : Push Request
    • RST : Reset Connection
    • SYN : Synchronize Seqence Number
    • FIN : Mais dados do transmissor
  • 20. Flag ACK
    • Uma conexo TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.
    ACK=0 ACK=1 ACK=1 tempo tempo ACK=1 ...
  • 21. Filtragem com Protocolo UDP
    • Comunicao bidirecional, sem nenhum tipo de garantia .
      • Os pacotes UDP podem chegar fora de ordem.
      • Pode haver duplicao de pacotes.
      • Os pacotes podem ser perdidos.
    • Cada pacote UDP independente no contm informaes equiv

Recommended

View more >