Prof. Celso Cardoso Neto. 2 Roteiro b Introdução b Características do Firewall b Tipo de Firewall...
Transcript of Prof. Celso Cardoso Neto. 2 Roteiro b Introdução b Características do Firewall b Tipo de Firewall...
Prof. Celso Cardoso Neto
2
RoteiroRoteiro
IntroduçãoIntrodução Características do Características do FirewallFirewall Tipo de FirewallTipo de Firewall
• Filtro de PacotesFiltro de Pacotes
• Servidores ProxyServidores Proxy
Tipos avançados de Tipos avançados de FirewallFirewall• Bastion HostBastion Host
• FirewallsFirewalls híbridos híbridos
3
Roteiro Roteiro (cont)(cont)
Arquiteturas de Arquiteturas de FirewallFirewall
• Screened HostScreened Host
• Screened SubnetScreened Subnet
ConclusãoConclusão
ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA EMPRESA
INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE REDE, FILTRANDO O QUE PODE PASSAR OU NÃO
FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS PLACAS DE REDE
DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A REDE É PRIVADA (SEGURA)
FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES: RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)
INTRODUÇÃO
ESQUEMA BÁSICO DE IMPLANTAÇÃO DE UM “FIREWALL”
ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL PROTEGENDO UMA REDE CONECTADA À INTERNET
ESQUEMA EMPREGANDO UM “FIREWALL” E UM ROTEADOR PARA CONECTAR UMA REDE À INTERNET
É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES
ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL
A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO MUDOU.A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES
UM HACKER QUE INVADISSE UM SERVIDOR WEB NA REDE INTERNA PODERIA CAUSAR DANOS NA REDE DA EMPRESA. ASSIM, SURGIU A SOLUÇÃO AO LADO.O SERVIDOR WEB FICA FORA DA ZONA DE PROTEÇÃO DO FIREWALL
ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL, MAS COM O SERVIDOR DE BD WEB DENTRO
A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA REDE INTERNA.NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA
A SOLUÇÃO APONTOU PARA O ESQUEMA AO LADO, COLOCANDO O BD NA REDE INTERNA E ABRINDO UMA REGRA NO FIREWALL PERMITINDO QUE O SERVIDOR WEB ACESSASSE ESTE BD.É SOLUÇÃO SEGURA ? NÃO.
QUAL A SOLUÇÃO PARA O PROBLEMA ?
É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁ-LO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ? A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”)
ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - FALHA)
REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO OS SERVIDORES WEB E DE BDNO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE INTERNA. AGORA TUDO ESTAVA PROTEGIDO, O ACESSO À REDE INTERNA NEGADO, MAS SE UM HACKER OBTÉM ACESSO AO SERVIDOR WEB TAMBÉM ACESSA O BDQUEM DESEJA ACESSO À REDE INTERNA SE JÁ TEM ACESSO AO BD DE UM HOME BANKING (POR EXEMPLO) ?
ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - SOLUÇÃO PARA A FALHA)
OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ INDICADA NA FIGURA
AGORA APENAS O SERVIDOR WEB ESTÁ NA DMZ. O FIREWALL 2 (INTERNO) PERMITE APENAS O ACESSO NECESSÁRIO AO BD, EVITANDO MUITAS DAS ALTERAÇÕES QUE UM ACESSO TOTAL À MÁQUINA ONDE ESTÁ O SERVIDOR PERMITIRIA
12
ObjetivosObjetivos
Alto índice de ataques a redesAlto índice de ataques a redes
Necessidade de controle de Necessidade de controle de
tráfegotráfego
Garantir integridade aos serviçosGarantir integridade aos serviços
Alta demanda dos serviços da Alta demanda dos serviços da
InternetInternet
13
FirewallFirewall
Definição de Definição de FirewallFirewall Funções do FirewallFunções do Firewall Estrutura de um FirewallEstrutura de um Firewall Classificação básicaClassificação básica
14
FirewallFirewall
Ilustração:
15
Princípios BásicosPrincípios Básicos
Toda solicitação chega ao Toda solicitação chega ao FirewallFirewall
Somente tráfego autorizado passa Somente tráfego autorizado passa pelo pelo FirewallFirewall
O próprio O próprio FirewallFirewall deve ser imune deve ser imune a penetraçãoa penetração
16
O que um Firewall O que um Firewall pode fazer?pode fazer?
É um foco para a tomada de É um foco para a tomada de decisõesdecisões
• Pode ser usado como um ponto de Pode ser usado como um ponto de partida para a política de segurançapartida para a política de segurança
Pode gravar requisiçõesPode gravar requisições
Limita a exposição da redeLimita a exposição da rede
17
O que um Firewall O que um Firewall não pode fazer?não pode fazer?
Proteger uma rede contra usuários Proteger uma rede contra usuários internosinternos
Proteger uma rede contra Proteger uma rede contra conexões que não passam por eleconexões que não passam por ele
Proteger contra ameaças Proteger contra ameaças completamente novascompletamente novas
Proteger contra vírusProteger contra vírus
18
Tipos de Tipos de FirewallFirewall
Existem dois principais tipos:Existem dois principais tipos:
• Filtro de Pacotes;Filtro de Pacotes;
• Servidores Proxy.Servidores Proxy.
19
Filtro de PacotesFiltro de Pacotes
Filtrar = peneirar, separarFiltrar = peneirar, separar
Controle do tráfego que entra e saiControle do tráfego que entra e sai
Filtro de pacotes em RoteadoresFiltro de pacotes em Roteadores
Incrementa a segurançaIncrementa a segurança
Transparente aos usuáriosTransparente aos usuários
Grande variedade no mercadoGrande variedade no mercado
20
As regras dos filtros se contém:As regras dos filtros se contém:• Endereço IP de origemEndereço IP de origem
• Endereço IP de destinoEndereço IP de destino
• Protocolos TCP, UDP, ICMPProtocolos TCP, UDP, ICMP
• Portas TCP ou UDP origemPortas TCP ou UDP origem
• Portas TCP ou UDP destinoPortas TCP ou UDP destino
• Tipo de mensagem ICMPTipo de mensagem ICMP
Filtro de PacotesFiltro de Pacotes
Internet
Roteador comFiltro de Pacotes
Rede Interna
Router
21
Filtro de PacotesFiltro de Pacotes
22
Filtragem por adapatador de rede Filtragem por adapatador de rede
– vantagem ao administrador– vantagem ao administrador
Principais problemas do filtro:Principais problemas do filtro:• IP SpoofingIP Spoofing
• Serviço troca de portaServiço troca de porta
Filtros de pacotes não tratam Filtros de pacotes não tratam
protocolos da camada de aplicaçãoprotocolos da camada de aplicação
Filtro de PacotesFiltro de Pacotes
23
Filtragem = atraso no roteamentoFiltragem = atraso no roteamento
Filtros com Filtros com Inspeção com EstadoInspeção com Estado• Utilizam as flags do TCP (ACK, SYN, Utilizam as flags do TCP (ACK, SYN,
FIN)FIN)
• Vantagens: maior controleVantagens: maior controle
Filtros de pacotes não são uma Filtros de pacotes não são uma
solução única – é um complementosolução única – é um complemento
Filtro de PacotesFiltro de Pacotes
24
Exemplos de Exemplos de regrasregras do do IP FilterIP Filter::• block in log on tun0 proto tcp from any to
any
• pass in quick on eth0 proto tcp from any to
200.28.33.22 port 23 flags S keep state
keep frags
Filtro de PacotesFiltro de Pacotes
25
Servidores Proxy Servidores Proxy
Assumem requisições de usuários Assumem requisições de usuários de uma redede uma rede
Atuam em nome do cliente de Atuam em nome do cliente de uma forma transparenteuma forma transparente
Não permitem que pacotes Não permitem que pacotes passem diretamente entre cliente passem diretamente entre cliente e servidore servidor
26
Ilustração do funcionamentoIlustração do funcionamento
Servidores Proxy Servidores Proxy
27
Métodos de utilização:Métodos de utilização:
• Método da Conexão Direta;Método da Conexão Direta;
• Método do Cliente Modificado;Método do Cliente Modificado;
• Método do Proxy Invisível.Método do Proxy Invisível.
Servidores Proxy Servidores Proxy
28
Vantagens de utilização do Vantagens de utilização do proxyproxy::
• Permite ao usuário acesso direto Permite ao usuário acesso direto
aos serviços na Internet;aos serviços na Internet;
• Possui bons mecanismos de Possui bons mecanismos de loglog;;
• Provê uma ótima separação Provê uma ótima separação
entre as redes.entre as redes.
Servidores Proxy Servidores Proxy
29
Desvantagens do Desvantagens do proxyproxy::
• Cada serviço possui o seu servidor Cada serviço possui o seu servidor
pproxyroxy; ;
• Deve ser desenvolvida uma nova Deve ser desenvolvida uma nova
aplicação para cada novo serviço;aplicação para cada novo serviço;
• Existem alguns serviços inviáveis.Existem alguns serviços inviáveis.
Servidores Proxy Servidores Proxy
30
Servidores Proxy Servidores Proxy X X Filtro Filtro de Pacotes de Pacotes
Tomada de decisões:Tomada de decisões:
• Servidor Servidor proxyproxy toma decisões toma decisões
baseado em informações baseado em informações
fornecidas pelo serviço;fornecidas pelo serviço;
• Filtro de pacotes utiliza o Filtro de pacotes utiliza o
cabeçalho do pacote.cabeçalho do pacote.
31
Desempenho:Desempenho:• Filtro de pacotes possui uma Filtro de pacotes possui uma
vantagem por estar em nível mais vantagem por estar em nível mais baixo.baixo.
Auditoria:Auditoria:• Servidor Servidor proxyproxy possui vantagem por possui vantagem por
permitir auditoria sobre o controle do permitir auditoria sobre o controle do tráfego.tráfego.
Servidores Proxy Servidores Proxy X X Filtro Filtro de Pacotes de Pacotes
32
Tipos Adicionais de Tipos Adicionais de FirewallsFirewalls
Existem dois outros tipos de Existem dois outros tipos de
firewalls alternativos:firewalls alternativos:
• Firewalls Firewalls Híbridos;Híbridos;
• FirewallsFirewalls Bastion HostsBastion Hosts..
33
Firewalls Firewalls HibrídosHibrídos
A maioria dos A maioria dos firewallsfirewalls podem ser podem ser
classificados como Filtro de classificados como Filtro de
Pacotes ou Servidores Pacotes ou Servidores ProxyProxy
Outros tipos de Outros tipos de firewalls firewalls oferecem oferecem
uma combinação entre estes doisuma combinação entre estes dois
34
Ilustração exemploIlustração exemplo
Firewalls Firewalls HibrídosHibrídos
35
Firewalls Bation HostsFirewalls Bation Hosts
Hosts fortemente protegidos
Único computador da rede que pode
ser acessado pelo lado de fora do
firewall
Pode ser projetado para ser um
servidor Web, servidor FTP, dentre
outros
36
Firewalls Bation HostsFirewalls Bation Hosts
Ilustração :
37
Honey PotChamariz para crackers;
Função de coletar dados de
tentativas de invasão;
Ferramentas de registros de logs são
mantidas o mais seguro possível.
Firewalls Bation HostsFirewalls Bation Hosts
38
Arquiteturas de FWArquiteturas de FW
O que é uma arquitetura de O que é uma arquitetura de Firewall Firewall ??
Principais:Principais:• Screened hostScreened host
• Screened subnetScreened subnet
ScreenedScreened = proteger, peneirar, = proteger, peneirar,
investigarinvestigar
39
Screened hostScreened host
Sem sub-rede de proteçãoSem sub-rede de proteção
Elementos = 1 roteador e 1 Elementos = 1 roteador e 1 bation bation
hosthost
Rede protegida sem acesso direto Rede protegida sem acesso direto
ao “mundo”ao “mundo”
Bastion hostBastion host realiza o papel de realiza o papel de
procurador – só ele passa pelo procurador – só ele passa pelo
roteadorroteador
40
• Ilustração desta arquitetura
Screened hostScreened host
41
Screened SubnetScreened Subnet
Apresenta múltiplos níveis de Apresenta múltiplos níveis de redundânciaredundância
É a mais seguraÉ a mais segura Componentes:Componentes:
• Roteador externoRoteador externo• Subrede intermediária (DMZ)Subrede intermediária (DMZ)• Bastion HostBastion Host• Roteador InternoRoteador Interno
42
O que é a DMZ (O que é a DMZ (De Militarized ZoneDe Militarized Zone)?)?
• Sub-rede entre a rede externa e a Sub-rede entre a rede externa e a protegida. Proporciona segurança.protegida. Proporciona segurança.
Rede interna somente têm acesso Rede interna somente têm acesso ao ao Bastion HostBastion Host
Somente a subrede DMZ é Somente a subrede DMZ é conhecida pela Internetconhecida pela Internet
Screened SubnetScreened Subnet
43
Ilustração desta arquiteturaIlustração desta arquiteturaScreened SubnetScreened Subnet
44
ConclusãoConclusão
Importante ferramenta na proteção Importante ferramenta na proteção
FirewallFirewall não deve ser o único não deve ser o único
componente da política de componente da política de
segurançasegurança
Qual é a melhor solução de Qual é a melhor solução de
projeto de projeto de firewallfirewall para para
redes?redes?
45
Links ÚteisLinks Úteis
Firewalls – UFRJ - Firewalls – UFRJ - http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.hthttp://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.ht
mm
Internet Firewalls – UFRGS -Internet Firewalls – UFRGS -
http://penta.ufrgs.br/redes296/firewall/fire.htmlhttp://penta.ufrgs.br/redes296/firewall/fire.html
46
PerguntasPerguntas