Segurana de Rede

Segurana Perimetral Firewall

Prof. Sales Filho <salesfilho@cefetrn.br>

Objetivos

Apresentar os conceitos de firewall

Tipos de firewall Estticos Dinmicos Com estado Proxy de aplicao Proxy genrico
2

Apresentar os tipos de filtragem pacotes

Apresentar os conceitos de proxys

Firewall

Um sistema, ou conjunto de sistema, que implementa uma poltica de controle de acesso entre duas redes Intercepta todo o trfego de pacotes entre duas redes Com base na poltica de segurana interna, pode permitir ou bloquear a passagem de pacotes Os firewalls no so solues de segurana completas
3

Firewall
Deny POLTICA DE SEGURANA

Allow

Firewall

Tipos de firewall

Filtro de pacotes estticos Filtros de pacotes dinmicos Filtro de pacotes com estados (stateful packt filter) Proxy de aplicao Proxy transparente NAT

Firewall
Filtragem

de pacotes estticos

o processo que, seletivamente, permite ou bloqueia o trfego entre duas redes As regras so baseadas nas informaes contidas nos cabealhos dos pacotes
Endereo

IP de origem Endereo IP de destino Protocolos de transporte

TCP, UDP Portas de origem

Firewall

Filtragem de pacotes estticos

Em geral, so implementados junto com o processo de roteamento

Ex.: Screening routers (Roteadores escrutinadores) Asas

Filtros estticos apresentam sempre um bom desempenho (executados em nveis mais baixos) Acomodam o crescimento da rede interna

Escalabilidade

No exigem configurao especial nos softwares clientes e/ou servidores

7

Firewall

Filtragem de pacotes estticos

Vantagens
Evitam todos os ataques aos servios que no so permitidos pelas regras configradas So capazes de evitar IP Spoofing, usando endereos da rede interna Podem frear muitos ataques utilizando pacotes truncados ou flooding de pacotes

Desvantagens Ataques as aplicaes no podem ser evitados Carecem de ferramentas teis de administrao A ordem das regras MUITO importante

Firewall

Atividade Implementar as funes de screening router no Router2, impedindo que a rede 172.16.10.0/24 acesse os servios HTTP e DNS no Server0
172.16.20.0/24 172.16.30.0/24

172.16.10.0/24

Internet

F0/0 S0/0

F0/0 S0/0 S0/1

F0/0 S0/1 S0/0

9

Firewall

Filtragem de pacotes dinmicos

Mecanismo de filtro mais inteligente Utilizam tabelas de estados para tratar protocolos mais complexos Capazes de tratar servios baseados em UDP Mesmo sem estado, caso das sesses UDP, este tipo de filtro pode lembrar dos pacotes que passam pelo firewall e, com isso, permitir o trfego no sentido inverso apenas para relacionados a esses primeiros
10

Firewall

Filtragem de pacotes dinmicos

11

Firewall

Filtragem de pacotes com Estados Alm das regras de filtragem, utilizam tambm tabelas de estados de comunicaes A filtragem tradicional ocorre com o primeiro pacote da conexo ou sesso Os demais pacotes de comunicao somente sero permitidos se existir alguma entrada na tabela de estados equivalentes

12

Firewall

Filtragem de pacotes com Estados

Informaes Tabela de estado s

Atual, inclusive, em nvel de aplicao

13

Firewall

Agentes Proxy uma tecnologia de firewall que tem como objetivo principal controlar todas as comunicaes entre mquinas internas e externas (servios) Esse esquema envolve, pelo menos, duas conexes
Processo

local com o proxy Proxy com servidor remoto

Os

dados de uma conexo so repassadas para as outras e vice-

14

Firewall

Agentes Proxy
P X

Agente proxy

Extern o Conexo x Conexo x P 2 Conexo y

Intern o

Tabela de conexe s

Conexo y P 1
15

Firewall

Agentes Proxy Desempenho inferior ao de filtro de pacote Limitam o crescimento de uma rede
Escalabilidade

No

protegem o sistema operacional da prpria mquina

Precisa

de algum filtro de pacote para complementar a segurana

Em

geral, complicado implementar um agente proxy para servios UDP 16

Firewall

Proxy de Aplicao Examinam todo o fluxo da comunicao na camada de aplicao

Prov autenticao de usurios Cache de dados Logs sofisticados Controle de contedo Filtragem baseada nos comandos da camada de aplicao

Conhece aplicaes particulares

HTTP, FTP...

Nem sempre existe proxy para todas as aplicaes

17

Firewall

Proxy genrico Nem sempre possvel utilizar um proxy de aplicao

Este tipo de proxy no entendem nenhuma aplicao em particular

Deve ser usado com precauo

No conseguem tratar protocolos complexos No implementa cache No geram logs sofisticados

Apenas passa dados de uma conexo para outra

18

NAT versus Firewall

NAT (Network Address Translator) No foi feito para implementar firewall Pode ser usado para isolar completamente mquinas de uma rede local Esconde a topologia interna da rede Mquinas da rede internas utilizam endereos privados (RFC 1918) A mquina gateway faz a traduo de endereos Problema Botnets

Canais protegidos so estabelecidos

19

Componentes bsicos

Host Bastion Host Dual-Homed Host Firewall Zona desmilitarizada Rede Interna Rede externa
DMZ

Rede Externa

Rede Interna
20

Bibliografias

[Stallings 2008] Stallings, William. Criptografia e segurana de redes, 4. Ed. So Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server 2003 - a bblia. Pearson, 2003. [ESR] Segurana de Redes e Sistemas