Sie sind auf Seite 1von 12

Apostila de Segurana de Redes

Faculdade Batista de Minas Gerais


Curso Superior em Redes de Computadores

APOSTILA DE SEGURANA EM REDES


Material de apoio para a disciplina de Segurana em Redes

Verso 1.0 01/2014

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 1

Apostila de Segurana de Redes

Sumrio
CAPTULO II - FIREWALL ................................................................................................................................... 3
POLITICAS DE FIREWALL .............................................................................................................................. 3
Listas negras e listas brancas .......................................................................................................................... 4
Firewalls sem estado e com estado ................................................................................................................. 4
Firewalls sem estado .................................................................................................................................... 4
Firewalls com estado .................................................................................................................................... 5
............................................................................................................ 7
Como NAT funciona ...................................................................................................................................... 8
Zona desmilitarizada ( DMZ ) ........................................................................................................................... 9
Arquiteturas de DMZ ..................................................................................................................................... 9
Exerccios do Captulo .................................................................................................................................... 10
Pesquisa ......................................................................................................................................................... 10
Questes de Projeto ....................................................................................................................................... 10
Materiais de Apoio .......................................................................................................................................... 12

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 2

Apostila de Segurana de Redes

CAPTULO II - FIREWALL
devidamente sabido que administradores de redes de computadores , cada vez mais, devem tomar uma
srie de medidas e cuidados no que diz respeito segurana digital , para a proteo dos ativos de organizaes
contra as ameaas digitais que esto cada vez mais sofisticadas. fato de que a rede pblica , denominada e
difundida amplamente como Internet, possui ameaas dignas de causar danos irreparveis ambientes digitais de
organizaes e pessoas fsicas, ameaando o bem mais valioso desse contexto, que a informao. Para proteo
das redes privadas ( redes de empresas e pessoais ) das ameaas vindas da Internet , adota-se geralmente uma
srie de tecnologias que so implementadas em diversas camadas para proteo e conteno dos ataques, que
sero exploradas no CAPITULO XX. Em uma dessas camadas adotado o Firewall , que consiste em tecnologia que
seu principal objetivo inspecionar e filtrar o trfego de rede entrada e sada , no qual se baseia em um conjunto
predefinido de regras que so denominadas de polticas de firewall.
Os firewalls so comumente utilizados sob dois objetivos, de proteo e o de censura. O de proteo visa
blindar a rede contra atacantes mal-intencionados no intuito de causar algum dano no que diz respeito quebra de
um dos pilares da segurana da informao (confidencialidade, integridade e disponibilidade). J a medida de
censura , evita que seus colaboradores das empresas usem protocolos ou acessem contedos no qual a empresa
julga imprprio. Apesar da censura ser mais usual e implementada utilizando outra tecnologia de segurana (proxy),
os firewalls podem tambm realizar essa tarefa / funo.
Do ponto de vista de implementao, os firewalls podem ser implantados em hardware ou software. Firewalls
implementados em hardware so conhecidos como appliance (dispositivo de hardware separado e discreto com
software integrado). J os firewalls disponibilizados por software , h a necessidade da aquisio de ambiente de
hardware para a instalao do mesmo. Geralmente so adotados no permetro / borda de uma rede interna
Nessa topologia
no confivel
confiana e quaisquer maquinas, como um firewall, situadas entre a Internet e a rede
interna de
esto
, conceito esse que ser
explorado mais a frente. Do ponto de vista de implementao, os
para proteo de
redes e podem ser implementados em computadores pessoais. O casamento da implantao de firewalls em redes
aliado com a instalao em computadores pessoais aumenta

POLITICAS DE FIREWALL
A implementao de um Firewall em uma organizao pode ser realizada em diferentes abordagens
conceituais para definio de polticas de firewall. Uma poltica de segurana executada em firewall consiste em iuma
regra que define o que permitido e o que no permitido o acesso de pacotes que fluem de uma rede para outra.
Os pacotes que fluem atravs de um firewall podem ter um dos seguintes estados:

Aceito: permitido passar pelo firewall

Descartado: no permitido passar, sem indicao de falha

Rejeitado: no permitido passar, envia pacote origem para informao de que o pacote foi
rejeitado.
As politicas que so utilizadas pelo firewall para tratar pacotes so baseadas em diversas propriedades dos
pacotes que esto sendo inspecionados / verificados, incluindo o protocolo usado (como TCP ou UDP), os endereos
IP de origem e de destino, as portas de origem e de destino, dentre outras informaes.

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 3

Apostila de Segurana de Redes

Listas negras e listas brancas


Existem basicamente duas formas de criao de polticas de segurana em um firewall, evitando assim
vulnerabilidades em relao redes externas. A primeira abordagem trata das Listas Negras ( Black Lists ) , onde
adota-se a estratgia da permisso de trfego de todos os pacotes , exceto aqueles que se enquadram nas regras
definidas especificamente. Como exemplo, cito a implementao em uma empresa de txtil, onde todo o acesso
internet liberado, exceto os acessos aos protocolos de redes p2p ( torrentes ). Esse tipo de configurao
flexvel no sentido de assegurar que o servio da rede interna no
inseguro da
perspectiva de segurana por assumir que o administrador de rede pode enumerar todas as propriedades de trafego
malicioso.
Outra abordagem de implementao de polticas de firewall a adoo das listas brancas, no qual todos os
pacotes or padro so rejeitados ou dropados pelo Firewall, a menos que sejam especificamente permitidos nas
regras do firewall. Por exemplo, um administrador de rede pode decidir que o nico trfego legitimo
trfego HTTP destinado ao servidor Web e que todos os outros devem ser descartados na entrada. Ainda
que essa configurao exija grande familiaridade com os protocolos usados pela rede interna, ele fornece a mxima
precauo na deciso de qual trfego aceitvel / permitido.

Firewalls sem estado e com estado


As polticas de firewalls que so implementadas podem basear-se em propriedades de pacotes
isoladamente, ou podem considerar pacotes em um contexto mais amplo. Existem duas propriedades de firewalls, os

Firewalls sem estado


So os firewalls que no mantm armazenado os contextos

relao
O firewall trata
pacotes anteriormente processados., ou seja , se um dado pacote faz parte de uma conexo existente.
Firewalls sem estado possuem pouca flexibilidade em relao a firewalls com estado. Como exemplo ,
suponhamos que um usurio em uma rede interna desejando se conectar via TCP a um site externo. Primeiro, o
usurio inicia a conexo enviando um pacote TCP marcado com o indicador SYN ligado. Para que esse pacote seja

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 4

Apostila de Segurana de Redes

permitido, o firewall deve permitir a sada de pacotes originados do IP do usurio, por qualquer porta que o usurio
enviar a requisio. A seguir, o servidor Web responde com um pacote que tem os indicadores SYN e ACK ligados.
Para esse pacote poder passar, o firewall deve permitir a entrada de pacotes do servidor Web, presumivelmente
origina- dos da porta apropriada para trfego Web (ver Figura abaixo).

Bloqueio de pacotes indesejados


Note que, se fosse usada a politica acima, todo o trfego de um servidor Web originado na porta default para
servidores Web passaria pelo firewall e iria para a mquina do usurio, o que pode ser indesejvel. Essa politica
pode ser um pouco restringida, observando que o firewall no precisa permitir que apenas pacotes TCP marcados
com o indicador SYN alcancem o usurio. (ver prxima figura ). Embora essa restrio possa evitar que partes
externas iniciem conexes TCP com uma mquina interna, no evitaria a sondagem da rede com outros pacotes no
marcados com o indicador SYN.
Firewalls com estado
Como firewalls sem estado no mantm registro de qualquer trfego anterior, eles no tem
g
no
solicitado. Firewalls com estado, por outro lado, podem saber quando pacotes fazem parte de sesses legitimas
originadas dentro de uma rede confivel. Firewalls com estado mantm tabelas contendo informao sobre cada
conexo ativa, incluindo os endereos IP, portas e nmeros de sequencia de pacotes. Usando essas tabelas,
firewalls com estado podem resolver o problema de permitir ape
o as respostas
a uma conexo iniciada dentro da rede. Assim que o estabelecimento da comunicao inicial estiver completo e
permitido pelo firewall, todas as comunicaes subsequentes por essa conexo sero permitidas, a
conexo
seja finalmente encerrada. (Ver Figura abaixo )

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 5

Apostila de Segurana de Redes

Tratar conexes TCP significa que ambas as partes devem fazer um handshake inicial para estabelecer a
conexo

. Tratar trfego UDP no


to claro, devido ao
protocolo no realizar estabelecimento da conexo para comunicao

legitimo
permitidas todas as transmisses
seja atingido.
Como vantagem, firewalls com estado permite a administradores aplicar regras mais restritivas para trfego
g
g
desejvel
g
g
g
nome menciona
g

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 6

Apostila de Segurana de Redes

Traduo de Endere
Em redes de computadores, NAT , Network Address Translation, tambm conhecido como masquerading
uma tcnica que consiste em reescrever os endereos IP de origem de um pacote que passam por
um router ou firewall de maneira que um computador de uma rede interna tenha acesso ao exterior ou Rede Mundial
de Computadores (rede pblica).
A traduo de e
rede (Network Address Translation, NAT)
uma rede privada( rede local ) compartilhem um nico endereo
Esse tipo de NAT conhecido como n:1.
Existe outra possibilidade de NAT que uma mquina de uma rede privada saia para a internet com um
endereo traduzido exclusivo, ou seja , apenas esse host que encontra-se em uma rede privada sair para a rede
pblica com o mesmo endereo traduzido. Esse tipo de NAT conhecido como 1:1.
disseminado de NAT retardou significativamente
g
i
responsvel

conforme figura abaixo:

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 7

Apostila de Segurana de Redes

Como NAT funciona

contm entradas da seguinte forma:


g

Um roteador NAT escreve dinamicamente os cabealhos de todos os pacotes TC


g
origem e a port

g
g

g
campo de porta de

origem do cabealho IP para conter a porta recm


g
g
verificao contidas no pacote, incluindo aquelas usadas por IP e
TCP/UDP, para refletir as alteraes
Ao receber uma resposta, o roteador NAT consulta sua tabela de pes
g
g
g
dor NAT
reescreve os cabealhos
Esse processo gerencia com eficincia

g
como uma caracterstica de segurana

ser visto
alcanar

com a Internet externa.

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 8

Apostila de Segurana de Redes

A traduo
- externas. Alm disso, NAT pod
g
simplificar as redes domsticas.

Zona desmilitarizada ( DMZ )


Zona desmilitarizada (DMZ ) , em segurana da informao, a sigla para de DeMilitarized Zone. Tambm
conhecida como Rede de Permetro, a DMZ uma pequena rede situada entre uma rede confivel e uma no
confivel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem
acesso externo (tais como servidores HTTP,FTP, de correio eletrnico, etc) junto em uma rede local, limitando assim
o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para atingir este objetivo
os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local. A configurao
realizada atravs do uso de equipamentos de Firewall, que vo realizar o controle de acesso entre a rede local, a
internet e a DMZ (ou, em um modelo genrico, entre as duas redes a serem separadas e a DMZ). Os equipamentos
na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porm neste ltimo caso devem ser
configuradas Redes Virtuais distintas dentro do equipamento, tambm chamadas de VLANs (Ou seja, redes
diferentes que no se "enxergam" dentro de uma mesma rede - LAN). O termo possui uma origem militar,
significando a rea existente para separar dois territrios inimigos em uma regio de conflito. Isto utilizado, por
exemplo, para separar as Coria do Norte e do Sul.

Arquiteturas de DMZ

Three-Pronged Firewall - Designa-se assim derivado da utilizao de uma firewall com 3 pontos de rede, um
para a rede privada, outro para a rede pblica e outro ainda para a DMZ. Esta arquitetura caracteriza-se por ser
simples de implementar e de baixo custo, no entanto, mais vulnervel e tem uma performance mais reduzida em
comparao DMZ com 2 firewalls.
Multiple Firewall DMZ - So utilizados diversas firewalls para controlar as comunicaes entre as redes
externa pblica e interna (privada). Com esta arquitetura temos uma segurana mais efetiva podemos balancear a
carga de trfego de dados e podemos proteger vrias DMZ's para alm da nossa rede interna. De um modo geral
podemos dizer que as regras de segurana aplicadas a uma DMZ so:

A rede interna pode iniciar conexes a qualquer uma das outras redes mas nenhuma das outras redes pode
iniciar conexes nesta.
A rede pblica (internet) no pode iniciar conexes na rede interna mas pode na DMZ.
A DMZ no pode fazer conexes rede interna mas pode na rede pblica.

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 9

Apostila de Segurana de Redes

Exerccios do Captulo
1. Qual o principal objetivo do Firewall?
2. Quando mencionado o termo redes pblicas e redes privadas , em que o firewall pode ser o
elemento que realiza a segurana dessas redes, explique no contexto de redes de computadores, o
conceito de redes pblicas e redes privadas.
3. Os firewalls so implementados sob dois objetivos claros: o de proteo e o de censura. Explique
esses dois conceitos.
4. De quais formas os firewalls podem ser instalados? Explique cada um e vantagens e desvantagens de
um para o outro.
5. Quais so as abordagens para criao de polticas de firewall? Explique cada uma.
6. Qual a diferena dos firewalls sem estado para os firewalls com estado?
7. Como os firewalls com estado lidam com conexes UDP?
8. Qual a principal funo do NAT? Explique seu funcionamento.
9. Qual o objetivo da DMZ?
10. Explique quais so as arquiteturas de DMZ disponveis.

Pesquisa
1. Confeccione uma tabela contendo os principais protocolos da camada de aplicao usados em redes
privadas ou pblicas. Dever ter a informao do nome do protocolo , tipo ( tcp ou udp ) , porta , e
descrio do mesmo. Voc dever listar ao menos 10 protocolos.
2. Em segurana de redes , existe uma tcnica denominada IP Spoofing. Explique como essa tcnica
funciona e como a mesma pode afetar a segurana de uma rede. Procure na Internet vdeos
relacionados.
3. Pesquise e descreva quais so os IPs pblicos e os IPs privados no contexto de redes de
computadores.

Questes de Projeto
1. Em uma empresa fictcia de confeco de PNEUS, temos uma rea de TI que responsvel por manter
todas as questes relacionadas ao suporte de infraestrutura dos servidores dessa empresa.

Nessa empresa existe um CPD com os seguintes servios, que podem ser acessadas
internamente e externamente empresa.
i. Servidor de e-mail ( Envio e Recebimento );
ii. Servidor Web;
iii. Servidor de transferncia de Arquivos ( FTP );

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 10

Apostila de Segurana de Redes

Alm disso, a empresa contm cerca de 50 equipamentos desktops para acesso Internet e aos
servidores.

Baseado nas informaes acima, faa as seguintes atividades:

IP DE ORIGEM

Descreva uma topologia de redes utilizando a tecnologia de firewall para proteo dessa rede.
Atribua endereos IPs para a topologia a ser criada.
Faa uma tabela contendo a lista de servidores , endereo IP dos mesmos e os servios que so
rodados nesse servidor.
Faa uma tabela contendo as polticas de firewall dessa arquitetura, contendo o seguinte
formato:

IP DE DESTINO

PORTA DE ORIGEM

PORTA DE
DESTINO

AO

Ao: ACCEPT , DROP , REJECT

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 11

Apostila de Segurana de Redes

Materiais de Apoio

Apresentao disponibilizada pelo professor.


Videos:
o Funcionamento dos protocolos de redes, firewalls, outros.
https://www.youtube.com/watch?v=IOIWEjh5QNA
o Funcionamento do Firewall.
https://www.youtube.com/watch?v=sIjDwCSxNRQ
o Aula d Firewall Senac RS
https://www.youtube.com/watch?v=DQy3-vUYOYI

Apostila de Segurana de Redes de Computadores


Prof. Alexandre Sauer Pais Lemes

Pgina 12