Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 Firewall e Proxy
2
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Conceito 2 De acordo com os autores, Cheswick e Bellovin, um firewall é uma coleção de componentes ou um sistema localizado entre duas redes e que possui as seguintes propriedades: Todo o tráfego entrante e sainte, obrigatoriamente, deverá passar pelo firewall Somente tráfego autorizado de acordo com a política de segurança local deverá ter permissão de passar pelo firewall O próprio firewall deve ser imune a invasões
3
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 3 Conceito
4
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Algumas perguntas devem ser respondidas 4 O que estou tentando proteger? De quem/quê você está tentando se proteger? Em que você confia? Como você pode proteger seu site (rede)?
5
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes O que um firewall pode fazer 5 Concentrar tráfego de entrada/saída em um ponto único, permitindo tomar ações de forma centralizada. Impor a política de segurança. Registrar de forma eficiente atividades na Internet. Limitar a exposição da rede.
6
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes O que um firewall não pode fazer 6 Proteger a empresa contra usuários internos que copiam a informação (sem usar a rede) para fins maliciosos. Proteger o tráfego que não passa por ele. Proteger contra vírus e códigos maliciosos. Proteger contra falhas de protocolos e aplicações. Não podem definir de forma automática o que é certo ou errado.
7
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Pacotes e Protocolos 7 É pré-requisito para operacionalização de um firewall entender as características de pacotes e protocolos sobre os quais serão aplicadas as regras de firewall. Vamos relembrar os principais protocolos utilizados na criação de regras em um firewall. IP, ICMP, TCP e UDP.
8
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Encapsulamento de Dados 8
9
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes IP (Internet Protocol) 9
10
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes ICMP (Internet Control MessageProtocol) 10
11
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes TCP (Transmission Control Protocol) 11
12
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes UDP (User Datagram Protocol) 12
13
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Tipos de Firewall 13
14
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 14 Filtro de Pacotes Foi uma das primeiras tecnogias de firewall utilizada. Monitora os pacotes que passam pelo o Firewall, e com base nas regras criadas tomam a decisão de bloquear ou permitir o tráfego. A maioria dos roteadores possuem essa tecnologia e quando chamamos de Screening Router. Cabe ressaltar que firewall deste tipo inspecionam os protocolos da camada de rede e transporte, sendo assim, as regras que podem ser construídas estão relacionadas aos campos: IP de origem e destino, tipo de procolo (ip, tcp e udp), porta de origem e destino (TCP ou UDP, tipo de mensagem ICMP e tamanho do pacote.
15
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 15 Filtro de Pacotes Tipo Stateless ou também chamado de estático, não guarda o estado dos pacotes enviados préviamente. Sendo assim, não é capaz de validar se um pacote que está entrando na rede está associado a uma requisição anterior. Tipo Statefull ou também chamado de dinâmico guarda o estado dos pacotes enviados, dessa forma é possível criar regras que pemitam a entrada de pacotes na rede interna que sejam respostas de requisições anteriores.
16
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 16 Filtro de Pacotes
17
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 17 Filtro de Aplicação (Proxy) Filtros de aplicação são tecnologias de firewall mais sofisticadas que permitem manipular pacotes no nível de protocolos da camada de aplicação (http, ftp, dns, etc.). Proxies podem ser vistos como um serviço intermediário. Sua máquina pede algo ao proxy, o mesmo avalia o pedido e obtém o solicitado ou nega a solitação. Proxies também podem ser utilizado para melhorar o desempenho do acesso a Internet, realizando cache da informação que foi obtida e reutilizando-a caso outra requisição igual seja feita.
18
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 18 Proxy transparente Proxies podem classificados como transparentes ou não transparentes. Quando um proxy é do tipo transparente nenhuma modificação precisa ser realizada nas máquinas dos usuários, inclusive os usuários não sabem da sua existência. Na utilização de um proxy transparente é necessário que algum dispositivo redirecione o tráfego que seria enviado para Internet para o proxy. Ou que o proxy seja o ponto de contato com a Internet de forma semelhante a uma arquitetura Dual Homed. Apesar de no primeiro momento o proxy transparente parecer sempre a melhor escolha nem todos os protocolos trabalham adequadamento sobre esta tecnologia.
19
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes Proxy – Arquitetura Dual-Homed Host 19
20
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 20 Proxy não transparente Quando um proxy é do tipo não transparente os aplicativos precisam ser configurados para encaminharem suas solicitações para o proxy. Atualmente existem algumas formas de realizar a configuração acima de maneira automatizada, que são: o GPO no Windows. o Através de Scripts de Shell no Linux ou Windows. o Através de WPAD (Web Proxy Autodiscovery Protocol) a configuração pode ser feita no DHCP ou DNS. Frequentemente o arquivo chama-se wpad.dat.
21
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 21 Proxy não transparente
22
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 22 Proxy não transparente
23
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 23 Proxy não transparente (linha de comando) http://technet.microsoft.com/pt-br/library/cc731131(v=ws.10).aspx
24
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 24 Proxy não transparente (linha de comando) Essa configuração deve ser adicionada no arquivo ~/.bashrc ou ~/.bash_profile para definir o proxy para um usuário específico ou em /etc/profile para definir para o sistema.
25
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 25 Network Address Translation (NAT) Apesar desta tecnologia não ter sido desenvolvida pensando em requisitos de segurança. Ajuda ocultar a estrutura da rede e força as conexões passarem por um único ponto de controle. Frequentemente o NAT é realizado nas soluções de Firewall. Basicamente o que o NAT faz é trocar o endereço de origem de um pacote quando este é enviado para Internet. Já quando um pacote vem da Internet o NAT deve trocar o endereço de destino, para que seja enviado para máquina correta dentro da rede. Quanto o NAT troca tanto o endereço de origem como a porta de origem ele é chamado de PAT (Port and Address Translation) ou NAPT (Network Address and Port Translation).
26
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 26 Network Address Translation (NAT)
27
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 27 Port and Address Translation (PAT)
28
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 28 Arquiteturas de Firewall Firewall consiste em um conjunto de componentes agrupados de uma forma a garantir certos requisitos de segurança. Determinadas arquiteturas recebem denominações especiais e uma infinidade de variantes podem ser obtidas a partir destas. Existem arquiteturas que firewall de uma única camada ou de multiplas camadas, veremos as principais nos slides a seguir.
29
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 29 Arquitetura Screnning Router Nesta arquitetura um roteador faz o papel de filtro de pacote, como mostra a figura.
30
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 30 Arquitetura Dual-Homed host Nesta arquitetura utiliza-se de uma máquina com pelo menos duas interfaces de rede.
31
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 31 Arquitetura Screened Host Nesta arquitetura o roteador de borda prover serviços somente para um computador da rede interna (Bastion Host). Esta máquina atua como um proxy para as demais máquinas.
32
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 32 Arquitetura Screened subnet Adiciona uma camada extra de segurança, introduzindo um perímetro de rede que isola a rede interna da Internet.
33
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 33 Arquitetura Split-Screened subnet Existe ainda um roteador interno e um roteador externo, porém multiplas redes estão entre os dois roteadores. Em geral screened networks são conectadas através de um ou mais host dualhomed, não por um roteador.
34
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 34 Arquitetura Split-screened subnet (variação) Esta variação utiliza duas interfaces em cada Bastion Host …
35
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 35 Arquitetura - Independent Screened Subnets Utilizando multiplos e isolados perímetros de rede.
36
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 36 Variações de Arquitetura Esta arquitetura uniu as funções de roteador exterior e interior em um único roteador.
37
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 37 Variações de Arquitetura Esta arquitetura uniu as funções de roteador exterior e bastion host em uma única máquina.
38
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 38 Variações de Arquitetura Cuidado. Arquitetura não indicada, pois se o Bastion Host for comprometido o tráfego interno poderá ser capturado.
39
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 39 Variações de Arquitetura Cuidado. Arquitetura não indicada, pois o tráfego interno poderá ser enviado para a rede de perímetro.
40
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 40 Variações de Arquitetura Dividindo as redes internas com o uso de um roteador.
41
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 41 Variações de Arquitetura Utilizando um backbone interno para dividir as redes.
42
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 42 Variações de Arquitetura Utilizando mais de um roteador externo.
43
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 43 Arquitetura com Firewall Interno Objetivo proteger partes de suas redes internas de outras partes.
44
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 44 Projeto de Firewall Algumas perguntas devem ser respondidas para que se aumente a probabilidade de sucesso da solução. Necessidades: 1.Qual será realmente a função do Firewall? 2.Quais serviços você precisa oferecer? 3.Qual o nível segurança necessário? 4.Qual será o uso da rede? 5.Qual o nível de confiabilidade (neste caso disponibilidade) necessário?
45
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 45 Projeto de Firewall Restrições: 1.Quanto disponho ($) para o projeto? 2.Qual a disponibilidade e conhecimento da sua equipe? 3.Questões de ambientes (restrições políticas)? Avaliação de produtos: 1.Escalabiliade 2.Confiabilidade e Redundância 3.Auditabilidade (Logs, Interface gráfica, etc.) 4.Preço Total (TCO)
46
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 46 Projeto de Firewall Gerenciamento e Configuração: 1.Adaptabilidade 2.Adequação Colocando tudo junto: 1.Para onde irão os logs e como? 2.Como será feito o backup do sistema? 3.De quais outros serviços o firewall depende (DNS, TFTP, RADIUS, etc.) 4.Como será o acesso ao firewall (local e remoto)? 5.Onde e como serão serão armazenados os relatórios ? 6.Para onde irão os alertas e como?
47
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 47 Política padrão de um Firewall Deve ser definido qual será a política padrão do firewall, podendo ser: Restritiva Nesta política tudo que não for explicitamente permitido é por padrão proibido. Permissiva Nesta política tudo que não for explicitamente proibido é por padrão permitido. A política restritiva é mais utilizada em implementações de firewall empresarias.
48
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 48 Firewall Pessoal Além de firewall que são utilizados para proteger rede, existem também produtos para proteger o computador (End Point). Este tipo de firewall permite proteger máquinas das redes internas de outras máquinas dessa mesma rede, por exemplo, um ataque interno, intencional ou não intecional. Este tipo de firewall ficou muito conhecido no tempo que se utilizava linhas discadas para acesso a Internet. A maioria dos sistemas operacionais já possuem uma solução de firewall pessoal, contudo existem diversos produtos pagos ou gratuitos que podem ser instalados para esse fim.
49
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 49 Firewall Pessoal
Apresentações semelhantes
