A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

FIREWALL Prof. Celso Cardoso Neto.

PublicouAlexandre Henriques Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "FIREWALL Prof. Celso Cardoso Neto."— Transcrição da apresentação:

1 FIREWALL Prof. Celso Cardoso Neto

2 Roteiro Introdução Características do Firewall Tipo de Firewall
Filtro de Pacotes Servidores Proxy Tipos avançados de Firewall Bastion Host Firewalls híbridos

3 Roteiro (cont) Arquiteturas de Firewall Conclusão Screened Host
Screened Subnet Conclusão

4 INTRODUÇÃO ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA EMPRESA
INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE REDE, FILTRANDO O QUE PODE PASSAR OU NÃO FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS PLACAS DE REDE DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A REDE É PRIVADA (SEGURA) FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES: RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)

5 ESQUEMA BÁSICO DE IMPLANTAÇÃO DE UM “FIREWALL”
ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL PROTEGENDO UMA REDE CONECTADA À INTERNET

6 ESQUEMA EMPREGANDO UM “FIREWALL” E UM ROTEADOR PARA CONECTAR UMA REDE À INTERNET
É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES

7 ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL
A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO MUDOU. A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES UM HACKER QUE INVADISSE UM SERVIDOR WEB NA REDE INTERNA PODERIA CAUSAR DANOS NA REDE DA EMPRESA. ASSIM, SURGIU A SOLUÇÃO AO LADO. O SERVIDOR WEB FICA FORA DA ZONA DE PROTEÇÃO DO FIREWALL

8 ESQUEMA COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO DO FIREWALL, MAS COM O SERVIDOR DE BD WEB DENTRO
A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA REDE INTERNA. NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA A SOLUÇÃO APONTOU PARA O ESQUEMA AO LADO, COLOCANDO O BD NA REDE INTERNA E ABRINDO UMA REGRA NO FIREWALL PERMITINDO QUE O SERVIDOR WEB ACESSASSE ESTE BD. É SOLUÇÃO SEGURA ? NÃO.

9 QUAL A SOLUÇÃO PARA O PROBLEMA ?
É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁ-LO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ? A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”)

10 ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - FALHA)
REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO OS SERVIDORES WEB E DE BD NO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS. O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE INTERNA. AGORA TUDO ESTAVA PROTEGIDO, O ACESSO À REDE INTERNA NEGADO, MAS SE UM HACKER OBTÉM ACESSO AO SERVIDOR WEB TAMBÉM ACESSA O BD QUEM DESEJA ACESSO À REDE INTERNA SE JÁ TEM ACESSO AO BD DE UM HOME BANKING (POR EXEMPLO) ?

11 ZONA DESMILITARIZADA --- DMZ (“DEMILITARIZED ZONE NETWORK”) - SOLUÇÃO PARA A FALHA)
OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ INDICADA NA FIGURA AGORA APENAS O SERVIDOR WEB ESTÁ NA DMZ. O FIREWALL 2 (INTERNO) PERMITE APENAS O ACESSO NECESSÁRIO AO BD, EVITANDO MUITAS DAS ALTERAÇÕES QUE UM ACESSO TOTAL À MÁQUINA ONDE ESTÁ O SERVIDOR PERMITIRIA

12 Objetivos Alto índice de ataques a redes
Necessidade de controle de tráfego Garantir integridade aos serviços Alta demanda dos serviços da Internet

13 Firewall Definição de Firewall Funções do Firewall
Estrutura de um Firewall Classificação básica

14 Firewall Ilustração:

15 Princípios Básicos Toda solicitação chega ao Firewall
Somente tráfego autorizado passa pelo Firewall O próprio Firewall deve ser imune a penetração

16 O que um Firewall pode fazer?
É um foco para a tomada de decisões Pode ser usado como um ponto de partida para a política de segurança Pode gravar requisições Limita a exposição da rede

17 O que um Firewall não pode fazer?
Proteger uma rede contra usuários internos Proteger uma rede contra conexões que não passam por ele Proteger contra ameaças completamente novas Proteger contra vírus

18 Tipos de Firewall Existem dois principais tipos: Filtro de Pacotes;
Servidores Proxy.

19 1 Filtro de Pacotes Filtrar = peneirar, separar
Controle do tráfego que entra e sai Filtro de pacotes em Roteadores Incrementa a segurança Transparente aos usuários Grande variedade no mercado

20 2 Filtro de Pacotes As regras dos filtros se contém:
Endereço IP de origem Endereço IP de destino Protocolos TCP, UDP, ICMP Portas TCP ou UDP origem Portas TCP ou UDP destino Tipo de mensagem ICMP

21 3 Filtro de Pacotes Router Roteador com Filtro de Pacotes Internet
Rede Interna Router Internet Roteador com Filtro de Pacotes

22 Filtro de Pacotes 4 Filtragem por adapatador de rede – vantagem ao administrador Principais problemas do filtro: IP Spoofing Serviço troca de porta Filtros de pacotes não tratam protocolos da camada de aplicação

23 5 Filtro de Pacotes Filtragem = atraso no roteamento
Filtros com Inspeção com Estado Utilizam as flags do TCP (ACK, SYN, FIN) Vantagens: maior controle Filtros de pacotes não são uma solução única – é um complemento

24 6 Filtro de Pacotes Exemplos de regras do IP Filter:
block in log on tun0 proto tcp from any to any pass in quick on eth0 proto tcp from any to port 23 flags S keep state keep frags

25 1 Servidores Proxy Assumem requisições de usuários de uma rede
Atuam em nome do cliente de uma forma transparente Não permitem que pacotes passem diretamente entre cliente e servidor

26 2 Servidores Proxy Ilustração do funcionamento

27 3 Servidores Proxy Métodos de utilização: Método da Conexão Direta;
Método do Cliente Modificado; Método do Proxy Invisível.

28 4 Servidores Proxy Vantagens de utilização do proxy:
Permite ao usuário acesso direto aos serviços na Internet; Possui bons mecanismos de log; Provê uma ótima separação entre as redes.

29 5 Servidores Proxy Desvantagens do proxy:
Cada serviço possui o seu servidor proxy; Deve ser desenvolvida uma nova aplicação para cada novo serviço; Existem alguns serviços inviáveis.

30 Servidores Proxy X Filtro de Pacotes
Tomada de decisões: Servidor proxy toma decisões baseado em informações fornecidas pelo serviço; Filtro de pacotes utiliza o cabeçalho do pacote.

31 Servidores Proxy X Filtro de Pacotes
Desempenho: Filtro de pacotes possui uma vantagem por estar em nível mais baixo. Auditoria: Servidor proxy possui vantagem por permitir auditoria sobre o controle do tráfego.

32 Tipos Adicionais de Firewalls
Existem dois outros tipos de firewalls alternativos: Firewalls Híbridos; Firewalls Bastion Hosts.

33 Firewalls Hibrídos A maioria dos firewalls podem ser classificados como Filtro de Pacotes ou Servidores Proxy Outros tipos de firewalls oferecem uma combinação entre estes dois

34 Firewalls Hibrídos Ilustração exemplo

35 Firewalls Bation Hosts
Hosts fortemente protegidos Único computador da rede que pode ser acessado pelo lado de fora do firewall Pode ser projetado para ser um servidor Web, servidor FTP, dentre outros

36 Firewalls Bation Hosts
Ilustração :

37 Firewalls Bation Hosts
Honey Pot Chamariz para crackers; Função de coletar dados de tentativas de invasão; Ferramentas de registros de logs são mantidas o mais seguro possível.

38 Arquiteturas de FW O que é uma arquitetura de Firewall ? Principais:
Screened host Screened subnet Screened = proteger, peneirar, investigar

39 Screened host Sem sub-rede de proteção
Elementos = 1 roteador e 1 bation host Rede protegida sem acesso direto ao “mundo” Bastion host realiza o papel de procurador – só ele passa pelo roteador

40 Screened host Ilustração desta arquitetura

41 Screened Subnet Apresenta múltiplos níveis de redundância
É a mais segura Componentes: Roteador externo Subrede intermediária (DMZ) Bastion Host Roteador Interno

42 Screened Subnet O que é a DMZ (De Militarized Zone)?
Sub-rede entre a rede externa e a protegida. Proporciona segurança. Rede interna somente têm acesso ao Bastion Host Somente a subrede DMZ é conhecida pela Internet

43 Screened Subnet Ilustração desta arquitetura

44 Qual é a melhor solução de projeto de firewall para redes?
Conclusão Importante ferramenta na proteção Firewall não deve ser o único componente da política de segurança Qual é a melhor solução de projeto de firewall para redes?

45 Links Úteis Firewalls – UFRJ - Internet Firewalls – UFRGS -

46 Perguntas

Carregar ppt "FIREWALL Prof. Celso Cardoso Neto."

Apresentações semelhantes

Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Firewalls IDS profa_samaris@yahoo.com.br.

Firewalls IDS
Material pedagógico Multiplicar x 5 Clica!

Material pedagógico Multiplicar x 5 Clica!
Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.

Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.
Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.

Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
ANÁLISE DE SOFTWARES APLICÁVEIS A UNIDADES E SERVIÇOS DE INFORMAÇÃO

ANÁLISE DE SOFTWARES APLICÁVEIS A UNIDADES E SERVIÇOS DE INFORMAÇÃO
1 INQUÉRITOS PEDAGÓGICOS 2º Semestre 2003/2004 ANÁLISE GERAL DOS RESULTADOS OBTIDOS 1.Nº de RESPOSTAS ao inquérito 2003/2004 = 11077 (42,8%) 2.Comparação.

1 INQUÉRITOS PEDAGÓGICOS 2º Semestre 2003/2004 ANÁLISE GERAL DOS RESULTADOS OBTIDOS 1.Nº de RESPOSTAS ao inquérito 2003/2004 = (42,8%) 2.Comparação.
Redes de Computadores A Camada de Rede.

Redes de Computadores A Camada de Rede.
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
ES723 - Dispositivos Eletromecânicos

ES723 - Dispositivos Eletromecânicos
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Segurança de Perímetro

Segurança de Perímetro
Relações Adriano Joaquim de O Cruz ©2002 NCE/UFRJ

Relações Adriano Joaquim de O Cruz ©2002 NCE/UFRJ
DNS Introdução.

DNS Introdução.
FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri

FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri
Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.

Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Estudo de Caso 1: UNIX e LINUX

Estudo de Caso 1: UNIX e LINUX

Apresentações semelhantes

Anúncios Google