A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França

Apresentações semelhantes


Apresentação em tema: "FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França"— Transcrição da apresentação:

1 FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França

2 Firewalls Simples pontos de conexão entre duas redes não confiáveis Permitem que a comunicação seja monitorada e segura Propriedades –todo tráfego deve passar pelo firewall –somente o tráfego autorizado pode passar –o firewall propriamente dito é imune de invasões

3 Internet rede interna Firewall sistema de firewall: roteador PC sistema Unix conjunto de hosts baseado em: hardware software

4 Firewall Seguro –não é um host de propósito geral Ponto central para administração de serviços –correio eletrônico –ftp Garante política de segurança

5 Firewall Foco de decisões de segurança –mais eficiente do que espalhar decisões e tecnologias de segurança Permite rastreamento –origem das conexões –quantidade de tráfego no servidor –tentativa de quebra do sistema Limita a exposição

6 Firewall Não oferece proteção contra: Ataques internos maliciosos Conexões que não passam pelo firewall Ameaças totalmente novas Vírus

7 Tecnologia Estática –permitir qualquer serviço a menos que ele seja expressamente negado –negar qualquer serviço a menos que ele seja expressamente permitido Dinâmica –permitir/negar qualquer serviço para quando e por quanto tempo desejar

8 Componentes Gateway(s) Filtro Internet rede interna zona desmilitarizada (DMZ) gateway + gateway interno protege a rede interna das consequências de um gateway comprometido protege o gateway de ataques também chamado de screen (screening router) bloqueia transmissão de certas classes de tráfego uma máquina conjunto de máquinas que oferece(m) serviços através de proxy

9 Packet Filtering Funcionalidade –roteia pacotes entre hosts internos e externos de maneira seletiva –permite ou bloqueia a passagem de certos tipos de pacotes –reflete a política de segurança do site Filtragem –quando o pacote está chegando –quando o pacote está saindo

10 Packet Filtering Filtragem baseada em –endereços fonte e destino –portas fonte e destino –protocolo –flags –tipo da mensagem Exemplos –bloqueie todas as conexões oriundas do host X –permita apenas conexões SMTP

11 rede interna Internet screening router

12 Packet Filtering Screening Router determina se pode ou não enviar o pacote determina se deve ou não enviar o pacote Como o pacote pode ser roteado? O pacote deve ser roteado? Router verifica endereço de cada pacote escolhe melhor maneira de enviá-lo Como o pacote pode ser roteado?

13 Configuração Processo de três passos: Determinar o que deve e o que não deve ser permitido –política de segurança Especificar formalmente os tipos de pacotes permitidos –expressões lógicas Reescrever as expressões de acordo com o produto

14 Exemplo Passo 1 –tráfego IP: host externo confiável ( ) e hosts da rede interna ( ) Passo 2

15 Exemplo Passo 3 –Screend between host and net accept; between host any and host any reject; –Telebit NetBlazer permit / /24 syn0 in deny / /0 syn0 in permit / /32 syn0 out deny / /0 syn0 out

16 Filtragem por Endereço Características –restringe o fluxo de pacotes baseado nos endereços fonte e destino –não considera quais protocolos estão envolvidos Utilização –permite a comunicação hosts externos e hosts internos Problema –endereços podem ser inventados

17 Internet rede interna Firewall Telnet Server Telnet Client OUTGOING IP fonte: cliente local IP destino: servidor serviço: TCP porta fonte: >1023 (Y) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Filtragem por Serviço Outbound

18 Internet rede interna Firewall Telnet Server Telnet Client INCOMING IP fonte: servidor IP destino: cliente local serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Y) pacotes: com ack Filtragem por Serviço Outbound

19 Internet rede interna Firewall Telnet Client Telnet Server INCOMING IP fonte: cliente remoto IP destino: servidor serviço: TCP porta fonte: >1023 (Z) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Filtragem por Serviço Inbound

20 Internet rede interna Firewall Telnet Client Telnet Server OUTGOING IP fonte: servidor IP destino: cliente remoto serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Z) pacotes: com ack Filtragem por Serviço Inbound

21 Filtragem por Serviço

22 Packet Filtering Vantagens –pode ajudar a proteger uma rede inteira –não requer conhecimento ou cooperação do usuário –disponível em vários roteadores –baixo custo Desvantagens

23 Application-Level Gateway servidor real cliente interno clienteservidor pedido propagação do pedido resposta propagação da resposta proxy possui controle total

24 Circuit-Level Gateway circuit-level gateway servidorcliente porta destino porta fonte TCP IP Acesso a Rede

25 Arquitetura de Firewalls Solução universal ? Problemas –quais serviços serão disponibilizados ? –qual o nível de risco ? –qual a política de segurança ? Técnicas –tempo, custo e conhecimento –TELNET e SMTP packet filtering –FTP e WWW proxy

26 Packet Filtering Architecture Screening Router é colocado entre uma rede interna e a Internet Controle do tráfego de rede: endereços IP, portas, protocolo, flags,... Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes) Simples mais comum e fácil de usar em sites pequenos Mas....

27 Packet Filtering Architecture Problemas: –falha compromete toda a rede interna –número de regras pode ser limitado –desempenho x número de regras –não é possível modificar serviços: permite ou nega, mas não pode proteger operações individuais –complexidade de configuração –tratamento de exceções –log dos pacotes que passaram

28 interface de rede interface de rede interface de rede Rede 2 Rede 1Rede 3 roteamento opcional Dual-Homed Host Architecture Multi-Homed Host: várias interfaces de rede (homes)

29 Host: 2 interfaces de rede (interna e Internet) Função de roteamento desabilitada –pacotes não são roteados diretamente para outra rede não permite comunicação direta entre a rede interna e a Internet –isolamento de tráfego entre as redes Acessível –por hosts da rede interna –por hosts da Internet –requer alto nível de proteção Dual-Homed Host Architecture

30 Login diretamente no dual-homed host –acesso aos serviços através da interface de rede externa (Internet) –segurança do sistema pode ser comprometida –vulnerabilidade de senhas –usuário pode habilitar serviços inseguros –dificuldade de monitoração e detecção de ataques –baixo desempenho –oferecimento de serviços indesejáveis Dual-Homed Host Architecture

31 servidor real cliente interno FTP proxy interface ILUSÃO Internet FTP Serviços store-and-forward: SMTP (mail) e NNTP (news) mail proxy Dual-Homed Host Architecture

32 Internet screening router rede interna bastion host

33 Screened Host Architecture Problemas –falha do roteador compromete segurança oferecida pelo bastion host –ataque ao bastion host não há outra barreira entre a Internet e a rede interna –visibilidade de tráfego interno: coleta de senhas através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados

34 Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno

35 Screened Subnet Architecture Visibilidade do tráfego –via bastion host apenas para a DMZ –ideal: tráfego na DMZ não deve ser confidencial –dados devem ser protegidos por criptografia Serviços externos –via proxy –conexão direta via packet filtering

36 Internet rede interna DMZ interna DMZ externa externo interno intermediário WWW/FTP

37 Múltiplos BHs Internet rede interna FTP rede perimetral - DMZ SMTP2WWW desempenho, redundância, separação de dados e serviços

38 rede interna externo interno bastion host Internet DMZ externa DMZ interna quebra não permite visibilidade do tráfego da rede interna

39 Produtos Comerciais Informações técnicas de produtos de firewall –www.access.digex.net/~bdboyle/firewall.vendor.html Grande variedade –SecurIT –Borderware –Firewall-1 –... Guardian www2.ntfirewall.com/ntfirewall Freestone: código fonte de produto comercial –www.soscorp.com/products/Freestone.html

40 Firewall-1 É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP. Possibilita que empresas construam suas próprias políticas de segurança. Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.

41 Firewall-1 Características: –Filtragem segura de pacotes; –Acesso seguro a Internet; –Acesso remoto seguro; –Redes Virtuais Privadas (VPN) para criar seguros túneis através de redes públicas inseguras; –Habilidade para definir a adicionar novos protocolos e serviços; –Auditoria e alerta.

42 Firewall-1 Vantagens: –flexibilidade; –escalabilidade; –extensibilidade; –transparência; –suporte a múltiplos protocolos e tecnologia de rede; –pode ser distribuído sobre múltiplas plataformas; –requerimentos de conectividade sem causar impacto a performance da rede.

43 Firewall-1 Requerimentos:

44 Firewall-1 Arquitetura: –Atua como um roteador seguro entre uma rede interna e uma rede externa. FireWall-1 Rede Externa Rede Interna Internet

45 Firewall-1 Arquitetura: –Módulo de Controle: inclui o módulo de gerenciamento e interface para o usuário; –Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.

46 Arquitetura: Firewall-1 Módulo de Inspeção Deamon Interface gráfica do usuário Servidor de gerenciamento Log/Alerta Módulo FireWall Módulo de Controle Logs/Alerta Status Logs/Alerta Comandos Login e Status Canal de comunicação seguro Gateway/ FireWall Estação de gerenciamento

47 Arquitetura –Módulo de Controle Usado para implementar a política de segurança de rede; Controla o módulo de filtragem de pacotes; Pode ser usado como um facilidade para visualizar login e controle de informação. Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc) Firewall-1

48 Arquitetura –Módulo FireWall O módulo de inspeção é dinamicamente carregado no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede. Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado. Rejeição de s, acesso negado a URLs e checagem da vírus nas transferências de arquivos.

49 Firewall-1 7 Aplicação 6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não

50 Firewall-1 7 Aplicação 6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não Setar a próxima regra Sim Não

51 Performance –Emprega diversas técnicas de otimização Rodando dentro do kernel do sistema operacional reduz processamento; otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem; técnicas de gerenciamento de memória prove rápido acesso a recursos da rede. Firewall-1

52 Conclusões Firewalls –maturidade tecnológica –política de segurança é garantida em um único componente lógico –quanto maior o grau de segurança oferecido, maiores os custos associados e menor a flexibilidade no oferecimento de serviços –não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall plug and play


Carregar ppt "FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França"

Apresentações semelhantes


Anúncios Google