A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Firewall 1. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre duas ou mais redes. Seu objetivo é permitir.

Apresentações semelhantes


Apresentação em tema: "Firewall 1. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre duas ou mais redes. Seu objetivo é permitir."— Transcrição da apresentação:

1 Firewall 1

2 Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre duas ou mais redes. Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Atua como "defesa" de uma rede ou computador, controlando o acesso ao sistema por meio de regras e a filtragem de dados. O Firewall é um dos principais componentes de segurança de qualquer organização. 2

3 Firewall Um firewall pode ser um software, um hardware ou a combinação de ambos. 3

4 Porque utilizar um Firewall? As 3 principais razões para se usar um firewall: o firewall pode ser usado para impedir que sua rede seja invadida. o firewall é um grande aliado no combate a vírus e Trojans, já que ele pode bloquear portas usadas pelas "pragas digitais. (Cuidado, nem sempre evita vírus, ou garante proteção contra vírus.) em redes corporativas, é possível evitar que os usuários acessem serviços ou sites indevidos. 4

5 Porque utilizar um Firewall? Se você ainda pensa que sua empresa é pequena ou que você não tem nada para proteger Você errou! Dados perdidos: se sua empresa ou você perdesse todos os dados, custaria dinheiro para re-criar tudo? Responsabilidade vertical: um invasor tomar o controle de seu computador e usá-lo para atacar um terceiro. 5

6 Firewall pessoal Esses tipos de firewalls estão disponíveis para (ou incluídos com) a maioria dos Sistemas Operacionais. 6

7 Firewall tudo-em-um Este tipo de firewall é muito utilizado por assinantes de Internet banda larga, que possuem em um único dispositivo as funcionalidades de: Roteador, switch Ethernet, Access Point e Firewall 7

8 Firewall baseado em Hardware Firewalls como os da Cisco, 3COM, Alcatel são projetados para grandes organizações, com milhares de usuários. Estes equipamentos poder ser capazes de tratar até conexões simultâneas. Os preços variam, de acordo com a necessidade da empresa.... R$4.000,00 a R$ ,00. 8

9 Firewall baseado em Hardware Proporciona uma forte segurança sem impactar o desempenho da rede. 9

10 Firewall A arquitetura do Firewall utiliza componentes como roteadores, filtros, proxies, DMZ, Bastion Hosts, NAT... 10

11 Filtro de pacotes Filtro de pacotes corresponde a um conjunto de regras que filtram e analisam pacotes enviados e recebidos por redes distintas de comunicação. A utilização de um filtro de pacotes pode elevar o nível de segurança de uma rede por fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP. Ou seja, nos cabeçalhos do IP e dos protocolos da camada de transporte utilizados (TCP, UDP, ICMP e outros). 11

12 Filtro de pacotes Como qualquer informação que entra ou sai de uma rede TCP/IP estará dentro de um pacote IP, o filtro de pacotes poderá bloquear a entrada (ou saída) dessa informação. Essa decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização. Os filtros de pacotes podem fornecer um nível de segurança útil e barato (vêm com o software do roteador). E você precisa de um roteador para conectar-se à Internet... 12

13 Proxies Proxies são sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições. Eles podem também realizar uma filtragem mais apurada dos pacotes, por atuar na camada de aplicação. Quando um cliente faz uma requisição, o web proxy verifica se o cliente possui permissão para acesso àquela página. Se tiver, procede da forma tradicional, porém se o cliente for proibido, ele recebe uma página de alerta. 13

14 Proxies Outra definição: Proxy é um servidor que atende a requisições repassando os dados a outros servidores. Um usuário conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor. 14

15 Web Proxy O Proxy pode também aumentar em até 500% a performance de seu acesso aos recursos de WWW, FTP e outros. Rede com proxy na 1ª requisição à um recurso na internet Na próxima requisição a sensação do usuário é uma enorme velocidade. 15

16 Proxy Transparente Um proxy transparente é um método para obrigar os usuários de uma rede a utilizarem o proxy. Esse tipo de proxy redireciona os pacotes que passam pelo firewall para um servidor proxy local de modo transparente. Além das características de caching dos proxies convencionais, eles podem impor políticas de utilização. 16

17 Proxies Vantagens: Não permite conexões diretas entre hosts internos e externos; Aceita autenticação do usuário; Analisa o conteúdo dos pacotes de dados, ao contrário do filtro de pacotes; Permite criar logs do tráfego e de atividades específicas. Desvantagens: É mais lento do que os filtros de pacotes; Não trata pacotes ICMP. 17

18 DMZ Permitir o tráfego da Internet para sua rede privada é uma idéia ruim. 18 Mas o que fazer se for preciso acessar serviços da sua rede privada pela Internet.

19 DMZ DMZ é uma sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português. É um termo usado no meio militar para definir uma área isolada entre dois inimigos. Também conhecida como rede de perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. 19

20 DMZ No contexto de redes o propósito da DMZ é criar uma área com acesso aberto a internet, mas com controle e seleção dos ativos que estão disponíveis nesta área. Em outras palavras, disponibilizar acesso apenas a determinados serviços, separando-os da rede principal e protegendo outras informações. 20

21 DMZ - analogia Analogia: Você está oferecendo um serviço de manutenção de computadores a diferentes pessoas. Não seria uma boa ideia, pessoas estranhas entrarem dentro da sua casa, para consertar um micro, seria? Imagine alguém solicitando a troca de um HD e olhando as fotos dos seus parentes, abrindo a geladeira, pegando alguma coisa emprestado... Para solucionar esta questão, uma alternativa seria você criar uma pequena oficina na garagem, ou do lado de fora da casa, impedindo assim este conveniente. Esta é sua DMZ. 21

22 DMZ 22

23 DMZ A função de uma DMZ é manter todos os serviços que possuem acesso externo (HTTP, FTP, , etc.) separados da rede local, limitando o dano em caso de comprometimento de algum serviço nela presente, por algum invasor. Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada (um bastion host) seja comprometido, a rede interna continue intacta e segura. 23

24 DMZ- Bastion Host Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto à Internet e a rede interna. Uma grande interação ocorre entre os bastion hosts e a DMZ, pois os serviços que serão oferecidos pela DMZ devem ser instalados em Bastion Hosts. O Bastion Host irá defender a rede interna contra ataques da rede externa. 24

25 Pense como se fosse a recepção de um prédio. Estranhos podem não ter permissão de subir as escadas ou utilizar os elevadores. Mas podem vagar livremente pela recepção e se informarem com os porteiros ou a segurança. Tal qual ocorre com os porteiros na recepção (DMZ), os Bastion Hosts estão expostos a possíveis elementos hostis, que não poderão ter acesso à rede interna. 25 DMZ- Bastion Host

26 Um ataque a um servidor (bastion host) não compromete a rede interna, apenas a DMZ. Quanto mais simples for o Bastion Host, mais simples será mantê-lo seguro. Múltiplos Bastion Hosts Internet rede interna FTP Rede de Perímetro - DMZ WWWSMTP Quebra de segurança não permite visibilidade do tráfego da rede interna 26 DMZ- Bastion Host

27 Existem diferentes maneiras de se implementar uma DMZ. Normalmente para se criar uma DMZ é preciso pelo menos uma placa extra no seu Firewall, sendo que em algumas soluções, um mesmo Firewall pode trabalhar com até 3 conexões de rede, uma para a WAN, outra para LAN e uma para a Rede de Perímetro (DMZ). 27 DMZ- Exemplos

28 3Leg ou 3Homed hosts – é uma configuração onde seu firewall irá possuir 3 placas de rede, sendo uma para sua LAN, outra para sua rede de Perímetro (DMZ) e a terceira para conectar o firewall a Internet (WAN). 28 DMZ- Exemplos

29 29 3Leg ou 3Homed hosts DMZ- Exemplos

30 Back-to-Back – Uma opção não necessariamente mais segura que a opção anterior, porém normalmente mais eficiente e mais cara também, requer um segundo firewall. Neste caso sua DMZ fica protegida entre dois Firewall. O Back-End, fará o papel de Proxy e Caching para os usuários da LAN. O Front-End Firewall controlará as publicações de serviços e liberação de portas para conexões externas. 30 DMZ- Exemplos

31 31 DMZ- Exemplos

32 32 Misto

33 NAT (Network Adress Translation) O NAT não foi criado propriamente com a intenção de ser usado como um componente de segurança, mas sim para tratar o problemas de escassez de endereços IP. Assim, a rede interna pode utilizar endereços IP reservados, sendo o NAT o responsável pela conversão desses endereços inválidos para endereços válidos e roteáveis, quando a rede externa é acessada. 33

34 NAT (Network Adress Translation) Sob o ponto de vista da segurança, o NAT pode esconder os endereços dos equipamentos da rede interna e sua topologia de rede, dificultando os eventuais ataques externos

35 Evolução Técnica O firewall é considerado uma tecnologia antiga na indústria de segurança, mas ainda não pode ser definido como estável, devido à uma constante evolução. Os primeiros firewalls foram implementados em roteadores, no final da década de 80, por serem os pontos de ligação natural entre duas redes. As regras de filtragem dos roteadores ou Listas de Controle de Acesso (Acess Control List – ACL), tinham como base decisões do tipo permitirou descartar os pacotes. 35

36 Evolução Técnica Atualmente existe uma tendência de adicionar cada vez mais funcionalidades aos firewalls, que podem não estar relacionadas necessariamente à segurança. Essa integração entre firewalls e novas funcionalidades, deve ser feita com cuidado, pois vai ao encontro do dogma da segurança, que diz: A segurança e a complexidade são inversamente proporcionais. 36

37 Filtro de pacotes A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da pilha TCP/IP, de modo que realiza as decisões de filtragem com base nas informações do cabeçalho dos pacotes, tais como: o endereço de origem, o endereço de destino, a porta de origem, a porta de destino e a direção das conexões. As regras dos filtros de pacotes são definidas de acordo com endereços IP ou com os serviços (portas TCP/UDP relacionadas) permitidos ou proibidos. 37

38 Filtro de pacotes Estas regras são estáticas, de modo que esse tipo de firewall é conhecido também como Static Packet Filtering. O fato de trabalhar na camada de rede e de transporte faz com que ele seja simples, fácil, barato e flexível de ser implementado. Assim a maioria dos roteadores que atuam como gateways tem também essa capacidade. O filtro de pacotes garante um menor grau de segurança, pois os pacotes podem ser falsificados para que passem pelas regras de filtragem definidas. 38

39 Filtro de pacotes Um filtro de pacotes não é capaz de distinguir entre pacotes verdadeiros e falsificados. A capacidade de verificação do sentido dos pacotes para determinar se um pacote vem da rede externa ou interna é essencial para evitar ataques como o IP spoofing. Na realidade, o que pode ser evitado é a exploração de endereços de equipamentos internos por um host externo. Ou seja, proibir a entrada de pacotes na rede, com endereços originados da sua rede. 39

40 Filtro de pacotes Outro problema que pode acontecer com os filtros de pacotes está relacionado ao tipo de resposta que é enviada pelo Firewall a um pedido de conexão que é bloqueado. Dependendo da configuração, a organização pode ser alvo de port scanning e outras técnicas de mapeamento. 40

41 Filtro de pacotes Vantagens: Alto desempenho da rede / baixo overhead; É barato e simples; Bom para o gerenciamento de tráfego; Transparente para o usuário. Desvantagens: Difícil de gerenciar em ambientes complexos; Vulnerável a ataques como o IP spoofing Não oferece a autenticação do usuário; 41

42 Filtro de pacotes As ameaças são muitas, e devemos sempre nos precaver contra intrusos, não importando a sua origem: rede externa, rede interna ou dial-up. Normalmente, o filtro de pacotes diferencia a máquina que pode ou não acessar algum serviço, analisando o IP origem, o destino, e o serviço a ser acessado. Portanto, ele deve ser considerado como uma parte de um sistema de proteção, e não como única forma de defesa. 42

43 Distribuição das Portas Portas Bem conhecidas ( well known ports ): Usada por servidores que oferecem serviços padronizados. Portas Registradas: Usada por programas de usuários (clientes) e outros serviços. Portas Dinâmicas ou Privadas: Usadas pelos clientes ou serviços não padronizados. 0 … … PORTAS TCP ou UDP …

44 Distribuição das Portas Portas Bem Conhecidas: Designada a serviços padronizados para Internet, como FTP (21), HTTP (80), DNS (53), SMTP(25), etc... Range: 0 a 1023 A ativação desses serviços exige privilégios de administrador do sistema. Portas Registradas: Usada para os programas clientes, que podem ser ativados sem privilégios de administrador. Usadas geralmente para designar serviços proprietários como MS SQL Server (1433), Oracle Server (1525), etc. Range: 1024 a

45 Exemplos de portas bem conhecidas 45

46 Regras de Filtragem Exemplo de Regras de Filtragem do filtro de pacotes: A regra 1 permite que os usuários da rede interna iniciem a requisição de uma página Web. Uma porta alta, com número maior do que 1023 é usada pelo cliente de uma forma aleatória, para iniciar a requisição na porta 80 do servidor Web. Uma vez que a conexão é estabelecida, a resposta da requisição (a própria página) é recebida pelo cliente, passando pela Regra 2 de filtro de pacotes. A regra 3 nega qualquer outra tentativa de conexão e é recomendado que seja usada explicitamente. 46

47 Firewall - limitações e vulnerabilidades Um Firewall não protege uma rede contra usuários internos. Não proteger uma rede contra conexões que não passam por ele (usuários com modems). Os firewalls são ineficientes contra riscos de segurança não-técnicos, como Engenharia Social. Não protege contra ameaças completamente novas. Não protege a rede contra vírus 47

48 Questões para responder Quais as principais diferenças dos filtros de pacote para os filtros de aplicação? Além de prover segurança, o uso do Proxy traz quais outras vantagens? E quais são as desvantagens? O que é uma DMZ? Qual seu objetivo? Comente sobre Firewalls baseados em Hardware e em Software, vantagens e desvantagens de cada um. 48


Carregar ppt "Firewall 1. Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre duas ou mais redes. Seu objetivo é permitir."

Apresentações semelhantes


Anúncios Google