Segurança Perimetral - Firewall Segurança de Rede Segurança Perimetral - Firewall Prof. Sales Filho <salesfilho@cefetrn.br>
Objetivos Apresentar os conceitos de firewall Tipos de firewall Apresentar os tipos de filtragem pacotes Estáticos Dinâmicos Com estado Apresentar os conceitos de proxys Proxy de aplicação Proxy genérico
Firewall Um sistema, ou conjunto de sistema, que implementa uma política de controle de acesso entre duas redes Intercepta todo o tráfego de pacotes entre duas redes Com base na política de segurança interna, pode permitir ou bloquear a passagem de pacotes Os firewalls não são soluções de segurança completas
Firewall Deny POLÍTICA DE SEGURANÇA Allow
Firewall Tipos de firewall Filtro de pacotes estáticos Filtros de pacotes dinâmicos Filtro de pacotes com estados (stateful packt filter) Proxy de aplicação Proxy transparente NAT
Firewall Filtragem de pacotes estáticos É o processo que, seletivamente, permite ou bloqueia o tráfego entre duas redes As regras são baseadas nas informações contidas nos cabeçalhos dos pacotes Endereço IP de origem Endereço IP de destino Protocolos de transporte TCP, UDP Portas de origem Portas de destino
Firewall Filtragem de pacotes estáticos Em geral, são implementados junto com o processo de roteamento Ex.: Screening routers (Roteadores escrutinadores) Asas Filtros estáticos apresentam sempre um bom desempenho (executados em níveis mais baixos) Acomodam o crescimento da rede interna Escalabilidade Não exigem configuração especial nos softwares clientes e/ou servidores
Firewall Filtragem de pacotes estáticos Vantagens Desvantagens Evitam todos os ataques aos serviços que não são permitidos pelas regras configradas São capazes de evitar IP Spoofing, usando endereços da rede interna Podem frear muitos ataques utilizando pacotes truncados ou flooding de pacotes Desvantagens Ataques as aplicações não podem ser evitados Carecem de ferramentas úteis de administração A ordem das regras é MUITO importante Não matem estado das conexões/sessões
Firewall Atividade Implementar as funções de screening router no Router2, impedindo que a rede 172.16.10.0/24 acesse os serviços HTTP e DNS no Server0 172.16.30.0/24 172.16.20.0/24 172.16.10.0/24 Internet F0/0 F0/0 F0/0 S0/1 S0/0 S0/0 S0/0 S0/1
Firewall Filtragem de pacotes dinâmicos Mecanismo de filtro mais inteligente Utilizam tabelas de estados para tratar protocolos mais complexos Capazes de tratar serviços baseados em UDP Mesmo sem estado, caso das sessões UDP, este tipo de filtro pode “lembrar” dos pacotes que passam pelo firewall e, com isso, permitir o tráfego no sentido inverso apenas para relacionados a esses primeiros
Firewall Filtragem de pacotes dinâmicos
Firewall Filtragem de pacotes com Estados Além das regras de filtragem, utilizam também tabelas de estados de comunicações A filtragem tradicional ocorre com o primeiro pacote da conexão ou sessão Os demais pacotes de comunicação somente serão permitidos se existir alguma entrada na tabela de estados equivalentes
Firewall Filtragem de pacotes com Estados Informações Tabela de Atual, inclusive, em nível de aplicação
Firewall Agentes Proxy É uma tecnologia de firewall que tem como objetivo principal controlar todas as comunicações entre máquinas internas e externas (serviços) Esse esquema envolve, pelo menos, duas conexões Processo local com o proxy Proxy com servidor remoto Os dados de uma conexão são repassadas para as outras e vice-versa.
Firewall Agentes Proxy Agente proxy PX Externo Interno Conexão x Conexão y Conexão x Conexão y Tabela de conexões P2 P1
Firewall Agentes Proxy Desempenho inferior ao de filtro de pacote Limitam o crescimento de uma rede Escalabilidade Não protegem o sistema operacional da própria máquina Precisa de algum filtro de pacote para complementar a segurança Em geral, é complicado implementar um agente proxy para serviços UDP
Firewall Proxy de Aplicação Examinam todo o fluxo da comunicação na camada de aplicação Provê autenticação de usuários Cache de dados Logs sofisticados Controle de conteúdo Filtragem baseada nos ‘comandos’ da camada de aplicação Conhece aplicações particulares HTTP, FTP... Nem sempre existe proxy para todas as aplicações
Firewall Proxy genérico Nem sempre é possível utilizar um proxy de aplicação Este tipo de proxy não ‘entendem’ nenhuma aplicação em particular Deve ser usado com precaução Não conseguem tratar protocolos complexos Não implementa cache Não geram logs sofisticados Apenas passa dados de uma conexão para outra
NAT versus Firewall NAT (Network Address Translator) Não foi feito para implementar firewall Pode ser usado para isolar completamente máquinas de uma rede local Esconde a topologia interna da rede Máquinas da rede internas utilizam endereços privados (RFC 1918) A máquina ‘gateway’ faz a tradução de endereços Problema Botnets Canais protegidos são estabelecidos
Componentes básicos Host Bastion Host Dual-Homed Host Firewall Zona desmilitarizada Rede Interna Rede externa DMZ Rede Externa Rede Interna
Bibliografias [Stallings 2008] Stallings, William. Criptografia e segurança de redes, 4. Ed. São Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server 2003 - a bíblia. Pearson, 2003. [ESR] Segurança de Redes e Sistemas