Prof. Rafael Guimarães, PhD rguima@gmail.com Firewall e VPN Prof. Rafael Guimarães, PhD rguima@gmail.com

Introdução O que é um firewall? Algumas pessoas definem firewall como uma caixa específica projetada para filtrar o tráfego na Internet Essa caixa pode ser comprada (appliance) ou construída Firewall é qualquer dispositivo, software, arranjo ou equipamento que limita o acesso à rede

Introdução Qual é a função de um Firewall? A função básica de um Firewall em um servidor é bloquear o acesso às portas que não estão em uso, evitando assim a exposição de serviços vulneráveis, ou que não devem receber conexões por parte da Internet

Introdução Quando se fala em firewall, muitas vezes se pensa em um dispositivo dedicado, colocado entre o servidor (ou o switch da rede) e a Internet Embora eles sejam muito comuns, é possível obter um nível de segurança similar simplesmente usando os recursos nativos do sistema, configurando o iptables, por exemplo Os firewalls podem ser baseados em hardware e/ou software ou uma mistura dos dois

Introdução Três fatores estão em risco quando nos conectamos a Internet: A Reputação Os Computadores As Informações Guardadas; Três fatores precisam ser resguardados: Privacidade Integridade Disponibilidade

Firewalls A necessidade dos firewalls surgiu com a disseminação da Internet e das redes de computadores Normalmente, os servidores e as estações de trabalho não possuem características de segurança fortes O firewall, portanto, na maioria das vezes é posicionado entre a rede local e a rede externa, visando: Estabelecer um enlace controlado Proteger a rede local contra ataques Fornecer um único ponto de acesso à rede

Firewalls Todo o tráfego de dentro para fora da rede deve passar pelo firewall Bloquear (impedir) qualquer tipo de acesso que não passe pelo firewall Somente o tráfego autorizado é permitido passar pelo firewall Estabelecer uma política de segurança que defina o que é tráfego autorizado O próprio firewall deve ser “imune” a invasões Instalado em um sistema operacional seguro e confiável

Características dos Firewall Os firewalls são usados para: Controle de serviço Determina os tipos de serviços da Internet que podem ser acessados Controle de direção Determina a direção na qual as requisições de serviço podem fluir Controle de usuário Controla o acesso aos serviços de acordo com os usuários que tentam acessá-los Controle de comportamento Controla a forma como os serviços são acessados

Características dos Firewalls Os firewalls podem filtrar vários níveis diferentes em uma pilha de protocolo de rede Existem 03 categorias principais: Filtragem de pacotes Gateways de circuito Gateways de aplicação

Filtros de Pacote Oferecem um nível barato e útil de segurança Os recursos de filtragem vêm com o software roteador Funcionam eliminando pacotes com base em seus endereços de origem ou destino, ou nos números e portas As decisões são tomadas com base no conteúdo do pacote atual Pouco ou nenhum contexto é mantido Dependendo do tipo do roteador, a filtragem pode ser feita na interface de entrada, de saída ou ambas

Filtros de Pacote O firewall faz o roteamento seletivo de pacotes entre a rede local e a rede externa Utiliza um conjunto de regras sobre o cabeçalho TCP e IP para selecionar os pacotes As regras são aplicadas a cada pacote na direção desejada

Filtros de Pacote As regras são estabelecidas utilizando as seguintes informações, disponíveis para o roteador: Endereço IP de origem e de destino Tipo de protocolo (TCP, UDP ou ICMP) Portas (TCP e UDP) de origem e destino Tipo de mensagem ICMP Interfaces de entrada e saída dos pacotes

Filtros de Pacote Vantagens Desvantagens Simplicidade Transparência para o usuário Alta velocidade Desvantagens Dificuldade para configurar as regras de filtragem Inexistência de autenticação

Filtragem no Nível de Aplicação Os filtros no nível de aplicação lidam com os detalhes do serviço particular que estão verificando e normalmente são mais complexos que os filtros de pacotes Ao invés de utilizar um mecanismo de uso geral, para permitir o fluxo de muitos tipos diferentes de tráfego, um código de uso especial pode ser utilizado para cada aplicação desejada Ex: Filtros para correio eletrônico entendem: Cabeçalhos RFC 822, anexos formatados como MIME e pode identificar softwares infectados com vírus

Filtragem no Nível de Aplicação Atua de forma transparente como um controlador de tráfego entre os usuários internos e os serviços externos na camada de aplicação Como se fosse um proxy!

Filtragem no Nível de Aplicação Vantagens Oferece maior segurança que filtros de pacotes Precisa examinar apenas algumas poucas aplicações permitidas Facilidade de auditar e registrar todo o tráfego de entrada Ex: Correio Verificado quanto a palavras obscenas Verificado quanto a indicações de que dados proprietários ou restritos estão passando pelo gateway Desvantagens Sobrecarga de processamento adicional em cada conexão

Filtragem no Nível de Circuito Os gateways no nível de circuito trabalham no nível do TCP As conexões TCP são retransmitidas por meio de um computador que atua basicamente como um cabeamento Executa-se um programa que copia bytes entre duas conexões, e eles podem ser possivelmente armazenados Quando um cliente deseja se conectar a um servidor, ele se conecta a um host transmissor que por sua vez se conecta ao servidor Desta forma, o nome e o IP do cliente normalmente não estão disponíveis

Filtragem no Nível de Circuito Os retransmissores de circuito são geralmente utilizados para criar conexões específicas entre redes isoladas

Filtragem no Nível de Circuito O protocolo SOCKS foi criado para funcionar neste tipo de configuração Em geral, os serviços de retransmissão não examinam os bytes quando eles fluem Pode-se registrar o número de bytes e o destino TCP, e tais logs podem ser úteis Uma vantagem dos gateways de circuito é que eles limpam conexões de IP O endereço IP de origem não está disponível para o servidor

DMZ DeMilitirized Zone Algumas máquinas da rede oferecem serviços para a Internet, outras não

Firewalls Fornecedores

Introdução às VPNs Redes Privadas Virtuais Criação de uma rede privada utilizando a infraestrutura de uma rede pública

Introdução às VPNs O que é uma VPN? VPNs são redes virtuais, criadas para interligar duas redes de computadores distintas e separadas fisicamente e que se comunicam entre si de forma segura, usando criptografia, através de um meio público de comunicação – geralmente a Internet Usar uma VPN permite compartilhar arquivos e usar aplicativos de produtividade e gerenciamento, como se todos os micros estivessem conectados na mesma rede local

Introdução às VPNs Analogia para entender o conceito de VPN Formas diferentes de atravessar o canal da Mancha Forma insegura = travessia de barco, pois dessa forma a tripulação estaria sujeita a todo tipo de interferência externa. Forma segura e privativa = travessia por meio do Eurotúnel. Dessa forma, os passageiros não estariam sujeitos às interferências de outras pessoas ou da natureza. Portanto, essa forma de travessia equivale à utilização de uma VPN para atravessar o canal da Mancha.

Aplicações de VPN “Braço” seguro do escritório através da Internet VPN através da Internet permite que computadores fora da empresa acessem a rede da empresa (como se fossem locais) Acesso remoto seguro através da Internet Computadores externo pode se conectar à rede de uma empresa de forma segura através da Internet Estabelecimento de conexão de extranets e intranets com parceiros Garante segurança na interligação de empresas

Vantagens As principais vantagens são: Redução de custo Segurança Pois não há necessidade de linhas dedicadas e servidores para acesso remoto. Segurança Transparência A transparência não deixa que usuários, aplicações e computadores percebam a localização física dos equipamentos que estão sendo utilizados, permitindo que eles sejam acessados em lugares remotos como se estivessem presentes localmente Flexibilidade

Funcionamento da VPN De forma simplificada, os passos de configuração e funcionamento do acesso remoto VPN são: O usuário instala o software cliente; O servidor informa os parâmetros necessários para a conexão IPSec, entre eles o certificado digital, a chave de criptografia e os algoritmos criptográficos a serem utilizados; O usuário recebe as informações do servidor e configura o software cliente para poder estabelecer uma conexão; A conexão IPSec é negociada entre o usuário e a rede da organização de acordo com os parâmetros do usuário e do servidor, que possui uma lista dos recursos que cada usuário pode acessar.

Topologias de VPN Existem 03 tipos de topologias dependendo de como é feita a conexão Host x Host Objetivo de comunicar dois hosts separados fisicamente, mas fornecendo a segurança necessária

Topologias de VPN Existem 03 tipos de topologias dependendo de como é feita a conexão Host x Rede Permitir que um host móvel se conecte a uma determinada rede através da Internet

Topologias de VPN Existem 03 tipos de topologias dependendo de como é feita a conexão Rede x Rede Topologia ideal para interligar redes de uma mesma organização que possui centros geograficamente distantes

Topologias para VPN Algumas configurações sobre a localização da VPN dentro da rede da empresa são as seguintes: Dentro do firewall; Em frente ao firewall; Atrás do firewall; Paralelo ao firewall; Ao lado do firewall; Em uma DMZ (DeMilitarized Zone);

Topologias para VPN Gateway VPN dentro do Firewall

Topologias para VPN Gateway VPN dentro do Firewall É a opção que parece mais natural Toda a segurança da rede é feita por uma única máquina Isso leva a uma redução de custos, pois não será necessário investir em mais equipamentos Uniformiza a administração e o gerenciamento dos componentes da rede Desvantagem: Constitui um único ponto de falha, pois um ataque à VPN pode comprometer toda a estrutura do firewall e vice-versa

Topologias para VPN Gateway VPN em frente ao Firewall

Topologias para VPN Gateway VPN em frente ao Firewall É o ponto de conexão à Internet Se apresentar falhas, pode ser explorado por um intruso Caso isso ocorra, todo o tráfego pode ficar comprometido, tornando a rede indisponível O tráfego VPN é inspecionado pelo firewall depois que os pacotes saem da rede virtual

Topologias para VPN Gateway VPN atrás do Firewall

Topologias para VPN Gateway VPN atrás do Firewall Necessário configurar uma regra específica para redirecionar os dados destinados ao gateway VPN O ponto fraco dessa configuração é que o firewall não poderá filtrar ou analisar os dados da VPN com destino a rede interna Haverá o risco de invasão a partir do gateway VPN A vantagem é que o gateway VPN não fica exposto e vulnerável a ataques originários da Internet

Topologias para VPN Gateway VPN paralelo ao Firewall

Topologias para VPN Gateway VPN paralelo ao Firewall Separação do tráfego da VPN do tráfego da Internet. Vantagem: distribuição e balanceamento do transporte de dados de acordo com o destino Desvantagem: vulnerabilidade do gateway VPN que estará exposto a tentativa de invasão, pois não há um firewall protegendo-o

Topologias para VPN Gateway VPN ao lado do Firewall

Topologias para VPN Gateway VPN ao lado do Firewall Possui um segmento de rede adicional exclusivo para o gateway VPN Após a análise e decifragem feita pelo gateway VPN os dados passarão novamente pelo firewall Vantagens Não deixa o gateway VPN exposto Os dados cifrados destinados ao gateway VPN são redirecionados diretamente sem uma análise prévia e apenas no retorno para a rede interna é que serão analisados pelo firewall. Esse procedimento diminui o congestionamento do firewall.