Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouDiego Barbara Alterado mais de 10 anos atrás
1
FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri
Sônia V. A. França
2
Firewalls Simples pontos de conexão entre duas redes não confiáveis
Permitem que a comunicação seja monitorada e segura Propriedades todo tráfego deve passar pelo firewall somente o tráfego autorizado pode passar o firewall propriamente dito é imune de invasões
3
Firewalls Internet sistema de firewall: roteador baseado em: Firewall
rede interna Firewall baseado em: hardware software sistema de firewall: roteador PC sistema Unix conjunto de hosts Firewalls
4
Firewall Seguro Ponto central para administração de serviços
não é um host de propósito geral Ponto central para administração de serviços correio eletrônico ftp Garante política de segurança
5
Firewall Foco de decisões de segurança Permite rastreamento
mais eficiente do que espalhar decisões e tecnologias de segurança Permite rastreamento origem das conexões quantidade de tráfego no servidor tentativa de quebra do sistema Limita a exposição
6
Firewall Não oferece proteção contra: Ataques internos maliciosos
Conexões que não passam pelo firewall Ameaças totalmente novas Vírus
7
Tecnologia Estática Dinâmica
permitir qualquer serviço a menos que ele seja expressamente negado negar qualquer serviço a menos que ele seja expressamente permitido Dinâmica permitir/negar qualquer serviço para quando e por quanto tempo desejar
8
Componentes Filtro Gateway(s)
também chamado de screen (screening router) bloqueia transmissão de certas classes de tráfego protege a rede interna das consequências de um gateway comprometido zona desmilitarizada (DMZ) gateway + gateway interno protege o gateway de ataques uma máquina conjunto de máquinas que oferece(m) serviços através de proxy Gateway(s) Filtro Internet rede interna
9
Packet Filtering Funcionalidade Filtragem
roteia pacotes entre hosts internos e externos de maneira seletiva permite ou bloqueia a passagem de certos tipos de pacotes reflete a política de segurança do site Filtragem quando o pacote está chegando quando o pacote está saindo
10
Packet Filtering Filtragem baseada em Exemplos
endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem Exemplos bloqueie todas as conexões oriundas do host X permita apenas conexões SMTP
11
Internet screening router Packet Filtering rede interna
12
Packet Filtering Router Screening Router
determina se pode ou não enviar o pacote determina se deve ou não enviar o pacote Como o pacote pode ser roteado? O pacote deve ser roteado? Router verifica endereço de cada pacote escolhe melhor maneira de enviá-lo Como o pacote pode ser roteado?
13
Configuração Processo de três passos:
Determinar o que deve e o que não deve ser permitido política de segurança Especificar formalmente os tipos de pacotes permitidos expressões lógicas Reescrever as expressões de acordo com o produto
14
Exemplo Passo 1 tráfego IP: host externo confiável ( ) e hosts da rede interna ( ) Passo 2
15
Exemplo Passo 3 Screend Telebit NetBlazer
between host and net accept; between host any and host any reject; Telebit NetBlazer permit / /24 syn0 in deny / /0 syn0 in permit / /32 syn0 out deny / /0 syn0 out
16
Filtragem por Endereço
Características restringe o fluxo de pacotes baseado nos endereços fonte e destino não considera quais protocolos estão envolvidos Utilização permite a comunicação hosts externos e hosts internos Problema endereços podem ser inventados
17
Filtragem por Serviço Outbound Internet Telnet Server OUTGOING
IP fonte: cliente local IP destino: servidor serviço: TCP porta fonte: >1023 (Y) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Client Outbound
18
Filtragem por Serviço Outbound Internet Telnet Server INCOMING
IP fonte: servidor IP destino: cliente local serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Y) pacotes: com ack Firewall rede interna Telnet Client Outbound
19
Filtragem por Serviço Inbound Internet Telnet Client INCOMING
IP fonte: cliente remoto IP destino: servidor serviço: TCP porta fonte: >1023 (Z) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Server Inbound
20
Filtragem por Serviço Inbound Internet Telnet Client OUTGOING
IP fonte: servidor IP destino: cliente remoto serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Z) pacotes: com ack Firewall rede interna Telnet Server Inbound
21
Filtragem por Serviço
22
Packet Filtering Vantagens Desvantagens
pode ajudar a proteger uma rede inteira não requer conhecimento ou cooperação do usuário disponível em vários roteadores baixo custo Desvantagens
23
Application-Level Gateway
servidor real cliente interno pedido propagação do pedido resposta da resposta proxy possui controle total
24
Circuit-Level Gateway
porta fonte porta destino TCP IP Acesso a Rede cliente servidor
25
Arquitetura de Firewalls
Solução universal ? Problemas quais serviços serão disponibilizados ? qual o nível de risco ? qual a política de segurança ? Técnicas tempo, custo e conhecimento TELNET e SMTP packet filtering FTP e WWW proxy
26
Packet Filtering Architecture
Screening Router é colocado entre uma rede interna e a Internet Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ... Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes) Simples mais comum e fácil de usar em sites pequenos Mas ....
27
Packet Filtering Architecture
Problemas: falha compromete toda a rede interna número de regras pode ser limitado desempenho x número de regras não é possível modificar serviços: permite ou nega, mas não pode proteger operações individuais complexidade de configuração tratamento de exceções log dos pacotes que passaram
28
Dual-Homed Host Architecture
Multi-Homed Host: várias interfaces de rede (homes) interface de rede Rede 2 Rede 1 Rede 3 roteamento opcional
29
Dual-Homed Host Architecture
Host: 2 interfaces de rede (interna e Internet) Função de roteamento desabilitada pacotes não são roteados diretamente para outra rede não permite comunicação direta entre a rede interna e a Internet isolamento de tráfego entre as redes Acessível por hosts da rede interna por hosts da Internet requer alto nível de proteção
30
Dual-Homed Host Architecture
Login diretamente no dual-homed host acesso aos serviços através da interface de rede externa (Internet) segurança do sistema pode ser comprometida vulnerabilidade de senhas usuário pode habilitar serviços inseguros dificuldade de monitoração e detecção de ataques baixo desempenho oferecimento de serviços indesejáveis
31
Dual-Homed Host Architecture
mail proxy FTP proxy interface interface Internet ILUSÃO Serviços “store-and-forward”: SMTP (mail) e NNTP (news) FTP Internet servidor real cliente interno
32
Screened Host Architecture
Internet screening router Screened Host Architecture rede interna bastion host
33
Screened Host Architecture
Problemas falha do roteador compromete segurança oferecida pelo bastion host ataque ao bastion host não há outra barreira entre a Internet e a rede interna visibilidade de tráfego interno: coleta de senhas através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados
34
Screened Subnet Architecture
Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno
35
Screened Subnet Architecture
Visibilidade do tráfego via bastion host apenas para a DMZ ideal: tráfego na DMZ não deve ser confidencial dados devem ser protegidos por criptografia Serviços externos via proxy conexão direta via packet filtering
36
Múltiplas Camadas Internet WWW/FTP externo DMZ externa intermediário
rede interna Múltiplas Camadas DMZ interna DMZ externa externo interno intermediário WWW/FTP Internet
37
Screened Subnet Architecture
Internet Múltiplos BHs WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna
38
visibilidade do tráfego
Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa belt suspenders bastion host DMZ interna interno rede interna
39
Produtos Comerciais Informações técnicas de produtos de firewall
Grande variedade SecurIT Þ Borderware Þ Firewall-1 Þ ... Guardian Þ www2.ntfirewall.com/ntfirewall Freestone: código fonte de produto comercial
40
Firewall-1 É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP. Possibilita que empresas construam suas próprias políticas de segurança. Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.
41
Firewall-1 Características: Filtragem segura de pacotes;
Acesso seguro a Internet; Acesso remoto seguro; Redes Virtuais Privadas (VPN) para criar seguros “túneis” através de redes públicas inseguras; Habilidade para definir a adicionar novos protocolos e serviços; Auditoria e alerta.
42
Firewall-1 Vantagens: flexibilidade; escalabilidade; extensibilidade;
transparência; suporte a múltiplos protocolos e tecnologia de rede; pode ser distribuído sobre múltiplas plataformas; requerimentos de conectividade sem causar impacto a performance da rede.
43
Firewall-1 Requerimentos:
44
Firewall-1 Arquitetura:
Atua como um roteador seguro entre uma rede interna e uma rede externa. FireWall-1 Rede Externa Interna Internet
45
Firewall-1 Arquitetura:
Módulo de Controle: inclui o módulo de gerenciamento e interface para o usuário; Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.
46
Firewall-1 Arquitetura: Módulo de Inspeção Deamon
Interface gráfica do usuário Servidor de gerenciamento Log/Alerta Módulo FireWall Módulo de Controle Logs/Alerta Status Comandos Login e Status Canal de comunicação seguro Gateway/ FireWall Estação de gerenciamento
47
Firewall-1 Arquitetura Módulo de Controle
Usado para implementar a política de segurança de rede; Controla o módulo de filtragem de pacotes; Pode ser usado como um facilidade para visualizar login e controle de informação. Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)
48
Firewall-1 Arquitetura Módulo FireWall
O módulo de inspeção é dinamicamente carregado no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede. Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado. Rejeição de s, acesso negado a URLs e checagem da vírus nas transferências de arquivos.
49
Firewall-1 Pacote recebido 7 Aplicação O pacote esta dentro
6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não
50
Firewall-1 Pacote recebido 7 Aplicação O pacote 6 Apresentação
5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não Setar a próxima regra
51
Firewall-1 Performance Emprega diversas técnicas de otimização
Rodando dentro do kernel do sistema operacional reduz processamento; otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem; técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.
52
Conclusões Firewalls maturidade tecnológica
política de segurança é garantida em um único componente lógico quanto maior o grau de segurança oferecido, maiores os custos associados e menor a flexibilidade no oferecimento de serviços não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.