FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri

Apresentação em tema: "FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri"— Transcrição da apresentação:

1 FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri
Sônia V. A. França

2 Firewalls Simples pontos de conexão entre duas redes não confiáveis
Permitem que a comunicação seja monitorada e segura Propriedades todo tráfego deve passar pelo firewall somente o tráfego autorizado pode passar o firewall propriamente dito é imune de invasões

3 Firewalls Internet sistema de firewall: roteador baseado em: Firewall
rede interna Firewall baseado em: hardware software sistema de firewall: roteador PC sistema Unix conjunto de hosts Firewalls

4 Firewall Seguro Ponto central para administração de serviços
não é um host de propósito geral Ponto central para administração de serviços correio eletrônico ftp Garante política de segurança

5 Firewall Foco de decisões de segurança Permite rastreamento
mais eficiente do que espalhar decisões e tecnologias de segurança Permite rastreamento origem das conexões quantidade de tráfego no servidor tentativa de quebra do sistema Limita a exposição

6 Firewall Não oferece proteção contra: Ataques internos maliciosos
Conexões que não passam pelo firewall Ameaças totalmente novas Vírus

7 Tecnologia Estática Dinâmica
permitir qualquer serviço a menos que ele seja expressamente negado negar qualquer serviço a menos que ele seja expressamente permitido Dinâmica permitir/negar qualquer serviço para quando e por quanto tempo desejar

8 Componentes Filtro Gateway(s)
também chamado de screen (screening router) bloqueia transmissão de certas classes de tráfego protege a rede interna das consequências de um gateway comprometido zona desmilitarizada (DMZ) gateway + gateway interno protege o gateway de ataques uma máquina conjunto de máquinas que oferece(m) serviços através de proxy Gateway(s) Filtro Internet rede interna

9 Packet Filtering Funcionalidade Filtragem
roteia pacotes entre hosts internos e externos de maneira seletiva permite ou bloqueia a passagem de certos tipos de pacotes reflete a política de segurança do site Filtragem quando o pacote está chegando quando o pacote está saindo

10 Packet Filtering Filtragem baseada em Exemplos
endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem Exemplos bloqueie todas as conexões oriundas do host X permita apenas conexões SMTP

11 Internet screening router Packet Filtering rede interna

12 Packet Filtering Router Screening Router
determina se pode ou não enviar o pacote determina se deve ou não enviar o pacote Como o pacote pode ser roteado? O pacote deve ser roteado? Router verifica endereço de cada pacote escolhe melhor maneira de enviá-lo Como o pacote pode ser roteado?

13 Configuração Processo de três passos:
Determinar o que deve e o que não deve ser permitido política de segurança Especificar formalmente os tipos de pacotes permitidos expressões lógicas Reescrever as expressões de acordo com o produto

14 Exemplo Passo 1 tráfego IP: host externo confiável ( ) e hosts da rede interna ( ) Passo 2

15 Exemplo Passo 3 Screend Telebit NetBlazer
between host and net accept; between host any and host any reject; Telebit NetBlazer permit / /24 syn0 in deny / /0 syn0 in permit / /32 syn0 out deny / /0 syn0 out

16 Filtragem por Endereço
Características restringe o fluxo de pacotes baseado nos endereços fonte e destino não considera quais protocolos estão envolvidos Utilização permite a comunicação hosts externos e hosts internos Problema endereços podem ser inventados

17 Filtragem por Serviço Outbound Internet Telnet Server OUTGOING
IP fonte: cliente local IP destino: servidor serviço: TCP porta fonte: >1023 (Y) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Client Outbound

18 Filtragem por Serviço Outbound Internet Telnet Server INCOMING
IP fonte: servidor IP destino: cliente local serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Y) pacotes: com ack Firewall rede interna Telnet Client Outbound

19 Filtragem por Serviço Inbound Internet Telnet Client INCOMING
IP fonte: cliente remoto IP destino: servidor serviço: TCP porta fonte: >1023 (Z) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Server Inbound

20 Filtragem por Serviço Inbound Internet Telnet Client OUTGOING
IP fonte: servidor IP destino: cliente remoto serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Z) pacotes: com ack Firewall rede interna Telnet Server Inbound

21 Filtragem por Serviço

22 Packet Filtering Vantagens Desvantagens
pode ajudar a proteger uma rede inteira não requer conhecimento ou cooperação do usuário disponível em vários roteadores baixo custo Desvantagens

23 Application-Level Gateway
servidor real cliente interno pedido propagação do pedido resposta da resposta proxy possui controle total

24 Circuit-Level Gateway
porta fonte porta destino TCP IP Acesso a Rede cliente servidor

25 Arquitetura de Firewalls
Solução universal ? Problemas quais serviços serão disponibilizados ? qual o nível de risco ? qual a política de segurança ? Técnicas tempo, custo e conhecimento TELNET e SMTP  packet filtering FTP e WWW  proxy

26 Packet Filtering Architecture
Screening Router é colocado entre uma rede interna e a Internet Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ... Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes) Simples  mais comum e fácil de usar em sites pequenos Mas ....

27 Packet Filtering Architecture
Problemas: falha compromete toda a rede interna número de regras pode ser limitado desempenho x número de regras não é possível modificar serviços: permite ou nega, mas não pode proteger operações individuais complexidade de configuração tratamento de exceções log dos pacotes que passaram

28 Dual-Homed Host Architecture
Multi-Homed Host: várias interfaces de rede (homes) interface de rede Rede 2 Rede 1 Rede 3 roteamento opcional

29 Dual-Homed Host Architecture
Host: 2 interfaces de rede (interna e Internet) Função de roteamento desabilitada pacotes não são roteados diretamente para outra rede  não permite comunicação direta entre a rede interna e a Internet isolamento de tráfego entre as redes Acessível por hosts da rede interna por hosts da Internet requer alto nível de proteção

30 Dual-Homed Host Architecture
Login diretamente no dual-homed host acesso aos serviços através da interface de rede externa (Internet) segurança do sistema pode ser comprometida vulnerabilidade de senhas usuário pode habilitar serviços inseguros dificuldade de monitoração e detecção de ataques baixo desempenho oferecimento de serviços indesejáveis

31 Dual-Homed Host Architecture
mail proxy FTP proxy interface interface Internet ILUSÃO Serviços “store-and-forward”: SMTP (mail) e NNTP (news) FTP Internet servidor real cliente interno

32 Screened Host Architecture
Internet screening router Screened Host Architecture rede interna bastion host

33 Screened Host Architecture
Problemas falha do roteador  compromete segurança oferecida pelo bastion host ataque ao bastion host  não há outra barreira entre a Internet e a rede interna visibilidade de tráfego interno: coleta de senhas através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados

34 Screened Subnet Architecture
Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno

35 Screened Subnet Architecture
Visibilidade do tráfego via bastion host apenas para a DMZ ideal: tráfego na DMZ não deve ser confidencial dados devem ser protegidos por criptografia Serviços externos via proxy conexão direta via packet filtering

36 Múltiplas Camadas Internet WWW/FTP externo DMZ externa intermediário
rede interna Múltiplas Camadas DMZ interna DMZ externa externo interno intermediário WWW/FTP Internet

37 Screened Subnet Architecture
Internet Múltiplos BHs WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna

38 visibilidade do tráfego
Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa belt suspenders bastion host DMZ interna interno rede interna

39 Produtos Comerciais Informações técnicas de produtos de firewall
Grande variedade SecurIT Þ Borderware Þ Firewall-1 Þ ... Guardian Þ www2.ntfirewall.com/ntfirewall Freestone: código fonte de produto comercial

40 Firewall-1 É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP. Possibilita que empresas construam suas próprias políticas de segurança. Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.

41 Firewall-1 Características: Filtragem segura de pacotes;
Acesso seguro a Internet; Acesso remoto seguro; Redes Virtuais Privadas (VPN) para criar seguros “túneis” através de redes públicas inseguras; Habilidade para definir a adicionar novos protocolos e serviços; Auditoria e alerta.

42 Firewall-1 Vantagens: flexibilidade; escalabilidade; extensibilidade;
transparência; suporte a múltiplos protocolos e tecnologia de rede; pode ser distribuído sobre múltiplas plataformas; requerimentos de conectividade sem causar impacto a performance da rede.

43 Firewall-1 Requerimentos:

44 Firewall-1 Arquitetura:
Atua como um roteador seguro entre uma rede interna e uma rede externa. FireWall-1 Rede Externa Interna Internet

45 Firewall-1 Arquitetura:
Módulo de Controle: inclui o módulo de gerenciamento e interface para o usuário; Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.

46 Firewall-1 Arquitetura: Módulo de Inspeção Deamon
Interface gráfica do usuário Servidor de gerenciamento Log/Alerta Módulo FireWall Módulo de Controle Logs/Alerta Status Comandos Login e Status Canal de comunicação seguro Gateway/ FireWall Estação de gerenciamento

47 Firewall-1 Arquitetura Módulo de Controle
Usado para implementar a política de segurança de rede; Controla o módulo de filtragem de pacotes; Pode ser usado como um facilidade para visualizar login e controle de informação. Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)

48 Firewall-1 Arquitetura Módulo FireWall
O módulo de inspeção é dinamicamente carregado no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede. Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado. Rejeição de s, acesso negado a URLs e checagem da vírus nas transferências de arquivos.

49 Firewall-1 Pacote recebido 7 Aplicação O pacote esta dentro
6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não

50 Firewall-1 Pacote recebido 7 Aplicação O pacote 6 Apresentação
5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não Setar a próxima regra

51 Firewall-1 Performance Emprega diversas técnicas de otimização
Rodando dentro do kernel do sistema operacional reduz processamento; otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem; técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.

52 Conclusões Firewalls maturidade tecnológica
política de segurança é garantida em um único componente lógico quanto maior o grau de segurança oferecido, maiores os custos associados e menor a flexibilidade no oferecimento de serviços não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”