Transcript Firewall e VPN

Firewall e VPN
Prof. Rafael Guimarães, PhD
[email protected]
Introdução
• O que é um firewall?
– Algumas pessoas definem firewall como uma
caixa específica projetada para filtrar o tráfego na
Internet
– Essa caixa pode ser comprada (appliance) ou
construída
– Firewall é qualquer dispositivo, software, arranjo
ou equipamento que limita o acesso à rede
Introdução
• Qual é a função de um Firewall?
– A função básica de um Firewall em um servidor é
bloquear o acesso às portas que não estão em
uso, evitando assim a exposição de serviços
vulneráveis, ou que não devem receber conexões
por parte da Internet
Introdução
• Quando se fala em firewall, muitas vezes se
pensa em um dispositivo dedicado, colocado
entre o servidor (ou o switch da rede) e a
Internet
• Embora eles sejam muito comuns, é possível
obter um nível de segurança similar
simplesmente usando os recursos nativos do
sistema, configurando o iptables, por exemplo
• Os firewalls podem ser baseados em hardware
e/ou software ou uma mistura dos dois
Introdução
• Três fatores estão em risco quando nos
conectamos a Internet:
– A Reputação
– Os Computadores
– As Informações Guardadas;
• Três fatores precisam ser resguardados:
– Privacidade
– Integridade
– Disponibilidade
Firewalls
• A necessidade dos firewalls surgiu com a
disseminação da Internet e das redes de
computadores
• Normalmente, os servidores e as estações de
trabalho não possuem características de
segurança fortes
• O firewall, portanto, na maioria das vezes é
posicionado entre a rede local e a rede externa,
visando:
– Estabelecer um enlace controlado
– Proteger a rede local contra ataques
– Fornecer um único ponto de acesso à rede
Firewalls
• Todo o tráfego de dentro para fora da rede deve
passar pelo firewall
– Bloquear (impedir) qualquer tipo de acesso que
não passe pelo firewall
• Somente o tráfego autorizado é permitido
passar pelo firewall
– Estabelecer uma política
de segurança que defina
o que é tráfego autorizado
• O próprio firewall deve
ser “imune” a invasões
– Instalado em um
sistema operacional
seguro e confiável
Características dos Firewall
• Os firewalls são usados para:
– Controle de serviço
• Determina os tipos de serviços da Internet que
podem ser acessados
– Controle de direção
• Determina a direção na qual as requisições de
serviço podem fluir
– Controle de usuário
• Controla o acesso aos serviços de acordo com os
usuários que tentam acessá-los
– Controle de comportamento
• Controla a forma como os serviços são acessados
Características dos Firewalls
• Os firewalls podem filtrar vários níveis diferentes
em uma pilha de protocolo de rede
• Existem 03 categorias principais:
– Filtragem de pacotes
– Gateways de circuito
– Gateways de aplicação
Filtros de Pacote
• Oferecem um nível barato e útil de segurança
– Os recursos de filtragem vêm com o software
roteador
• Funcionam eliminando pacotes com base em
seus endereços de origem ou destino, ou nos
números e portas
• As decisões são tomadas com base no
conteúdo do pacote atual
– Pouco ou nenhum contexto é mantido
• Dependendo do tipo do roteador, a filtragem
pode ser feita na interface de entrada, de saída
ou ambas
Filtros de Pacote
• O firewall faz o roteamento seletivo de pacotes
entre a rede local e a rede externa
• Utiliza um conjunto de regras sobre o cabeçalho
TCP e IP para selecionar os pacotes
• As regras são aplicadas a cada pacote na
direção desejada
Filtros de Pacote
• As regras são estabelecidas utilizando as
seguintes informações, disponíveis para o
roteador:
– Endereço IP de origem e de destino
– Tipo de protocolo (TCP, UDP ou ICMP)
– Portas (TCP e UDP) de origem e destino
– Tipo de mensagem ICMP
– Interfaces de entrada e saída dos pacotes
Filtros de Pacote
• Vantagens
– Simplicidade
– Transparência para o usuário
– Alta velocidade
• Desvantagens
– Dificuldade para configurar as regras de filtragem
– Inexistência de autenticação
Filtragem no Nível de Aplicação
• Os filtros no nível de aplicação lidam com os
detalhes do serviço particular que estão
verificando e normalmente são mais complexos
que os filtros de pacotes
• Ao invés de utilizar um mecanismo de uso geral,
para permitir o fluxo de muitos tipos diferentes
de tráfego, um código de uso especial pode ser
utilizado para cada aplicação desejada
• Ex: Filtros para correio eletrônico entendem:
– Cabeçalhos RFC 822, anexos formatados como
MIME e pode identificar softwares infectados
com vírus
Filtragem no Nível de Aplicação
• Atua de forma transparente como um controlador
de tráfego entre os usuários internos e os
serviços externos na camada de aplicação
• Como se fosse um proxy!
Filtragem no Nível de Aplicação
• Vantagens
– Oferece maior segurança que filtros de pacotes
– Precisa examinar apenas algumas poucas
aplicações permitidas
– Facilidade de auditar e registrar todo o tráfego de
entrada
• Ex: Correio
– Verificado quanto a palavras obscenas
– Verificado quanto a indicações de que dados
proprietários ou restritos estão passando pelo gateway
• Desvantagens
– Sobrecarga de processamento adicional em
cada conexão
Filtragem no Nível de Circuito
• Os gateways no nível de circuito trabalham no nível do
TCP
• As conexões TCP são retransmitidas por meio de um
computador que atua basicamente como um
cabeamento
– Executa-se um programa que copia bytes entre duas
conexões, e eles podem ser possivelmente
armazenados
• Quando um cliente deseja se conectar a um servidor,
ele se conecta a um host transmissor que por sua vez
se conecta ao servidor
– Desta forma, o nome e o IP do cliente normalmente
não estão disponíveis
Filtragem no Nível de Circuito
• Os retransmissores de circuito são geralmente
utilizados para criar conexões específicas entre
redes isoladas
Filtragem no Nível de Circuito
• O protocolo SOCKS foi criado para funcionar
neste tipo de configuração
• Em geral, os serviços de retransmissão não
examinam os bytes quando eles fluem
• Pode-se registrar o número de bytes e o destino
TCP, e tais logs podem ser úteis
• Uma vantagem dos gateways de circuito é que
eles limpam conexões de IP
– O endereço IP de origem não está disponível
para o servidor
DMZ
• DeMilitirized Zone
– Algumas máquinas da rede oferecem serviços
para a Internet, outras não
Firewalls
• Fornecedores
Introdução às VPNs
• Redes Privadas Virtuais
– Criação de uma rede privada utilizando a
infraestrutura de uma rede pública
Introdução às VPNs
• O que é uma VPN?
– VPNs são redes virtuais, criadas para interligar
duas redes de computadores distintas e
separadas fisicamente e que se comunicam
entre si de forma segura, usando criptografia,
através de um meio público de comunicação –
geralmente a Internet
– Usar uma VPN permite compartilhar arquivos e
usar aplicativos de produtividade e
gerenciamento, como se todos os micros
estivessem conectados na mesma rede local
Introdução às VPNs
• Analogia para entender o conceito de VPN
– Formas diferentes de atravessar o canal da
Mancha
• Forma insegura = travessia de barco, pois dessa
forma a tripulação estaria sujeita a todo tipo de
interferência externa.
• Forma segura e privativa = travessia por meio do
Eurotúnel. Dessa forma, os passageiros não
estariam sujeitos às interferências de outras
pessoas ou da natureza.
• Portanto, essa forma de travessia equivale à
utilização de uma VPN para atravessar o canal
da Mancha.
Aplicações de VPN
• “Braço” seguro do escritório através da
Internet
– VPN através da Internet permite que
computadores fora da empresa acessem a rede
da empresa (como se fossem locais)
• Acesso remoto seguro através da Internet
– Computadores externo pode se conectar à rede
de uma empresa de forma segura através da
Internet
• Estabelecimento de conexão de extranets e
intranets com parceiros
– Garante segurança na interligação de empresas
Vantagens
• As principais vantagens são:
– Redução de custo
• Pois não há necessidade de linhas dedicadas e
servidores para acesso remoto.
– Segurança
– Transparência
• A transparência não deixa que usuários,
aplicações e computadores percebam a
localização física dos equipamentos que estão
sendo utilizados, permitindo que eles sejam
acessados em lugares remotos como se
estivessem presentes localmente
– Flexibilidade
Funcionamento da VPN
• De forma simplificada, os passos de configuração e
funcionamento do acesso remoto VPN são:
– O usuário instala o software cliente;
– O servidor informa os parâmetros necessários para a
conexão IPSec, entre eles o certificado digital, a chave de
criptografia e os algoritmos criptográficos a serem
utilizados;
– O usuário recebe as informações do servidor e configura
o software cliente para poder estabelecer uma conexão;
– A conexão IPSec é negociada entre o usuário e a rede da
organização de acordo com os parâmetros do usuário e
do servidor, que possui uma lista dos recursos que cada
usuário pode acessar.
Topologias de VPN
• Existem 03 tipos de topologias dependendo de
como é feita a conexão
– Host x Host
• Objetivo de comunicar dois hosts separados fisicamente,
mas fornecendo a segurança necessária
Topologias de VPN
• Existem 03 tipos de topologias dependendo de
como é feita a conexão
– Host x Rede
• Permitir que um host móvel se conecte a uma determinada
rede através da Internet
Topologias de VPN
• Existem 03 tipos de topologias dependendo
de como é feita a conexão
– Rede x Rede
• Topologia ideal para interligar redes de uma mesma
organização que possui centros geograficamente distantes
Topologias para VPN
• Algumas configurações sobre a localização da
VPN dentro da rede da empresa são as
seguintes:
–
–
–
–
–
–
Dentro do firewall;
Em frente ao firewall;
Atrás do firewall;
Paralelo ao firewall;
Ao lado do firewall;
Em uma DMZ (DeMilitarized Zone);
Topologias para VPN
• Gateway VPN dentro do Firewall
Topologias para VPN
• Gateway VPN dentro do Firewall
– É a opção que parece mais natural
• Toda a segurança da rede é feita por uma única máquina
• Isso leva a uma redução de custos, pois não será
necessário investir em mais equipamentos
– Uniformiza a administração e o gerenciamento dos
componentes da rede
– Desvantagem: Constitui um único ponto de falha,
pois um ataque à VPN pode comprometer toda a
estrutura do firewall e vice-versa
Topologias para VPN
• Gateway VPN em frente ao Firewall
Topologias para VPN
• Gateway VPN em frente ao Firewall
– É o ponto de conexão à Internet
– Se apresentar falhas, pode ser explorado por um
intruso
• Caso isso ocorra, todo o tráfego pode ficar comprometido,
tornando a rede indisponível
– O tráfego VPN é inspecionado pelo firewall depois
que os pacotes saem da rede virtual
Topologias para VPN
• Gateway VPN atrás do Firewall
Topologias para VPN
• Gateway VPN atrás do Firewall
– Necessário configurar uma regra específica para
redirecionar os dados destinados ao gateway VPN
– O ponto fraco dessa configuração é que o firewall
não poderá filtrar ou analisar os dados da VPN com
destino a rede interna
• Haverá o risco de invasão a partir do gateway VPN
– A vantagem é que o gateway VPN não fica exposto e
vulnerável a ataques originários da Internet
Topologias para VPN
• Gateway VPN paralelo ao Firewall
Topologias para VPN
• Gateway VPN paralelo ao Firewall
– Separação do tráfego da VPN do tráfego da Internet.
– Vantagem: distribuição e balanceamento do
transporte de dados de acordo com o destino
– Desvantagem: vulnerabilidade do gateway VPN que
estará exposto a tentativa de invasão, pois não há
um firewall protegendo-o
Topologias para VPN
• Gateway VPN ao lado do Firewall
Topologias para VPN
• Gateway VPN ao lado do Firewall
– Possui um segmento de rede adicional exclusivo
para o gateway VPN
– Após a análise e decifragem feita pelo gateway VPN
os dados passarão novamente pelo firewall
– Vantagens
• Não deixa o gateway VPN exposto
• Os dados cifrados destinados ao gateway VPN são
redirecionados diretamente sem uma análise prévia e
apenas no retorno para a rede interna é que serão
analisados pelo firewall.
• Esse procedimento diminui o congestionamento do firewall.