Firewall - Celsocn.net
Download
Report
Transcript Firewall - Celsocn.net
Prof. Celso Cardoso Neto
Roteiro
Introdução
Características do Firewall
Tipo de Firewall
• Filtro de Pacotes
• Servidores Proxy
Tipos avançados de Firewall
• Bastion Host
• Firewalls híbridos
2
Roteiro
(cont)
Arquiteturas de Firewall
• Screened Host
• Screened Subnet
Conclusão
3
INTRODUÇÃO
ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA
EMPRESA
INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE
REDE, FILTRANDO O QUE PODE PASSAR OU NÃO
FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR
INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS
PLACAS DE REDE
DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A
REDE É PRIVADA (SEGURA)
FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES
UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM
NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES:
RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)
ESQUEMA BÁSICO DE IMPLANTAÇÃO DE
UM “FIREWALL”
ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL
PROTEGENDO UMA REDE CONECTADA À INTERNET
ESQUEMA EMPREGANDO UM “FIREWALL”
E UM ROTEADOR PARA CONECTAR UMA
REDE À INTERNET
É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM
ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA
APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL
A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR
COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO
MUDOU.
A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO
EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA
DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES
UM HACKER QUE INVADISSE
UM SERVIDOR WEB NA REDE
INTERNA PODERIA CAUSAR
DANOS NA REDE DA
EMPRESA. ASSIM, SURGIU A
SOLUÇÃO AO LADO.
O SERVIDOR WEB FICA FORA
DA ZONA DE PROTEÇÃO DO
FIREWALL
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL, MAS
COM O SERVIDOR DE BD WEB DENTRO
A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO
IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA
REDE INTERNA.
NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM
GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A
QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES
DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA
A SOLUÇÃO APONTOU PARA
O ESQUEMA AO LADO,
COLOCANDO O BD NA REDE
INTERNA E ABRINDO UMA
REGRA NO FIREWALL
PERMITINDO QUE O
SERVIDOR WEB ACESSASSE
ESTE BD.
É SOLUÇÃO SEGURA ? NÃO.
QUAL A SOLUÇÃO PARA O PROBLEMA ?
É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁLO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A
SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ?
A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE
A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”)
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) - FALHA)
REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO
OS SERVIDORES WEB E DE BD
NO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO
SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.
O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE
INTERNA.
AGORA TUDO ESTAVA
PROTEGIDO, O ACESSO À
REDE INTERNA NEGADO,
MAS SE UM HACKER OBTÉM
ACESSO AO SERVIDOR WEB
TAMBÉM ACESSA O BD
QUEM DESEJA ACESSO À
REDE INTERNA SE JÁ TEM
ACESSO AO BD DE UM HOME
BANKING (POR EXEMPLO) ?
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) SOLUÇÃO PARA A FALHA)
OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ
INDICADA NA FIGURA
AGORA APENAS O
SERVIDOR WEB ESTÁ
NA DMZ.
O FIREWALL 2
(INTERNO) PERMITE
APENAS O ACESSO
NECESSÁRIO AO BD,
EVITANDO MUITAS DAS
ALTERAÇÕES QUE UM
ACESSO TOTAL À
MÁQUINA ONDE ESTÁ O
SERVIDOR PERMITIRIA
Objetivos
Alto índice de ataques a redes
Necessidade de controle de tráfego
Garantir integridade aos serviços
Alta demanda dos serviços da Internet
12
Firewall
Definição de Firewall
Funções do Firewall
Estrutura de um Firewall
Classificação básica
13
Firewall
Ilustração:
14
Princípios Básicos
Toda solicitação chega ao Firewall
Somente tráfego autorizado passa pelo
Firewall
O próprio Firewall deve ser imune a
penetração
15
O que um Firewall
pode fazer?
É um foco para a tomada de decisões
•
Pode ser usado como um ponto de partida
para a política de segurança
Pode gravar requisições
Limita a exposição da rede
16
O que um Firewall
não pode fazer?
Proteger uma rede contra usuários
internos
Proteger uma rede contra conexões que
não passam por ele
Proteger contra ameaças completamente
novas
Proteger contra vírus
17
Tipos de Firewall
Existem dois principais tipos:
• Filtro de Pacotes;
• Servidores Proxy.
18
Filtro de Pacotes
Filtrar = peneirar, separar
Controle do tráfego que entra e sai
Filtro de pacotes em Roteadores
Incrementa a segurança
Transparente aos usuários
Grande variedade no mercado
19
Filtro de Pacotes
As regras dos filtros se contém:
• Endereço IP de origem
• Endereço IP de destino
• Protocolos TCP, UDP, ICMP
• Portas TCP ou UDP origem
• Portas TCP ou UDP destino
• Tipo de mensagem ICMP
20
Filtro de Pacotes
Internet
Router
Rede
Interna
Roteador com
Filtro de Pacotes
21
Filtro de Pacotes
Filtragem por adapatador de rede –
vantagem ao administrador
Principais problemas do filtro:
•
IP Spoofing
•
Serviço troca de porta
Filtros de pacotes não tratam protocolos
da camada de aplicação
22
Filtro de Pacotes
Filtragem = atraso no roteamento
Filtros com Inspeção com Estado
•
Utilizam as flags do TCP (ACK, SYN, FIN)
•
Vantagens: maior controle
Filtros de pacotes não são uma solução
única – é um complemento
23
Filtro de Pacotes
•
Exemplos de regras do IP Filter:
block in log on tun0 proto tcp from any to
any
•
pass in quick on eth0 proto tcp from any to
200.28.33.22 port 23 flags S keep state
keep frags
24
Servidores Proxy
Assumem requisições de usuários de uma
rede
Atuam em nome do cliente de uma forma
transparente
Não permitem que pacotes passem
diretamente entre cliente e servidor
25
Servidores Proxy
Ilustração do funcionamento
26
Servidores Proxy
Métodos de utilização:
• Método da Conexão Direta;
• Método do Cliente Modificado;
• Método do Proxy Invisível.
27
Servidores Proxy
Vantagens de utilização do proxy:
• Permite ao usuário acesso direto aos
serviços na Internet;
• Possui bons mecanismos de log;
• Provê uma ótima separação entre as
redes.
28
Servidores Proxy
Desvantagens do proxy:
• Cada serviço possui o seu servidor proxy;
• Deve ser desenvolvida uma nova
aplicação para cada novo serviço;
• Existem alguns serviços inviáveis.
29
Servidores Proxy X
Filtro de Pacotes
Tomada de decisões:
• Servidor proxy toma decisões baseado
em informações fornecidas pelo serviço;
• Filtro de pacotes utiliza o cabeçalho do
pacote.
30
Servidores Proxy X
Filtro de Pacotes
Desempenho:
•
Filtro de pacotes possui uma vantagem por
estar em nível mais baixo.
Auditoria:
•
Servidor proxy possui vantagem por permitir
auditoria sobre o controle do tráfego.
31
Tipos Adicionais de
Firewalls
Existem dois outros tipos de firewalls
alternativos:
• Firewalls Híbridos;
• Firewalls Bastion Hosts.
32
Firewalls Hibrídos
A maioria dos firewalls podem ser
classificados como Filtro de Pacotes ou
Servidores Proxy
Outros tipos de firewalls oferecem uma
combinação entre estes dois
33
Firewalls Hibrídos
Ilustração exemplo
34
Firewalls Bation Hosts
Hosts fortemente protegidos
Único computador da rede que pode
ser acessado pelo lado de fora do
firewall
Pode ser projetado para ser um
servidor Web, servidor FTP, dentre
outros
35
Firewalls Bation Hosts
Ilustração :
36
Firewalls Bation Hosts
Honey Pot
Chamariz
Função
para crackers;
de coletar dados de
tentativas de invasão;
Ferramentas
de registros de logs são
mantidas o mais seguro possível.
37
Arquiteturas de FW
O que é uma arquitetura de Firewall ?
Principais:
•
Screened host
•
Screened subnet
Screened = proteger, peneirar, investigar
38
Screened host
Sem sub-rede de proteção
Elementos = 1 roteador e 1 bation host
Rede protegida sem acesso direto ao
“mundo”
Bastion host realiza o papel de procurador
– só ele passa pelo roteador
39
Screened host
• Ilustração desta arquitetura
40
Screened Subnet
Apresenta múltiplos níveis de redundância
É a mais segura
Componentes:
•
•
•
•
Roteador externo
Subrede intermediária (DMZ)
Bastion Host
Roteador Interno
41
Screened Subnet
O que é a DMZ (De Militarized Zone)?
• Sub-rede entre a rede externa e a protegida.
Proporciona segurança.
Rede interna somente têm acesso ao
Bastion Host
Somente a subrede DMZ é conhecida pela
Internet
42
Screened Subnet
Ilustração desta arquitetura
43
Conclusão
Importante ferramenta na proteção
Firewall não deve ser o único componente
da política de segurança
Qual é a melhor solução de
projeto de firewall para
redes?
44
Links Úteis
Firewalls – UFRJ http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm
Internet Firewalls – UFRGS http://penta.ufrgs.br/redes296/firewall/fire.html
45
Perguntas
46