Baixe o app para aproveitar ainda mais
Prévia do material em texto
IFFAR ALEGRETE - MSI PROFESSORES DANIEL CHAVES TEMP JOSIANE FONTOURA DOS ANJOS S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 SEGURANÇA EM SISTEMAS DE INFORMAÇÃO O QUE É? • É um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança. • Um firewall pode ser um hardware, software ou ambos. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 Fonte: O que é um firewall? Disponível em: https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html FIREWALL OBJETIVOS 1. Todo o tráfego de fora para dentro e vice-versa, passa por um firewall. • A Figura 1 mostra um firewall, situado diretamente no limite entre a rede administrada e a internet. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL • Embora grandes organizações possam usar diversos níveis de firewalls ou firewalls distribuídos, alocar um firewall em um único ponto de acesso à rede, conforme mostrado na Figura 1, facilita o gerenciamento e a execução de uma política de acesso seguro. Figura 1. Posição do firewall entre a rede administrada e o mundo exterior Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. OBJETIVOS 2. Somente o tráfego autorizado, como definido pela política de segurança local, poderá passar. • Como todo o tráfego que entra e sai da rede institucional passando pelo firewall, este pode limitar o acesso ao tráfego autorizado. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Figura 1. Posição do firewall entre a rede administrada e o mundo exterior Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. OBJETIVOS 3. O próprio firewall é imune à penetração. • O próprio firewall é um mecanismo conectado à rede. • Se não projetado ou instalado de modo adequado, pode ser comprometedor, oferecendo apenas uma falsa sensação de segurança (pior do que não ter nenhum firewall!). IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Figura 1. Posição do firewall entre a rede administrada e o mundo exterior Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes tradicionais • Filtros de estado • Gateways de aplicação IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes tradicionais • Uma organização normalmente tem um roteador de borda que conecta sua rede interna com seu ISP. • Todo tráfego que sai ou entra na rede interna passa por esse roteador. • É nele que ocorre a filtragem de pacotes. • Um filtro de pacotes examina cada datagrama que está sozinho, determinando se deve passar ou ficar, baseado nas regras específicas definidas pelo administrador. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes tradicionais • As decisões de filtragem costumam ser baseadas em: • Endereço de IP de origem e destino. • Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF, etc. • Porta TCP ou UDP de origem e de destino. • Bits de flag do TCP: SYN, ACK, etc. • Tipo de mensagem ICMP. • Regras diferentes para datagramas que entram e saem da rede. • Regras diferentes para diferentes interfaces do roteador. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes tradicionais • A Tabela 1 mostra uma lista de diversas políticas que uma organização pode ter e como elas seriam endereçadas com um filtro de pacotes. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL POLÍTICA CONFIGURAÇÃO DE FIREWALL Não há acesso exterior à Web Descartar todos os pacotes de saída para qualquer endereço IP, porta 80 Não há conexões TCP de entrada, exceto aquelas apenas para o servidor Web público da organização Descartar todos os pacotes TCP SYN para qualquer IP exceto 130.207.244.203, porta 80 Impedir que rádios Web devorem a largura de banda disponível Descartar todos os pacotes UDP de entrada – exceto pacotes DNS Impedir que sua rede seja usada por um ataque DoS smurf Descartar todos os pacotes ping que estão indo para um endereço de difusão (por exemplo, 130.207.255.255) Impedir que a rota de sua rede seja rastreada Descartar todo o tráfego de saída ICMP com TTL expirado Tabela 1. Políticas e regras de filtragem correspondentes para uma rede da organização 130.27/16 com servidor Web 130.207.244.203 Fo n te : K u ro se , J am es F . R ed es d e C om p u ta d or es e a In te rn et : u m a ab or d ag em t op /d ow n .6 ª. E d .S ão P au lo : P ea rs on E d u ca ti on B ra si l, 20 13 . CATEGORIAS • Filtros de pacotes tradicionais • As regras de firewall são executadas por roteadores com listas de acesso, tendo cada interface do roteador sua própria lista. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes tradicionais • Um exemplo de uma lista de controle de acesso para uma organização 222.22/16 é ilustrado na Tabela 2. Essa lista é para uma interface que conecta o roteador aos ISPs externos da organização. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL AÇÃO ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 - Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 - Negar Todos Todos Todos Todos Todos Todos Tabela 2. Lista de controle de acesso para uma interface com roteador Fo n te : K u ro se , J am es F . R ed es d e C om p u ta d or es e a In te rn et : u m a ab or d ag em t op /d ow n .6 ª. E d .S ão P au lo : P ea rs on E d u ca ti on B ra si l, 20 13 . CATEGORIAS • Filtros de pacotes tradicionais • As regras são aplicadas a cada datagrama que atravessa a interface de cima para baixo. • As primeiras duas regras juntas permitem que usuários internos naveguem na Web: a primeira permite que qualquer pacote TCP com porta de destino 80 saia da rede da organização; a segunda autoriza que qualquer pacote TCP com porta de origem 80 e o bit ACKmarcado entrem na rede. • Observe que se uma fonte externa tentar estabelecer uma conexão TCP com um hospedeiro interno, a conexão será bloqueada, mesmo que a porta de origem ou de destino seja 80. • As duas regras juntas permitem que pacotes DNS entrem e saiam da rede da organização. • Em resumo, essa lista de controle de acesso limitada bloqueia todo o tráfego exceto o tráfego Web iniciado de dentro da organização e do tráfego DNS. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A SD E I N F O R M A Ç Ã O 2024 FIREWALL AÇÃO ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 - Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 - Negar Todos Todos Todos Todos Todos Todos Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes com controle de estado • Em um filtro de pacotes tradicional, as decisões de filtragem são feitas em cada pacote isolado. • Os filtros de estado rastreiam conexões TCP e usam esse conhecimento para tomar decisões sobre filtragem. • Para entender esses filtros de estado, vamos reexaminar a lista de controle de acesso da Tabela 2. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes com controle de estado • Por exemplo: a lista permite que qualquer pacote que chegue de fora com um ACK =1 e porta de origem 80, atravesse o filtro. Esses pacotes poderiam ser usados em tentativas de destruir o sistema interno com pacotes defeituosos, realizar ataques de recusa de serviço ou mapear a rede interna. A solução (?) seria também bloquear pacotes TCP ACK, mas tal método impediria os usuários internos da organização a navegação naWeb. • Os filtros de estado resolvem esses problemas rastreando todas as conexões TCP de entrada em uma tabela de conexão. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL AÇÃO ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 - Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 - Negar Todos Todos Todos Todos Todos Todos Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes com controle de estado • Por exemplo: a Tabela 3 indica que, no momento, há três conexões TCP em andamento, as quais foram iniciadas dentro de uma organização. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PORTA DE ORIGEM PORTA DE DESTINO 222.22.1.7 37.96.87.123 12699 80 222.22.93.2 199.1.205.23 37654 80 222.22.65.143 203.77.240.43 48712 80 Tabela 3. Tabela de conexão para o filtro de estado Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes com controle de estado • Assim, o filtro de estado inclui uma nova coluna “verificar conexão” em sua lista de controle de acesso, comomostra a Tabela 4. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL AÇÃO ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG VERIFICAR CONEXÃO Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK X Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 - Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 - X Negar Todos Todos Todos Todos Todos Todos Tabela 4. Lista de controle de acesso para filtro de estado Fo n te : K u ro se , J am es F . R ed es d e C om p u ta d or es e a In te rn et : u m a ab or d ag em t op /d ow n .6 ª. E d .S ão P au lo : P ea rs on E d u ca ti on B ra si l, 20 13 . CATEGORIAS • Filtros de pacotes com controle de estado • Vamos analisar alguns exemplos e ver como a tabela de conexão e a lista de controle de acesso funcionam em conjunto. • Suponha que um atacante tente enviar um pacote defeituoso para a rede da organização por meio de um datagrama com porta de origem TCP 80 e com o flag ACK marcado. Suponha ainda que ele possua um número de porta de origem 12543 e endereço IP remetente 150.23.23.155. Quando o pacote chega ao firewall, este verifica a lista de controle de acesso da Tabela 4, que indica que a tabela de conexão deve também ser verificada antes de permitir que esse pacote entre na rede da organização. O firewall verifica devidamente a tabela de conexão e observa que esse pacote não faz parte de uma conexão TCP em andamento e o rejeita. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Filtros de pacotes com controle de estado • Como segundo exemplo, imagine que um usuário interno queira navegar em um site externo. Como o usuário primeiro envia um segmento TCP SYN, sua conexão TCP é registrada na tabela de conexão. Quando o servidor envia pacotes de volta (com o bit ACK necessariamente definido), o firewall verifica a tabela e observa que uma conexão correspondente está em andamento. O firewall, então, deixará esses pacotes passarem, sem interferir na navegação do usuário interno. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Gateway de aplicação • Para assegurar um nível mais refinado de segurança, os firewalls têm de combinar filtro de pacotes com gateways de aplicação. • Gateway de aplicação é um servidor específico de aplicação , através do qual todos os dados da aplicação (que entram e saem) devem passar. • Vários gateways de aplicação podem executar no mesmo hospedeiro, mas cada gateway é um servidor separado, com seus próprios processos. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Gateway de aplicação • Gateways de aplicação não estão isentos de desvantagens. Primeiramente, é preciso um gateway de aplicação diferente para cada aplicação. Segundo, há um preço a pagar em termos de desempenho, visto que todos os dados serão repassados por meio do gateway. Isso se torna uma preocupação em particular quando vários usuários ou aplicações estão utilizando o mesmo gateway. • Por fim, o software cliente deve saber como entrar em contato com o gateway quando o usuário fizer uma solicitação e deve saber como dizer ao gateway de aplicação a qual servidor se conectar. IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 FIREWALL Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013. CATEGORIAS • Gateway de aplicação • Em vez de apenas examinar dados brutos, o gateway opera na camada de aplicação. • Por exemplo, um gateway de correio eletrônico pode ser configurado de forma a examinar cada mensagem recebida ou enviada. • O gateway toma a decisão de transmitir ou descartar cada mensagem, com base nos nos campos de cabeçalho, no tamanho da mensagem ou até mesmo em seu conteúdo (por exemplo, em uma instalação militar, a presença de palavras como “nuclear” ou “bomba” podem provocar algum tipo de ação especial). IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A ÇÃ O 2024 FIREWALL Fonte: Tanembaum, Andrew S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003. Olá, pessoal! Na próxima aula, iremos postar ummaterial em vídeo com uma aula prática e suas instruções. Até lá! IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024 PROGRAMAÇÃO PARA A PRÓXIMA AULA PRÓXIMA AULA
Compartilhar