Aula 4 1 - Segurança - MSI

Prévia do material em texto

IFFAR ALEGRETE - MSI
PROFESSORES
DANIEL CHAVES TEMP
JOSIANE FONTOURA DOS ANJOS
S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
SEGURANÇA EM 
SISTEMAS DE 
INFORMAÇÃO
O QUE É?
• É um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída
e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de
regras de segurança.
• Um firewall pode ser um hardware, software ou ambos.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
Fonte: O que é um firewall? Disponível em: https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html
FIREWALL
OBJETIVOS
1. Todo o tráfego de fora para dentro e vice-versa,
passa por um firewall.
• A Figura 1 mostra um firewall, situado diretamente
no limite entre a rede administrada e a internet.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
• Embora grandes organizações possam usar diversos níveis de firewalls ou firewalls
distribuídos, alocar um firewall em um único ponto de acesso à rede, conforme
mostrado na Figura 1, facilita o gerenciamento e a execução de uma política de acesso
seguro.
Figura 1. Posição do firewall entre a rede administrada e o mundo exterior
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
OBJETIVOS
2. Somente o tráfego autorizado, como definido pela
política de segurança local, poderá passar.
• Como todo o tráfego que entra e sai da rede
institucional passando pelo firewall, este pode
limitar o acesso ao tráfego autorizado.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Figura 1. Posição do firewall entre a rede administrada e o mundo exterior
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
OBJETIVOS
3. O próprio firewall é imune à penetração.
• O próprio firewall é um mecanismo conectado à
rede.
• Se não projetado ou instalado de modo adequado,
pode ser comprometedor, oferecendo apenas
uma falsa sensação de segurança (pior do que não
ter nenhum firewall!).
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Figura 1. Posição do firewall entre a rede administrada e o mundo exterior
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes tradicionais
• Filtros de estado
• Gateways de aplicação
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes tradicionais
• Uma organização normalmente tem um roteador de borda que conecta sua rede interna
com seu ISP.
• Todo tráfego que sai ou entra na rede interna passa por esse roteador.
• É nele que ocorre a filtragem de pacotes.
• Um filtro de pacotes examina cada datagrama que está sozinho, determinando se deve
passar ou ficar, baseado nas regras específicas definidas pelo administrador.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes tradicionais
• As decisões de filtragem costumam ser baseadas em:
• Endereço de IP de origem e destino.
• Tipo de protocolo no campo do datagrama IP: TCP, UDP, ICMP, OSPF, etc.
• Porta TCP ou UDP de origem e de destino.
• Bits de flag do TCP: SYN, ACK, etc.
• Tipo de mensagem ICMP.
• Regras diferentes para datagramas que entram e saem da rede.
• Regras diferentes para diferentes interfaces do roteador.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes tradicionais
• A Tabela 1 mostra uma lista de diversas políticas que uma organização pode ter e como
elas seriam endereçadas com um filtro de pacotes.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
POLÍTICA CONFIGURAÇÃO DE FIREWALL
Não há acesso exterior à Web Descartar todos os pacotes de saída para qualquer endereço IP, porta 
80
Não há conexões TCP de entrada, exceto aquelas apenas para o 
servidor Web público da organização
Descartar todos os pacotes TCP SYN para qualquer IP exceto 
130.207.244.203, porta 80
Impedir que rádios Web devorem a largura de banda disponível Descartar todos os pacotes UDP de entrada – exceto pacotes DNS
Impedir que sua rede seja usada por um ataque DoS smurf Descartar todos os pacotes ping que estão indo para um endereço de 
difusão (por exemplo, 130.207.255.255)
Impedir que a rota de sua rede seja rastreada Descartar todo o tráfego de saída ICMP com TTL expirado
Tabela 1. Políticas e regras de filtragem correspondentes para uma rede da organização 130.27/16 com servidor Web 130.207.244.203
Fo
n
te
: 
K
u
ro
se
, J
am
es
 F
. R
ed
es
 d
e 
C
om
p
u
ta
d
or
es
 e
 a
 In
te
rn
et
: u
m
a 
ab
or
d
ag
em
 t
op
/d
ow
n
.6
ª.
E
d
.S
ão
 P
au
lo
: P
ea
rs
on
 E
d
u
ca
ti
on
B
ra
si
l, 
20
13
.
CATEGORIAS
• Filtros de pacotes tradicionais
• As regras de firewall são executadas por roteadores com listas de acesso, tendo cada
interface do roteador sua própria lista.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes tradicionais
• Um exemplo de uma lista de controle de acesso para uma organização 222.22/16 é ilustrado
na Tabela 2. Essa lista é para uma interface que conecta o roteador aos ISPs externos da
organização.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
AÇÃO ENDEREÇO DE 
ORIGEM
ENDEREÇO DE 
DESTINO
PROTOCOLO PORTA DE 
ORIGEM
PORTA DE 
DESTINO
BIT DE FLAG
Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um
Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK 
Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 -
Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 -
Negar Todos Todos Todos Todos Todos Todos
Tabela 2. Lista de controle de acesso para uma interface com roteador
Fo
n
te
: 
K
u
ro
se
, J
am
es
 F
. R
ed
es
 d
e 
C
om
p
u
ta
d
or
es
 e
 a
 In
te
rn
et
: u
m
a 
ab
or
d
ag
em
 t
op
/d
ow
n
.6
ª.
E
d
.S
ão
 P
au
lo
: P
ea
rs
on
 E
d
u
ca
ti
on
B
ra
si
l, 
20
13
.
CATEGORIAS
• Filtros de pacotes tradicionais
• As regras são aplicadas a cada datagrama que atravessa a interface de cima para baixo.
• As primeiras duas regras juntas permitem que usuários internos naveguem na Web: a primeira
permite que qualquer pacote TCP com porta de destino 80 saia da rede da organização; a segunda
autoriza que qualquer pacote TCP com porta de origem 80 e o bit ACKmarcado entrem na rede.
• Observe que se uma fonte externa tentar estabelecer uma conexão TCP com um hospedeiro interno,
a conexão será bloqueada, mesmo que a porta de origem ou de destino seja 80.
• As duas regras juntas permitem que pacotes DNS entrem e saiam da rede da organização.
• Em resumo, essa lista de controle de acesso limitada bloqueia todo o tráfego exceto o tráfego Web
iniciado de dentro da organização e do tráfego DNS.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A SD E I N F O R M A Ç Ã O 2024
FIREWALL AÇÃO ENDEREÇO DE 
ORIGEM
ENDEREÇO DE 
DESTINO
PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG
Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um
Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK 
Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 -
Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 -
Negar Todos Todos Todos Todos Todos Todos
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Em um filtro de pacotes tradicional, as decisões de filtragem são feitas em cada pacote
isolado.
• Os filtros de estado rastreiam conexões TCP e usam esse conhecimento para tomar
decisões sobre filtragem.
• Para entender esses filtros de estado, vamos reexaminar a lista de controle de acesso da
Tabela 2.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Por exemplo: a lista permite que qualquer pacote que chegue de fora com um ACK =1 e
porta de origem 80, atravesse o filtro. Esses pacotes poderiam ser usados em tentativas
de destruir o sistema interno com pacotes defeituosos, realizar ataques de recusa de
serviço ou mapear a rede interna. A solução (?) seria também bloquear pacotes TCP ACK,
mas tal método impediria os usuários internos da organização a navegação naWeb.
• Os filtros de estado resolvem esses problemas rastreando todas as conexões TCP de
entrada em uma tabela de conexão.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL AÇÃO ENDEREÇO DE 
ORIGEM
ENDEREÇO DE 
DESTINO
PROTOCOLO PORTA DE ORIGEM PORTA DE DESTINO BIT DE FLAG
Permitir 222.22/16 Fora de 222.22/16 TCP > 1023 80 Qualquer um
Permitir Fora de 222.22/16 222.22/16 TCP 80 > 1023 ACK 
Permitir 222.22/16 Fora de 222.22/16 UDP > 1023 53 -
Permitir Fora de 222.22/16 222.22/16 UDP 53 > 1023 -
Negar Todos Todos Todos Todos Todos Todos
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Por exemplo: a Tabela 3 indica que, no momento, há três conexões TCP em andamento,
as quais foram iniciadas dentro de uma organização.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
ENDEREÇO DE ORIGEM ENDEREÇO DE DESTINO PORTA DE ORIGEM PORTA DE DESTINO
222.22.1.7 37.96.87.123 12699 80
222.22.93.2 199.1.205.23 37654 80
222.22.65.143 203.77.240.43 48712 80
Tabela 3. Tabela de conexão para o filtro de estado
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Assim, o filtro de estado inclui uma nova coluna “verificar conexão” em sua lista de
controle de acesso, comomostra a Tabela 4.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
AÇÃO ENDEREÇO DE 
ORIGEM
ENDEREÇO DE 
DESTINO
PROTOCOLO PORTA DE 
ORIGEM
PORTA DE 
DESTINO
BIT DE FLAG VERIFICAR 
CONEXÃO
Permitir 222.22/16 Fora de 
222.22/16
TCP > 1023 80 Qualquer um
Permitir Fora de 
222.22/16
222.22/16 TCP 80 > 1023 ACK X
Permitir 222.22/16 Fora de 
222.22/16
UDP > 1023 53 -
Permitir Fora de 
222.22/16
222.22/16 UDP 53 > 1023 - X
Negar Todos Todos Todos Todos Todos Todos
Tabela 4. Lista de controle de acesso para filtro de estado
Fo
n
te
: 
K
u
ro
se
, J
am
es
 F
. R
ed
es
 d
e 
C
om
p
u
ta
d
or
es
 e
 a
 In
te
rn
et
: u
m
a 
ab
or
d
ag
em
 t
op
/d
ow
n
.6
ª.
E
d
.S
ão
 P
au
lo
: P
ea
rs
on
 E
d
u
ca
ti
on
B
ra
si
l, 
20
13
.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Vamos analisar alguns exemplos e ver como a tabela de conexão e a lista de controle de
acesso funcionam em conjunto.
• Suponha que um atacante tente enviar um pacote defeituoso para a rede da organização por
meio de um datagrama com porta de origem TCP 80 e com o flag ACK marcado. Suponha ainda
que ele possua um número de porta de origem 12543 e endereço IP remetente 150.23.23.155.
Quando o pacote chega ao firewall, este verifica a lista de controle de acesso da Tabela 4, que
indica que a tabela de conexão deve também ser verificada antes de permitir que esse pacote
entre na rede da organização. O firewall verifica devidamente a tabela de conexão e observa que
esse pacote não faz parte de uma conexão TCP em andamento e o rejeita.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Filtros de pacotes com controle de estado
• Como segundo exemplo, imagine que um usuário interno queira navegar em um site
externo. Como o usuário primeiro envia um segmento TCP SYN, sua conexão TCP é
registrada na tabela de conexão. Quando o servidor envia pacotes de volta (com o bit ACK
necessariamente definido), o firewall verifica a tabela e observa que uma conexão
correspondente está em andamento. O firewall, então, deixará esses pacotes passarem,
sem interferir na navegação do usuário interno.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Gateway de aplicação
• Para assegurar um nível mais refinado de segurança, os firewalls têm de combinar filtro
de pacotes com gateways de aplicação.
• Gateway de aplicação é um servidor específico de aplicação , através do qual todos os
dados da aplicação (que entram e saem) devem passar.
• Vários gateways de aplicação podem executar no mesmo hospedeiro, mas cada gateway
é um servidor separado, com seus próprios processos.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Gateway de aplicação
• Gateways de aplicação não estão isentos de desvantagens. Primeiramente, é preciso um
gateway de aplicação diferente para cada aplicação. Segundo, há um preço a pagar em
termos de desempenho, visto que todos os dados serão repassados por meio do gateway.
Isso se torna uma preocupação em particular quando vários usuários ou aplicações estão
utilizando o mesmo gateway.
• Por fim, o software cliente deve saber como entrar em contato com o gateway quando o
usuário fizer uma solicitação e deve saber como dizer ao gateway de aplicação a qual
servidor se conectar.
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
FIREWALL
Fonte: Kurose, James F. Redes de Computadores e a Internet: uma abordagem top/down. 6ª. Ed. São Paulo: Pearson Education Brasil, 2013.
CATEGORIAS
• Gateway de aplicação
• Em vez de apenas examinar dados brutos, o gateway opera na camada de aplicação.
• Por exemplo, um gateway de correio eletrônico pode ser configurado de forma a
examinar cada mensagem recebida ou enviada.
• O gateway toma a decisão de transmitir ou descartar cada mensagem, com base nos nos
campos de cabeçalho, no tamanho da mensagem ou até mesmo em seu conteúdo (por
exemplo, em uma instalação militar, a presença de palavras como “nuclear” ou “bomba”
podem provocar algum tipo de ação especial).
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A ÇÃ O 2024
FIREWALL
Fonte: Tanembaum, Andrew S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003.
Olá, pessoal!
Na próxima aula, iremos postar ummaterial em vídeo com uma aula prática e suas instruções.
Até lá!
IFFAR ALEGRETE - MSI S E G U R A N Ç A E M S I S T E M A S D E I N F O R M A Ç Ã O 2024
PROGRAMAÇÃO PARA A PRÓXIMA AULA
PRÓXIMA AULA