firewalls
86 pág.

firewalls


DisciplinaOrganização de Computadores4.784 materiais83.183 seguidores
Pré-visualização5 páginas
de PacotesFiltragem de Pacotes
\u2022\u2022 VantagensVantagens
\u2013 um roteador com filtragem pode proteger toda uma rede
\u2013 é extremamente eficiente, principalmente stateless
\u2013 é largamente disponível, pode ser encontrado em 
roteadores, embutido em SOs, softwares específicos, ...
\u2022\u2022 DesvantagensDesvantagens
\u2013 é complicado configurar um filtro de pacotes
\u2013 é difícil de testar
\u2013 reduz a performance do roteamento
\u2013 algumas vezes faltam recursos para implementar algumas 
regras desejadas
22 GSegGSeg
UFRGSUFRGS
Proxy ServicesProxy ServicesProxy Services
\u2022\u2022 Proxy Proxy = Procurador= Procurador
\u2022\u2022 Funcionam a nível de aplicaçãoFuncionam a nível de aplicação
\u2013 Aplication Level Gateways
\u2013 HTTP
\u2013 FTP
Ilusão do Usuário
HTTP Proxy
www.site.com
23 GSegGSeg
UFRGSUFRGS
Proxy ServicesProxy ServicesProxy Services
\u2022\u2022 Podem realizar filtragens baseados nos dados do Podem realizar filtragens baseados nos dados do 
protocolo de aplicaçãoprotocolo de aplicação
\u2013 ex.: HTTP
\u2022 nome do site
\u2022 conteúdo da página
\u2022 tipo de acesso GET/POST
\u2022 etc.
\u2013 ex.: SMTP
\u2022 e-mail do remetente
\u2022 e-mail do destinatário
\u2022 comandos SMTP
\u2022 conteúdo de um e-mail
24 GSegGSeg
UFRGSUFRGS
Proxy ServicesProxy ServicesProxy Services
\u2022\u2022 VantagensVantagens
\u2013 nível mais apurado de registro (log)
\u2013 filtragem mais inteligente
\u2013 pode realizar autenticação de usuário
\u2013 protege clientes de \u201cpacotes nocivos\u201d
\u2013 pode realizar caching
\u2022\u2022 DesvantagensDesvantagens
\u2013 cada serviço requer um proxy específico
\u2013 alguns serviços, principalmente os novos, não tem proxy 
disponível
\u2013 nem sempre é transparente para o usuário
SiteProxy
25 GSegGSeg
UFRGSUFRGS
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
\u2022\u2022 Endereços externamente visíveisEndereços externamente visíveis
\u2013 são endereços válidos na Internet
\u2013 NÃO podem ser utilizados sem que sejam devidamente 
reservados (Registro.br)
\u2022\u2022 Endereços de uso internoEndereços de uso interno
\u2013 são endereços inválidos na Internet
\u2013 RFC1918
\u2022 10.0.0.0 / 8
\u2022 172.16.0.0 / 12
\u2013 netmask 255.240.0.0
\u2013 faixa: 172.16.0.0 até 172.31.0.0
\u2022 192.168.0.0 / 16
26 GSegGSeg
UFRGSUFRGS
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
\u2022\u2022 OperaçãoOperação
\u2013 altera dados do pacote
\u2022 normalmente endereço e porta de origem
\u2022 em alguns casos endereço e porta de destino (Destination 
NAT)
NAT
192.168.1.10 : 1043 143.54.23.10 : 4030192.168.1.10 : 1043 143.54.23.10 : 4030
192.168.1.14 : 2032 143.54.23.10 : 4033192.168.1.14 : 2032 143.54.23.10 : 4033
27 GSegGSeg
UFRGSUFRGS
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
\u2022\u2022 VantagensVantagens
\u2013 ajuda a reforçar o controle do firewall
\u2022 os endereços internos não funcionam na rede externa, assim, 
qualquer conexão de dentro para fora depende de auxílio do 
firewall
\u2022 somente pacotes relativos às conexões iniciadas internamente 
conseguem vir da rede externa
\u2013 oculta a estrutura (configuração) da rede interna
28 GSegGSeg
UFRGSUFRGS
\u2022\u2022 Sem uso do NATSem uso do NAT
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
As máquinas internas podem ficar
expostas, assim um atacante pode
conectar-se diretamente a uma
máquina interna sem maiores
problemas.
Usuários internos podem
instalar serviços que poderão
ser acessados de fora da rede.
ex.: VNC, PCAnyWhere.
143.54.23.15
143.54.23.36
143.54.23.254
143.54.23.130
29 GSegGSeg
UFRGSUFRGS
\u2022\u2022 Usando NATUsando NAT
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
143.54.23.130
143.54.23.254
192.168.1.20
192.168.1.45
Máquinas internas ficam ocultas.
Somente aquelas que precisam
ser acessadas de fora (ex.: um
servidor HTTP), possuem um IP
externamente visível.
Todo acesso externo é
realizado pelo equipamento
que faz o NAT.
30 GSegGSeg
UFRGSUFRGS
Network Address Translation (NAT)Network Address Translation Network Address Translation (NAT)(NAT)
\u2022\u2022 DesvantagensDesvantagens
\u2013 o NAT altera dados do pacote, isso pode interferir em alguns 
protocolos, pode dificultar o registro (log) de atividades e 
pode ainda interferir na filtragem de pacotes
\u2013 maior carga no equipamento
31 GSegGSeg
UFRGSUFRGS
Virtual Private Network (VPN) ?VirtualVirtual Private NetworkPrivate Network (VPN) ?(VPN) ?
\u2022\u2022 Não é propriamente uma tecnologia de Não é propriamente uma tecnologia de firewallfirewall
\u2022\u2022 Mas o Mas o firewall firewall é um bom lugar para a criação de uma é um bom lugar para a criação de uma 
VPNVPN
\u2013 controla todo o tráfego de entrada/saída
\u2013 um firewall não consegue controlar tráfego já cifrado
Firewall
ArquiteturasArquiteturasArquiteturas
Vinícius SerafimVinícius Serafim
serafim@serafim@infinf..ufrgsufrgs.br.br
GSegGSegGSeg
UFRGSUFRGSUFRGS
33 GSegGSeg
UFRGSUFRGS
TópicosTópicosTópicos
\u2022\u2022 Tipos de ArquiteturasTipos de Arquiteturas
\u2022\u2022 Exemplos de ArquiteturasExemplos de Arquiteturas
\u2022\u2022 Bastion HostsBastion Hosts
\u2022\u2022 Exemplos de ArquiteturasExemplos de Arquiteturas
\u2022\u2022 Algumas ConsideraçõesAlgumas Considerações
34 GSegGSeg
UFRGSUFRGS
Tipos de ArquiteturasTipos de ArquiteturasTipos de Arquiteturas
\u2022\u2022 SingleSingle--BoxBox
\u2013 baseados em apenas um equipamento
\u2013 arquitetura bastante comum
\u2013 mais barata, mais simples, menos segura
\u2013 ponto único de falha
\u2022\u2022 MultipleMultiple--BoxesBoxes
\u2013 é composta por um conjunto de equipamentos
\u2013 custo pode ser muito maior dependendo da solução adotada
\u2013 mais complexa, bem mais segura
\u2013 fornece vários níveis de defesa
\u2013 são inúmeros os arranjos possíveis
35 GSegGSeg
UFRGSUFRGS
\u2022\u2022 Screening RouterScreening Router
\u2013 tudo que é preciso é um roteador com filtragem, 
normalmente precisamos de um para a conexão com a 
Internet
\u2013 normalmente só filtra pacotes, mas pode fazer NAT
\u2013 limitado, não trata nível de aplicação
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
Single-Box
36 GSegGSeg
UFRGSUFRGS
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
\u2022\u2022 Screening RouterScreening Router
\u2013 Quando usar?
\u2022 quando a rede protegida tem um alto grau de Host Security
\u2022 número reduzido de protocolos
\u2022 protocolos simples
\u2022 quando o desempenho é vital
\u2013 Onde utilizar?
\u2022 entre redes internas (firewall interno)
37 GSegGSeg
UFRGSUFRGS
\u2022\u2022 Screened HostScreened Host
\u2013 filtro garante que
\u2022 somente pacotes destinados ao bastion host podem entrar
\u2022 somente pacotes criados pelo bastion host podem sair
\u2013 dois níveis de segurança
\u2022 filtro de pacotes
\u2022 bastion host
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
Multiple-Boxes
Bastion Host
38 GSegGSeg
UFRGSUFRGS
\u2022\u2022 Screened HostScreened Host
\u2013 não dispensa host security
\u2013 trata nível de aplicação
\u2013 Quando utilizar?
\u2022 quando o bastion host não for um servidor para usuários 
externos (servidor público)
Exemplos de ArquiteturasExemplos de ArquiteturasExemplos de Arquiteturas
Bastion Host
Multiple-Boxes
39 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 Bastion HostBastion Host
\u2013 é como o saguão de um prédio, qualquer um pode entrar 
nele, mas talvez não possa seguir adiante
\u2013 constitui a presença pública na Internet, é externamente 
visível e acessível
\u2013 são máquinas potencialmente vulneráveis e portanto críticas 
para a segurança
\u2013 exigem um alto nível de host security
\u2013 serão o primeiro alvo de um atacante
\u2013 mais cedo ou mais tarde serão invadidos
40 GSegGSeg
UFRGSUFRGS
Bastion HostsBastion HostsBastion Hosts
\u2022\u2022 Alguns tiposAlguns tipos
\u2013 internos: fornecem serviços para a rede interna (proxy)
\u2013 externos: servidores públicos HTTP, FTP, SMTP, etc.
\u2013 Dual-Homed: máquinas com duas (ou mais) placas de rede. 
Interconecta duas redes ao nível de aplicação.
41 GSegGSeg
UFRGSUFRGS
DMZ
\u2022\u2022 Screened SubnetScreened Subnet
\u2013 filtros garantem que:
\u2022 somente pacotes destinados ao bastion host podem entrar na 
DMZ
\u2022 somente pacotes criados pelo bastion host podem sair