You are on page 1of 21

Segurança de Rede

Segurança Perimetral Firewall
Prof. Sales Filho <salesfilho@cefetrn.br>

Objetivos
 

Apresentar os conceitos de firewall

Tipos de firewall Estáticos Dinâmicos Com estado Proxy de aplicação Proxy genérico
2

Apresentar os tipos de filtragem pacotes
  

Apresentar os conceitos de proxys
 

ou conjunto de sistema.Firewall     Um sistema. que implementa uma política de controle de acesso entre duas redes Intercepta todo o tráfego de pacotes entre duas redes Com base na política de segurança interna. pode permitir ou bloquear a passagem de pacotes Os firewalls não são soluções de segurança completas 3 .

Firewall Deny POLÍTICA DE SEGURANÇA Allow 4 .

Firewall  Tipos de firewall       Filtro de pacotes estáticos Filtros de pacotes dinâmicos Filtro de pacotes com estados (stateful packt filter) Proxy de aplicação Proxy transparente NAT 5 .

Firewall  Filtragem É de pacotes estáticos o processo que. permite ou bloqueia o tráfego entre duas redes  As regras são baseadas nas informações contidas nos cabeçalhos dos pacotes  Endereço IP de origem  Endereço IP de destino  Protocolos de transporte TCP. seletivamente. UDP  Portas de origem  6 .

são implementados junto com o processo de roteamento Ex.Firewall  Filtragem de pacotes estáticos  Em geral.: Screening routers (Roteadores escrutinadores)  Asas     Filtros estáticos apresentam sempre um bom desempenho (executados em níveis mais baixos) Acomodam o crescimento da rede interna  Escalabilidade Não exigem configuração especial nos softwares clientes e/ou servidores 7 .

Firewall  Filtragem de pacotes estáticos  Vantagens Evitam todos os ataques aos serviços que não são permitidos pelas regras configradas  São capazes de evitar IP Spoofing. usando endereços da rede interna  Podem frear muitos ataques utilizando pacotes truncados ou flooding de pacotes   Desvantagens  Ataques as aplicações não podem ser evitados  Carecem de ferramentas úteis de administração  A ordem das regras é MUITO importante 8 .

16.30.0/24 Internet F0/0 S0/0 F0/0 S0/0 S0/1 F0/0 S0/1 S0/0 9 .16.10.16.0/24 172. impedindo que a rede 172.0/24 172.10.20.16.0/24 acesse os serviços HTTP e DNS no Server0 172.Firewall  Atividade  Implementar as funções de screening router no Router2.

Firewall  Filtragem de pacotes dinâmicos    Mecanismo de filtro mais inteligente Utilizam tabelas de estados para tratar protocolos mais complexos Capazes de tratar serviços baseados em UDP  Mesmo sem estado. este tipo de filtro pode “lembrar” dos pacotes que passam pelo firewall e. com isso. permitir o tráfego no sentido inverso apenas para relacionados a esses primeiros 10 . caso das sessões UDP.

Firewall  Filtragem de pacotes dinâmicos 11 .

utilizam também tabelas de estados de comunicações  A filtragem tradicional ocorre com o primeiro pacote da conexão ou sessão  Os demais pacotes de comunicação somente serão permitidos se existir alguma entrada na tabela de estados equivalentes 12 .Firewall  Filtragem de pacotes com Estados  Além das regras de filtragem.

inclusive.Firewall  Filtragem de pacotes com Estados Informações Tabela de estado s Atual. em nível de aplicação 13 .

duas conexões  Processo local com o proxy  Proxy com servidor remoto  Os dados de uma conexão são repassadas para as outras e vice- 14 .Firewall  Agentes Proxy  É uma tecnologia de firewall que tem como objetivo principal controlar todas as comunicações entre máquinas internas e externas (serviços)  Esse esquema envolve. pelo menos.

Firewall  Agentes Proxy P X Agente proxy Extern o Conexão x Conexão x P 2 Conexão y Intern o Tabela de conexõe s Conexão y P 1 15 .

Firewall  Agentes Proxy  Desempenho inferior ao de filtro de pacote  Limitam o crescimento de uma rede  Escalabilidade  Não protegem o sistema operacional da própria máquina  Precisa de algum filtro de pacote para complementar a segurança  Em geral. é complicado implementar um agente proxy para serviços UDP 16 .

.. Nem sempre existe proxy para todas as aplicações 17 .Firewall  Proxy de Aplicação  Examinam todo o fluxo da comunicação na camada de aplicação Provê autenticação de usuários  Cache de dados  Logs sofisticados  Controle de conteúdo  Filtragem baseada nos ‘comandos’ da camada de aplicação    Conhece aplicações particulares  HTTP. FTP.

Firewall  Proxy genérico  Nem sempre é possível utilizar um proxy de aplicação  Este tipo de proxy não ‘entendem’ nenhuma aplicação em particular  Deve ser usado com precaução Não conseguem tratar protocolos complexos  Não implementa cache  Não geram logs sofisticados   Apenas passa dados de uma conexão para outra 18 .

NAT versus Firewall       NAT (Network Address Translator)  Não foi feito para implementar firewall Pode ser usado para isolar completamente máquinas de uma rede local Esconde a topologia interna da rede Máquinas da rede internas utilizam endereços privados (RFC 1918) A máquina ‘gateway’ faz a tradução de endereços Problema  Botnets  Canais protegidos são estabelecidos 19 .

Componentes básicos        Host Bastion Host Dual-Homed Host Firewall Zona desmilitarizada Rede Interna Rede externa DMZ Rede Externa Rede Interna 20 .

4. 2003.Bibliografias    [Stallings 2008] Stallings. Ed. 2008. São Paulo: Pearson Prentice Hall. [Minasi 2003] Minasi. [ESR] Segurança de Redes e Sistemas . Pearson.a bíblia. Dominando o Windows Server 2003 . Mark et al. Criptografia e segurança de redes. William.