Professional Documents
Culture Documents
Introdução
Características de um Firewall
Tipos de Firewall
Servidores proxy
Introdução
Roteador CISCO
PC/Linux + IPTables
PC/Windows + Firewall-1
Black Box
Ponto de Obstrução
Força os intrusos a usar um canal estreito
Nível de pacotes
Pode negar o pacote (DROP) ou deixar o pacote passar
(ACCEPT).
O iptables é um excelente firewall que se encaixa nesta
categoria.
Considerações sobre
Filtragem de Pacotes
Proteção usualmente implementada em roteadores
Bom desempenho
Totalmente transparente para o usuário final
Abordagem “tudo ou nada” em relação a serviços
Não modifica o serviço nem protege operações individuais do
serviço
Se um serviço desejável possui operações inseguras (bugs), a
filtragem de pacotes não pode protegê-lo
Níveis de Filtragem
Arquitetura Internet
Intra-rede
Portas (ports)
Utilizadas em pacotes TCP e UDP
Idéia de "guichê"
Cada aplicação, antes de enviar/receber um pacote, deve
associar-se a um número de porta
Portas (ports)
Um servidor fica aguardando conexões em uma
determinada porta
65536 possibilidades
http://www.iana.org/assignments/port-numbers
Portas comuns
21 FTP 22 SSH
23 TELNET 25 SMTP
53 DNS 80 HTTP
110 POP3 143 IMAP
443 HTTPS 8080 HTTP
Filtro de Pacotes
As regras dos filtros tem:
Endereço IP de origem
Endereço IP de destino
Protocolos TCP, UDP, ICMP
Portas TCP ou UDP origem
Portas TCP ou UDP destino
Tipo de mensagem ICMP
Filtro de Pacotes
Possibilidades de filtragem
endereço IP origem
endereço IP destino
tipo de protocolo
Exemplos que a filtragem não faz:
O usuário “Bob” pode conectar-se via telnet do exterior
mas os outros usuários não
Somente os arquivos do diretório /public podem ser
transferidos em sessões FTP
Filtragem TCP
1, Ack =1
Syn =
Syn = 0, A
ck =1
Transmissão de
dados
Filtragem UDP
Não há o conceito de conexão
Mesmo assim, alguns firewalls guardam por algum tempo
as informações sobre um pacote UDP enviado para aceitar
uma eventual resposta
SA=200.2
00.200.1
DA=200.1 / SP=1111
00.100.2
/ DP=555
5
cliente
. 2 / S P = 5555 servidor
200.200.200.1 = 200. 100.100 P=1111 200.100.100.2
SA 00 .1 / D
200.2
OK! DA=200.
/ S P = 5555
00.100. 2
SA = 20 0. 1
0 .1 / D P =4444
A = 2 00 . 200.20
D
Servidores Proxy
Servidores proxy (procuradores) são programas que lidam com
servidores externos em nome de clientes internos
Os clientes proxy comunicam-se com servidores proxy, que, por
sua vez, enviam as solicitações aprovadas para os servidores
reais, bem como encaminham as respostas destas solicitações
de volta para os clientes
O proxy deve ser o único caminho entre o cliente interno e o
servidor externo
Servidores Proxy
Há maior controle sobre as ações dos usuários
filtro de conteúdo
filtro de URLs
logs de utilização
controle de IPs
controle de headers HTTP
Podem ser transparentes para o usuário
Servidores Proxy
servidor
Internet real
servidor proxy
Rede Interna
cliente
proxy
DMZ (demilitarized zone)
Qualquer serviço pode ter bugs e erros de configuração
Esteja preparado para o pior
O servidor proxy é visível na Internet, podendo ser atacado
Caso o servidor proxy seja comprometido, a segurança da rede não
deve ser violada
Um novo nível de segurança é acrescentado com a
introdução de uma rede desmilitarizada (DMZ, ou rede de
fronteira)
Computadores mais vulneráveis ou com acesso remoto
devem ficar nessa DMZ
Caso os hosts sejam comprometidos, há ainda mais um
nível de segurança a ser superado
DMZ Bastion hosts
Internet
DMZ
Rede de Fronteira
filtro filtro
de acesso de bloqueio
Rede Interna
DMZ