Professional Documents
Culture Documents
Firewall
Atividade para complemento de nota N2 do curso de Sistemas de Informacao da UNIESP FACULDADE DO GUARUJA, da disciplina Fundamentos e Infraestrutura de Redes. Orientador: Prof. Denis.
Firewall
Atividade para complemento de nota N2 do curso de Sistemas de Informacao da UNIESP FACULDADE DO GUARUJA, da disciplina Fundamentos e Infraestrutura de Redes. Orientador: Prof. Denis.
Sum rio a
Lista de Figuras Introducao 1 Firewall 1.1 Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 1.1.2 1.1.3 1.2 Dual-homed host architecture . . . . . . . . . . . . . . . . . . . . . Screened host architecture . . . . . . . . . . . . . . . . . . . . . . . Screened subnet architecture . . . . . . . . . . . . . . . . . . . . . .
p. ii p. 1 p. 2 p. 2 p. 2 p. 3 p. 4 p. 4 p. 5 p. 5 p. 5 p. 7 p. 8
Modelo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 1.2.2 1.2.3 Packet Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stateful Inspection Firewalls . . . . . . . . . . . . . . . . . . . . . . Proxies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consideracoes Finais
ii
Lista de Figuras
1.1 1.2 1.3 1.4 Dual-Homed Host Architecture . . . . . . . . . . . . . . . . . . . . . . . . . Screened Host Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . Screened Subnet Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . Screened Subnet Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . p. 3 p. 3 p. 4 p. 5
Introducao
Em todos os lugares h pessoas mal intencionadas, tanto no mundo real quanto no mundo a virtual. Ningu m quer que suas informacoes, seus documentos e arquivos sejam roubados ou e danicados, da vem a necessidade de proteger as redes contras essas ameacas, impedindo que pessoas mal intencionadas tenham acesso as redes privadas. Nos ambientes corporativos al m da protecao contra acessos de fora para dentro da rede, e tamb m surge a necessidade de denir quais tipos de servicos ou aplicacoes podem ser acessae dos de dentro para fora da rede, impedindo o acesso a servicos sem conabilidade ou que sejam inapropriados para o ambiente corporativo. Destas necessidades surgiu o chamado Firewall, que serve para impedir os acessos tanto de fora para dentro como de dentro para fora das redes, sendo usado em v rias arquiteturas e em a diversos modelos.
Firewall
O rewall pode ser tanto um software quanto um hardware, que tem por objetivo controlar aquilo que entra e sai de uma rede, de modo a proteger uma determinada rede de acessos externos maliciosos, que queiram roubar informacoes ou causar danos, como tamb m previne e que membros da rede privada acessem servicos ou aplicacoes externos que possam vir a cau sar danos e/ou permitir o acesso de forma indevida a rede privada, sendo usado em diversas arquiteturas e modelos.
1.1
Arquitetura
Existem diversas arquiteturas para o uso de rewall, por exemplo, Dual-homed host architecture, Screened host architecture e Screened subnet architecture, a escolha da arquitetura depende das necessidades e recursos disponveis.
1.1.1
Nesta arquitetura h um servidor dual-homed com um rewall proxy, que tem pelo menos a duas placas de rede, neste servidor a funcao de roteamento e desativada, ou seja, a rede interna n o pode se conectar diretamente com a rede externa, tudo precisa passar pelo proxy, conforme a visto na gura 1.1. Um host dual-homed s fornece servicos atrav s de proxies, esta arquitetura fornece um o e alto nvel de controle, por m passa a ser o unico ponto de falha, sendo assim a seguranca deste e host deve ser muito boa, por isso o dual-homed e indicado nas seguintes situacoes: O tr fego para a Internet e pequeno a O tr fego para a Internet n o e crtico para os neg cios a a o Nenhum servico est sendo oferecido a usu rios baseados na Internet a a
Figura 1.1: Dual-Homed Host Architecture A rede que est sendo protegida n o cont m dados extremamente valiosos a a e
1.1.2
No screened host podem haver conex es abertas entre a rede interna e a internet, as coo nex es externas podem ser abertas para a rede interna desde que isso seja feito de forma controo lada atrav s de um bastion host, h uma ltragem dos pacotes permitindo que somente certos e a tipos de conex es sejam realizadas de acordo com as portas usadas por cada servico como DNS, o SMTP, FTP, entre outros, como exemplo veja a gura 1.2.
Figura 1.2: Screened Host Architecture Fica por conta do bastion host manter a seguranca em um nvel alto, pois ele passa a ser o ponto de falha nessa arquitetura, sendo assim se o bastion host for invadido, o invasor j estar a a na rede, o fato de haver um unico ponto de acesso tamb m aumenta a probabilidade de uma e queda total da rede, com isso essa arquitetura e indicada no seguintes casos:
Poucas conex es est o vindo da Internet. N o e uma arquitetura apropriada se o host e o a a um servidor web p blico. u A rede que est sendo protegida tem um nvel relativamente alto de seguranca de host. a
1.1.3
No screened subnet uma nova rede de permetro e adicionada, como visto na gura 1.3, isso e feito para isolar ainda mais a rede interna, de forma mais especca, os bastion hosts que s o a as m quinas mais vulner veis na rede, mesmo com muito esforco para proteg -los. a a e
Figura 1.3: Screened Subnet Architecture E possvel ter a presenca de um ou mais ltros de pacotes, um para a rede interna e outro para a rede externa, al m dos bastion hosts. O bastion host ca preso em uma area chamada de e Zona Desmilitarizada (DMZ) o que aumenta o nvel de seguranca, j que para acessar a rede a interna e preciso passar por dois ou mais processo de ltragem, a gura 1.4 mostra outro uso dessa arquitetura. Deve-se notar que o rewall externo deve permitir aos usu rios externos acesso somente a a servicos que est o disponveis na DMZ, e o rewall interno s deve aceitar requisicoes e a o respostas aos usu rios da rede interna. a
1.2
Modelo
Os rewalls est o disponveis em diversos modelos de acordo com aquilo que se deseja la trar e dos nveis de seguranca necess rios, dentre os modelos temos o Packet Filtering, Stateful a Inspection Firewalls e Proxies.
1.2.1
Packet Filtering
Este modelo utiliza regras de ltragem quanto ao ip de origem e destinos e quanto a porta de origem e destino dos pacotes, ele analisa cada pacote que passa pela rede, podendo aceitar ou recusar um pacote de acordo com as regras impostas. E um modelo bem simples de congurar e funciona de forma transparente aos usu rios, a por n o fazer tantas vericacoes ele tem um desempenho maior se comparado com os outros a modelos, tendo como vantagem o baixo custo, a simplicidade e exibilidade, devido ao bom gerenciamento do tr fego e as regras f ceis de serem gerenciadas, e como pontos negativos h a a a a vulnerabilidade a ataques que exploram deci ncias do protocolo TCP/IP e das aplicacoes. e
1.2.2
Este modelo pode ser considerado como uma evolucao do ltro de pacotes, pois al m de e ltrar pacotes tamb m verica os estados das conex es, ele monta uma tabela e verica se h e o a pacotes irregulares, ou seja, se h pacotes que n o pertencem as conex es ativas, se o pacote a a o n o for v lido ele ser recusado. a a a
1.2.3
Proxies
Os proxies fecham totalmente a passagem de uma rede para outra, todo pacote que queria sair ou entrar na rede deve passar pelo proxy, assim n o h conex es diretas entre a rede interna a a o e a externa, ele tamb m consegue realizar ltros especcos para aplicacoes, cada aplicacao que e
necessite ser usada deve possuir um proxy que consiga ltr -la, se n o houver a aplicacao n o a a a passar pelo proxy, isso o torna mais lento, por m e mais seguro por impedir invas es a nvel a e o de software que os outros modelos n o conseguem identicar. a
Consideracoes Finais
Todos querem se manter seguros, e para fazer isso nas redes de computadores os rewalls s o essenciais, de acordo com o nvel de seguranca necess rio h um determinado modelo e a a a arquitetura que pode ser usada, uns mais simples e f ceis de congurar e outros mais complexos a que exigem prossionais capacitados. Em ambiente corporativos onde h v rias informacoes sigilosas a boa conguracao e escoa a lha de arquitetura e modelo pode ser a diferenca entre um sistema seguro e a queda a corporacao. Os rewalls evoluram muito e enquanto houverem pessoas mal intencionadas que buscam novas formas de burlar os sistemas de seguranca, os rewalls continuar o a melhorar em busca a da protecao das redes de computadores.