Firewalls

Roteiro

Introduo

Caractersticas do Firewall
Tipo de Firewall
Filtro de Pacotes Servidores Proxy

Tipos avanados de Firewall

Bastion Host
Firewalls hbridos
2

Roteiro

(cont)

Arquiteturas de Firewall
Screened Host Screened Subnet

Concluso
Bibliografia

Introduo

Alto ndice de ataques a redes

Necessidade de controle de trfego

Garantir integridade aos servios

Alta demanda dos servios da Internet

Bastion Host

Bastion host qualquer mquina configurada para desempenhar algum papel crtico na segurana da rede interna; constituindo-se na presena pblica na Internet, provendo os servios permitidos segundo a poltica de segurana da empresa. O bastion host tem responsabilidades diferentes do packet filter, dependendo do seu tipo. Alguns autores enfatizam que enquanto o packet filter atua em um nvel mais baixo o bastion host se encarrega de todos os nveis (referentes ao modelo OSI).

Firewall
Definio de Firewall Funes do Firewall Estrutura de um Firewall Classificao bsica

Firewall(2)
Ilustrao:

Princpios Bsicos

Toda solicitao chega ao Firewall

Somente trfego autorizado passa pelo Firewall O prprio Firewall deve ser imune a penetrao

O que um Firewall pode fazer?

1. 2.

um foco para a tomada de decises

Pode ser usado como um ponto de partida para a poltica de segurana

3.
4.

Pode gravar requisies

Limita a exposio da rede

O que um Firewall no pode fazer?

1.
2. 3.

4.

Proteger uma rede contra usurios internos Proteger uma rede contra conexes que no passam por ele Proteger contra ameaas completamente novas Proteger contra vrus
10

Tipos de Firewall

Existem dois principais tipos:

Filtro de Pacotes;

Servidores Proxy.

11

Filtro de Pacotes

Filtrar = peneirar, separar

Controle do trfego que entra e sai Filtro de pacotes em Roteadores Incrementa a segurana Transparente aos usurios Grande variedade no mercado
12

Filtro de Pacotes

(2)

As regras dos filtros se contm:

Endereo IP de origem Endereo IP de destino

Protocolos TCP, UDP, ICMP

Portas TCP ou UDP origem

Portas TCP ou UDP destino

Tipo de mensagem ICMP
13

Filtro de Pacotes

(3)

Internet

Router Roteador com Filtro de Pacotes

Rede Interna

14

Filtro de Pacotes

(4)

Filtragem por adapatador de rede vantagem ao administrador Principais problemas do filtro:

IP Spoofing
Servio troca de porta

Filtros de pacotes no tratam protocolos da camada de aplicao

15

Filtro de Pacotes

(5)

Filtragem = atraso no roteamento Filtros com Inspeo com Estado

Utilizam as flags do TCP (ACK, SYN, FIN) Vantagens: maior controle

Filtros de pacotes no so uma soluo nica um complemento

16

Servidores Proxy

Assumem requisies de usurios de uma rede

Atuam em nome do cliente de uma forma transparente No permitem que pacotes passem diretamente entre cliente e servidor
17

Servidores Proxy(2)

Ilustrao do funcionamento

18

Servidores Proxy(3)

Mtodos de utilizao:
Mtodo da Conexo Direta;

Mtodo do Cliente Modificado;

Mtodo do Proxy Invisvel.

19

Servidores Proxy(4)

Vantagens de utilizao do proxy: Permite ao usurio acesso direto aos servios na Internet; Possui bons mecanismos de log; Prov uma tima separao entre as redes.
20

Servidores Proxy(5)

Desvantagens do proxy: Cada servio possui o seu servidor proxy; Deve ser desenvolvida uma nova aplicao para cada novo servio;

Existem alguns servios inviveis.

21

Servidores Proxy X Filtro de Pacotes

Tomada de decises: Servidor proxy toma decises baseado em informaes fornecidas pelo servio; Filtro de pacotes utiliza o cabealho do pacote.

22

Servidores Proxy X Filtro de Pacotes (2)

Desempenho:
Filtro de pacotes possui uma vantagem por estar em nvel mais baixo.

Auditoria:
Servidor proxy possui vantagem por permitir auditoria sobre o controle do trfego.

23

Tipos Adicionais de

Firewalls

Existem dois outros tipos de firewalls alternativos: Firewalls Hbridos; Firewalls Bastion Hosts.

24

Firewalls Hibrdos

A maioria dos firewalls podem ser classificados como Filtro de Pacotes ou Servidores Proxy

Outros tipos de firewalls oferecem uma

combinao entre estes dois

25

Firewalls Hibrdos(2)

Ilustrao exemplo

26

Firewalls Bation Hosts

Hosts fortemente protegidos nico computador da rede que pode ser acessado pelo lado de fora do firewall Pode ser projetado para ser um servidor Web, servidor FTP, dentre outros
27

Firewalls Bation Hosts

(2)

Ilustrao :

28

Firewalls Bation Hosts

(2)

Honey Pot
Chamariz Funo

para crackers;

de coletar dados de
de registros de logs so

tentativas de invaso;
Ferramentas

matidas o mais seguro possvel.

29

Arquiteturas de FW

O que uma arquitetura de Firewall ? Principais:

Screened host Screened subnet

Screened = proteger, peneirar, investigar

30

Screened host

Sem sub-rede de proteo Elementos = 1 roteador e 1 bation host Rede protegida sem acesso direto ao mundo Bastion host realiza o papel de procurador s ele passa pelo roteador
31

Screened host

(2)

Ilustrao desta arquitetura

32

Screened Subnet
Apresenta mltiplos nveis de redundncia a mais segura Componentes:

Roteador externo Subrede intermediria (DMZ) Bastion Host Roteador Interno

33

Screened Subnet

(2)

O que a DMZ (De Militarized Zone)?

Sub-rede entre a rede externa e a protegida. Proporciona segurana.

Rede interna somente tm acesso ao Bastion Host Somente a subrede DMZ conhecida pela Internet
34

Screened Subnet

(3)

Ilustrao desta arquitetura

35

Concluso

Importante ferramenta na proteo Firewall no deve ser o nico componente da poltica de segurana

Qual a melhor soluo de projeto de firewall para

redes?
36

Bibliografia

Zwicky, E; Cooper, Simon Contruindo Firewalls para Internet. Editora OReilly, 2000.

Oliveira, W Segurana da Informao. Editora Visual Books, 2001

37

Links teis

Firewalls UFRJ http://www.gta.ufrj.br/~jaime/trabalho s/firewall/firewall.htm

Internet Firewalls UFRGS http://penta.ufrgs.br/redes296/firewall /fire.html

38

Perguntas

39