Curso de Segurança

Curso Perito PF Segurana da Informao
Mecanismos de Segurana
Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmail.com

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 1
Roteiro

Mecanismos de Autenticao Firewall Servio Proxy IDS VPN
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson
Mecanismos de Autenticao
A informao de autenticao normalmente estar sob o controle de duas ou trs entidades. Quando o esquema de autenticao est sob o controle de duas entidades, a entidade que est se autenticando e a entidade autenticadora, o esquema chamado Two-Party Authentication. Se for utilizada uma terceira entidade, que geralmente possui o papel de validar ou certificar a autenticidade das outras entidades, este esquema chamado de Trusted Third-Party Authentication.
A autenticao Two-Party ainda se subdivide em dois esquemas: o de uma via (one-way) e o de duas vias (twoways). No primeiro esquema, uma entidade, geralmente cliente, se autentica em um servidor, sem que este precise se autenticar no cliente. No esquema de duas vias, todas as entidades devem se autenticar mutuamente.
Em ambas as situaes, a informao ou parte da mesma que compartilhada entre duas entidades participantes da comunicao chamada shared secret ou segredo compartilhado. Os principais mtodos de autenticao Two-Party conhecidos so: Shared Secret (chave secreta compartilhada) e Challenge/Response. O Shared Secret, pela sua simplicidade, um dos esquemas de autenticao mais utilizados em redes VPN, e utiliza uma senha compartilhada entre as entidades de rede.
No Shared Secret, as entidades conhecem previamente a senha ou a chave secreta, enquanto o Challenge/Response um esquema de desafio e resposta, onde o servidor lana um desafio a uma outra entidade, esperando uma resposta previamente acordada entre elas. Geralmente, este ltimo esquema utiliza como desafio e resposta um conjunto de chaves para criptografia simtrica. Os principais protocolos de autenticao que sustentam estes mtodos so: PAP, CHAP, TACACS+ e o RADIUS.
Mecanismos de Autenticao Segurana AAA

A segurana de acesso rede baseada em uma arquitetura modular denominada arquitetura AAA, a saber:
Authentication (Autenticao) requer que os usurios provem que so realmente quem dizem ser. Exemplo: autenticao para uso do internet banking. Authorization (Autorizao) aps a autenticao do usurio, os servios de autorizao decidem quais recursos os usurios podem acessar e quais operaes podem realizar. Exemplo: usurio professor pode acessar o host LX_Server atravs de SSH.
Mecanismos de Autenticao Segurana AAA

(Cont.)
Accounting (Contabilidade) registra o que o usurio realmente fez, o que ele acessou e por quanto tempo, para fins de contabilidade e auditoria, mantendo um registro de como os recursos de rede so utilizados. Exemplo: usurio aluno tentou acessar o host LX_Server por meio de Telnet 10 vezes.
Mecanismos de Autenticao RADIUS

O RADIUS (Remote Authentication Dial-In User Service) foi desenvolvido inicialmente pela Lucent como uma soluo para prover autenticao e gerenciamento de clientes remotos conectados atravs de linhas discadas. Em janeiro de 1997, o RADIUS foi padronizado pela IETF atravs da RFC 2058. Posteriormente, dezenas de outras RFCs o alteraram, tornando sua definio inicial totalmente obsoleta. Atualmente, descrito pela RFC 2865, de junho de 2000 e pela RFC 2866, que define o seu servio de contabilidade.

Os recursos de Servidor de Segurana suportados por uma soluo RADIUS so:

suporte AAA para usurios remotos; protocolo UDP (porta 1812 ou 1645) para comunicao entre o NAS e o servidor de segurana, simplificando as implementaes cliente e servidor do RADIUS; algoritmo de hash MD5 utilizado para as senhas de usurio; suporte autenticao pergunta/resposta PAP e CHAP;

(Cont.):
servios de autenticao e autorizao combinados, possibilitando que o cliente seja autenticado e que receba informaes de configurao do servidor, enquanto o servio de contabilidade realizado separadamente; todas as transaes entre o cliente e o servidor de segurana RADIUS so autenticadas atravs de um segredo compartilhado.
11

A soluo RADIUS baseia-se em uma arquitetura clienteservidor, que adiciona um elemento de rede chamado Network Access Server (NAS) ou servidor de acesso remoto, que possui como principais funes:
o estabelecimento da conexo remota via linha discada; o gerenciamento dos pedidos de conexo; e a liberao ou no dos pedidos.

12

Desta forma, o NAS pode e deve ser configurado para trabalhar como cliente de um servidor de autenticao, no caso, um servidor RADIUS. Com isso, cada pedido de autenticao passa pelo NAS, que passa ao servidor RADIUS, que encaminha o retorno ao servidor, que retorna ao cliente.
13
14

O cliente e o servidor de segurana RADIUS comunicam-se utilizando os seguintes pacotes:

Access-Request (solicitao de acesso); Access-Accept (acesso aceito); Access-Reject (acesso rejeitado); Access-Challenge (pergunta de acesso).
15

Etapas do login:
o usurio solicita autenticao PPP para o NAS e entra com usurio e senha; o NAS ento envia um pacote Acces-Request contendo o nome do usurio e a sua senha criptografada, alm de outros atributos, para o servidor RADIUS; o RADIUS valida e autentica o cliente, pesquisa os parmetros de autorizao do usurio e envia o pacote Access-Accept ou Access-Reject, podendo tambm enviar um pacote de desafio Access-Challenge pro NAS;

(Cont.):
A resposta Access-Accept ou Access-Reject empacotada com dados adicionais (prprios de cada fabricante) que so usados para autorizao. O RADIUS pode periodicamente enviar um pacote Access-Challenge para o NAS, a fim de solicitar que o usurio digite seu nome e senha novamente, enviar o estado do NAS ou executar outras aes.
17
Engenheiro de Redes de Comunicao Corpo de Bombeiros Militar DF/2007 CESPE
18
Mecanismos de Autenticao TACACS

O TACACS (Terminal Access Controller Access-Control System) um protocolo de autenticao remota usado para comunicao com servidores de autenticao, comumente em redes UNIX. Ele permite que um NAS se comunique com um servidor de autenticao para verificar se o usurio tem acesso rede. Um cliente coleta o nome de usurio e a senha e ento envia uma consulta a um servidor de autenticao TACACS (TACACS daemon ou simplesmente TACACSD).
Mecanismos de Autenticao TACACS

Baseado na resposta desta consulta, o acesso ao usurio liberado ou no. Outra verso do TACACS lanada em 1990 foi batizada de XTACACS (extended TACACS), entretanto, estas duas verses vem sendo substitudas pelo TACACS+ e pelo RADIUS em redes mais novas. TACACS definido pela RFC 1492, usando tanto TCP como UDP e por padro a porta 49.
20
Mecanismos de Autenticao TACACS+

O TACACS+ (Terminal Access Controller Access-Control System Plus) um aplicativo de AAA para servidor de segurana e um protocolo que permite o controle central de usurios que tentam obter acesso atravs de um NAS, roteador ou outro equipamento de rede que suporte TACACS+. A sua especificao de protocolo de padro de indstria, inicialmente descrita pela RFC 1492. Apesar do nome, TACACS+ um protocolo completamente novo e no compatvel com TACACS ou XTACACS.

Suas funes so muito semelhantes s do RADIUS, porm eles apresentam algumas diferenas, cujas principais so apresentadas na tabela a seguir.
22

Funcionalidade TACACS+ RADIUS Suporte AAA Separa os trs servios AAA. TCP Combina autenticao e autorizao e separa a contabilidade. UDP
Protocolo de Transporte Pergunta/Resposta
Bidirecional
Unidirecional (somente do Servidor RADIUS para o cliente) Somente a senha do usurio criptografada
Integridade dos dados
Todo o pacote TACACS+ criptografado
23
Firewall
Definies:
um mecanismo de proteo que controla a passagem de pacotes entre redes, tanto locais como externas. um dispositivo que possui um conjunto de regras especificando que trfego ele permitir ou negar. um dispositivo que permite a comunicao entre redes, de acordo com a poltica de segurana definida e que so utilizados quando h uma necessidade de que redes com nveis de confiana variados se comuniquem entre si.
Firewall
Existem coisas que o firewall NO PODE proteger:

do uso malicioso dos servios que ele autorizado a liberar; dos usurios que no passam por ele, ou seja, no verifica o fluxo intra-redes; dos ataques de engenharia social; das falhas de seu prprio hardware e sistema operacional.

25
Firewall Modelo Conceitual

Filtro Filtro
Inside
GATEWAY
Outside
26
Firewall Poltica Padro

Existem dois tipos de modelo de acesso, ou poltica padro, que podem ser aplicados ao firewall:
tudo permitido, exceto o que for expressamente proibido; tudo proibido, exceto o que for expressamente permitido.
27
Firewall Classificao e Funcionalidades

Classificao:

filtro de pacotes; filtro de pacotes baseado em estados ou filtro de estado das conexes (stateful); proxy de servios. filtro de pacotes; filtro de pacotes baseado em estados;

Funcionalidades:

Firewall Classificao e Funcionalidades

Funcionalidades:

proxies; NAT; Zonas Desmilitarizadas (DMZ); balanceamento de carga; alta disponibilidade.
29
Tcnico Administrativo I Informtica Paran Previdncia/2002 CESPE
30
Firewall Filtro de Pacotes

um dos mtodos mais antigos e amplamente disponveis de controlar o acesso a redes. Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e tambm como um recurso da maioria dos roteadores. Os filtros de pacotes protegem todo o trfego entre redes verificando apenas parmetros da camada de rede e de transporte TCP/IP.
31

Este tipo de firewall implementado como um roteador que, ao realizar suas funes de roteamento, verifica as seguintes informaes dos pacotes:

endereos IP de origem e de destino; tipo de protocolo TCP, UDP e ICMP; portas de origem e de destino; flags IP e TCP; tipos de mensagens ICMP; tamanho do pacote.

A principal vantagem dos filtros de pacotes a sua eficincia, pois cada operao de filtragem estar restrita a verificar somente informaes bsicas do cabealho do pacote. Desta forma, amplamente utilizado em roteadores como listas de controle de acesso. A despeito disso, sua principal desvantagem a de no conseguir verificar o estado das conexes, sendo necessrio criar vrias linhas de filtragem para se implementar uma nica regra.

Por exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP necessrio configurar as conexes de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente. Sintaxe:
Poltica [ACCEPT | DROP | REJECT] Protocolo [TCP | UDP | ICMP ] Endereo Origem [SA=ipaddr/msk] { Porta Origem [SP] | [Tipo ICMP ] } Endereo Destino [DA=ipaddr/msk] Porta Destino [DP] Opes [ ].
34

Servidor Web 192.168.1.4 Cliente Firewall 10.2.3.2
Regras de Fitragem de Pacotes: ACCEPT TCP SA=10.2.3.2 SP>1024 DA=192.168.1.4 DP=80 ACCEPT TCP SA=192.168.1.4 SP=80 DA=10.2.3.2 DP>1024 DROP ALL SA=0.0.0.0 ALL DA =0.0.0.0 ALL SA - Source Address SP - Source Port DA - Destination Address SA - Source Address
35
Firewall Filtro de Estado das Conexes (Stateful)

O firewall de filtro de estado tenta rastrear o estado das conexes de rede enquanto filtra os pacotes. Suas capacidades so resultado do cruzamento das funes de um filtro de pacotes com a inteligncia adicional do protocolo. Este tipo de firewall examina predominantemente as informaes das camadas IP e de transporte de um pacote que inicia uma conexo. Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada acrescentada em uma tabela de estados.

Desse ponto em diante, os pacotes relacionados com a sesso que consta na tabela de estado tero os seus acessos permitidos, sem a chamada de qualquer outra inspeo. Em tese, este mtodo aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados at a camada de aplicao. Entretanto, se a implementao da tabela de estado no oferecer um modo eficiente de manipular os estados da conexo, poder haver queda de desempenho do equipamento.

Este tipo de firewall um filtro de pacotes dinmico, ou seja, ele mantm o estado de cada conexo que passa por ele. Isto possvel com a implementao de uma tabela de estados em que o firewall mantm o relacionamento entre endereos IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP. Desta forma, no mais necessrio criar entradas adicionais para a mesma conexo.

Estado a condio de pertencer a uma determinada sesso de comunicao. A definio desta condio vai depender da aplicao com a qual as partes esto se comunicando e dos protocolos que as partes esto utilizando. Os protocolos de transporte podem ter o estado de sua conexo rastreado de vrias formas.
39

Muitos dos atributos que compem uma sesso de comunicao, inclusive os pares de endereo IP, portas de origem e de destino, nmeros de sequncia e flags, podem ser utilizados como identificao de uma conexo individual. A combinao dessas partes de informao normalmente mantida como um hash (resumo) em uma tabela de estado, para facilitar a comparao.
40
41

TCP: como um protocolo baseado em conexo, o estado de suas sesses de comunicao pode ser solidamente definido atravs de sua Mquina de Estados Finitos (modelo que define todos os estados possveis do protocolo TCP). A conexo TCP pode assumir 11 estados diferentes (conforme RFC 793). Apesar da desconexo TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informaes de conexes inexistentes, comum a utilizao de contadores de tempo para cada conexo.

UDP: um protocolo de transporte sem conexo, o que dificulta o acompanhamento de seu estado. Na realidade, um protocolo sem conexo no possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado atravs do registro de itens do UDP que estejam relacionados a uma determinada sesso de comunicao. Como o UDP no possui nmeros de sequncia ou flags, os nicos itens que podem servir como base so os pares de endereo IP e a porta de servio dos dois pontos envolvidos na comunicao.

ICMP: assim como o UDP, o ICMP no possui estado, contudo, tambm como o UDP, ele dispe de atributos que permitem que suas conexes sejam acompanhadas de um modo com pseudo-estado. A parte mais complicada do acompanhamento do ICMP envolve suas comunicaes unidirecionais. O protocolo ICMP normalmente utilizado para retornar mensagens de erro quando um host ou protocolo no pode fazer isso por conta prpria, no que pode ser descrito como uma mensagem de resposta.

As mensagens do tipo resposta do ICMP so precipitadas por solicitaes de outros protocolos (TCP, UDP). Devido a essa questo de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado. A outra maneira de se utilizar o ICMP atravs do seu prprio mecanismo de pedido/resposta, como por exemplo, o ping onde so utilizadas as mensagens de echo-request e echo-replay.

Aplicao sem Estado (HTTP): apesar do http utilizar um servio de transporte confivel, este protocolo de aplicao no possui estado. Isto ocorre pelo fato de ter sido implementado para abrir conexes diferentes para cada recurso de uma pgina Web.
46

Inspeo com Estado - o termo utilizado para uma evoluo do filtro de estados onde, alm das informaes relativas ao IP e transporte, tambm so includas informaes dos protocolos de aplicao na tabela de estados. Sua primeira implementao foi com o Check Point F1, com sua linguagem proprietria INSPECT, e de onde surgiu a denominao statefull inspection utilizada por outros firewalls que implementam filtragem com inspeo de estado (Exemplo: Netfilter/Iptables, Cisco PIX).
47
Firewall Proxy de Servios

Em geral, um proxy (procurador) algo ou algum que faz algo em nome de outra pessoa. Os servios proxy so programas aplicativos ou servidores especializados que recebem as solicitaes dos usurios e as encaminha para os respectivos servidores reais. Do ponto de vista do cliente, o servidor o proxy; do ponto de vista do servidor, o cliente o proxy. Seu princpio bsico de funcionamento est no fato de que este tipo de firewall no permite a conexo direta entre as entidades finais da comunicao.

Na figura a seguir, todas as conexes HTTP originadas pelos clientes so enviadas para o Proxy do Servio HTTP. Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante. O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes.
49
50

Neste contexto, o proxy de servio roda em uma mquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy no realiza roteamento dos datagramas IP. Desta forma, no necessrio criar regras de filtragem dentro do proxy de servios pois as duas redes conectadas ao proxy no so visveis entre si.
51

Alm de no permitir o acesso direto entre redes, o proxy de servios possui outras vantagens, tais como ponto nico de registro de log sobre as atividades de um determinado servio e possibilidade de realizar autorizao de acesso por usurio. As principais desvantagens do proxy de servios so: reduo do desempenho do sistema que o suporta; h um nmero limitado de servios que podem ser encaminhados ao proxy (principalmente os criptografados); o sistema do proxy estar exposto diretamente.

Uma implementao que era bastante comum a de misturar as funes de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir. No uma configurao recomendvel devido ao alto consumo de recursos de hardware.
53
54
Analista de Sistemas Jnior Infraestrutura Petrobrs/2007 CESPE
55
Analista em TI Infraestrutura PM Vitria/2007 CESPE
56
Analista Redes SERPRO/2004 CESPE
57
Analista de Sistemas CHESF/2002 CESPE
58
Agente Tcnico Analista de Rede MPE/AM CESPE 2008
59
Firewall Zona Desmilitarizada (DMZ)

A utilizao de firewall para se conectar uma rede Internet possibilitou uma topologia de acesso interessante e segura. Na figura a seguir, tem-se uma rede composta por mquinas clientes, servidores de servios de Intranet (acessados pelos clientes internos) e servidores de servios Internet (acessados pela Internet).
60
61

Na topologia apresentada, deve-se observar o seguinte:

no mesmo segmento da rede da empresa, h a ocorrncia de trfego local e de trfego oriundo da Internet; caso o servidor de servios de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poder se propagar para o restante de rede.
62

Concluso: Deve ser criado um mecanismo que separe a natureza dos dois tipos de trfego isolando o servidor que recebe os acessos Internet dos demais servidores e mquinas clientes da rede interna da empresa. Soluo: Criar uma rea de rede reservada para a hospedagem dos servios pblicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ).
63

Objetivos:
evitar que a Internet acesse diretamente servios dentro de uma rede interna; separar o trfego de rede interno do externo; ligao de uma rede interna com a Internet ou com uma rede de outra organizao.

64

1 Topologia (figura a seguir):

nesta topologia a DMZ implementada na rede entre o firewall e o roteador; em algumas literaturas comum encontrar o termo bastion host para designar o servidor que fica instalado na DMZ.
65
66

Agora, todos os acessos aos servios pblicos ficaro restritos DMZ, no atingindo a rede interna da empresa (se o firewall estiver configurado para tal). Deve ser observado que a DMZ poder estar protegida por meio das regras de filtragem que podero ser configuradas no roteador.
67


nesta topologia, a DMZ foi instalada em uma placa adicional do firewall; desta forma so criadas as regras de acesso da DMZ neste firewall.
68
69


a figura mostra uma DMZ criada entre dois firewalls; com essa topologia, a rede interna no acessa diretamente Internet e esta no acessa a rede interna.
70
71
Analista em TI Infraestrutura PM Vitria/2007 CESPE
72
Analista Judicirio Anlise de Sistemas TSE/2007 CESPE
73
Servio Proxy
Um modelo de comunicao cliente/servidor tradicional envolve a transferncia de pedidos de clientes para servidores e respostas de volta aos clientes. No existem intermedirios no caminho entre o cliente e o servidor. No caso da Web, os usurios, por meio de agentes, enviariam pedidos aos servidores de origem, e as respostas seriam retornadas diretamente aos navegadores. A presena de um proxy poderia auxiliar os dois lados, reduzindo a comunicao redundante.
Servio Proxy
Por exemplo, o proxy poderia ter um cache associado a ele e oferecer resposta ao cliente sem envolver o servidor de origem. O tempo de resposta percebida pelo cliente reduzido se o proxy estiver mais prximo dele. A carga sobre a rede reduzida porque a mensagem precisa atravessar uma distncia mais curta. Ao mesmo tempo, o proxy reduz a carga no servidor, que agora precisa lidar com um nmero menor de mensagens.
75
Servio Proxy
O servio de proxy um programa que atua como servidor e cliente para a finalidade de encaminhar pedidos. Um servidor proxy aceita pedidos de outros clientes e os atende internamente ou passando-lhes adiante (com possvel traduo) para outros servidores. No que se refere ao usurio, a comunicao com o servidor proxy exatamente igual a se comunicar diretamente com o servidor real. No que se refere ao servidor real, ele no sabe que o usurio est, na realidade, por trs de um proxy.
Servio Proxy
Em uma DMZ, o servidor proxy a nica mquina que, em nome de vrios clientes internos, realiza a comunicao com a Internet para um determinado servio. Desta forma, s necessrio atribuir um endereo vlido na Internet ao proxy.
77
Servio Proxy
Proxy de Circuito: um servio que cria um circuito entre o cliente e o servidor, sem interpretar o protocolo de aplicao. Por operar em camadas inferiores, este tipo de proxy permite que vrios tipos de aplicao utilizem o seu meio de transporte. Entretanto, est restrito aos parmetros de controle de rede e transporte apenas e so facilmente iludidos por servidores configurados com nmero de portas atribudos a outros servios.
Servio Proxy
Proxy de Aplicao: um servio que conhece a aplicao especfica para a qual est fornecendo servios de proxy. Ele reconhece e intercepta os comandos do protocolo de aplicao. Desta forma, h restrio do nmero de servios que podem se beneficiar da utilizao de um proxy. Em compensao, este tipo de proxy permite um controle de acesso mais rigoroso com a anlise dos parmetros de rede e transporte assim como dos comandos e contexto das aplicaes.
79
Servio Proxy
Proxy Genrico: serve a vrios protocolos. Na prtica, um proxy de circuito. Proxy Dedicado: serve a um protocolo. Na prtica, um proxy de aplicao. Proxy sem Caching: encaminha os pedidos dos clientes e as respostas dos servidores, sem armazenar nenhuma informao que possa ser utilizada no futuro.
80
Servio Proxy
Proxy com Caching: mantm um armazenamento das respostas recebidas dos servidores. Quando o proxy recebe um pedido que pode ser satisfeito por uma resposta j armazenada em cache, a mensagem no encaminhada ao servidor que possui o contedo e a resposta ao cliente gerada pelo proxy. Proxy Transparente: no modifica o pedido ou resposta mais de que maneira superficial, como por exemplo, seu endereo IP e porta de servio.
81
Servio Proxy
Proxy no Transparente: pode modificar o pedido e/ou a resposta. Esta mudana est mais relacionada aplicao onde, por exemplo, em um proxy HTTP pode-se alterar os parmetros da mensagem de pedido (GET, verso do protocolo, User-Agent) ou os parmetros da mensagem de resposta (cdigo da mensagem, Server). Proxy de Interceptao: um proxy que examina diretamente o trfego da rede e intercepta-o ou recebe o fluxo de trfego redirecionado dos elementos da rede.
82
Servio Proxy
O proxy de interceptao tenta, ento, gerar uma resposta ao pedido localmente ou redirecionar o pedido para outros lugares. Para um proxy de interceptao ter a visibilidade de todos os pedidos e respostas, ele precisa ser instalado de tal forma que a nica rota para a Internet pelos clientes feita atravs dele. Um proxy de interceptao exige que diretrizes adequadas a partes especficas do trfego da rede sejam introduzidas em um roteador ou firewall.
Servio Proxy
Como a interceptao feita em uma camada inferior na pilha de protocolos, no fcil permitir que certos pedidos evitem a interceptao. Os clientes no desempenham qualquer papel na deciso de quais mensagens sero ou no redirecionadas; como consequncia, no exigida qualquer tipo de configurao no software cliente respeito do proxy. O proxy de interceptao pode ser chamado, em alguns artigos ou at mesmo em sites e manuais de produto, como proxy transparente.
Servio Proxy
A figura abaixo ilustra o funcionamento de um Proxy HTTP entre um cliente e um servidor.
85
Servio Proxy Funcionamento

1.
Conexo de Servio Proxy: com o IP do servidor proxy, o cliente solicita um servio de proxy passando como mensagem a URL que deseja acessar. Conexo DNS: o cliente vai acessar uma pgina Web, por intermdio de um proxy. Antes necessita resolver o nome do servidor proxy. Conexo DNS: o servidor proxy resolve o nome do servidor web de destino.
2.
3.
86
Servio Proxy Funcionamento

4.
Conexo HTTP: o servidor proxy estabelece uma conexo http com o servidor web e envia a solicitao passada pelo cliente, de forma transparente ou no. Conexo HTTP: o servidor web responde com a pgina solicitada. Conexo Proxy: o servidor proxy repassa a resposta, de forma transparente ou no, ao cliente. Neste caso, a pgina de resposta pode ser armazenada no cache do proxy.
5.
6.
Servio Proxy - Hierarquia

Alguns servidores de Proxy, como por exemplo o Squid, permitem a criao de uma estrutura hierrquica de proxy onde h relao entre pais e filhos e entre irmos. As vantagens da utilizao de uma estrutura hierrquica de proxy so: a descentralizao de funes, aplicao de polticas diferenciadas e redundncia.
88
89

Na topologia anterior: Existe um proxy para cada rede interna. Desta forma, os clientes de cada rede iro enviar suas requisies para o respectivo proxy. Em cada proxy podem ser aplicadas polticas de acesso diferenciadas. Existem 2 servidores proxy na DMZ, cuja funo de receber as solicitaes de servio oriundas apenas dos servidores proxy internos. A relao entre os servidores proxy internos com os da DMZ de pai para filho ou seja, o filho deve solicitar permisso de acesso ao pai.

Na topologia anterior:
A relao entre os servidores proxy da DMZ de irmos, sendo que um servir de contingncia para o outro, poder haver balanceamento da carga de solicitaes de clientes e um proxy pode consultar o cache do outro.
91
Servio Proxy Proxy Reverso

um tipo de aplicao do servio proxy onde h a inverso de papis, ou seja, o proxy est posicionado no lado do servidor, recebe as requisies de clientes remotos e as encaminha para um nico servidor local, conforme figura a seguir.
92
93

Na figura, os clientes acessam a pgina hospedada no servidor web por meio do proxy reverso. O proxy reverso tambm chamado de acelerador de web, pois permite o armazenamento das pginas do servidor web em seu cache, diminuindo o tempo de reposta para os clientes. Sob o aspecto de segurana, a vantagem de se utilizar um proxy reverso a possibilidade de esconder, dos clientes externos, a identidade real do servidor web. Outra vantagem que o mesmo proxy reverso pode servir a mais de um servidor.
IDS
Sistemas de Deteco de Intrusos (Intrusion Detection System IDS) atuam como mecanismos de deteco, realizando a monitorao em sistemas locais ou em sistemas em redes, procura de eventos que possam comprometer os ativos de um sistema de informao ou que possam transpor os mecanismos de proteo. O princpio de funcionamento de um IDS baseado na identificao, delimitao e tratamento dos eventos relevantes para o processo de deteco.
95
IDS
Estes eventos relevantes so selecionados dentro de um conjunto de eventos possveis de serem observados em um determinado sistema ou em uma rede. Um dos grandes desafios dos sistemas de deteco de intrusos :
Minimizar FALSOS POSITIVOS e FALSOS NEGATIVOS.
96
IDS
Falso Positivo: IDS gera um alarme de ataque na ocorrncia de um evento ou trfego normal. Falso Negativo: IDS no gera alarme na ocorrncia de um evento ou trfego mal intencionado. O falso positivo um evento observvel e relevante que classificado pelo IDS como um evento intrusivo. Seu maior problema a gerao de um grande nmero de alertas, o que dificulta a administrao e a anlise das informaes do IDS.
97
IDS
J no caso dos falsos negativos, estes podem ocorrer tanto em eventos no observveis como em eventos observveis e, dentro deste ltimo grupo, tambm pode estar presente dentro dos eventos relevantes. Seu maior problema justamente o inverso do falso positivo, ou seja, no h registros da ocorrncia de falsos negativos no IDS.
98
IDS
99
IDS - Classificao
Quanto ao Mtodo de Deteco, os sistemas de deteco de intrusos so classificados como:

sistemas de intruso baseados em anomalias; sistemas de deteco baseados em assinatura.
Quanto Arquitetura, os sistemas de deteco de intrusos so classificados segundo os critrios localizao e alvo. Com base na localizao, so classificados em: centralizado, hierrquico ou distribudo.
100
IDS - Classificao
Com base no alvo, so classificados em:

sistemas baseados em host; sistemas baseados em rede.
101
IDS Baseado em Anomalia

O Sistema de Intruso Baseado em Anomalia um mtodo tambm conhecido como Mtodo Reacionrio ou Sistema de Deteco por Comportamento. Independente do nome, ele se baseia na anlise do comportamento do sistema e na identificao de possveis desvios, comparando o estado observado a um padro de comportamento considerado normal.
102

As informaes a seguir podem ser tomadas como base para identificar o comportamento padro do sistema/rede e subsidiar na identificao de trfegos anormais: quantidade de trfego na rede em determinados horrios; tipos de protocolos que passam na rede e seus provveis horrios; carga de processamento da CPU; aplicaes utilizadas na rede; servios ativos no sistema; endereos IP que trafegam pela rede, etc.

Vantagens: possibilita detectar ataques desconhecidos, sendo desnecessria a manuteno de uma base de dados que armazene todos os tipos possveis de ataques e vulnerabilidades; pode ser usado para gerar informaes que daro origem a uma assinatura. Desvantagens: para usar esse mtodo de deteco, imprescindvel que o administrador conhea o comportamento da rede/sistema, o que muito difcil devido heterogeneidade e complexidade desses ambientes.

Desvantagens: devido dificuldade apresentada no item anterior, esse mtodo leva a um maior nmero de falsos positivos; os relatrios so mais difceis de serem analisados, no informando dados conclusivos da vulnerabilidade explorada.
105
IDS Baseado em Assinaturas

O Sistema de Intruso Baseado em Assinatura um mtodo tambm conhecido como Sistema Preemptivo ou Sistema de Deteco por Abuso. Essa tcnica busca sequncias de aes nitidamente caracterizadas como invlidas, registradas em uma base de dados (assinaturas) que contm o conhecimento acumulado sobre ataques especficos e vulnerabilidades.
106

Vantagens:
por comparar o trfego capturado a uma assinatura, o nmero de falsos positivos menor, comparado ao mtodo anterior; devido ao fato de o nmero de falsos positivos ser menor, e tambm porque o alarme gerado pelo IDS ir mostrar a que tipo de ataque o trfego corresponde (devido assinatura a qual foi comparado), faz-se possvel a adoo de contramedida;
107

Vantagens:
reduo na quantidade de informao tratada, isto , o alarme mais preciso e evidente; permite diagnosticar, de maneira rpida e confivel, a utilizao de determinadas ferramentas ou tcnicas especficas de ataque, auxiliando os gerentes a verificarem as correes necessrias.
108

Desvantagens: como o mtodo baseado em assinaturas, a deteco s ocorre para ataques conhecidos, por isso mesmo no permite detectar variaes de um mesmo ataque, pois as assinaturas so utilizadas com muita rigidez; faz-se necessria a manuteno freqente na base de dados que contm as assinaturas.
109
Analista Judicirio Informtica STJ/2004 CESPE
110
Analista Redes SERPRO/2004 CESPE
111
IDS Classificao Quanto Arquitetura

Outro aspecto importante em um IDS a sua arquitetura, pois uma arquitetura bem elaborada um dos fatores que iro determinar o cumprimento adequado de seu papel. Dois elementos influenciam diretamente na arquitetura: a localizao e o alvo. O alvo diz respeito ao sistema que ele ir analisar, se um Host ou um Segmento de Rede. A localizao diz respeito forma com que os componentes do IDS iro se relacionar, podendo ser centralizada, hierrquica ou distribuda.
IDS Classificao Quanto Localizao

Centralizado: na arquitetura centralizada, todos os componentes do IDS esto localizados no mesmo equipamento. Hierrquico: nesta arquitetura os componentes encontram-se parcialmente distribudos, isto , em equipamentos separados, cada um com sua funo especfica, porm com fortes relaes de hierarquia entre eles. Nesse tipo de arquitetura, tarefas como a tomada de decises fica normalmente concentrada em um nico ponto.
113
IDS Classificao Quanto Localizao

Distribudo: possui todos os seus componentes espalhados pelo sistema, com relaes mnimas de hierarquia entre eles, no existe centralizao de decises, os componentes trabalham em regime de cooperao para alcanar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentao de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores.
114
IDS Classificao Quanto ao Alvo (HIDS)

Quando o Sistema de Deteco baseado em host, dizemos que ele um HIDS (Host Instrusion Detection System). Nele, o software IDS instalado na mesma mquina em que se deseja realizar a deteco. Seu princpio de funcionamento est baseado em verificar os:

parmetros de utilizao de recursos do sistema; registros de log do sistema operacional e dos aplicativos;
IDS Classificao Quanto ao Alvo (HIDS)

(Cont.):

registros de auditoria do sistema; nveis de utilizao de CPU e memria; arquivos de sistema; chaves de Registros; portas ativas, entre outros.
116
IDS Classificao Quanto ao Alvo (NIDS)

Aos sistemas baseados em um segmento de rede se d o nome de NIDS (Network Intrusion Detection System) e tm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento fsico ou wireless. Seu princpio de funcionamento est baseado em: verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no segmento de rede por ele analisado;
117
IDS Classificao Quanto ao Alvo (NIDS)

(Cont.): aplicar mecanismos de proteo especficos para o IDS como, por exemplo, no configurar endereo IP na interface de rede utilizada pelo sensor; colocar a placa de rede do sensor em modo promscuo para capturar todo o trfego na qual ela esteja conectada.
118
IDS Comportamento PsDeteco

Os IDS podem se comportar de duas maneiras distintas: passiva e ativa. Passivo:

apenas detecta, mas no barra o ataque; aps deteco, um evento gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a deciso; Falsos Positivos so interpretados pelo administrador, diminuindo seus efeitos na rede.
IDS Comportamento PsDeteco

Ativo:
ao detectar um ataque, ele prprio, segundo configuraes realizadas pelo administrador do sistema, realizar contramedidas automaticamente; processos automatizados sem a interveno do administrador; Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso.
120
Agente Tcnico Analista de Rede MPE-AM/2008 CESPE
121
VPN
O conceito de rede privada virtual (Virtual Private Network VPN) surgiu a partir da necessidade de se utilizar redes de comunicao no confiveis. Ex: trafegar informaes de forma segura na Internet. Uma VPN proporciona conexes somente permitidas a usurios, que estejam em redes distintas e que faam parte de uma mesma comunidade. Soluo para alto custo de enlaces de comunicao dedicados e privados.
122
VPN
123
VPN - Fundamentos
Os conceitos que fundamentam a VPN so a criptografia e o tunelamento. A criptografia utilizada para garantir a autenticidade, o sigilo e a integridade das conexes, e a base da segurana dos tneis VPN. Trabalhando na camada 3 do modelo OSI/ISO, a criptografia independente da rede e da aplicao, podendo ser aplicada em qualquer forma de comunicao possvel de ser roteada, como voz, vdeo e dados.
124
VPN - Fundamentos
O tnel VPN formado pelo tunelamento que permite a utilizao de uma rede pblica para o trfego das informaes, at mesmo de protocolos diferentes do IP, por meio da criao de um tnel virtual formado entre as duas partes da conexo.
125
VPN - Tunelamento
126
VPN - Tunelamento
O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicao entre organizaes que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Ex: IPX trafegando em rede IP. Pode ser realizado nas camadas 2 e 3, e as duas possuem vantagens e desvantagens. Tnel a denominao do caminho lgico percorrido pelos pacotes encapsulados. Simula a conexo ponto-a-ponto requerida para a transmisso de pacotes atravs de uma rede pblica.
VPN Tipos de Tneis

Os tneis podem ser criados de duas diferentes formas voluntrias e compulsrias. No tnel voluntrio, o computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel. Ele emite uma solicitao VPN para configurar e criar um tnel entre duas mquinas, uma em cada rede privada, e que so conectadas via Internet. No tnel compulsrio, o computador do usurio no funciona como extremidade do tnel.
VPN Tipos de Tneis

Um servidor de acesso remoto, localizado entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel. Utilizando um tnel voluntrio, no caso da Internet, o cliente faz uma conexo para um tnel habilitado pelo servidor de acesso no provedor (ISP). No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta.
VPN Tnel Voluntrio
130
VPN Tnel Compulsrio
131
VPN Protocolos de Tunelamento

Diferentes protocolos podem ser usados:

GRE (Generic Routing Encapsulation) da Cisco; L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force); PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

Os protocolos PPTP e L2TP so utilizados em VPNs discadas, ou seja, proporcionam o acesso de usurios remotos acessando a rede corporativa atravs de modens de um provedor de acesso.

Um ponto a ser considerado nos dois protocolos que o sigilo, a integridade e a autenticidade dos pontos que se comunicam devem ser fornecidos por um outro protocolo, o que feito normalmente pelo IPSec. Uma diferena entre o L2TP e o PPTP que o L2TP pode ser transparente para o usurio, no sentido de que esse tipo de tunelamento pode ser iniciado no gateway de VPN de um provedor de VPN. Quando o PPTP utilizado, a abordagem diferente o tunelamento sempre iniciado no prprio equipamento do usurio.

Com isso, o PPTP mais indicado para a utilizao em laptops, por exemplo, quando o usurio poder se conectar rede da organizao via VPN, por meio desse protocolo. O L2TP utilizado, principalmente, para o trfego de protocolos diferentes de IP sobre uma rede pblica com base em IP.
134
VPN IPSec
O IPSec um protocolo padro de camada 3 projetado pelo IETF que oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada. Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.
135
VPN IPSec
Tal como os protocolos de nvel 2, o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada. Ele combina diversas tecnologias diferentes de segurana em um sistema completo que prov confidencialidade, integridade e autenticidade, empregando atualmente:

mecanismo de troca de chaves de Diffie-Hellman; criptografia de chave pblica para assinar as trocas de chave de Diffie-Hellman, garantindo assim a identidade das duas partes e evitando ataques do tipo man-in-themiddle;
VPN IPSec
(Cont.): algoritmos de encriptao para grandes volumes de dados, como o DES (Data Encryption Standard); algoritmos para clculo de hash com utilizao de chaves, com o HMAC, combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes; certificados digitais assinados por uma autoridade certificadora.
137
VPN IPSec
Os requisitos de segurana podem ser divididos em 2 grupos, que so independentes entre si, podendo ser utilizados de forma conjunta ou separada, de acordo com a necessidade de cada usurio:

Autenticao e Integridade; Confidencialidade.
138
VPN IPSec
Para implementar estas caractersticas, o IPSec composto de 3 mecanismos adicionais:

AH - Autentication Header; ESP - Encapsulation Security Payload; IKE - Internet Key Exchange.
139
VPN IPSec
Authentication Header (AH): este cabealho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabealho original que no so alterados entre a origem e o destino; no entanto, no fornece confidencialidade. Encapsulating Security Payload (ESP): este cabealho protege a confidencialidade, integridade e autenticidade da informao.
140
VPN IPSec
AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicaes apenas um deles suficiente. H dois modos de operao: modo de transporte (nativo) e modo tnel.
141
VPN IPSec
Cabealho genrico para o modo de transporte
Exemplo de um cabealho do modo tnel
142
VPN IPSec Modo Transporte

No modo de transporte, somente a informao (payload) encriptada, enquanto o cabealho IP original no alterado. Este modo tem a vantagem de adicionar apenas alguns octetos a cada pacote, deixando que dispositivos da rede pblica vejam a origem e o destino do pacote, o que permite processamentos especiais (como de QoS) baseados no cabealho do pacote IP. No entanto, o cabealho da camada 4 (transporte) estar encriptado, limitando a anlise do pacote.
VPN IPSec Modo Transporte

Passando o cabealho sem segurana, o modo de transporte permite que um atacante faa algumas anlises de trfego, mesmo que ele no consiga decifrar o contedo das mensagens.
144
VPN IPSec Modo Tnel

No modo de tunelamento, todo o datagrama IP original encriptado e passa a ser o payload de um novo pacote IP. Este modo permite que um dispositivo de rede, como um roteador, aja como um Proxy IPSec (o dispositivo realiza a encriptao em nome dos terminais). O roteador de origem encripta os pacotes e os envia ao longo do tnel IPSec; o roteador de destino decripta o datagrama IP original e o envia ao sistema de destino.
145
VPN IPSec Modo Tnel

A grande vantagem do modo de tunelamento que os sistemas finais no precisam ser modificados para aproveitarem os benefcios da segurana IP; alm disto, esse modo tambm protege contra a anlise de trfego, j que o atacante s poder determinar o ponto de incio e de fim dos tneis, e no a origem e o destino reais.
146
VPN IPSec Associaes de Segurana (SAs)

O IPSec fornece diversas opes para executar a encriptao e autenticao na camada de rede. Quando dois ns desejam se comunicar com segurana, eles devem determinar quais algoritmos sero usados (se DES ou IDEA, MD5 ou SHA). Aps escolher os algoritmos, as chaves de sesso devem ser trocadas. Associao de Segurana o mtodo utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sesso de comunicao.
147

Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizaro os servios de segurana para se comunicarem. As SAs so unidirecionais, o que significa que para cada par de sistemas que se comunicam, devemos ter pelo menos duas conexes seguras, uma de A para B e outra de B para A. As SAs so identificadas de forma nica pela associao entre um nmero aleatrio chamado SPI (Security Parameter Index) e o endereo IP de destino.

Quando um sistema envia um pacote que requer proteo IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informaes, e adiciona o SPI da SA no cabealho IPSec. Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereo de destino e SPI, e ento processa o pacote da forma necessria.
149
VPN Protocolo de Gerenciamento de Chaves (IKMP)

O IPSec assume que as SAs j existem para ser utilizado, mas no especifica como elas sero criadas. IETF decidiu dividir o processo em duas partes: o IPSec fornece o processamento dos pacotes, enquanto o IKMP negocia as associaes de segurana. Aps analisar as alternativas disponveis, o IETF escolheu o IKE como o mtodo padro para configurao das SAs para o IPSec.
150
VPN Protocolo de Gerenciamento de Chaves (IKMP)
Uso do IKE pelo IPSec
151
Analista de Sistemas Junior Infraestrutura PETROBRAS/2007 CESPE
152
Agente Tcnico Analista de Rede MPE-AM/2008 CESPE
153
Analista do Seguro Social Cincia da Computao INSS/2008 CESPE
154
Analista do Seguro Social Cincia da Computao INSS/2008 CESPE
155
Gabarito das Questes

Slide / Resposta 18. 1C-2C-E 30. 1C-2E-3E-4E-5C 55. 1E-2E-3E-4E 56. 1C-2E-3C-4C 57. 1E-2E-3C-4E 58. D 59. 1C-2C-3C-4E-5E Slide / Resposta 72. 1C-2C 73. B 110. 1C-2C-3E-4E 111. 1E-2C-3C-4C 121. 1C-2C-3E-4E-5E 152. 1C-2C-3C-4C-5C 153. 1C-2C-3E-4E-5E
156 Prof. Gleyson http://groups.google.com.br/group/prof_gleyson
Slide / Resposta 155. 1E-2C-3E4E

Curso de Segurança

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso de Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Perito PF Segurana da Informao

Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmail.com

Mecanismos de Autenticao Firewall Servio Proxy IDS VPN

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao Segurana AAA

Mecanismos de Autenticao Segurana AAA

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

Mecanismos de Autenticao RADIUS

Os recursos de Servidor de Segurana suportados por uma soluo RADIUS so:

Mecanismos de Autenticao RADIUS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

O cliente e o servidor de segurana RADIUS comunicam-se utilizando os seguintes pacotes:

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao RADIUS

Mecanismos de Autenticao RADIUS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Engenheiro de Redes de Comunicao Corpo de Bombeiros Militar DF/2007 CESPE

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao TACACS

Mecanismos de Autenticao TACACS

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao TACACS+

Mecanismos de Autenticao TACACS+

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Mecanismos de Autenticao TACACS+

Protocolo de Transporte Pergunta/Resposta

Integridade dos dados

Todo o pacote TACACS+ criptografado

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Existem coisas que o firewall NO PODE proteger:

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Modelo Conceitual

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Poltica Padro

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Classificao e Funcionalidades

Firewall Classificao e Funcionalidades

proxies; NAT; Zonas Desmilitarizadas (DMZ); balanceamento de carga; alta disponibilidade.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Tcnico Administrativo I Informtica Paran Previdncia/2002 CESPE

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Filtro de Pacotes

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Filtro de Pacotes

Firewall Filtro de Pacotes

Firewall Filtro de Pacotes

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Filtro de Pacotes

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Filtro de Estado das Conexes (Stateful)

Firewall Filtro de Estado das Conexes (Stateful)

Firewall Filtro de Estado das Conexes (Stateful)

Firewall Filtro de Estado das Conexes (Stateful)

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Firewall Filtro de Estado das Conexes (Stateful)