Faculdade de Cincias Sociais Aplicadas Curso de Sistemas de Informaes Redes de Computadores

Firewall (Parte 2)
Professor: Alexandre Scaico
alexandre_scaico@yahoo.com.br

Arquiteturas
A arquitetura deve ser definida de acordo com as necessidades, usando as funcionalidades e tecnologias j estudadas Elemento importante na arquitetura zona desmitalitarizada (DMZ)
Permite o provimento de servios a usurios externos por meio de bastion hosts (servidores fortificados) Protege a rede externa dos acessos externos
Um ataque a um servidor (bastion host) no compromente a rede interna, apenas a DMZ
2

Arquiteturas
4 arquiteturas
3 clssicas 1 arquitetura que estende as arquiteturas clssicas ao ambiente coorporativo, tratando de redes privadas virtuais (VPN), sistemas de deteco de intruso (IDS), banco de dados e criptografia por chave pblica (PKI)

Arquiteturas
Dual-homed host architecture Screened host architecture Screened subnet architecture Firewall cooperativo

Dual-homed Host Architecture

Arquitetura formada por um equipamento que tem duas interfaces de rede
Funciona separando duas redes Toda comunicao entre as duas redes tem que ser realizada por intermdio do firewall
Caso dos proxies

Problema como o firewall o nico ponto de acesso, aumenta o risco da rede ficar indisponvel devido a uma falha dele
4

Dual-homed Host Architecture

Screened Host Architecture

Essa arquitetura formada por um filtro de pacotes e um bastion host
As regras do filtro s permitem acesso a rede interna atravs do bastion host O bastion host tambm pode funcionar como proxy Pode-se tambm determinar regras de filtragem para acessos de usurios internos a rede externa

Screened Host Architecture

Problemas
Se o bastion host for comprometido, o invasor j estar dentro da rede interna O filtro de pacotes e o bastion host forma um nico ponto de falha por serem o nico ponto de acesso a rede externa

Screened Host Architecture

Screened Subnet Architecture

Nesta arquitetura temos a adio da DMZ
Isso aumenta a segurana em relao a arquitetura Screened Host O bastion host fica na DMZ
O ataque a um bastion host no deixa a rede interna a merc do invasor

A DMZ uma zona de confinamento entre a rede externa e a rede interna, que fica entre dois filtros
Evita que um ataque a um bastion host permita o uso de um sniffer na rede interna
9

Screened Subnet Architecture

Ponto importante
Definio dos filtros interno e externo, para no resultar em uma falsa sensao de segurana Filtro externo
Deve permitir o trfego dos servios disponveis na DMZ, bem como o trfego de requisies dos usurios internos

Filtro interno
Deve permitir somente a passagem de requisies e respostas dos servios permitidos aos usurios internos

10

Screened Subnet Architecture

11

Screened Subnet Architecture

Uma variao comum dessa arquitetura a utilizao de um equipamento com trs interfaces de rede
Uma interface para a rede externa Uma interface para a rede interna Uma interface para a rede DMZ E aqui os filtros funcionariam em cada interface

12

Variao da arquitetura Screened Subnet Architecture

13

Firewall Cooperativo
Arquitetura em que so inseridos novos componentes
VPN, IDS, PKI

Estende as 3 arquitetura anteriores para trabalhar em ambientes cooperativos

Deve permitir a comunicao com parceiros e filiais, mas bloquear acesso externo no-desejado Tambm deve separar e filtrar as comunicaes entre departamentos internos diferentes
14

O muro em um ambiente corporativo

15

Arquitetura do Ambiente Corporativo

16

Desempenho do Firewall
O firewall no pode se tornar um gargalo na rede O desempenho pode ser analisado a partir de hardware e software Hardware
Velocidade da placa de rede Nmero de placas de rede Tipo de barramento Velocidade da CPU Quantidade de memria
17

Desempenho do Firewall
Software
Cdigo do firewall Sistema operacional Pilha TCP/IP Quantidade de processos sendo executados na mquina Configurao, a exemplo da complexidade das regras de filtragem Tipo de firewall: proxy ou filtro de pacotes baseado em estados
18

Desempenho do Firewall
No proxy o fator mais importante a CPU
Cada pacote deve ser desmontado, analisado e remontado

No filtro de pacotes baseado em estados o fator mais importante a memria RAM

As informaes sobre os estados devem estar na RAM, para uma resposta mais rpida

Um filtro de pacotes tipicamente 100 vezes mais rpido que um proxy

19

Avaliao do Firewall
A escolha do firewall deve ser realizada de acordo com a necessidade da organizao e que melhor se ajusta experincia e capacidade do profissional
No o firewall que garante a segurana e sim a poltica de segurana

20

Avaliao do Firewall
Aspectos a considerar
Fabricante/fornecedor Suporte tcnico Projeto Logs Desempenho Gerenciamento Teste do firewall Capacitao do pessoal
21

Teste do Firewall
Testar significa verificar se a poltica de segurana foi bem desenvolvida, bem implementada e se o firewall funciona como esperado
Tentativas de invaso podem ser utilizadas para validar as regras de filtragem, bem como a prpria poltica de segurana

Observar que o firewall no protege contra ataques a servios legtimos, com conexes permitidas
Esses servios necessitam de anlise prpria
22

Teste do Firewall
Um teste pode ser estruturado em 4 etapas
Coleta de informaes indiretas Coleta de informaes diretas Ataques externos Ataques internos

Os teste devem ser realizados freqentemente

Quem deve realizar os testes?
Revendedores, hackers, prprios funcionrios ou uma empresa especializada
23

Problemas Relacionados
Problemas mais perigosos
Instalaes de firewalls mal configuradas Implementao incorreta da poltica de segurana Gerenciamento falho Falta de atualizaes

Tambm existem problemas devido a firewalls comerciais com falha na implementao

24

Problemas Relacionados
Problemas relacionados configurao e gerenciamento
Liberar novos servios porque os usurios dizem precisar deles Separar a rede privada virtual (VPN) do firewall Concentrar esforos no firewall, ignorando outras medidas de segurana Ignorar os servios de log Desligar as mensagens de alerta
25

Problemas Relacionados
Problemas relacionados configurao e gerenciamento
Adicionar contas de usurios no firewall Permitir que diversas pessoas administrem o firewall Presena de modems Driblar a segurana do firewall e utilizar um poltica prpria No ter uma poltica de segurana

26

O Firewall no a Soluo Total de Segurana

O firewall apenas uma parte de um conjunto de componentes de um sistema de segurana
Muitos fabricante tentam passar a idia que o firewall a soluo definitiva

O firewall uma faca de dois gumes

Representam um primeira linha de defesa Mas do a falsa sensao de segurana total Servios legtimos so permitidos pelo firewall, e sua segurana no depende do firewall
27

O Firewall no a Soluo Total de Segurana

Hoje em dia um firewall no pode mais ser considerado um muro entre a rede interna e a externa
Comunicao com parceiros, filiais, cliente, etc Necessidade de um nvel de segurana para cada caso
Necessrio autenticao e autorizao

Observar tambm que muitos ataques se originam da prpria rede interna

28