Você está na página 1de 22

Ricardo Queiroz

05/09/2016

Network+
Segurana
Dispositivos de Segurana em
Hardware e Software
Ricardo Queiroz
Ps-graduao em Redes de Computadores da FSA

Ricardo Queiroz

Introduo
Consideraes Iniciais
Conectar sua rede a uma imensa rede pblica, alm de
representar um potencial enorme em termos de visibilidade e
aumento de produtividade, expe a mesma aos maiores
riscos de segurana e ameaas possveis
Assim, temos que proteger nossas redes, por exemplo, das
ameaas de invaso, espionagem corporativa, roubo de
dados e de identidade, bem como outras ameaas
Para termos sucesso nessa empreitada, nossas redes
precisam mais e mais de dispositivos de segurana para
controlar o trfego entrante e o que deixa nossa rede
Neste tpico, discutiremos os recursos lgicos e fsicos que
podemos empregar para implementar a segurana necessria
para tornar nossa rede mais segura
2

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Dispositivos de Segurana: SW e HD (1)


Caracterizao
Em redes de mdio e grande porte, estratgias de segurana normalmente
incluem alguma combinao de roteadores internos e de permetro mais
firewalls
Roteadores internos fornecem segurana adicional triando trfego nas
partes mais vulnerveis da rede usando ACLs

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Dispositivos de Segurana: SW e HD (2)


Consideraes Importantes
Qual a utilidade de uma DeMilitarized Zone?
A DMZ pode ser uma rea com endereos globais vlidos na
Internet ou endereos privativos, tudo vai depender da
forma com que o seu firewall foi configurado
A DMZ a rea tpica onde implementamos servidores HTTP,
DNS, Email, bem como outros servidores com acesso externo
A DMZ o local usado para criar uma zona de segurana que
permite trfego pblico, mas o trfego isolado da rede
privativa da companhia
Na rede interna, ao invs de roteadores podemos
implementar VLANs e switches de camada 3 para prover alta
performance para essa parte da rede
4

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Definindo Firewalls (1)


Conceitos
Firewalls so usualmente uma combinao de SW e HW
O HW base normalmente um roteador, mas pode ser um
computador ou um HW dedicado denominado Black Box,
onde os dois ltimos possuem duas NICs
A parte de SW configurada para controlar com o FW
trabalha para proteger sua rede examinando cada pacote de
entrada e de sada e rejeitando os suspeitos
FW permitem que passem somente pacotes que atendam a
restries de segurana especficas
FW podem permitir, negar, criptografar, decriptografar e
encaminhar qualquer trfego que atravesse a rede interna e
externa, seja em que sentido for
A maioria dos FWs so configurados como default-deny, os
quais so trabalhosos para configurar, ao contrrio quando
quando so configurados como default-allow
Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Definindo Firewalls (2)


Tipos de Firewalls
Firewalls Baseados em Redes (Network-based Firewall)
o tipo de FW que as companhias usam para proteger
suas redes privadas das ameaas das redes pblicas
Ele projetado para defender toda a rede ao invs de
sistemas especficos

Firewalls Baseados em Host (Host-based Firewalls)


Em contraste com o anterior, este implementado em
uma s mquina com o intuito de proteger somente ela
Ao contrrio do anterior, esse FW usualmente s
software, pois o mesmo no precisa de HW adicional
Por exemplo, todos os computadores com Windows vem
com o Windows Firewall

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (1)


Tecnologias...
Listas de Controle de Acesso (ACLs)...
So a primeira linha de defesa de uma rede, onde so
armazenadas em nossos roteadores e determinam
atravs de algum modo de endereamento, quais
mquinas so permitidas para usar esses roteadores e
em quais direes

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (2)


Listas de Controle de Acesso (ACLs)...
ACLs so essencialmente listas de condies que categorizam
pacotes, imagine o quanto podem ser teis para ganhar o controle
sobre o trfego da rede
Podem ser usadas para filtrar trfego indesejado e tomar decises
bem especficas sobre a regulao do padro de trfego
Uma slida combinao entre ACLs, pode dar um poder enorme
poder de gerenciamento de trfego para os Administradores de
Rede
Segue a lista de ameaas de segurana que as ACLs podem ajudar
a mitigar:
IP Spoofing, de entrada de sada
DoS: TCP SYN e Ataques Smurf
Ameaas relacionadas a pacotes ICMP, de entrada e sada

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (3)


Listas de Controle de Acesso (ACLs)...
ACLs podem ser empregadas em situaes onde no envolve
somente bloqueio de pacotes, como por exemplo, controlar quais
redes sero ou no notificadas pelos protocolos de roteamento
dinmico
A forma como voc configura uma ACL para esse caso a
mesma que voc configuraria para uma interface, a diferena
que as regras so aplicadas a protocolos de roteamento
Essas ACLs so chamadas de listas de distribuio, onde as
mesmas no afetam os avisos dados pelos protocolos, apenas
controlam seu contedo

ACLs podem ser usadas para categorizar e enfileirar pacotes para


aplicaes que requerem QoS para controlar o trfego que passa
por um determinado link
Vale lembrar que o formato de uma ACL similar a um programa
com clusulas if-then-else, onde as sequencias de comandos so
filtros cujos pacotes so comparados, categorizados, dropados, etc
Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (4)


Listas de Controle de Acesso (ACLs)...
Regras as quais os pacotes so comparados e processados:
Cada pacote comparado com cada linha da ACL em
ordem sequencial, sempre comeando na primeira linha
e assim por diante
Cada pacote comparado com as linhas subsequentes
at que o mesmo combine ou satisfaa a alguma
condio, assim, o mesmo processado de acordo com
o que define a condio e no mais ser contrastado
com outras condies
H um Deny implcito na ltima linha de uma ACL, pois
caso o pacote no combine com nenhuma outra linha
anterior, o mesmo ser descartado

10

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (5)


Listas de Controle de Acesso (ACLs)...
Existem Dois Tipo de ACLs
ACLs Padro
So ACLs que usam o endereo IP de origem em um pacote
como condio de teste, assim, todas as decises relativas
a um pacote sero baseadas no endereo IP de origem
Isso significa que essa ACL basicamente permitem ou
negam um conjunto inteiro de protocolos sem qualquer
distino de finalidade de cada um
ACLs Estendidas
Estas avaliam vrios outros campos nos cabealhos das
camadas 3 e 4. Elas podem avaliar endereos IP de origem
ou de destino, campos de protocolo, nmero de porta, etc
Uma vez criada, deve ser informado em qual interface
do roteador a mesma ir ser aplicada (inbound ou
outbound)

11

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (6)


Listas de Controle de Acesso (ACLs)...
Roteadores requerem controles diferentes para interfaces
diferentes
Inbound ACLs
Quando uma ACL aplicada aos pacotes de entrada, esses
pacotes so processados ao longo da ACL antes de serem
roteados para a interface de entrada
Qualquer pacote que foi negado, no ser roteado porque eles
sero descartados antes do processo de roteamento ser
completado
Outbound ACLs
Quando uma ACL aplicada aos pacotes de sada, esses pacotes
so roteados para interface de sada e ento processados pela
referida ACL antes de serem enfileirados

12

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (7)


Listas de Controle de Acesso (ACLs)...
Segue uma lista de regras que devem ser aplicadas na
interface de entrada da sua rede
Deny any address from your internal network
Deny any local host address (127.0.0.1/8)
Deny any reserved private address
Deny any address in the IP multicast address range
(224.0.0.02/4)

Esses endereos nunca deveriam ser permitidos na sua rede


interna

13

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (8)


Segurana de Portas (Port Security)
Firewalls podem ser usados para proteger o acesso a rede no
nvel da camada 3, no entanto existem casos onde a
segurana precisa ser mantida entre usurios da prpria rede
Assim, a segurana deve ser implementada a nvel de portas,
nos switches da rede, ou seja, segurana na camada MAC
Como podemos implementar segurana a nvel de portas?
Definir um conjunto de MACs que podem acessar
determinada porta onde um dispositivo com
informaes sensveis est conectado
Portas no usadas que quando ativadas s podero ser
utilizadas por determinados MACs

14

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (8)


DeMilitarized Zone
um segmento de rede que no pblico ou local, mas um misto de
ambos, onde exemplo mais comum de DMZ formada por um
firewall que possui 3 interfaces de rede (LAN, DMZ e Internet)

15

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (9)


Comutao de Protocolos (Protocol Switching)
Vamos fazer algumas conjecturas... Qual o protocolo que
encaminha a grande maioria dos ataques a uma rede
Interna, protegida atrs de um firewall?
Resposta certa: TCP/IP

Assim, h algum tempo atrs, para proteger a rede interna


de ataques oriundos da Internet, essas redes usavam
internamente outros protocolos
Mas caso voc no queira implementar a comutao de
protocolos, seguem as duas melhores alternativas:
Use outro protocolo diferente do TCP/IP internamente ao
Firewall, ataques baseados no TCP/IP no funcionariam se
usamos algo como IPX
Use TCP/IP na rede interna mas use um protocolo diferente,
como o IPX, na zona morta entre a rede interna e a Internet
16

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (10)


Infraestrutura com Comutao de Protocolos com e Sem
Dead Zone

17

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (11)


Filtragem Dinmica de Pacotes...
Filtragem de pacotes refere-se a habilidade de um roteador ou
firewall descartar pacotes que no satisfazem determinados
critrios ou regras
Firewalls usam filtragem de pacotes dinmica para garantir que
somente pacotes para sesses vlidas e atuais tem permisso para
passar
O firewall ir manter uma trilha de todas as sesses de
comunicao entre estaes dentro e fora da rede interna, onde
essa lista muda dinamicamente

Qualquer um que tentar recuperar uma sesso previamente


terminada, no poder faz-lo caso o Firewall use esse tipo
de filtragem com uma lista de dinmica de estado, pois os
dados que o hacker quer enviar no fazem parte sesso
atualmente vlida
18

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (12)


Filtragem Dinmica de Pacotes...
Por exemplo, um computador em uma rede A requisita uma
sesso Telnet com um servidor na rede B
O firewall entre os dois ir manter um log dos pacotes da
comunicao que so enviados por cada lado e somente
pacotes quer pertencem a sesso atual sero permitidos
retornar para a rede A passando pelo firewall
Isso inviabiliza um ataque com o de Session Highjacking
Veja o exemplo a seguir...

19

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (13)


Filtragem Dinmica de Pacotes...

20

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

10

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (14)


Proxies...
Firewalls tambm podem implementar algo denominado Proxy
Services, que atualmente torna-os proxy server
Proxies atuam em benefcio de toda a rede, onde uma de suas
funes e realizar NAT entre a rede interna e a Internet
Lembra que tipo
De NAT esse?

21

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (15)


Proxies...
As funes de proxies em firewall torna-os melhores ainda,
porque eles dissecam o pacote inteiro, onde cada camada
pode ser analisada a procura de dados invlidos, flags
invlidas, cabealhos corrompidos, contedos suspeitos, vrus
Proxies ainda podem verificar os pacotes na busca por
palavras-chave que podem indicar alm da origem dos
pacotes, possveis ataques
A funcionalidade descrita acima ainda pode ser usada para
evitar que informaes sensveis, vitais a sua empresa, sejam
enviadas para fora da sua empresa examinando o trfego de
sada da rede
Com nem tudo so flores, para isso ser necessrio recursos
de hardware para que a performance de acesso a rede no
seja prejudicada

22

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

11

Ricardo Queiroz

05/09/2016

Tecnologias Usadas pelos Firewalls (16)


Proxies...
Tipos de Proxy Servers Especficos...
Proxy IP
Esconde o endereo IP de todos os dispositivos da rede
interna alterando o endereo IP de origem de cada pacotes
que deixa a rede, isso denominamos Proxy NAT
Proxy Web/HTTP
Os clientes Web so configurados para fazerem requisies
HTTP via Proxy, assim o navegador envia um request para
o proxy, este altera o endereo da requisio HTTP para o
seu endereo de rede e envia a requisio para o Web
Server
A resposta retorna para o proxy que altera o seu endereo
para o endereo do cliente requisitante
Neste caso comum o proxy implementar uma Cache
23

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Tecnologias Usadas pelos Firewalls (17)


Proxies...
Tipos de Proxy Servers Especficos...
Proxy FTP
Intermedia as transferncia de arquivos entre clientes e
servidores, onde o proxy FTP pode filtrar contedo
indesejvel (vrus e similares)
Proxy SMTP
Neste caso o contedo dos pacotes ou e-mail pode ser
automaticamente varrido a procura de mensagens que
contenham contedo sigiloso da empresa ou material que
pode ser considerado no seguro

Muitos Proxies SMTP permitem proteo trabalho conjunto


com antivrus em rede para escanear e-mails de entrada

24

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

12

Ricardo Queiroz

05/09/2016

Firewalls de Aplicao vs. Firewalls de Rede (1)


Comparativo
Os primeiros Firewalls foram desenvolvidos para operar
somente na camada de rede, onde eram conhecidos como
firewalls de filtro de pacotes cujas regras estavam em ACLs
Esse tipo de filtro muito bsico pois o firewalls considera
todo pacotes como individual e tudo que interessa so os
endereos IP, protocolos e nmeros de porta
O Firewall no se preocupa se o pacote stand-alone ou
parte de uma stream de dados, onde essa estratgia
funciona bem quando se trabalha com protocolos que se
comunicam usando portas predefinidas (TCP/UDP)

25

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Firewalls de Aplicao vs. Firewalls de Rede (2)


Firewalls de Rede Stateful vs. Stateless
Firewalls Stateless examinam pacotes como unidades individuais e
no monitoram o status das conexes que passam atravs dele
Apesar de trabalharem muito bem e consumirem menos recursos
que seu opositor, os mesmos no tem ideia se o pacote legitimo
ou se possivelmente um pacote desonesto tentando invadir a
rede
Firewalls Statesless tendem a serem suscetveis a vrios tipos de
ataques DoS e IP Spoofing, mas so timos se usados no escopo
da rede interna onde as ameaas so menores
Em contraste, os stateful mantm uma trilha das vrias streams de
dados que passam pelo mesmo, se o pacote parte de uma
stream de uma conexo j estabelecida, esse pacotes passa
Novos pacotes so submetidos s regras nas ACLs
Esses firewalls so melhores na preveno de ataques de rede que
tentam explorar conexes existentes, como os ataques DoS
26

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

13

Ricardo Queiroz

05/09/2016

Firewalls de Aplicao vs. Firewalls de Rede (3)


Firewalls de Camada de Aplicao
Embora firewalls stateful sejam mais poderosos e seguros
que os stateless, firewalls de camada de aplicao so ainda
melhores
Eles trabalham inspecionando mais que apenas dados no
cabealho IP, eles inspecionam dados na camada de
aplicao, ou seja, eles sabem se o pacote de FTP, SNMP,
HTTP, etc
O maior problema a velocidade, pois esse tipo de firewall
precisa ler um quantidade maior de dados que os outros,
mas no o bastante para que isso seja notado pelo usurio
Outra vantagem que podemos configurar regras de proxy
para mltiplas aplicaes no mesmo firewall e conseguem
lidar melhor com protocolos como o H.323, se comparado
aos outros tipos de firewalls abordados

27

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Scanning de Servios e Outras Caractersticas dos FWs (1)


Definio
A maioria dos Firewalls so capazes de executar Scanning
sobre Servios que rodam em uma rede, o que significa que
os FW escaneiam diferentes tipos de trfego de entrada
Por exemplo, FW podem escanear trfego HTTP de entrada a
procura de vrus ou spywares ou e-mails a procura de spams
possvel configurar regras para prevenir que usurios
faam download de arquivos maiores que um certo tamanho
Em roteadores Cisco, por exemplo, esse processo de
Scanning administrado atravs de dois mdulos
Content Security Control CSC
Security Service Module CSM

As duas categorias tipicamente scaneadas so Web e E-mail


28

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

14

Ricardo Queiroz

05/09/2016

Scanning de Servios e Outras Caractersticas dos FWs (2)


Configuraes Normalmente Realizadas como Padro
Preocupao
com o
Storage?

E o scanning
adiado?

29

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Scanning de Servios e Outras Caractersticas dos FWs (3)


Filtragem de Contedo
uma estratgia muito prxima da anterior, onde os
roteadores Cisco executam a CSC e CSM
Mas especificamente essa estratgia significa bloquear dados
baseados no seu contedo ao invs de na origem dos dados
Isso mais comumente usado para filtrar email e acesso a
sites, combatendo acesso a pornografia, por exemplo
Existem diversas estratgias aplicadas a filtros de contedo,
onde as mais comuns so:
Filtrar Anexos (bloquear anexos de um certo tipo, .exe)
Empregar Tcnicas Bayesianas
Filtrar Contedo Criptografado
Filtrar Cabealho de Emails
Filtrar atravs de Linguagem, Frases e/ou sinnimos

Filtrar URLs
Network+: Dispositivos de Segurana em HW e SW

Network+

30

Ricardo Queiroz

15

Ricardo Queiroz

05/09/2016

Scanning de Servios e Outras Caractersticas dos FWs (4)


Identificao de Assinatura
Firewalls podem impedir um ataque e outros danos, atravs
do processo de identificao de assinatura
Vrus so arquivos conhecidos por ter uma assinatura, ou
seja, um padro de dados bem particular dentro deles
Firewalls em conjunto com antivrus podem usar assinaturas
para identificar vrus e remov-los
O mesmo vale para identificao de worms e spywares
Adotando o mesmo princpios de raciocnio, muitos ataques
de rede tem suas assinaturas, por exemplo, se um roteador
recebe um grande nmero, em sequencia, de requisies
SYN, isso certamente indica o incio de um ataque de SYN
Flood
31

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Sistemas de Deteco e Preveno de Intruso (1)


Definio
Se algum penetrou na sua rede, como voc saberia?
Por mais sofisticado que seja o ataque um hacker
sempre deixa pistas
Assim, possvel saber a identidade do atacante assim
como ele conseguiu o acesso

Quem ir lhe ajudar nessa empreitada?


Intrusion Detection System IDS

FW foram inicialmente projetados para bloquear trfego


malicioso entrante na sua rede, mas um IDS mais que uma
ferramenta de auditoria, ele mantm uma trilha de toda
atividade na sua rede
Como os IDS so uma tecnologia relativamente nova, os
mesmos ainda esto sendo combinados aos Firewalls
33

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

16

Ricardo Queiroz

05/09/2016

Sistemas de Deteco e Preveno de Intruso (2)


Processo
Existem duas formas que os IDS podem detectar ataques ou
invases
A primeira baseada na assinatura da invaso,
frequentemente referenciada como misuse-detection IDS
(deteco de mau uso), MD-IDS, a qual trabalha procurando
por impresses digitais
Neste caso, a MD-IDS procura por estranhos e abusivos usos da
banda da rede
O IDS envia um alarme somente se reconhecer a impresso digital
desse tipo de ataque
A segunda abordagem procura por anomalias na atividade da
rede, ou trabalha como anomaly-detection IDS (AD-IDS)
Essa estratgia basicamente procura por qualquer coisa fora do
padro comum e, caso encontre, envia um alerta
o que chamamos de Smart System, pois ele armazena um
histrico de atividades na rede e usa esse histrico para comparar
com as atividades atuais na busca por padres no usuais
34
Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Sistemas de Deteco e Preveno de Intruso (3)


MD-IDS em Ao
Composto de vrios componentes como sensores para deteco de
eventos, uma console de controle/configurao de eventos e
monitoramento e um BD

35

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

17

Ricardo Queiroz

05/09/2016

Sistemas de Deteco e Preveno de Intruso (4)


Tipos Comuns de Implementao de IDS
IDS Baseado em Rede
Implementao mais comum de IDS (NIDS) onde o IDS um
dispositivo separado ligado a rede via um switch
Alguns IDSs so capazes, at mesmo, de serem ligados a rede
em ambos os lados de um firewalls
Esse a melhor alternativa, pois pode ver o que est acontecendo
no mundo exterior e configurar suas defesas no interior

36

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Sistemas de Deteco e Preveno de Intruso (5)


Deteco de Problemas via IDSs
Quando sua IDS detecta uma intruso, ele ir responder de forma
passiva ou ativa, onde as passivas so fceis de configurar:
Logging
Notificao (Notification)
Abandono (Shunning)

As respostas ativas requerem uma ao imediata que


significa que o IDS ir trabalhar para prevenir o ataque, onde
essa estratgia reativa recebeu a denominao de IPS
As respostas reativas mais comuns so
Mudar a configurao da rede
Encerrar a Sesso
Enganar o atacante

37

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

18

Ricardo Queiroz

05/09/2016

Sistemas de Deteco e Preveno de Intruso (6)


Um IDS fechando a Porta 80 por 60s

38

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Sistemas de Deteco e Preveno de Intruso (7)


Enganando o Atacante com um Honeypot

39

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

19

Ricardo Queiroz

05/09/2016

Configuraes de Segurana Lgica (1)


Recomendaes
Primeiramente, teremos que garantir que nossa rede tenha
uma barreira exterior e/ou uma defesa de permetro
Isso alcanado usualmente tendo um firewall bem
configurado e, melhor ainda, um IDS ou IPS

Rede com Permetro de Defesa


40

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Configuraes de Segurana Lgica (2)


Zonas Administrativas
A configurao anterior pode ser bastante para sua rede,
mas talvez no
Considere que sua rede serve a vrios departamentos na sua
companhia, onde cada um tem suas prprias necessidades
O que pode ser feito nesse caso dividir a rede interna em
zonas administrativas menores criando VLANs e usando uma
DMZ
De forma lgica, a rede teria a aparncia a figura seguinte...

41

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

20

Ricardo Queiroz

05/09/2016

Configuraes de Segurana Lgica (3)


Rede Dividida em Zonas de Segurana

42

Network+: Dispositivos de Segurana em HW e SW

Ricardo Queiroz

Configuraes de Segurana Lgica (4)


Rede Dividida em Zonas de Segurana com Roteadores
Sua rede pode ser similar a Rede com Permetro de Defesa, s que
apenas maior, e, ainda, talvez o trfego seja pesado e seja
necessrio dividi-la em segmentos fisicamente separados, portanto,
podemos v-la assim

43

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

21

Ricardo Queiroz

05/09/2016

Exame Network+
Aspectos Essenciais deste Tpico
Entender as diferenas entre os tipos de firewalls
Entender como o firewall determina qual trfego passa travs
dele
Relembrar onde a DMZ pode ser colocada
Entender o que um proxy server e os tipos mais comuns de
proxies
Saber em quais nveis do modelo OSI os vrios dispositivos
de segurana operam
Saber quais tipos de servio os firewalls podem prover
Saber as diferenas entre IDSs e IPSs

44

Network+: Dispositivos de Segurana em HW e SW

Network+

Ricardo Queiroz

22