Firewall e Proxy

Firewall e Proxy

PROF. PAULO SANT’ANNA

Firewall e Proxy

Compare com a portaria de um prédio

PROF. PAULO SANT’ANNA
 • Obedecer determinadas
Firewall e Proxy condições;
• Se identificar;
• Aguardar autorização para
acesso;
• Não portar objetos que
tragam riscos a segurança;
• Não levar nada embora sem
autorização;
• Pode ocorrer autorização
permanente, os próximos
acessos serão liberados...

Comparação com portaria de acesso

ao prédio:

PROF. PAULO SANT’ANNA

Tipos de política de
firewall

Restritivo:

Permissivo:

PROF. PAULO SANT’ANNA

Tipos de política de
firewall

Restritivo: todo tráfego é bloqueado, exceto

o que está explicitamente autorizado;

Permissivo: todo tráfego é permitido, exceto

o que está explicitamente bloqueado.

PROF. PAULO SANT’ANNA

Topologias de firewall

Bastion Host

Triagem / DMZ

PROF. PAULO SANT’ANNA

 Topologias de firewall: Bastion Host
Topologias de firewall

*Simular conexões reais

PROF. PAULO SANT’ANNA
 Topologias de firewall: Triagem / DMZ
Topologias de firewall

*Simular conexões reais

PROF. PAULO SANT’ANNA
 Topologias de firewall: Dual firewall
Topologias de firewall

*Simular conexões reais

PROF. PAULO SANT’ANNA
 Topologias de firewall
Topologias de firewall

PROF. PAULO SANT’ANNA

Situação problema (individual):

Você é o Administrador de Rede da empresa Épou. Por ser um

técnico formado pelo SENAI, capacitado em Administração de
Gerenciamento e Segurança em Redes, lhe foi solicitado um
diagrama lógico de toda a rede das escolas de ensino
profissionalizante de Jandira e Itapevi, que deve incluir os seguintes
itens:

• Servidores;
• Estações de trabalho (somente algumas);
• Firewalls (com DMZ)
• Roteadores (com tolerância a falha com fio)
• Dispositivos para enlace sem fio (também para tolerância a falha)
• Pontos de acesso sem fio
• Switches (Core, Distribuição e Acesso), com tecnologia de prevenção de loop e
agregação de links
• Telefones IP ou Softfones
• Incluir serviços aprendidos nas outras disciplianas de administração (VOIP, e-mail, etc)
• Endereçamento IP dos ativos da rede;
• Protocolos utilizados (roteamento, agregação de links, etc)

PROF. PAULO SANT’ANNA

Curiosidade - Redundância
Tipos de firewall

• Appliance (Hardware)
• Software

PROF. PAULO SANT’ANNA

Descreva algumas vantagens... Firewall - Appliance
Principais fabricantes
de firewall

Appliance (Hardware)

PROF. PAULO SANT’ANNA

Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Firewall Appliance (Hardware dedicado)
Tipos de firewall

Software

PROF. PAULO SANT’ANNA

Estruturas mescladas com firewall por Software e Hardware
Tipos de firewall

Hardware
Software

Filtragem de pacotes

PROF. PAULO SANT’ANNA

Tipos de firewall

Filtro de pacotes

PROF. PAULO SANT’ANNA

Tipos de firewall

Filtro de pacotes:
• Estático
• Dinamico

PROF. PAULO SANT’ANNA

 Pergunta...
Firewall e Proxy

O firewall que trabalha com

filtro de pacotes opera em qual
camada do modelo OSI?

PROF. PAULO SANT’ANNA

Tipos de firewall

UTM
(Unified Threat Management)

PROF. PAULO SANT’ANNA

Firewall UTM
(Unified Threat Management)

Plataforma unificada de produtos de segurança, adequadas

para pequenas e médias empresas:

• Sistema de Prevenção de Firewall / Intrusão (IPS);

• Segurança de Gateway Web (filtragem de URL, antivírus Web [AV]);
• segurança de mensagens (anti-spam, e-mail AV)
• Rede Virtual Privada (VPN)
Firewall UTM (Unified Threat Management)
Firewall UTM (Unified Threat Management)
Firewall UTM (Unified Threat Management)
Tipos de firewall

NGFW
(Next Generation Firewall)

PROF. PAULO SANT’ANNA

NGFW
Next
Generation
Firewall

• Evolução do firewall tradicional

• Inspeção de pacotes (DPI) avançado
• Visibilidade de aplicações independente de protocolos e portas
NGFW

Obs.: DPI significa Inspeção Profunda de Pacotes

NGFW

DPI é uma forma de filtragem de pacotes que localiza, identifica, classifica, redireciona
ou bloqueia pacotes com dados específicos ou cargas de código que a filtragem
convencional de pacotes, que examina apenas cabeçalhos de pacotes, não consegue
detectar.
NGFW
Next
Generation
Firewall

• Capacidade de identificar usuários utilizando serviço de diretório (ex. integração

com Active Directory) e não apenas o endereço IP;

• Capacidade de usar informações de outras fontes fora do firewall para tomar

decisões de bloqueio.
NGFW
Next
Generation
Firewall

• Capacidade de identificar aplicativos independentemente da porta ou protocolo;

NGFW
Next
Generation
Firewall

Funcionalidades adicionais contratadas por assinatura

NGFW
Next
Generation
Firewall

Funcionalidades adicionais contratadas por assinatura

NGFW
Next
Generation
Firewall

Funcionalidades adicionais contratadas por assinatura

Firewalls com esta
tecnologia trabalham em
quais camadas do modelo
OSI?
Firewalls com esta
tecnologia trabalham em
quais camadas do modelo
OSI?
NGFW
Next
Generation
Firewall
Tipos de firewall

Personal Firewall
Endpoint Firewall

PROF. PAULO SANT’ANNA

Descreva os tipos de solução encontrados acima ...
Administração de rede com
Atividade 1
Situação Problema Prática – PfSense
Para evitar problemas com a legislação vigente, o acesso a internet dos funcionários e
visitantes da empresa precisa ter um controle de acesso com autenticação e registro da
sessão. Para isso, você precisa integrar o Firewall da empresa com o Serviço de Diretório já
existente para acesso a rede.
Triple AAA

PROF. PAULO SANT’ANNA

Vamos pensar um pouco?

Você vai viajar para um lugar distante. O que precisaria para

embarcar no avião?

Braimstorm
Autenticação
Quem pode entrar...

PROF. PAULO SANT’ANNA

O que pode ter acesso ao avião?
Autorização
O que pode ter acesso...

PROF. PAULO SANT’ANNA

O que é feito para garantir que
estas regras sejam cumpridas?
Registros e controles de acesso...
Contabilização
Controle e registro...

PROF. PAULO SANT’ANNA

Este princípio de segurança é conhecido como AAA
Antes de permitir que sejam executadas algumas ações, deve-se
garantir 3 aspectos de segurança (AAA):

Autenticação – quem está querendo acesso...

Autorização – após identificado...deixa eu verificar se você está autorizado...

Contabilização – após autorização...manter registros do acesso

Esquema simplificado do funcionamento do AAA
 Protocolos AAA
AAA
Etapas do processo de autenticação – protocolo RADIUS
Afinal....
Qual a vantagem de
utilizar AAA?

PROF. PAULO SANT’ANNA

Qual a diferença? Explique...
 Situação problema 1

Você é o novo administrador de rede da empresa Épou. O antigo administrador tinha acesso
as senhas aos dispositivos da rede (roteador, e switch) e não trabalha mais na empresa. Por
medida de segurança, foi solicitado a você a substituição da senha destes dispositivos no
cenário abaixo:
 Situação problema 2

Você é o novo administrador de rede da empresa Épou. O antigo administrador tinha acesso
as senhas de todos os dispositivos da rede (roteadores, switchs, access points, etc.) de várias
localidades e não trabalha mais na empresa. Por medida de segurança, foi solicitado a você a
substituição da senha dos dispositivos no cenário abaixo:
O triple AAA tem duas funções principais:

1 - Acesso do administrador a um terminal para configuração

de equipamentos

2 - Acesso do usuário para utilizar a rede / internet

PROF. PAULO SANT’ANNA

O triple AAA tem duas funções principais:

1 - Administração de dispositivos:
Controlar o acesso a quem pode efetuar
login em um console de dispositivo de
rede, sessão de telnet, sessão de shell
seguro (SSH).

2 - Acesso à rede:
A proteção do acesso à rede pede o
fornecimento de uma identidade do
dispositivo ou usuário antes de permitir
comunicação com a rede.
Exemplo de acesso remoto a rede com RADIUS
Exemplo de acesso remoto a rede com RADIUS
Acesso a rede cabeada com autenticação AAA 802.1 X

Exemplo de utilização:
Ponto de rede na recepção da empresa ou sala de reuniões com clientes
externos (só recebe endereço de rede do DHCP mediante autenticação)
Acesso a rede sem fio com autenticação AAA

Exemplo de utilização:
Acesso a rede Wireless na recepção da empresa ou sala de reuniões com
clientes externos (autenticação com com usuários do AD, com perfis de
acesso a rede diferentes)
Acesso a rede cabeada com autenticação AAA 802.1 X

Exemplo de utilização:
Ponto de rede na recepção da empresa ou sala de reuniões com clientes
externos (só recebe endereço de rede do DHCP mediante autenticação)
Acesso a rede sem fio com autenticação AAA

Exemplo de utilização:
Acesso a rede Wireless na recepção da empresa ou sala de reuniões com
clientes externos (autenticação com com usuários do AD, com perfis de
acesso a rede diferentes)
Acesso remoto de usuário a
rede interna da empresa.
Equipamento DrayTek.

Ex.: Vendedor externo, funcionário que

trabalha em casa (home office), etc.
 Acesso ao WIFI da rede da
empresa.
Equipamento Ubiquiti.

Ex.: Acesso controlado de clientes;

visitantes, etc

Explique o que acontece na figura!

Exemplo de acesso a configuração de dispositivo pelo AAA

Explique o que acontece na figura!

Exemplo de criação de usuário de acesso em um firewall Fortnet
com autenticação AAA
Diferenças entre protocolos AAA
Versão original

Versão CISCO
Situação Problema Prática – PfSense
Para evitar problemas com a legislação vigente, o acesso a internet dos funcionários e
visitantes da empresa precisa ter um controle de acesso com autenticação e registro da
sessão. Para isso, você precisa integrar o Firewall da empresa com o Serviço de Diretório já
existente para acesso a rede.
Situação Problema Prática – PfSense
Para evitar problemas com a legislação vigente, o acesso a internet dos funcionários e visitantes da empresa precisa ter
um controle de acesso com autenticação e registro da sessão. Para isso, você precisa integrar o Firewall/Proxy da
empresa com o Serviço de Diretório já existente para acesso a rede. Configure acesso para usuários do grupo
COORDENACAO (crie o grupo com 3 usuários no AD para testes de autenticação no acesso a internet pelo PfSense.)
Foi citado em aula os termos IEEE 802.1X, RFC 1492

Mas...o que é mesmo IEEE e RFC ????

Faça uma breve pesquisa e registre em seu caderno. Assim que

terminarem a pesquisa, o assunto será discutido em sala...
Situação problema: Você é o responsável pela especificação técnica para compra de 35
unidades de um dispositivo de rede para implantação em um cliente de médio porte. Você
encontrou vários termos se referindo a 802. Descreva brevemente o objetivo / funcionalidade de
cada padrão (escreva em seu caderno)

802.3af
 Situação Problema Prática – AAA

A empresa Épou possui 35 dispositivos, entre switches e roteadores. Por segurança, você precisa cadastrar uma nova senha em todos os
equipamentos. Ao começar as configurações, voce percebeu que o usuário e senha são configurados localmente em cada dispositivo, gerando perda
de tempo e problemas com segurança. Por ser um técnico formado pelo SENAI, você deve propor uma solução de melhoria para configuração dos
ativos de rede, agilizando o processo de administração da rede. Realize a sua proposta na prática em um dispositivo de rede (switch ou roteador). Ao
final, documente a sua proposta de melhoria, sendo que a mesma poderá fazer parte do documento do seu projeto de TCC.
Situação Problema Prática – AAA Radius

Crie um perfil para estagiários, com acesso básico na linha de comando do dispositivo.

Crie um perfil para profissionais, com acesso completo na linha de comando do dispositivo .