Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana de Sistemas
Guilherme Bertoni Machado
Faculdades SENAC Anlise e Desenvolvimento de Sistemas Gentilmente cedido pelo professor Hunder Everto Correa Junior
16 de novembro de 2009
Segurana de Sistemas
Firewalls
Firewall
Um sistema de Firewall pode ser denido como um dispositivo que combina software e hardware para segmentar e controlar o acesso entre redes de computadores distintas. Os sistemas de rewall so a primeira barreira contra os possveis atacantes de um sistema computacional ou rede de computadores, devido a seu histrico de utilizao e eccia no cumprimento de sua funo.
Segurana de Sistemas
Firewalls
Firewall
Dispositivo de hardware ou software designado para controlar o trfego de entrada e sada em uma rede de computadores; Comumente utilizado para preveno de ataques; Protege grandes intervalos de endereos IP contra rastreamentos e ataques de uma maneira geral; Capaz de bloquear ataques s mquinas mesmo que estejam vulnerveis.
Segurana de Sistemas
Firewalls
Forar a poltica de segurana Registrar todo trfego Limitar riscos Um rewall um foco de decises informaes teis de usurios desavisados Proteger contra pessoas internas Proteger contra conexes que no passam por ele Proteger completamente contra novos caminhos
Segurana de Sistemas
Firewalls
Uso do Firewall
Um cenrio tpico de emprego proveitoso de um rewall representado pela situao de uma empresa cujas atividades envolvem tanto a disponibilidade de dados e servios a usurios externos atravs da Internet quanto o fornecimento de acesso controlado Internet e a outras redes remotas para os usurios de sua rede interna.
Segurana de Sistemas
Firewalls
Uso do Firewall
A modalidade mais simples de rewall seria constituda de um computador dotado de duas interfaces de rede, uma delas conectada rede interna ou segura e outra conectada rede externa ou insegura.
Segurana de Sistemas
Firewalls
Tipos de Firewall
Os tipos de sistemas de Firewall disponveis no mercado esto baseados nos requisitos de segurana que os mesmos atendem, funcionalidades e avanos tecnolgicos agregados. Embora em uso no mercado h bastante tempo, os rewalls esto sempre evoluindo.
Segurana de Sistemas
Firewalls
Filtragem de pacotes
Uma implementao simples de rewall construda sobre um roteador capaz de examinar os parmetros presentes nos cabealhos dos pacotes que recebe e, baseado em regras preestabelecidas, decidir pelo encaminhamento desse pacote rede de destino, interna ou externa, ou pela eliminao do pacote. As regras observadas por um roteador de ltragem de pacotes baseiam-se em informaes que podem ser obtidas a partir dos cabealhos dos pacotes recebidos.
Segurana de Sistemas
Firewalls
Filtro de Pacotes
Conhecidos por Static packet ltering, devido utilizao de regras estatcas para ltragem de pacotes, so o tipo de rewall mais simples, sendo fcil e barato de serem implementados. A anlise feita est baseada nas camadas de redes e de transporte da pilha TCP/IP, portanto as informaes vericadas so o endereo de origem, o endereo de destino e o servio requerido (porta de origem e porta de destino), que constam dos cabealhos dos pacotes que transmitem pelo rewall.
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Normalmente este tipo de rewall possui um melhor desempenho em relao aos outros tipos existentes, justamente pela anlise simples, fcil e rpida, fato que contribui para que estes fossem incorporados a alguns roteadores.
Segurana de Sistemas
Firewalls
Vantagens
Segurana de Sistemas
Firewalls
Desvantagens
No possui autenticao de usurios; Impossibilidade de bloqueio de ataques que exploram servios das camadas superiores (acima da camada de transporte) da pilha TCP/IP; Permite conexo direta entre hosts internos e externos; Diculdade em ltrar servios que utilizam portas dinmicas como a RPC.
Segurana de Sistemas
Firewalls
A grande diferena entre o ltro de pacotes e o ltro de pacotes baseado em estados reside no fato de que agora as conexes so monitoradas a todo instante, signicando que os pacotes s podem passar pelo rewall se zerem parte de uma sesso registrada na tabela de estados, caso contrrio, o pacote descartado.
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Como o rewall consegue monitorar as conexes, ele submete apenas o pacote SYN, pacote para inicio de conexo TCP, s regras de ltragem,e caso o pacote seja aceito, permite que os pacotes seguintes sejam vericados atravs da tabela de estados. Os pacotes UDP no utilizam o conceito de conexo, portanto o ltro de pacotes baseado em estados armazena informaes de contexto para que se possa manter uma conexo virtual, podendo assim vericar quais pacotes fazem parte da mesma.
Segurana de Sistemas
Firewalls
Proxy Services
Proxy = Procurador Funcionam em nvel de aplicao
Aplication Level Gateways HTTP FTP
Segurana de Sistemas
Firewalls
Proxy Services
De forma a no permitir conexes diretas entre um host cliente e um servidor externo, os proxies fazem a intermediao entre eles, onde o cliente se conecta a uma porta TCP no rewall e este abre uma conexo com o servidor externo. Este tipo de rewall trabalha nas camadas de sesso ou transporte, que o caso dos chamados circuit level gateway, ou na camada de aplicao, que so conhecidos como application level gateway.
Segurana de Sistemas
Firewalls
Funcionamento do Proxy
Segurana de Sistemas
Firewalls
Proxy Services
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Operao
altera dados do pacote
normalmente endereo e porta de origem em alguns casos endereo e porta de destino (Destination NAT)
Segurana de Sistemas
Firewalls
Vantagens
ajuda a reforar o controle do rewall
os endereos internos no funcionam na rede externa, assim, qualquer conexo de dentro para fora depende de auxlio do rewall somente pacotes relativos s conexes iniciadas internamente conseguem vir da rede externa
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Segurana de Sistemas
Firewalls
Desvantagens
o NAT altera dados do pacote, isso pode interferir em alguns protocolos, pode dicultar o registro (log) de atividades e pode ainda interferir na ltragem de pacotes maior carga no equipamento
Segurana de Sistemas
Firewalls
Firewalls Hbridos
Os Firewalls Hbridos fazem uso das tecnologias de rewalls de ltro de pacotes, ltro de pacotes com base em estados e proxies em conjunto, fornecendo maior proteo e melhor desempenho. Este tipo de rewall capaz de alternar entre os tipos de vericao disponveis, de forma a prover uma vericao no nvel da aplicao (como o caso do FTP) atravs da utilizao de proxy, ou para prover uma vericao mais rpida, mas no menos eciente, para servios mais simples como o Telnet.
Segurana de Sistemas
Firewalls
Firewalls Reativos
Contando com outras tecnologias, tais como deteco de intruso e disparo de alarmes, os rewalls reativos so uma evoluo dos rewalls convencionais, pois agregam tecnologia de outros dispositivos, como a dos sistemas de deteco de intruso e sistemas de alarmes. A grande vantagem destes dispositivos reside na capacidade de mudar as prprias conguraes de forma dinmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudana. Apesar de conseguir identicar e corrigir uma maior quantidade de problemas de segurana, o rewall reativo incorpora as desvantagens das outras tecnologias que passou a utilizar, como por exemplo, certa vulnerabilidade a de ataques de DoS.
Segurana de Sistemas
Firewalls
Firewalls Pessoais
Diferentemente dos tipos de rewall descritos anteriormente, os rewalls pessoais ou individuais no protegem um segmento de rede, mas sim o equipamento onde eles esto instalados, ou seja, provm proteo individual. Normalmente estes tipos de rewalls so utilizados para proteger hosts que no fazem parte de uma rede especca, mas que utilizam um canal de comunicao como para a internet para acess-la. A grande vantagem destes dispositivos reside na capacidade de mudar as prprias conguraes de forma dinmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudana.
Segurana de Sistemas
Firewalls
Arquiteturas de Firewall
So muitas as possibilidades de implementar um Firewall, com relao a sua disposio na rede e aos equipamentos que so protegidos, chamamos de arquitetura de Firewall. Conceitos Especcos:
DMZ: Ou zona Desmilitarizada, a rea que ca entre uma rede interna (rede a ser protgida) e a rede externa; Bastion Hosts: Os servidores disponveis nos bastion host so denominados de proxy servers; ou seja, servidores por procurao que atuam como intermedirios entre o cliente e o servidor.
Segurana de Sistemas
Firewalls
Tipos de Arquiteturas
Dual-homed host: trata-se de um computador com duas interfaces de rede conectadas cada uma a segmentos diferentes de rede. Uma das caractersticas fundamentais dessa congurao que o roteamento direto (IP forwarding) desabilitado e, portanto, todo o roteamento realizado a nvel de aplicao. Neste caso, todos os servios segurados podem ser fornecidos via procurao (proxy servers) e somente o trfego referente aos servios habilitados via proxy e aqueles especicados pelas regras de ltragem circulam entre os dois segmentos de rede conectados ao bastion host.
Segurana de Sistemas
Firewalls
Dual-homed host
Segurana de Sistemas
Firewalls
Tipos de Arquiteturas
Screened Host: Esta arquitetura utiliza, alm de um rewall do tipo ltro de pacotes, um bastion host que pode funcionar como um proxy, exigindo que os hosts internos acessem a rede externa atravs dele.
Segurana de Sistemas
Firewalls
Tipos de Arquiteturas
Screened Subnet: Considerada a mais segura, utiliza uma DMZ que abriga o bastion host. O Bastion Host ca connado na DMZ que isolada por dois Firewalls.
Segurana de Sistemas
Firewalls
Bibliograa
Segurana de Sistemas