Firewalls

um dos principais, mais conhecidos e

antigos componentes de segurana

Contribui

as

expectativa

vezes
quanto

para
a

uma

falsa

segurana

organizao.
2

da

um ponto entre duas ou mais redes, onde

circula

todo

trfego,

permitindo

que

controle, a autenticao e os registros de

todo o trfego sejam realizados.

um

componente

ou

um

conjunto

de

componentes que restringe o acesso entre

uma rede protegida e a Internet, ou entre um
3

Firewall

um sistema integrado, utilizado em

redes de computadores para a sua proteo.

Tal

sistema composto por filtros de pacotes,

filtros de estados, IDS, IPS, proxies etc.

Assim

sendo, errado, por exemplo, dizer que

uma mquina rodando Iptables o firewall de

uma rede.
4

Podem

ser

definidos

como

barreiras

interpostas entre a rede privada e a rede

externa com a finalidade de evitar intrusos
(ataques).
So

mecanismos (dispositivos) de segurana

que protegem os recursos de hardware e

software da empresa dos perigos (ameaas)
5

aos quais o sistema est exposto.

Um

Firewall tambm pode ser utilizado para

separar as LANs dentro de uma mesma

organizao.
Um

Firewall implementado com base na

poltica de segurana (o que proteger????).

Quando se est construindo um firewall, a primeira coisa

com que se preocupar com o que proteger.
1.Dados
Confidencialidade;
Integridade; e
Disponibilidade.
2.Recursos
Evitar danos lgicos aos equipamentos;
Evitar a utilizao dos recursos da empresa (roubo
de CPU);
3.A reputao da empresa - fundamental para o
8

negcio da empresa.

Para que serve??

1.

Restringe o acesso de usurios externos a

rede interna. A verificao realizada
cuidadosamente,

via

um

ponto

de

controle;
2.

Previne contra ataques; e

3.

Restringe que usurios internos da rede

9

tenham acesso a Internet e sites no

10

Funcionalidades dos Firewalls

1.Bsicas
Filtro

de pacotes

Proxies
Zonas

Desmilitarizadas (DMZ)

2.Estendidas
NAT
Rede

Privada Virtual VPN

Autenticao

/ Certificao
11

O FW tambm faz

1.

Roteiam pacotes entre mquinas internas e

externas de forma seletiva.

2.

As regras de filtragem baseiam-se na poltica

de segurana.

3.

Acarreta num overhead no sistema.

4.

Toma decises baseado nos cabealhos das

camadas 3 e 4 e na tabela de estados das
conexes.

12

5.

Age como um gateway entre duas redes;

6.

Pode trabalhar na camada de aplicao,

recebendo de clientes as requisies de
servios Internet (HTTP, FTP, etc), analisandoas e redirecionando estas requisies; e

7.

Substitui as conexes diretas entre clientes e

servidores (mascaramento do cliente e de sua
13

rede).

Perimeter

network

DMZ (De-Militarized

Zone)

a rede colocada entre a rede protegida e a

rede externa;
Possui

objetivo

de

acrescentar

camada de segurana.
14

uma

15

Screened subnets independentes - apropriada

em redes com uma forte necessidade de
redundncia

16

Firewalls Internos - proteger as partes da rede

interna de outras partes

17

NAT

Admite que uma rede utilize um conjunto de

endereos internos e um conjunto diferente de
endereos

quando

negociando

com

externas.

18

redes

Quando

uma mquina da rede interna envia

um pacote para fora da rede, o NAT modifica o

seu endereo de origem, de forma que o pacote
parea ter vindo de um endereo vlido para a
internet.
Quando

uma mquina externa envia um pacote

para dentro da rede, o NAT modifica o endereo

19

de

destino,

visvel

externamente,

em

um

1 0 .4 2 .6 .9

1 9 2 .1 2 3 .2 .5

c lie n te 1
NAT
S e r v id o r
1 9 2 .1 2 3 .2 .1 9
1 0 .4 2 .7 .1
c lie n te 2

20

Vantagens de se utilizar o NAT:

1.Ajuda a melhorar o controle do firewall
sobre as coneces externas.
2.Ajuda a restringir o trfego que chega na
rede, proveniente da rede externa.
3.Ajuda a ocultar a configurao da rede
interna.

Desvantagens de se utilizar o NAT:

1.Pode interferir com sistemas de criptografia
e autenticao.
21

Alguns tipos de NAT

1.

1:1 - aloca um endereo externo para cada

endereo interno.

2.

1:N

alocar

de

forma

dinmica

um

endereo externo a cada vez que uma

mquina interna inicia uma conexo, sem
modificar o nmero das portas.
3.

N:1 - Criar um mapeamento entre os

endereos internos e os endereos
externos.

22

Tecnologias de Firewalls

23

1.

Filtro de Pacotes;

2.

Filtro de Pacotes com Estado;

3.

Servidores Proxy.

4.

Next Generation Firewall (NGFW)

24

Os firewalls trabalham com duas tecnologias

quanto ao contexto de seus dispositivos:
1. Filtro de pacotes
2. Filtro com base no estado de conexo.

25

Filtro de Pacotes
O filtro de pacotes realiza um controle efetivo
do fluxo de dados de um segmento de
rede, habilitando ou no o bloqueio de pacotes
com base em regras especificadas via:
1.

Endereos IP

2.

Protocolos (portas)

3.

Tratamento do incio da conexo (tcp syn).

26

A figura abaixo posiciona o filtro de pacotes no

contexto do modelo OSI.

27

1.
2.
3.
4.
5.
6.

Filtrar = peneirar, separar

Funciona na camada de rede e de transporte
Controle do trfego que entra e sai
Transparente aos usurios
As regras so estticas - static packet filter
As regras dos filtros contm:
a) Endereo IP de origem
b) Endereo IP de destino
c) Protocolos TCP, UDP, ICMP
d) Portas TCP ou UDP origem
e) Portas TCP ou UDP destino
f) Tipo de mensagem ICMP
28

Filtragem por adaptador de rede vantagem ao

administrador.
Principais problemas do filtro:
1.

IP

Spoofing

(no

distingue

pacotes

verdadeiros ou falsificados)
2.

Servio troca de porta

3.

Filtros de pacotes no tratam payload da

camada de aplicao
29

Filtragem

= atraso no roteamento.

Problemas

com os pacotes fragmentados

anlise apenas do primeiro pode trazer

problemas.
No

oferece autenticao do usurio.

30

Regra esttica e brecha

Soluo: filtro de pacotes baseado em estados
Regra

End. de Origem: Porta de

Origem

End. de Destino: Porta de

Destino

Ao

IP da rede interna: porta

alta

Qualquer endereo: 80

Permitir

Qualquer endereo:80

IP da rede Interna: porta

alta

Permitir

Qualquer endereo:
qualquer porta

Qualquer endereo:
qualquer porta

Negar

31

Os filtros de pacotes simples tambm so

chamados de

STATELESS FIREWALL.
Eles tratam cada pacote de forma isolada
Eles no guardam o estado da conexo e no
sabem se o pacote faz parte de uma conexo
feita anteriormente.

32

Filtro de Pacotes Sem Estado

1. Alta

vazo

2. Baixo
3. Abre

Overhead

brechas permanentes no permetro

da rede
4. No

oferece autenticao

33

Filtro de Pacote Baseado em Estados

1.Realiza as mesmas funcionalidades do filtro
de pacotes, mas tambm pode manter o estado
das conexes por meio de mquinas de estado.
2.Este tipo de firewall tambm possibilita o
bloqueio de varreduras, controle efetivo de
fluxo de dados e tratamento do cabealho TCP e
verificar os campos do datagrama com o
objetivo de verificar possveis ataques.
34

Tambm so chamados de filtro de pacotes dinmicos.

Tomam decises tendo como referncia dois

elementos:
1.

As informaes dos cabealhos

2.

Uma tabela de estados, que guarda o estado de

todas as conexes

35

36

1.

O firewall verifica somente o primeiro pacote de cada

conexo, de acordo com as regras de filtragem

2.

A tabela de conexes ganha uma nova entrada

quando o pacote inicial aceito, e os demais pacotes
so filtrados utilizando-se as informaes da tabela
de estados.

3.

O estado das conexes monitorado a todo instante.

4.

Isso permite que a ao do firewall seja definida de

acordo

com

estado

de

conexes

mantidas em sua tabela de estados.

37

anteriores

1.

Armazenar em memria vrios atributos de uma

conexo: endereamento IP, portas envolvidas,
nmeros de seqncia, entre outros.

2.

Usa-se mais CPU para avaliar o primeiro segmento. Os

demais so rapidamente processados.

3.

O filtro de pacotes ir se perguntar:

Este

pacote
estabelecida?

4.

pertence

uma

conexo

pr-

O filtro de pacotes no guarda as informaes sobre a

conexo para sempre (ela tem um fim)
Normal

ou por timeout
38

Por que um filtro com estado protege

contra

ataques

DoS

do

tipo

Flooding?

39

SYN

Funcionamento do Filtro de Pacote

Baseado em Estados
1.

Quando um cliente inicia a conexo TCP usando um

pacote SYN, ele comparado com as regras do
firewall, na ordem seqencial da tabela de regras

2.

Se o pacote for aceito, a sesso inserida na tabela

de estados do firewall, que est na memria principal

3.

Para os demais pacotes, se a sesso estiver na tabela

e o pacote fizer parte dessa sesso, ele ser aceito

4.

Se os pacotes no forem incio de conexo e no

houver uma sesso correspondente, eles sero
40

descartados

O desempenho do sistema melhora, pois apenas os

pacotes SYN so comparados com a tabela de regras do
filtro de pacotes, e os pacotes restantes so comparados
com a tabela de estados (torna o processo mais rpido)

Na verdade, a tabela de regras tambm fica na

memria. Mas ento, por que o desempenho melhora ?

Resposta: o conjunto de regras do filtro de pacotes

com estado menor quando comparado aos filtros
tradicionais; a busca na tabela de estados no
seqencial (funciona por meio de indexao hash)
41

Filtro de Pacote Baseado em Estados

Regra End. de Origem: Porta End. de Destino: Porta

de Origem
de Destino

Ao

IP da rede interna: porta

alta

Qualquer endereo: 80

Permitir

Qualquer endereo:
qualquer porta

Qualquer endereo:
qualquer porta

Negar

42

Duas coisas podem acontecer com o pacote que

no incio de conexo:
1.

verificado se existe uma sesso prvia

que permite o pacote (tabela de estados).

Se no existir, bloqueia total
2. Se

no existir uma sesso prvia, passa a

comparar o pacote com as regras do firewall

43

 Filtragem

de datagramas UDP:

1.

O UDP no utiliza o conceito de conexo

2.

No faz distino entre uma requisio e

uma resposta

filtro de pacotes com estado armazena

dados de contexto de uma comunicao UDP.

Assim, ele pode manter uma conexo virtual
e, quando um pacote entrar na rede, ele
verificado de acordo com a tabela de estados
44

45

Next Generation Firewall - NGF

46

1.

Firewalls de prxima gerao j existem h vrios

anos.

2.

Caso em questo: o trfego da Internet de todas as

formas e tamanhos atravessa a porta 80. Ou seja, a
porta 80 deve permanecer aberta.

3.

Ento, a porta 80 se torna a sua estrada de

malwares privada. E cdigos maliciosos podem ter
acesso.

4.

Next Generation FireWalls (NGFW) so Firewalls

concebidos para filtrar pacotes com base em
aplicativos. Para continuar a minha analogia, os
47

caminhes carregados com cdigos maliciosos no

Outras caractersticas incorporadas em NGFWs:

1.Impor regulamentos da empresa: NGFWs so capazes
de controlar o acesso do usurio a sites e aplicativos
online, conforme necessrio.
2.Proxy SSL: NGFWs so capazes de decifrar,
inspecionar
e
re-estabelecer
a
conexo
SSL
criptografada. Isso elimina a encriptao como um
mtodo de esconder malware.
3.IDS / IPS: NGFWs incorporaram profunda de pacotes
de inspeo para o ponto onde ficar sozinho IDS / IPS
dispositivos no so necessrios.
4.O Active Directory amigvel: Muitos NGFWs so
capazes de autorizar o uso do aplicativo com base em
perfis ou grupos de usurios individuais.
5.Filtragem de Malware: NGFWs fornecer assinatura e
filtragem baseada em reputao para bloquear
48

49

Servidores Proxy
Assumem as requisies dos usurios de uma rede.
Atuam em nome do cliente como um procurador
(agem como um gateway).
No permitem que pacotes passem diretamente
entre cliente e servidor.
Possibilita o mascaramento do cliente e de sua rede,
porque o servidor Internet no estabelecer a conexo
direta com o cliente e sim com o proxy.
Podem registrar o trfego (estatsticas).

50

Os proxies, alm de torna a rede mais

segura, pode tambm torn-la com maior
desempenho (uso de cache de informaes caso mltiplas mquinas solicitem o mesmo
dado, este poder estar disponvel no proxy,
reduzindo o trfego na rede em virtude da
reduo do nmero de coneces solicitadas.
51

In te rn e t
S e r v id o r In t e r n e t

F ir e w a ll
S e r v id o r P r o x y

R e d e In t e r n a

C lie n t e p r o x y
52

Os proxies podem atuar:

Na camada de sesso ou de transporte (circuit
level gateway)
Na camada de aplicao (application level
gateway)

Pode filtrar o payload dos pacotes

53

54

Mtodos de utilizao:
Mtodo da Conexo Direta (usurio se
conecta ao proxy);
Mtodo de proxy de autenticao;
Mtodo do Proxy Invisvel (transparente).

55

Vantagens de utilizao do proxy:

No permite a conexo direta entre hosts
internos e hosts externos;
Aceita a autenticao de usurio;
Pode verificar o payload da camada 7;
Permite criar logs de trfego e atividades
especficas.
56

Desvantagens do proxy:
Cada servio pode possuir o seu servidor
proxy;
Existem alguns servios inviveis (VoIP);
mais lento que os filtros de pacotes.

57

HTTP Proxy
Iluso do Usurio

www.site.com

58

Exemplo de uma requisio HTTP sem proxy:

1. O cliente realiza a requisio HTTP.
2. O servidor faz uso somente do path e a "poro
chave" da URL requisitada.
3. O tipo do protocolo "http:" e o nome do servidor so
claros para o servidor HTTP remoto.
4. O path requisitado especifica um documento no
sistema de arquivos local do servidor; ou ainda
algum outro recurso disponvel daquele servidor.
Requisio do usurio:
http://www.teste.com.br/segura/firewall/proxy.html
59

O browser converte para:

GET / segura/firewall/proxy.html

Requisio Normal
cliente

GET / segura/f ir ew all/

proxy.htm l
docum ento

servidor
HTTP

60

Exemplo de uma requisio HTTP com proxy:

1. O cliente realiza a requisio HTTP com proxy.
2. O cliente especifica toda a URL para o proxy, Com
isso, o proxy possui todas as informaes
necessrias para realizar a requisio ao servidor
remoto especificado na URL.
Requisio do usurio:
http://www.teste.com.br/segura/firewall/proxy.html
O browser converte para:
GET http://www.teste.com.br/segura/firewall/proxy.html
O browser se conecta ao servidor.
61

O proxy realiza a conexo com o servidor

Internet, convertendo a requisio para:
GET / segura/firewall/proxy.html

62

Firewalls Hbridos
Misturam os elementos das tecnologias
apresentadas anteriormente.
Proteo dos proxies para servios que
exigem alto grau de segurana.
Filtro de pacotes (com/sem estado) para
servios em que o desempenho o mais
importante.
A maioria dos firewalls comerciais hbrida.
63

64

Firewalls Adaptativos

Usa diferentes tecnologias simultaneamente

Representa uma maior segurana

Pode utilizar dois mecanismos de segurana diferentes para a filtragem de

um mesmo protocolo (ex: FTP a conexo de controle verificada

pelo proxy e a conexo de dados verificada pelo filtro de pacotes

com estado)

65

Firewalls Reativos
Integrao

com IDS e sistema de respostas

sistema de deteco de intruso

A

segurana torna-se mais ativa do que

passiva
Muda

sua configurao de modo

dinmico

66

Firewalls Individuais ou Pessoais

Proteo de hosts individuais

NO atua na borda da rede, mas no prprio

equipamento do usurio

Pode criar muitos logs

Software que filtra o trfego que entra ou sai de um

computador ou estao

Ele faz oposio ao firewall de rede, que normalmente

um dispositivo dedicado posicionado na borda da rede
67

Firewall Appliances

Juniper
Cisco

Networks

PIX, ASA

Check

Point Firewall

Aker

68