• Save
Firewall
Upcoming SlideShare
Loading in...5
×
 

Firewall

on

  • 13,242 views

 

Statistics

Views

Total Views
13,242
Views on SlideShare
13,115
Embed Views
127

Actions

Likes
19
Downloads
0
Comments
6

7 Embeds 127

http://www.slideshare.net 38
http://www.cristianowebsite.blogspot.com 25
http://cristianowebsite.blogspot.com 25
http://cristianowebsite.blogspot.com.br 20
http://www.cristianowebsite.blogspot.com.br 15
http://www.linkedin.com 3
http://static.slidesharecdn.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

15 of 6 Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Firewall Firewall Presentation Transcript

  • SEGURANÇA EM SISTEMAS COMPUTACIONAIS Fabrício Leão Figueiredo Leão Fabrício José Martin José Martin Celso Júnior
  • Firewall 1. Definição e Função 2. Funcionalidades 3. A evolução técnica 4. As arquiteturas 5. O desempenho 6. O mercado 7. Avaliação do Firewall 8. Teste do Firewall 9. Problemas relacionados 10. O Firewall não é solução total de segurança
  • Definição “firewall é um ponto entre duas ou mais  redes, no qual circula todo o tráfego” (CHESWICK; BELLOVIN, 1994 apud NAKAMURA; GEUS, 2007, p.221) “firewall é um componente ou um conjunto de  componentes que restringe o acesso entre uma rede protegida e a Internet ou entre outros conjuntos de redes” (CHAPMAN, 1995 apud NAKAMURA; GEUS, 2007, p.221)
  • Definição Baseando-se nessas duas definições clássicas,  pode-se dizer que: “firewall é um ponto entre duas ou mais redes,  que pode ser um componente ou um conjunto de componentes, por onde passa todo o tráfego, permitindo que o controle, autenticação e os registros de todo o tráfego sejam realizados”
  • Definição Ponto único Rede 2 Rede 1 Firewall Um ou mais componentes Controle Autenticação de tráfego Registro
  • Função Proteger geralmente, uma rede confiável de  uma rede pública não-confiável Separar diferentes sub-redes, grupos de  trabalho ou LANs dentro de uma organização Reforçar a política de segurança no controle de  acesso entre duas redes
  • Composição O firewall é um conjunto de componentes e  funcionalidades que definem a arquitetura de segurança, utilizando uma ou mais tecnologias de filtragem: Componentes • Funcionalidades • Firewall • Arquitetura Tecnologias •
  • Funcionalidades Filtros Proxies Bastion hosts Zona desmilitarizada Funcionalidades Network address translation (NAT) do Firewall Rede privada virtual (VPN) Autenticação/certificação Balanceamento de cargas Alta disponibilidade
  • Funcionalidades Filtros – Realizam o roteamento de pacotes de  maneira seletiva Proxies – São sistemas que atuam como um  gateway entre duas redes Bastion hosts – São equipamentos em que são  instalados os serviços a serem oferecidos para a Internet Zona desmilitarizada (DMZ) – É uma rede que  fica entre uma rede interna, que deve ser protegida, e a rede externa
  • Funcionalidades Network address translation (NAT) – Responsável  pela conversão de endereços IP inválidos e reservados, em grandes redes, para válidos e roteáveis quando a rede externa é acessada Rede Privada virtual (VPN) – Utiliza conceitos de  criptografia e o IP Security (IPSec) que garantem sigilo, integridade e autenticação dos dados Autenticação/certificação – Podem ser baseadas em  endereços IP, senhas, certificados digitais, tokens, smartcards ou biometria que utilizam chaves públicas (PKI) e o Single-On (SSO)
  • Funcionalidades Balanceamento de cargas – É um mecanismo  que visa a divisão do tráfego entre dois firewalls que trabalham paralelamente na qual cada um recebe uma conexão de cada vez Alta disponibilidade – Tem como objetivo o  estabelecimento de mecanismos para manutenção dos serviços, de modo que eles estejam sempre acessíveis para os usuários
  • A evolução técnica O firewall é considerado uma tecnologia „antiga‟ na  indústria de segurança, mas ainda não pode ser definido como estável, pois continua em um constante processo de evolução Os primeiros, foram implementados em roteadores na  década de 80 Atualmente, existe uma tendência de adicionar cada  vez mais funcionalidades aos firewalls, que podem não estar relacionadas necessariamente à segurança
  • A evolução técnica As principais tecnologias de firewalls e suas  variações são: Filtro de pacotes • Filtro de pacotes baseados em estados • Proxy • Firewalls híbridos • Proxies adaptativos • Firewalls reativos • Firewalls individuais •
  • A evolução técnica Filtro de pacotes – Funciona na camada de rede e  de transporte e baseia a filtragem nas informações do cabeçalhos dos pacotes. Tem como vantagem:  Baixo overhead / alto desempenho da rede • É barato, simples e flexível • É bom para o gerenciamento de tráfego • É transparente para o usuário •
  • A evolução técnica Filtro de pacotes – As desvantagens são:  Permite a conexão direta para hosts internos de clientes • externos • É difícil gerenciar em ambientes complexos • É vulnerável a ataques como o IP spoofing, salvo se for configurado • Dificuldade de filtrar serviços que utilizam portas dinâmicas, como o RPC • Não oferece a autenticação do usuário • Deixa „brechas‟ permanentes abertas no perímetro da rede
  • A evolução técnica Filtro de pacotes  IP Cabeçalho Cabeçalho TCP UDP ICMP Cabeçalho Cabeçalho
  • A evolução técnica Filtro de pacotes baseado em estados de pacotes baseado em estados Filtro de pacotes baseado em estados Filtro trabalhando na chegada dos demais pacotes trabalhando na chegada de pacotes SYN de pacotes baseado em estados Filtro de pacotes baseado em estados Filtro trabalhando na chegada de pacotes ACK tratando os pacotes ACK
  • A evolução técnica Filtro de pacotes baseado em estados  Também conhecido como filtro de pacotes dinâmicos, baseia a filtragem tendo como referência dois elementos: As informações dos cabeçalhos dos pacotes • de dados, como no filtro de pacotes Uma tabela de estados, que guarda os • estados de todas as conexões
  • A evolução técnica Filtro de pacotes baseado em estados  Vantagens: . Abertura apenas temporária no perímetro da rede . Baixo overhead / alto desempenho da rede . Aceita quase todos os tipos de serviço Desvantagens: . Permite a conexão direta para hosts internos a partir de redes externas . Não oferece autenticação do usuário, a não ser via gateway de aplicação
  • A evolução técnica Proxy - Pode trabalhar tanto na camada de sessão ou  de transporte, quanto na camada de aplicação o que lhe dá mais controle sobre a interação entre o cliente e o servidor tipos de proxies Os
  • A evolução técnica Proxy  Vantagens: . Não permite conexões diretas entre hosts internos e externos . Aceita autenticação do usuário . Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes . Permite criar logs do tráfego e de atividades específicas
  • A evolução técnica Proxy  Desvantagens: . É mais lento que os filtros de pacotes (somente o application level gateway) . Requer um proxy específico para cada aplicação . Não trata pacotes ICMP . Não aceita todos os serviços . Requer que os clientes internos saibam sobre ele
  • A evolução técnica Proxy transparente – É um servidor proxy modificado,  que exige mudança na camada de aplicação e no Kernel do firewall - Esse tipo de proxy redireciona as sessões que passam pelo firewall para um servidor proxy local de modo transparente - Os clientes (software e usuário) não precisam saber que sua sessões são manipuladas por um proxy, de modo que suas conexões são transparentes, como se elas fossem diretas para o servidor
  • A evolução técnica Firewalls híbridos - Misturam os elementos de  três tecnologias apresentadas de modo a garantir: - A proteção dos proxies para os serviços que exigem alto grau de segurança - E a segurança do filtro de pacotes, ou do filtro de pacotes com base em estados, para os serviços em que o desempenho é o mais importante - Atualmente, a maioria dos firewalls comerciais é híbrida, aproveitando as melhores características dessas tecnologias para cada um dos serviços específicos
  • A evolução técnica Proxies adaptativos – A diferença entre o  firewall híbrido e o proxy adaptativo está na forma de usar diferentes tecnologias simultaneamente - Utiliza mecanismos de segurança em série, o que traz benefícios para nível de segurança da rede da organização - É capaz de utilizar dois mecanismos de segurança diferentes para a filtragem de um mesmo protocolo
  • A evolução técnica Proxies adaptativos – A arquitetura possui duas  características não encontradas em outros firewalls: - Monitoramento bidirecional e mecanismos de controle entre o proxy adaptativo e o filtro de pacotes baseado em estados - Controle dos pacotes que passam pelo proxy adaptativo, com habilidade de dividir o processamento do controle e dos dados entre a camada de aplicação (application level gateway) e a camada de rede (filtro de pacotes e filtro de pacotes baseado em estado) Exemplo: servidor FTP entrega duas conexões: - Tráfego de controle e transferência de dados
  • A evolução técnica Proxies adaptativos  - O mecanismo de controle bidirecional permite que o proxy adaptativo gerencie as duas conexões, de modo que, caso a conexão de controle seja encerrada, a conexão de dados também é finalizada - Um exemplo de firewall adaptativo: Gauntlet, da Network Associates Inc.
  • A evolução técnica Firewalls reativos  - Assim são chamados por alguns de seus fabricantes, devido apresentarem a integração do IDS e Sistemas de respostas - Incluem funções de detecção de intrusão e alarmes de modo que a segurança é mais ativa que pasiva - Podem policiar acessos e serviços, além de ser capaz de mudar a configuração de suas regras de filtragem de modo dinâmico, enviar mensagens aos usuários e ativar alarmes
  • A evolução técnica Firewall individual ou pessoal  - É uma das alternativas para a proteção das conexões de hosts individuais - A característica desse tipo de firewall é que ele não atua na borda da rede da organização e sim no próprio equipa- mento do usuário - Os diversos produtos atuam na camada de enlace de dados e filtram pacotes IP (TCP,UDP,ICMP etc.) - É capaz de controlar o acesso aos recursos, bloquear determinadas conexões, monitorar todo o tráfego gerado ou que chega ao sistema
  • A evolução técnica Firewall individual ou pessoal hacker pode acessar a rede da organização por meio do cliente VPN Um
  • A evolução técnica Firewall individual ou pessoal  - Gera regras de acordo com uma aplicação específica que está funcionando e cria logs de todos os acessos do sistema dependendo da especificação de cada produto - Não se deve esquecer de um vírus sempre pode reescrever essa regras - Para os usuários domésticos, a proteção de seu sistema tornou-se uma necessidade tão grande quanto a dos servidores das organizações
  • A evolução técnica A melhor tecnologia de firewall  - A questão da melhor tecnologia a ser utilizada por uma organização é relativa, pois tudo deve ser analisado de acordo com o ambiente onde o firewall deverá funcionar - A melhor tecnologia é, sem dúvida, aquela que melhor se adapta as necessidades da empresa, levando-se em consideração o grau de segurança requerido e a disponibilidade de recursos (técnicos e financeiros) para sua implantação
  • As Arquiteturas Dual Homed Host Architecture  Screened Host Architecture  Screened Subnet Architecture  Firewall Cooperativo 
  • Dual Homed Host Architecture Conectado a duas redes (2 placas de rede)  Atua como proxy:  máq interna → firewall → máq externa ou máq externa → firewall → máq interna
  • Dual Homed Host Architecture
  • Screened Host Architecture Formada por 2 elementos:   Filtro de pacotes  Bastion Host O filtro deve possuir uma regra que  obrigue o tráfego da rede interna a passar pelo bastion host (onde normalmente estão as regras de acesso)
  • Screened Host Architecture
  • Screened Subnet Architecture Melhora em relação à Screened Host Architecture ao adicionar a rede DMZ (perimeter network no desenho)
  • Screened Subnet Architecture
  • Screened Subnet Architecture Variação Inernet Bastion Host Filtro de Pacotes Externo Zona Desmilitarizada - DMZ Filtro de Pacotes ... Interno FIREWALL Rede Interna
  • Firewall Cooperativo Arquitetura onde são inseridos novos  componentes, como VPN, IDS e PKI Usuários internos tratados como usuário  externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos) Idéia de Bolsões de Segurança 
  • Firewall Cooperativo Inernet 3 Z M Concentrador D VPN Zona Desmilitarizada– DMZ 2 Zona Desmilitarizada – DMZ 1 (interna) ... ... Rede Interna
  • Desempenho Devem possuir altíssimo desempenho  Em 2003, já existiam firewalls capazes de  operar a 1 Gbps e suportando 500 mil conexões concorrentes e 25 mil túneis VPN
  • Desempenho - Considerações Software: Hardware: código do firewall  velocidade da placa de  rede sistema operacional  número de placas de pilha TCP/IP   rede quantidade de processos  tipo de barramento sendo executados  (SCSI, EISA, PCI, ...) configuração  (complexidade) velocidade da CPU  tipo de firewall  quantidade de memória 
  • Desempenho Proxy → priorizar CPU  Filtro de pacotes baseados em estados →  RAM VPN → CPU  Todos os tipos → Rede  Tendência recente → utilização de appliances Dica: tente configurar o mínimo de regras de forma a manter o firewall seguro
  • Mercado Divisões Provedores de Serviço (ISP s)  Sofisticados  Corporativo (> 1000 usuários)  Clássicos  Small and Midsize Business – SMB (50 > x > 1000  usuários) Vários funcionalidades integradas (proxy/cache, anti-  vírus, ...) Small Office Home Office – SOHO (< 50 usuários)  Múltiplos produtos integrados (firewall, servidor web, ...) 
  • Avaliação do Firewall O melhor produto é o que garante que a sua política de segurança possa ser bem implementada e que melhor se ajuste à experiência e capacidade do profissional responsável.
  • Avaliação do Firewall Aspectos:  Fabricante/Fornecedor – Deve ser fabricado por empresa sólida e conhecida.  Suporte Técnico – Existe? Quanto custa?  Tempo – Necessário para que a solução esteja funcionando.  Projeto – defesa contra ataques clássicos, interações com hardware e outras soluções (IDS/IPS, ...)
  • Avaliação do Firewall Aspectos (cont.):  Logs – Quem fará a análise, onde guardar, por quanto tempo, ferramenta de análise, ...  Desempenho  Gerenciamento – Facilidade de configuração, de analise dos logs, envio de alertas, criptografia, ...  Teste – Desempenho, furos de conf → scanner de vulnerabilidades, ...  Capacitação do pessoal
  • Teste do Firewall Verificar se a política de segurança foi bem desenvolvida, se foi implementada de modo correto e se o firewall realiza aquilo que declarava realizar.
  • Teste do Firewall Etapas de um teste de firewall: Coleta de informações indiretas  via mecanismos de busca, DNS, whois, ...  Coleta de informações diretas  firewalking, envio de e-mails e leitura de cabeçalho, port  scanning, ... Ataques externos (“penetration test”)  scanning de vulnerabilidades, ...  Ataques Internos  verificar se a rede interna pode realizar ataques à rede externa 
  • Teste do Firewall Devem ser feitos com freqüência  Por quem?  Funcionários  Hackers  Revendedores  Empresa especializada 
  • Problemas Relacionados Principais causas: Instalações de firewalls mal configuradas  Implementação incorreta da política de segurança  Gerenciamento falho  Falta de atualizações 
  • Problemas Relacionados Conf. e Gerenc. – Equívocos comuns: Liberar novos serviços pq os usuários dizem que  precisam deles Desvincular a rede VPN do Firewall  Concentrar esforços no firewall e ignorar outras  medidas de segurança Ignorar arquivos de logs  Desligar mensagens de alerta 
  • Problemas Relacionados Conf. e Gerenc. – Equívocos comuns (cont.): Adicionar contas de usuários no firewall  Permitir que diversas pessoas administrem o  firewall Presença de modems (atrás do firewall → war  dialing) Driblar a segurança do firewall e utilizar uma  política própria (facilitar a vida do adm) Não ter uma política de segurança 
  • O Firewall não é a Solução Total de Segurança Apenas 1ª linha de defesa  Geram falsa sensação de  proteção
  • CONCLUSÃO Apesar de não ser a solução de todos os problemas de • segurança o firewall é um componente essencial em uma organização, ao atuar na borda de sua rede, protegendo-a contra ataque e acessos indevidos. E essencial entender seu funcionamento e planejar bem a política de segurança, nunca esquecendo de não comprometer o trabalho e as funcionalidades dos serviços sabendo dosar segurança com funcionalidade. Hoje o mais importante de tudo, para uma segurança • efetiva é não apenas permitir ou negar mais sim, ter uma controle efetivo sobre os usuários, verificando o que cada um pode acessar na rede, seus níveis de acesso, serviços e se eles estão fazendo aquilo que lhes foi explicitamente permitido.
  • O firewall Cooperativo hoje