Your SlideShare is downloading. ×
0
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Aula 05
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Aula 05

677

Published on

Segurança da Informação 13/11/2012

Segurança da Informação 13/11/2012

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
677
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Firewall Jorge Ávila
  • 2. FIREWALL (filtro de pacotes)• Camadas de rede e de transporte da pilha TCP/IP
  • 3. FIREWALL (filtro de pacotes)• Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
  • 4. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem  É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
  • 5. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino  É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
  • 6. FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino  O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
  • 7. FIREWALL (filtro de pacotes)• Verificação do sentido do pacote – rede interna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
  • 8. FIREWALL• IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
  • 9. IP spoofing• Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
  • 10. IP spoofing• Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
  • 11. FIREWALL• Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
  • 12. FIREWALL• Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no perímetro da rede Ex:
  • 13. FIREWALL• Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
  • 14. Firewall (Filtro de pacotesbaseados em estados)• Também conhecidos como Firewalls dinâmicos ou Stateful Packet Filter• Trabalha na camada de rede e transporte• Toma decisões de filtragem com base em: ▫ Informações dos cabeçalhos dos pacotes ▫ Uma tabela de estados, que guarda o estados de todas as conexões ▫ Verifica o primeiro pacote de cada conexão – os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
  • 15. Firewall (Filtro de pacotesbaseados em estados)• Caso da “brecha” deixada pelo filtro de pacotes simples O retorno é permitido com a verificação dos pacotes de acordo com a tabela de estados do Firewall.
  • 16. Firewall (Filtro de pacotesbaseados em estados)• Timeout de conexões x Ataques de SYN flooding ▫ Adaptação do timeout para evitar ataques de negação de serviço (encher a tabela de estados)
  • 17. Firewall (Filtro de pacotesbaseados em estados)• Vantagens ▫ Aberturas apenas temporárias do perímetro da rede (conexões de retorno) ▫ Alto desempenho
  • 18. Firewall (Filtro de pacotesbaseados em estados)• Desvantagens ▫ Maior consumo de recursos de memória da máquina do Firewall (tabela de estados) ▫ Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
  • 19. Arquitetura de um Firewall• Dual-homed host• Zona Desmilitarizada (DMZ)• Bastion Host• Bastion Host + DMZ
  • 20. Arquitetura de um Firewall• Dual-homed host ▫ É um host que tem, no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
  • 21. Dual-homed host• Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
  • 22. Dual-homed host• Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual- homed host.
  • 23. Zona Desmilitarizada (DMZ)• Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
  • 24. Zona Desmilitarizada (DMZ)• A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
  • 25. Bastion Host + DMZ• Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
  • 26. Bastion Host• Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP.• Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
  • 27. Bastion Host + DMZ• Criação de uma zona desmilitarizada que hospeda o Bastion host• Maior segurança no caso do comprometimento do Bastion Host
  • 28. Avaliação de um Firewall• Fabricante / Fornecedor• Suporte técnico• Tempo para entrar em funcionamento• Logs (auditoria)• Gerenciamento - facilidade de manutenção• Desempenho• Capacitação do pessoal
  • 29. Teste Firewall• Tentar passar pelo Firewall para validar o conjunto de regras• Validação da Política de Segurança• Identificação de erros comuns• Devem ser realizados com uma determinada frequência• Quem deve fazer o teste? ▫ Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
  • 30. Problemas relacionados• Firewalls mal configurados• Implementação incorreta da política de segurança• Gerenciamento falho – controle de mudanças ▫ Usuários requisitando novos serviços (precisam ou querem?) ▫ Ignorar arquivos de logs ▫ Drible da segurança (conexões extras, etc)• Falta de atualizações
  • 31. Exercicio• Qual a importância da segmentação entre as redes de servidores públicos e a rede local?• Qual o papel do Firewall como parte da infraestrutura de segurança?• Cite exemplos onde a segmentação de rede deve ser aplicada para uma maior proteção dos ambientes corporativos.• Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?

×