Aula 05
Upcoming SlideShare
Loading in...5
×
 

Aula 05

on

  • 1,000 views

Segurança da Informação 13/11/2012

Segurança da Informação 13/11/2012

Statistics

Views

Total Views
1,000
Views on SlideShare
751
Embed Views
249

Actions

Likes
0
Downloads
30
Comments
0

1 Embed 249

http://jorgeavila11.wordpress.com 249

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Aula 05 Aula 05 Presentation Transcript

  • Firewall Jorge Ávila
  • FIREWALL (filtro de pacotes)• Camadas de rede e de transporte da pilha TCP/IP
  • FIREWALL (filtro de pacotes)• Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
  • FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem  É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
  • FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino  É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
  • FIREWALL (filtro de pacotes)• Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino  O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
  • FIREWALL (filtro de pacotes)• Verificação do sentido do pacote – rede interna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
  • FIREWALL• IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
  • IP spoofing• Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
  • IP spoofing• Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
  • FIREWALL• Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
  • FIREWALL• Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no perímetro da rede Ex:
  • FIREWALL• Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
  • Firewall (Filtro de pacotesbaseados em estados)• Também conhecidos como Firewalls dinâmicos ou Stateful Packet Filter• Trabalha na camada de rede e transporte• Toma decisões de filtragem com base em: ▫ Informações dos cabeçalhos dos pacotes ▫ Uma tabela de estados, que guarda o estados de todas as conexões ▫ Verifica o primeiro pacote de cada conexão – os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
  • Firewall (Filtro de pacotesbaseados em estados)• Caso da “brecha” deixada pelo filtro de pacotes simples O retorno é permitido com a verificação dos pacotes de acordo com a tabela de estados do Firewall.
  • Firewall (Filtro de pacotesbaseados em estados)• Timeout de conexões x Ataques de SYN flooding ▫ Adaptação do timeout para evitar ataques de negação de serviço (encher a tabela de estados)
  • Firewall (Filtro de pacotesbaseados em estados)• Vantagens ▫ Aberturas apenas temporárias do perímetro da rede (conexões de retorno) ▫ Alto desempenho
  • Firewall (Filtro de pacotesbaseados em estados)• Desvantagens ▫ Maior consumo de recursos de memória da máquina do Firewall (tabela de estados) ▫ Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
  • Arquitetura de um Firewall• Dual-homed host• Zona Desmilitarizada (DMZ)• Bastion Host• Bastion Host + DMZ
  • Arquitetura de um Firewall• Dual-homed host ▫ É um host que tem, no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
  • Dual-homed host• Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
  • Dual-homed host• Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual- homed host.
  • Zona Desmilitarizada (DMZ)• Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
  • Zona Desmilitarizada (DMZ)• A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
  • Bastion Host + DMZ• Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
  • Bastion Host• Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP.• Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
  • Bastion Host + DMZ• Criação de uma zona desmilitarizada que hospeda o Bastion host• Maior segurança no caso do comprometimento do Bastion Host
  • Avaliação de um Firewall• Fabricante / Fornecedor• Suporte técnico• Tempo para entrar em funcionamento• Logs (auditoria)• Gerenciamento - facilidade de manutenção• Desempenho• Capacitação do pessoal
  • Teste Firewall• Tentar passar pelo Firewall para validar o conjunto de regras• Validação da Política de Segurança• Identificação de erros comuns• Devem ser realizados com uma determinada frequência• Quem deve fazer o teste? ▫ Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
  • Problemas relacionados• Firewalls mal configurados• Implementação incorreta da política de segurança• Gerenciamento falho – controle de mudanças ▫ Usuários requisitando novos serviços (precisam ou querem?) ▫ Ignorar arquivos de logs ▫ Drible da segurança (conexões extras, etc)• Falta de atualizações
  • Exercicio• Qual a importância da segmentação entre as redes de servidores públicos e a rede local?• Qual o papel do Firewall como parte da infraestrutura de segurança?• Cite exemplos onde a segmentação de rede deve ser aplicada para uma maior proteção dos ambientes corporativos.• Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?