g_Firewall

Propaganda
Firewall
1
Firewall
Firewall pode ser definido como uma barreira de proteção,
que controla o tráfego de dados entre duas ou mais redes.
Seu objetivo é permitir somente a transmissão e a
recepção de dados autorizados.
 Atua como "defesa" de uma rede ou computador, controlando
o acesso ao sistema por meio de regras e a filtragem de
dados.
O Firewall é um dos principais componentes de segurança
de qualquer organização.
2
Firewall
Um firewall pode ser um software, um hardware ou a
combinação de ambos.
3
Porque utilizar um Firewall?
As 3 principais razões para se usar um firewall:
 o firewall pode ser usado para impedir que sua rede seja
invadida.
 o firewall é um grande aliado no combate a vírus e Trojans,
já que ele pode bloquear portas usadas pelas "pragas
digitais“. (Cuidado, nem sempre evita vírus, ou garante
proteção contra vírus.)
 em redes corporativas, é possível evitar que os usuários
acessem serviços ou sites indevidos.
4
Porque utilizar um Firewall?
Se você ainda pensa que sua empresa é pequena ou que
você não tem nada para proteger....... Você errou!
 Dados perdidos: se sua empresa ou você perdesse todos
os dados, custaria dinheiro para re-criar tudo?
 Responsabilidade vertical: um invasor tomar o controle de
seu computador e usá-lo para atacar um terceiro.
5
Firewall pessoal
Esses tipos de firewalls estão disponíveis para (ou
incluídos com) a maioria dos Sistemas Operacionais.
6
Firewall tudo-em-um
Este tipo de firewall é muito utilizado por assinantes de
Internet banda larga, que possuem em um único
dispositivo as funcionalidades de:
 Roteador, switch Ethernet, Access Point e Firewall
7
Firewall baseado em Hardware
Firewalls como os da Cisco, 3COM, Alcatel são
projetados para grandes organizações, com milhares de
usuários.
 Estes equipamentos poder ser capazes de tratar até
500.000 conexões simultâneas.
 Os preços variam, de acordo com a necessidade da
empresa.... R$4.000,00 a R$ 72.000,00.
8
Firewall baseado em Hardware
Proporciona uma forte segurança sem impactar o
desempenho da rede.
9
Firewall
A arquitetura do Firewall utiliza componentes como
roteadores, filtros, proxies, DMZ, Bastion Hosts, NAT ...
10
Proxies
Proxies são sistemas que atuam como um gateway entre
duas redes, permitindo as requisições dos usuários
internos e as respostas dessas requisições.
Eles podem também realizar uma filtragem mais apurada
dos pacotes, por atuar na camada de aplicação.
 Quando um cliente faz uma requisição, o web proxy
verifica se o cliente possui permissão para acesso àquela
página.
 Se tiver, procede da forma tradicional, porém se o cliente
for proibido, ele recebe uma página de alerta.
11
Proxies
Outra definição: Proxy é um servidor que atende a
requisições repassando os dados a outros servidores.
 Um usuário conecta-se a um servidor proxy, requisitando
algum serviço, como um arquivo, conexão, website, ou
outro recurso disponível em outro servidor.
12
Web Proxy
O Proxy pode também aumentar em até 500% a performance
de seu acesso aos recursos de WWW, FTP e outros.
Na próxima requisição a sensação do usuário é uma
enorme velocidade.
Rede com proxy na 1ª requisição à um recurso na internet
13
Proxy Transparente
Um proxy transparente é um método para obrigar os
usuários de uma rede a utilizarem o proxy.
 Esse tipo de proxy redireciona os pacotes que passam
pelo firewall para um servidor proxy local de modo
transparente.
Além das características de caching dos proxies
convencionais, eles podem impor políticas de utilização.
14
Proxies
Vantagens:
 Não permite conexões diretas entre hosts internos e externos;
 Aceita autenticação do usuário;
 Analisa o conteúdo dos pacotes de dados, ao contrário do
filtro de pacotes;
 Permite criar logs do tráfego e de atividades específicas.
Desvantagens:
 É mais lento do que os filtros de pacotes;
 Não trata pacotes ICMP.
15
Filtro de pacotes
Filtro de pacotes corresponde a um conjunto de regras
que filtram e analisam pacotes enviados e recebidos por
redes distintas de comunicação.
A utilização de um filtro de pacotes pode elevar o nível
de segurança de uma rede por fazer a filtragem nas
camadas 3 e 4 do protocolo TCP/IP.
 Ou seja, nos cabeçalhos do IP e dos protocolos da camada
de transporte utilizados (TCP, UDP, ICMP e outros).
16
Filtro de pacotes
Como qualquer informação que entra ou sai de uma rede
TCP/IP estará dentro de um pacote IP, o filtro de pacotes
poderá bloquear a entrada (ou saída) dessa informação.
 Essa decisão é tomada de acordo com as regras de
filtragem definidas na política de segurança da
organização.
Os filtros de pacotes podem fornecer um nível de
segurança útil e barato (vêm com o software do roteador).
 E você precisa de um roteador para conectar-se à
Internet...
17
Filtro de pacotes
Um filtro de pacotes não é capaz de distinguir entre
pacotes verdadeiros e falsificados. 
A capacidade de verificação do sentido dos pacotes para
determinar se um pacote vem da rede externa ou interna é
essencial para evitar ataques como o IP spoofing.
 Na realidade, o que pode ser evitado é a exploração de
endereços de equipamentos internos por um host externo.
 Ou seja, proibir a entrada de pacotes na rede, com
endereços originados da sua rede.
18
Filtro de pacotes
Outro problema que pode acontecer com os filtros de
pacotes está relacionado ao tipo de resposta que é enviada
pelo Firewall a um pedido de conexão que é bloqueado.
 Dependendo da configuração, a organização pode ser
alvo de port scanning e outras técnicas de mapeamento.
19
Filtro de pacotes
Vantagens:
 Alto desempenho da rede / baixo overhead;
 É barato e simples;
 Bom para o gerenciamento de tráfego;
 Transparente para o usuário.
Desvantagens:
 Difícil de gerenciar em ambientes complexos;
 Vulnerável a ataques como o IP spoofing
 Não oferece a autenticação do usuário;
20
Filtro de pacotes
As ameaças são muitas, e devemos sempre nos precaver
contra intrusos, não importando a sua origem: rede
externa, rede interna ou dial-up.
Normalmente, o filtro de pacotes diferencia a máquina que
pode ou não acessar algum serviço, analisando o IP
origem, o destino, e o serviço a ser acessado.
Portanto, ele deve ser considerado como uma parte de um
sistema de proteção, e não como única forma de defesa.
21
Distribuição das Portas
0
….
Portas Bem conhecidas (well known ports):
1023
 Usada por servidores que
oferecem serviços padronizados.
PORTAS
1024
TCP ou
UDP
….
49151
Portas Registradas:
 Usada por programas de usuários
(clientes) e outros serviços.
49152
….
65535
Portas Dinâmicas ou Privadas:
 Usadas pelos clientes ou serviços
não padronizados.
22
Distribuição das Portas
Portas Bem Conhecidas:
 Designada a serviços padronizados para Internet, como FTP
(21), HTTP (80), DNS (53), SMTP(25), etc...
 Range: 0 a 1023
 A ativação desses serviços exige privilégios de administrador do
sistema.
Portas Registradas:
 Usada para os programas clientes, que podem ser ativados sem
privilégios de administrador.
 Usadas geralmente para designar serviços proprietários como
MS SQL Server (1433), Oracle Server (1525), etc.
 Range: 1024 a 49151.
23
Exemplos de portas bem conhecidas
Dados
armazenados
portas bem
conhecidas
FTP
TELNET
Porta 21
programa servidor de
transferência de arquivos
Porta 23
programa servidorde
terminal remoto
Porta 25
programa servidor de correio
eletrônico
Porta 80
programa servidor de
hipertexto e outros serviços
WWW
Porta 49152
…
Porta 65535
SMTP
HTTP
Cliente
IRC
portas livres
Porta 194
programa servidor de
serviços chat
24
Firewall - limitações e
vulnerabilidades
Um Firewall não protege uma rede contra usuários internos.
Não proteger uma rede contra conexões que não passam
por ele (usuários com modems).
Os firewalls são ineficientes contra riscos de segurança
não-técnicos, como Engenharia Social.
Não protege contra ameaças completamente novas.
Não protege a rede contra vírus
25
Questões para responder
Quais as principais diferenças dos filtros de pacote para
os filtros de aplicação?
Além de prover segurança, o uso do Proxy traz quais
outras vantagens? E quais são as desvantagens?
O que é uma DMZ? Qual seu objetivo?
Comente sobre Firewalls baseados em Hardware e em
Software, vantagens e desvantagens de cada um.
26
Download