1 / 52

FIREWALLS

FIREWALLS. Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br. Firewalls. Simples pontos de conexão entre duas redes não confiáveis Permitem que a comunicação seja monitorada e segura Propriedades todo tráfego deve passar pelo firewall

merrill-jensen
Download Presentation

FIREWALLS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br

  2. Firewalls • Simples pontos de conexão entre duas redes não confiáveis • Permitem que a comunicação seja monitorada e segura • Propriedades • todo tráfego deve passar pelo firewall • somente o tráfego autorizado pode passar • o firewall propriamente dito é imune de invasões

  3. Internet • sistema de firewall: • roteador • PC • sistema Unix • conjunto de hosts • baseado em: • hardware • software Firewall rede interna Firewalls

  4. Firewall • Seguro • não é um host de propósito geral • Ponto central para administração de serviços • correio eletrônico • ftp • Garante política de segurança

  5. Firewall • Foco de decisões de segurança • mais eficiente do que espalhar decisões e tecnologias de segurança • Permite rastreamento • origem das conexões • quantidade de tráfego no servidor • tentativa de quebra do sistema • Limita a exposição

  6. Firewall Não oferece proteção contra: • Ataques internos maliciosos • Conexões que não passam pelo firewall • Ameaças totalmente novas • Vírus

  7. Tecnologia • Estática • permitir qualquer serviço a menos que ele seja expressamente negado • negar qualquer serviço a menos que ele seja expressamente permitido • Dinâmica • permitir/negar qualquer serviço para quando e por quanto tempo desejar

  8. protege a rede interna das consequências de um gateway comprometido • também chamado de screen (screening router) • bloqueia transmissão de certas classes de tráfego • zona desmilitarizada (DMZ) • gateway + gateway interno protege o gateway de ataques • uma máquina • conjunto de máquinas • que oferece(m) serviços através de proxy Filtro Filtro Gateway(s) rede interna Internet Componentes

  9. Packet Filtering • Funcionalidade • roteia pacotes entre hosts internos e externos de maneira seletiva • permite ou bloqueia a passagem de certos tipos de pacotes • reflete a política de segurança do site • Filtragem • quando o pacote está chegando • quando o pacote está saindo

  10. Packet Filtering • Filtragem baseada em • endereços fonte e destino • portas fonte e destino • protocolo • flags • tipo da mensagem • Exemplos • bloqueie todas as conexões oriundas do host X • permita apenas conexões SMTP

  11. Internet screening router Packet Filtering rede interna

  12. Screening Router determina se pode ou não enviar o pacote determina se deve ou não enviar o pacote Como o pacote pode ser roteado? O pacote deve ser roteado? Router verifica endereço de cada pacote escolhe melhor maneira de enviá-lo Como o pacote pode ser roteado? Packet Filtering

  13. Configuração Processo de três passos: • Determinar o que deve e o que não deve ser permitido • política de segurança • Especificar formalmente os tipos de pacotes permitidos • expressões lógicas • Reescrever as expressões de acordo com o produto

  14. Exemplo • Passo 1 • tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0) • Passo 2

  15. Exemplo • Passo 3 • Screend • between host 172.16.51.50 and net 192.168.10 accept; • between host any and host any reject; • Telebit NetBlazer • permit 172.16.51.50/32 192.168.10/24 syn0 in • deny 0.0.0.0/0 0.0.0.0/0 syn0 in • permit 192.168.10/24 172.16.51.50/32 syn0 out • deny 0.0.0.0/0 0.0.0.0/0 syn0 out

  16. Filtragem por Endereço • Características • restringe o fluxo de pacotes baseado nos endereços fonte e destino • não considera quais protocolos estão envolvidos • Utilização • permite a comunicação hosts externos e hosts internos • Problema • endereços podem ser inventados

  17. Telnet Server Telnet Client • OUTGOING • IP fonte: cliente local • IP destino: servidor • serviço: TCP • porta fonte: >1023 (Y) • porta destino: 23 (telnet) • pacotes: • 1: sem ack • demais: com ack Filtragem por Serviço Internet Firewall rede interna Outbound

  18. Telnet Server Telnet Client INCOMING IP fonte: servidor IP destino: cliente local serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Y) pacotes: com ack Filtragem por Serviço Internet Firewall rede interna Outbound

  19. Telnet Client Telnet Server • INCOMING • IP fonte: cliente remoto • IP destino: servidor • serviço: TCP • porta fonte: >1023 (Z) • porta destino: 23 (telnet) • pacotes: • 1: sem ack • demais: com ack Filtragem por Serviço Internet Firewall rede interna Inbound

  20. Telnet Client Telnet Server OUTGOING IP fonte: servidor IP destino: cliente remoto serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Z) pacotes: com ack Filtragem por Serviço Internet Firewall rede interna Inbound

  21. Filtragem por Serviço

  22. Packet Filtering • Vantagens • pode ajudar a proteger uma rede inteira • não requer conhecimento ou cooperação do usuário • disponível em vários roteadores • baixo custo • Desvantagens .........

  23. propagação do pedido pedido cliente servidor servidor real cliente interno propagação da resposta resposta proxy possui controle total Application-Level Gateway

  24. Circuit-Level Gateway circuit-level gateway porta fonte porta destino TCP IP Acesso a Rede cliente servidor

  25. Arquitetura de Firewalls • Solução universal ? • Problemas • quais serviços serão disponibilizados ? • qual o nível de risco ? • qual a política de segurança ? • Técnicas • tempo, custo e conhecimento • TELNET e SMTP packet filtering • FTP e WWW proxy

  26. Packet Filtering Architecture • Screening Router é colocado entre uma rede interna e a Internet • Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ... • Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes) • Simples  mais comum e fácil de usar em sites pequenos • Mas ....

  27. Packet Filtering Architecture • Problemas: • falha compromete toda a rede interna • número de regras pode ser limitado • desempenho x número de regras • não é possível modificar serviços: permite ou nega, mas não pode proteger operações individuais • complexidade de configuração • tratamento de exceções • log dos pacotes que passaram

  28. roteamento opcional interface de rede interface de rede interface de rede Rede 1 Rede 3 Rede 2 Dual-Homed Host Architecture Multi-Homed Host: várias interfaces de rede (homes)

  29. Dual-Homed Host Architecture • Host: 2 interfaces de rede (interna e Internet) • Função de roteamento desabilitada • pacotes não são roteados diretamente para outra rede  não permite comunicação direta entre a rede interna e a Internet • isolamento de tráfego entre as redes • Acessível • por hosts da rede interna • por hosts da Internet • requer alto nível de proteção

  30. Dual-Homed Host Architecture • Login diretamente no dual-homed host • acesso aos serviços através da interface de rede externa (Internet) • segurança do sistema pode ser comprometida • vulnerabilidade de senhas • usuário pode habilitar serviços inseguros • dificuldade de monitoração e detecção de ataques • baixo desempenho • oferecimento de serviços indesejáveis

  31. mail proxy Internet Serviços “store-and-forward”: SMTP (mail) e NNTP (news) Dual-Homed Host Architecture FTP proxy interface interface Internet ILUSÃO FTP servidor real cliente interno

  32. Internet screening router bastion host Screened Host Architecture rede interna

  33. Screened Host Architecture • Problemas • falha do roteador  compromete segurança oferecida pelo bastion host • ataque ao bastion host não há outra barreira entre a Internet e a rede interna • visibilidade de tráfego interno: coleta de senhas através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados

  34. bastion host Internet rede perimetral - DMZ screening router externo screening router interno Screened Subnet Architecture rede interna

  35. Screened Subnet Architecture • Visibilidade do tráfego • via bastion host apenas para a DMZ • ideal: tráfego na DMZ não deve ser confidencial • dados devem ser protegidos por criptografia • Serviços externos • via proxy • conexão direta via packet filtering

  36. Internet WWW/FTP externo DMZ externa intermediário Múltiplas Camadas DMZ interna interno rede interna

  37. Internet Múltiplos BHs WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna

  38. Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa bastion host belt suspenders DMZ interna interno rede interna

  39. Produtos Comerciais • Informações técnicas de produtos de firewall • www.access.digex.net/~bdboyle/firewall.vendor.html • Grande variedade • SecurIT Þ www.milkyway.com/prod.html • Borderware Þ www.securecomputing.com • Firewall-1 Þ www.CheckPoint.com • ... Guardian Þ www2.ntfirewall.com/ntfirewall • Freestone: código fonte de produto comercial • www.soscorp.com/products/Freestone.html

  40. Firewall-1 • É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP. • Possibilita que empresas construam suas próprias políticas de segurança. • Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.

  41. Firewall-1 • Características: • Filtragem segura de pacotes; • Acesso seguro a Internet; • Acesso remoto seguro; • Redes Virtuais Privadas (VPN) para criar seguros “túneis” através de redes públicas inseguras; • Habilidade para definir a adicionar novos protocolos e serviços; • Auditoria e alerta.

  42. Vantagens: flexibilidade; escalabilidade; extensibilidade; transparência; suporte a múltiplos protocolos e tecnologia de rede; pode ser distribuído sobre múltiplas plataformas; requerimentos de conectividade sem causar impacto a performance da rede. Firewall-1

  43. Firewall-1 • Requerimentos:

  44. FireWall-1 Internet Rede Externa Rede Interna Firewall-1 • Arquitetura: • Atua como um roteador seguro entre uma rede interna e uma rede externa.

  45. Firewall-1 • Arquitetura: • Módulo de Controle: inclui o módulo de gerenciamento e interface para o usuário; • Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.

  46. Estação de gerenciamento Gateway/ FireWall Canal de comunicação seguro Módulo de Inspeção Interface gráfica do usuário Login e Status Status Logs/Alerta Deamon Servidor de gerenciamento Comandos Logs/Alerta Log/Alerta Módulo de Controle Módulo FireWall Firewall-1 • Arquitetura:

  47. Firewall-1 • Arquitetura • Módulo de Controle • Usado para implementar a política de segurança de rede; • Controla o módulo de filtragem de pacotes; • Pode ser usado como um facilidade para visualizar login e controle de informação. • Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)

  48. Firewall-1 • Arquitetura • Módulo FireWall • O módulo de inspeção é dinamicamente carregado no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede. • Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado. • Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.

  49. 7 Aplicação 6 Apresentação Pacote recebido 5 Sessão O pacote esta dentro das regras? 4 Transporte Sim 3 Rede Não Opcional: log/Alerta Mais alguma regra? Sim Passar o Pacote? Não Sim Não Pacote descartado Não 2 Enlace Enviar NACK 1 Física Firewall-1

  50. 7 Aplicação Pacote recebido 6 Apresentação 5 Sessão O pacote esta dentro das regras? 4 Transporte Sim 3 Rede Setar a próxima regra Não Opcional: log/Alerta Mais alguma regra? 2 Enlace Sim 1 Física Passar o Pacote? Não Sim Não Pacote descartado Não Enviar NACK Firewall-1

More Related