Professional Documents
Culture Documents
Firewall um sistema de proteo de redes internas contra acessos no autorizados originados de uma rede no confivel (Internet), ao mesmo tempo que permite o acesso controlado da rede interna Internet Normalmente envolve hardware e/ou software Existem diversos nveis de proteo diferentes (pacotes, e-mails, navegao, etc.)
2001 / 1
160
Caractersticas de Firewalls
Todo trfego entre a rede interna e a externa (entrada e sada) deve passar pelo Firewall Somente o trfego autorizado passar pelo Firewall, todo o resto ser bloqueado O Firewall em si deve ser seguro e impenetrvel
2001 / 1 Segurana de Redes/Mrcio dvila 161
Controles do Firewall
Controle de Servio: determina quais servios Internet (tipos) estaro disponveis para acesso Controle de Sentido: determina o sentido de fluxo no qual servios podem ser iniciados Controle de Usurio: controla o acesso baseado em qual usurio est requerendo (tipicamente os internos, ou externo via VPN) Controle de Comportamento: controla como cada servio pode ser usado (ex: anti-spam)
2001 / 1 Segurana de Redes/Mrcio dvila 162
Recursos do Firewall
O Firewall define um ponto nico de ligao que oferece proteo a uma rede interna
Pelo fato de ser um ponto nico, o gerenciamento dessa tarefa de proteo mais fcil
O Firewall prov uma localizao para o monitoramento de eventos relacionados com segurana
Atravs de auditorias, histricos e alarmes
2001 / 1
163
Recursos do Firewall
O Firewall uma plataforma conveniente tambm para:
NAT (Traduo de Endereo de Rede) Proxy de Web Gateway de email
2001 / 1
164
Limitaes de um Firewall
O Firewall no protege contra ataques vindos de outras fontes:
conexes diretas (ex: modem) de mquinas internas para ISPs modems de entrada no passando pelo firewall
O Firewall no protege contra ameaas internas O Firewall no protege contra transferncia de arquivos infectados por vrus
Seria impraticvel analisar o contedo de tudo que trafega
2001 / 1 Segurana de Redes/Mrcio dvila 165
Tipos de Firewall
Existem trs tipos de Firewall:
Filtragem de pacotes Gateways de aplicao Gateways a nvel de circuito
2001 / 1
166
Filtragem de Pacotes
Proteo baseada na filtragem de pacotes entre as redes externa e interna
2001 / 1
167
Filtragem de Pacotes
2 polticas de aplicao de regras aplicveis aos pacotes IP:
Padro = Descartar: tudo o que no expressamente permitido, proibido (+ seguro) Padro = Encaminhar: tudo o que no expressamente proibido, permitido
Pacotes no autorizados so descartados As regras so criadas pelo administrador Regras baseadas nos campos dos pacotes transmitidos (normalmente IP, TCP e UDP)
2001 / 1 Segurana de Redes/Mrcio dvila 168
Filtragem de Pacotes
Exemplo:
bloqueia qualquer conexo com SPIGOT permite receber conexes na porta 25 (SMTP) para o host OUR-GW Permite o uso do servidor de envio de e-mail, exceto quando o outro servidor SPIGOT
2001 / 1
169
Filtragem de Pacotes
Exemplo:
permite conexes para fora na porta 25 (SMTP) em qualquer host
2001 / 1
170
Filtragem de Pacotes
Exemplo melhorado:
permite conexes para fora na porta 25 (SMTP) em qualquer host permite receber pacotes TCP de ACK (somente confirmao) na porta 25 (SMTP)
2001 / 1
171
Gateways de Aplicao
O Firewall autentica o usurio e cria uma segunda conexo para a rede interna
2001 / 1
172
Gateways de aplicao
O gateway de aplicao recebe uma conexo para uma aplicao suportada Autentica o usurio externo atravs de senha Para usurios vlidos uma segunda conexo para um servidor interno estabelecida Todo trfego roteado entre ambas conexes Funciona somente em aplicaes conhecidas
2001 / 1 Segurana de Redes/Mrcio dvila 173
Gateways de Aplicao
Firewall gateways de aplicao tendem a ser mais seguros que filtros de pacote Ao invs de filtrar pacotes com base em regras que cercam inmeras possibilidades, permitem conexes desde que sejam de aplicaes permitidas A grande desvantagem o trabalho extra de identificao feito pelo gateway em cada conexo
2001 / 1 Segurana de Redes/Mrcio dvila 174
2001 / 1
175
2001 / 1
176
Estao Bastio
Estao bastio uma mquina segura instalada em um ponto crtico da rede Executa um sistema operacional estvel e serguro e um conjunto mnimo, seguro e controlado de servios Pode ser plataforma para Firewalls gateways de aplicao ou a nvel de circuito Normalmente proxy de servios Internet Pode ser usado conectado a uma rede, duas ou como subrede
2001 / 1 Segurana de Redes/Mrcio dvila 177
2001 / 1
178
2001 / 1
179
2001 / 1
180
Atualizao de Firewall
Os principais recursos de firewall normalmente so software (mesmo quando est instalado em um hardware especfico) Software tem falhas que so descobertas com o tempo essencial que o software do Firewall seja constantemente atualizado Anlise permanente dos logs tambm muito importante
2001 / 1 Segurana de Redes/Mrcio dvila 181