O documento discute firewalls, incluindo seus objetivos de criar uma barreira de segurança entre redes e controlar o tráfego. Ele explica dois tipos principais de firewalls - firewalls de rede que controlam o tráfego entre subredes, e firewalls de host que controlam o tráfego de/para um host específico. Também descreve técnicas como filtragem de pacotes e uso de proxies de aplicação para inspecionar e filtrar tráfego.
1. Gerência de Redes de
Computadores
- Firewalls -
Prof. André Peres
andre.peres@poa.ifrs.edu.br
2. Sobre este material
• Vídeos da apresentação em:
https://www.youtube.com/watch?v=31OJvytBtsQ&feature=youtu.be
Este trabalho está licenciado sob uma Licença Creative Commons
Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma
cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.
3. Firewalls
• Arquitetura (HW e SW)
• Objetivo:
• Criação de perímetro de segurança (barreira)
• Análise dos dados de cabeçalhos e PDU
• Restrição ou liberação de tráfego
• Permite controlar a exposição de uma rede ou host
na rede
• Tipos:
• Firewalls de host → internos ao servidor/estação
• Firewalls de rede → entre duas subredes
5. Firewalls
• Objetivo:
Firewall de Rede → Barreira lógica entre redes
• Serve a todas as estações
• Controle centralizado por dados de cabeçalhos
• Perímetro lógico da rede
Firewall de Host → Barreira lógica entre host e rede
• Serve a um host
• Controle por processo/dados de cabeçalho
6. Firewalls
• Objetivo:
• O termo “firewall” identifica uma estrutura, que pode
ser formada por diversos elementos:
• Filtros de pacotes (layer 4)
• Proxy de aplicações (layer 7)
• Esta estrutura deve ser aplicada de acordo com a
necessidade da rede
7. Firewalls
• Filtro de pacotes:
• Regras para o tráfego
• Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ação
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
UDP 0.0.0.0/0 53 10.1.0.0/24 * Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
TCP 0.0.0.0/0 80 10.1.0.0/24 * Permite
* * * * * Nega
8. Firewalls
• Filtro de pacotes:
• Stateless:
→ considera cada pacote de maneira independente
→ não existe correlacionamento de pacotes
→ visão antiga de filtros de pacotes
→ não é aconselhável seu uso !
• Stateful:
→ correlaciona pacotes (após um SYN → SYN/ACK → …)
→ permite liberação apenas do primeiro pacote de uma
comunicação (TCP, UDP, ICMP, ...)
→ deve ser explicitamente configurado
9. Firewalls
• Filtro de pacotes:
• Regras para o tráfego stateful
• Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ação
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
* * * * * Nega
10. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
11. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
12. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
13. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
14. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
15. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
16. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
17. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
18. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
19. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
20. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
21. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
22. Firewalls
• Filtro de pacotes:
• Motivo de tantos conjuntos de regras:
→ organização
→ cada grupo de regras é responsável por uma função
específica no filtro de pacotes
• FILTER – filtragem de pacotes
INPUT, FORWARD, OUTPUT
• NAT – redirecionamento (SNAT e DNAT)
PREROUTING e POSTROUTING
23. Firewalls
• Filtro de pacotes:
• Exemplo de implementação: Arquitetura Netfilter do linux
24. Firewalls
• Filtro de pacotes:
• PREROUTING: Altera o endereço IP destino de um pacote
• POSTROUTING: Altera o endereço IP origem de um pacote
• INPUT: Filtra os pacotes que podem “entrar” no servidor local
• OUTPUT: Filtra os pacotes que podem “sair” do servidor local
• FORWARD: Filtra os pacotes que podem “entrar” e/ou “sair”
entre as redes
27. Firewalls
• Proxy:
• Servidor de aplicação intermediário
• Cliente se conecta ao proxy → proxy se conecta ao servidor
• Permite:
• cache de dados para a rede
• adaptação de dados de aplicação
• análise de dados para filtragem
28. Firewalls
• Proxy:
• cada protocolo de aplicação possui um proxy específico
• ex:
• HTTP
• FTP
• SMTP (anti-spam)
• Jogos
• ...
29. Firewalls
• Proxy HTTP:
• usuário especifica o endereço do proxy HTTP no navegador
• navegador se conecta ao proxy e envia requisição HTTP
• o proxy HTTP:
• realiza cache global de objetos para todos os clientes
• realiza operações de filtragem por URL e conteúdo
30. • Proxy HTTP:
Utiliza HTTP GET condicional (uso de cache)
Se o objeto não foi alterado, o servidor responde com código 304 Not Modified
Se o objeto FOI alterado, o servidor responde com código 200 (objeto na mensagem)
Firewalls