SlideShare una empresa de Scribd logo
1 de 30
Descargar para leer sin conexión
Centro Universidade
Anhanguera de Campo
Grande – Unidade 1
Superint. CENTRO-
OESTE
Tec. Em Redes de
Computadores
Aula 0x – Ferramentas
de Proteção de
Dispositivos
Firewall - Definição
• É um mecanismo de proteção que controla a passagem de pacotes
entre redes, tanto locais como externas.
• É um dispositivo que possui um conjunto de regras especificando que
tráfego ele permitirá ou negará.
• É um dispositivo que permite a comunicação entre redes, de acordo
com a política de segurança definida e que são utilizados quando há
uma necessidade de que redes com níveis de confiança variados se
comuniquem entre si.
2
Firewall - Definição
• Firewall pode ser definido como uma barreira de proteção, que controla
o tráfego de dados entre a LAN e a Internet;
• Seu objetivo é permitir somente a transmissão e a recepção de dados
autorizados.
• Existem firewalls baseados na combinação de hardware e software e
firewalls baseados somente em software. Este último é o tipo
recomendado ao uso doméstico e também é o mais comum.
3
Firewall – Política Padrão
• Existem dois tipos de modelo de acesso, ou política padrão, que
podem ser aplicados ao firewall:
• Tudo é permitido, exceto o que for expressamente proibido;
• Tudo é proibido, exceto o que for expressamente permitido.
4
O que os Firewalls não protegem
•
Proteger a rede de usuários internos mal intencionados;
•
Proteger a rede de ligações alheias à firewall;
•
Proteger a rede de novas ameaças;
•
Proteger a rede interna de vírus;
•
Proteger de ataques de engenharia Social;
5
A História do Firewall
• Os sistemas firewall nasceram no final dos anos 80, com o intuito de
criar restrições de acesso entre as redes existentes naquela época;
• Em 1988, Robert T. Morris Jr. Criou um worm que se alastrou por todos
os sistemas existentes na época (Sistemas acadêmicos e
governamentais), provocando um caos em apenas um dia.
• Com o passar dos anos os firewalls foram evoluindo sendo
adicionadas novas funcionalidades de segurança, onde veremos
logo a seguir.
6
Evolução de um Firewall
7
FIREWALL - CLASSIFICAÇÃO
• Filtros de Pacotes;
• Stateful Firewall (Firewall de Estado de Sessão);
• Proxy Firewall ou Gateways de Aplicação;
• Firewall de Aplicação;
8
Filtros de Pacotes
• É um conjunto de regras que analisam e filtram pacotes enviados por
redes distintas de comunicação.
• O termo se popularizou a partir dos anos 90, época que surgiram as
primeiras implementações comerciais (ex: TIS, ipfw, Cisco Systems,
Checkpoint, NAI) baseadas na suíte de protocolos TCP/IP.
• Um filtro de pacotes pode elevar o nível de segurança de uma rede por
fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP, ou seja, nos
cabeçalhos do IP e dos protocolos da camada de transporte utilizados
(TCP, UDP, ICMP e outros).
9
Filtros de Pacotes
• Este tipo de firewall é implementado como um roteador que, ao realizar
suas funções de roteamento, verifica as seguintes informaçes dos
pacotes:
• Endereços IP de origem e de destino;
• Tipo de protocolo – TCP, UDP e ICMP;
• Portas de origem e de destino;
• Flags IP e TCP;
• Tipos de mensagens ICMP;
• Tamanho do pacote.
10
Filtros de Pacotes
• A principal desvantagem desse tipo de tecnologia para a
segurança reside na falta de controle de estado do pacote, o que
permite que agentes maliciosos possam produzir pacotes
simulados (com endereço IP falsificado, técnica conhecida como IP
Spoofing), fora de contexto ou ainda para serem injetados em uma
sessão válida.
• A principal vantagem dos filtros de pacotes é a sua eficiência ,
pois cada operação de filtragem estará restrita a verificar somente
informações básicas do cabeçalho do pacote.
• É amplamente utilizado em roteadores como listas de controle
de acesso(ACLs).
11
Firewall – Filtro de Estado das
Conexões (Stateful)
• O firewall de filtro de estado tenta rastrear o estado das conexões de
rede enquanto filtra os pacotes.
• Suas capacidades são resultado do cruzamento das funções de um
filtro de pacotes com a inteligência adicional do protocolo.
• Este tipo de firewall examina predominantemente as
• informações das camadas IP e de transporte de um pacote que inicia
uma conexão.
• Se o pacote inspecionado combinar com a regra de firewall existente
que o permita, uma entrada é acrescentada em uma tabela de estados.
12
Firewall – Filtro de Estado das
Conexões (Stateful) - Regras
• Todas do filtro de pacotes;
• Restringir o tráfego para início de conexões (NEW);
• Restringir o tráfego de pacotes que não tenham sido iniciados a partir
da rede protegida (ESTABLISHED);
• Restringir o tráfego de pacotes que não tenham número de sequência
corretos.
• Armazena o estado das conexões e filtra com base nesse estado. Três
estados para uma conexão: - NEW: Novas conexões;- -
ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões
relacionadas a outras existentes.
13
Firewall – Filtro de Estado das
Conexões (Stateful)
• Vantagens:
• Alto desempenho da rede;
• Aceita quase todos os tipos serviços;
• Transparente para o usuário.
• Desvantagens:
• Permite a conexão direta para hosts internos de clientes externos;
• Não oferece autenticação de usuários.
14
Firewall – Proxy de Serviços
• Os conceitos de gateways de aplicação (application-level gateways) e
"bastion hosts" foram introduzidos por Marcus Ranum em 1995.
• Em geral, um proxy é algo ou alguém que faz algo em nome de outra
pessoa.
• Os serviços proxy são aplicativos ou servidores especializados que
recebem as solicitações dos usuários e as encaminha para os
respectivos servidores reais.
15
Firewall – Proxy de Serviços
16
Firewall – Proxy de Serviços
• Vantagens:
• Não permite conexões diretas entre hosts internos e hosts externos;
• Aceita autenticação do usuário;
• Analisa comandos da aplicação no payload dos pacotes de dados,
• ao contrário do filtro de pacotes.
• Desvantagens:
• Mais lento do que os filtros de pacotes (somente os gateways de
aplicação);
• Requer um proxy específico pra cada aplicação;
• Não trata pacotes ICMP;
• Não possui transparência.
17
Topologias
• Screened Router
• Dual-Homed
• Screened Hosts
• Screened Subnet
18
Topologias: Screened Router
• É a arquitetura mais simples utilizada;
• caracteriza-se pela presença de um roteador de filtro de pacotes entre
a rede interna e a internet;
• Nessa arquitetura existe comunicação direta entre múltiplos servidores
internos e múltiplos servidores externos;
• A sua zona de risco é proporcional ao número de servidores na rede
interna e os tipos de serviço de tráfego permitidos pelo roteador;
• Para cada tipo de serviço permitido a zona de risco aumenta
consideravelmente;
• Controle de danos é igualmente difícil, já que o administrador da rede
teria que verificar cada servidor a procura de traços de invasão
regularmente;
19
Screened Router
20
Topologias: Dual-Homed
• A arquitetura Dual-Homed é montada sobre um computador com o
mínimo duas interfaces de rede.
• Este computador age como um roteador entre as redes que estão
conectadas às suas placas de rede.
• Topologia muito vulnerável, pelo fato de haver somente um ponto de
falhas.
• A arquitetura Dual-Homed host é apropriada em firewall para um
sistema com as seguintes características:
• Pequeno Tráfego na internet;
• Tráfego pela internet não é crítico para a empresa;
• Não há serviços a prover aos usuários da internet;
• A rede protegida não contém dados de alto valor;
21
Topologias: Dual-Homed
22
Topologias: Screened Hosts
• O Bastion Host está situado na rede interna.
• O filtro de pacotes do roteador é configurado de tal maneira que o
bastion host da rede interna por onde os hosts da rede
externa(internet) pode abrir conexões com a rede interna; assim
mesmo, somente alguns tipos de conexão são permitidas;
• Principal desvantagem: Os serviços públicos encontram-se colocados
nas redes internas protegidas.
23
Topologias: Screened Hosts
• A arquitetura Screened Host é apropriada para um firewall num sistema com as
seguintes características:
• Poucas conexões chegam pela internet.
• A rede internet deve ser relativamente bem protegida.
• Esta arquitetura não é recomendada para sistemas onde o Screened Host
seja um web server.
24
Topologias: Screened Hosts
25
Topologias: Screened Subnet
• O firewall é constituida por dois routers, um que liga a rede protegida a
uma DMZ e outro que liga a DMZ ao exterior.
• As principais vantagens são:
• Balanceamento de carga;
• Servidores públicos na DMZ;
• Baseia-se na criação de uma sub-rede;

A principal desvantagem é o pouco controle entre a atividade das
máquinas na DMZ.

Um invasor teria que passar por dois roteadores antes de atingir a rede
interna;
26
Topologias: Screened
Subnet
27
DMZ – Demilitarized Zone
• DMZ – Fonte Wikipedia
• Em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona
desmilitarizada", em português. Também conhecida como Rede de Perímetro, a
DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável,
geralmente entre a rede local e a Internet.
• A função de uma DMZ é manter todos os serviços que possuem acesso externo
(tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede
local, limitando assim o potencial dano em caso de comprometimento de algum
destes serviços por um invasor. Para atingir este objetivo os computadores
presentes em uma DMZ não devem conter nenhuma forma de acesso à rede
local.
28
DMZ – Demilitarized Zone
• Objetivos:
• Evitar que a Internet acesse diretamente serviços
• Dentro de uma rede interna;
• Separar o tráfego de rede interno do externo;
• Ligação de uma rede interna com a Internet ou com
uma rede de outra organização.
29
Referências
• http://www.cefetrio.hpg.ig.com.br/ciencia_e_educacao/8/trabalhos/segu
ranca2/FIREWALL.HTM
• http://www.infowester.com/firewall.php
• http://www.scarniel.com.br/arquivos/Sidimar_Carniel_Firewall.pdf
• http://pt.wikipedia.org/wiki/Firewall
• Guia Foca http://focalinux.cipsga.org.br/guia/avancado/ch-fw-
iptables.html
• http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/
30

Más contenido relacionado

La actualidad más candente

IMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemIMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemSérgio Passos
 
Aula08 - frame-relay
Aula08 -   frame-relayAula08 -   frame-relay
Aula08 - frame-relayCarlos Veiga
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Eduardo Santana
 
Ac.m4 tarefa video-emil
Ac.m4 tarefa video-emilAc.m4 tarefa video-emil
Ac.m4 tarefa video-emilfantic3o
 
Redes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisRedes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisJosé Ronaldo Trajano
 
Redes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosRedes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosJosé Ronaldo Trajano
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de RedeNatanael Simões
 
Aula 02 redes de computadores e a internet
Aula 02   redes de computadores e a internetAula 02   redes de computadores e a internet
Aula 02 redes de computadores e a internetssuser75b0ac
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolosDayane Sousa
 
Sessão do Modelo OSI-Camada 5
Sessão do Modelo OSI-Camada 5Sessão do Modelo OSI-Camada 5
Sessão do Modelo OSI-Camada 5Hélder Batista
 
Redes - Camada de Inter-Redes
Redes - Camada de Inter-RedesRedes - Camada de Inter-Redes
Redes - Camada de Inter-RedesLuiz Arthur
 
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]Ministério Público da Paraíba
 

La actualidad más candente (19)

IMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemIMS - IP Multimedia Subsystem
IMS - IP Multimedia Subsystem
 
Core Network e MPLS
Core Network e MPLSCore Network e MPLS
Core Network e MPLS
 
Rede Definida Por Software - SDN
Rede Definida Por Software - SDNRede Definida Por Software - SDN
Rede Definida Por Software - SDN
 
Aula08 - frame-relay
Aula08 -   frame-relayAula08 -   frame-relay
Aula08 - frame-relay
 
13 ligações inter-redes
13   ligações inter-redes13   ligações inter-redes
13 ligações inter-redes
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4
 
Ac.m4 tarefa video-emil
Ac.m4 tarefa video-emilAc.m4 tarefa video-emil
Ac.m4 tarefa video-emil
 
Redes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisRedes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos Gerais
 
Redes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosRedes de computadores 2 - Protocolos
Redes de computadores 2 - Protocolos
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Rede de Transporte
Rede de TransporteRede de Transporte
Rede de Transporte
 
Introdução aos Serviços de Rede
Introdução aos Serviços de RedeIntrodução aos Serviços de Rede
Introdução aos Serviços de Rede
 
Aula 02 redes de computadores e a internet
Aula 02   redes de computadores e a internetAula 02   redes de computadores e a internet
Aula 02 redes de computadores e a internet
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolos
 
Ethernet
EthernetEthernet
Ethernet
 
Modelo osi
Modelo osiModelo osi
Modelo osi
 
Sessão do Modelo OSI-Camada 5
Sessão do Modelo OSI-Camada 5Sessão do Modelo OSI-Camada 5
Sessão do Modelo OSI-Camada 5
 
Redes - Camada de Inter-Redes
Redes - Camada de Inter-RedesRedes - Camada de Inter-Redes
Redes - Camada de Inter-Redes
 
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]
Tecnologias Atuais de Redes - Aula 4 - Comutação [Apostila]
 

Destacado

Aula02 lab01 - montagem de uma topologia simples
Aula02   lab01 - montagem de uma topologia simplesAula02   lab01 - montagem de uma topologia simples
Aula02 lab01 - montagem de uma topologia simplesCarlos Veiga
 
Aula08 exercício01
Aula08   exercício01Aula08   exercício01
Aula08 exercício01Carlos Veiga
 
Aula 07 - topologias híbridas
Aula 07 -  topologias híbridasAula 07 -  topologias híbridas
Aula 07 - topologias híbridasCarlos Veiga
 
Prj interdisciplinar - protocolos
Prj   interdisciplinar - protocolosPrj   interdisciplinar - protocolos
Prj interdisciplinar - protocolosCarlos Veiga
 
Aula08 tecnologia atm
Aula08   tecnologia atmAula08   tecnologia atm
Aula08 tecnologia atmCarlos Veiga
 
Resolução - prova n1-2014
Resolução -  prova n1-2014Resolução -  prova n1-2014
Resolução - prova n1-2014Carlos Veiga
 
Aula03 transmissão de dados em redes wireless
Aula03   transmissão de dados em redes wirelessAula03   transmissão de dados em redes wireless
Aula03 transmissão de dados em redes wirelessCarlos Veiga
 
Criptografia - Fernando Muller
Criptografia - Fernando MullerCriptografia - Fernando Muller
Criptografia - Fernando MullerCarlos Veiga
 
Aula04 - cabeamento estruturado - parte 01
Aula04 - cabeamento estruturado - parte 01Aula04 - cabeamento estruturado - parte 01
Aula04 - cabeamento estruturado - parte 01Carlos Veiga
 
Aula05 - cyrus imap
Aula05 -  cyrus imapAula05 -  cyrus imap
Aula05 - cyrus imapCarlos Veiga
 
instalação do expresso br
instalação do expresso brinstalação do expresso br
instalação do expresso brCarlos Veiga
 
Aula05 - cabeamento estruturado - parte 02
Aula05 - cabeamento estruturado - parte 02Aula05 - cabeamento estruturado - parte 02
Aula05 - cabeamento estruturado - parte 02Carlos Veiga
 
Aula09 frame relay - pratica
Aula09   frame relay - praticaAula09   frame relay - pratica
Aula09 frame relay - praticaCarlos Veiga
 
Aula05 - tecnologias dsl
Aula05 -  tecnologias dslAula05 -  tecnologias dsl
Aula05 - tecnologias dslCarlos Veiga
 
Aula01 - conceitos iniciais de infraestrura de redes
Aula01 -  conceitos iniciais de infraestrura de redesAula01 -  conceitos iniciais de infraestrura de redes
Aula01 - conceitos iniciais de infraestrura de redesCarlos Veiga
 
Aula01 introdução a camanda 2 do modelo osi
Aula01   introdução a camanda 2 do modelo osiAula01   introdução a camanda 2 do modelo osi
Aula01 introdução a camanda 2 do modelo osiCarlos Veiga
 
Aula02 protocolos da camada 2
Aula02   protocolos da camada 2Aula02   protocolos da camada 2
Aula02 protocolos da camada 2Carlos Veiga
 
Aula06 - exercícios redes sem fio
Aula06 -  exercícios redes sem fioAula06 -  exercícios redes sem fio
Aula06 - exercícios redes sem fioCarlos Veiga
 

Destacado (20)

Aula02 lab01 - montagem de uma topologia simples
Aula02   lab01 - montagem de uma topologia simplesAula02   lab01 - montagem de uma topologia simples
Aula02 lab01 - montagem de uma topologia simples
 
Aula08 exercício01
Aula08   exercício01Aula08   exercício01
Aula08 exercício01
 
Aula 07 - topologias híbridas
Aula 07 -  topologias híbridasAula 07 -  topologias híbridas
Aula 07 - topologias híbridas
 
Aula07 - desafio
Aula07 -  desafioAula07 -  desafio
Aula07 - desafio
 
Prj interdisciplinar - protocolos
Prj   interdisciplinar - protocolosPrj   interdisciplinar - protocolos
Prj interdisciplinar - protocolos
 
Aula08 tecnologia atm
Aula08   tecnologia atmAula08   tecnologia atm
Aula08 tecnologia atm
 
Resolução - prova n1-2014
Resolução -  prova n1-2014Resolução -  prova n1-2014
Resolução - prova n1-2014
 
Aula03 transmissão de dados em redes wireless
Aula03   transmissão de dados em redes wirelessAula03   transmissão de dados em redes wireless
Aula03 transmissão de dados em redes wireless
 
Criptografia - Fernando Muller
Criptografia - Fernando MullerCriptografia - Fernando Muller
Criptografia - Fernando Muller
 
Aula04 - cabeamento estruturado - parte 01
Aula04 - cabeamento estruturado - parte 01Aula04 - cabeamento estruturado - parte 01
Aula04 - cabeamento estruturado - parte 01
 
Aula05 - cyrus imap
Aula05 -  cyrus imapAula05 -  cyrus imap
Aula05 - cyrus imap
 
instalação do expresso br
instalação do expresso brinstalação do expresso br
instalação do expresso br
 
Aula05 - cabeamento estruturado - parte 02
Aula05 - cabeamento estruturado - parte 02Aula05 - cabeamento estruturado - parte 02
Aula05 - cabeamento estruturado - parte 02
 
Aula01
Aula01Aula01
Aula01
 
Aula09 frame relay - pratica
Aula09   frame relay - praticaAula09   frame relay - pratica
Aula09 frame relay - pratica
 
Aula05 - tecnologias dsl
Aula05 -  tecnologias dslAula05 -  tecnologias dsl
Aula05 - tecnologias dsl
 
Aula01 - conceitos iniciais de infraestrura de redes
Aula01 -  conceitos iniciais de infraestrura de redesAula01 -  conceitos iniciais de infraestrura de redes
Aula01 - conceitos iniciais de infraestrura de redes
 
Aula01 introdução a camanda 2 do modelo osi
Aula01   introdução a camanda 2 do modelo osiAula01   introdução a camanda 2 do modelo osi
Aula01 introdução a camanda 2 do modelo osi
 
Aula02 protocolos da camada 2
Aula02   protocolos da camada 2Aula02   protocolos da camada 2
Aula02 protocolos da camada 2
 
Aula06 - exercícios redes sem fio
Aula06 -  exercícios redes sem fioAula06 -  exercícios redes sem fio
Aula06 - exercícios redes sem fio
 

Similar a Aula06 – sistemas de proteção de dispositivos

Similar a Aula06 – sistemas de proteção de dispositivos (20)

Aula 05
Aula 05Aula 05
Aula 05
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall
 
Firewall
FirewallFirewall
Firewall
 
FIREWALL 03.pptx
FIREWALL 03.pptxFIREWALL 03.pptx
FIREWALL 03.pptx
 
Firewall
FirewallFirewall
Firewall
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
Filtro de conteúdo Proxy
Filtro de conteúdo   ProxyFiltro de conteúdo   Proxy
Filtro de conteúdo Proxy
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linux
 
Firewall
FirewallFirewall
Firewall
 
Trabalho Firewall
Trabalho FirewallTrabalho Firewall
Trabalho Firewall
 
Firewall
FirewallFirewall
Firewall
 
5 - segurança - firewall
5  - segurança - firewall5  - segurança - firewall
5 - segurança - firewall
 
TÓPICOS AVANÇADOS EMENG. DE COMPUTAÇÃO II 5 semana.pdf
TÓPICOS AVANÇADOS EMENG. DE COMPUTAÇÃO II 5 semana.pdfTÓPICOS AVANÇADOS EMENG. DE COMPUTAÇÃO II 5 semana.pdf
TÓPICOS AVANÇADOS EMENG. DE COMPUTAÇÃO II 5 semana.pdf
 
Firewall
FirewallFirewall
Firewall
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linux
 

Más de Carlos Veiga

Aula01 projeto de redes de computadores
Aula01   projeto de redes de computadoresAula01   projeto de redes de computadores
Aula01 projeto de redes de computadoresCarlos Veiga
 
Aula10 topologia extendida com roteamento
Aula10   topologia extendida com roteamentoAula10   topologia extendida com roteamento
Aula10 topologia extendida com roteamentoCarlos Veiga
 
Aula08 dispositivos wireless
Aula08   dispositivos wirelessAula08   dispositivos wireless
Aula08 dispositivos wirelessCarlos Veiga
 
Aula06 - criação da topologia dsl
Aula06 -  criação da topologia dslAula06 -  criação da topologia dsl
Aula06 - criação da topologia dslCarlos Veiga
 
Aula04 - configuração da topologia ppp - resolvido
Aula04 -  configuração da topologia ppp - resolvidoAula04 -  configuração da topologia ppp - resolvido
Aula04 - configuração da topologia ppp - resolvidoCarlos Veiga
 
Aula05 padrões sem fio
Aula05   padrões sem fioAula05   padrões sem fio
Aula05 padrões sem fioCarlos Veiga
 
Aula04 roteadores wireless
Aula04   roteadores wirelessAula04   roteadores wireless
Aula04 roteadores wirelessCarlos Veiga
 
Aula 03 configuração da topologia ppp
Aula 03   configuração da topologia pppAula 03   configuração da topologia ppp
Aula 03 configuração da topologia pppCarlos Veiga
 
Aula 01 transmissão de dados em redes wireless
Aula 01   transmissão de dados em redes wirelessAula 01   transmissão de dados em redes wireless
Aula 01 transmissão de dados em redes wirelessCarlos Veiga
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Cascateamento de switch
Cascateamento de switchCascateamento de switch
Cascateamento de switchCarlos Veiga
 

Más de Carlos Veiga (14)

Aula01 projeto de redes de computadores
Aula01   projeto de redes de computadoresAula01   projeto de redes de computadores
Aula01 projeto de redes de computadores
 
Aula10 topologia extendida com roteamento
Aula10   topologia extendida com roteamentoAula10   topologia extendida com roteamento
Aula10 topologia extendida com roteamento
 
Aula08 dispositivos wireless
Aula08   dispositivos wirelessAula08   dispositivos wireless
Aula08 dispositivos wireless
 
Aula06 - criação da topologia dsl
Aula06 -  criação da topologia dslAula06 -  criação da topologia dsl
Aula06 - criação da topologia dsl
 
Aula04 - configuração da topologia ppp - resolvido
Aula04 -  configuração da topologia ppp - resolvidoAula04 -  configuração da topologia ppp - resolvido
Aula04 - configuração da topologia ppp - resolvido
 
Aula05 padrões sem fio
Aula05   padrões sem fioAula05   padrões sem fio
Aula05 padrões sem fio
 
Aula04 roteadores wireless
Aula04   roteadores wirelessAula04   roteadores wireless
Aula04 roteadores wireless
 
Aula 03 configuração da topologia ppp
Aula 03   configuração da topologia pppAula 03   configuração da topologia ppp
Aula 03 configuração da topologia ppp
 
Aula 01 transmissão de dados em redes wireless
Aula 01   transmissão de dados em redes wirelessAula 01   transmissão de dados em redes wireless
Aula 01 transmissão de dados em redes wireless
 
Aula vlans
Aula   vlansAula   vlans
Aula vlans
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataques
 
Cascateamento de switch
Cascateamento de switchCascateamento de switch
Cascateamento de switch
 
Aula06 - postfix
Aula06 -  postfixAula06 -  postfix
Aula06 - postfix
 
Aula06 - postfix
Aula06 -  postfixAula06 -  postfix
Aula06 - postfix
 

Aula06 – sistemas de proteção de dispositivos

  • 1. Centro Universidade Anhanguera de Campo Grande – Unidade 1 Superint. CENTRO- OESTE Tec. Em Redes de Computadores Aula 0x – Ferramentas de Proteção de Dispositivos
  • 2. Firewall - Definição • É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas. • É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará. • É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si. 2
  • 3. Firewall - Definição • Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre a LAN e a Internet; • Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. • Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. 3
  • 4. Firewall – Política Padrão • Existem dois tipos de modelo de acesso, ou política padrão, que podem ser aplicados ao firewall: • Tudo é permitido, exceto o que for expressamente proibido; • Tudo é proibido, exceto o que for expressamente permitido. 4
  • 5. O que os Firewalls não protegem • Proteger a rede de usuários internos mal intencionados; • Proteger a rede de ligações alheias à firewall; • Proteger a rede de novas ameaças; • Proteger a rede interna de vírus; • Proteger de ataques de engenharia Social; 5
  • 6. A História do Firewall • Os sistemas firewall nasceram no final dos anos 80, com o intuito de criar restrições de acesso entre as redes existentes naquela época; • Em 1988, Robert T. Morris Jr. Criou um worm que se alastrou por todos os sistemas existentes na época (Sistemas acadêmicos e governamentais), provocando um caos em apenas um dia. • Com o passar dos anos os firewalls foram evoluindo sendo adicionadas novas funcionalidades de segurança, onde veremos logo a seguir. 6
  • 7. Evolução de um Firewall 7
  • 8. FIREWALL - CLASSIFICAÇÃO • Filtros de Pacotes; • Stateful Firewall (Firewall de Estado de Sessão); • Proxy Firewall ou Gateways de Aplicação; • Firewall de Aplicação; 8
  • 9. Filtros de Pacotes • É um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. • O termo se popularizou a partir dos anos 90, época que surgiram as primeiras implementações comerciais (ex: TIS, ipfw, Cisco Systems, Checkpoint, NAI) baseadas na suíte de protocolos TCP/IP. • Um filtro de pacotes pode elevar o nível de segurança de uma rede por fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP, ou seja, nos cabeçalhos do IP e dos protocolos da camada de transporte utilizados (TCP, UDP, ICMP e outros). 9
  • 10. Filtros de Pacotes • Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de roteamento, verifica as seguintes informaçes dos pacotes: • Endereços IP de origem e de destino; • Tipo de protocolo – TCP, UDP e ICMP; • Portas de origem e de destino; • Flags IP e TCP; • Tipos de mensagens ICMP; • Tamanho do pacote. 10
  • 11. Filtros de Pacotes • A principal desvantagem desse tipo de tecnologia para a segurança reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (com endereço IP falsificado, técnica conhecida como IP Spoofing), fora de contexto ou ainda para serem injetados em uma sessão válida. • A principal vantagem dos filtros de pacotes é a sua eficiência , pois cada operação de filtragem estará restrita a verificar somente informações básicas do cabeçalho do pacote. • É amplamente utilizado em roteadores como listas de controle de acesso(ACLs). 11
  • 12. Firewall – Filtro de Estado das Conexões (Stateful) • O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto filtra os pacotes. • Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com a inteligência adicional do protocolo. • Este tipo de firewall examina predominantemente as • informações das camadas IP e de transporte de um pacote que inicia uma conexão. • Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada é acrescentada em uma tabela de estados. 12
  • 13. Firewall – Filtro de Estado das Conexões (Stateful) - Regras • Todas do filtro de pacotes; • Restringir o tráfego para início de conexões (NEW); • Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED); • Restringir o tráfego de pacotes que não tenham número de sequência corretos. • Armazena o estado das conexões e filtra com base nesse estado. Três estados para uma conexão: - NEW: Novas conexões;- - ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões relacionadas a outras existentes. 13
  • 14. Firewall – Filtro de Estado das Conexões (Stateful) • Vantagens: • Alto desempenho da rede; • Aceita quase todos os tipos serviços; • Transparente para o usuário. • Desvantagens: • Permite a conexão direta para hosts internos de clientes externos; • Não oferece autenticação de usuários. 14
  • 15. Firewall – Proxy de Serviços • Os conceitos de gateways de aplicação (application-level gateways) e "bastion hosts" foram introduzidos por Marcus Ranum em 1995. • Em geral, um proxy é algo ou alguém que faz algo em nome de outra pessoa. • Os serviços proxy são aplicativos ou servidores especializados que recebem as solicitações dos usuários e as encaminha para os respectivos servidores reais. 15
  • 16. Firewall – Proxy de Serviços 16
  • 17. Firewall – Proxy de Serviços • Vantagens: • Não permite conexões diretas entre hosts internos e hosts externos; • Aceita autenticação do usuário; • Analisa comandos da aplicação no payload dos pacotes de dados, • ao contrário do filtro de pacotes. • Desvantagens: • Mais lento do que os filtros de pacotes (somente os gateways de aplicação); • Requer um proxy específico pra cada aplicação; • Não trata pacotes ICMP; • Não possui transparência. 17
  • 18. Topologias • Screened Router • Dual-Homed • Screened Hosts • Screened Subnet 18
  • 19. Topologias: Screened Router • É a arquitetura mais simples utilizada; • caracteriza-se pela presença de um roteador de filtro de pacotes entre a rede interna e a internet; • Nessa arquitetura existe comunicação direta entre múltiplos servidores internos e múltiplos servidores externos; • A sua zona de risco é proporcional ao número de servidores na rede interna e os tipos de serviço de tráfego permitidos pelo roteador; • Para cada tipo de serviço permitido a zona de risco aumenta consideravelmente; • Controle de danos é igualmente difícil, já que o administrador da rede teria que verificar cada servidor a procura de traços de invasão regularmente; 19
  • 21. Topologias: Dual-Homed • A arquitetura Dual-Homed é montada sobre um computador com o mínimo duas interfaces de rede. • Este computador age como um roteador entre as redes que estão conectadas às suas placas de rede. • Topologia muito vulnerável, pelo fato de haver somente um ponto de falhas. • A arquitetura Dual-Homed host é apropriada em firewall para um sistema com as seguintes características: • Pequeno Tráfego na internet; • Tráfego pela internet não é crítico para a empresa; • Não há serviços a prover aos usuários da internet; • A rede protegida não contém dados de alto valor; 21
  • 23. Topologias: Screened Hosts • O Bastion Host está situado na rede interna. • O filtro de pacotes do roteador é configurado de tal maneira que o bastion host da rede interna por onde os hosts da rede externa(internet) pode abrir conexões com a rede interna; assim mesmo, somente alguns tipos de conexão são permitidas; • Principal desvantagem: Os serviços públicos encontram-se colocados nas redes internas protegidas. 23
  • 24. Topologias: Screened Hosts • A arquitetura Screened Host é apropriada para um firewall num sistema com as seguintes características: • Poucas conexões chegam pela internet. • A rede internet deve ser relativamente bem protegida. • Esta arquitetura não é recomendada para sistemas onde o Screened Host seja um web server. 24
  • 26. Topologias: Screened Subnet • O firewall é constituida por dois routers, um que liga a rede protegida a uma DMZ e outro que liga a DMZ ao exterior. • As principais vantagens são: • Balanceamento de carga; • Servidores públicos na DMZ; • Baseia-se na criação de uma sub-rede;  A principal desvantagem é o pouco controle entre a atividade das máquinas na DMZ.  Um invasor teria que passar por dois roteadores antes de atingir a rede interna; 26
  • 28. DMZ – Demilitarized Zone • DMZ – Fonte Wikipedia • Em segurança da informação, é a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. • A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local. 28
  • 29. DMZ – Demilitarized Zone • Objetivos: • Evitar que a Internet acesse diretamente serviços • Dentro de uma rede interna; • Separar o tráfego de rede interno do externo; • Ligação de uma rede interna com a Internet ou com uma rede de outra organização. 29
  • 30. Referências • http://www.cefetrio.hpg.ig.com.br/ciencia_e_educacao/8/trabalhos/segu ranca2/FIREWALL.HTM • http://www.infowester.com/firewall.php • http://www.scarniel.com.br/arquivos/Sidimar_Carniel_Firewall.pdf • http://pt.wikipedia.org/wiki/Firewall • Guia Foca http://focalinux.cipsga.org.br/guia/avancado/ch-fw- iptables.html • http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/ 30