SlideShare una empresa de Scribd logo

Aula 05

Descargar como PPT, PDF
Jorge Ávila Miranda
Jorge Ávila Miranda

O documento descreve os principais conceitos sobre firewalls, incluindo: (1) firewalls filtram pacotes de acordo com regras baseadas nos cabeçalhos dos pacotes; (2) firewalls stateful também verificam o estado das conexões armazenadas em tabelas; (3) existem diferentes arquiteturas de firewalls como dual-homed host, DMZ e bastion host para melhor proteger redes.

1 de 31
Firewall Jorge Ávila
FIREWALL (filtro de pacotes) • Camadas de rede e de transporte da pilha TCP/IP
FIREWALL (filtro de pacotes) • Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem  É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino  É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino  O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
FIREWALL (filtro de pacotes) • Verificação do sentido do pacote – rede interna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
FIREWALL • IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
IP spoofing • Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
IP spoofing • Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
FIREWALL • Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
FIREWALL • Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no perímetro da rede Ex:
FIREWALL • Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
Firewall (Filtro de pacotes baseados em estados) • Também conhecidos como Firewalls dinâmicos ou Stateful Packet Filter • Trabalha na camada de rede e transporte • Toma decisões de filtragem com base em: ▫ Informações dos cabeçalhos dos pacotes ▫ Uma tabela de estados, que guarda o estados de todas as conexões ▫ Verifica o primeiro pacote de cada conexão – os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
Firewall (Filtro de pacotes baseados em estados) • Caso da “brecha” deixada pelo filtro de pacotes simples O retorno é permitido com a verificação dos pacotes de acordo com a tabela de estados do Firewall.
Firewall (Filtro de pacotes baseados em estados) • Timeout de conexões x Ataques de SYN flooding ▫ Adaptação do timeout para evitar ataques de negação de serviço (encher a tabela de estados)
Firewall (Filtro de pacotes baseados em estados) • Vantagens ▫ Aberturas apenas temporárias do perímetro da rede (conexões de retorno) ▫ Alto desempenho
Firewall (Filtro de pacotes baseados em estados) • Desvantagens ▫ Maior consumo de recursos de memória da máquina do Firewall (tabela de estados) ▫ Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
Arquitetura de um Firewall • Dual-homed host • Zona Desmilitarizada (DMZ) • Bastion Host • Bastion Host + DMZ
Arquitetura de um Firewall • Dual-homed host ▫ É um host que tem, no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
Dual-homed host • Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
Dual-homed host • Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual- homed host.
Zona Desmilitarizada (DMZ) • Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
Zona Desmilitarizada (DMZ) • A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
Bastion Host + DMZ • Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
Bastion Host • Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP. • Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
Bastion Host + DMZ • Criação de uma zona desmilitarizada que hospeda o Bastion host • Maior segurança no caso do comprometimento do Bastion Host
Avaliação de um Firewall • Fabricante / Fornecedor • Suporte técnico • Tempo para entrar em funcionamento • Logs (auditoria) • Gerenciamento - facilidade de manutenção • Desempenho • Capacitação do pessoal
Teste Firewall • Tentar passar pelo Firewall para validar o conjunto de regras • Validação da Política de Segurança • Identificação de erros comuns • Devem ser realizados com uma determinada frequência • Quem deve fazer o teste? ▫ Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
Problemas relacionados • Firewalls mal configurados • Implementação incorreta da política de segurança • Gerenciamento falho – controle de mudanças ▫ Usuários requisitando novos serviços (precisam ou querem?) ▫ Ignorar arquivos de logs ▫ Drible da segurança (conexões extras, etc) • Falta de atualizações
Exercicio • Qual a importância da segmentação entre as redes de servidores públicos e a rede local? • Qual o papel do Firewall como parte da infraestrutura de segurança? • Cite exemplos onde a segmentação de rede deve ser aplicada para uma maior proteção dos ambientes corporativos. • Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?

Recomendados

Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifiAndre Peres
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Andre Peres
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Wardriving
WardrivingWardriving
Wardrivingtecnotux
 
Serviços de Rede - Telnet e SSH
Serviços de Rede - Telnet e SSHServiços de Rede - Telnet e SSH
Serviços de Rede - Telnet e SSHNatanael Simões
 
06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca06 - Redes sem Fios - seguranca
06 - Redes sem Fios - segurancaAndre Peres
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)Andre Peres
 

Recomendados

Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifiAndre Peres
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p1)Andre Peres
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Wardriving
WardrivingWardriving
Wardrivingtecnotux
 
Serviços de Rede - Telnet e SSH
Serviços de Rede - Telnet e SSHServiços de Rede - Telnet e SSH
Serviços de Rede - Telnet e SSHNatanael Simões
 
06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca06 - Redes sem Fios - seguranca
06 - Redes sem Fios - segurancaAndre Peres
 
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)
Introdução a Redes de Computadores - 9 - Nível de Rede - IP (p2)Andre Peres
 
10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmpAndre Peres
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Tchelinux
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesAndre Peres
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Redes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IPRedes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IPMauro Tapajós
 
Ipv6
Ipv6Ipv6
Ipv6Gionni Lúcio
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFrederico Madeira
 
9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injection9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injectionAndre Peres
 
03 seguranca redesi-pv6
03 seguranca redesi-pv603 seguranca redesi-pv6
03 seguranca redesi-pv6Patricio Cardoso Bomfim
 
Instalação do Asterisk
Instalação do AsteriskInstalação do Asterisk
Instalação do AsteriskFrederico Madeira
 
HornetQ - 5.Transports
HornetQ - 5.TransportsHornetQ - 5.Transports
HornetQ - 5.TransportsWaelson Negreiros Nunes
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Segurança wireless
Segurança wirelessSegurança wireless
Segurança wirelessAlan Aguinaga
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPADeroci Nonato Júnior
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Carlos Veiga
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 

Más contenido relacionado

La actualidad más candente

10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmpAndre Peres
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Tchelinux
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesAndre Peres
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Redes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IPRedes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IPMauro Tapajós
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFrederico Madeira
 
9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injection9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injectionAndre Peres
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 

La actualidad más candente (20)

10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmp
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de Ataques
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpn
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2
 
Redes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IPRedes de computadores II - 2.Servicos de Camada de Rede IP
Redes de computadores II - 2.Servicos de Camada de Rede IP
 
Ipv6
Ipv6Ipv6
Ipv6
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e Scripts
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em Redes
 
9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injection9 - segurança - ataques buffer-injection
9 - segurança - ataques buffer-injection
 
03 seguranca redesi-pv6
03 seguranca redesi-pv603 seguranca redesi-pv6
03 seguranca redesi-pv6
 
Instalação do Asterisk
Instalação do AsteriskInstalação do Asterisk
Instalação do Asterisk
 
HornetQ - 5.Transports
HornetQ - 5.TransportsHornetQ - 5.Transports
HornetQ - 5.Transports
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fio
 
Segurança wireless
Segurança wirelessSegurança wireless
Segurança wireless
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPA
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de Ataques
 

Similar a Aula 05

Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Carlos Veiga
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Eduardo Santana
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewallMarco Guimarães
 
Manua versão7x
Manua versão7xManua versão7x
Manua versão7xFco Barros
 
Controle Remoto de Residências
Controle Remoto de ResidênciasControle Remoto de Residências
Controle Remoto de ResidênciasJaguaraci Silva
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdfssusere0b5a8
 
36210961 curso-avancado-redes
36210961 curso-avancado-redes36210961 curso-avancado-redes
36210961 curso-avancado-redesMarco Guimarães
 
62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redesMarco Guimarães
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Redes Sem Fio Zigbee e Técnicas de RF
Redes Sem Fio Zigbee e Técnicas de RFRedes Sem Fio Zigbee e Técnicas de RF
Redes Sem Fio Zigbee e Técnicas de RFandrerasminio
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 

Similar a Aula 05 (20)

Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Firewall
FirewallFirewall
Firewall
 
Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4Fasciculo inf seg_redinf_semana4
Fasciculo inf seg_redinf_semana4
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Firewall
FirewallFirewall
Firewall
 
Manual apr-wr254
Manual apr-wr254Manual apr-wr254
Manual apr-wr254
 
Unidade 2.3 firewall
Unidade 2.3 firewallUnidade 2.3 firewall
Unidade 2.3 firewall
 
36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall36552531 seguranca-de-redes-firewall
36552531 seguranca-de-redes-firewall
 
rde aula 4.pdf
rde aula 4.pdfrde aula 4.pdf
rde aula 4.pdf
 
Manua versão7x
Manua versão7xManua versão7x
Manua versão7x
 
Controle Remoto de Residências
Controle Remoto de ResidênciasControle Remoto de Residências
Controle Remoto de Residências
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdf
 
36210961 curso-avancado-redes
36210961 curso-avancado-redes36210961 curso-avancado-redes
36210961 curso-avancado-redes
 
62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes62282591 senai-curso-avancado-redes
62282591 senai-curso-avancado-redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Redes Sem Fio Zigbee e Técnicas de RF
Redes Sem Fio Zigbee e Técnicas de RFRedes Sem Fio Zigbee e Técnicas de RF
Redes Sem Fio Zigbee e Técnicas de RF
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
CON08 - VLAN.pdf
CON08 - VLAN.pdfCON08 - VLAN.pdf
CON08 - VLAN.pdf
 
Configuração do DMZ no pfSense
Configuração do DMZ no pfSenseConfiguração do DMZ no pfSense
Configuração do DMZ no pfSense
 

Más de Jorge Ávila Miranda

Aula13 - Estrutura de repetição (for e while) - PHP
Aula13 - Estrutura de repetição (for e while) - PHPAula13 - Estrutura de repetição (for e while) - PHP
Aula13 - Estrutura de repetição (for e while) - PHPJorge Ávila Miranda
 
Aula07 - Arquitetura e Manutenção de Computadores
Aula07 - Arquitetura e Manutenção de ComputadoresAula07 - Arquitetura e Manutenção de Computadores
Aula07 - Arquitetura e Manutenção de ComputadoresJorge Ávila Miranda
 

Más de Jorge Ávila Miranda (20)

Aula16 - Jquery
Aula16 - JqueryAula16 - Jquery
Aula16 - Jquery
 
Aula15 - Array PHP
Aula15 - Array PHPAula15 - Array PHP
Aula15 - Array PHP
 
Aula13 - Estrutura de repetição (for e while) - PHP
Aula13 - Estrutura de repetição (for e while) - PHPAula13 - Estrutura de repetição (for e while) - PHP
Aula13 - Estrutura de repetição (for e while) - PHP
 
Aula14 - Funções em PHP
Aula14 - Funções em PHPAula14 - Funções em PHP
Aula14 - Funções em PHP
 
Aula Herança
Aula HerançaAula Herança
Aula Herança
 
Aula05 - Poojava
Aula05 - PoojavaAula05 - Poojava
Aula05 - Poojava
 
Aula12- PHP
Aula12- PHPAula12- PHP
Aula12- PHP
 
Aula11 - PHP
Aula11 - PHPAula11 - PHP
Aula11 - PHP
 
Aula10 -PHP
Aula10 -PHPAula10 -PHP
Aula10 -PHP
 
Aula09 - Java Script
Aula09 - Java ScriptAula09 - Java Script
Aula09 - Java Script
 
Aula08 - Java Script
Aula08 - Java ScriptAula08 - Java Script
Aula08 - Java Script
 
Aula07 - JavaScript
Aula07 - JavaScriptAula07 - JavaScript
Aula07 - JavaScript
 
Aula04-POOJAVA
Aula04-POOJAVAAula04-POOJAVA
Aula04-POOJAVA
 
Aula06 - JavaScript
Aula06 - JavaScriptAula06 - JavaScript
Aula06 - JavaScript
 
Aula05-JavaScript
Aula05-JavaScriptAula05-JavaScript
Aula05-JavaScript
 
Aula04-JavaScript
Aula04-JavaScriptAula04-JavaScript
Aula04-JavaScript
 
Aula03 - JavaScript
Aula03 - JavaScriptAula03 - JavaScript
Aula03 - JavaScript
 
Aula02 - JavaScript
Aula02 - JavaScriptAula02 - JavaScript
Aula02 - JavaScript
 
Aula01-JavaScript
Aula01-JavaScriptAula01-JavaScript
Aula01-JavaScript
 
Aula07 - Arquitetura e Manutenção de Computadores
Aula07 - Arquitetura e Manutenção de ComputadoresAula07 - Arquitetura e Manutenção de Computadores
Aula07 - Arquitetura e Manutenção de Computadores
 

Aula 05

  • 1. Firewall Jorge Ávila
  • 2. FIREWALL (filtro de pacotes) • Camadas de rede e de transporte da pilha TCP/IP
  • 3. FIREWALL (filtro de pacotes) • Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
  • 4. FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de origem  É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.
  • 5. FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Endereço de destino  É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.
  • 6. FIREWALL (filtro de pacotes) • Decisões baseadas no cabeçalho dos pacotes: ▫ Porta de origem/Porta de destino  O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.
  • 7. FIREWALL (filtro de pacotes) • Verificação do sentido do pacote – rede interna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.
  • 8. FIREWALL • IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
  • 9. IP spoofing • Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).
  • 10. IP spoofing • Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
  • 11. FIREWALL • Desvantagens: ▫ Difícil de gerenciar em ambientes complexos ▫ Dificuldade de filtrar serviços que utilizam portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC
  • 12. FIREWALL • Desvantagens (cont.): ▫ Deixa “brechas” permanentes abertas no perímetro da rede Ex:
  • 13. FIREWALL • Vantagens: ▫ Alto desempenho ▫ Barato, simples e flexível ▫ Transparente para o usuário
  • 14. Firewall (Filtro de pacotes baseados em estados) • Também conhecidos como Firewalls dinâmicos ou Stateful Packet Filter • Trabalha na camada de rede e transporte • Toma decisões de filtragem com base em: ▫ Informações dos cabeçalhos dos pacotes ▫ Uma tabela de estados, que guarda o estados de todas as conexões ▫ Verifica o primeiro pacote de cada conexão – os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho
  • 15. Firewall (Filtro de pacotes baseados em estados) • Caso da “brecha” deixada pelo filtro de pacotes simples O retorno é permitido com a verificação dos pacotes de acordo com a tabela de estados do Firewall.
  • 16. Firewall (Filtro de pacotes baseados em estados) • Timeout de conexões x Ataques de SYN flooding ▫ Adaptação do timeout para evitar ataques de negação de serviço (encher a tabela de estados)
  • 17. Firewall (Filtro de pacotes baseados em estados) • Vantagens ▫ Aberturas apenas temporárias do perímetro da rede (conexões de retorno) ▫ Alto desempenho
  • 18. Firewall (Filtro de pacotes baseados em estados) • Desvantagens ▫ Maior consumo de recursos de memória da máquina do Firewall (tabela de estados) ▫ Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões
  • 19. Arquitetura de um Firewall • Dual-homed host • Zona Desmilitarizada (DMZ) • Bastion Host • Bastion Host + DMZ
  • 20. Arquitetura de um Firewall • Dual-homed host ▫ É um host que tem, no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).
  • 21. Dual-homed host • Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.
  • 22. Dual-homed host • Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual- homed host.
  • 23. Zona Desmilitarizada (DMZ) • Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
  • 24. Zona Desmilitarizada (DMZ) • A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.
  • 25. Bastion Host + DMZ • Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
  • 26. Bastion Host • Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP. • Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
  • 27. Bastion Host + DMZ • Criação de uma zona desmilitarizada que hospeda o Bastion host • Maior segurança no caso do comprometimento do Bastion Host
  • 28. Avaliação de um Firewall • Fabricante / Fornecedor • Suporte técnico • Tempo para entrar em funcionamento • Logs (auditoria) • Gerenciamento - facilidade de manutenção • Desempenho • Capacitação do pessoal
  • 29. Teste Firewall • Tentar passar pelo Firewall para validar o conjunto de regras • Validação da Política de Segurança • Identificação de erros comuns • Devem ser realizados com uma determinada frequência • Quem deve fazer o teste? ▫ Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!
  • 30. Problemas relacionados • Firewalls mal configurados • Implementação incorreta da política de segurança • Gerenciamento falho – controle de mudanças ▫ Usuários requisitando novos serviços (precisam ou querem?) ▫ Ignorar arquivos de logs ▫ Drible da segurança (conexões extras, etc) • Falta de atualizações
  • 31. Exercicio • Qual a importância da segmentação entre as redes de servidores públicos e a rede local? • Qual o papel do Firewall como parte da infraestrutura de segurança? • Cite exemplos onde a segmentação de rede deve ser aplicada para uma maior proteção dos ambientes corporativos. • Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?