Prof.

Celso Cardoso Neto

Roteiro
 Introdução

 Características do Firewall

 Tipo de Firewall
• Filtro de Pacotes
• Servidores Proxy
 Tipos avançados de Firewall
• Bastion Host
• Firewalls híbridos 2
Roteiro (cont)

 Arquiteturas de Firewall

• Screened Host
• Screened Subnet

 Conclusão

3
 INTRODUÇÃO

ESTÁ ASSOCIADO À POLÍTICA DE SEGURANÇA DE UMA

EMPRESA

INTERNET - TCP/IP - HÁ QUE SE ESCUTAR TODO O TRÁFEGO DE

REDE, FILTRANDO O QUE PODE PASSAR OU NÃO

FIREWALL É NA REALIDADE UM PODEROSO ROTEADOR

INTERLIGANDO DUAS REDES E POSSUI PELO MENOR DUAS
PLACAS DE REDE

DE UM LADO A REDE É PÚBLICA (INSEGURA) E DE OUTRO A

REDE É PRIVADA (SEGURA)

FIREWALL FUNCIONA ANALISANDO CABEÇALHO DOS PACOTES

UTILIZANDO “REGRAS”. SE O PACOTE NÃO SE ENQUADRAR EM
NENHUMA REGRA, O FIREWALL PODE TOMAR DUAS DECISÕES:
RECUSAR O RECEBIMENTO (DENY) OU DESCARTÁ-LO (DROP)
ESQUEMA BÁSICO DE IMPLANTAÇÃO DE
UM “FIREWALL”

ESQUEMA BÁSICO DE LIGAÇÃO DE UM FIREWALL

PROTEGENDO UMA REDE CONECTADA À INTERNET
ESQUEMA EMPREGANDO UM “FIREWALL”
E UM ROTEADOR PARA CONECTAR UMA
REDE À INTERNET

É MELHOR OPTAR POR ESTA CONFIGURAÇÃO, TENDO-SE UM

ROTEADOR NA FRENTE E DEIXAR QUE O FIREWALL FAÇA
APENAS O SEU TRABALHO DE FILTRAGEM DE PACOTES
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL

A FUNÇÃO ORIGINAL DO FIREWALL ERA A DE ISOLAR

COMPLETAMENTE A SUA REDE DA INTERNET. ESTE CONCEITO
MUDOU.
A CONFIGURAÇÃO COMEÇOU A TRAZER PROBLEMAS QUANDO
EMPRESAS QUISERAM COLOCAR SERVIDORES WEB PARA
DISPONIBILIZAR PÁGINAS WWW A SEUS VISITANTES
UM HACKER QUE INVADISSE
UM SERVIDOR WEB NA REDE
INTERNA PODERIA CAUSAR
DANOS NA REDE DA
EMPRESA. ASSIM, SURGIU A
SOLUÇÃO AO LADO.
O SERVIDOR WEB FICA FORA
DA ZONA DE PROTEÇÃO DO
FIREWALL
ESQUEMA COM O SERVIDOR WEB FORA DA
ZONA DE PROTEÇÃO DO FIREWALL, MAS
COM O SERVIDOR DE BD WEB DENTRO

A SOLUÇÃO COM O SERVIDOR WEB FORA DA ZONA DE PROTEÇÃO

IMPEDIA QUE UM HACKER TOMASSE AÇÕES DESTRUTIVAS NA
REDE INTERNA.
NO PRINCÍPIO AS INFORMAÇÕES DISPONIBILIZADAS NÃO TINHAM
GRANDE IMPORTÂNCIA. NO ENTANTO, ESTE QUADRO MUDOU. A
QTDE DE HACKERS AUMENTOU E AS INFORMAÇÕES
DISPONIBILIZADAS NA WEB CRESCERAM EM IMPORTÂNCIA
A SOLUÇÃO APONTOU PARA
O ESQUEMA AO LADO,
COLOCANDO O BD NA REDE
INTERNA E ABRINDO UMA
REGRA NO FIREWALL
PERMITINDO QUE O
SERVIDOR WEB ACESSASSE
ESTE BD.
É SOLUÇÃO SEGURA ? NÃO.
QUAL A SOLUÇÃO PARA O PROBLEMA ?

É SEPARAR O SERVIDOR DE BD DA REDE INTERNA, SEM COLOCÁ-

LO NA REDE EXTERNA E, AO MESMO TEMPO, AUMENTAR A
SEGURANÇA DO SERVIDOR WEB. COMO FAZER ISSO ?
A MELHOR MANEIRA É CRIAR UMA REDE INTERMEDIÁRIA, ENTRE
A REDE INTERNA E A EXTERNA --- ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”)
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) - FALHA)

REQUER DOIS FIREWALLs. ENTRE ELES FICA A DMZ, ABRIGANDO

OS SERVIDORES WEB E DE BD
NO FIREWALL 1, SÃO CRIADAS REGRAS PERMITINDO ACESSO AO
SERVIDOR WEB E BLOQUEANDO O ACESSO A TUDO O MAIS.
O FIREWALL 2 TEM A FUNÇÃO DE BLOQUEAR O ACESSO À REDE
INTERNA.
AGORA TUDO ESTAVA
PROTEGIDO, O ACESSO À
REDE INTERNA NEGADO,
MAS SE UM HACKER OBTÉM
ACESSO AO SERVIDOR WEB
TAMBÉM ACESSA O BD
QUEM DESEJA ACESSO À
REDE INTERNA SE JÁ TEM
ACESSO AO BD DE UM HOME
BANKING (POR EXEMPLO) ?
ZONA DESMILITARIZADA --- DMZ
(“DEMILITARIZED ZONE NETWORK”) -
SOLUÇÃO PARA A FALHA)

OCORRERAM PROBLEMAS EM BANCOS. A SOLUÇÃO ESTÁ

INDICADA NA FIGURA
AGORA APENAS O
SERVIDOR WEB ESTÁ
NA DMZ.
O FIREWALL 2
(INTERNO) PERMITE
APENAS O ACESSO
NECESSÁRIO AO BD,
EVITANDO MUITAS DAS
ALTERAÇÕES QUE UM
ACESSO TOTAL À
MÁQUINA ONDE ESTÁ O
SERVIDOR PERMITIRIA
Objetivos

 Alto índice de ataques a redes

 Necessidade de controle de tráfego

 Garantir integridade aos serviços

 Alta demanda dos serviços da Internet

12
Firewall

 Definição de Firewall
 Funções do Firewall
 Estrutura de um Firewall
 Classificação básica

13
Firewall

Ilustração:

14
Princípios Básicos

 Toda solicitação chega ao Firewall

 Somente tráfego autorizado passa pelo

Firewall
 O próprio Firewall deve ser imune a
penetração

15
O que um Firewall
pode fazer?

 É um foco para a tomada de decisões

• Pode ser usado como um ponto de partida

para a política de segurança

 Pode gravar requisições

 Limita a exposição da rede

16
O que um Firewall
não pode fazer?

 Proteger uma rede contra usuários

internos
 Proteger uma rede contra conexões que
não passam por ele
 Proteger contra ameaças completamente
novas
 Proteger contra vírus

17
Tipos de Firewall

 Existem dois principais tipos:

• Filtro de Pacotes;
• Servidores Proxy.

18
Filtro de Pacotes

 Filtrar = peneirar, separar

 Controle do tráfego que entra e sai

 Filtro de pacotes em Roteadores

 Incrementa a segurança

 Transparente aos usuários

 Grande variedade no mercado

19
Filtro de Pacotes

 As regras dos filtros se contém:

• Endereço IP de origem
• Endereço IP de destino
• Protocolos TCP, UDP, ICMP
• Portas TCP ou UDP origem
• Portas TCP ou UDP destino
• Tipo de mensagem ICMP
20
Filtro de Pacotes

Rede
Internet Router
Interna

Roteador com
Filtro de Pacotes
21
Filtro de Pacotes

 Filtragem por adapatador de rede –

vantagem ao administrador
 Principais problemas do filtro:
• IP Spoofing
• Serviço troca de porta
 Filtros de pacotes não tratam protocolos
da camada de aplicação 22
Filtro de Pacotes

 Filtragem = atraso no roteamento

 Filtros com Inspeção com Estado
• Utilizam as flags do TCP (ACK, SYN, FIN)
• Vantagens: maior controle
 Filtros de pacotes não são uma solução
única – é um complemento

23
Filtro de Pacotes

 Exemplos de regras do IP Filter:

• block in log on tun0 proto tcp from any to
any

• pass in quick on eth0 proto tcp from any to

200.28.33.22 port 23 flags S keep state
keep frags
24
Servidores Proxy
 Assumem requisições de usuários de uma
rede

 Atuam em nome do cliente de uma forma

transparente

 Não permitem que pacotes passem

diretamente entre cliente e servidor
25
Servidores Proxy
 Ilustração do funcionamento

26
Servidores Proxy

 Métodos de utilização:
• Método da Conexão Direta;
• Método do Cliente Modificado;
• Método do Proxy Invisível.

27
 Servidores Proxy

 Vantagens de utilização do proxy:

• Permite ao usuário acesso direto aos
serviços na Internet;
• Possui bons mecanismos de log;
• Provê uma ótima separação entre as
redes.
28
 Servidores Proxy

 Desvantagens do proxy:
• Cada serviço possui o seu servidor proxy;
• Deve ser desenvolvida uma nova
aplicação para cada novo serviço;
• Existem alguns serviços inviáveis.

29
 Servidores Proxy X
Filtro de Pacotes

 Tomada de decisões:
• Servidor proxy toma decisões baseado
em informações fornecidas pelo serviço;
• Filtro de pacotes utiliza o cabeçalho do
pacote.

30
 Servidores Proxy X
Filtro de Pacotes

 Desempenho:
• Filtro de pacotes possui uma vantagem por
estar em nível mais baixo.
 Auditoria:
• Servidor proxy possui vantagem por permitir
auditoria sobre o controle do tráfego.

31
Tipos Adicionais de
Firewalls

 Existem dois outros tipos de firewalls

alternativos:
• Firewalls Híbridos;
• Firewalls Bastion Hosts.

32
 Firewalls Hibrídos
 A maioria dos firewalls podem ser
classificados como Filtro de Pacotes ou
Servidores Proxy

 Outros tipos de firewalls oferecem uma

combinação entre estes dois

33
Firewalls Hibrídos
 Ilustração exemplo

34
Firewalls Bation Hosts

 Hosts fortemente protegidos

 Único computador da rede que pode
ser acessado pelo lado de fora do
firewall
 Pode ser projetado para ser um
servidor Web, servidor FTP, dentre
outros 35
Firewalls Bation Hosts

 Ilustração :

36
Firewalls Bation Hosts

Honey Pot
 Chamariz para crackers;
 Função de coletar dados de
tentativas de invasão;
 Ferramentas de registros de logs são
mantidas o mais seguro possível. 37
Arquiteturas de FW

 O que é uma arquitetura de Firewall ?

 Principais:
• Screened host
• Screened subnet
 Screened = proteger, peneirar, investigar

38
Screened host

 Sem sub-rede de proteção

 Elementos = 1 roteador e 1 bation host
 Rede protegida sem acesso direto ao
“mundo”
 Bastion host realiza o papel de procurador
– só ele passa pelo roteador
39
Screened host
• Ilustração desta arquitetura

40
Screened Subnet
 Apresenta múltiplos níveis de redundância
 É a mais segura
 Componentes:
• Roteador externo
• Subrede intermediária (DMZ)
• Bastion Host
• Roteador Interno

41
Screened Subnet

 O que é a DMZ (De Militarized Zone)?

• Sub-rede entre a rede externa e a protegida.
Proporciona segurança.
 Rede interna somente têm acesso ao
Bastion Host
 Somente a subrede DMZ é conhecida pela
Internet
42
Screened Subnet
 Ilustração desta arquitetura

43
Conclusão

 Importante ferramenta na proteção

 Firewall não deve ser o único componente
da política de segurança

Qual é a melhor solução de

projeto de firewall para
redes? 44
 Links Úteis

 Firewalls – UFRJ -
http://www.gta.ufrj.br/~jaime/trabalhos/firewall/firewall.htm

 Internet Firewalls – UFRGS -

http://penta.ufrgs.br/redes296/firewall/fire.html

45
Perguntas

46