Firewall

Prof. Marciano dos Santos Dionizio

Por que do nome firewall ? Antigamente, quando as casas eram feitas de madeira o fogo era um

grande problema, pois se alastrava facilmente de uma casa para outra. Paraevitar isso eram construídos muros de pedra entre as casas. A esses murosfoi dado o nome de firewall

“Isolar o fogo que existe na Internet para que não se alastre

para sua rede privada”

Firewall (definições)

ConexãoSegura

Infraestrutura de rede

Proteção de Redes: Firewall

Firewall - Introdução

DefiniçãoDispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso).

Implementa e garante política de segurança entre as redes conectadas.

Internet

Intranet

Segmento de Acesso Público

Corporação

Firewall

•Sistemas confiáveis que são colocados entre duas redes;

•Política de Segurança define o que passa;

•Rede interna é confiável (blue net), nem sempre;

•Rede externa é não-confiável (red net).

Infraestrutura de rede

Firewall - Conceitos

Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet.

Internet

Intranet

Segmento de Acesso Público

Corporação

Firewall

Firewall -Introdução

Proteção de redes - Firewall

1) Não protege contra usuários autorizados maliciosos;

2) Não pode proteger contra conexões que não passam através dele;

3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo).

4) Não oferece proteção contra virus.

Firewall -Introdução

Saiba o que um Firewall não faz:

Um Firewall pode administrar a política de segurança para usuários da rede:- Define quem ou o que pode cruzar as fronteiras entre redes;- Define uma maneira padrão de identificação de usuários.

Um Firewall pode manter “logs”:- Logs de passagem;- Logs de ataques;- Alertar o administrador.

Infraestrutura de rede

O que um firewall pode fazer?

Roteador

O que proteger ?

As regras de filtragem de um Firewall estão baseadas nas políticas deseguranças da organização

Para o desenvolvimento dessa política deverá ponderar dois fatores

Nível de proteção X Usabilidade

Deixar o nível de proteção o mais alto possível, porém sem deixar quepartes importantes do sistema fiquem inoperantes

Bloquear tudo a princípio e ir liberando os serviços necessários para aorganização ou

O que não é expressamente proibido é permitido

Implementação Física

FIREWALL

ROTEADOR

REDE

EXTERNA

REDE

INTERNA

No software do Roteador

REDE

EXTERNA

FIREWALL

ROTEADOR

REDE

INTERNA

No software de uma estação dedicada (duas placas de rede)

Roteador

Filtragem de Pacotes

Internet

Interface interna

Interface externa

O roteamento ou

rejeição de pacotes

é feito de acordo

com a política de

segurança

da empresa.

Exemplos de Objetivos de Filtragem

Bloquear todas as conexões que chegam de um sistema externo da rede interna, exceto conexõesHTTP.

Liberar conexões externas apenas para uma máquina específica da rede (ex. servidor Web).

SMTP

HTTP

TELNET

etc

HTTP

HTTP

Permitir aos usuários internos iniciarem conexões deTelnet com o meio externo, mas não o contrário

Liberar acesso Web a Internet apenas para algumasmáquinas da rede interna.

TELNETTELNET

HTTP HTTP

TELNET

HTTP

Exemplos de Objetivos de Filtragem

Regras de filtragem

Regras de filtragem são baseadas em: Endereço IP de origem

Endereço IP de destino

Protocolo (TCP, UDP ou ICMP)

Porta TCP ou UDP de origem

Porta TCP ou UDP de destino (que define uma aplicação)

A interface por onde os pacotes chegam

A interface por onde os pacotes saem

Filtragem com Base nos Endereços IP

Os datagramas IP trazem no seu cabeçalho de controle o endereço IP deorigem e IP de destino.

Baseado na análise desses endereços, os roteadores podem efetuar a proteçãoda rede através da filtragem de pacotes

Regras de filtragem podem ser estabelecidas para hosts específicos ou pararedes inteiras.

ENDERECO

DA REDE

ENDERECO

DO HOST

200.17.98. 78

IP DESTINO IP ORIGEM DADOS

Roteamento Seletivo

Roteador

Roteador

REDE 200.134.51.X

Bloquear pacotes recebidos de uma rede diferente de 200.134.51.X

Bloquear pacotes destinados a uma rede diferente de 200.134.51.X

REDE 200.17.98.X

Filtro

Roteador

Filtragem com base nas Portas TCP e UDP

As informações introduzidas no cabeçalho de controle dos protocolos TCP e UDP permitem identificar o tipo de serviço executado na Internet. Essa característica permite estabelecer regras diferenciadas para cada tipo de

aplicação executada na Internet, ou numa Intranet.

Por exemplo, é possível estabelecer regras desegurança que se aplique somente ao serviço de ftpou somente ao serviço de telnet.

PORTA DE DESTINO PORTA DE ORIGEM

datagrama

DADOS

Portas bem Conhecidas

Portas Bem conhecidas (well known ports):

Função padronizada pela IANA (The Internet Assigned Numbers Authority)

Geralmente usada pelos servidores de serviços padronizados.

Portas livres:

Usadas pelos clientes e pelos serviços não padronizados

0

….

1023

1024

….

65535

PORTAS

TCP ou UDP

Exemplos de portas bem conhecidas

Porta 21

Cliente

FTP

Dadosarmazenados

programa servidor de

terminal remoto

Porta 23

Porta 25

Porta 80

programa servidor detransferência de arquivos

programa servidor de correio

eletrônico

programa servidor de

hipertexto e outros serviçosWWW

programa servidor de notíciasPorta 119

programa servidor de

serviços chat

Porta 194

TELNET

SMTP

HTTP

NNTP

IRC

portas livres

Porta 1024

Porta 65535

…

portas bemconhecidas

Regras de Filtragem

Recebe pacote

Bloquear

Pacote

SIM

Encaminhar

Pacote

SIM

Precisa para

bloquear?

Não

Não

Última

Regra?

Não

SIM

OK para

encaminhar?

Analisa Cabeçalho

Exemplo

Geralmente, as regras são definidas individualmente para cada interface.

Cada interface controla apenas os pacotes que entram no roteador.

AÇÃO

permitir

permitir

bloquear

IP ORIGEM

*

200.134.51.*

*

IP DESTINO

200.134.51.*

*

*

INTERFACE

1 (sair)

2 (entrar)

*

INTERFACE 1 INTERFACE 2

Rede Externa Não -Confiável

Rede Interna Confiável

Exemplo

Ação

permitir

permitir

negar

Protocolo

tcp

tcp

*

IP Origem

interno

*

*

Porta Origem

> 1023

23

*

IP Destino

*

interno

*

Porta Destino

23

> 1023

*

Interpretação:

Hosts Internos podem acessar servidores de telnet internos ou externos.

Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão).

Direção

Sair

Entrar

*

Exemplo

Interpretação: Hosts Internos podem acessar servidores de telnet internos ou externos.

Hosts externos podem acessar servidores de web internos.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

80

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

80

> 1023

*

Direção

Out

In

In

Out

*

Seqüência de Criação de Regras

A seqüência na qual as regras são aplicadas pode alterar completamente oresultado da política de segurança (são escritas de cima para baixo). Por exemplo,as regras de aceite ou negação incondicional devem ser sempre as últimas regrasda lista.

Ação

permitir

permitir

permitir

permitir

negar

Protocolo

tcp

tcp

tcp

tcp

*

IP Origem

interno

*

*

interno

*

Porta Origem

> 1023

23

> 1023

23

*

IP Destino

*

interno

interno

*

*

Porta Destino

23

> 1023

23

> 1023

*

ACK

*

1

*

1

*

Direção

Out

In

In

Out

*

O deslocamento de uma regra genérica para cima anula as demais.

Firewall Pessoal

Software utilizado para proteger um computador contra acessos não autorizados

Tipo específico de firewall

Se bem configurado: Pode barrar o acesso a backdoors

Alguns podem analisar continuamente o conteúdo das conexões

Filtrando cavalos de tróia e vírus de email

Pacotes de firewall que funcionam em conjunto com os anti-vírus

Razões para considerar o uso: Possibilidade de configurar o tráfego de entrada e saída

Pode especificar quais aplicativos terão acesso à rede

Problemas: Regras podem ser complexas

Escalabilidade pode ser um problema

Firewalls de mercado

Melhores práticas para clientes firewall

Todo o tráfego deve passar pelo firewall

Uso eficaz de Firewall

A simples instalação de um firewall não garante que sua rede esteja segura contra invasores

Não pode ser a sua única linha de defesa

Protegem apenas contra ataques externos ao firewall

Referencias Bibliográficas

• STRACCIALANO, André L.; et al. Segurança eServiços de Redes. In: Livro Didático do CursoTécnico em Redes de Computadores – Módulo 3.Anhanguera Publicações.

• LOPES, Raquel. Melhores Práticas para a Gerênciade Redes de Computadores. Rio de Janeiro:Campus, 2003

• Nakamura, Emílio Tissato e GEUS, Paulo Lício de.Segurança em Redes. 4ª ed. São Paulo: Novatec,2007.