FIREWALLS Edgard Jamhour 2002 Edgard Jamho Segurana de
- Slides: 58
FIREWALLS Edgard Jamhour 2002, Edgard Jamho
Segurança de Redes • Firewalls – Firewalls com estado e sem estado. Arquiteturas de Firewall. • Criptografia – Simétrica, Assimétrica, Certificados Digitais e SSL. • VPN – Arquiteturas de VPN, PPTP e L 2 TP. • IPsec – Políticas IPsec, Modos de Utilização, Topologias de uso 2002, Edgard Jamho
Bibliografia • BIBLIOGRAFIA – TCP/IP Tutorial e Técnico: Martin W. Murhammer et al. , 2000, Makron Books. – FIREWALLS - GUIA COMPLETO, GONCALVES, MARCUS, EDITORA CIENCIA MODERNA LTDA. 2002, Edgard Jamho
Firewalls • Definição: – Termo genérico utilizado para designar um tipo de proteção de rede que restringe o acesso a certos serviços de um computador ou rede de computadores pela filtragem dos pacotes da rede. • Os firewalls podem ser de dois tipos: – Sem estado (stateless) • A decisão sobre a passagem ou não de um pacote considera apenas as informações carregadas no próprio pacote. – Com estado (stateful) – Stateful Inspection • A decisão sobre a passagem ou não de um pacote leva em outros pacotes que atravessaram anteriormente o firewall. 2002, Edgard Jamho
Firewall = Bloqueio de Pacotes Aplicati vo Serviço Aplicaçã o TCP UDP Aplicação Sistema operacional IP Enlace Placa de rede Física DISPOSITIVO DE REDE Programa externo 2002, Edgard Jamho
Firewalls Sem Estado • O tipo mais comum de firewall é o sem estado: – A decisão sobre a passagem ou não de um pacote considera apenas as informações carregadas no próprio pacote. • Utiliza usualmente apenas informações das camadas de rede e transporte. – Essa simplificação permite: • Tornar o firewall mais rápido. • Tornar o firewall independente do protocolo transportado. • Tornar o firewall independente de criptografia e tunelamento. 2002, Edgard Jamho
Filtragem de Pacotes sem Estado A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos. Aplicações Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. Seqüência de empacotamento aplicação TCP, UDP transporte rede IP Tecnologia heterogênea Data Link Ethernet, Token Ring, FDDI, etc Física enlace física 2002, Edgard Jamho
Filtragem de Pacotes Aplicati vo Aplicaçã o TCP UDP Aplicação Sistema operacional IP FIREWALL PESSOAL Enlace Física Placa de rede FIREWALL DE REDE Programa externo 2002, Edgard Jamho
Implementação Física • • No software do Roteador: screening routers No software de uma estação dedicada (um PC com duas placas de rede). ROTEADOR REDE INTERNA REDE EXTERNA FIREWALL PERSONAL FIREWALL ROTEADOR REDE EXTERNA REDE INTERNA FIREWALL 2002, Edgard Jamho
Exemplo • Roteadores Cisco – PIX Firewall – Roteador – Proxy – Detetor de ataques (SMTP, etc) – Defesa contra fragmentação de IP – Implementa VPN com IPsec – Mais de 256 K sessões simultâneas. 2002, Edgard Jamho
Exemplo • Implementação por Software – Check Point Firewall • Interface Gráfica • Módulo de Firewall • Módulo de Gerenciamento – Mútiplas Plataformas • Windows, Solaris, Linux, HP-UX, IBM AIX – Controle de Segurança e Qualidade de Serviço. 2002, Edgard Jamho
Algorítmo dos Firewalls sem Estado Recebe pacote Seleciona Primeira Regra S Encaminhar Pacote OK para Passar? Seleciona Proxima Regra N OK para Bloquear S Bloquear Pacote N N Última Regra? S Regra Default (Bloquear Tudo) 2002, Edgard Jamho
Filtragem por Aplicação • Os firewalls sem estado não analisam o protocolo de aplicação para determinar o tipo de serviço transportado pelo pacote. • A dedução do tipo de serviço é feito indiretamente: – Pelo campo “Protocol Type” do IP • RFC 1700: Assigned Numbers – TCP = 6, UDP = 17, ICMP = 1, etc. – Pelas portas quando o tipo de protocolo for 6 ou 17 • http: //www. iana. org/assignments/port-numbers • Todas as numerações são padronizada pela IANA (The Internet Assigned Numbers Authority) 2002, Edgard Jamho
Distribuição das Portas 0 …. 1023 PORTAS 1024 TCP ou UDP …. 49151 49152 …. 65535 • Portas Bem conhecidas (well known ports): – Geralmente usada pelos servidores de serviços padronizados. • Portas Registradas – Geralmente usada por servidores proprietários. • Portas Dinâmicas ou Privadas: – Usadas pelos clientes e pelos serviços não padronizados. 2002, Edgard Jamho
Distribuição das Portas • Portas Bem Conhecidas: – Definidas pela IANA – Acessíveis apenas por processos de sistema (que tenham privilégios do tipo root). – Desina servícos padronizados para Internet: • FTP (21), HTTP (80), DNS (53), etc. – Range: 0 a 1023 – Geralmente, a porta é mapeada a um serviço em ambos os protocolos (TCP e UDP), mesmo que usualmente só seja utilizado um deles. 2002, Edgard Jamho
Distribuição de Portas • Portas Registradas: – – Listada pela IANA Serviço oferecido para conveniência da comunidade Acessiveis por processos de usuário Usadas geralmente para designar serviços proprietários: • Corba Management Agente (1050), Microsoft SQL Server (1433), Oracle Server (1525), etc. – Range: 1024 a 49151. 2002, Edgard Jamho
Exemplos de portas bem conhecidas 2002, Edgard Jamho
Exemplo de Regras de Filtragem regra ação interface/ sentido protocolo IP origem IP destino Porta origem Porta destino Flag ACK 1 aceita r rede interna/ para fora TCP interno externo > 1024 80 *[1] 2 aceita r TCP externo interno 80 > 1023 1 3 rejeita r rede externa/ para dentro * * * * [1] O símbolo "*" indica que qualquer valor é aceitável para regra. 2002, Edgard Jamho
Problema: Spoofing de Porta • Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno? 1024 80 80 É necessário liberar pacotes com porta de origem 80 para que a resposta possa passar. 1024 Como evitar que a porta 80 seja usada para atacar usuários internos? 80 1024. . . 65535 . . . 2002, Edgard Jamho
Característica da Comunicação TCP • Comunicação bidirecional, confiável e orientada a conexão. • O destino recebe os dados na mesma ordem em que foram transmitidos. • O destino recebe todos os dados transmitidos. • O destino não recebe nenhum dado duplicado. • O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida. 2002, Edgard Jamho
Flags TCP • RES: Reservado (2 bits) • URG: Urgent Point • ACK: Acknowlegment • • PSH: Push Request RST: Reset Connection SYN: Synchronize Seqüence Number FIN: Mais dados do transmissor 2002, Edgard Jamho
Flag ACK • Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0. ACK=0 ACK=1 . . . tempo 2002, Edgard Jamho
Filtragem com Protocolo UDP • Comunicação bidirecional, sem nenhum tipo de garantia. – Os pacotes UDP podem chegar fora de ordem. – Pode haver duplicação de pacotes. – Os pacotes podem ser perdidos. • Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes. 2002, Edgard Jamho
Mensagem UDP • As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP. 2002, Edgard Jamho
Dynamic Packet Filtering com UDP • Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas. 200. 0. 0. 1: 1025 >>> 210. 0. 0. 2: 53 >>> 200. 0. 0. 1: 1025 210. 0. 0. 2: 53 >>> 200. 0. 0. 1: 1026 210. 0. 0. 2: 53 >>> 200. 0. 0. 2: 1025 . . . tempo 2002, Edgard Jamho
Regras para Filtragem de Pacotes • Implementação: – Analisar o cabeçalho de cada pacote que chega da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado. • ESTRATÉGIAS – A) TUDO QUE NÃO É PROIBIDO É PERMITIDO. – B) TUDO QUE NÃO É PERMITIDO É PROIBIDO. 2002, Edgard Jamho
Exemplo: TUDO QUE NÃO É PERMITIDO É PROIBIDO Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Sair tcp interno * > 1023 23 * permitir Entrar tcp * interno 23 > 1023 1 * * * * negar • Interpretação: – Hosts Internos podem acessar servidores de telnet internos ou externos. – Hosts externos podem apenas responder a requisições, não podem iniciar um diálogo (estabelecer uma conexão). 2002, Edgard Jamho
Exemplo >1023 1 23 2 INTERNET 200. 17. 98. ? ? . ? . ? INTERFACE 1 Ação Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir tcp 200. 17. 98. 0: 24 * > 1023 23 * negar * * * INTERFACE 2 Ação Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir tcp * 200. 17. 98. 0: 24 23 > 1023 1 negar * * * 2002, Edgard Jamho
Exemplo Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Out tcp interno * > 1023 23 * permitir In tcp * interno 23 > 1023 1 permitir In tcp * interno > 1023 80 * permitir Out tcp interno * 80 > 1023 1 negar * * * * • Interpretação: – Hosts Internos podem acessar servidores de telnet internos ou externos. – Hosts externos podem acessar servidores de web internos. 2002, Edgard Jamho
Seqüência de Criação de Regras • A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista. O deslocamento de uma regra genérica para cima anula as demais. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Out tcp interno * > 1023 23 * permitir In tcp * interno 23 > 1023 1 permitir In tcp * interno > 1023 23 * permitir Out tcp interno * 23 > 1023 1 negar * * * * 2002, Edgard Jamho
Desempenho do Filtro de Pacotes • O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. • Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede. Conexão Pacotes/s (20 bytes) Tempo disponível Ciclos CPU 100 MHz 56 Kbit/s 2 Mbit/s 100 Mbit/s 1 Gbit/s 350 12500 6250000 2. 86 ms 80 s 16 s 1. 6 s 0. 16 s 286000 8000 160 16 2002, Edgard Jamho
Arquitetura DMZ • Perimeter Network – Uma rede adicionada entre a rede protegida e uma rede externa, com o objetivo de proporcionar uma camada a mais de segurança. – Também chamada de DMZ (De-Militarized Zone). • Bastion Host – Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna. 2002, Edgard Jamho
Exemplo de DMZ Host Interno Rede Interna Roteador Interno Bastion Host DMZ - Rede de Perímetro Roteador Externo Internet 2002, Edgard Jamho
Roteador Interno (Choke Router) • Protege a rede interna da rede externa e da rede de perímetro. • É responsável pela maioria das ações de filtragem de pacotes do firewall. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Out tcp interno * > 1023 * * permitir In tcp * interno * > 1023 1 negar * * * * EXEMPLO DE REGRAS PARA O CHOKE ROUTER 2002, Edgard Jamho
Roteador Externo (Access Router) • Protege a rede interna e a rede de perímetro da rede externa. • Muitas vezes, a função o roteador externo está localizado no provedor de acesso. • Em geral, utiliza regras de filtragem pouco severas. Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino ACK permitir Out tcp interno * > 1023 * * permitir In tcp * interno * > 1023 1 permitir In tcp * dmz > 1023 * * permitir Out tcp dmz * * > 1023 * negar * * * * EXEMPLO DE REGRAS PARA O ACCESS ROUTER 2002, Edgard Jamho
Rede de Perímetro com Proxy Hosts Internos Com IP’s Privados Rede Interna Servidor Proxy Bastion Host DMZ - Rede de Perímetro Roteador Externo Internet 2002, Edgard Jamho
EXERCÍCIO 200. 0. 0. 1 200. 0. 0. 2 200. 0. 0. 3 Hosts Interno Rede Interna I 1 200. 0. 0. 4 Roteador Interno Bastion Host I 2 200. 1 E 1 200. 1. 0. 3 E 2 200. 2. 0. 1 200. 1. 0. 2 DMZ - Rede de Perímetro Roteador Externo Internet 2002, Edgard Jamho
DEFINIÇÃO DAS ROTAS • Indique as Rotas que Devem Existir: • • A) Computadores da Rede Interna B) Roteador Interno C) Bastion Host D) Roteador Externo 2002, Edgard Jamho
EXERCÍCIO • Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para: – A) Permitir aos computadores externos acessarem o serviço HTTP no bastion HOST. – B) Permitir aos computadores externos acessar o serviço SMTP no bastion HOST. – C) Permitir aos usuários internos acessarem o serviço POP, SMTP e HTTP no bastion HOST. – D) Permitir aos usuários internos acessarem qualquer servidor HTTP externo. – E) Proibir todos os demais acessos. 2002, Edgard Jamho
Roteador Interno AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM PORTA DESTINO FLAG ACK 2002, Edgard Jamho
Roteador Externo AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM PORTA DESTINO FLAG ACK 2002, Edgard Jamho
Stateful Inspection • As primeiras gerações de firewall eram ditos "stateless". – Cada pacote é analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexão. – Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação. 2002, Edgard Jamho
Filtro de Pacotes • Usualmente implementado em roteadores. • São idependentes da aplicação (analisam apenas informações de IP e Porta). • Tem alto desempenho. 2002, Edgard Jamho
Filtro de Pacotes: Problemas de Segurança • São stateless: – Precisam liberar todas as portas de cliente (> 1023) para permitir uma comunicação FTP. • Apenas duas opções: – Ou libera-se todas as portas ou bloqueia-se o serviço todo. 2002, Edgard Jamho
Gateways de Aplicação • Uma alternativa para os filtros de pacotes são os gateways de aplicação. – Gateways de aplicação (Proxy) são "statefull": Isto é, eles guardam o estado das conexões inciadas pelos clientes. – Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes. – Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho. 2002, Edgard Jamho
Application Layer Gateways • Usualmente Implementados como serviços. • O Gateway de Aplicação é visto pelos clientes como um Servidor. • Abrem apenas a porta do cliente utilizada para fazer a conexão com o servidor. 2002, Edgard Jamho
Gateways de Aplicação • • Dependentes de Aplicação – Examinam o conteúdo dos pacotes, incluido os protoclos de aplicação. – Exemplo: Proxy HTTP Independentes da Aplicação – Não precisa examinar o conteúdo. – Exemplo: Socks 1* 1 1024 8080 2 1025 1026 1024 3 80 2* 80 3* 1025 2002, Edgard Jamho
Proxy Socks X Proxy de Aplicação O proxy de aplicação localiza o Servidor de Destino analisando as informações do protocolo de aplicação. Get http: www. pucpr. br Aplicação Proxy. Enabled 1024 1080 Proxy de Aplicação 1024 80 Server O cliente SOCKS inclui automaticamente informações adicionais (durante a conexão TCP ou nos pacotes UDP), que são utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino. CONNECT: IP_Destino, Porta_Destino, User. ID Cliente Socks 1024 1080 Socks Proxy 1024 80 Server 2002, Edgard Jamho
Limitações dos Gateways de Aplicação • Proxys de Aplicação – Limitam o tipo de aplicativo que pode ser utilizado na rede. – Funcionam apenas para os aplicativos que foram reescritos para utilizar o Proxy. • Proxy Socks – A versão corrente do protocolo SOCKs é 5. 0 • RFC 1928: suporta TCP , UDP e autenticação – A versão 4 suporta apenas TCP. – Algumas soluções proprietárias suportam também ICMP. 2002, Edgard Jamho
Application Layer Gateway Problemas de Desempenho • Quebram o esquema clienteservidor (o proxy cria uma nova conexão para cada cliente). – O número de sessões no Gateway é duplicado. – Cada conexão mantém um processo no Proxy. 2002, Edgard Jamho
Stateful Inspection • Tecnologia Desenvolvida pela Check. Point. • Implementa o conceito de estado sem criar novas conexões no roteador. – Um módulo de software analisa permanentemente o conteúdo dos pacotes que atravessam o firewall. – As informações relevantes dos pacotes são armazenadas em tabelas dinâmicas para porterior uso. – A decisão quanto a passagem ou não de um pacote leva em conta o conteúdo de pacotes anteriormente trocados na mesma conexão. 2002, Edgard Jamho
Stateful Inspection • Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente. 200. 0. 0. 1: 1024 >>> 210. 0. 0. 2: 53 >>> 200. 0. 0. 1: 1026 210. 0. 0. 2: 53 >>> 200. 0. 0. 2: 1025 . . . tempo 2002, Edgard Jamho
Stateful Inspection • Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor. • A informação de estado é capturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas. 2002, Edgard Jamho
Stateful Inspection • Quando o cliente requisita um serviço FTP, o Firewall armazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente. 2002, Edgard Jamho
Segurança de Conteúdo • Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall. • Normalmente, apenas os protocolos mais comuns são analisados. – HTTP: Permite Filtrar: • Métodos de acesso (GET, POST), URLs ("*. sk"), etc • TAGS em HTML com referências a Applets em Java ou Objetos Active X. • Dowload de certos tipos MIME. – FTP: Permite Filtrar • Comandos específicos (PUT, GET), Nomes de Arquivo • Pode disparar antivirus para verificação de arquivos. – SMTP: Permite criar regras de Filtragem baseadas • Nos campos FROM e TO • Tipo MIME • Etc. 2002, Edgard Jamho
Integração com Métodos de Autenticação • Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP. • Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando. • Esta tecnologia só é possível para firewalls "Stateful". • Três métodos são usualmente disponíveis: – User Authentication (transparente) – Session Autentication – Mapeamento Transparente do Usuário em Endereço 2002, Edgard Jamho
Integração com Métodos de Autenticação – User Authentication (transparente) • Permite a usuário remoto acessar um serviço da rede independente do seu IP. • O firewall reconhece o login do usuário analisando o conteúdo dos protocolos FTP, HTTP, TELNET e RLOGIN. – Session Authentication • Quando o usuário tenta acessar um serviço da rede o Firewall envia para o cliente um pedido de login (challange message). • O cliente deve ter um software especial para confirmar a senha. • Só então o acesso é permitido (ou negado). 2002, Edgard Jamho
Integração com Métodos de Autenticação • Mapeamento Transparente entre Usuário e Endereço – O Firewall captura mensagens DHCP para as máquinas. – O Firewall captura as mensagens de login trocadas entre o usuário e o servidores de domínio da rede. • CHECK POINT, por exemplo, suporta as mensagens do Windows NT. • O usuário não se loga no Firewall, o sucesso do login é identificado pelo Firewall também capturando as mensagens do servidor. 2002, Edgard Jamho
Edgard jamhour
Url
No texto citado o pensador contemporâneo edgard
Firewalls are used for what security principle
Ssh works
Perimeter firewalls are the simplest type of firewall
What is firewall design
Carp vs vrrp
History of the firewall
Auditing firewall security
What are firewalls
Types of firewalls ppt
Introduction of firewall
Ids sensors
Utulsa computer science
Dynamic firewalls
Stateful vs stateless firewall
2002
Dr. kanupriya chaturvedi
4122002
Cui banner marking
Intitle:"index of" barbershop 2002
Egumis是什么
Duncan 2002
Janvier 2002 calendrier
Aurinkokunta pienoismalli
14/4/2002
Power point 2002
Uu 32 tahun 2002
Falk 2002
Hiperkalorik ne demek
Jakob ejersbo 2002
Nrs 2002 başlangıç taraması
Spiderman call to adventure
Hubbs-tait et al 2002
Professional engineers act 2002
Microsoft access reports tutorial
Kurikulum institusional adalah
Skep dirjen dikti no. 38/dikti/kep./2002
Ibm soa architecture
Beckham 2002
Halide with 6 energy levels
Reverse factoring definitie
Decreto 1279 de 2002
Wolrd cup 2002
Cad stands for
De que habla el decreto 3222 del 2002
Enflasyon nedr
Odisha panchayat samiti accounting procedure rules 2002
Lopegce
Die another day 2002
En 12464-1:2002
Continuity and change thesis
Copyright 2002
T. trimpe 2006 http://sciencespot.net/
Kotler 2002
Copyright 2002
Joyce weil y calhoun 4 modelos de enseñanza
Visual studio 2002
