Firewall de Rede Administração de Redes Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de...
-
Upload
elisa-pastor -
Category
Documents
-
view
221 -
download
0
Transcript of Firewall de Rede Administração de Redes Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de...
Firewall de RedeFirewall de Rede
Administração de RedesAdministração de Redes
Faculdade de Tecnologia SENAC Pelotas/RSFaculdade de Tecnologia SENAC Pelotas/RSCurso Superior de Tecnologia em Redes de Computadores Curso Superior de Tecnologia em Redes de Computadores
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 22
SumárioSumário
ApresentaçãoApresentação ConceitoConceito HistóricoHistórico Protocolos de Rede Protocolos de Rede Tipos de FirewallsTipos de Firewalls Projeto de FirewallProjeto de Firewall AplicaçõesAplicações Estudos de CasoEstudos de Caso ReferênciasReferências
ConceitoConceito
Segundo os autores, Segundo os autores, Cheswick e Bellovin, Cheswick e Bellovin, um um firewallfirewall é uma coleção de componentes é uma coleção de componentes ou um sistema localizado entre duas redes e ou um sistema localizado entre duas redes e que possui as seguintes propriedades:que possui as seguintes propriedades:
Todo o tráfego entrante e sainte, Todo o tráfego entrante e sainte, obrigatoriamente, deverá passar pelo obrigatoriamente, deverá passar pelo firewall firewall
Somente tráfego autorizado de acordo Somente tráfego autorizado de acordo com a política de segurança local deverá com a política de segurança local deverá ter permissão de passar pelo firewallter permissão de passar pelo firewall
O próprio firewall deve ser imune a O próprio firewall deve ser imune a invasõesinvasões
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 33
O objetivo de um firewall O objetivo de um firewall é previnir que usuários é previnir que usuários não-autorizados acessem não-autorizados acessem recursos na rede interna recursos na rede interna e que acessem recursos e que acessem recursos externos indesejadosexternos indesejados
HistóricoHistórico 1987-1988 – É publicado um artigo pela empresa Digital 1987-1988 – É publicado um artigo pela empresa Digital
Equipament Corporation (DEC) sobre um modelo de Equipament Corporation (DEC) sobre um modelo de filtragem de pacotes (filtragem de pacotes (statelessstateless))
1989-1990 – Começam a aparecer as primeiras tentativas 1989-1990 – Começam a aparecer as primeiras tentativas de firewall de firewall statefulstateful
1991 – O primeiro firewall comercial DEC SEAL, baseado 1991 – O primeiro firewall comercial DEC SEAL, baseado em proxies de aplicaçõesem proxies de aplicações
1992 – Lançado o firewall comercial da empresa 1992 – Lançado o firewall comercial da empresa CheckPoint, o Firewall-1CheckPoint, o Firewall-1
1993 – FreeBSD 1993 – FreeBSD ipfilteripfilter 1994 – FreeBSD 1994 – FreeBSD ipfwipfw, avanços em relação ao ipfilter, avanços em relação ao ipfilter 1995 - Linux 1995 - Linux ipfwadmipfwadm, baseado no ipfw do FreeBSD, no , baseado no ipfw do FreeBSD, no
Kernel 1.2.1 do LinuxKernel 1.2.1 do Linux 1997 – Linux 1997 – Linux ipchainsipchains, evolução do ipfwadm, evolução do ipfwadm 1998 – Linux 1998 – Linux iptables (NetFilter)iptables (NetFilter), evolução do ipchains , evolução do ipchains
com recursos de statefullcom recursos de statefullAdministração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 44
Tipos de FirewallTipos de Firewall
Stateless (Packet Filter)Stateless (Packet Filter)Filtragem de pacotes, sem analisar o Filtragem de pacotes, sem analisar o
estado da conexãoestado da conexão StatefulStateful
Filtragem de pacotes, analisando o estado Filtragem de pacotes, analisando o estado da conexão (TCP e UDP)da conexão (TCP e UDP)
Proxy de aplicaçãoProxy de aplicaçãoFiltragem de acordo com o protocolo da Filtragem de acordo com o protocolo da
camada de aplicaçãocamada de aplicação Firewall de aplicaçãoFirewall de aplicação
Filtragem somente pelo endereço IP de Filtragem somente pelo endereço IP de origem, mais simples que os outros tiposorigem, mais simples que os outros tipos
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 55
Protocolos de RedeProtocolos de Rede
O firewall deverá inspecionar os pacotes de O firewall deverá inspecionar os pacotes de acordo com as regras e políticas configuradasacordo com as regras e políticas configuradas
Os cabeçalhos dos pacotes da camada de Os cabeçalhos dos pacotes da camada de rede e de transporte são normalmente rede e de transporte são normalmente inspecionadosinspecionados
Endereços IP de origem e destinoEndereços IP de origem e destinoProtocolos da camada de rede: ICMP, IGRP, Protocolos da camada de rede: ICMP, IGRP,
...... Protocolos da camada de transporte: TCP Protocolos da camada de transporte: TCP
e UDPe UDP Portas de comunicação de origem e Portas de comunicação de origem e
destinodestino Flags do protocolo TCP (Flags do protocolo TCP (statefulstateful))
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 66
Protocolos de RedeProtocolos de Rede
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 77
Protocolo IP Protocolo IP
Protocolos de RedeProtocolos de Rede
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 88
Protocolo ICMPProtocolo ICMP
Protocolos de RedeProtocolos de Rede
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 99
Protocolo UDPProtocolo UDP
Protocolos de RedeProtocolos de Rede
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1010
Protocolo TCPProtocolo TCP
Projeto de FirewallProjeto de Firewall
Política de rPolítica de regrasegrasO que não é expressamente O que não é expressamente permitidopermitido é é
proibidoproibidoO que não é expressamente O que não é expressamente proibidoproibido é é
permitidopermitidoHíbridoHíbrido
ZoneamentoZoneamento Rede interna Rede interna Rede externaRede externa DMZ DMZ (Demilitarized Zone)(Demilitarized Zone)
Tipo de firewallTipo de firewallAdministração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1111
AplicaçõesAplicações
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1212
Microsoft Windows XPMicrosoft Windows XP Personal FirewallPersonal Firewall
ZoneAlarmZoneAlarm Microsoft Windows 7Microsoft Windows 7 Modem/Router ADSLModem/Router ADSL
AplicaçõesAplicações
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1313
Linux Linux Kernel 2.0 (ipfwadm)Kernel 2.0 (ipfwadm)Kernel 2.2 (ipchains)Kernel 2.2 (ipchains)Kernel 2.4 e 2.6 (iptables)Kernel 2.4 e 2.6 (iptables)
FreeBSDFreeBSDIPFIPFIPFWIPFWPF PF
Pfsense (Pfsense (http://www.pfsense.org/)) distribuição baseada no FreeBSDdistribuição baseada no FreeBSD configuração pelo navegadorconfiguração pelo navegador Disponível em LiveCD (~60MB)Disponível em LiveCD (~60MB)
AplicaçõesAplicações
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1414
ComparativoComparativo
Fonte: Fonte: http://en.wikipedia.org/wiki/Comparison_of_firewalls
Estudo de CasoEstudo de Caso
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1515
Desempenho de rede com firewallDesempenho de rede com firewallQual o impacto da filtragem de pacotes e do Qual o impacto da filtragem de pacotes e do NAT no desempenho das aplicações?NAT no desempenho das aplicações?Cenários de testesCenários de testes
Firewall: iptables (Ubuntu)Firewall: iptables (Ubuntu)Ferramenta: Jperf (gerador de tráfego)Ferramenta: Jperf (gerador de tráfego)Interfaces a 10 Mbit/s Interfaces a 10 Mbit/s (só tinha estas em (só tinha estas em casa!)casa!)Firewall/Roteador: Pentium III, 128 MB de Firewall/Roteador: Pentium III, 128 MB de RAMRAM
Estudo de CasoEstudo de Caso
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1616
Desempenho de rede com firewallDesempenho de rede com firewallMetodologiaMetodologia
Gerar tráfego entre os hosts e variar as Gerar tráfego entre os hosts e variar as configurações do firewallconfigurações do firewall
ResultadosResultados
ConclusãoConclusãoO número de regras do firewall implica O número de regras do firewall implica diretamente no desempenho das diretamente no desempenho das aplicaçõesaplicações
Estudo de CasoEstudo de Caso
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1717
Firewall Builder (Firewall Builder (http://www.fwbuilder.org/))Gerenciador de firewallsGerenciador de firewalls
Baseado em objetos (interfaces, redes, Baseado em objetos (interfaces, redes, hosts,...) hosts,...) Gera regras para: Cisco ACLs, iptables, Gera regras para: Cisco ACLs, iptables, ipfw, ipf,...ipfw, ipf,...
Disponível para Linux, Windows e Mac OS XDisponível para Linux, Windows e Mac OS XCódigo-fonte aberto Código-fonte aberto Versão paga para Windows e Mac OS XVersão paga para Windows e Mac OS X
Demonstração
ConclusãoConclusão
Os firewalls são um importante Os firewalls são um importante recurso para aumentar a segurança recurso para aumentar a segurança dos hostsdos hosts
Não é o único recurso de Não é o único recurso de segurançasegurança
Existem diversos tipos e Existem diversos tipos e implementações, com ótimas implementações, com ótimas alternativas em código-fonte alternativas em código-fonte abertoaberto
Deve haver cuidado com o uso de Deve haver cuidado com o uso de firewalls em relação ao firewalls em relação ao desempenho da rededesempenho da redeAdministração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação..
1818
ReferênciasReferências
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1919
LivrosLivrosZWICKY, E.; COOPER; Simon, CHAPMAN, D. B. Construindo ZWICKY, E.; COOPER; Simon, CHAPMAN, D. B. Construindo Firewalls para a Internet. 2ª edição. Campus, 2001 Firewalls para a Internet. 2ª edição. Campus, 2001 NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals. Cisco NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals. Cisco Press, 2006.Press, 2006.GHEORGHE, L. Designing and Implementing Linux GHEORGHE, L. Designing and Implementing Linux Firewalls and QoS. Packt Publishing, 2006.Firewalls and QoS. Packt Publishing, 2006.STALLINGS, William. Criptografia e segurança de redes. 4ª STALLINGS, William. Criptografia e segurança de redes. 4ª edição. Pearson, 2008.edição. Pearson, 2008.CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet Security: Repelling the Wily Hacker. Online, disponível em Security: Repelling the Wily Hacker. Online, disponível em http://www.wilyhacker.com/1e/
ReferênciasReferências
SitesSites Documentação do Iptables Documentação do Iptables http://www.netfilter.org/documentation/index.html#documentation-howto Histórico sobre firewallsHistórico sobre firewalls
http://www.cerias.purdue.edu/about/history/coast_resources/firewalls/http://www.cerias.purdue.edu/about/history/coast_resources/firewalls/Firewall BuilderFirewall Builder
http://www.fwbuilder.org/http://www.fwbuilder.org/Evolução dos firewalls comerciaisEvolução dos firewalls comerciais
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htmhttp://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htmIPFW para WindowsIPFW para Windows
http://wipfw.sourceforge.net/http://wipfw.sourceforge.net/M0n0wallM0n0wall
http://m0n0.ch/wall/http://m0n0.ch/wall/PfSensePfSense
http://www.pfsense.org/IPCOPIPCOP
http://www.ipcop.org/Comparativo entre firewallsComparativo entre firewalls
http://en.wikipedia.org/wiki/Comparison_of_firewalls
Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 2020