Firewall e VPN Prof. Rafael Guimarães, PhD [email protected].
Transcript of Firewall e VPN Prof. Rafael Guimarães, PhD [email protected].
Firewall e VPNFirewall e VPN
Prof. Rafael Guimarães, [email protected]
IntroduçãoIntrodução• O que é um firewall?
– Algumas pessoas definem firewall como uma caixa específica projetada para filtrar o tráfego na Internet
– Essa caixa pode ser comprada (appliance) ou construída
– Firewall é qualquer dispositivo, software, arranjo ou equipamento que limita o acesso à rede
IntroduçãoIntrodução• Qual é a função de um Firewall?
– A função básica de um Firewall em um servidor é bloquear o acesso às portas que não estão em uso, evitando assim a exposição de serviços vulneráveis, ou que não devem receber conexões por parte da Internet
IntroduçãoIntrodução• Quando se fala em firewall, muitas vezes se
pensa em um dispositivo dedicado, colocado entre o servidor (ou o switch da rede) e a Internet
• Embora eles sejam muito comuns, é possível obter um nível de segurança similar simplesmente usando os recursos nativos do sistema, configurando o iptables, por exemplo
• Os firewalls podem ser baseados em hardware e/ou software ou uma mistura dos dois
IntroduçãoIntrodução• Três fatores estão em risco quando nos
conectamos a Internet:– A Reputação
– Os Computadores
– As Informações Guardadas;
• Três fatores precisam ser resguardados:– Privacidade
– Integridade
– Disponibilidade
FirewallsFirewalls• A necessidade dos firewalls surgiu com a
disseminação da Internet e das redes de computadores
• Normalmente, os servidores e as estações de trabalho não possuem características de segurança fortes
• O firewall, portanto, na maioria das vezes é posicionado entre a rede local e a rede externa, visando:– Estabelecer um enlace controlado
– Proteger a rede local contra ataques
– Fornecer um único ponto de acesso à rede
FirewallsFirewalls• Todo o tráfego de dentro para fora da rede deve
passar pelo firewall– Bloquear (impedir) qualquer tipo de acesso que
não passe pelo firewall• Somente o tráfego autorizado é permitido
passar pelo firewall– Estabelecer uma política
de segurança que defina o que é tráfego autorizado
• O próprio firewall deve ser “imune” a invasões– Instalado em um
sistema operacional seguro e confiável
Características dos FirewallCaracterísticas dos Firewall• Os firewalls são usados para:
– Controle de serviço• Determina os tipos de serviços da Internet que
podem ser acessados
– Controle de direção• Determina a direção na qual as requisições de
serviço podem fluir
– Controle de usuário• Controla o acesso aos serviços de acordo com os
usuários que tentam acessá-los
– Controle de comportamento• Controla a forma como os serviços são acessados
Características dos FirewallsCaracterísticas dos Firewalls• Os firewalls podem filtrar vários níveis diferentes
em uma pilha de protocolo de rede• Existem 03 categorias principais:
– Filtragem de pacotes
– Gateways de circuito
– Gateways de aplicação
Filtros de PacoteFiltros de Pacote• Oferecem um nível barato e útil de segurança
– Os recursos de filtragem vêm com o software roteador
• Funcionam eliminando pacotes com base em seus endereços de origem ou destino, ou nos números e portas
• As decisões são tomadas com base no conteúdo do pacote atual– Pouco ou nenhum contexto é mantido
• Dependendo do tipo do roteador, a filtragem pode ser feita na interface de entrada, de saída ou ambas
Filtros de PacoteFiltros de Pacote
• O firewall faz o roteamento seletivo de pacotes entre a rede local e a rede externa
• Utiliza um conjunto de regras sobre o cabeçalho TCP e IP para selecionar os pacotes
• As regras são aplicadas a cada pacote na direção desejada
Filtros de PacoteFiltros de Pacote• As regras são estabelecidas utilizando as
seguintes informações, disponíveis para o roteador:– Endereço IP de origem e de destino
– Tipo de protocolo (TCP, UDP ou ICMP)
– Portas (TCP e UDP) de origem e destino
– Tipo de mensagem ICMP
– Interfaces de entrada e saída dos pacotes
Filtros de PacoteFiltros de Pacote• Vantagens
– Simplicidade
– Transparência para o usuário
– Alta velocidade
• Desvantagens– Dificuldade para configurar as regras de filtragem
– Inexistência de autenticação
Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação• Os filtros no nível de aplicação lidam com os
detalhes do serviço particular que estão verificando e normalmente são mais complexos que os filtros de pacotes
• Ao invés de utilizar um mecanismo de uso geral, para permitir o fluxo de muitos tipos diferentes de tráfego, um código de uso especial pode ser utilizado para cada aplicação desejada
• Ex: Filtros para correio eletrônico entendem:– Cabeçalhos RFC 822, anexos formatados como
MIME e pode identificar softwares infectados com vírus
Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação
• Atua de forma transparente como um controlador de tráfego entre os usuários internos e os serviços externos na camada de aplicação
• Como se fosse um proxy!
Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação• Vantagens
– Oferece maior segurança que filtros de pacotes
– Precisa examinar apenas algumas poucas aplicações permitidas
– Facilidade de auditar e registrar todo o tráfego de entrada
• Ex: Correio– Verificado quanto a palavras obscenas
– Verificado quanto a indicações de que dados proprietários ou restritos estão passando pelo gateway
• Desvantagens– Sobrecarga de processamento adicional em cada
conexão
Filtragem no Nível de CircuitoFiltragem no Nível de Circuito• Os gateways no nível de circuito trabalham no nível do
TCP• As conexões TCP são retransmitidas por meio de um
computador que atua basicamente como um cabeamento– Executa-se um programa que copia bytes entre duas
conexões, e eles podem ser possivelmente armazenados
• Quando um cliente deseja se conectar a um servidor, ele se conecta a um host transmissor que por sua vez se conecta ao servidor– Desta forma, o nome e o IP do cliente normalmente
não estão disponíveis
Filtragem no Nível de CircuitoFiltragem no Nível de Circuito
• Os retransmissores de circuito são geralmente utilizados para criar conexões específicas entre redes isoladas
Filtragem no Nível de CircuitoFiltragem no Nível de Circuito• O protocolo SOCKS foi criado para funcionar
neste tipo de configuração• Em geral, os serviços de retransmissão não
examinam os bytes quando eles fluem• Pode-se registrar o número de bytes e o destino
TCP, e tais logs podem ser úteis• Uma vantagem dos gateways de circuito é que
eles limpam conexões de IP– O endereço IP de origem não está disponível
para o servidor
DMZDMZ
• DeMilitirized Zone– Algumas máquinas da rede oferecem serviços
para a Internet, outras não
FirewallsFirewalls
• Fornecedores
Introdução às VPNsIntrodução às VPNs• Redes Privadas Virtuais
– Criação de uma rede privada utilizando a infraestrutura de uma rede pública
Introdução às VPNsIntrodução às VPNs• O que é uma VPN?
– VPNs são redes virtuais, criadas para interligar duas redes de computadores distintas e separadas fisicamente e que se comunicam entre si de forma segura, usando criptografia, através de um meio público de comunicação – geralmente a Internet
– Usar uma VPN permite compartilhar arquivos e usar aplicativos de produtividade e gerenciamento, como se todos os micros estivessem conectados na mesma rede local
Introdução às VPNsIntrodução às VPNs• Analogia para entender o conceito de VPN
– Formas diferentes de atravessar o canal da Mancha
• Forma insegura = travessia de barco, pois dessa forma a tripulação estaria sujeita a todo tipo de interferência externa.
• Forma segura e privativa = travessia por meio do Eurotúnel. Dessa forma, os passageiros não estariam sujeitos às interferências de outras pessoas ou da natureza.
• Portanto, essa forma de travessia equivale à utilização de uma VPN para atravessar o canal da Mancha.
Aplicações de VPNAplicações de VPN
• “Braço” seguro do escritório através da Internet– VPN através da Internet permite que
computadores fora da empresa acessem a rede da empresa (como se fossem locais)
• Acesso remoto seguro através da Internet– Computadores externo pode se conectar à rede
de uma empresa de forma segura através da Internet
• Estabelecimento de conexão de extranets e intranets com parceiros– Garante segurança na interligação de empresas
VantagensVantagens• As principais vantagens são:
– Redução de custo• Pois não há necessidade de linhas dedicadas e
servidores para acesso remoto.
– Segurança
– Transparência• A transparência não deixa que usuários,
aplicações e computadores percebam a localização física dos equipamentos que estão sendo utilizados, permitindo que eles sejam acessados em lugares remotos como se estivessem presentes localmente
– Flexibilidade
Funcionamento da VPNFuncionamento da VPN• De forma simplificada, os passos de configuração e
funcionamento do acesso remoto VPN são:– O usuário instala o software cliente;
– O servidor informa os parâmetros necessários para a conexão IPSec, entre eles o certificado digital, a chave de criptografia e os algoritmos criptográficos a serem utilizados;
– O usuário recebe as informações do servidor e configura o software cliente para poder estabelecer uma conexão;
– A conexão IPSec é negociada entre o usuário e a rede da organização de acordo com os parâmetros do usuário e do servidor, que possui uma lista dos recursos que cada usuário pode acessar.
Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo de
como é feita a conexão– Host x Host
• Objetivo de comunicar dois hosts separados fisicamente, mas fornecendo a segurança necessária
Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo de
como é feita a conexão– Host x Rede
• Permitir que um host móvel se conecte a uma determinada rede através da Internet
Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo
de como é feita a conexão– Rede x Rede
• Topologia ideal para interligar redes de uma mesma organização que possui centros geograficamente distantes
Topologias para VPNTopologias para VPN• Algumas configurações sobre a localização da
VPN dentro da rede da empresa são as seguintes:– Dentro do firewall;– Em frente ao firewall;– Atrás do firewall;– Paralelo ao firewall;– Ao lado do firewall;– Em uma DMZ (DeMilitarized Zone);
Topologias para VPNTopologias para VPN• Gateway VPN dentro do Firewall
Topologias para VPNTopologias para VPN• Gateway VPN dentro do Firewall
– É a opção que parece mais natural• Toda a segurança da rede é feita por uma única máquina• Isso leva a uma redução de custos, pois não será
necessário investir em mais equipamentos
– Uniformiza a administração e o gerenciamento dos componentes da rede
– Desvantagem: Constitui um único ponto de falha, pois um ataque à VPN pode comprometer toda a estrutura do firewall e vice-versa
Topologias para VPNTopologias para VPN• Gateway VPN em frente ao Firewall
Topologias para VPNTopologias para VPN• Gateway VPN em frente ao Firewall
– É o ponto de conexão à Internet– Se apresentar falhas, pode ser explorado por um
intruso• Caso isso ocorra, todo o tráfego pode ficar comprometido,
tornando a rede indisponível
– O tráfego VPN é inspecionado pelo firewall depois que os pacotes saem da rede virtual
Topologias para VPNTopologias para VPN• Gateway VPN atrás do Firewall
Topologias para VPNTopologias para VPN• Gateway VPN atrás do Firewall
– Necessário configurar uma regra específica para redirecionar os dados destinados ao gateway VPN
– O ponto fraco dessa configuração é que o firewall não poderá filtrar ou analisar os dados da VPN com destino a rede interna
• Haverá o risco de invasão a partir do gateway VPN
– A vantagem é que o gateway VPN não fica exposto e vulnerável a ataques originários da Internet
Topologias para VPNTopologias para VPN• Gateway VPN paralelo ao Firewall
Topologias para VPNTopologias para VPN• Gateway VPN paralelo ao Firewall
– Separação do tráfego da VPN do tráfego da Internet. – Vantagem: distribuição e balanceamento do
transporte de dados de acordo com o destino – Desvantagem: vulnerabilidade do gateway VPN que
estará exposto a tentativa de invasão, pois não há um firewall protegendo-o
Topologias para VPNTopologias para VPN• Gateway VPN ao lado do Firewall
Topologias para VPNTopologias para VPN• Gateway VPN ao lado do Firewall
– Possui um segmento de rede adicional exclusivo para o gateway VPN
– Após a análise e decifragem feita pelo gateway VPN os dados passarão novamente pelo firewall
– Vantagens• Não deixa o gateway VPN exposto• Os dados cifrados destinados ao gateway VPN são
redirecionados diretamente sem uma análise prévia e apenas no retorno para a rede interna é que serão analisados pelo firewall.
• Esse procedimento diminui o congestionamento do firewall.