firewalls cristina dutra de aguiar ciferri ricardo rodrigues ciferri sônia v. a. frança...
TRANSCRIPT
![Page 1: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/1.jpg)
FIREWALLS
Cristina Dutra de Aguiar Ciferri
Ricardo Rodrigues Ciferri
Sônia V. A. França
cdac,rrc,[email protected]
![Page 2: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/2.jpg)
Firewalls
• Simples pontos de conexão entre duas redes não confiáveis
• Permitem que a comunicação seja monitorada e segura
• Propriedades– todo tráfego deve passar pelo firewall– somente o tráfego autorizado pode passar– o firewall propriamente dito é imune de
invasões
![Page 3: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/3.jpg)
Internet
rede interna
FirewallFirewallsistema de firewall:• roteador• PC• sistema Unix• conjunto de hosts
baseado em: • hardware• software
![Page 4: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/4.jpg)
Firewall
• Seguro– não é um host de propósito geral
• Ponto central para administração de serviços– correio eletrônico– ftp
• Garante política de segurança
![Page 5: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/5.jpg)
Firewall
• Foco de decisões de segurança– mais eficiente do que espalhar decisões e
tecnologias de segurança
• Permite rastreamento– origem das conexões– quantidade de tráfego no servidor – tentativa de quebra do sistema
• Limita a exposição
![Page 6: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/6.jpg)
FirewallNão oferece proteção contra:
• Ataques internos maliciosos
• Conexões que não passam pelo firewall
• Ameaças totalmente novas
• Vírus
![Page 7: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/7.jpg)
Tecnologia
• Estática– permitir qualquer serviço a menos que ele seja
expressamente negado– negar qualquer serviço a menos que ele seja
expressamente permitido
• Dinâmica– permitir/negar qualquer serviço para quando e
por quanto tempo desejar
![Page 8: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/8.jpg)
Componentes
Gateway(s)
Filtro Filtro
Internetrede
interna
• zona desmilitarizada (DMZ)• gateway + gateway interno
protege a rede interna das consequências de um gateway comprometido
protege o gateway de ataques
• também chamado de screen (screening router)
• bloqueia transmissão de certas classes de tráfego
• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy
![Page 9: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/9.jpg)
Packet Filtering
• Funcionalidade– roteia pacotes entre hosts internos e externos de
maneira seletiva– permite ou bloqueia a passagem de certos tipos
de pacotes– reflete a política de segurança do site
• Filtragem– quando o pacote está chegando– quando o pacote está saindo
![Page 10: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/10.jpg)
Packet Filtering
• Filtragem baseada em– endereços fonte e destino– portas fonte e destino– protocolo– flags– tipo da mensagem
• Exemplos– bloqueie todas as conexões oriundas do host X– permita apenas conexões SMTP
![Page 11: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/11.jpg)
rede interna
Internet
screening router
![Page 12: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/12.jpg)
Packet FilteringScreening Router
• determina se pode ou não enviar o pacote
• determina se deve ou não enviar o pacote
Como o pacote pode ser roteado?
O pacote deve ser roteado?
Router• verifica endereço de
cada pacote• escolhe melhor
maneira de enviá-lo
Como o pacote pode ser roteado?
![Page 13: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/13.jpg)
Configuração
Processo de três passos:
• Determinar o que deve e o que não deve ser permitido– política de segurança
• Especificar formalmente os tipos de pacotes permitidos– expressões lógicas
• Reescrever as expressões de acordo com o produto
![Page 14: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/14.jpg)
Exemplo• Passo 1
– tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0)
• Passo 2
Regra Direção Fonte Destino ACK Ação
A inbound 172.16... interna qualquer permitir
B outbound interna 172.16.... qualquer permitir
C ambas qualquer qualquer qualquer negar
![Page 15: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/15.jpg)
Exemplo
• Passo 3– Screend
• between host 172.16.51.50 and net 192.168.10 accept;
• between host any and host any reject;
– Telebit NetBlazer• permit 172.16.51.50/32 192.168.10/24 syn0 in
• deny 0.0.0.0/0 0.0.0.0/0 syn0 in
• permit 192.168.10/24 172.16.51.50/32 syn0 out
• deny 0.0.0.0/0 0.0.0.0/0 syn0 out
![Page 16: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/16.jpg)
Filtragem por Endereço• Características
– restringe o fluxo de pacotes baseado nos endereços fonte e destino
– não considera quais protocolos estão envolvidos
• Utilização– permite a comunicação hosts externos e hosts
internos
• Problema– endereços podem ser inventados
![Page 17: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/17.jpg)
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
OUTGOING
IP fonte: cliente localIP destino: servidorserviço: TCPporta fonte: >1023 (Y)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Outbound
![Page 18: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/18.jpg)
Internet
rede interna
FirewallFirewall
Telnet Server
Telnet Client
INCOMING
IP fonte: servidorIP destino: cliente localserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Y)pacotes: com ack
Filtragem por Serviço
Outbound
![Page 19: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/19.jpg)
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
INCOMING
IP fonte: cliente remotoIP destino: servidorserviço: TCPporta fonte: >1023 (Z)porta destino: 23 (telnet)pacotes:
• 1: sem ack• demais: com ack
Filtragem por Serviço
Inbound
![Page 20: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/20.jpg)
Internet
rede interna
FirewallFirewall
Telnet Client
Telnet Server
OUTGOING
IP fonte: servidorIP destino: cliente remotoserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Z)pacotes: com ack
Filtragem por Serviço
Inbound
![Page 21: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/21.jpg)
Filtragem por ServiçoDireçãoServiço
DireçãoPacote
End.Fonte
End.Destino
TipoPacote
PortaFonte
PortaDestino
ACK
outbound outgoing interno externo TCP Y 23 a
outbound incoming externo interno TCP 23 Y Yes
inbound incoming externo interno TCP Z 23 a
inbound outgoing interno externo TCP 23 Z Yes
Regra Direção End.Fonte
End.Destino
Protocolo
PortaFonte
PortaDestino
ACK Ação
A out interno qq TCP >1023 23 qq permitir
B in qq interno TCP 23 >1023 Yes permitir
C ambas qq qq qq qq qq qq negar
![Page 22: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/22.jpg)
Packet Filtering
• Vantagens– pode ajudar a proteger uma rede inteira– não requer conhecimento ou cooperação do
usuário– disponível em vários roteadores– baixo custo
• Desvantagens.........
![Page 23: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/23.jpg)
Application-Level Gateway
servidorreal
clienteinterno
cliente servidor
pedidopropagação do pedido
resposta propagação da resposta
proxy possui controle total
![Page 24: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/24.jpg)
Circuit-Level Gateway
circuit-levelgateway
servidorcliente
porta destino
porta fonte TCP
IP
Acesso a Rede
![Page 25: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/25.jpg)
Arquitetura de Firewalls
• Solução universal ?
• Problemas– quais serviços serão disponibilizados ?– qual o nível de risco ? – qual a política de segurança ?
• Técnicas– tempo, custo e conhecimento– TELNET e SMTP packet filtering– FTP e WWW proxy
![Page 26: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/26.jpg)
Packet Filtering Architecture
• Screening Router é colocado entre uma rede interna e a Internet
• Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ...
• Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes)
• Simples mais comum e fácil de usar em sites pequenos
• Mas ....
![Page 27: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/27.jpg)
Packet Filtering Architecture• Problemas:
– falha compromete toda a rede interna – número de regras pode ser limitado– desempenho x número de regras– não é possível modificar serviços: permite ou
nega, mas não pode proteger operações individuais
– complexidade de configuração – tratamento de exceções– log dos pacotes que passaram
![Page 28: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/28.jpg)
interfacede rede
interfacede rede
interfacede rede
Rede 2Rede 1 Rede 3
roteamento opcional
Dual-Homed Host ArchitectureMulti-Homed Host:
várias interfaces de rede (homes)
![Page 29: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/29.jpg)
• Host: 2 interfaces de rede (interna e Internet)
• Função de roteamento desabilitada– pacotes não são roteados diretamente para outra
rede não permite comunicação direta entre a rede interna e a Internet
– isolamento de tráfego entre as redes
• Acessível – por hosts da rede interna – por hosts da Internet – requer alto nível de proteção
Dual-Homed Host Architecture
![Page 30: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/30.jpg)
• Login diretamente no dual-homed host– acesso aos serviços através da interface de rede
externa (Internet)– segurança do sistema pode ser comprometida– vulnerabilidade de senhas– usuário pode habilitar serviços inseguros– dificuldade de monitoração e detecção de
ataques– baixo desempenho– oferecimento de serviços indesejáveis
Dual-Homed Host Architecture
![Page 31: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/31.jpg)
servidorreal
clienteinterno
FTP proxy
interface interface
ILUSÃO
Internet
InternetFTP
Serviços “store-and-forward”: SMTP (mail) e NNTP (news)
mail proxy
Dual-Homed Host Architecture
![Page 32: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/32.jpg)
Internet
screening router
rede interna
bastionhost
![Page 33: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/33.jpg)
Screened Host Architecture
• Problemas– falha do roteador compromete segurança
oferecida pelo bastion host– ataque ao bastion host não há outra barreira
entre a Internet e a rede interna– visibilidade de tráfego interno: coleta de senhas
através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados
![Page 34: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/34.jpg)
Internet
rede interna
rede perimetral - DMZ
screening router externo
bastionhost
screening router interno
![Page 35: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/35.jpg)
Screened Subnet Architecture
• Visibilidade do tráfego – via bastion host apenas para a DMZ– ideal: tráfego na DMZ não deve ser confidencial– dados devem ser protegidos por criptografia
• Serviços externos– via proxy– conexão direta via packet filtering
![Page 36: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/36.jpg)
Internet
rede interna
DMZ interna
DMZ externa
externo
interno
intermediário
WWW/FTP
![Page 37: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/37.jpg)
Múltiplos BHsInternet
rede interna
FTP
rede perimetral - DMZ
SMTP2WWW
desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços
![Page 38: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/38.jpg)
rede interna
externo
interno
bastion host
Internet
DMZ externa
DMZ interna
quebra não permite visibilidade do tráfego
da rede interna
![Page 39: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/39.jpg)
Produtos Comerciais• Informações técnicas de produtos de firewall
– www.access.digex.net/~bdboyle/firewall.vendor.html
• Grande variedade– SecurIT www.milkyway.com/prod.html– Borderware www.securecomputing.com– Firewall-1 www.CheckPoint.com– ... Guardian www2.ntfirewall.com/ntfirewall
• Freestone: código fonte de produto comercial– www.soscorp.com/products/Freestone.html
![Page 40: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/40.jpg)
Firewall-1
• É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP.
• Possibilita que empresas construam suas próprias políticas de segurança.
• Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.
![Page 41: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/41.jpg)
Firewall-1
• Características: – Filtragem segura de pacotes; – Acesso seguro a Internet;– Acesso remoto seguro; – Redes Virtuais Privadas (VPN) para criar
seguros “túneis” através de redes públicas inseguras;
– Habilidade para definir a adicionar novos protocolos e serviços;
– Auditoria e alerta.
![Page 42: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/42.jpg)
Firewall-1
• Vantagens:
– flexibilidade; – escalabilidade; – extensibilidade; – transparência; – suporte a múltiplos
protocolos e tecnologia de rede;
– pode ser distribuído sobre múltiplas plataformas;
– requerimentos de conectividade sem causar impacto a performance da rede.
![Page 43: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/43.jpg)
Firewall-1
• Requerimentos:
Plataforma de hardware : Sun SparcIntel executando Solaris 2.4 ou versões superiores
Sistema Operacional : SunOs 4.1.3 ou SolarisWindows 95/Windows NT
Interface Gráfica : X11R5/Open LookEspaço em Disco : 15 MbMemória : 32 MbInterface de Rede : Interface padrão de SUN workstation
![Page 44: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/44.jpg)
Firewall-1
• Arquitetura:– Atua como um roteador seguro entre uma rede
interna e uma rede externa.
FireWall-1Rede
ExternaRede
Interna
Internet
![Page 45: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/45.jpg)
Firewall-1
• Arquitetura:– Módulo de Controle: inclui o módulo de
gerenciamento e interface para o usuário;
– Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.
![Page 46: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/46.jpg)
• Arquitetura:
Firewall-1
Módulo de Inspeção
Deamon
Interface gráfica do usuário
Servidor de gerenciamento
Log/Alerta
Módulo FireWall Módulo de Controle
Logs/Alerta
StatusLogs/Alerta
Comandos
Login e Status
Canal de comunicação seguro
Gateway/FireWall
Estação de gerenciamento
![Page 47: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/47.jpg)
• Arquitetura– Módulo de Controle
• Usado para implementar a política de segurança de rede;
• Controla o módulo de filtragem de pacotes;
• Pode ser usado como um facilidade para visualizar login e controle de informação.
• Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)
Firewall-1
![Page 48: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/48.jpg)
Firewall-1• Arquitetura
– Módulo FireWall• O módulo de inspeção é dinamicamente carregado
no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede.
• Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado.
• Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.
![Page 49: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/49.jpg)
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o
Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
Sim
Sim
NãoNão
Não
Não
![Page 50: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/50.jpg)
Firewall-1
7 Aplicação
6 Apresentação
5 Sessão
4 Transporte
3 Rede
2 Enlace
1 Física
Passar o Pacote?
Opcional: log/Alerta
Pacote recebido
O pacote esta dentro das regras?
Mais alguma regra?
Enviar NACK
Pacote descartado
Sim
SimNão
Não
Não
Setar a próxima
regra
Sim
Não
![Page 51: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/51.jpg)
• Performance– Emprega diversas técnicas de otimização
• Rodando dentro do kernel do sistema operacional reduz processamento;
• otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem;
• técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.
Firewall-1
![Page 52: FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc10b497959413d8c26e1/html5/thumbnails/52.jpg)
Conclusões
• Firewalls– maturidade tecnológica– política de segurança é garantida em um único
componente lógico– quanto maior o grau de segurança oferecido,
maiores os custos associados e menor a flexibilidade no oferecimento de serviços
– não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”