BACEN - TI Segurança da Informação

Transcrição

1 BACEN - TI Segurança da Informação Mecanismos de Proteção Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmail.com 1

2 Roteiro Firewall IDS/IPS VPN IPSec 2

3 Firewall Definições: É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas. É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará. É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si. 3

4 Firewall Definição Ponto Único Rede 1 Rede 2 Controle Um ou mais componentes Autenticação Registro de Tráfego 4

5 Firewall Definição Componentes Firewall Funcionalidades Arquitetura Tecnologias 5

6 Firewall Existem coisas que o firewall NÃO PODE proteger: do uso malicioso dos serviços que ele é autorizado a liberar; dos usuários que não passam por ele, ou seja, não verifica o fluxo intra-redes; dos ataques de engenharia social; das falhas de seu próprio hardware e sistema operacional. 6

7 Firewall Classificação e Funcionalidades Classificação: filtro de pacotes; filtro de pacotes baseado em estados ou filtro de estado das conexões (stateful); proxy de serviços. 7

8 Firewall Classificação e Funcionalidades Funcionalidades: filtros; proxies; bastion hosts; Zonas Desmilitarizadas (DMZ); NAT; VPN autenticação; balanceamento de carga; alta disponibilidade. 8

9 Firewall Evolução Proxy Filtros de Pacotes baseado em Estados Filtros de Pacotes Roteadores Listas de Controle de Acesso (ACL s) 9

10 Firewall Política Padrão Existem dois tipos de modelo de acesso, ou política padrão, que podem ser aplicados ao firewall: tudo é permitido, exceto o que for expressamente proibido; tudo é proibido, exceto o que for expressamente permitido. 10

11 Exercícios 1. [37] (Analista de Redes e Comunicação de Dados MPE-RO/2005 CESGRANRIO) Qual das funções abaixo um firewall NÃO realiza em uma rede? (A) Bloquear acesso não autorizado aos aplicativos remotos que podem ser perigosos para a rede. (B) Criar redes privadas virtuais (VPN). (C) Filtrar URL, negando acesso para sites não autorizados. (D) Suportar varreduras de vírus no correio eletrônico. (E) Tratar códigos maliciosos de ataques do tipo Cavalo-de-Tróia. 11

12 Exercícios 2. [59] (Análise de Sistemas Suporte BNDES/2008 CESGRANRIO) Uma empresa possui um link com a Internet de 10 Mbps (full-duplex), por meio de um determinado provedor. O site dessa empresa está hospedado em um servidor WEB na seguinte topologia: Um ataque distribuído de negação de serviço (DDoS) externo está sendo disparado para essa empresa, tendo como alvo o servidor WEB. O link Internet apresenta, do ponto de vista da empresa, utilização máxima no tráfego de entrada e baixa utilização no tráfego de saída. Além disso, o servidor HTTP está sobrecarregado processando, em sua maioria, solicitações de conexão (SYN) oriundas de endereços pertencentes a uma determinada sub-rede com prefixo /

13 Exercícios De acordo com a situação exposta, é correto afirmar que o(a) (A) desempenho no acesso de usuários externos ao site não está comprometido, já que o tráfego de saída está livre. (B) bloqueio de inundação UDP (UDP Flood) pode ser ativado no firewall para impedir a sobrecarga de conexões do servidor WEB. (C) roteador de borda deve ser configurado para bloquear todos os endereços que solicitam mais de uma conexão (SYN) por vez. (D) redução do impacto desse ataque pode ser obtida junto ao provedor, com a configuração de bloqueios específicos de tráfego. (E) instalação de um IDS entre o roteador e o firewall para prevenção de ataques de buffer overflow impediria o DDoS. 13

14 Exercícios 3. (Analista de Redes Ministério Público do Estado do Amazonas/ CESPE) Com relação à segurança de perímetro, julgue os itens a seguir. 1 [96] O perímetro de segurança da rede pode ser composto de: roteadores de borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com tráfego filtrado. 2 [97] O roteador de borda é o último roteador sobre o qual se pode ter controle antes de entrar, de fato, na Internet. Geralmente, sua operação segue as políticas de roteamento e de acesso, neste caso implementadas por listas de acesso que controlam os tráfegos ingresso e egresso. 3 [98] Firewalls são pontos de concentração de tráfego que controlam o tráfego de entrada e de saída da rede. Entretanto, as regras e as características de implementação e operação lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores. 14

15 Exercícios 4. (Perito Criminal Federal Computação Científica PF-Nacional/ CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir. 1 [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados. 15

16 Firewall Filtro de Pacotes É um dos métodos mais antigos e amplamente disponíveis de controlar o acesso a redes. Pode ser encontrado em sistemas operacionais, em firewalls de software ou de hardware, e também como um recurso da maioria dos roteadores. Os filtros de pacotes protegem todo o tráfego entre redes verificando apenas parâmetros da camada de rede e de transporte TCP/IP. 16

17 Firewall Filtro de Pacotes Este tipo de firewall é implementado como um roteador que, ao realizar suas funções de roteamento, verifica as seguintes informações dos pacotes: endereços IP de origem e de destino; tipo de protocolo TCP, UDP e ICMP; portas de origem e de destino; flags IP e TCP; tipos de mensagens ICMP; tamanho do pacote. 17

18 Firewall Filtro de Pacotes A principal vantagem dos filtros de pacotes é a sua eficiência, pois cada operação de filtragem estará restrita a verificar somente informações básicas do cabeçalho do pacote. Desta forma, é amplamente utilizado em roteadores como listas de controle de acesso. A despeito disso, sua principal desvantagem é a de não conseguir verificar o estado das conexões, sendo necessário criar várias linhas de filtragem para se implementar uma única regra. 18

19 Firewall Filtro de Pacotes Por exemplo, em um regra simples que permita o acesso de clientes a um servidor HTTP é necessário configurar as conexões de chamada do cliente para o servidor bem como as das respostas do servidor para o cliente. Sintaxe: Política [ACCEPT DROP REJECT] Protocolo [TCP UDP ICMP ] Endereço Origem [SA=ipaddr/msk] { Porta Origem [SP] [Tipo ICMP ] } Endereço Destino [DA=ipaddr/msk] Porta Destino [DP] Opções [ ]. 19

20 Firewall Filtro de Pacotes Servidor Web Cliente Firewall Regras de Fitragem de Pacotes: ACCEPT TCP SA= SP>1024 DA= DP=80 ACCEPT TCP SA= SP=80 DA= DP>1024 DROP ALL SA= ALL DA = ALL SA - Source Address SP - Source Port DA - Destination Address SA - Source Address 20

21 Firewall Filtro de Pacotes Vantagens: barato, simples e flexível; alto desempenho da rede; transparente para o usuário. Desvantagens: permite a conexão direta para hosts internos de clientes externos, difícil de gerenciar em ambientes complexos; não oferece autenticação de usuários. 21

22 Exercícios 5. [56] (Engenheiro de Telecomunicações Pleno PETROBRAS/2006 CESGRANRIO) Um mecanismo usado nos firewalls é o filtro de pacotes. Um filtro de pacotes pode operar restringindo todas as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos}, exceto os especificados pelo administrador da rede. A figura abaixo mostra um roteador com um firewall que isola da Internet a rede interna de uma empresa. A tabela a seguir mostra uma representação simplificada da especificação do filtro de pacotes do roteador da empresa em questão, onde aparecem as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos} desbloqueadas. 22

23 Exercícios A tabela a seguir mostra uma representação simplificada da especificação do filtro de pacotes do roteador da empresa em questão, onde aparecem as combinações {endereços IP de destino / endereços IP de origem / portas / protocolos} desbloqueadas. 23

24 Exercícios A partir dessas informações, é correto afirmar que: (A) nenhum host dentro da empresa pode acessar sites da Internet que usem o HTTP. (B) nenhum host na Internet poderá acessar o servidor de HTTP na máquina com o IP (C) somente o IP pode acessar, através de SSH, a máquina com IP , excetuando os hosts de dentro da empresa. (D) qualquer host na Internet pode acessar um servidor de correio eletrônico que está instalado na máquina com IP (E) qualquer host da empresa pode acessar qualquer servidor POP na Internet. 24

25 Exercícios 6. [16] (Analista de Nível Superior Banco de Dados Casa da Moeda/2009 CESGRANRIO) O servidor de banco de dados corporativo de uma empresa está isolado por meio de um firewall do tipo filtro de pacotes. Com base nessa informação, analise as afirmativas a seguir. I Tal isolamento é efetivo na proteção de ataques do tipo SQL Injection. II É possível bloquear o acesso de uma única estação ao banco de dados. III Consultas SQL excessivamente longas podem ser bloqueadas no firewall. Está(ão) correta(s) a(s) afirmativa(s) (A) I, apenas. (B) II, apenas. (C) III, apenas. (D) II e III, apenas. (E) I, II e III. 25

26 Firewall Filtro de Estado das Conexões (Stateful) O firewall de filtro de estado tenta rastrear o estado das conexões de rede enquanto filtra os pacotes. Suas capacidades são resultado do cruzamento das funções de um filtro de pacotes com a inteligência adicional do protocolo. Este tipo de firewall examina predominantemente as informações das camadas IP e de transporte de um pacote que inicia uma conexão. Se o pacote inspecionado combinar com a regra de firewall existente que o permita, uma entrada é acrescentada em uma tabela de estados. 26

27 Firewall Filtro de Estado das Conexões (Stateful) Desse ponto em diante, os pacotes relacionados com a sessão que consta na tabela de estado terão os seus acessos permitidos, sem a chamada de qualquer outra inspeção. Em tese, este método aumenta o desempenho geral do firewall, pois somente os pacotes iniciais precisam ser totalmente desmembrados até a camada de aplicação. Entretanto, se a implementação da tabela de estado não oferecer um modo eficiente de manipular os estados da conexão, poderá haver queda de desempenho do equipamento. 27

28 Firewall Filtro de Estado das Conexões (Stateful) Este tipo de firewall é um filtro de pacotes dinâmico, ou seja, ele mantém o estado de cada conexão que passa por ele. Isto é possível com a implementação de uma tabela de estados em que o firewall mantém o relacionamento entre endereços IP de origem e de destino, portas de origem e de destino, flags do segmento TCP e tipos de pacotes ICMP. Desta forma, não é mais necessário criar entradas adicionais para a mesma conexão. 28

29 Firewall Filtro de Estado das Conexões (Stateful) Estado é a condição de pertencer a uma determinada sessão de comunicação. A definição desta condição vai depender da aplicação com a qual as partes estão se comunicando e dos protocolos que as partes estão utilizando. Os protocolos de transporte podem ter o estado de sua conexão rastreado de várias formas. 29

30 Firewall Filtro de Estado das Conexões (Stateful) Muitos dos atributos que compõem uma sessão de comunicação, inclusive os pares de endereço IP, portas de origem e de destino, números de sequência e flags, podem ser utilizados como identificação de uma conexão individual. A combinação dessas partes de informação normalmente é mantida como um hash (resumo) em uma tabela de estado, para facilitar a comparação. 30

31 Firewall Filtro de Estado das Conexões (Stateful) 31

32 Firewall Filtro de Estado das Conexões (Stateful) TCP: como é um protocolo baseado em conexão, o estado de suas sessões de comunicação pode ser solidamente definido através de sua Máquina de Estados Finitos (modelo que define todos os estados possíveis do protocolo TCP). A conexão TCP pode assumir 11 estados diferentes (conforme RFC 793). Apesar da desconexão TCP ser prevista em seu modelo, para evitar que a tabela do firewall possua informações de conexões inexistentes, é comum a utilização de contadores de tempo para cada conexão. 32

33 Firewall Filtro de Estado das Conexões (Stateful) UDP: é um protocolo de transporte sem conexão, o que dificulta o acompanhamento de seu estado. Na realidade, um protocolo sem conexão não possui estado, portanto, deve haver algum mecanismo que garanta criar um pseudo-estado através do registro de itens do UDP que estejam relacionados a uma determinada sessão de comunicação. Como o UDP não possui números de sequência ou flags, os únicos itens que podem servir como base são os pares de endereço IP e a porta de serviço dos dois pontos envolvidos na comunicação. 33

34 Firewall Filtro de Estado das Conexões (Stateful) ICMP: assim como o UDP, o ICMP não possui estado, contudo, também como o UDP, ele dispõe de atributos que permitem que suas conexões sejam acompanhadas de um modo com pseudo-estado. A parte mais complicada do acompanhamento do ICMP envolve suas comunicações unidirecionais. O protocolo ICMP normalmente é utilizado para retornar mensagens de erro quando um host ou protocolo não pode fazer isso por conta própria, no que pode ser descrito como uma mensagem de resposta. 34

35 Firewall Filtro de Estado das Conexões (Stateful) As mensagens do tipo resposta do ICMP são precipitadas por solicitações de outros protocolos (TCP, UDP). Devido a essa questão de multiprotocolo, descobrir mensagens ICMP no estado de um par de soquetes (IP + PORTA) existentes pode ser algo confuso para a tabela de estado. A outra maneira de se utilizar o ICMP é através do seu próprio mecanismo de pedido/resposta, como por exemplo, o ping onde são utilizadas as mensagens de echo-request e echo-replay. 35

36 Firewall Filtro de Estado das Conexões (Stateful) Inspeção com Estado - é o termo utilizado para uma evolução do filtro de estados onde, além das informações relativas ao IP e transporte, também são incluídas informações dos protocolos de aplicação na tabela de estados. Sua primeira implementação foi com o Check Point F1, com sua linguagem proprietária INSPECT, e de onde surgiu a denominação statefull inspection utilizada por outros firewalls que implementam filtragem com inspeção de estado (Exemplo: Netfilter/Iptables, Cisco PIX). 36

37 Firewall Filtro de Estado das Conexões (Stateful) Vantagens: alto desempenho da rede; aceita quase todos os tipos serviços; transparente para o usuário. Desvantagens: permite a conexão direta para hosts internos de clientes externos, não oferece autenticação de usuários. 37

38 Firewall Proxy de Serviços Em geral, um proxy (procurador) é algo ou alguém que faz algo em nome de outra pessoa. Os serviços proxy são programas aplicativos ou servidores especializados que recebem as solicitações dos usuários e as encaminha para os respectivos servidores reais. Do ponto de vista do cliente, o servidor é o proxy; do ponto de vista do servidor, o cliente é o proxy. Seu princípio básico de funcionamento está no fato de que este tipo de firewall não permite a conexão direta entre as entidades finais da comunicação. 38

39 Firewall Proxy de Serviços Na figura a seguir, todas as conexões HTTP originadas pelos clientes são enviadas para o Proxy do Serviço HTTP. Este, por sua vez, envia os pedidos ao servidor como sendo ele o solicitante. O servidor HTTP responde ao proxy e este repassa as respostas aos respectivos clientes. 39

40 Firewall Proxy de Serviços 40

41 Firewall Proxy de Serviços Neste contexto, o proxy de serviço roda em uma máquina com duas interfaces de rede, entretanto, diferentemente do filtro de pacotes, o proxy não realiza roteamento dos datagramas IP. Desta forma, não é necessário criar regras de filtragem dentro do proxy de serviços pois as duas redes conectadas ao proxy não são visíveis entre si. 41

42 Firewall Proxy de Serviços Vantagens: Não permite conexões diretas entre hosts internos e hosts externos; Aceita autenticação do usuário; Analisa comandos da aplicação no payload dos pacotes de dados, ao contrário do filtro de pacotes. Desvantagens: Mais lento do que os filtros de pacotes (somente os gateways de aplicação); Requer um proxy específico pra cada aplicação; Não trata pacotes ICMP. 42

43 Firewall Proxy de Serviços Uma implementação que era bastante comum é a de misturar as funções de filtro de pacotes e de proxy no mesmo equipamento conforme a figura a seguir. Não é uma configuração recomendável devido ao alto consumo de recursos de hardware. 43

44 Firewall Proxy de Serviços 44

45 Exercícios 7. [54] (Engenheiro de Telecomunicações Júnior PETROBRAS/2006 CESGRANRIO) Firewalls podem usar filtros de pacotes e gateway de aplicação ou conteúdo. Sobre estes, assinale a afirmação correta. (A) Os filtros de pacotes operam examinando os endereços IP dos pacotes que por eles passam. (B) Os gateways de aplicação operam na camada de enlace. (C) Um filtro de pacotes pode funcionar detectando determinada ocorrência de strings de texto no conteúdo de um pacote. (D) Filtros de pacotes e gateways de aplicação não podem ser usados conjuntamente. (E) Filtros de pacotes operam na camada física. 45

46 Exercícios 8. [53] (Analista em Ciência e Tecnologia Júnior I Análise de Sistemas Informática CAPES/2008 CESGRANRIO) O link Internet de uma determinada empresa está sobrecarregado, especificamente o tráfego de entrada, que é caracterizado, em uma sua maioria, por resultados de solicitações HTTP para um pequeno grupo de sites. Uma ação válida para aliviar consideravelmente tal sobrecarga é (A) instalar Linux nas estações dos usuários para melhor desempenho do browser. (B) instalar um firewall diretamente no link para aceleração das respostas. (C) aumentar a memória RAM do roteador de borda. (D) habilitar um filtro Anti-SPAM no servidor SMTP. (E) implantar um proxy HTTP que faça cache dos resultados, como o SQUID. 46

47 Exercícios 9. (Analista de Informações ABIN/2004 CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes. 1 [102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna. 2 [105] Um proxy de aplicação tem capacidade de detectar ataque contra um servidor mediante a observação da chegada de pacotes IP fragmentados. 10. (Analista de Tecnologia da Informação Redes DATAPREV/ CESPE) Com relação às ferramentas de segurança de redes, julgue os itens subsequentes. 1 [72] Os firewalls realizam inspeção de cabeçalho em pacotes e podem abranger as informações das camadas de rede e de transporte. 47

48 Exercícios 2 [75] Os firewalls com inspeção de estado são aqueles que, além de realizar a inspeção do cabeçalho, também tratam do protocolo de aplicação. 11. (Analista de Trânsito Analista de Sistemas DETRAN-DF/ CESPE) Com relação à segurança em redes de computadores, julgue os itens a seguir. 1 [119] Com um proxy HTTP no firewall, os usuários remotos podem estabelecer uma conexão HTTP/TCP com o proxy, que examina o URL contido na mensagem de solicitação. Se a página solicitada for permitida para o host de origem, o Proxy estabelece uma segunda conexão HTTP/TCP com o servidor e para ele encaminha a solicitação. 12. (Informática Administração de Rede MC/2008 CESPE) Com relação a firewalls, julgue os itens de 68 a [68] Firewalls baseados em filtragem de pacotes não apresentam problemas ao lidar com pacotes fragmentados. 48

49 Exercícios 2 [69] Firewalls que realizam a inspeção de estado normalmente são menos eficazes e seguros que firewalls baseados em filtragem de pacotes. 3 [70] Os firewalls stateful utilizam apenas estado das conexões TCP para realizar a inspeção. 13. (Analista de Redes Ministério Público do Estado do Amazonas/ CESPE) Com relação às proxies e aos filtros de acesso, julgue os itens a seguir. 1 [116] A filtragem de pacotes sem estado baseia-se na inspeção das informações de cabeçalho para determinar se um pacote pode ou não ser aceito ou transmitido. 2 [117] A filtragem com informação de estado leva em consideração o estado das conexões para aceitar ou não pacotes, o que reduz o esforço computacional da inspeção em si e aumenta a granularidade da filtragem. 49

50 Exercícios 3 [118] Uma proxy media a conexão de um cliente ou usuário para prover acesso a um serviço de rede, o que evita a conexão direta peer-to-peer. 4 [119] Um firewall embasado em proxy tem melhor desempenho (retardo e throughput, por exemplo) quando comparado a um firewall que opera em camadas mais baixas, visto que, como atua no nível da aplicação, pode inspecionar não só as informações de cabeçalho, como também as dos protocolos de aplicação. 5 [120] Uma desvantagem do uso de um firewall baseado em Proxy é que ele pode ser mais difícil de configurar e operar. Entretanto, o uso de VPNs pode reverter essa situação. 14. (Analista de Redes MPERR/ CESPE) No que concerne a firewalls, julgue os itens seguintes. 1 [101] Os filtros, nos firewalls embasados na tecnologia de filtragem de pacotes, devem ser aplicados, preferencialmente, quando o tráfego sai do dispositivo. 50

51 Exercícios 2 [102] Firewalls embasados na tecnologia de inspeção de estado usam o próprio estado associado ao protocolo inspecionado, sendo, assim, restritos aos protocolos orientados à conexão. 3 [103] Firewalls embasados na tecnologia de filtragem de pacotes oferecem a possibilidade de maior granularidade e especificidade dos filtros, quando comparados com os firewalls embasados na tecnologia de inspeção de estado. 15. (Perito Criminal Federal Computação Científica PF-Nacional/ CESPE) Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir. 1 [98] Um ataque de scanner consiste na monitoração de serviços e versões de software que estão sendo executados em um determinado sistema. Um sistema firewall que implementa um filtro de conexões é capaz de anular os efeitos desse tipo de ataque. 2 [101] Firewall e proxy são sinônimos para descrever equipamentos que realizam conexões de rede externas para nodos que não estejam conectados diretamente à Internet. 51

52 Firewall Zona Desmilitarizada (DMZ) A utilização de firewall para se conectar uma rede à Internet possibilitou uma topologia de acesso interessante e segura. Na figura a seguir, tem-se uma rede composta por máquinas clientes, servidores de serviços de Intranet (acessados pelos clientes internos) e servidores de serviços Internet (acessados pela Internet). 52

53 Firewall Zona Desmilitarizada (DMZ) 53

54 Firewall Zona Desmilitarizada (DMZ) Na topologia apresentada, deve-se observar o seguinte: no mesmo segmento da rede da empresa, há a ocorrência de tráfego local e de tráfego oriundo da Internet; caso o servidor de serviços de Internet (um servidor Web, por exemplo) seja comprometido por algum agente mal intencionado, o ataque poderá se propagar para o restante de rede. 54

55 Firewall Zona Desmilitarizada (DMZ) Conclusão: Deve ser criado um mecanismo que separe a natureza dos dois tipos de tráfego isolando o servidor que recebe os acessos Internet dos demais servidores e máquinas clientes da rede interna da empresa. Solução: Criar uma área de rede reservada para a hospedagem dos serviços públicos (acessados pela Internet), ou seja, uma Zona Desmilitarizada (DMZ). 55

56 Firewall Zona Desmilitarizada (DMZ) Objetivos: evitar que a Internet acesse diretamente serviços dentro de uma rede interna; separar o tráfego de rede interno do externo; ligação de uma rede interna com a Internet ou com uma rede de outra organização. 56

57 Firewall Arquiteturas Dual-homed host architecture Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes. Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente. Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo. 57

58 Firewall Arquiteturas Dual-homed host architecture 58

59 Firewall Arquiteturas Screened host architecture Formada por um filtro de pacotes e um bastion host. O filtro deve ter regras que permitam o tráfego ara a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host. O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a internet por meio dele. 59

60 Firewall Arquiteturas Screened host architecture 60

61 Firewall Arquiteturas Screened subnet architecture Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ. Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet. O bastion host fica na DMZ, que funciona como uma área de confinamento entre a rede interna e a rede externa, posicionada entre dois filtros. 61

62 Firewall Arquiteturas Screened subnet architecture 62

63 Exercícios 16. [51] (Analista de Sistemas Pleno Infraestrutura PETROBRAS/2006 CESGRANRIO) As chamadas zonas desmilitarizadas (DMZ) podem ser implementadas a partir de firewalls. Quais dos componentes abaixo, são normalmente encontrados em uma DMZ? (A) Servidores de bancos de dados. (B) Servidores Web para Internet. (C) Servidores DHCP da rede interna. (D) Estações de trabalho de usuários. (E) Sistemas legados. 63

64 Exercícios 17. [51] (Analista de Suporte de Sistemas FUNASA/2009 CESGRANRIO) Organizações que expõem serviços de sua rede à Internet em geral mantêm, entre a rede interna e a Internet, uma subrede conhecida como DMZ, sigla derivada do termo em Inglês Demilitarized Zone (zona desmilitarizada). A principal finalidade da DMZ é proteger a rede interna de ataques externos, razão pela qual o tráfego entre a rede interna e a DMZ deve passar por um firewall, assim como o tráfego entre a DMZ e a Internet. Analise as afirmativas a seguir sobre este tema. I É possível implementar uma DMZ, utilizando-se apenas um firewall com três interfaces de rede. II O firewall entre a rede interna e a DMZ deve ser configurado de forma a só permitir que chegue à rede interna tráfego originado na DMZ. III Servidores de aplicações e de bancos de dados devem ser colocados na DMZ, o que traz o benefício adicional de protegê-los de ataques internos. 64