SEGURANÇA APLICADA MATERIAL 19

Transcrição

1 Graduação Tecnologia em Redes Computadores SEGURANÇA APLICADA MATERIAL 19 Prof. Luís Mateus da Silva Matos TRIPLE CCIE # (R&S, SP, SECURITY) CCNA, CCDA, CCNP, DCNIS CCDP, MCP, MCP+Internet, MCSE [email protected] 1

2 Filtro e Inspeção e Pacotes FIREWALL 2

3 FIREWALLS Principais Plataformas 3

4 DEFINIÇÃO É a base das Soluções de Segurança para as empresas. Impõe uma política de controle de acesso Pós Graduação de em usuários Segurança da Informação autorizados e não autorizados, com base na política de segurança definida pelo cliente. Possibilita o isolamento da rede interna. 4

5 EXTERNA INTERNET Segurança Aplicada Rede Acesso Internet CAMADA DE FIREWALLS EXT-2 CHOKE BGP HSRP EXT-1 L3 PORT INTERNA FAILOVER L3 PORT CORE-1 ROOT CORE-2 IPS-2 DMZ IPS-1 DMZ-2 DMZ-1 BASTION HOST ACCESS-1 ACCESS-2 ACCESS-3 DNS PROXY R-PROXY SMTP 5

6 FIREWALL GERENCIADO O Firewall pré-configurado é instalado no site Firewall Firewall Secundário Primário Host Firewall Público DMZ Logging Server Secure Web Server Rede Privada Servidor de Configuração Estação de Servidor de Gerenciamento Monitoração Administrador Centro de Operações de Segurança de Redes da ( SNOC ) Site do Cliente 6

7 RELATÓRIOS ONLINE Firewall Gerenciado Relatório da Regra de Segurança do Firewall ( Security Policies) Permite a visualização de regras atuais e de regras anteriores. 7

8 FIREWALLS ALTA DISP. 8

9 DEFINIÇÃO É a base das Soluções de Segurança para as empresas. Impõe uma política de controle de acesso de usuários autorizados e não autorizados, com base na política de segurança definida pelo cliente. Baseia-se numa arquitetura de firewall totalmente redundante, que utiliza dois firewall sincronizados em um único ponto de reforço 9

10 TOPOLOGIA H.A. Conexão Criptografada Internet Firewall Primário Conexão 1 Conexão 2 Firewall HB Firewall Primário DMZ Secundário Servidor Público Estação de Gerenciamento Administrador Centro de Operações de Segurança de Redes ( SNOC ) Site Principal 10

11 RELATÓRIOS ONLINE Firewall Gerenciado H.A. Relatório Estatístico de Uso do Firewall ( Resources - FW Utilization ) Estatísticas de utilização dos recursos do firewall (CPU, Memória, estatísticas de placas de rede, etc.) Relatórios de Propriedades do Firewall (Resources - FW Properties ) Relatório que detalha todas Pós Graduação as características em Segurança do firewall da (interfaces, Informação processador, modelo, etc...); 11

12 RELATÓRIOS ONLINE Firewall Gerenciado H.A. Relatórios de Uso de Banda ( Usage Reports - Bandwidth Usage ) Estatísticas de utilização do firewall com os 10 sites mais acessados, percentagem de utilização do gateway e total de bytes trafegados; Relatórios de Utilização de Serviços ( Usage Reports -Web, FTP, Telnet, SMTP e POP-3 Usage ) Relatório de estatísticas de utilização do protocolo escolhido e os 10 sites mais visitados 12

13 Firewall Gerenciado H.A. Segurança Aplicada LOG ONLINE Log de Acesso ( Logs - Custom Query, Daily Logs e Deny Logs ) Relatório que permite a consulta total dos logs do firewall, baseado em período (mês, dia, ano). Também permite a consulta dos registros das conexões que foram negadas pelo firewall. 13

14 Fonte substituível em campo Nokia IP 440 HDs duais, espelhados (opcional) Interfaces de Comunicação: Ethernet, FDDI, Serial, ATM (na parte frontal)... ao invés de uma workstation com teclado e monitor 14

15 LAB #10 (FIREWALL - BÁSICO) 15

16 Topologia LAB #10 BLOCO INTERNET LIBERADO: /24 16

17 Configuração R1 (Roteador Internet) hostname R1 interface FastEthernet0/0 ip address no shutdown Ip route aaa new-model aaa authentication login default local username backup privilege 15 password backup 17

18 Configuração R2 (Servidor Interno) hostname SRV interface FastEthernet0/0 ip address no shutdown Ip route aaa new-model aaa authentication login default local username backup privilege 15 password backup ip http server SERVIÇOS ftp-server enable ftp-server topdir flash: 18

19 Configuração FW01 (FIREWALL PARTE1) hostname FW01 interface Ethernet0 nameif inside security-level 100 ip address no shutdown interface Ethernet1 nameif outside security-level 0 ip address no shutdown object-group service ftp-all tcp port-object eq ftp port-object eq ftp-data object-group network servidores-backup network-object host Segurança Aplicada route outside route inside class-map inspection_default match default-inspection-traffic policy-map global_policy FULL INSPECTION class inspection_default inspect icmp STATEFUL service-policy global_policy global 19

20 Configuração FW01 (FIREWALL PARTE2) access-list outside extended permit icmp any any access-list outside extended permit tcp any host eq www REGRAS access-list outside extended permit tcp any object-group servidores-backup object-group ftp-all access-group outside in interface outside static (inside,outside) NAT ESTÁTICO 20

21 Verificação #1 (HTTP): R1 Resultado: O roteador R1 conseguiu abrir a porta TCP:80 (HTTP) do roteador R2 com sucesso. 21

22 Verificação #2 (FTP): R1 Resultado: Um backup da running-config do roteador R1 foi copiado para o roteador R2 com sucesso. 22