Revisão. Prof. Marciano dos Santos Dionizio

Transcrição

1 Revisão Prof. Marciano dos Santos Dionizio

2 Firewall (definições) Por que do nome firewall? Antigamente, quando as casas eram feitas de madeira o fogo era um grande problema, pois se alastrava facilmente de uma casa para outra. Para evitar isso eram construídos muros de pedra entre as casas. A esses muros foi dado o nome de firewall Isolar o fogo que existe na Internet para que não se alastre para sua rede privada

3 Infraestrutura de rede Proteção de Redes: Firewall Conexão Segura

4 Firewall - Introdução Definição Dispositivo que conecta redes (interna e/ou externa com vários níveis de direito de acesso). Implementa e garante política de segurança entre as redes conectadas. Corporação Intranet Firewall Segmento de Acesso Público Internet

5 Infraestrutura de rede Firewall - Conceitos Sistemas confiáveis que são colocados entre duas redes; Política de Segurança define o que passa; Rede interna é confiável (blue net), nem sempre; Rede externa é não-confiável (red net).

6 Firewall -Introdução Proteção de redes - Firewall Quando você conecta sua rede à Internet, é de crítica importância proteger a sua rede contra intrusão. A forma mais efetiva de proteger o link com a Internet é colocar um Sistema de Firewall entre sua rede local e a Internet. Corporação Intranet Firewall Segmento de Acesso Público Internet

7 Firewall -Introdução Saiba o que um Firewall não faz: 1) Não protege contra usuários autorizados maliciosos; 2) Não pode proteger contra conexões que não passam através dele; 3) Não fornece 100% de proteção contra todos os THREATS (ataques embutidos no protocolo). 4) Não oferece proteção contra virus.

8 Infraestrutura de rede O que um firewall pode fazer? Um Firewall pode administrar a política de segurança para usuários da rede: - Define quem ou o que pode cruzar as fronteiras entre redes; - Define uma maneira padrão de identificação de usuários. Um Firewall pode manter logs : - Logs de passagem; - Logs de ataques; - Alertar o administrador.

9 O que proteger? As regras de filtragem de um Firewall estão baseadas nas políticas de seguranças da organização Para o desenvolvimento dessa política deverá ponderar dois fatores Nível de proteção X Usabilidade Deixar o nível de proteção o mais alto possível, porém sem deixar que partes importantes do sistema fiquem inoperantes Bloquear tudo a princípio e ir liberando os serviços necessários para a organização ou O que não é expressamente proibido é permitido Roteador

10 Firewall Pessoal Software utilizado para proteger um computador contra acessos não autorizados Tipo específico de firewall Se bem configurado: Pode barrar o acesso a backdoors Alguns podem analisar continuamente o conteúdo das conexões Filtrando cavalos de tróia e vírus de Pacotes de firewall que funcionam em conjunto com os anti-vírus

11 Firewalls de mercado Razões para considerar o uso: Possibilidade de configurar o tráfego de entrada e saída Pode especificar quais aplicativos terão acesso à rede Problemas: Regras podem ser complexas Escalabilidade pode ser um problema

12 Melhores práticas para clientes firewall Todo o tráfego deve passar pelo firewall Uso eficaz de Firewall A simples instalação de um firewall não garante que sua rede esteja segura contra invasores Não pode ser a sua única linha de defesa Protegem apenas contra ataques externos ao firewall

13 Proxy O usuário está dentro da empresa tenta acessar a Web. Mudando o foco da preocupação para o usuário que está dentro da própria empresa e tenta acessar uma página na Internet. Muita gente confunde o Proxy com o Firewall.

14 Proxy

15 Proxy Podemos dizer que o Proxy é parte fundamental da segurança da empresa, mas devemos salientar que isso não é tudo. Deve-se também ter um Firewall. O Proxy não controla IMAP, POP e SMTP, pois ele é um Proxy Web.

16 Proxy Quando uma máquina (cliente) que está dentro da rede interna tenta acessar um página na Internet, ela pede isso ao Proxy. Este procura a página na Web, se encontrar, devolve a mesma para o cliente solicitante.

17 Proxy

18 Proxy Se o cliente tentar acessar a Web de forma direta, o Proxy não deve permitir. Com isso, consegue-se um nível de segurança aceitável, porque a rede interna não tem conexão direta com a Internet, ficando impossível um invasor tentar tomar o controle de uma máquina interna diretamente.

19 Vantagens de um Proxy Controle de Sites: Pode-se fazer o controle de conteúdo, permitindo ou não, máquinas clientes de acessarem. Controle de Acesso: Controla quem pode acessar a Web, através de autenticação, ou ainda definir quem pode acessar e em qual horário.

20 Vantagens de um Proxy

21 Vantagens de um Proxy Cache de Sites: Com um Proxy Web, a grande vantagem é que se pode fazer um cache dos sites mais utilizados, tornando o acesso mais rápido à Web.

22 Vantagens de um Proxy

23 Funcionamento do Proxy Quando o cliente faz a requisição de uma página na Web, o Proxy verifica se ela está no cache. Senão estiver, o Proxy procura na Web e guarda no cache.

24 Funcionamento do Proxy Quando outro ou o mesmo cliente quiser acessar a mesma página já acessada, o servidor Proxy verifica se ela foi alterada. Senão, o cliente recebe a página que está no cache, mais rapidamente, aumentando assim a velocidade de acesso.

25 Funcionamento do Proxy O Proxy liga a rede interna com a externa. Ela fala com a rede interna e com a externa. Mas a rede externa não fala com a interna e vice-versa, a interna não fala coma externa.

26 Relatório do Proxy Uma das grandes vantagens do Squid é que ele cria o arquivo de log e registra todos os acessos http. Utilizando esse log, pode-se analisar e verificar se alguém acessou sites impróprios para aquele momento.

27 VPN Virtual Private Network ou Rede Privada Virtual É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

28 VPN Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas.

29 VPN Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. Deve ser notado que a escolha, implementação e uso destes protocolos não é algo trivial, e várias soluções de VPN inseguras são distribuídas no mercado. Adverte-se os usuários para que investiguem com cuidado os produtos que fornecem VPNs.

30 VPN Uma das grandes vantagens decorrentes do uso das VPNs é a redução de custos com comunicações corporativas, pois elimina a necessidade de links dedicados de longa distância que podem ser substituídos pela Internet. As LANs podem, através de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados através da Internet.

31 VPN Esta solução pode ser bastante interessante sob o ponto de vista econômico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distância estão envolvidos. Outro fator que simplifica a operacionalização da WAN é que a conexão LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso.

32 Funcionamento Basicamente, quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPSec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao roteador, um cabeçalho AH, que é o cabeçalho de autenticação e o cabeçalho ESP, que é o cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote.

33 Funcionamento Quando esses dados encapsulados chegarem à outra extremidade, é feito o desencapsulamento do IPSec e os dados são encaminhados ao referido destino da rede local.

34 Segurança Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. Hoje diversas empresas interligam suas bases operacionais através de um VPN na internet. Um sistema de comunicação por VPN tem um custo de implementação e manutenção insignificantes, se comparados aos antigos sistemas de comunicação física, como o framerelay, por exemplo - que tem um custo exorbitante e segurança muito duvidosa.

35 Segurança Por este motivo muitos sistemas de comunicação estão sendo substituídos por uma VPN, que além do baixo custo, oferece também uma alta confiabilidade, integridade e disponibilidade dos dados trafegados. Sistemas de comunicação por VPN estão sendo amplamente utilizados em diversos setores, até mesmo os setores governamentais no mundo inteiro utilizam este recurso.

36 IPSEC Internet Protocol Security O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funções de gerenciamento de chaves também fazem parte das funções do IPSec.

37 IPSEC Internet Protocol Security Tal como os protocolos de nível 2, o IPSec trabalha como uma solução para interligação de redes e conexões via linha discada. Ele foi projetado para suportar múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível de segurança desejado.

38 IPSEC Internet Protocol Security Os requisitos de segurança podem ser divididos em 2 grupos, os quais são independentes entre si, podendo ser utilizado de forma conjunta ou separada, de acordo com a necessidade de cada usuário: Autenticação e Integridade; Confidencialidade.

39 Aplicações para redes privadas virtuais ACESSO REMOTO VIA INTERNET O acesso remoto a redes corporativas através da Internet pode ser viabilizado com a VPN através da ligação local a algum provedor de acesso (Internet Service Provider - ISP). A estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet.

40 ACESSO REMOTO VIA INTERNET

41 CONEXÃO DE LANS VIA INTERNET Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa.

42 ACESSO REMOTO VIA INTERNET A depender das aplicações também, pode-se optar pela utilização de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada à Internet via circuito dedicado local ficando disponível 24 horas por dia para eventuais tráfegos provenientes da VPN.

43 ACESSO REMOTO VIA INTERNET

44 CONEXÃO DE COMPUTADORES NUMA INTRANET Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um pequeno grupo de usuários. Nestas situações, redes locais departamentais são implementadas fisicamente separadas da LAN corporativa. Esta solução, apesar de garantir a "confidencialidade" das informações, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.

45 CONEXÃO DE COMPUTADORES NUMA INTRANET As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas. Observe que o servidor VPN não irá atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede departamental sensitiva.

46 CONEXÃO DE COMPUTADORES NUMA INTRANET Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informações. Os demais usuários não credenciados sequer enxergarão a rede departamental.

47 CONEXÃO DE COMPUTADORES NUMA INTRANET

48 Tunelamento As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência é anterior às VPNs. Ele pode ser definido como processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica: antes de encapsular o pacote que será transportado, este é criptografado de forma a ficar ilegível caso seja interceptado durante o seu transporte.

49 Tunelamento O pacote criptografado e encapsulado viaja através da Internet até alcançar seu destino onde é desencapsulado e decriptografado, retornando ao seu formato original. Uma característica importante é que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP.

50 Tunelamento O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que contém informações de roteamento que permitem a travessia dos pacotes ao longo da rede intermediária. Os pacotes encapsulados são roteados entre as extremidades do túnel na rede intermediária. Túnel é a denominação do caminho lógico percorrido pelo pacote ao longo da rede intermediária.

51 Tunelamento Após alcançar o seu destino na rede intermediária, o pacote é desencapsulado e encaminhado ao seu destino final. A rede intermediária por onde o pacote trafegará pode ser qualquer rede pública ou privada. Note que o processo de tunelamento envolve encapsulamento, transmissão ao longo da rede intermediária e desencapsulamento do pacote.

52 Tunelamento

53 Protocolos de tunelamento Para se estabelecer um túnel é necessário que as suas extremidades utilizem o mesmo protocolo de tunelamento. O tunelamento pode ocorrer na camada 2 ou 3 (respectivamente enlace e rede) do modelo de referência OSI (Open Systems Interconnection).

54 Protocolos de tunelamento Tunelamento em Nível 2 - Enlace - (PPP sobre IP) O objetivo é transportar protocolos de nível 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to- Point Protocol).

55 O funcionamento dos túneis Nas tecnologias orientadas à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel, tais como endereçamento, criptografia e parâmetros de compressão. Na maior parte das vezes, são utilizado s protocolos que implementam o serviço de datagrama.

56 O funcionamento dos túneis A gerência do túnel é realizada através protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3, não existe a fase de manutenção do túnel. Uma vez que o túnel é estabelecido os dados podem ser enviados.

57 O funcionamento dos túneis O cliente ou servidor do túnel utiliza um protocolo de tunelamento de transferência de dados que acopla um cabeçalho preparando o pacote para o transporte. Só então o cliente envia o pacote encapsulado na rede que o roteará até o servidor do túnel. Este recebe o pacote, desencapsula removendo o cabeçalho adicional e encaminha o pacote original à rede destino. O funcionamento entre o servidor e o cliente do túnel é semelhante.

58 Referencias Bibliográficas STRACCIALANO, André L.; et al. Segurança e Serviços de Redes. In: Livro Didático do Curso Técnico em Redes de Computadores Módulo 3. Anhanguera Publicações. LOPES, Raquel. Melhores Práticas para a Gerência de Redes de Computadores. Rio de Janeiro: Campus, 2003 Nakamura, Emílio Tissato e GEUS, Paulo Lício de. Segurança em Redes. 4ª ed. São Paulo: Novatec, 2007.

59