Roteiro. 1 Firewalls. 2 Filtros de pacotes. 3 Filtros de pacotes com estado. 4 Firewalls de aplicação. 5 Proxies de aplicação



Documentos relacionados
Firewalls. Firewalls

Componentes de um sistema de firewall - I

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Características de Firewalls

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Redes de Computadores

UNIVERSIDADE FEDERAL DE PELOTAS

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Alunos: Hélio Cândido Andersson Sales

Componentes de um sistema de firewall - II. Segurança de redes

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Segurança da Informação

Segurança em Sistemas de Informação

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Entendendo como funciona o NAT

Segurança de Redes. Firewall. Filipe Raulino

IPTABLES. Helder Nunes

Firewalls. O que é um firewall?

Segurança da Informação

Uso do iptables como ferramenta de firewall.

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Políticas de Segurança de Sistemas

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

REDES DE COMPUTADORES

GUIA RÁPIDO. DARUMA Viva de um novo jeito

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

1.1 Porque um nível de aplicação proxy?

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Há dois tipos de configurações bidirecionais usados na comunicação em uma rede Ethernet:

para que quando a resposta que provenha da Internet pudesse ser permitida, ou seja, pudesse acessar o computador do usuário. Em outras palavras, o

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Capítulo 11: NAT para IPv4

Firewall. Qual a utilidade em instalar um firewall pessoal?

Segurança na Rede Local Redes de Computadores


APLICAÇÃO REDE APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE LINK DE DADOS FÍSICA 1/5 PROTOCOLOS DE REDE

Aula Prática Roteador

Segurança em Sistemas de Informação. Agenda. Conceitos Iniciais

Segurança de Redes & Internet

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Segurança de Redes de Computadores

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

PÉGASUS (ETHERNET POCKET) STUDIO V1.00 MANUAL DE INSTALAÇÃO E OPERAÇÃO

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

Arquitetura de Rede de Computadores

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

Alan Menk Santos Redes de Computadores e Telecomunicações. Camada de Aplicação. Camada de Aplicação

Principais Benefícios. ESET Endpoint Security

Capítulo 4 TCP/IP FIREWALLS.

Segurança de Rede Prof. João Bosco M. Sobral 1

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

3. Explique o motivo pelo qual os protocolos UDP e TCP acrescentam a informação das portas (TSAP) de origem e de destino em seu cabeçalho.

Algumas Leis da Segurança

Sistemas Distribuídos

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Via Prática Firewall Box Gateway O acesso à Internet

Redes de Computadores. Protocolos de comunicação: TCP, UDP

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

Teleprocessamento e Redes (MAB-510) Gabarito da Segunda Lista de Exercícios 01/2010

Aula Prática 9 - Filtragem de Pacotes e Serviço Proxy

Ameaças e Contramedidas de Host

Emanuel Rebouças, MBA Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS AGENDA

Administração de Sistemas Operacionais

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Arquitetura de Redes: Camadas de Protocolos (Parte I) Prof. Eduardo

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos

Segurança com Iptables

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

Execícios de Revisão Redes de Computadores Edgard Jamhour. Filtros de Pacotes Criptografia SSL

Revisão 7 Junho de 2007

Endereço de Rede. Comumente conhecido como endereço IP Composto de 32 bits comumente divididos em 4 bytes e exibidos em formato decimal

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

HOW TO. Solução. UDP portas 53, 69, passo. é criado duas HTTP, conectar e o tipo de. Liberando restante; Liberando todo o res Bloqueand.

Capítulo 7 CAMADA DE TRANSPORTE

Redes de Computadores

Curso de Instalação e Gestão de Redes Informáticas

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Cap 03 - Camada de Aplicação Internet (Kurose)

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

Revisão. Karine Peralta

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Sistemas de Detecção de Intrusão

F-Secure Anti-Virus for Mac 2015

Comandos Linux Comando tcpdump, guia de referência e introdução. Sobre este documento

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Redes de Computadores. Prof. André Y. Kusumoto

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

ARP. Tabela ARP construída automaticamente. Contém endereço IP, endereço MAC e TTL

Prof. Luiz Fernando Bittencourt MC714. Sistemas Distribuídos 2 semestre, 2013

Transcrição:

Roteiro TOCI-08: Segurança de Redes Prof. Rafael Obelheiro rro@joinville.udesc.br 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação Aula 15: Firewalls 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 1 / 54 O que é um firewall c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 2 / 54 Por que usar firewalls Barreira entre nós e eles para alguma definição de nós e eles... Limita a comunicação com o mundo exterior o mundo exterior pode ser outra parte da organização Apenas algumas máquinas ficam expostas a ataques a idéia é que essas máquinas sejam bem protegidas A maioria dos hosts possui vulnerabilidades de segurança prova: (quase) todo software tem bugs. Portanto, (quase) todo software de segurança tem bugs de segurança Firewalls executam muito menos código, e portanto têm menos bugs (e vulnerabilidades) Firewalls podem ser administrados por pessoas mais capacitadas Firewalls possuem um conjunto mais reduzido de software, e usam facilidades de logging e monitoração extensivamente Firewalls implementam a separação de uma rede em domínios de segurança distintos sem essa partição, a rede se comporta como uma enorme máquina virtual, com um conjunto desconhecido de usuários comuns e privilegiados c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 3 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 4 / 54

Exemplos de firewalls no mundo real Não seria melhor corrigir os protocolos? O controle de passaportes é feito nas fronteiras e no desembarque internacional Em uma casa, há poucas portas que dão para a rua, não raro bem protegidas (grades, alarmes, etc.) as portas internas, por outro lado, geralmente são deixadas destrancadas Bancos possuem guardas e cofres... O problema que os firewalls tratam não é a segurança de redes firewalls são uma resposta de rede para um problema de segurança de hosts Mais precisamente, eles são uma resposta para o lamentável estado atual da engenharia de software: de forma geral, não sabemos construir software seguro, correto e fácil de administrar Portanto, protocolos de rede mais seguros não irão eliminar a necessidade de firewalls a melhor criptografia do mundo é incapaz de resolver bugs de software c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 5 / 54 Vantagens de firewalls se não vai precisar, é melhor se livrar Não existem usuários comuns, e portanto não existem senhas para eles Poucos serviços de rede são necessários (às vezes nenhum) Raramente é necessário usar as versões mais recentes de software melhor deixar os outros sofrerem antes com os bugs Logs são gerados para (quase) tudo, e os arquivos de log são monitorados cuidadosamente Diversos backups devem ser mantidos c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 6 / 54 Diagrama esquemático de um firewall filtro filtro Interior Gateway(s) Exterior DMZ uma máquina comum não pode ser administrada assim c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 7 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 8 / 54

Peças do esquema A DMZ O interior é onde ficam os mocinhos tudo o que fica no interior é considerado amigo, e portanto digno de confiança O exterior é onde ficam os bandidos tudo o que reside ou vem do exterior é, no mínimo, suspeito A zona desmilitarizada (DMZ, DeMilitarized Zone) é onde são colocados servidores necessários mas potencialmente perigosos Bom lugar para colocar coisas como servidores de email e web Usuários externos podem enviar email e acessar páginas Usuários internos podem baixar email e atualizar páginas Deve ser monitorada com bastante cuidado caminho mais provável de tentativas de invasão c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 9 / 54 Posicionando firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 10 / 54 Por que domínios administrativos? firewalls protegem domínios administrativos Firewalls implementam uma política A política segue fronteiras administrativas, não físicas Exemplos UDESC: domínios de proteção separados para DCC, DEE, BU,... em uma empresa: domínios de proteção separados para RH, financeiro, suporte, desenvolvimento,... c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 11 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 12 / 54

Particionando um local Filosofias de firewall 1. Bloquear tudo o que for perigoso 2. Bloquear tudo, e só liberar acesso ao que for seguro E necessário A primeira opção exige que se conheça tudo o que é perigoso em toda a rede um deslize pode ser o suficiente para permitir uma invasão A segunda opção é muito mais segura Em geral, não apenas o tráfego de entrada deve ser controlado mas também o de saída maus elementos no interior detecção de extrusões IP spoofing c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 13 / 54 Roteiro c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 14 / 54 Tipos de firewalls 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação Filtros de pacotes Filtros de pacotes dinâmicos Gateways de aplicação Relays de circuito Firewalls pessoais Muitos firewalls são uma combinação desses tipos 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 15 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 16 / 54

Filtros de pacotes Filtrando sem estado Baseados em roteadores como roteadores já são usados para acesso Internet, filtros são baratos Pacotes individuais são aceitos ou rejeitados não existe contexto Regras de filtragem são difíceis de configurar primitivas muitas vezes inadequadas regras diferentes podem interagir Protocolos difíceis de lidar incluem FTP, X11 e serviços baseados em RPC Conexões para o exterior são permitidas Pacotes de resposta devem ser permitidos Para TCP, isso pode ser feito sem manter estado O primeiro pacote de uma conexão TCP tem apenas a flag SYN ativa Todos os outros pacotes têm o bit de ACK ligado Solução: deixar passar todos os pacotes com bit de ACK ligado c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 17 / 54 Exemplo de conjunto de regras c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 18 / 54 Um conjunto de regras incorreto Um spammer deve ser bloqueado, mas todos os outros devem poder enviar email para o servidor bloqueia: host ext = spammer permite: host ext = qualquer e porta ext = qualquer e host int = srv-mail e porta int = 25 Todas as conexões com servidores de mail externos devem ser permitidas permite: host ext = qualquer e porta ext = 25 e host int = qualquer e porta int = qualquer Não existe controle sobre quem está usando a porta 25 em outro host qualquer processo pode iniciar uma comunicação c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 19 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 20 / 54

Corrigindo as regras Posicionando filtros de pacotes permite: host ext = qualquer e porta ext = 25 e host int = qualquer e porta int = qualquer e bitset(ack) Apenas conexões saintes são permitidas Geralmente as regras são definidas para cada interface de rede As regras ainda são subdivididas entre pacotes que entram (inbound) ou saem (outbound) da interface O melhor é filtrar os pacotes que entram menor perda de informações de contexto c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 21 / 54 Filtrando pacotes na entrada exterior firewall interior DMZ Se a filtragem for feita na saída para a DMZ, não é possível determinar de onde os pacotes estão vindo c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 22 / 54 Filtros de pacotes e UDP UDP não tem noção de conexão é impossível distinguir uma resposta (que deve ser permitida) de um pacote iniciado por um host externo Endereços de origem podem ser forjados com facilidade como não há conexão, o host externo não precisa receber tráfego de resposta do host interno Uma tentativa é bloquear tráfego UDP para portas sabidamente perigosas isso tem tudo para dar errado, porém Talvez o melhor seja liberar tráfego UDP apenas para hosts selecionados servidores bem configurados e monitorados c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 23 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 24 / 54

O papel dos filtros de pacotes Filtros de pacotes simples têm diversas limitações UDP, ICMP, FTP, RPC,... Ainda assim, podem ser úteis em determinados cenários ambientes simples, com poucas regras funcionalidade disponível em quase todos os roteadores proteção de hosts individuais servidor web só precisa das portas 80 e 443, por exemplo filtragem de endereços endereços da rede interna não devem vir do exterior endereços de outras redes não devem vir do interior bloqueio no roteador de borda ajuda a conter ataques de IP spoofing Filtros de pacotes dinâmicos (com estado) são uma solução mais apropriada Um exemplo de configuração exterior DMZ: 192.168.12.0/24 firewall mail DNS interior: 10.0.0.0/16 o servidor DNS atende apenas a consultas internas c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 25 / 54 Regras para o exemplo iface ação endereço porta flags ext bloq src=10.0.0.0/16 ext bloq src=192.168.12.0/24 ext perm dst=mail 25 ext bloq dst=dns 53 ext perm dst=dns UDP ext perm Any ACK ext bloq Any DMZ bloq src 192.168.12.0/24 DMZ perm dst=10.0.0.0/16 ACK DMZ bloq dst=10.0.0.0/16 DMZ perm Any int bloq src 10.0.0.0/16 int perm dst=mail 993 int perm dst=dns 53 int bloq dst=192.168.12.0/24 int perm Any c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 26 / 54 Roteiro 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 27 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 28 / 54

Filtros de pacotes com estado (stateful) Problemas resolvidos por estados Tipo mais comum de filtro de pacotes atualmente Resolvem a maioria dos problemas com filtros de pacotes simples, mas não todos Requerem estado por conexão no firewall Princípio de funcionamento quando um pacote é enviado para a rede externa, isso fica registrado os pacotes entrantes são associados ao estado criado pelo pacote de saída É possível casar uma resposta UDP com a requisição correspondente Pacotes ICMP podem ser associados a uma conexão destination unreachable, TTL exceeded,... Evita varreduras com ACK setado Resolve alguns dos problemas com tráfego entrante mas tabelas de estado precisam ser associadas aos pacotes entrantes Regras específicas para evitar spoofing ainda são necessárias c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 29 / 54 Problemas remanescentes c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 30 / 54 NAT (Network Address Translation) Protocolos que usam portas secundárias (FTP, SIP,... ) RPC Protocolos com semânticas complexas (DNS) Traduz endereços de origem (e às vezes números de porta também) Objetivo principal é lidar com a falta de endereços IP válidos Em alguns casos, vendido como excelente mecanismo de segurança com sorte, não é mais seguro do que um filtro de pacotes com estado se for mal configurado, pode não resolver nada c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 31 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 32 / 54

Comparação Roteiro filtro de pacotes com estado Sainte cria uma entrada na tabela de estados NAT Sainte cria uma entrada na tabela de estados. Traduz o endereço 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado Entrante verifica se existe entrada na tabela de estados; descarta o pacote se não existir Entrante verifica se existe entrada na tabela de estados; descarta o pacote se não existir. Traduz o endereço A diferença está apenas em traduzir ou não os endereços 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 33 / 54 Firewalls de aplicação Filtros de pacotes operam na camada de rede, usando algumas informações da camada de transporte não podem proteger contra ataques nas camadas superiores controle de granularidade grossa: aplicações inteiras são permitidas ou bloqueadas às vezes se deseja funcionalidade parcial Vantagens de firewalls de aplicação proteção especializada para cada aplicação contexto disponível é maior apenas aplicações escolhidas têm seu desempenho afetado Desvantagens de firewalls de aplicação não protegem contra ataques nas camadas inferiores exigem um programa separado para cada aplicação podem ser bastante complexos podem ser intrusivos demais para usuários, aplicações,... c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 34 / 54 Exemplo: protegendo email Deve-se proteger o email entrante ou o sainte? parte do código é igual, parte é bem diferente Deve-se trabalhar no nível do SMTP ou do conteúdo? Como lidar com MIME? pior, como lidar com email criptografado com S/MIME ou PGP? Quais são as ameaças? c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 35 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 36 / 54

Ameaças contra email Email entrante Obviamente, bugs de implementação dos protocolos envolvidos Vírus de email? SPAM? Javascript? Bugs em email HTML? Violações da política organizacional de uso de email? Verificação de assinaturas digitais? Nada disso pode ser tratado com filtros de pacotes DNS permite redirecionar todo email dirigido a uma rede para um ou mais servidores específicos registros tipo MX, possivelmente com registros *.domínio Múltiplas camadas de proteção são possíveis o servidor de email designado pode proteger a transação SMTP uma vez recebido corretamente, o email pode ter seu conteúdo inspecionado vírus, SPAM, phishing, conteúdo impróprio,... o firewall pode implementar uma dessas funções ou ambas c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 37 / 54 Email sainte c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 38 / 54 Combinando tipos de firewall Protocolo não ajuda aqui A maioria dos mailers permite redirecionar todo o tráfego de saída para um nó central (relay host) Isso pode ser decidido administrativamente, e reforçado com um filtro de pacotes O email entrante e sainte é tratado por um firewall de aplicação Um filtro de pacotes é usado para garantir que todo o tráfego de email só pode passar pelo firewall de aplicação c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 39 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 40 / 54

Um firewall para email exterior firewall interior DMZ antispam receptor antivírus SMTP Implementação Email não pode ser transmitido de outra maneira Recepção o único servidor SMTP com quem máquinas externas podem se comunicar é o receptor SMTP o receptor repassa o email para um filtro antivírus e anti-spam, usando um protocolo qualquer essa máquina fala SMTP com algum servidor interno de email outro benefício: se o receptor SMTP for comprometido, ele não pode se comunicar diretamente com a rede interna Envio um filtro de pacotes bloqueia conexões saintes para a porta 25/tcp a única máquina que pode falar SMTP com servidores externos é um servidor dedicado para envio de email esse servidor pode estar na rede interna ou na DMZ c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 41 / 54 Roteiro c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 42 / 54 Pequenos gateways de aplicação 1 Firewalls 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação Alguns protocolos não precisam de um tratamento completo na camada de aplicação Infelizmente, um filtro de pacotes não serve Solução: examinar parte do tráfego usando um proxy específico de aplicação, e tomar as medidas necessárias 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 43 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 44 / 54

Proxy para FTP Atacando o proxy de FTP O protocolo FTP tem um comando PORT que especifica a porta que vai ser usada para transferir um arquivo PORT 192,168,1,2,235,210 servidor abre uma conexão para o cliente a porta é determinada em tempo de execução por isso é difícil filtrar FTP de forma segura Uma solução pode ser usar um proxy para FTP o canal de controle do FTP é monitorado se um comando PORT for detectado, avisa ao firewall para abrir a porta temporariamente para a conexão entrante soluções semelhantes se aplicam ao RPC Applets Java podem se comunicar com o seu host de origem Um applet malicioso pode abrir um canal FTP e enviar um comando PORT contendo um número de porta de um serviço vulnerável em uma máquina supostamente protegida O firewall vai permitir a conexão entrante Solução: aumentar a inteligência do firewall com relação a quais hosts e números de porta podem aparecer em comandos PORT c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 45 / 54 Proxies web c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 46 / 54 Roteiro 1 Firewalls Suporte nativo a HTTP Vantagens adicionais caching de páginas desempenho filtragem de conteúdo e/ou endereços (URLs, endereços IP) Filtros de pacotes também permitem redirecionar o tráfego HTTP para um proxy 2 Filtros de pacotes 3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação 6 Problemas com firewalls c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 47 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 48 / 54

Problemas com firewalls Ameaças internas Ameaças internas Conectividade Laptops Evasão Firewalls pressupõem que todo mundo que está na rede interna é bonzinho Obviamente, isso não é verdade Além disso, conteúdo ativo e máquinas comprometidas (infectadas com malware, por exemplo) correspondem a maçãs podres dentro da caixa c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 49 / 54 Conectividade c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 50 / 54 Laptops Firewalls dependem da topologia Se existem muitas conexões com o exterior, é provável que alguém consiga escapar do firewall isso pode ser necessário nem sempre é possível filtrar o tráfego de todos os parceiros Uma organização de grande porte pode ter centenas ou mesmo milhares de links externos, a maior parte desconhecida dos administradores de rede até há algum tempo, era comum que funcionários ligassem seu ramal em um modem para acessar seus computadores remotamente Laptops, por definição, circulam por aí Quando eles estão fora do firewall, quem os protege? Relatos de pessoas com laptops cheios de vulnerabilidades ou malware são comuns obviamente, a rede está sempre habilitada Outra dificuldade é com laptops que entram na rede interna muitas vezes os seus computadores são bem protegidos, mas e os de seus visitantes? diversas redes são afetadas por vermes quando laptops infectados são ligados à rede interna redes sem fio tornaram o problema muito maior até o vizinho pode entrar na sua rede, de propósito ou não c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 51 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 52 / 54

Evasão Bibliografia Os firewalls e os administradores de firewalls tornaram-se bastante bons Algumas aplicações pararam de funcionar Os produtores de software começaram a construir coisas que rodam sobre HTTP web services e P2P, por exemplo HTTP geralmente passa por firewalls e até proxies web Tendência crescente de recorrer a inspeção e filtragem do conteúdo para determinar o que é tráfego permitido ou não muito mais difícil que usar números de portas impacto significativo no desempenho William R. Cheswick, Steven M. Bellovin e Aviel D. Rubin. Firewalls e Segurança na Internet, 2 a ed. Bookman, 2005. Capítulo 9. c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 53 / 54 c 2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 54 / 54

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback