Firewall e VPNFirewall e VPN

Prof. Rafael Guimarães, PhDrguima@gmail.com

IntroduçãoIntrodução• O que é um firewall?

– Algumas pessoas definem firewall como uma caixa específica projetada para filtrar o tráfego na Internet

– Essa caixa pode ser comprada (appliance) ou construída

– Firewall é qualquer dispositivo, software, arranjo ou equipamento que limita o acesso à rede

IntroduçãoIntrodução• Qual é a função de um Firewall?

– A função básica de um Firewall em um servidor é bloquear o acesso às portas que não estão em uso, evitando assim a exposição de serviços vulneráveis, ou que não devem receber conexões por parte da Internet

IntroduçãoIntrodução• Quando se fala em firewall, muitas vezes se

pensa em um dispositivo dedicado, colocado entre o servidor (ou o switch da rede) e a Internet

• Embora eles sejam muito comuns, é possível obter um nível de segurança similar simplesmente usando os recursos nativos do sistema, configurando o iptables, por exemplo

• Os firewalls podem ser baseados em hardware e/ou software ou uma mistura dos dois

IntroduçãoIntrodução• Três fatores estão em risco quando nos

conectamos a Internet:– A Reputação

– Os Computadores

– As Informações Guardadas;

• Três fatores precisam ser resguardados:– Privacidade

– Integridade

– Disponibilidade

FirewallsFirewalls• A necessidade dos firewalls surgiu com a

disseminação da Internet e das redes de computadores

• Normalmente, os servidores e as estações de trabalho não possuem características de segurança fortes

• O firewall, portanto, na maioria das vezes é posicionado entre a rede local e a rede externa, visando:– Estabelecer um enlace controlado

– Proteger a rede local contra ataques

– Fornecer um único ponto de acesso à rede

FirewallsFirewalls• Todo o tráfego de dentro para fora da rede deve

passar pelo firewall– Bloquear (impedir) qualquer tipo de acesso que

não passe pelo firewall• Somente o tráfego autorizado é permitido

passar pelo firewall– Estabelecer uma política

de segurança que defina o que é tráfego autorizado

• O próprio firewall deve ser “imune” a invasões– Instalado em um

sistema operacional seguro e confiável

Características dos FirewallCaracterísticas dos Firewall• Os firewalls são usados para:

– Controle de serviço• Determina os tipos de serviços da Internet que

podem ser acessados

– Controle de direção• Determina a direção na qual as requisições de

serviço podem fluir

– Controle de usuário• Controla o acesso aos serviços de acordo com os

usuários que tentam acessá-los

– Controle de comportamento• Controla a forma como os serviços são acessados

Características dos FirewallsCaracterísticas dos Firewalls• Os firewalls podem filtrar vários níveis diferentes

em uma pilha de protocolo de rede• Existem 03 categorias principais:

– Filtragem de pacotes

– Gateways de circuito

– Gateways de aplicação

Filtros de PacoteFiltros de Pacote• Oferecem um nível barato e útil de segurança

– Os recursos de filtragem vêm com o software roteador

• Funcionam eliminando pacotes com base em seus endereços de origem ou destino, ou nos números e portas

• As decisões são tomadas com base no conteúdo do pacote atual– Pouco ou nenhum contexto é mantido

• Dependendo do tipo do roteador, a filtragem pode ser feita na interface de entrada, de saída ou ambas

Filtros de PacoteFiltros de Pacote

• O firewall faz o roteamento seletivo de pacotes entre a rede local e a rede externa

• Utiliza um conjunto de regras sobre o cabeçalho TCP e IP para selecionar os pacotes

• As regras são aplicadas a cada pacote na direção desejada

Filtros de PacoteFiltros de Pacote• As regras são estabelecidas utilizando as

seguintes informações, disponíveis para o roteador:– Endereço IP de origem e de destino

– Tipo de protocolo (TCP, UDP ou ICMP)

– Portas (TCP e UDP) de origem e destino

– Tipo de mensagem ICMP

– Interfaces de entrada e saída dos pacotes

Filtros de PacoteFiltros de Pacote• Vantagens

– Simplicidade

– Transparência para o usuário

– Alta velocidade

• Desvantagens– Dificuldade para configurar as regras de filtragem

– Inexistência de autenticação

Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação• Os filtros no nível de aplicação lidam com os

detalhes do serviço particular que estão verificando e normalmente são mais complexos que os filtros de pacotes

• Ao invés de utilizar um mecanismo de uso geral, para permitir o fluxo de muitos tipos diferentes de tráfego, um código de uso especial pode ser utilizado para cada aplicação desejada

• Ex: Filtros para correio eletrônico entendem:– Cabeçalhos RFC 822, anexos formatados como

MIME e pode identificar softwares infectados com vírus

Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação

• Atua de forma transparente como um controlador de tráfego entre os usuários internos e os serviços externos na camada de aplicação

• Como se fosse um proxy!

Filtragem no Nível de AplicaçãoFiltragem no Nível de Aplicação• Vantagens

– Oferece maior segurança que filtros de pacotes

– Precisa examinar apenas algumas poucas aplicações permitidas

– Facilidade de auditar e registrar todo o tráfego de entrada

• Ex: Correio– Verificado quanto a palavras obscenas

– Verificado quanto a indicações de que dados proprietários ou restritos estão passando pelo gateway

• Desvantagens– Sobrecarga de processamento adicional em cada

conexão

Filtragem no Nível de CircuitoFiltragem no Nível de Circuito• Os gateways no nível de circuito trabalham no nível do

TCP• As conexões TCP são retransmitidas por meio de um

computador que atua basicamente como um cabeamento– Executa-se um programa que copia bytes entre duas

conexões, e eles podem ser possivelmente armazenados

• Quando um cliente deseja se conectar a um servidor, ele se conecta a um host transmissor que por sua vez se conecta ao servidor– Desta forma, o nome e o IP do cliente normalmente

não estão disponíveis

Filtragem no Nível de CircuitoFiltragem no Nível de Circuito

• Os retransmissores de circuito são geralmente utilizados para criar conexões específicas entre redes isoladas

Filtragem no Nível de CircuitoFiltragem no Nível de Circuito• O protocolo SOCKS foi criado para funcionar

neste tipo de configuração• Em geral, os serviços de retransmissão não

examinam os bytes quando eles fluem• Pode-se registrar o número de bytes e o destino

TCP, e tais logs podem ser úteis• Uma vantagem dos gateways de circuito é que

eles limpam conexões de IP– O endereço IP de origem não está disponível

para o servidor

DMZDMZ

• DeMilitirized Zone– Algumas máquinas da rede oferecem serviços

para a Internet, outras não

FirewallsFirewalls

• Fornecedores

Introdução às VPNsIntrodução às VPNs• Redes Privadas Virtuais

– Criação de uma rede privada utilizando a infraestrutura de uma rede pública

Introdução às VPNsIntrodução às VPNs• O que é uma VPN?

– VPNs são redes virtuais, criadas para interligar duas redes de computadores distintas e separadas fisicamente e que se comunicam entre si de forma segura, usando criptografia, através de um meio público de comunicação – geralmente a Internet

– Usar uma VPN permite compartilhar arquivos e usar aplicativos de produtividade e gerenciamento, como se todos os micros estivessem conectados na mesma rede local

Introdução às VPNsIntrodução às VPNs• Analogia para entender o conceito de VPN

– Formas diferentes de atravessar o canal da Mancha

• Forma insegura = travessia de barco, pois dessa forma a tripulação estaria sujeita a todo tipo de interferência externa.

• Forma segura e privativa = travessia por meio do Eurotúnel. Dessa forma, os passageiros não estariam sujeitos às interferências de outras pessoas ou da natureza.

• Portanto, essa forma de travessia equivale à utilização de uma VPN para atravessar o canal da Mancha.

Aplicações de VPNAplicações de VPN

• “Braço” seguro do escritório através da Internet– VPN através da Internet permite que

computadores fora da empresa acessem a rede da empresa (como se fossem locais)

• Acesso remoto seguro através da Internet– Computadores externo pode se conectar à rede

de uma empresa de forma segura através da Internet

• Estabelecimento de conexão de extranets e intranets com parceiros– Garante segurança na interligação de empresas

VantagensVantagens• As principais vantagens são:

– Redução de custo• Pois não há necessidade de linhas dedicadas e

servidores para acesso remoto.

– Segurança

– Transparência• A transparência não deixa que usuários,

aplicações e computadores percebam a localização física dos equipamentos que estão sendo utilizados, permitindo que eles sejam acessados em lugares remotos como se estivessem presentes localmente

– Flexibilidade

Funcionamento da VPNFuncionamento da VPN• De forma simplificada, os passos de configuração e

funcionamento do acesso remoto VPN são:– O usuário instala o software cliente;

– O servidor informa os parâmetros necessários para a conexão IPSec, entre eles o certificado digital, a chave de criptografia e os algoritmos criptográficos a serem utilizados;

– O usuário recebe as informações do servidor e configura o software cliente para poder estabelecer uma conexão;

– A conexão IPSec é negociada entre o usuário e a rede da organização de acordo com os parâmetros do usuário e do servidor, que possui uma lista dos recursos que cada usuário pode acessar.

Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo de

como é feita a conexão– Host x Host

• Objetivo de comunicar dois hosts separados fisicamente, mas fornecendo a segurança necessária

Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo de

como é feita a conexão– Host x Rede

• Permitir que um host móvel se conecte a uma determinada rede através da Internet

Topologias de VPNTopologias de VPN• Existem 03 tipos de topologias dependendo

de como é feita a conexão– Rede x Rede

• Topologia ideal para interligar redes de uma mesma organização que possui centros geograficamente distantes

Topologias para VPNTopologias para VPN• Algumas configurações sobre a localização da

VPN dentro da rede da empresa são as seguintes:– Dentro do firewall;– Em frente ao firewall;– Atrás do firewall;– Paralelo ao firewall;– Ao lado do firewall;– Em uma DMZ (DeMilitarized Zone);

Topologias para VPNTopologias para VPN• Gateway VPN dentro do Firewall

Topologias para VPNTopologias para VPN• Gateway VPN dentro do Firewall

– É a opção que parece mais natural• Toda a segurança da rede é feita por uma única máquina• Isso leva a uma redução de custos, pois não será

necessário investir em mais equipamentos

– Uniformiza a administração e o gerenciamento dos componentes da rede

– Desvantagem: Constitui um único ponto de falha, pois um ataque à VPN pode comprometer toda a estrutura do firewall e vice-versa

Topologias para VPNTopologias para VPN• Gateway VPN em frente ao Firewall

Topologias para VPNTopologias para VPN• Gateway VPN em frente ao Firewall

– É o ponto de conexão à Internet– Se apresentar falhas, pode ser explorado por um

intruso• Caso isso ocorra, todo o tráfego pode ficar comprometido,

tornando a rede indisponível

– O tráfego VPN é inspecionado pelo firewall depois que os pacotes saem da rede virtual

Topologias para VPNTopologias para VPN• Gateway VPN atrás do Firewall

Topologias para VPNTopologias para VPN• Gateway VPN atrás do Firewall

– Necessário configurar uma regra específica para redirecionar os dados destinados ao gateway VPN

– O ponto fraco dessa configuração é que o firewall não poderá filtrar ou analisar os dados da VPN com destino a rede interna

• Haverá o risco de invasão a partir do gateway VPN

– A vantagem é que o gateway VPN não fica exposto e vulnerável a ataques originários da Internet

Topologias para VPNTopologias para VPN• Gateway VPN paralelo ao Firewall

Topologias para VPNTopologias para VPN• Gateway VPN paralelo ao Firewall

– Separação do tráfego da VPN do tráfego da Internet. – Vantagem: distribuição e balanceamento do

transporte de dados de acordo com o destino – Desvantagem: vulnerabilidade do gateway VPN que

estará exposto a tentativa de invasão, pois não há um firewall protegendo-o

Topologias para VPNTopologias para VPN• Gateway VPN ao lado do Firewall

Topologias para VPNTopologias para VPN• Gateway VPN ao lado do Firewall

– Possui um segmento de rede adicional exclusivo para o gateway VPN

– Após a análise e decifragem feita pelo gateway VPN os dados passarão novamente pelo firewall

– Vantagens• Não deixa o gateway VPN exposto• Os dados cifrados destinados ao gateway VPN são

redirecionados diretamente sem uma análise prévia e apenas no retorno para a rede interna é que serão analisados pelo firewall.

• Esse procedimento diminui o congestionamento do firewall.