Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Arquiteturas de Firewall
Packet Filters
Bastion Host
Arquiteturas screened subnet
Arquiteturas screened host
Packet Filters
Atuao de um Screening Router
Endereo IP fonte
Endereo IP destino
Protocolo: Se o pacote TCP, UDP
ou ICMP
Portas TCP ou UDP fontes
Portas TCP ou UDP destino
Tipo de mensagem ICMP (se for o
caso)
ACK bit no protocolo TCP
A interface na qual o pacote chega
A interface pela qual o pacote sai
Ataque do tipo IP spoofing
Xwindows, RPC, NFS, TFTP, SNMP,
NIS, etc.
Esquematizao de Regras de
filtragem (protocolo DNS)
Operaes de um Packet Filter
Vantagens e Desvantagens
Aes do Screening Router
Riscos na filtragem
Caractersticas desejveis em um
screening router
Mltiplos roteadores
Bastion Host
Tipos Especiais de Bastion Hosts
Dual-homed Host
Construindo um Bastion Host
Proxy Systems
Um Dual-homed host atuando como
proxy server
Como funciona um Proxy Server
Vantagens e Desvantagens
Screened Subnet
Introduo
Screened Subnet utilizando um nico
roteador
Anlise frente as Estratgias de
Segurana
Como construir uma screened
subnet utilizando ferramentas
freewares
Screened Host
Introduo
Anlise frente as Estratgias de
Segurana
Anexo
Ferramentas freeware
Ferramentas de autenticao
Ferramentas de packet filtering
Ferramentas Proxies
Arquiteturas de Firewall
O Firewall consiste em um conjunto de componentes organizados de uma forma
a garantir certos requisitos de segurana. Os componentes bsicos para a
construo de um firewall so:
Packet Filters
Como um primeiro passo ao se implementar uma barreira de segurana em
uma rede de computadores, fundamental que se conheca os detalhes dos
protocolos de comunicao utilizados. Na Internet, a ateno deve ser voltada
aos protocolos IP, TCP, ICMP e UDP. Estes so os principais protocolos a nvel
de rede e transporte (Modelo OSI) que so considerados e examinados ao se
estabelecer regras de filtragem em um packet filter para a Internet. Este
mecanismo de filtragem a nvel de roteador possibilita que se controle o tipo de
trfego de rede que pode existir em qualquer segmento de rede;
conseqentemente, pode-se controlar o tipo de servios que podem existir no
segmento de rede. Servios que comprometem a segurana da rede podem,
portanto, ser restringidos.
Endereo IP fonte;
Endereo IP destino;
Protocolo: Se o pacote TCP, UDP ou ICMP;
Portas TCP ou UDP fontes;
Portas TCP ou UDP destino;
Tipo de mensagem ICMP (se for o caso).
No protocolo TCP existe um flag denominado ACK que utilizado para
confirmao de pacotes e tambm pode ser utilizado para detectar se o pacote
o primeiro de uma solicitao de conexo. Quando o flag no estiver setado
significa que o pacote se refere a uma solicitao de conexo e, caso contrrio,
o pacote corresponde a alguma conexo j existente (FIG. 2). Desta forma, o
packet filter pode bloquear um servio inbound (de fora para dentro; ou seja, o
servidor est na rede interna) apenas no permitindo o fluxo de pacotes com o
ACK setado destinado a um servidor interno associado a port (por exemplo, a
port 23 do telnet) do servio bloqueado. Em protocolos no orientados a
conexo, por exemplo o protocolo UDP, no possvel tomar nenhuma deciso
deste tipo; ou seja, nestes protocolos, nunca se sabe se o pacote que est
chegando o primeiro que o servidor est recebendo. Para fazer uma filtragem
correta dos pacotes, importante saber se o protocolo bidirecional (pacotes
Bastion Host
Bastion host qualquer mquina configurada para desempenhar algum papel
crtico na segurana da rede interna; constituindo-se na presena pblica na
Internet, provendo os servios permitidos segundo a poltica de segurana da
empresa.
Screened Subnet
Introduo
Composta por componetes mais bsicos (packet filters e bastion hosts) esta
uma arquitetura que apresenta mltiplos nveis de redudncia e prov um bom
esquema de segurana, constituindo-se em um exemplo clssico de
arquiteturas de firewall.
Ao invs de se utilizar dois roteadores, o que pode ser muito caro dependendo
dos recursos disponveis, pode-se utilizar um nico roteador com trs interfaces
de rede mas que possibilite aplicar as regras de filtragem em cada interface em
ambos os sentidos (FIG. 8). Neste caso, segundo [CHA 95] "a soluo seria um
pouco mais complexa porque teria de se executar um merge dos dois conjuntos
de filtragem adotados no roteador externo e interno, agora substitudos por um
nico roteador".
Screened Host
Introduo
Anexo
Ferramentas freeware
Ferramentas de autenticao
Ferramentas de packet filtering
Ferramentas Proxies
Ferramentas de autenticao
Algumas ferramentas de autenticao que merecem destaque so: