Sobre Criafirewalls PC

Implantao de Firewalls:
Teoria e Prtica
Teoria e Prtica
Teoria e Prtica
Teoria e Prtica
Vincius Serafim Vincius Serafim
serafim@inf.ufrgs.br serafim@inf.ufrgs.br
GSeg
GSeg
UFRGS UFRGS
2
GSeg
UFRGS
Programao Programao
Programao Programao
O que um Firewall? O que um Firewall?
Tecnologias Tecnologias
Arquiteturas Arquiteturas
Implementao Implementao
Firewalls usando Linux Firewalls usando Linux
Burlando um irewall Burlando um irewall
Aulas pr!ticas Aulas pr!ticas

3
GSeg
UFRGS
A Referncia !i"liogrfica# A Referncia !i"liogrfica#
A Referncia !i"liogrfica# A Referncia !i"liogrfica#
Building Internet Firewalls" #nd $dition Building Internet Firewalls" #nd $dition
% $li&a'et( )* +wic,-" .imon /ooper e )* Brent /(apman
% O01$ILL2
% I.B34 567879#6:;56;
% <. =>>*97
$ %ue & um Firewall'
GSeg
GSeg
UFRGS UFRGS
5
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
Introduo Introduo
O que um Firewall? O que um Firewall?
O que um Firewall pode a&er? O que um Firewall pode a&er?
O que um Firewall 3?O pode a&er? O que um Firewall 3?O pode a&er?
@ro'lemas com Firewalls @ro'lemas com Firewalls
@r6requisitos para seguirmos adiante @r6requisitos para seguirmos adiante
O'Aetos tratados pelo Firewall O'Aetos tratados pelo Firewall

6
GSeg
UFRGS
Introduo Introduo
Introduo Introduo
Bost .ecurit- Bost .ecurit-

% Caria de acordo com cada plataorma de .O
% Caria de acordo com o papel do (ost
% indicada apenas para pequenos sites
3etwor, .ecurit- 3etwor, .ecurit-

%
pode proteger de&enas e at centenas de m!quinas" ***
%
eCita inDmeros ataques
%
independente da plataorma dos (osts
%
controle de pontos de acesso
Firewall
7
GSeg
UFRGS
$ %ue & um Firewall' $ %ue & um Firewall'
Firewall
8
GSeg
UFRGS
Eecanismo 'astante eetiCo para segurana de rede Eecanismo 'astante eetiCo para segurana de rede
@onto de controle @onto de controle

% controla entrada e saFda de tr!ego
% mantm os atacantes longe das deesas internas
Implementado de acordo com a polFtica de Implementado de acordo com a polFtica de

segurana segurana
Barreira adicional de segurana Barreira adicional de segurana
3o 5GGH seguro e eetiCo 3o 5GGH seguro e eetiCo

%
implementao
%
conigurao
%
usu!rios internos
9
GSeg
UFRGS
$ %ue um Firewall pode fa)er' $ %ue um Firewall pode fa)er'
$ %ue um Firewall pode fa)er' $ %ue um Firewall pode fa)er'
Foco para decisIes reerentes J segurana Foco para decisIes reerentes J segurana
Aplicar a @olFtica de .egurana Aplicar a @olFtica de .egurana
1egistrar eicientemente as atiCidades da rede 1egistrar eicientemente as atiCidades da rede
Limitar a exposio da rede interna Limitar a exposio da rede interna

10
GSeg
UFRGS
$Citar a ao maliciosa de usu!rios internos $Citar a ao maliciosa de usu!rios internos

%
leCarKtra&er dados usando disquetes e outras mFdias
@roteger a rede de pacotes que no passam por ele @roteger a rede de pacotes que no passam por ele
% modems em m!quinas internas
% outros lin,s
$ %ue um Firewall *+$ pode fa)er' $ %ue um Firewall *+$ pode fa)er'
F
11
GSeg
UFRGS
@roteger contra ameaas completamente noCas @roteger contra ameaas completamente noCas
3o ornecem 'oa proteo contra CFrus 3o ornecem 'oa proteo contra CFrus
% tarea complicada
muitos ormatos existentes de arquiCos execut!Ceis
muitas maneiras de transmitir um desses arquiCos
%
mel(or proteo utili&ar um antiCFrus em cada m!quina
Auto6conigurao Lno Auto6conigurao Lno plug & play plug & playM M
%
qualquer irewall exige algum nFCel de conigurao
12
GSeg
UFRGS
Pro"lemas com Firewalls Pro"lemas com Firewalls
Pro"lemas com Firewalls Pro"lemas com Firewalls
Intererem no uncionamento da internet Intererem no uncionamento da internet

% internet 'aseada em comunicao im6a6im
% muitos detal(es da comunicao so ocultados
% diicultam a implantao de noCos serCios
% normalmente os usu!rios no gostam e at se reColtam
Firewalls 3?O resolCem o pro'lema da segurana Firewalls 3?O resolCem o pro'lema da segurana
%
outros mecanismos precisam ser utili&ados Lex*4 (ost
securit-M
13
GSeg
UFRGS
Pr&,re%uisitos para seguirmos adiante Pr&,re%uisitos para seguirmos adiante
Pr&,re%uisitos para seguirmos adiante Pr&,re%uisitos para seguirmos adiante
.a'er o que um pacote e um protocolo .a'er o que um pacote e um protocolo

%
endereamentos Lm!scaras de redeM
%
portas
%
caracterFsticas de uncionamento
/on(ecer as camadas da pil(a T/@KI@ /on(ecer as camadas da pil(a T/@KI@

aplicao
transporte
rede
Fsico
14
GSeg
UFRGS
$"-etos tratados pelo Firewall $"-etos tratados pelo Firewall
A unidade '!sica e essencial o @A/OT$ A unidade '!sica e essencial o @A/OT$
Trata protocolo do nFCel de rede Trata protocolo do nFCel de rede

% inspeciona4
endereos
e possiCelmente os lags
% suportam I@
% outros protocolos no so normalmente suportados Lex*4
Apple Tal," I@NM
15
GSeg
UFRGS
@ode tratar protocolos do nFCel de transporte LportasM @ode tratar protocolos do nFCel de transporte LportasM
% T/@
% <)@
@ode tratar protocolos auxiliares @ode tratar protocolos auxiliares

% I/E@
% A1@
@ode tratar protocolos do nFCel de aplicao @ode tratar protocolos do nFCel de aplicao
%
BTT@
%
.ET@
%
FT@
Tecnologias
Tecnologias
Tecnologias
Tecnologias
GSeg
GSeg
UFRGS UFRGS
17
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
Filtragem de @acotes Filtragem de @acotes
@rox- .erCices @rox- .erCices
3etwor, Address Translation L3ATM 3etwor, Address Translation L3ATM
Oirtual @riCate 3etwor, LO@3M ? Oirtual @riCate 3etwor, LO@3M ?

18
GSeg
UFRGS
Filtragem de Pacotes Filtragem de Pacotes
endereos origemKdestino
protocolo LT/@" <)@" I/E@M
porta origemKdestino
taman(o do pacote
tipo de mensagem I/E@
caso o pacote no seAa permitido" ele destruFdo
caso seAa permitido" ele roteado para o destino
Alm das inormaIes contidas
nos pacotes o iltro sa'e em que
interace o pacote c(egou e para
qual interace deCe ir*
19
GSeg
UFRGS
AIes tomadas depois de um pacote ser Ceriicado AIes tomadas depois de um pacote ser Ceriicado
% $ncamin(ar o pacote para o destino LAllowM
% $liminar o pacote L)rop" )en-M
% 1eAeitar o pacote" enCiando um erro para o emissor do
pacote L1eAectM
% 1egistrar os dados do pacote LLogM
% inDmeras outras
20
GSeg
UFRGS
.tateless @ac,et Inspection .tateless @ac,et Inspection

% cada pacote analisado isoladamente" sem nen(um tipo de
correlao com outros pacotes
% mais comumente implementado
.tateul @ac,et Inspection .tateul @ac,et Inspection

% o iltro leCa em conta o (istPrico da conexo
%
'em mais eiciente
%
exige manter lista de conexIes
%
Cem se tornando um QpadroR
21
GSeg
UFRGS
$xemplo de regras de iltragem $xemplo de regras de iltragem

Allow prot tcp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 23
Allow prot udp src 10.0.0.0/8 port any dst 0.0.0.0/0 port 53
Drop prot any src 0.0.0.0/0 port any dst 0.0.0.0/0 port any
22
GSeg
UFRGS
Oantagens Oantagens
% um roteador com iltragem pode proteger toda uma rede
% extremamente eiciente" principalmente stateless
% largamente disponFCel" pode ser encontrado em
roteadores" em'utido em .Os" sotwares especFicos" ***
)esCantagens )esCantagens
% complicado conigurar um iltro de pacotes
% diFcil de testar
% redu& a perormance do roteamento
% algumas Ce&es altam recursos para implementar algumas
regras deseAadas
23
GSeg
UFRGS
Pro./ Ser0ices Pro./ Ser0ices
@rox- S @rocurador @rox- S @rocurador
Funcionam a nFCel de aplicao Funcionam a nFCel de aplicao

% Aplication LeCel Tatewa-s
% BTT@
% FT@
Iluso do Usurio
BTT@ @rox-
www*site*com
24
GSeg
UFRGS
@odem reali&ar iltragens 'aseados nos dados do @odem reali&ar iltragens 'aseados nos dados do
protocolo de aplicao protocolo de aplicao
%
ex*4 BTT@
nome do site
conteDdo da p!gina
tipo de acesso T$TK@O.T
etc*
% ex*4 .ET@
e6mail do remetente
e6mail do destinat!rio
comandos .ET@
conteDdo de um e6mail
25
GSeg
UFRGS
Oantagens Oantagens
% nFCel mais apurado de registro LlogM
% iltragem mais inteligente
% pode reali&ar autenticao de usu!rio
% protege clientes de Qpacotes nociCosR
% pode reali&ar caching
%
cada serCio requer um prox- especFico
%
alguns serCios" principalmente os noCos" no tem prox-
disponFCel
%
nem sempre transparente para o usu!rio
@rox-
.ite
26
GSeg
UFRGS
*etwor1 Address Translation 2*AT3 *etwor1 Address Translation 2*AT3
$ndereos externamente CisFCeis $ndereos externamente CisFCeis

% so endereos C!lidos na Internet
% 3?O podem ser utili&ados sem que seAam deCidamente
reserCados L1egistro*'rM
$ndereos de uso interno $ndereos de uso interno

% so endereos inC!lidos na Internet
% 1F/595:
5G*G*G*G K :
5;#*58*G*G K 5#
% netmas, #77*#>G*G*G
% aixa4 5;#*58*G*G at 5;#*U5*G*G
59#*58:*G*G K 58
27
GSeg
UFRGS
Operao Operao
%
altera dados do pacote
normalmente endereo e porta de origem
em alguns casos endereo e porta de destino L)estination
3ATM
3AT
59#*58:*5*5G 4 5G>U 5>U*7>*#U*5G 4 >GUG 59#*58:*5*5G 4 5G>U 5>U*7>*#U*5G 4 >GUG
59#*58:*5*5> 4 #GU# 5>U*7>*#U*5G 4 >GUU 59#*58:*5*5> 4 #GU# 5>U*7>*#U*5G 4 >GUU
28
GSeg
UFRGS
Oantagens Oantagens
% aAuda a reorar o controle do irewall
os endereos internos no uncionam na rede externa" assim"
qualquer conexo de dentro para ora depende de auxFlio do
irewall
somente pacotes relatiCos Js conexIes iniciadas internamente
conseguem Cir da rede externa
%
oculta a estrutura LconiguraoM da rede interna
29
GSeg
UFRGS
.em uso do 3AT .em uso do 3AT

As m!quinas internas podem icar
expostas" assim um atacante pode
conectar6se diretamente a uma
m!quina interna sem maiores
pro'lemas*
<su!rios internos podem
instalar serCios que podero
ser acessados de ora da rede*
ex*4 O3/" @/An-V(ere*
456785796748
45678579676:
4567857967985
456785796746;
30
GSeg
UFRGS
<sando 3AT <sando 3AT

456785796746;
4567857967985
59#*58:*5*#G
59#*58:*5*>7
E!quinas internas icam ocultas*
.omente aquelas que precisam
ser acessadas de ora Lex*4 um
serCidor BTT@M" possuem um I@
externamente CisFCel*
Todo acesso externo
reali&ado pelo equipamento
que a& o 3AT*
31
GSeg
UFRGS
%
o 3AT altera dados do pacote" isso pode intererir em
alguns protocolos" pode diicultar o registro LlogM de
atiCidades e pode ainda intererir na iltragem de pacotes
% maior carga no equipamento
32
GSeg
UFRGS
3o propriamente uma tecnologia de irewall 3o propriamente uma tecnologia de irewall
Eas o irewall um 'om lugar para a criao de uma Eas o irewall um 'om lugar para a criao de uma
O@3 O@3
%
controla todo o tr!ego de entradaKsaFda
%
um irewall no consegue controlar tr!ego A! cirado
Virtual Pri0ate *etwor1 2VP*3 ' Virtual Pri0ate *etwor1 2VP*3 '
Virtual Pri0ate *etwor1 2VP*3 ' Virtual Pri0ate *etwor1 2VP*3 '
Firewall
Ar%uiteturas
Ar%uiteturas
Ar%uiteturas
Ar%uiteturas
GSeg
GSeg
UFRGS UFRGS
34
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
Tipos de Arquiteturas Tipos de Arquiteturas
$xemplos de Arquiteturas $xemplos de Arquiteturas
Bastion Bosts Bastion Bosts
$xemplos de Arquiteturas $xemplos de Arquiteturas
Algumas /onsideraIes Algumas /onsideraIes

35
GSeg
UFRGS
Tipos de Ar%uiteturas Tipos de Ar%uiteturas
Tipos de Ar%uiteturas Tipos de Ar%uiteturas
.ingle6Box .ingle6Box
% 'aseados em apenas um equipamento
% arquitetura 'astante comum
% mais 'arata" mais simples" menos segura
% ponto Dnico de al(a
Eultiple6Boxes Eultiple6Boxes
% composta por um conAunto de equipamentos
% custo pode ser muito maior dependendo da soluo
adotada
% mais complexa" 'em mais segura
% ornece C!rios nFCeis de deesa
% so inDmeros os arranAos possFCeis
36
GSeg
UFRGS
.creening 1outer .creening 1outer

% tudo que preciso um roteador com iltragem"
normalmente precisamos de um para a conexo com a
Internet
% normalmente sP iltra pacotes" mas pode a&er 3AT
% limitado" no trata nFCel de aplicao
<.emplos de Ar%uiteturas <.emplos de Ar%uiteturas
Single-Box
37
GSeg
UFRGS
.creening 1outer .creening 1outer

%
Wuando usar?
quando a rede protegida tem um alto grau de Bost .ecurit-
nDmero redu&ido de protocolos
protocolos simples
quando o desempen(o Cital
% Onde utili&ar?
entre redes internas Lirewall internoM
38
GSeg
UFRGS
.creened Bost .creened Bost

%
iltro garante que
somente pacotes destinados ao 'astion (ost podem entrar
somente pacotes criados pelo 'astion (ost podem sair
% dois nFCeis de segurana
iltro de pacotes
bastion host
Multiple-Boxes
Bastion Bost
39
GSeg
UFRGS
.creened Bost .creened Bost

% no dispensa (ost securit-
% trata nFCel de aplicao
% Wuando utili&ar?
quando o 'astion (ost no or um serCidor para usu!rios
externos LserCidor pD'licoM
Bastion Bost
Multiple-Boxes
40
GSeg
UFRGS
!astion =osts !astion =osts
Bastion Bost Bastion Bost

% como o saguo de um prdio" qualquer um pode entrar
nele" mas talCe& no possa seguir adiante
% constitui a presena pD'lica na Internet" externamente
CisFCel e acessFCel
% so m!quinas potencialmente Culner!Ceis e portanto crFticas
para a segurana
% exigem um alto nFCel de (ost securit-
% sero o primeiro alCo de um atacante
% mais cedo ou mais tarde sero in0adidos
41
GSeg
UFRGS
Alguns tipos Alguns tipos

% internos4 ornecem serCios para a rede interna Lprox-M
%
externos4 serCidores pD'licos BTT@" FT@" .ET@" etc*
%
)ual6Bomed4 m!quinas com duas Lou maisM placas de rede*
Interconecta duas redes ao nFCel de aplicao*
42
GSeg
UFRGS
>?@
.creened .u'net .creened .u'net

%
iltros garantem que4
somente pacotes destinados ao 'astion (ost podem entrar na
)E+
somente pacotes criados pelo 'astion (ost podem sair da )E+
Multiple-Boxes
43
GSeg
UFRGS
.creened .u'net .creened .u'net

% mDltiplos nFCeis de segurana
% no existe um ponto Dnico de al(a
%
o atacante tem que passar pelos dois roteadores para
c(egar na rede interna
% criao de uma rede perimetral
% arquitetura apropriada para a maioria dos casos
44
GSeg
UFRGS
.plit6.creened .u'net .plit6.creened .u'net

%
iltros so semel(antes aos da .creened .u'net
%
iltragem e controle maximi&ados
%
mais complexo" mais diFcil de criar e manter
%
mDltiplos nFCeis de deesa
>?@
Multiple-Boxes
45
GSeg
UFRGS
3o existem somente as aqui citadas 3o existem somente as aqui citadas
3o existe um padro 3o existe um padro
/ada am'iente exige um irewall especialmente /ada am'iente exige um irewall especialmente
proAetado proAetado
LeCe em conta LeCe em conta

%
necessidade dos seus usu!rios internos
%
necessidade dos seus usu!rios externos Lex*4 clientesM
%
o quanto crFtica a segurana dos seus sistemas
%
capacidade de inCestimento
3o preciso a&er tudo de uma Ce&" nem se deCe 3o preciso a&er tudo de uma Ce&" nem se deCe
Algumas AonsideraBes Algumas AonsideraBes
Algumas AonsideraBes Algumas AonsideraBes
Implementao
Implementao
Implementao
Implementao
GSeg
GSeg
UFRGS UFRGS
47
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
.otware LiCre ou /omercial? .otware LiCre ou /omercial?
<nix" Vindows e outras QseitasR <nix" Vindows e outras QseitasR
@roAetando um Firewall @roAetando um Firewall
Eantendo um Firewall Eantendo um Firewall
<m caso para no ser seguido <m caso para no ser seguido
Bastion Bosts Bastion Bosts

48
GSeg
UFRGS
Software Ci0re ou Aomercial' Software Ci0re ou Aomercial'
Software Ci0re ou Aomercial' Software Ci0re ou Aomercial'
Wualquer soluo exige pelo menos os seguintes Wualquer soluo exige pelo menos os seguintes
con(ecimentos con(ecimentos
% como unciona a soluo empregada
% uncionamento dos protocolos a serem iltrados
A escol(a depende4 A escol(a depende4

% dos recursos disponFCeis L(umanos e inanceirosM
% das suas necessidades
Os extremos so perniciosos Os extremos so perniciosos

%
por que no com'inar as mel(ores de cada um?
49
GSeg
UFRGS
Dni.E Findows e outras GseitasH Dni.E Findows e outras GseitasH
<nix oi um dos primeiros Lo primeiroM a ornecer os <nix oi um dos primeiros Lo primeiroM a ornecer os
serCios necess!rios serCios necess!rios
BoAe temos inDmeras CariaIes do <nix e outros BoAe temos inDmeras CariaIes do <nix e outros
sistemas operacionais que tam'm ornecem esses sistemas operacionais que tam'm ornecem esses
serCios serCios
)i&er que o Vindows 3T no serCe*** )i&er que o Vindows 3T no serCe***

%
um pouco de preconceito
% e de ignorXncia
50
GSeg
UFRGS
<sar o 3T para construir um irewall apenas mais <sar o 3T para construir um irewall apenas mais
diFcil diFcil
% <nix oi um dos primeiros a implementar o T/@KI@" o que
resulta em cerca de #G anos de uso e correIes
% Y! o 3T implementou o T/@KI@ do &ero" erros A! corrigidos
no <nix e que no existiam apareceram
% O Vindows 3T uma caixa preta" as coisas oram eitas
para uncionarem sem que os administradores sai'am como
A m!xima4 use o que CocZ A! con(ece A m!xima4 use o que CocZ A! con(ece
51
GSeg
UFRGS
Pro-etando um Firewall Pro-etando um Firewall
$tapas $tapas
% )einir suas necessidades
% ACaliar os produtos disponFCeis
% $studar como Auntar os produtos
52
GSeg
UFRGS
)einir suas necessidades )einir suas necessidades

%
escol(er os produtos a partir das necessidades e no o
contr!rio
%
polFtica de segurana" no continue sem ter uma
%
que serCios sero oerecidos
%
qual o nFCel de segurana necess!rio
%
qual o tr!ego esperado
canais disponFCeis
quantos usu!rios
o que eles iro a&er
% quanto possFCel inCestir
% recursos (umanos disponFCeis
53
GSeg
UFRGS
ACaliar os produtos disponFCeis ACaliar os produtos disponFCeis

% escala'ilidade
% disponi'ilidade e redundXncia
% recursos para auditoria
% custo
(ardware
sotware
suporte e atuali&aIes
administrao e instalao
% no procure uma soluo pereita" mas a que mel(or atende
o seu caso em particular
54
GSeg
UFRGS
$studar como Auntar os produtos $studar como Auntar os produtos

% onde sero arma&enados os logs
% sincroni&ao de relPgios
% como a&er 'ac,up
% como ser! o acesso para manuteno
% alguma possFCel incompati'ilidade?
55
GSeg
UFRGS
?antendo um Firewall ?antendo um Firewall
Bac,up Bac,up
% prox-
% iltros de pacotes LseAa roteador ou @/M
Terenciamento de sen(as Terenciamento de sen(as

%
deCem ser 'em escol(idas
%
usar uma dierente para cada equipamento
%
altera6las regularmente
%
controlar o tr!ego
56
GSeg
UFRGS
Eonitoramento Eonitoramento
% de recursos do sistema Ldisco" memPria" cpuM
% de logs
algum tentou Carrer as portas de um serCidor
algum tentou algum tipo de ataque
mensagens de erro
pacotes reAeitados
%
um Sistema de Deteco de Intruso LI).M pode ser
utili&ado
%
Ceriicar se o sistema oi comprometido
57
GSeg
UFRGS
Atuali&ao Atuali&ao
% OocZ
componente mais importante a ser atuali&ado
noCos 'ugs
noCos ataques
mel(oramento de tecnologias
noCas tecnologias
Onde? 3a I3T$13$T Lex*4 www*securit-ocus*orgM
%
Firewall
se CocZ A! est! atuali&ado o resto !cil
nem sempre a atuali&ao necess!ria
teste antes de atuali&ar o irewall em uso
todos os testes deCem ser eitos o6line
58
GSeg
UFRGS
Dm caso para no ser seguido Dm caso para no ser seguido
Atacante com con(ecimento &ero so're o alCo Atacante com con(ecimento &ero so're o alCo
% dados coletados no )3.
% portas dos serCidores expostos oram Carridas sem
nen(uma preocupao com deteco" e de ato nada oi
detectado
$ncontrado serCio @O@ Culner!Cel em um FreeB.) $ncontrado serCio @O@ Culner!Cel em um FreeB.)
% explorao da al(a resultou em acesso J conta root
% instalao de 'ac,door operando em portas acima de 5G#U"
roteador no iltraCa acima disso
59
GSeg
UFRGS
[ernel teCe que ser recompilado para (a'ilitar a [ernel teCe que ser recompilado para (a'ilitar a
captura de pacotes da rede por um sniing captura de pacotes da rede por um sniing
% noCo ,ernel instalado e ningum notou a dierena
% sen(as capturadas
.<1@1$.A\\\ Todas as contas root dos serCidores Ci&in(os e
dos roteadores tin(am a mesma sen(a" e usaCam telnet para
gerenciamento remoto
1esultados 1esultados
%
inCaso durou mais de 5 ano sem qualquer deteco
%
7 serCidores e # roteadores completamente comprometidos
%
poderia ter ocorrido uma mudana dr!stica na Cida dos
administradores
60
GSeg
UFRGS
61
GSeg
UFRGS
$rros cometidos $rros cometidos

% serCios no oram atuali&ados L@O@M
% iltro de pacotes mal conigurado" possi'ilitando o 'ac,door
% al(a no monitoramento
Carredura de portas
logs com o resultado da explorao da Culnera'ilidade do @O@
portas a'ertas pelo 'ac,door
,ernel recompilado
instalao e uso do snier
% 'ac,up comprometido
% al(a no gerenciamento de sen(as
uso do telnet" possi'ilitando a captura de sen(as
todas as sen(as eram iguais
62
GSeg
UFRGS
1ecomendaIes gerais 1ecomendaIes gerais

% o .O deCe ser instalado a partir de mFdias coni!Ceis Lcd
original do a'ricanteKdistri'uidorM
% serCios que no sero utili&ados no deCem ser instalados
% aplicar todos os patc(es con(ecidos
% conigurar mecanismos de segurana Lex*4 iltragem local de
pacotesM
% todas as coniguraIes deCem ser eitas o6line Lsem
contato com a Internet ou qualquer outra rede no coni!CelM
% con(ea os serCios a serem ornecidos
conigurao
(istPrico de Culnera'ilidades
63
GSeg
UFRGS
<3IN Li,e <3IN Li,e

% Wual <3IN?
amiliari&ao versus erramentas disponFCeis
distri'uiIes LB.)" LinuxM? .omente as mais con(ecidas
% .istema de Log Ls-slogM
organi&ao dos arquiCos de log
segurana Lintegridade dos arquiCos de logM
log local e remoto
%
)esa'ilitando serCios
KetcKinitta'
KetcKrc
inetd ou xinetd
64
GSeg
UFRGS
<3IN Li,e <3IN Li,e

% /ontrolando acesso
KetcKpam*d
T/@ Vrapper LKetcK(osts*den-" KetcK(osts*allowM
iltragem local de pacotes Lip" ipc(ains" netilter" etc*M
65
GSeg
UFRGS
Vindows Vindows
% Wual Cerso do Vindows?
U*G" U*55" 97" 9:" ]wor,station" release candidates4 *+$E
*D*AAE IA?AIS
CersIes recentes" est!Ceis e especiicamente para serCidores"
ex*4 Vindows 3T .erCer" Vindows #GGG .erCer
% .istema de Log
no suporta log remoto
perder os Dltimos registros ou no registrar mais?
66
GSeg
UFRGS
Vindows Vindows
% .istema de Log
recomenda6se o uso de programas auxiliares
Para a mquina desligar quando o log encer! "asta colocar o #alor 1 nesta ca#e$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%-ontrol%+sa%-ras,nAudit2ail
Para a mquina desligar quando o log encer! "asta colocar o #alor 1 nesta ca#e$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%-ontrol%+sa%-ras,nAudit2ail
Para trocar a locali3a45o dos tr6s arqui#os de log 7application! system e security8$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices%(#ent+og
Para trocar a locali3a45o dos tr6s arqui#os de log 7application! system e security8$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices%(#ent+og
Para n5o perder os 9ltimos logs$ # no menu de con:igura45o do ;isuali3ador de
e#entos 7(#ent ;iewe8 e selecione a op45o <Do 0ot ,#erwrite (#ents=
Para n5o perder os 9ltimos logs$ # no menu de con:igura45o do ;isuali3ador de
e#entos 7(#ent ;iewe8 e selecione a op45o <Do 0ot ,#erwrite (#ents=
67
GSeg
UFRGS
Vindows Vindows
% )esa'ilitando serCios
.erCices control panel
)eCices control panel Lalguns serCios so implementados
desta maneiraM
remoCer o execut!Cel? 3em sempre
+ista de todos os ser#i4os em ordem al:a">tica$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices
+ista de todos os ser#i4os em ordem al:a">tica$
%&'()*+,-A+*.A-&/0(%1ystem%-urrent-ontrol1et%1er#ices
68
GSeg
UFRGS
Vindows Vindows
% )esa'ilitando serCios
O que desa'ilitar?
% )3.
% T/@KI@ @rinting
% 3etBIO. interace
% 1emote Access .erCice LsP ser or utili&ar O@3M
% .erCer
% .imple T/@KI@ serCices Lec(o" c(argen" discard" da-time" quotdM
% .3E@ serCice Lse or utili&ar use no mFnimo 3T> .@>M
% 1outing L@rotocols ^ T/@KI@ ^ 1outing ^ $na'le I@ ForwardingM
%
1ecomendao4 /ompre o 1esource [it\\\
Firewalls usando Cinu.
GSeg
GSeg
UFRGS UFRGS
70
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
I@/(ains I@/(ains
3etFilter 3etFilter
71
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
.ucessor do .ucessor do ipfwadm ipfwadm
@resente no Linux a partir do ,ernel #*5*5G# @resente no Linux a partir do ,ernel #*5*5G#
$st!Cel e seguro $st!Cel e seguro
3o a& 3o a& statefull packet inspection statefull packet inspection

72
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
Listas de regras Lc(ainsM Listas de regras Lc(ainsM
/ada lista tem uma polFtica deault /ada lista tem uma polFtica deault
% A//$@T
% 1$Y$/T
% )$32
Listas podem ser criadas para mel(or organi&ar as Listas podem ser criadas para mel(or organi&ar as
regras regras
/ada regra tem um dos seguintes alCos /ada regra tem um dos seguintes alCos
%
A//$@T" 1$Y$/T" )$32
%
EA.W
73
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
/omo os pacotes passam pelos iltros*** /omo os pacotes passam pelos iltros***
R
I*PDT F$RFAR> $DTPDT
Processos Cocais
IF IF
74
GSeg
UFRGS
IPAJains IPAJains
IPAJains IPAJains
1eerZncias 1eerZncias
% Firewall and @rox- .erCer BOVTO
% Linux I@/BAI3.6BOVTO
% Linux I@ Easquerade BOVTO
% todos podem ser encontrados em Jttp:KKwww7linu.doc7org
75
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
.ucessor do I@/(ains .ucessor do I@/(ains
@resente no Linux a partir do ,ernel srie #*>*x @resente no Linux a partir do ,ernel srie #*>*x
% em desenColCimento" mas A! em uso
% compatFCel com ipc(ains e ipwadm
.tateull @ac,et Inspection .tateull @ac,et Inspection
Ta'elas Lta'lesM Ta'elas Lta'lesM
Listas Lc(ainsM de 1egras Listas Lc(ainsM de 1egras

76
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
3etFilter Framewor, 3etFilter Framewor,

R
PR<LR$DTI*M F$RFAR> P$STLR$DTI*M
Processos Cocais
C$AAC I*PDT C$AAC $DTPDT
IF IF
77
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
Filter Ta'le Filter Ta'le

R
PR<LR$DTI*M F$RFAR> P$STLR$DTI*M IF IF
Processos Cocais
I*PDT $DTPDT
78
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
3AT Ta'le 3AT Ta'le

%
.ource 3AT L.63ATM4 Easquerading
% )estination 3AT L)63ATM4 'alanceamento" transparent
prox-
>,*AT
>,*AT
S,*AT
R
PR<R$DTI*M F$RFAR> P$STR$DTI*M IF IF
Processos Cocais
C$AAC I*PDT $DTPDT
79
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
Eangle Ta'le Eangle Ta'le

R
PR<R$DTI*M F$RFAR> P$STLR$DTI*M IF IF
Processos Cocais
C$AAC I*PDT $DTPDT
80
GSeg
UFRGS
*etFilter *etFilter
*etFilter *etFilter
Onde 'uscar mais inormaIes LBOV6TOsM Onde 'uscar mais inormaIes LBOV6TOsM
% (ttp4KKnetilter*sam'a*org
!urlando um firewall
GSeg
GSeg
UFRGS UFRGS
82
GSeg
UFRGS
T(picos T(picos
T(picos T(picos
<so de portas altas <so de portas altas
Eanipulao de portas e endereos Eanipulao de portas e endereos
/onexIes iniciadas internamente /onexIes iniciadas internamente
Tunneling Tunneling
83
GSeg
UFRGS
Dso de portas altas Dso de portas altas
Dso de portas altas Dso de portas altas
@ortas acima de 5G#U so utili&adas para @ortas acima de 5G#U so utili&adas para
disponi'ili&ao de serCios disponi'ili&ao de serCios
.o possFCeis deCido J al(a de conigurao ou J .o possFCeis deCido J al(a de conigurao ou J

um modelo de polFtica permissiCa um modelo de polFtica permissiCa
84
GSeg
UFRGS
?anipulao de portas e endereos ?anipulao de portas e endereos
?anipulao de portas e endereos ?anipulao de portas e endereos
<so de uma porta priCilegiada como porta de origem <so de uma porta priCilegiada como porta de origem
Opo Opo Source Routing Source Routing do I@ do I@

5>U*7>*9G*U# #GG*#G#*;#*5>U 59#*58:*5*5G
SRA4 5>U*7>*9G*U#
>ST4 #GG*#G#*;#*5>U
$PT4 59#*58:*5*5G
SRA4 5>U*7>*9G*U#
>ST4 59#*58:*5*5G
$PT4 #GG*#G#*;#*5>U
85
GSeg
UFRGS
Aone.Bes iniciadas internamente Aone.Bes iniciadas internamente
Aone.Bes iniciadas internamente Aone.Bes iniciadas internamente
3ormalmente so permitidas Lex*4 BTT@" FT@" @O@M 3ormalmente so permitidas Lex*4 BTT@" FT@" @O@M
$xemplo $xemplo
%
pode6se instalar um QserCidorR que tenta conectar6se com
um determinado QclienteR em alguns (or!rios pr6deinidos*
86
GSeg
UFRGS
Tunneling Tunneling
Tunneling Tunneling
/onsiste em utili&ar um protocolo permitido para a'rir /onsiste em utili&ar um protocolo permitido para a'rir
conexIes no permitidas conexIes no permitidas
@rotocolos como I/E@ e BTT@ podem ser utili&ados @rotocolos como I/E@ e BTT@ podem ser utili&ados
$x*4 $x*4
%
(ttptunnel
% icmp ile transer

Sobre Criafirewalls PC

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sobre Criafirewalls PC

Transféré par

Droits d'auteur :

Formats disponibles

Implantao de Firewalls:

O que um Firewall? O que um Firewall?

Firewalls usando Linux Firewalls usando Linux

Burlando um irewall Burlando um irewall

Aulas pr!ticas Aulas pr!ticas

O que um Firewall? O que um Firewall?

O que um Firewall pode a&er? O que um Firewall pode a&er?

@ro'lemas com Firewalls @ro'lemas com Firewalls

@r6requisitos para seguirmos adiante @r6requisitos para seguirmos adiante

O'Aetos tratados pelo Firewall O'Aetos tratados pelo Firewall

Bost .ecurit- Bost .ecurit-

3etwor, .ecurit- 3etwor, .ecurit-

@onto de controle @onto de controle

Implementado de acordo com a polFtica de Implementado de acordo com a polFtica de

Barreira adicional de segurana Barreira adicional de segurana

3o 5GGH seguro e eetiCo 3o 5GGH seguro e eetiCo

Aplicar a @olFtica de .egurana Aplicar a @olFtica de .egurana

1egistrar eicientemente as atiCidades da rede 1egistrar eicientemente as atiCidades da rede

Limitar a exposio da rede interna Limitar a exposio da rede interna

$Citar a ao maliciosa de usu!rios internos $Citar a ao maliciosa de usu!rios internos

Intererem no uncionamento da internet Intererem no uncionamento da internet

.a'er o que um pacote e um protocolo .a'er o que um pacote e um protocolo

/on(ecer as camadas da pil(a T/@KI@ /on(ecer as camadas da pil(a T/@KI@

A unidade '!sica e essencial o @A/OT$ A unidade '!sica e essencial o @A/OT$

Trata protocolo do nFCel de rede Trata protocolo do nFCel de rede

@ode tratar protocolos auxiliares @ode tratar protocolos auxiliares

Filtragem de @acotes Filtragem de @acotes

@rox- .erCices @rox- .erCices

3etwor, Address Translation L3ATM 3etwor, Address Translation L3ATM

Oirtual @riCate 3etwor, LO@3M ? Oirtual @riCate 3etwor, LO@3M ?

.tateless @ac,et Inspection .tateless @ac,et Inspection

.tateul @ac,et Inspection .tateul @ac,et Inspection

$xemplo de regras de iltragem $xemplo de regras de iltragem

@rox- S @rocurador @rox- S @rocurador

Funcionam a nFCel de aplicao Funcionam a nFCel de aplicao

$ndereos externamente CisFCeis $ndereos externamente CisFCeis

$ndereos de uso interno $ndereos de uso interno

.em uso do 3AT .em uso do 3AT

<sando 3AT <sando 3AT

3o propriamente uma tecnologia de irewall 3o propriamente uma tecnologia de irewall

Tipos de Arquiteturas Tipos de Arquiteturas

$xemplos de Arquiteturas $xemplos de Arquiteturas

Bastion Bosts Bastion Bosts

$xemplos de Arquiteturas $xemplos de Arquiteturas

Algumas /onsideraIes Algumas /onsideraIes

.creening 1outer .creening 1outer

.creening 1outer .creening 1outer

.creened Bost .creened Bost

.creened Bost .creened Bost

Bastion Bost Bastion Bost

Alguns tipos Alguns tipos

.creened .u'net .creened .u'net

.creened .u'net .creened .u'net

.plit6.creened .u'net .plit6.creened .u'net

3o existem somente as aqui citadas 3o existem somente as aqui citadas

3o existe um padro 3o existe um padro

LeCe em conta LeCe em conta

.otware LiCre ou /omercial? .otware LiCre ou /omercial?

<nix" Vindows e outras QseitasR <nix" Vindows e outras QseitasR

@roAetando um Firewall @roAetando um Firewall

Eantendo um Firewall Eantendo um Firewall

Bastion Bosts Bastion Bosts

A escol(a depende4 A escol(a depende4

)i&er que o Vindows 3T no serCe* )i&er que o Vindows 3T no serCe*