Firewalls

Estudos sobre Segurança de Endpoint para proteção contra vírus e ameaças na nuvem e detecção e resposta avançadas. Materiais e melhores práticas para proteger dispositivos contra ameaças cibernéticas.
Avatar do usuário
bernardino
Site Admin
Mensagens: 745
Registrado em: 28 Ago 2020, 15:11

Firewalls

Mensagem por bernardino »

Propriedades comuns do Firewall

Todos os firewalls compartilham algumas propriedades comuns:
  • Os firewalls são resistentes a ataques de rede.
  • Firewalls são o único ponto de trânsito entre redes corporativas internas e redes externas porque todo o tráfego flui através do firewall.
  • Firewalls reforçam a política de controle de acesso.
Benefícios do firewall

Existem vários benefícios do uso de um firewall em uma rede:
  • Eles impedem a exposição de hosts, recursos e aplicações sensíveis a usuários não confiáveis.
  • Eles sanitizam o fluxo do protocolo, o que impede a exploração de falhas no protocolo.
  • Eles bloqueiam dados maliciosos de servidores e clientes.
  • Eles reduzem a complexidade do gerenciamento de segurança descarregando a maior parte do controle de acesso à rede para alguns firewalls na rede.
Limitações do Firewall

Os firewalls também têm algumas limitações:
  • Um firewall mal configurado pode ter sérias conseqüências para a rede, como se tornar um único ponto de falha.
  • Os dados de muitos aplicativos não podem ser transmitidos por firewalls com segurança.
  • Os usuários podem procurar proativamente maneiras de contornar o firewall para receber material bloqueado, o que expõe a rede a possíveis ataques.
  • O desempenho da rede pode diminuir.
  • O tráfego não autorizado pode ser encapsulado ou escondido como tráfego legítimo através do firewall.
Arquiteturas comuns de segurança

O design do firewall é principalmente sobre interfaces de dispositivo que permitem ou negam tráfego com base na origem, no destino e no tipo de tráfego. Alguns designs são tão simples quanto designar uma rede externa e uma rede interna, que são determinados por duas interfaces em um firewall.

Aqui estão três designs comuns de firewall.

Privado e Público

Como mostrado na figura, a rede pública (ou rede externa) não é confiável e a rede privada (ou rede interna) é confiável.

Normalmente, um firewall com duas interfaces é configurado da seguinte forma:
  • O tráfego proveniente da rede privada é permitido e inspecionado à medida que viaja em direção à rede pública. É permitido o tráfego inspecionado que retorna da rede pública e associado ao tráfego originado da rede privada.
  • O tráfego originado da rede pública e que viaja para a rede privada geralmente é bloqueado.
public_private.png
public_private.png (50.45 KiB) Exibido 8242 vezes
Zona Desmilitarizada

Uma zona desmilitarizada (DMZ) é um projeto de firewall onde normalmente há uma interface interna conectada à rede privada, uma interface externa conectada à rede pública e uma interface DMZ, conforme mostrado na figura.
  • O tráfego proveniente da rede privada é inspecionado à medida que ele viaja para a rede pública ou DMZ. Este tráfego é permitido com pouca ou nenhuma restrição. Tráfego inspecionado que retorna da DMZ ou da rede pública para a rede privada é permitido.
  • O tráfego originado da rede DMZ e que viaja para a rede privada geralmente é bloqueado.
  • O tráfego originado da rede DMZ e viajando para a rede pública é permitido seletivamente com base nos requisitos de serviço.
  • O tráfego proveniente da rede pública e que viaja em direção à DMZ é seletivamente permitido e inspecionado. Esse tipo de tráfego normalmente é tráfego de email, DNS, HTTP ou HTTPS. O tráfego de retorno da DMZ para a rede pública é permitido dinamicamente.
  • O tráfego originado da rede pública e que viaja para a rede privada está bloqueado.
Zona_Desmilitarizada.png
Zona_Desmilitarizada.png (56.48 KiB) Exibido 8242 vezes
Firewalls de política baseados em zona

Os firewalls de política baseados em zona (ZPFs) usam o conceito de zonas para fornecer flexibilidade adicional. Uma zona é um grupo de uma ou mais interfaces que têm funções ou recursos semelhantes. As zonas ajudam a especificar onde uma regra ou política de firewall do Cisco IOS deve ser aplicada. Na figura, as políticas de segurança para LAN 1 e LAN 2 são semelhantes e podem ser agrupadas em uma zona para configurações de firewall. Por padrão, o tráfego entre interfaces na mesma zona não está sujeito a nenhuma política e passa livremente. No entanto, todo o tráfego de zona para zona está bloqueado. Para permitir o tráfego entre as zonas, uma política que permite ou inspeciona o tráfego deve ser configurada.

A única exceção a este padrão deny any política é a zona própria do roteador. A zona auto é o próprio roteador e inclui todos os endereços IP da interface do roteador. As configurações de política que incluem a zona automática aplicar-se-iam ao tráfego destinado e proveniente do roteador. Por padrão, não há nenhuma política para esse tipo de tráfego. O tráfego que deve ser considerado ao projetar uma política para a auto zona inclui o tráfego de plano de gerenciamento e plano de controle, como SSH, SNMP e protocolos de roteamento.
Firewalls_de_política_baseados_em_zona.png
Firewalls_de_política_baseados_em_zona.png (53.13 KiB) Exibido 8242 vezes
Descrições de tipos de firewall

É importante entender os diferentes tipos de firewalls e suas capacidades específicas para que o firewall correto seja usado para cada situação.

Firewall de filtragem de pacotes (sem estado)

Os firewalls de filtragem de pacotes geralmente fazem parte de um firewall de roteador, que permite ou nega tráfego com base nas informações da Camada 3 e da Camada 4. Eles são firewalls sem estado que usam uma simples pesquisa de tabela de políticas que filtra o tráfego com base em critérios específicos.

Por exemplo, os servidores SMTP escutam a porta 25 por padrão. Um administrador pode configurar o firewall de filtragem de pacotes para bloquear a porta 25 de uma estação de trabalho específica para impedir que ele transmita um vírus de e-mail
Firewall_sem_estado.png
Firewall_sem_estado.png (60.81 KiB) Exibido 8242 vezes
Firewall com monitoração de estado

Firewalls com estado são as tecnologias de firewall mais versáteis e mais comuns em uso. Os firewalls stateful fornecem filtragem de pacotes stateful usando informações de conexão mantidas em uma tabela de estado. Filtragem com estado é uma arquitetura de firewall classificada na camada de rede. Ele também analisa o tráfego na camada 4 da OSI e na camada 5.
Firewall_com_monitoracao_de_estado.png
Firewall_com_monitoracao_de_estado.png (57.68 KiB) Exibido 8242 vezes
Firewall de gateway de aplicativo

Um firewall de gateway de aplicação (firewall proxy), conforme mostrado na figura, filtra as informações nas camadas 3, 4, 5 e 7 do modelo de referência OSI. A maior parte do controle e filtragem do firewall é feita em software. Quando um cliente precisa acessar um servidor remoto, ele se conecta a um servidor proxy. O servidor proxy se conecta ao servidor remoto em nome do cliente. Portanto, o servidor só vê uma conexão do servidor proxy.
Firewall_de_gateway_de_aplicativo.png
Firewall_de_gateway_de_aplicativo.png (52.82 KiB) Exibido 8242 vezes
Firewalls de próxima geração

Os firewalls de última geração (NGFW) vão além dos firewalls de estado, fornecendo:
  • Prevenção de intrusão integrada
  • Reconhecimento e controle de aplicativos para ver e bloquear aplicativos arriscados
  • Caminhos de atualização para incluir futuros feeds de informações
  • Técnicas para lidar com ameaças de segurança em evolução
Firewalls_de_proxima_geracao.png
Firewalls_de_proxima_geracao.png (230.42 KiB) Exibido 8242 vezes
Pergunta 1
Que tipo de firewall filtra informações nas Camadas 3, 4, 5 e 7 do modelo de referência OSI?

Baseado em host
Com estado
Gateway de Aplicativo
Híbrido
Filtragem de pacotes

Um firewall de gateway de aplicativo filtra informações nas Camadas 3, 4, 5 e 7 do modelo de referência OSI.

Pergunta 2
Que tipo de firewall é uma combinação de vários tipos de firewall?

Transparent (Transparente)
Com estado
Híbrido
Próxima geração
Proxy
Baseado em host
Filtragem de pacotes

Um firewall híbrido é uma combinação dos vários tipos de firewall.

Pergunta 3
Que tipo de firewall faz parte de um firewall de roteador, permitindo ou negando tráfego com base nas informações da Camada 3 e da Camada 4?

Filtragem de pacotes
Com estado
Híbrido
Transparent (Transparente)
Proxy

Um firewall de filtragem de pacotes faz parte de um firewall de roteador que permite ou nega tráfego com base nas informações da Camada 3 e da Camada 4.

Pergunta 4
Que tipo de firewall é um PC ou servidor com software de firewall em execução?

Híbrido
Com estado
Baseado em host
Filtragem de pacotes
Próxima geração
Proxy
Transparent (Transparente)

Firewalls baseados em host é um PC ou servidor com software de firewall em execução nele.

Pergunta 5
Que tipo de firewall filtra o tráfego IP entre um par de interfaces em ponte?

Filtragem de pacotes
Transparent (Transparente)
Híbrido
Baseado em host
Próxima geração
Proxy
Com estado

Um firewall transparente filtra o tráfego IP entre um par de interfaces em ponte.

Verifique sua compreensão - Compare as características de IDS e IPS

Mais vulnerável a técnicas de evasão de segurança de rede habilitadas por vários métodos de ataque de rede

Código: Selecionar todos

IDS
Pode afetar o desempenho da rede introduzindo latência e variação

Código: Selecionar todos

IPS
Deve ser implementado para que os aplicativos sensíveis ao tempo não sejam afetados negativamente

Código: Selecionar todos

IPS
Não é possível parar o pacote de disparo e não é garantido para interromper uma conexão

Código: Selecionar todos

IDS
Implementado em modo offline

Código: Selecionar todos

IDS
Pode usar técnicas de normalização de fluxo para reduzir ou eliminar muitos dos recursos de evasão de segurança de rede existentes

Código: Selecionar todos

IPS
Pode ser configurado para executar uma queda de pacote para parar o pacote acionador

Código: Selecionar todos

IPS
Principalmente focado em identificar possíveis incidentes, registrar informações sobre os incidentes e relatar os incidentes

Código: Selecionar todos

IDS
Deve ser implantado em linha e o tráfego deve ser capaz de passar por ele

Código: Selecionar todos

IPS
Menos útil na interrupção de vírus de e-mail e ataques automatizados, como worms

Código: Selecionar todos

IDS
Algumas pessoas acham que foco significa dizer sim para a coisa em que você vai se focar.
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”

Steve Jobs
Responder