Guia de Segurança: Firewall, Proxy, ACL, VPN e DMZ

Classificado em Computação

Escrito em em português com um tamanho de 8,78 KB

Firewall

O firewall irá analisar: IP, endereço MAC e protocolos.

Em um modo mais versátil, um firewall pode ser configurado para permitir automaticamente o tráfego de determinados tipos de dados, como requisições HTTP (sigla para Hypertext Transfer Protocol — protocolo usado para acesso a páginas Web), e bloquear outras, como conexões a serviços de e-mail.

O firewall encaminha a porta 80 para o proxy, pois só ele pode usar a porta. Faz um redirecionamento do proxy de maneira automática.

A vantagem de um firewall de hardware é que o equipamento, por ser desenvolvido especificamente para este fim, é preparado para lidar com grandes volumes de dados e não está sujeito a vulnerabilidades que eventualmente podem ser encontradas em um servidor convencional (por conta de uma falha em outro software, por exemplo).

Tipos de Firewall:

  • Filtragem de pacotes: os pacotes de dados são analisados e confrontados com um conjunto de filtros predefinidos pela configuração do firewall por parte do utilizador. Os pacotes de dados que estiverem de acordo com os padrões preestabelecidos pela configuração passam pelo firewall; caso contrário, serão pura e simplesmente recusados.
  • Firewalls de aplicação: a informação da Internet é recolhida pelo firewall e, seguidamente, enviada para o sistema requisitante e vice-versa.
  • Firewalls baseados no estado (Stateful): ao contrário da filtragem de pacotes, este método inspeciona cada ligação que atravessa todas as interfaces do firewall, assegurando-se de que é fidedigna.

Saída: <><->->

Entrada: ->|__|-> Saída

Proxy Squid + MySQL

O proxy analisa texto, não vídeos, imagens e afins.

Não está preocupado com as informações externas; está preocupado com o conteúdo dos pacotes. Analisa o que o HTTP está enviando, procura palavras-chave que estão dentro do pacote que podem permitir ou descartar (drop) o pacote. Analisa somente conteúdo criptografado; analisa texto. Utiliza Blacklist e Whitelist.

A primeira função para a qual o proxy foi criado foi para a estrutura da Internet. Ele auxilia a minimizar a largura de banda e evita que nas máquinas haja um histórico de navegação.

Servidor Proxy: deve ter poder de processamento razoável, possuir boa memória e um disco rápido. Faz a solicitação à Internet de acordo com a política de privacidade.

Alguns Recursos do Proxy:

  • Bloqueio por tempo;
  • Bloqueio por endereço MAC;
  • Economia de link.

O Squid aloca uma memória para o cache que irá guardar o histórico de acessos dos usuários. O firewall encaminha a porta 80 para o proxy, pois só ele pode usar a porta. O servidor proxy irá fazer uma procura na Internet com base na política que ele tenha.

O proxy procura a página, envia a resposta, grava nela e devolve a solicitação para o usuário. O proxy armazena o site que um usuário buscou e irá usar para qualquer outro usuário, porque o proxy armazena o cache para todas as máquinas que irão acessar o mesmo site; mesmo que um usuário nunca tenha acessado, se outro acessou, o conteúdo já existe.

O proxy não transparente é aquele que você sabe que existe; ele só está vendo o tráfego. Exemplo: Proxy SwitchyOmega, um addon do Chrome para cadastrar e trocar proxies dinamicamente.

ACL (Access Control List)

Access-group: lista de acesso.

  • Access-list 1-99: padrão (standard).
  • Access-list 100-199: estendida (extended).

Comando para bloquear apenas a web de uma máquina, permitindo o uso de ping e outros recursos normalmente:

access-list 100 (tipo) deny tcp host 142.0.1.35 (máquina) host 205.0.0.20 (servidor) eq 80 (protocolo para bloquear a porta 80, "eq 80").

Sequência: tipo, diretiva, protocolo, origem, destino, serviço.

Em caso de dúvida, deve-se colocar o mais próximo do destino ou, para não sair a comunicação na rede, no firewall. Colocaria entrando no roteador ou saindo do outro roteador do destino. Depois de colocar a ACL no roteador, você precisa inseri-la no grupo.

ACL Padrão (Standard) e ACL Estendida (Extended)

Existe também a variação ACL Nomeada, que, ao invés de números, usa nomes para identificá-la. ACLs padrão numeradas são identificadas pelo intervalo de 1 a 99. Já as estendidas numeradas são identificadas pelo intervalo de 100 a 199. As nomeadas são definidas pela sintaxe.

A diferença básica entre os dois tipos de ACL é o grau de inspeção do pacote IP antes de permitir ou negar seu acesso. ACLs padrão inspecionam apenas o endereço de origem no cabeçalho IP. Por este motivo, devem ser aplicadas sempre o mais próximo do destino possível. ACLs estendidas inspecionam o endereço IP de destino, o endereço IP de origem, além de inspecionar o cabeçalho de segmentos encapsulados no pacote IP (camada de transporte).

VPN (Virtual Private Network)

Uma Rede Particular Virtual, como o próprio nome sugere, é uma forma de conectar dois computadores utilizando uma rede pública, como a Internet.

Para entender melhor, pense em uma empresa que precisa interligar duas de suas filiais. A proteção mais utilizada é a criptografia, pois esta garante que os dados transmitidos por um dos computadores da rede sejam os mesmos que as demais máquinas irão receber. Depois de criptografados, os dados são encapsulados e transmitidos pela Internet, utilizando o protocolo de tunelamento, até encontrar seu destino.

O tunelamento consiste em criar um "túnel" para que os dados possam ser enviados sem que outros usuários tenham acesso.

Processo de envio de dados em uma VPN:

  1. Os dados são criptografados e encapsulados.
  2. Informações extras, como o número de IP da máquina remetente, são adicionadas para que o receptor identifique a origem.
  3. O pacote é enviado através do “túnel” criado até o destino.
  4. A máquina receptora identifica o computador remetente.
  5. Os dados são recebidos e desencapsulados.
  6. Finalmente, os dados são descriptografados e armazenados.

As redes VPN são muito utilizadas por grandes empresas, principalmente para funcionários que viajam ou trabalham em home office. Mas nada impede que usuários comuns utilizem redes privadas virtuais no dia a dia.

Firewall: Portas e DMZ

DMZ, em segurança da informação, é a sigla para DeMilitarized Zone ou "Zona Desmilitarizada". Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, correio eletrônico, etc.) separados da rede local, limitando o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo, os computadores em uma DMZ não devem conter nenhuma forma de acesso à rede local.

Redes Sem Fio: Segurança Enterprise e Personal 802.11i

O WPA2 utiliza o AES (Advanced Encryption Standard) junto com o TKIP com chave de 256 bits, um método mais poderoso que o WPA (que utilizava TKIP com RC4). O AES permite chaves de 128, 192 e 256 bits; o padrão no WPA2 é 256 bits. Devido à necessidade de processamento, dispositivos WPA2 possuem um coprocessador para cálculos criptográficos.

A diferença entre Personal e Enterprise é o tamanho da chave de criptografia. No Enterprise, a chave é maior e mais difícil de quebrar. Existe uma pequena queda de performance, compensada por equipamentos Wi-Fi com mais processamento (mais caros). Frequentemente, a queda de performance por má qualidade do sinal é maior do que pela adoção de chaves WPA2.

O WPA2 Pessoal oferece segurança adequada para residências ou pequenos escritórios. A maior diferença para o WPA2 Empresarial é o grau de sofisticação técnica: é necessário um servidor de autenticação RADIUS, algo não encontrado sem um administrador de rede dedicado. O WPA2 Empresarial protege contra violações que raramente ocorrem em redes domésticas.

Karma: 17%
Visitas: 0

Entradas relacionadas:

Etiquetas:
WPA2 DMZ VPN Criptografia Proxy Squid Firewall ACL Segurança de Redes Cabresto