sábado, março 21, 2009
sexta-feira, março 20, 2009
Proxy
Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado. Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros.
Um HTTP caching proxy, por exemplo, permite que o cliente requisite um documento na World Wide Web e o proxy procura pelo documento em seu cache. Se encontrado, o documento é retornado imediatamente. Caso contrário, o proxy busca o documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu cache. Isso permite uma diminuição na latência, já que o servidor proxy, e não o servidor original, é acessado, proporcionando ainda uma redução do uso de banda.
O servidor proxy surgiu da necessidade de ligar a rede local à grande rede de computadores, a Internet, através de um computador que provesse o compartilhamento de Internet com os demais computadores. Fazendo uma analogia, rede local é uma rede interna e a Internet é uma rede externa, sendo assim, o proxy é o dispositivo que permite as máquinas da rede interna se conectarem ao mundo externo. Como na maioria dos casos as máquinas da rede local não têm um endereço válido para a Internet, elas fazem a solicitação de um endereço externo para o servidor proxy, que encaminha a requisição à Internet. Caso não ache o documento solicitado em seu cache de Internet, o servidor está habilitado a fazer essa consulta, pois o mesmo tem um endereço válido na Internet. Sendo assim, pode-se dizer que é normal ter um servidor proxy diretamente ligado à Internet e com um endereço válido.
Uma aplicação proxy popular é o caching web proxy, um web proxy usado com cache. Este provê um cache de páginas da Internet e arquivos disponíveis em servidores remotos da Internet, permitindo aos clientes de uma rede local LAN acessá-los mais rapidamente e de forma viável.
Fazendo uso de servidores de proxy públicos:
O proxy também é usado por hackers, para navegar anonimamente fazendo a substituição de um proxy por outro, afim de burlar proteções oferecidas pelo proxy original.
Muitas pessoas, usuários comuns, utilizam o Proxy para burlar sistemas de proteção, ou seja, informalmente falando, seria como ele jogasse a culpa para outra pessoa pelo IP. Pode parecer irresponsabiblidade ou ato malicioso, mas isso também é uma forma de evitar se expôr aos perigos existentes na rede e evitar spans.
Proxy Transparência
Um proxy transparente, como uma medida de segurança, é um método para obrigar os utilizadores de uma rede a utilizarem o proxy. Além das características de caching dos proxies convencionais, estes podem impor políticas de utilização ou recolher dados estatísticos, entre outras . A transparência é conseguida interceptando o tráfego HTTP (por exemplo) e reencaminhando-o para o proxy mediante a técnica ou variação de port forwarding. Assim, independentemente das configurações explícitas do utilizador, a sua utilização estará sempre condicionada às políticas de utilização da rede. O RFC 3040 define este método como proxy interceptador.
RFC é um acrónimo para o inglês (Request for Comments) . É um documento que descreve os padrões de cada protocolo da Internet previamente a serem considerados um padrão.
Filtros do Proxy
Uma característica muito importante de um servidor proxy são os filtros que podem ser aplicados através de regras pré-determinadas pelo administrador. Dentre elas estão as restrições a sites, configuração ou não de autenticação dos usuários e controles de acesso por horário e data. Os filtros, em geral, são conhecidos em geral como ACLs.
Access Control List ou Lista de controle de acesso , também conhecida pelo acrônimo ACL, é definida pela área de ciência da computação como uma lista que define quem tem permissão de acesso a certos serviços. Isso é, para quem um servidor deve permitir ou negar determinada tarefa. É normalmente uma lista de princípios com os tipos de acesso definido para cada usuário ou grupo. Os Roteadores utilizam "Access Control List" para filtragem de pacotes, seja ele de entrada ou de saida, TCP/UDP, entre outros protocolos. As "acl´s" não pode ser tratada como um firewall, mas sim como um complemento para segurança de sua rede.
Os administradores podem criar os filtros dos mais simples aos mais complexos, contendo regras baseadas em diversos itens, tais como:
1. Endereço de rede da estação de trabalho;
2. Domínio requisitado;
3. Rede de origem ou destino;
4. Localização do objeto requisitado;
5. Período de acesso à páginas de Internet;
6. Habilitar ou não a autenticação.
Todos os filtros mencionados acima podem ser utilizados sozinhos, ou então em conjunto, mas sempre lembrando que as ACLs são analisadas de forma seqüencial. Por exemplo, se existir uma ACL com duas regras, a primeira bloqueando uma determinada página da Internet e a segunda dando permissão para todas as páginas da Internet, então a primeira regra não tem função alguma, pois a última regra invalidou a primeira.
Essas ACLs são utilizadas principalmente por corporações que queiram permitir acesso a páginas que sejam de seu real interesse, conforme as regras e a política de segurança implementada na empresa.
Vantagens e desvantagens de um proxy
Algumas das principais vantagens de incentivar o uso de servidores proxy, são:
1) Redução do tráfego de rede – são utilizadas menos requisições e respostas, sendo que o objeto do cache é recuperado, atualizado ou buscado do servidor uma única vez, o que reduz consideravelmente a utilização de banda por parte do cliente;
2) Redução da carga dos servidores – são feitas menos requisições para os servidores web responderem. Por exemplo, diminui consideravelmente o congestionamento a esses servidores, quando há o lançamento de um novo produto;
1) Redução de latência – possibilita a maior velocidade a resposta de requisições que são feitas ao objeto que está no cache do proxy e não diretamente ao servidor remoto;
2) Possibilidade de acesso – considerando que a página de Internet solicitada está inacessível, se a página estiver como um objeto do cache, será possível responder a requisição, apenas não possibilitando a atualização da página solicitada.
As das principais desvantagens na utilização de servidores proxy, são:
1) Poucos serviços suportados – nem todos os serviços têm suporte com os proxys atuais, sendo assim a relação entre o cliente e o servidor proxy deve ser muito bem analisada;
2) b) atualização de configurações em clientes – carga muito grande de modificações e/ou atualizações em clientes, principalmente em redes locais com grande número de equipamentos. Em ambientes mistos o problema pode ser maior;
3) Segurança em protocolos e aplicações – o proxy não garante a segurança de um cliente para possíveis falhas de segurança em protocolos ou aplicações, sendo assim é necessário que o proxy seja implementado junto a um firewall.
CONCLUSÃO
Este é um trabalho escolar, embora produzido e editado por aluno seu conteúdo é confiável, pois sua origem é de incontestável credibilidade, trata-se de fonte de pesquisas mundialmente reconhecida pelo seu alto nível de seriedade e riqueza de teor em todos os ramos disponíveis. Isso se aplica também as suas ramificações e independe do idioma.REFERÊNCIAS
a) Firewall
http://pt.wikipedia.org/wiki/Firewall
b) Proxy
http://pt.wikipedia.org/wiki/Proxy
Dispositivo de segurança firewall
- INTRODUÇÃO
Esse trabalho é um estudo de pesquisa sobre o dispositivo de segurança firewall e servidor proxy, para ampliar o conhecimento na área de TI e principalmente auxiliar na aprendizagem de segurança de redes de computadores. O material apresentado nesse trabalho é apenas uma breve pesquisa de resumos de literaturas já um tanto resumido e simplificadas, portanto muito simples, apresenta-se como um aperitivo ou convite à farta ceia a área da tecnologia da informação. Esse é apenas um meio utilizado para se penetrar nesse núcleo, sem que soframos o risco de assustar os ânimos perante os conflitos que se nos apresenta o mundo digital.
- RESUMO
O dispositivo de segurança firewall para redes de computadores e o servidor proxy é o ponto de partida para quem pretende conhecer como funciona o sistema de segurança em uma rede de computadores ou qualquer seja o segmento da TI, pois, segurança além de ser uma área complexa e um desafio estimulante oferece, a quem se predispõe a estudá-la, juntamente com o prazer da aprendizagem e o vasto universo a ser desbravado, no fim a gostosa sensação de prática da cidadania se vista do ângulo de que trabalhe em prol do bem comum: a privacidade do usuário, a integridade dos pacotes de comunicação e a proteção ao patrimônio. O firewall e o serviço proxy nos aponta esses horizontes cinzentos e nebulosos, por vezes negros e aparentemente intransponíveis, mas que aos poucos se eliminam na medida em que unimos aos nossos esforços os recursos da tecnologia e uso da inteligência.
Firewall
Firewall é um dispositivo de segurança que encontra-se em uma rede de computadores. O termo inglês, firewall, faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores à uma parede corta-fogo, firewall, que evita o alastramento de incêndios pelos cômodos de uma edificação, daí o nome firewall, dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.
Os primeiros sistemas firewall, foram desenvolvidos devido à necessidade de criar restrição de acesso entre as redes existentes, exclusivamente para suportar segurança no conjunto de protocolos TCP/IP; isso, devido a constantes casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia que começaram a surgir no final dos anos 80, época em que tornou-se comum o surgimento de tribos harkers. Como exemplo de invasões temos o caso Internet Worm, 1988, escrito por Robert T Morris Jr, que disseminou-se por todos os sistemas de rede de Internet da época provocando um verdadeiro caos em menos de 24 horas.
Este sistema encontra-se na forma de software e hardware, ou na combinação de ambos. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.
A primeira geração (Filtros e pacotes)
A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC (Digital Equipment Corporation, empresa americana pioneira na indústria de computadores.
Dois colaboradores então, Bill Cheswick e Steve Bellovin, da AT&T (American Telephone e Telegraph Corporation, companhia americana de telecomunicações ) desenvolvem o primeiro modelo para prova de conceito e tal modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP, mas apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente, uma possível vulnerabilidade. Este tipo de tecnologia é adotada em equipamentos de rede para permitir configurações de acesso simples, as chamadas "listas de acesso" ou "access lists".
Portanto as Regras Típicas na Primeira Geração eram restringir tráfego baseado no endereço IP de origem ou destino e restringir tráfego através da porta TCP ou UDP do serviço.
Segunda Geração (Filtros de Estado de Sessão)
A segunda Geração, Filtros de Estado de Sessão, a tecnologia foi disseminada a partir dos anos 90 pelo Bell Labs (Bell Telephone Laboratories ou Bell Labs era originalmente o braço de pesquisa e de desenvolvimento AT&T).
Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características; Foram chamados também de firewall de circuito.
As Regras Típicas na Segunda Geração
ü Todas as regras da 1.ª Geração;
ü Restringir o tráfego para início de conexões (NEW);
ü Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED);
ü Restringir o tráfego de pacotes que não tenham número de sequência corretos.
FireWall StateFull:
Armazena o estado das conexões e filtra com base nesse estado. Três estados para uma conexão: - NEW: Novas conexões;- - ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões relacionadas a outras existentes.
Terceira Geração (Gateway de Aplicação - OSI)
Baseado nos trabalhos de Gene Spafford, Marcos Ranum e Bill Cheswick; também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy".
Foi nesta geração que se lançou o primeiro produto comercial, o SEAL da DEC. Diversos produtos comerciais surgiram e se popularizaram na década de 90, como os firewalls Raptor, Gauntlet (que tinha sua versão gratuita batizada de TIS) e Sidewinder, entre outros.
Regras Típicas na Terceira Geração
ü Todas as regras das gerações anteriores;
ü Restringir acesso FTP a usuários anônimos;
ü Restringir acesso HTTP para portais de entretenimento;
ü Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S).
Quarta Geração e subsequentes
§ O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP;
§ Diversas empresas como Fortinet, SonicWALL, Juniper, Checkpoint e Cisco desenvolvem soluções que ampliam características anteriores:
§ Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas;
§ Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas;
§ Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS;
· A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados).
Classificação do sistema firewall
Os sistemas firewall podem ser classificados da seguinte forma:
I. Filtros de Pacotes
Filtro de pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. Um filtro de pacotes pode elevar o nível de segurança de uma rede por fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP
Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos, verificando as informações das camada de enlace (camada 2 do modelo ISO/OSI) e de rede (camada 3 do modelo ISO/OSI).
As regras podem ser formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem desse tipo de tecnologia para a segurança reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (com endereço IP falsificado, técnica conhecida comoIP Spoofing, fora de contexto ou ainda para serem injetados em uma sessão válida. Esta tecnologia foi amplamente utilizada nos equipamentos de 1a.Geração (incluindo roteadores), não realizando nenhum tipo de decodificação do protocolo ou análise na camada de aplicação.
IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
II. Proxy Firewall ou Gateways de Aplicação
Os conceitos de gateways de foram introduzidos por Marcus Ramum em 1995.
O firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original.
Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.
Desvantagens
· Para cada novo serviço que aparece na Internet, o fabricante deve desenvolver o seu correspondente agente de Proxy. Isto pode demorar meses, tornando o cliente vulnerável enquanto o fabricante não liberta o agente específico. A instalação, manutenção e atualização dos agentes do Proxy requerem serviços especializados e podem ser bastante complexos e caros;
· Os proxies introduzem perda de desempenho na rede, já que as mensagens devem ser processadas pelo agente do Proxy. Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que por sua vez interpreta a solicitação e fala com o servidor FTP externo para completar o pedido;
· A tecnologia atual permite que o custo de implementação seja bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para assegurar que seja mantido nível de segurança adequado (ex.: aplicação de correções e configuração adequada dos servidores).
III. Stateful Firewall (Firewall de Estado de Sessão)
Os firewalls de estado foram introduzidos originalmente em 1991 pela empresa DEC com o produto SEA (United States Navy Sea, Air and Land, mais conhecidos como US NAVY SEALS, é uma Força de Operações Especiais da Marinha dos Estados Unidos). O produto foi sofrendo frequentes mudanças e utilizava a tecnologia patenteada chamada de Stateful Inspection, que tinha capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas. Na verdade, o firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos.
Depois de vários aperfeiçoamentos, que introduziram o Deep Packet Inspection, também conhecido como tecnologia SMLI (Stateful Multi-Layer Inspection), ou seja, Inspeção de Total de todas as camadas do modelo ISO/OSI, as 7 camadas, chegou-se à tecnologia que permite que o firewall decodifique o pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja, do protocolo propriamente dito e inclui técnicas específicas de identificação de ataques. E com a tecnologia SMLI/Deep Packet Inspection, o firewall utiliza mecanismos otimizados de verificação de tráfego para analisá-los sob a perspectiva da tabela de estado de conexões legítimas. Simultaneamente, os pacotes também vão sendo comparados a padrões legítimos de tráfego para identificar possíveis ataques ou anomalias. A combinação permite que novos padrões de tráfegos sejam entendidos como serviços e possam ser adicionados às regras válidas em poucos minutos.
Supostamente a manutenção e instalação são mais eficientes, em termos de custo e tempo de execução, pois a solução se concentra no modelo conceitual do TCP/IP. Porém, com o avançar da tecnologia e dos padrões de tráfego da Internet, projetos complexos de firewall para grandes redes de serviço podem ser tão custosos e demorados quanto uma implementação tradicional.
IV. Firewall de Aplicação
Firewall de Aplicação nasceu principalmente pelo fato de se exigir a concentração de esforços de análise em protocolos específicos, tais como servidores Web e suas conexões de hipertexto HTTP. A primeira implementação comercial nasceu em 2000 com a empresa israelense Sanctum, porém, o conceito ainda não havia sido amplamente difundido para justificar uma adoção prática.
Se comparado com o modelo tradicional de Firewall -- orientado a redes de dados, o Firewall de Aplicação é frequentemente instalado junto à plataforma da aplicação, atuando como uma espécie de procurador para o acesso ao servidor Proxy.
Alguns projetos de código-aberto, como por exemplo o ModSecurity para servidores Apache, têm por objetivo facilitar a disseminação do conceito para as aplicações Web.
Vantagens
· Pode suprir a deficiência dos modelos tradicionais e mapear todas as transações específicas que acontecem na camada da aplicação Web proprietária;
· Por ser um terminador do tráfego SSL, pode avaliar hipertextos criptografadas HTTPS que originalmente passariam despercebidos ou não analisados por firewalls tradicionais de rede;
Desvantagens
· Este tipo de firewall exige um grande poder computacional -- geralmente traduzido para um grande custo de investimento;
· Ao interceptar aplicações Web e suas interações com o cliente, o navegador de Web, pode acabar por provocar alguma incompatibilidade no padrão de transações.
Esse sistema, o firewall, é o fator principal na busca de ampla tecnologia, eficaz, e de aperfeiçoamento cada vez mais simplificado, devido à constante necessidade de proteção ao sistema de rede e ao usuário.
CONCLUSÃO
Este é um trabalho escolar, embora produzido e editado por aluno seu conteúdo é confiável, pois sua origem é de incontestável credibilidade, trata-se de fonte de pesquisas mundialmente reconhecida pelo seu alto nível de seriedade e riqueza de teor em todos os ramos disponíveis. Isso se aplica também as suas ramificações e independe do idioma.
REFERÊNCIAS
a) Firewall
http://pt.wikipedia.org/wiki/Firewall
b) Proxy