Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Os melhores documentos à venda: Trabalhos de alunos formados
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Comunidade
Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo
Descubra as melhores universidades em seu país de acordo com os usuários da Docsity
Guias grátis
Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity
Instalaçao e dicas PF sense Instalaçao e dicas PF sense Instalaçao e dicas PF sense
Tipologia: Manuais, Projetos, Pesquisas
Compartilhado em 09/11/2019
1 documento
1 / 67
Esta página não é visível na pré-visualização
Não perca as partes importantes!
Trabalho de Conclusão de Curso de Graduação, apresentado ao Curso Superior de Tecnologia em Sistemas de Telecomunicações, do Departamento Acadêmico de Eletrônica, da Universidade Tecnológica Federal do Paraná – UTFPR, como requisito parcial para obtenção do título de Tecnólogo. Orientador: Prof. Dr. Augusto Foronda
Às nossas famílias muito obrigado pela paciência, incentivo, força e carinho.
A Deus por ter nos dado saúde e força para superar as dificuldades. Ao nosso orientador Prof. Dr. Augusto Foronda, pelo suporte e dedicação prestados, pelas suas correções e incentivos, e por meio dele nos reportamos a toda comunidade da Universidade Tecnológica Federal do Paraná (UTFPR) pelo apoio oferecido. Aos nossos pais e familiares, pelo amor e incentivo incondicional, pois acreditamos que sem o apoio deles seria muito difícil vencer esse desafio. E a todos que diretamente ou indiretamente fizeram parte da nossa formação, o nosso muito obrigado.
NEVES, Filipe Campos das, MACHADO, Leonardo Alves, CENTENARO, Rodrigo da Fontoura. Deployment of pfSense Firewall. 2014. 66 f. Trabalho de Conclusão de Curso (Curso Superior de Tecnologia em Sistemas de Telecomunicações), Departamento Acadêmico de Eletrônica, Universidade Tecnológica Federal do Paraná. Curitiba, 2014.
This work presents research and applications necessary for implementing a Firewall in an open source software called pfSense in companies that have less revenue to spending in the area of security, but still need the security of your data either internally or even to external environment. This application is necessary due to the great development of the corporate communications market that brought with it malicious people that make use of mechanisms for the theft of information or even services and products. This document contains the result of the implementation of the pfSense Firewall set to meet the demand of companies using security mechanisms to prevent attacks and information theft.
Keywords: Firewall. Open Source software. Security. pfSense.
ACL Access Control List ADSL Asymmetric Digital Subscriber Line CPU Central Processing Unit DNS Domain Name System DMZ Zona Desmilitarizada DHCP Dynamic Host Configuration Protocol HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure IP Internet Protocol IPsec Internet Protocol Security IPv4 Internet Protocol version 4 IPv6 Internet Protocol version 6 L2PT Layer 2 protocol tunneling LAN Local Area Network MAC Media Access Control MS-CHAPv2 Microsoft Challenge Handshake Authentication Protocol version 2 MTU Maximum transmission unit NAT Network Address Translation PHP Personal Home Page PPPoE Point-to-Point Protocol over Ethernet PPTP Point-to-Point Tunneling Protocol RRD Round-robin database SGSI Sistema de Gestão de Segurança da Informação SNMP Simple Network Management Protocol SSH Secure Shell URL Uniform Resource Locator VLAN Virtual Local Area Network VPN Virtual Private Network WAN Wide Area Network
Diante desses problemas expostos acima, a demanda por segurança no mercado atual é de suma importância, e com isso foram propostos alguns questionamentos. Quais sistemas de segurança devem ser aplicados? Onde, dentro da rede corporativa, devem ser implantadas soluções de segurança? E quais seriam os ganhos reais desse sistema? Para expor de forma mais concreta, foi abordado um estudo sobre o firewall pfSense , assim como sua importância no sistema corporativo. O firewall, apesar de não ser o único componente de segurança em uma rede, é um dos mais importantes deles, realizando a segurança de perímetro da rede. Através do estudo de configurações e funcionamento do firewall podem ser respondidos os questionamentos sugeridos acima e também pode ser demonstrado porque sua implantação é fundamental no mercado atual.
Com base das informações colhidas acima, foi proposta uma solução de firewall aconselhado para pequenas empresas que não possuam muita verba para investimento na área de segurança da informação. Apesar de ser uma solução baseada em software livre, a ferramenta possui muitos recursos e apresenta grande grau de segurança a um custo mais acessível. Este projeto visa à implantação de um firewall pfSense , para expor serviços como:
Filtragem de origem e destino IP, protocolo IP, portas de origem e destino para tráfegos de protocolos UDP e TCP; Habilidade de limitar através de uma política de regras, conexões simultâneas; Opção de realizar ou não os relatórios baseados somente em regras selecionadas; Habilidade de criação de grupos de endereços, redes e portas visando à facilidade de gerenciamento e a clareza das regras criadas; Capacidade de gerenciamento de tabela de estados; Interface WEB de extrema facilidade de gerenciamento;
1.3.1 Geral
Através da demonstração dos aspectos técnicos e de sua importância, apresentar uma solução de firewall que garanta a segurança e o gerenciamento das redes corporativas, com um custo de implantação extremamente baixo e confiável.
1.3.2 Objetivos Específicos
Apresentar fatos que intensificaram esforços na criação de meios de segurança para redes corporativas.
Expor vulnerabilidades que novas tecnologias podem vir a trazer; Descrever características, conceitos e a importância de um firewall em redes corporativas; Demonstrar as configurações da tecnologia pfSense e apresentar um projeto de segurança utilizando a mesma; Simular um ambiente de rede, utilizando ferramentas de virtualização, utilizando o firewall pfSense;
A implantação do projeto será guiada por manuais, normas, e guias que tratem do tema. O projeto será desenvolvido em quatro etapas, na primeira etapa será realizado uma contextualização sobre o tema segurança e mostradas as motivações que levaram ao desenvolvimento do firewall , será apresentado a importância, seus principais conceitos e os principais equipamentos utilizados no mercado. Na segunda parte do projeto, será apresentada a tecnologia pfSense, suas funções, configurações e maneiras de implantação. Esse estudo será guiado por
Com a evolução nos sistemas de comunicações, o acesso à informação se torna cada dia mais democrático e universal, e a internet tem papel fundamental na evolução do mercado corporativo atual. Com esse amplo acesso a informações, se tornou essencial o desenvolvimento de equipamentos com capacidade de prover a segurança das informações trafegadas pela rede. Esses equipamentos são responsáveis por uma série de competências, como por exemplo, o controle de acessos, para evitar acessos nocivos ou não autorizados às informações. A segurança da informação é regulamentada pelas normas ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propósito para o desenvolvimento de um Sistema de Gestão e Segurança da Informação (SGSI) nas organizações, algo imprescindível tendo em conta a quantidade de informação produzida atualmente nas grandes corporações (ISO/IEC 27000, 2013). Com esse novo ambiente de desenvolvimento de segurança, novos campos de estudo têm se destacado, como por exemplo, a segurança das redes. Essa área é marcada pela constante evolução, ou seja, é necessário o desenvolvimento de novas técnicas conforme novas formas de ataques são criadas. Com base nesses argumentos, foram considerados alguns pontos importantes para estudo:
Entendimento da forma como são constituídas as formas de invasão, que normalmente se dão através da exploração da implantação de novos sistemas corporativos, falhas na implantação de sistemas de segurança e novos sistemas de conectividade; A facilidade de acesso à internet possibilita a criação de novas formas de ataque, e por consequência a necessidade de desenvolvimento de novas formas de defesa aos mesmos. Pelo fato de um ataque precisar identificar somente uma falha para que possa servir ao seu propósito, a defesa tem de mitigar todas as formas de ataque e falhas no sistema de segurança. Com isso pode ser tomado como base que a defesa de um sistema de informação é muito mais complexa e trabalhosa que um ataque;
Entendimento das mais variadas formas de ataque a um sistema facilita muito na criação de métodos de proteção aos mesmos. Os ataques a uma rede corporativa podem ter os mais diversos motivos, como por exemplo, interromper serviços da empresa, comprometendo a confiabilidade de dados e programas ou até mesmo a desestabilização de uma rede, com o objetivo de coletar informações que podem ser usadas no futuro para invasões com finalidades mais específicas, como o roubo de informações sensíveis e até mesmo para corromper sistemas vitais à empresa concorrente.
Com base neste contexto, foi desenvolvido uma das formas para mitigar esses ataques, o firewall, que realiza controle de acessos devidos a uma determinada rede. É possível interpretar um firewall fazendo uma analogia com a forma mais antiga de segurança medieval, criar um fosso ao redor de um castelo e forçar todos que quiserem entrar a passar por uma ponte levadiça, nessa analogia, o firewall seria a ponte levadiça, a única porta de entrada de uma rede (TANENBAUM, 2003). O conceito de firewall começou a ser utilizado no final da década de 80, quando somente roteadores separavam pequenas redes corporativas. Desta forma, as redes poderiam instalar seus aplicativos da forma como lhes fosse conveniente sem que as demais redes fossem prejudicadas por lentidões. Os primeiros firewalls a trabalharem com segurança de redes surgiram no início dos anos 90. Consistiam de mecanismos que com pequenos conjuntos de regras como, por exemplo: Alguém da rede A pode fazer acesso à rede B, porém a rede C não pode realizar acessos à rede A e B. Eram mecanismos bastante efetivos, porém extremamente limitados. A segunda geração de firewalls utilizava filtros, pacotes e aplicativos, além de trazer uma interface de gerenciamento de regras, um grande salto evolutivo. Em 1994, a Check Point lançou o produto chamado Firewall-1, introduzindo uma amigável interface gráfica de gerenciamento, que continha cores, mouse e ambiente gráfico X11 simplificando a instalação e a administração dos firewalls.
handshaking (troca de informações para estabelecimento de comunicação) entre pacotes, objetivando determinar se a sessão é legítima (Stato Filho, 2009). O principal objetivo de um firewall é fazer com que todas as informações trafegadas entre duas redes diferentes passem por ele. Para que isso aconteça, é necessário que haja um estudo sobre a arquitetura da rede que se deseja proteger.
As principais arquiteturas de implantação de firewalls são: Dual-homed host : Nessa arquitetura o equipamento deve possuir duas interfaces de rede, uma interface que se liga a LAN, que representa a rede interna, e uma interface WAN, que representa a rede externa, se tornando uma espécie de porta única de saída e entrada da rede. De acordo com os principais pesquisadores, esta arquitetura é ideal para redes com pequeno tráfego de informações para a internet e cuja importância não seja vital. Screened host : Nesta arquitetura as conexões podem ser abertas da rede interna para a internet , bem como das redes externas para a rede interna de forma exclusivamente controlada pelos Bastion hosts. A filtragem de pacotes acontece no firewall que permite apenas poucos tipos de conexões, como por exemplo, consultas de DNS ( Domain Name System ). O Bastion host deve manter um alto nível de segurança pelo fato dele ser o ponto de falha dessa arquitetura. Esta arquitetura é apropriada para redes com poucas conexões vindas da internet e quando a rede sendo protegida tem um nível de segurança relativamente alto. Screened Subnet : Nessa arquitetura, também conhecida como arquitetura de sub-rede com triagem, é adicionada uma nova rede de perímetro que isola os bastion hosts , máquinas vulneráveis na rede. Também são encontrados roteadores de triagem com várias placas de rede. Neste caso, o bastion host fica confinado em uma área conhecida como Zona Desmilitarizada (DMZ), aumentando o nível de segurança, uma vez que, para ter acesso à rede interna o atacante deverá passar por mais de um processo de filtragem. O firewall externo deve permitir que os usuários externos tenham acesso somente à área
DMZ e o firewall interno deve permitir requisições apenas aos usuários da rede interna (Stato Filho, 2009, p.37). Existem mais possibilidades de arquiteturas e uma flexibilidade no modo de configuração, devem ser avaliados os requisitos de proteção e de orçamento para poder atender as necessidades de proteção da rede em questão.
O DHCP é um servidor de endereços IP que ao receber uma solicitação de um dispositivo de rede por um IP atribui a este um endereçamento. Cada máquina que é conectada na rede transmite um pacote de DHCP DISCOVER para o agente de retransmissão DHCP da rede interceptar, ao então o agente envia este pacote em unidifusão ao servidor DHCP, possuindo apenas o endereço IP do servidor. O DHCP distribui endereços de rede que são atribuídos fixamente ou dinamicamente para os hosts e dispositivos de rede (TANENBAUM, 2003, p. 349). A figura 1 mostra este processo DHCP.
Figura 1 – Operação do DHCP Fonte: TANENBAUM (2003)
