A filtragem de pacotes (Packet filtering) limita o tráfego dentro da rede, baseado no destino e na origem de endereços, IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro.
A filtragem total de pacotes filtra o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar “stateful inspection”, uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão.
As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede.
Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas.
As múltiplas camadas de segurança que uma DMZ oferece são distribuídas entre pontos de serviços e de filtragem. Os pontos de filtragem inicialmente servem para proteger os serviços. Se os serviços da rede são comprometidos, a capacidade de um ataque prosseguir fica limitada. Tanto o tráfego que entra e sai da DMZ é filtrado, seja por roteadores ou por meio de firewalls.
Nesta disciplina vamos nos concentrar na filtragem nos roteadores.
Packet Filtering
Um firewall com filtragem de pacotes (packet filtering) é essencialmente um router com software de filtragem de pacotes. A filtragem de pacotes trabalha ao nível de rede do modelo OSI; cada pacote de dados é examinado quando a transferência de dados é feita de uma rede para a outra. Os pacotes de dados compatíveis com as regras de controle de acesso são autorizados a passar, aqueles que não obedecerem às regras serão barrados.
XStateful inspection
Os firewalls baseados no estado (stateful inspection firewalls) analisam todo o tráfego de dados para encontrar estados, ou seja, padrões aceitáveis por suas regras e que, a princípio, serão usados para manter a comunicação. Estas informações são então mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Por exemplo, suponha que um aplicativo iniciou um acesso para transferência de arquivos entre um cliente e um servidor. Os pacotes de dados iniciais informam quais portas TCP serão usadas para esta tarefa. Se, de repente, o tráfego começar a fluir por uma porta não mencionada, o firewall pode então detectar esta ocorrência como uma anormalidade e efetuar o bloqueio.
XTabela de sessão
Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada.
XCamadas
Para montar uma DMZ que utilize múltiplas camadas de segurança, você precisa reunir diversas funcionalidades como packet filtering, stateful packet filtering e um servidor de proxy.
X