Alura > Cursos de DevOps > Cursos de Segurança > Conteúdos de Segurança > Primeiras aulas do curso Segurança de rede: firewall, WAF e SIEM

Segurança de rede: firewall, WAF e SIEM

Fundamentos do Blue Team - Apresentação

Boas-vindas ao Curso de Segurança de rede: firewall, WAF e SIEM.

Eu sou a Camila, mas pode me chamar de Mila! Serei a sua instrutora ao longo deste curso de Segurança Defensiva.

Camila Fernanda é uma mulher com os olhos castanhos escuros, e cabelos pretos e cacheados. Veste uma blusa preta de tecido liso e está sentada em um ambiente com uma parede branca com a iluminação na cor azul.

O que é Segurança Defensiva?

Parece bastante com o que vemos na auto-escola, como em "Direção Defensiva". Porém, aprenderemos sobre segurança defensiva não no contexto de auto-escola, mas sim da área de Cibersegurança. Ou seja, como deixar uma aplicação Web segura, na rede.

Como é essa área no mercado de trabalho?

Geralmente, em times de segurança, há duas equipes: o Blue team (em português, "Equipe azul") e o Red team (Equipe vermelha).

Neste curso, focaremos no Blue team.

O que vamos aprender?

Aprenderemos como proteger as nossas aplicações na rede. Quando a colocamos na internet, a aplicação pode possuir várias vulnerabilidades e correr riscos. Por isso, vamos gerenciar algum Firewall.

Esse mecanismo de rede, vai estabelecer algumas regras de segurança e aprenderemos como fazer algumas. Além disso, utilizaremos um gerenciador de logs, para monitorarmos todas as etapas do que está acontecendo por trás da rede. Portanto, usaremos as seguintes ferramentas:

Faremos tudo isso com uma virtualização na nossa máquina.

Visão geral do curso: usaremos o Virtualbox e nele colocaremos quatro máquinas, em que vamos virtualizar. Isso para manipularmos o Firewall e o Graylog, este último acessaremos por navegador.

Conhecimentos prévios:

Pré-requisitos:

Faça esse curso e...

Se interessou por este curso? Espero que sim! Te espero no próximo vídeo!

Fundamentos do Blue Team - Firewall

Ao subirmos uma aplicação para a internet, estamos correndo diversos riscos de ataques, como: vazamento de dados, risco com a imagem da própria empresa que está subindo essa aplicação, problemas com os recursos de renda ou sistema, ao ser derrubado, entre outros ataques.

Diante disso, como podemos proteger as nossas aplicações na internet? Para isso, precisamos estabelecer alguns mecanismos nos nossos sistemas de rede, por exemplo, o Firewall.

O Firewall (em portguês, "parede de fogo"), é uma barreira que protege a aplicação e a rede interna. Pensando em uma empresa, geralmente há uma equipe de desenvolvimento Back-end, uma de Front-end, QA, entre outras equipes. Portanto, sempre há uma rede privada, e o Firewall faz a proteção dessa rede e da nossa aplicação.

Além disso, o Firewall possui as funções de:

Isto é, como temos a rede privada e a pública (internet), ele estabelece esse perímetro de segurança entre a rede interna e externa.

Como está entre a rede pública e privada, será o elemento central e vai estabelecer algumas regras de segurança, como quem vai pode acessar determinado dado ou se houver algum comportamento suspeito, se poderá acessar a aplicação ou não.

Em qual lugar o Firewall estará localizado no sistema? E a rede?

Diagrama visual do funcionamento entre intranet, internet e Server Web. Na parte inferior há um ícone de um servidor com uma nuvem, com o texto "Intranet" abaixo. Este possui uma seta que aponta para cima para um ícone de outro servidor com uma nuvem, acompanhado do texto "Internet", abaixo. No meio da linha da seta apontando para cima, há uma linha para a horizontal esquerda com um ícone do Server Web, com o escrito "Server Web", em azul abaixo.

A Intranet é a rede privada, em que temos o setor de desenvolvimento da nossa aplicação. Geralmente, sobem isso em um servidor Web, como o NGINX e, em seguida, disponibilizam para toda a internet.

Porém, em qual lugar se localiza o Firewall?

Diagrama visual do funcionamento entre intranet, internet, Server Web e Firewall. Na parte central do diagrama, há o ícone do Firewall, com o texto "Firewall" abaixo. Este possui três setas: uma que aponta para a parte inferior, em que temos um ícone de um servidor com uma nuvem, com o texto "Intranet" abaixo; outra seta que aponta para cima, em que há o ícone de um servidor da internet com o escrito "internet", abaixo; e, por último, uma que aponta para à esquerda, em que há um ícone do Server Web, com o escrito "Server Web", em azul abaixo.

Por ser um elemento central, note que ele está no centro do diagrama! O Firewall será o responsável pelo controle de acesso da intranet, do nosso servidor e da internet. Contudo, somente ele é o suficiente para proteger toda a rede interna e a aplicação?

Para isso, é necessário termos mais mecanismos, e veremos sobre isso no próximo vídeo. Te espero lá!

Fundamentos do Blue Team - Web Application Firewall (WAF)

Recapitulando: no nosso sistema temos a Intranet - em que se localiza todo o setor de desenvolvimento da aplicação - que estará hospedada em um servidor. Intermediando a conexão com a internet, temos o Firewall - responsável por monitorar quem possui acesso ou não à aplicação. Na Internet é onde estarão todos os usuários que podem acessar a nossa aplicação.

Suporemos que um atacante consegue passar, sem ser detectado pelo Firewall, e acessar a nossa aplicação. O que é possível incluirmos para aumentar a segurança, evitando esses casos? Tanto do lado do cliente quanto do servidor.

Ilustração com três computadores à esquerda, todos possuem o domínio "example.com" escrito na tela e uma seta na cor azul apontando para à direita, para um ícone de servidor com o escrito "proxy" abaixo. Este possui uma seta azul, que aponta para uma nuvem, também na cor azul, que corresponde ao ícone da "internet". Este possui duas setas azuis: uma apontando para o ícone de Servidor de dados e a outra para o Servidor Web.

Vamos supor três usuários acessando o domínio "example.com". Geralmente a aplicação está hospedada em servidores: um de dados e outro de web. O que acontece no caminho quando enviamos uma requisição do domínio para o servidor? Intermediando essa comunicação, temos o proxy - antes da requisição chegar na internet.

O Proxy armazena o IP de origem da máquina dos clientes e ele passa, na internet, o IP dele mesmo. Com isso, ele protege o IP da máquina do usuário - dado que não é incluído na internet para um possível atacante. Assim que funciona, de forma bem resumida,o mecanismo de segurança do proxy, do lado do cliente.

Ilustração com três computadores à esquerda, todos possuem o domínio "example.com" escrito na tela e uma seta na cor azul apontando para à direita, para uma nuvem na cor azul, que corresponde ao ícone da "internet". Este possui uma seta azul que aponta para o ícone de servidor com o escrito "proxy reverso". Este possui duas setas azuis: uma apontando para o ícone de Servidor de dados e a outra para o de Servidor Web.

E do lado do servidor? Será que o IP ficará disponível na internet? Para o lado do servidor, há outra categoria de proxy. Considerando o mesmo esquema dos três usuários, com os servidores Web e de dados, conseguimos montar um proxy reverso. Isso para armazenar e esconder o IP do servidor, passando para a internet somente o IP do proxy reverso.

Além da segurança, o proxy traz alguns benefícios para o nosso sistema:

Balanceamento de carga

Tendo em vista que teremos requisições simultâneas, no balanceamento de carga, o proxy reverso, pode passar um determinado servidor e, em seguida, para outro servidor. Isso para entregar a resposta.

Logo, vamos supor que há dois servidores web: o proxy pode, primeiro, solicitar para um dos servidores e, logo após, para o outro. Com isso, ele realiza o balanceamento da carga do sistema, evitando que o servidor seja derrubado pelo número de requisições simultâneas.

Proteção contra-ataques

A proteção contra-ataques ocorre pelo fato do IP de origem não ser disponibilizado na internet - somente o IP do proxy.

Gerar os logs

Como todo o tráfego passará pelo proxy, ele consegue registrar todas informações e gerar logs. Logs são importantes para realizarmos o monitoramento do tráfego e do que está acontecendo no sistema.

Para colocarmos isso na nossa rede, usaremos o WAF (Web application firewall). O WAF funciona como um proxy reverso, gerando os logs, realizando o balanceamento de carga e fazendo uma proteção a mais da nossa rede.

Diagrama visual do funcionamento entre intranet, internet, Server Web, Firewall e WAF. Na parte central do diagrama, há o ícone do Firewall, acompanhado do texto "Firewall" abaixo. Este possui quatro setas: uma que aponta para a parte inferior, em que temos um ícone de servidor com uma nuvem, com o escrito "Intranet" abaixo; outra aponta para cima, em que há o ícone de um servidor da internet com o escrito "internet", abaixo; outra seta que aponta para à esquerda, em que há um ícone do Server Web, com o texto "Server Web", em azul abaixo. Por último, uma seta que aponta para à direita com um ícone de servidor escrito "WAF", abaixo.

Voltando para o nosso diagrama, perceba que incluímos o WAF à direita do Firewall. Isso para proteger os endereços IPs dos nossos servidores.

Aparentemente, a nossa rede está protegida: temos um Firewall, responsável pelas regras de segurança e o WAF, para a proteção do nosso IP - evitando ataques de DoS.

Ataques DoS (Denial of Service, em português "Negação de serviço").

Em suma, ataques DoS é quando o atacante, ao descobrir o IP do servidor, realiza diversas requisições simultâneas até derrubar o sistema.

O WAF consegue nos proteger de vários ataques, mas apenas na camada 7 do nosso modelo OSI (Open Systems Interconnection, em português "Interconexão de Sistemas Abertos"). Em suma, o modelo OSI traz as camadas do percurso da requisição do nosso sistema até o servidor de origem da aplicação.

Para saber mais: tipos de WAF

A camada 7 é a de aplicação, em que acontece os protocolos HTTP (Hypertext Transfer Protocol, em português "Protocolo de Transferência de Hipertexto"), serviço DNS (Domain Name System, em português "Sistema de nome de domínio") e o FTP (File Transfer Protocol em português "Protocolo de Transferência de Arquivos"). Portanto, as outras camadas ficam vulneráveis.

Logo, precisamos de mais mecanismos de segurança na nossa rede. Mas isso vamos ver no próximo vídeo. Até mais!

Sobre o curso Segurança de rede: firewall, WAF e SIEM

O curso Segurança de rede: firewall, WAF e SIEM possui 193 minutos de vídeos, em um total de 52 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.

Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:

Aprenda Segurança acessando integralmente esse e outros cursos, comece hoje!

Conheça os Planos para Empresas

Cursos

Cursos de Programação
Lógica | Python | PHP | Java | .NET | Node JS | C | Computação | Jogos | IoT
Cursos de Front-end
HTML, CSS | React | Angular | JavaScript | jQuery
Cursos de Data Science
Ciência de dados | BI | SQL e Banco de Dados | Excel | Machine Learning | NoSQL | Estatística
Cursos de Inteligência Artificial
IA para Programação | IA para Dados
Cursos de DevOps
AWS | Azure | Docker | Segurança | IaC | Linux
Cursos de UX & Design
Usabilidade e UX | Vídeo e Motion | 3D
Cursos de Mobile
Flutter | iOS e Swift | Android, Kotlin | Jogos
Cursos de Inovação & Gestão
Métodos Ágeis | Softskills | Liderança e Gestão | Startups | Vendas

Cursos universitários FIAP

Graduação | Pós-graduação | MBA