DmzVisor: uma abordagem para segurança de zonas desmilitarizadas corporativas em redes definidas por software

Pereira, Valson da Silva

Use este identificador para citar ou linkar para este item: https://repository.ufrpe.br/handle/123456789/1534

Título:	DmzVisor: uma abordagem para segurança de zonas desmilitarizadas corporativas em redes definidas por software
Autor:	Pereira, Valson da Silva
Endereco Lattes do autor:	http://lattes.cnpq.br/1271684226502864
Orientador:	Sena, Ygor Amaral Barbosa Leite de
Endereco Lattes do orientador :	http://lattes.cnpq.br/2441367990383979
Palavras-chave:	Redes de computação Medidas de segurança;Firewalls (Medidas de segurança para computadores)
Data do documento:	2018
Citação:	PEREIRA, Valson da Silva. DmzVisor: uma abordagem para segurança de zonas desmilitarizadas corporativas em redes definidas por software. 2018. 85 f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) – Unidade Acadêmica de Serra Talhada, Universidade Federal Rural de Pernambuco, Serra Talhada, 2018.
Abstract:	The advance in the use of the world-wide network of computers in the last decades made theinternet become one of the main communication tools around the world. However, the morecompanies provide services via the web, the more they tend to expose their important informationin the network in some way. In this way, there is a need for concern about the safety of theseservices. One of the recommendations for data security of organizations providing externalservices is to use a demilitarized zone (DMZ), which consists of the use of one or more firewallsin their configuration, but can have a considerable financial cost for the company. In addition,many firewall equipment is provided as a black box of proprietary solutions with embeddedsoftware by the manufacturer, so they are few flexible from a personalization point of view.However, through the Software-Defined Networking (SDN) paradigm along with the OpenFlowprotocol, which allows for flexibility in developing software solutions for networks, one has thebenefit of offering a software product as a low-cost alternative and customizable. Through theSDN, the application can be implemented in a high-level programming language and makinguse of free open source tools, so that it also enables the maintenance of the software to suitthe needs of the client. As a result, the overall goal of this work was to develop a corporateSDN firewall as a low-cost alternative, using open source tools, which acts as a packet filter andisolates traffic between the local network and the demilitarized zone , through SDN rules andthe secure implementation of protocol messages such as Dynamic Host Configuration Protocol(DHCP) and Address Resolution Protocol (ARP). In addition to the development of packetfiltering mechanisms for the network and transport layers and to provide more security throughnetwork isolation, a friendly web graphic user interface has also been developed in which theadministrator is able to manage the creating high-level firewall rules, so the user does not needto be aware of the OpenFlow protocol. The evaluation of the proposal was composed by 02scenarios using 6 machines virtualized by VirtualBox. The proposal demonstrated that bothits ARP and DHCP security rules and the firewall rules are effective in the networks that areprotected by the prototype proposed in this work, being able to avoid man in the middle attacks,IP and MAC address spoof, as well as perform filtering and routing of network and transportlayer packets securely.
Resumo:	O avanço na utilização da rede mundial de computadores nas últimas décadas fez a internets e tornar umas das principais ferramentas de comunicação ao redor do mundo. Entretanto,quanto mais as empresas fornecem serviços via web, mais tendem a expor de alguma forma suas informações importantes na rede. Dessa forma, é necessário que haja uma preocupação com relação à segurança desses serviços. Uma das recomendações para segurança de dados das organizações que fornecem serviços externos, é utilizar uma zona desmilitarizada (DMZ), que consiste no uso de um ou mais firewall sem sua configuração, porém pode ter um custo financeiro considerável para a empresa. Além disso, muitos equipamentos de firewall são fornecidos como uma caixa preta de soluções proprietárias com softwares embarcados pelo fabricante,de modo que são poucos flexíveis do ponto de vista de personalização. Todavia, através do paradigma de redes definidas por software (SDN) juntamente com o protocolo OpenFlow, que permite flexibilização com relação ao desenvolvimento de soluções de software para redes,tem-se o benefício de oferecer um produto de software como uma alternativa de baixo custo e personalizável. Por meio de SDN, a aplicação pode ser implementada em linguagem de programação de alto nível e fazendo uso de ferramentas gratuitas open source, de modo que,também possibilita a manutenibilidade do software para a devida adequação às necessidades do cliente. Em virtude disso, o objetivo geral deste trabalho foi desenvolver um firewall SDN corporativo como uma alternativa de baixo custo, utilizando ferramentas open source, que atua como um filtro de pacotes e isola o tráfego entre a rede local e a zona desmilitarizada,através de regras SDN e da implementação segura de mensagens de protocolos como o DynamicHost Configuration Protocol (DHCP) e Address Resolution Protocol(ARP). Além de ter sido desenvolvido mecanismos de filtragem de pacotes para as camadas de rede e de transporte e oferecer mais segurança por meio de isolamento de redes, também foi desenvolvida uma interface gráfica web amigável, na qual o administrador é capaz de gerenciar o software controlador da rede criando regras de firewall em alto nível, não sendo necessário o usuário ter conhecimento sobre o protocolo OpenFlow. A avaliação da proposta foi composta por 02 cenários utilizando 6 máquinas virtualizadas pelo o Virtual Box. A proposta demonstrou que tanto suas regras de segurança ARP e DHCP, quanto às regras de firewall são eficazes nas redes que são protegidas pelo protótipo proposto nesse trabalho, conseguindo evitar ataques do homem-do-meio, falsificação de endereços IP e MAC, bem como realizar a filtragem e encaminhamento de pacotes da camada de rede e transporte de forma segura.
URI:	https://repository.ufrpe.br/handle/123456789/1534
Aparece nas coleções:	TCC - Bacharelado em Sistemas de Informação (UAST)

Arquivos associados a este item:

Arquivo	Descrição	Tamanho	Formato
tcc_valsondasilvapereira.pdf		4,65 MB	Adobe PDF	Visualizar/Abrir

Mostrar registro completo do item Visualizar estatísticas