TOCI08–Segurança em Redes de Computadores Módulo 10: Firewalls
Prof. M.Sc. Charles Christian Mierse-mail: [email protected]
TOCI08 Segurança em Redes de Computadores 2
FÍSICO
REDE
APLICAÇÃO
TRANSPORTE
Protocolos de Enlace e Físico
Internet Protocol (IP)
ARP RARP
Transmission ControlProtocol (TCP)
User DatagramProtocol (UDP)
Programas de AplicaçãoCMOT
DNS
FTP
SMTPASN1
Telnet
rlogin
CMOT NFSSNMP
TFTPASN1
XDR
BOOTP RFC
Pilha de Protocolo DARPA
TOCI08 Segurança em Redes de Computadores 3
Pilha de Protocolo DARPA (Cont.) Aplicação:
Interface de programação (API): socket’s (SSL) e NetBios Suporte a operação de rede: DNS,WINS,DHCP,BOOTP,SNMP,
RMON Serviços de usuário final: HTTP, SMTP, POP,
NNTP,TELNET,FTP,TFTP Transporte: TCP, UDP Rede:
IP – endereçamento e roteamento de pacotes na rede (R)ARP – endereço de hardware para hosts localizados na
mesma rede física ICMP – informações sobre as condições de transmissão de
datagramas na rede ou sobre erros IGMP – especificação de computadores ligados a grupos
multicast Interface
WAN:ATM, FDDI, Frame Relay e X.25 LAN:Ethernet, FastEthernet, Token Ring e FFDI Discado: PPP e SLIP
TOCI08 Segurança em Redes de Computadores 4
Firewall Definição:
Firewalls são componentes derivados de procedimentos que implementam uma política de segurança
Objetivam restringir ou controlar o fluxo de informação entre duas ou mais sub-redes
Colocados na fronteira entre duas ou mais redes com necessidade de segurança distintas
TOCI08 Segurança em Redes de Computadores 5
Firewall: finalidades
O firewall é um mecanismo desenvolvido para: Prevenir acessos não autorizados de ou para uma rede
segura Atuar como uma porta de controle entre redes externas e
internas, ou qualquer outra rede que se deseje controlar o acesso
Permitir que somente o tráfego que atenda determinados critérios passe através deles
Importante: O firewall pode proteger apenas redes cujos tráfego para
chegar as mesmas passe através dele
TOCI08 Segurança em Redes de Computadores 6
Para que servem os firewalls?
Controlar os serviços a serem disponibilizados Proteger uma rede de ataques externos Registrar a comunicação entre as máquinas internas e
externas Esconder máquinas internas Converter endereços IP (NAT – Network Address Translation) Cifrar (VPN – Virtual Private Network) Autenticar tráfego de dados/usuários Bloquear comunicação entre máquinas da mesma sub-rede Impedir ataques de pessoas internas Analisar contextos
TOCI08 Segurança em Redes de Computadores 7
Categorias de Firewalls Firewalls Pessoais:
Objetivam proteger apenas um host, normalmente uma estação de trabalho ou dispositivo móvel
Preocupam-se mais com o controle de entrada do que saída Exigem templates/modelos de pré-configurações para facilitar o
manuseio/gerência Firewalls Corporativos:
Tem por finalidade controlar e proteger redes Pode ser empregado como fronteira com a Internet Pode ser empregado para segmentar redes internas dentro da
própria instituição ou com seus parceiros Preocupação com controle do tráfego em todos os sentidos Análise extensiva dos logs gerados Administração mais complexa, exigindo conhecimentos sólidos
em redes de computadores
TOCI08 Segurança em Redes de Computadores 8
Tipos de Firewall
Filtro de Pacotes: Análise do tráfego de rede
Proxies: Análise do tráfego da camada de aplicação
Filtragem com estado: StateLess:
Análise de todas as camadas com alguma consistência Statefull:
Análise de todas as camadas com várias consistências
TOCI08 Segurança em Redes de Computadores 9
Filtro de pacotes simples
Roteador
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
TOCI08 Segurança em Redes de Computadores 10
Filtro de pacotes simples
Cliente
Cracker
Filtro de IPServidor FTP
VulnerabilidadesToda faixa de portas TCP, UDP e ICMP abertas
TOCI08 Segurança em Redes de Computadores 11
Filtro de pacotes simples (Cont.)
Características: Alta performance Baixo nível de segurança Incapazes de lidar seletivamente com o protocolo UDP Incapazes de lidar com protocolos de aplicações Não protegem contra ataques de negação de serviço Permitem rastreabilidade
Utilização: Normalmente empregados em roteadores e alguns switches de
nível 3 como “peneira grossa”
TOCI08 Segurança em Redes de Computadores 12
Filtro de pacotes simples (Cont.)
DescartaRede_InternaInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Número: As regras possuem prioridades, normalmente as regras superiores suplantam
as inferiores IP de Origem:
Endereço do host, rede ou segmento que origina o acesso IP de Destino:
Endereço do host, rede ou segmento destino do acesso Ação:
Essencialmente três tipos (podem haver mais dependendo do firewall) : Aceita: Permite que o pacote atravesse o firewall Rejeita: Não permite que o pacote atravesse o firewall, respondendo a
origem Descarta: Não permite que o pacote atravesse o firewall, joga o pacote fora
e não responde a origem
TOCI08 Segurança em Redes de Computadores 13
Definição: Mecanismo de controle de acesso que atua na camada
de aplicação que pode ser empregado para o controle de tráfego/conteúdo específico a natureza do protocolo para o qual foi desenvolvido
É um serviço que atua entre um cliente interno e um cliente externo, servindo como um ponto único de acesso
Proxy
TOCI08 Segurança em Redes de Computadores 14
Proxy (Cont.)
Aplicações principais: Cache: economizar largura de banda através do
armazenamento de conteúdo comumente acessado Regras de Acesso: controle de acesso feito a nível de protocolo,
a fim de evitar uso não autorizado ou indevido Filtro de IP: Evitar que acessos de redes não autorizadas sejam
feitos ao serviço
TOCI08 Segurança em Redes de Computadores 15
Proxy (Cont.)
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Gateway deAplicação
TOCI08 Segurança em Redes de Computadores 16
Proxy (Cont.)
Cliente
Cracker
ProxyServidor FTP
Vulnerabilidadespilha ou S.O.
S.O. e toda parte baixa da pilha de
protocolos expostos
TOCI08 Segurança em Redes de Computadores 17
Proxy (Cont.)
Principais arquiteturas empregadas:
Transparente Tradicional
TOCI08 Segurança em Redes de Computadores 20
Proxy (Cont.) Características:
Baixa performance Grau de segurança superior aos filtros de pacotes São suscetíveis a falhas do sistema operacional e pilha de
protocolos inferior que os executa ou dá suporte Para cada serviço é necessário um proxy Não protegem o computador hospedeiro Podem exigir modificações nas máquinas clientes
Utilização: Normalmente são empregados após um firewall do tipo filtro
de estados ou superior Utilizado comumente para controle de navegação e uso de
correio eletrônico
TOCI08 Segurança em Redes de Computadores 21
Filtragem com Estado
Características: Boa performance Bom nível de segurança Alguns podem trabalhar com protocolos de aplicação
(Statefull) Protegem contra ataques de negação de serviço Protegem a rede interna e a própria máquina onde são
executados Não permitem varreduras
TOCI08 Segurança em Redes de Computadores 22
Filtro de Estados Simples
Cliente
Cracker
Firewall Filtro de Estados
Servidor FTP
Vulnerabilidades do serviço de
FTP
S.O. e toda parte baixa da pilha de
protocolos escondida / protegida
TOCI08 Segurança em Redes de Computadores 23
Filtro de Estados simples (Cont.)
Todos
FTP
Serviço
Todos
TCP
Protocolo
DescartaInternetInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Número: As regras possuem prioridades, normalmente as regras superiores
suplantam as inferiores IP de Origem / Destino:
Endereço do host, rede ou segmento de originem/destino do acesso Protocolo:
Pode ser TCP, UDP, ICMP ou Todos Serviço:
Número da porta ou faixa de portas do serviço que está sendo controlado Ação:
Além do três tipos essenciais: Log: faz o registro apenas, podendo em determinados firewalls ser uma
opção aditiva Contador: para fins de contabilidade de tráfego, também pode ser aditivo
TOCI08 Segurança em Redes de Computadores 24
Statefull: Protocolo TCPEstabelecimento de Conexão:
Aperto de mão triplo (Triple Handshake):
Cliente
Cliente
Cliente
Servidor
Servidor
Servidor
Desejotransmitir
Estou pronto
OK, iniciar
TOCI08 Segurança em Redes de Computadores 26
Filtro de Estados Statefull
Cliente
Cracker
Firewall Filtro de Estados
Statefull
Servidor FTP
Vulnerabilidades limitadas pelos
comandos permitidos
S.O. e toda parte baixa da pilha de protocolos
escondida / protegida. Aplicação protegida pelos
comandos permitidos
TOCI08 Segurança em Redes de Computadores 27
Filtro de Estados Statefull (Cont.)
Todos
FTP_Proxy
Serviço
Todos
TCP
Protocolo
DescartaInternetInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Serviço: Além do número da porta ou faixa de portas do serviço que está
sendo controlado, pode indicar um proxy interno ou externo que avalie o conteúdo do pacote
Ação: Além do três tipos essenciais:
Log: faz o registro apenas, podendo em determinados firewalls ser uma opção aditiva
Contador: para fins de contabilidade de tráfego, também pode ser aditivo
Outras funções que visem integração com outros softwares, como IDS
TOCI08 Segurança em Redes de Computadores 32
Topologia do Firewall Exemplo (Cont.)
Observações: Quanto a DMZ: possui servidores de HTTP/HTTPS, SMTP/POP3s,
DNS e FTP. O servidor HTTP/HTTPS possui uma aplicação que acessa, no Servidor BD, o banco de dados através da porta TCP/2471
As estações de trabalho somente poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ e todos os serviços TCP e UDP que estão no segmento servidores
Da Internet (considerar como todas as redes externas a essa estrutura) somente poderão acessar os serviços de HTTP/HTTPS, SMTP e DNS localizados na DMZ
Os computadores do segmento Servidores poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ
Os computadores do segmento DMZ poderão acessar HTTP/HTTPS, SMTP, DNS e FTP na Internet
Demais questões não definidas, pertinentes às respostas, poderão ser atribuídas desde que justificadas e em concordância com as recomendações/normas/padrões de segurança
TOCI08 Segurança em Redes de Computadores 33
Topologia do Firewall : Endereçamento IP
Roteador: rot_int_externa: IP/Masc: 200.18.7.33/255.255.255.0rot_int_interna: IP/Masc: 200.19.107.254/255.255.255.248
Default Gateway: 200.18.7.254 (end. do roteador do provedor de telco)
TOCI08 Segurança em Redes de Computadores 34
Topologia do Firewall : Endereçamento IP
Firewall:fw_int_ext/Masc: 200.19.107.253/255.255.255.248fw_int_dmz/Masc: 192.168.10.254/255.255.255.0fw_int_serv/Masc: 192.168.20.254/255.255.255.0fw_int_ri/Masc: 192.168.30.254/255.255.255.0
Default Gateway: rot_int_internaFirewall é responsável por prover serviço de NAT)
TOCI08 Segurança em Redes de Computadores 35
Topologia do Firewall : Endereçamento IP
Segmento Servidores:rede_serv/Masc: 192.168.20.0/255.255.255.0Default Gateway: fw_int_serv
TOCI08 Segurança em Redes de Computadores 36
Topologia do Firewall : Endereçamento IP
Segmento DMZ:rede_dmz/Masc: 192.168.10.0/255.255.255.0Default Gateway: fw_int_dmz
hosts:dmz_www: 192.168.10.1dmz_correio: 192.168.10.2 dmz_nomes: 192.168.10.3dmz_proxy: 192.168.10.4dmz_ftp: 192.168.10.5
TOCI08 Segurança em Redes de Computadores 37
Topologia do Firewall : Endereçamento IP
Segmento Rede Interna (RI):rede_ri/Masc: 192.168.30.0/255.255.255.0 ri_faixa_DHCP: 192.168.30.100 – 192.168.30.253
Default Gateway: fw_int_rihosts:
ri_BD: 192.168.30.1ri_DHCP: 192.168.30.2 (estações recebem as informações de
rede através de serviço DHCP)Faixa de IP's feita por ri_DHCP: 192.168.30.100 – 192.168.30.253Default Gateway fornecido por ri_DHCP: fw_int_ri Máscara fornecida por ri_DHCP: 255.255.255.0Servidor de Nomes (DNS) fornecido por ri_DHCP: dmz_nomes
TOCI08 Segurança em Redes de Computadores 38
Topologia do Firewall : Endereçamento IP
Internet: IP/Masc:0.0.0.0/0.0.0.0
TOCI08 Segurança em Redes de Computadores 39
Topologia do Firewall: Endereçamento IP
Serviços: HTTP: TCP/80 HTTPS: TCP/443 SMTP:TCP/25 POP3s: TCP/995 DNS: TCP/53 e UDP/53 FTP: TCP/21 PROXY: TCP/3128 BD: TCP/2471 ANY: Todos os serviços TCP/UDP/ICMP Todos_TCP: Todos os serviços TCP Todos_UDP: Todos os serviços UDP
TOCI08 Segurança em Redes de Computadores 40
Topologia do Firewall: Endereçamento IP
Tabela de NAT, definições: Endereço criado para ident. a saída do proxy:
nat_proxy: 200.19.107.252 Endereço criado para ident. a saída dos demais servidores da rede_dmz:
nat_dmz: 200.19.107.251
Todas as demais saídas utilizam um IP de saída diferente do proxy
------------------nat_dmz
HTTP/HTTPS SMTPDNSFTP
Internet
dmz_correiodmz_nomesdmz_ftpdmz_www
N:1
Permite identificar os acessos do proxy de modo separado
------------------nat_proxy
HTTP/HTTPSSMTPDNSFTP
Internetdmz_proxy1:1
Libera DNS p/ InternetDNSdmz_nomesDNSfw_int_extInternetserviço
Libera SMTP p/ InternetSMTPdmz_correioSMTPfw_int_extInternetserviço
Libera www p/ InternetHTTP/HTTPSdmz_wwwHTTP/HTTPSfw_int_extInternetserviço
ComentárioServ_TradEnd_Trad.ServiçoDestinoOrigemNAT
TOCI08 Segurança em Redes de Computadores 41
Topologia do Firewall: Endereçamento IP
Regra de fechamento explícitaDescartaANYInternetInternet8
Cumpre a observ. 4AceitaHTTP/HTTPS
SMTP, DNSrede_DMZInternet7
Cumpre a observ. 3AceitaTodos_TCP
Todos_UDPrede_servri_faixa_dhcp6
Cumpre a observ. 3AceitaHTTP/HTTPS,SMTP, POP3s, DNS, FTP
rede_DMZri_faixa_DHCP5
Cumpre a observ. 2AceitaPROXY dmz_proxyri_faixa_DHCP4
Cumpre a observ. 5AceitaHTTP/HTTPS, SMTP, DNS, FTP
rede_dmzrede_serv3
Cumpre a observ. 6AceitaHTTP/HTTPS,SMTP, DNS, FTP
Internetrede_dmz3
Evita acessos não autorizados da DMZ a rede_ri e rede_serv
RejeitaANYrede_serv
rede_rirede_dmz2
Libera acesso da aplicação ao Banco de Dados da rede_ri.
Cumpre a observ. 1AceitaBDri_BDdmz_www1
ComentárioAçãoProtocolo/ServiçoIP DestinoIP OrigemN
Regras de Acesso
TOCI08 Segurança em Redes de Computadores 42
Opções de Firewall
Opções de firewall:
Sistema operacionaltradicional mais
softwarede firewall
Utilitário baseado em hardware (Appliance)
Firewall-1
Aker
Cisco Pix
Aker Box
IpTables
StoneGate
TOCI08 Segurança em Redes de Computadores 48
Interface de Gerenciamento
Uma organização pode possuir várias soluções de firewalls distintas. Problemas da diversidade: Várias interfaces diferentes Metodologia de funcionamento distinta Princípios de operação difícil Demora na aplicação de medidas emergenciais
Solução: Utilizar uma ferramenta de gerenciamento centralizado
TOCI08 Segurança em Redes de Computadores 49
Interface de Gerenciamento (Cont.)
Definição: Meio de gerenciamento facilitado de um ou mais
firewalls de modo centralizado Deve fornecer meios de aumentar a eficiência global
de gerenciamento, em especial velocidade e flexibilidade
Deve focar a atenção do administrador nos problemas e não no uso da ferramenta (depois de instalado e feita a configuração inicial)
TOCI08 Segurança em Redes de Computadores 53
Escolha de um Firewall
Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a relação: Custo x Recursos Desejados x Flexibilidade,
Ponto essencial é a familiaridade com a plataforma operacional do firewall A maioria dos firewalls está disponível para um
conjunto reduzido de plataformas operacionais, e a sua escolha deve se restringir a um dos produtos que seja executado sobre uma plataforma com a qual os administradores da rede tenham experiência
TOCI08 Segurança em Redes de Computadores 54
Escolha de um Firewall (Cont.)
A existência de um firewall instalado em um sistema inseguro pode ser até mais perigosa do que a ausência do firewall na rede
Os produtos tendem a seguir a filosofia da plataforma onde são executados. Exemplo: A maioria dos firewalls para MS-Windows é
configurada através de menus e janelas, ao passo que muitos firewalls para Unix são configurados por meio de arquivos texto
TOCI08 Segurança em Redes de Computadores 56
Leitura Recomendada: Cert.Br:
http://www.cert.br/docs/seg-adm-redes/
Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002.
Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002.
Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000.
Norma NBR-ISO/IEC 17799. Versão 1.0
SANS: http://www.sans.org/resources/popular.php#firewall http://www.sans.org/rr/whitepapers/firewalls/815.php
Top Related