2002, edgard jamhour firewalls edgard jamhour. 2002, edgard jamhour segurança de redes firewalls...
Post on 07-Apr-2016
256 Views
Preview:
TRANSCRIPT
2002, Edgard Jamhour
FIREWALLS
Edgard Jamhour
2002, Edgard Jamhour
Segurança de Redes
• Firewalls– Firewalls com estado e sem estado. Arquiteturas de Firewall.
• Criptografia– Simétrica, Assimétrica, Certificados Digitais e SSL.
• VPN– Arquiteturas de VPN, PPTP e L2TP.
• IPsec– Políticas IPsec, Modos de Utilização, Topologias de uso
2002, Edgard Jamhour
Bibliografia
• BIBLIOGRAFIA– TCP/IP Tutorial e Técnico: Martin W. Murhammer et al., 2000,
Makron Books. – FIREWALLS - GUIA COMPLETO, GONCALVES,MARCUS,
EDITORA CIENCIA MODERNA LTDA.
2002, Edgard Jamhour
Firewalls
• Definição:– Termo genérico utilizado para designar um tipo de proteção de
rede que restringe o acesso a certos serviços de um computador ou rede de computadores pela filtragem dos pacotes da rede.
• Os firewalls podem ser de dois tipos:– Sem estado (stateless)
• A decisão sobre a passagem ou não de um pacote considera apenas as informações carregadas no próprio pacote.
– Com estado (stateful) – Stateful Inspection• A decisão sobre a passagem ou não de um pacote leva em
outros pacotes que atravessaram anteriormente o firewall.
2002, Edgard Jamhour
Firewall = Bloqueio de Pacotes
Aplicativo
Aplicação
TCP
IP
Enlace
Física
Aplicação
Sistema operacional
Placa de rede
DISPOSITIVO DE REDE
UDP
Aplicação
Serviço
Programaexterno
2002, Edgard Jamhour
Firewalls Sem Estado
• O tipo mais comum de firewall é o sem estado:– A decisão sobre a passagem ou não de um pacote
considera apenas as informações carregadas no próprio pacote.
• Utiliza usualmente apenas informações das camadas de rede e transporte. – Essa simplificação permite:
• Tornar o firewall mais rápido.• Tornar o firewall independente do protocolo
transportado.• Tornar o firewall independente de criptografia e
tunelamento.
2002, Edgard Jamhour
Filtragem de Pacotes sem Estado
Protolco de Aplicação
FTP, SMTP, HTTP, Telnet, SNM, etc.
TCP, UDP
Data LinkEthernet, Token Ring, FDDI, etc
IP
Física
Aplicações
A filtragem de pacotes é feita com base nas informações contidas no cabeçalho dos protocolos.
Tecnologia heterogênea
aplicação
transporte
rede
enlace
física
Seqüência de empacotamento
2002, Edgard Jamhour
Filtragem de Pacotes
Aplicativo
Aplicação
TCP
IP
Enlace
Física
Aplicação
Sistema operacional
Placa de rede
FIREWALL DE REDE
UDP
Aplicação
Aplicativo
Programaexterno
FIREWALL PESSOAL
2002, Edgard Jamhour
Implementação Física
• No software do Roteador: screening routers• No software de uma estação dedicada (um PC com duas placas de
rede).
REDE EXTERNA
FIREWALL
ROTEADOR
FIREWALL
ROTEADOR
REDE EXTERNA
REDE INTERNA
REDE INTERNA
PERSONAL FIREWALL
2002, Edgard Jamhour
Exemplo
• Roteadores Cisco– PIX Firewall– Firewall– Roteador– Proxy– Detetor de ataques (SMTP, etc)– Defesa contra fragmentação de IP– Implementa VPN com IPsec– Mais de 256K sessões simultâneas.
2002, Edgard Jamhour
Exemplo
• Implementação por Software– Check Point Firewall
• Interface Gráfica• Módulo de Firewall• Módulo de Gerenciamento
– Mútiplas Plataformas• Windows, Solaris, Linux, HP-UX, IBM AIX
– Controle de Segurança e Qualidade de Serviço.
2002, Edgard Jamhour
Algorítmo dos Firewalls sem Estado
Recebe pacote
Seleciona Primeira Regra
OK para Passar?
OK para Bloquear
Última Regra?
Bloquear Pacote
Encaminhar Pacote
S
S
N
N
N
S
Regra Default(Bloquear Tudo)
Seleciona Proxima
Regra
2002, Edgard Jamhour
Filtragem por Aplicação
• Os firewalls sem estado não analisam o protocolo de aplicação para determinar o tipo de serviço transportado pelo pacote.
• A dedução do tipo de serviço é feito indiretamente:– Pelo campo “Protocol Type” do IP
• RFC 1700: Assigned Numbers– TCP = 6, UDP = 17, ICMP = 1, etc.
– Pelas portas quando o tipo de protocolo for 6 ou 17• http://www.iana.org/assignments/port-numbers
• Todas as numerações são padronizada pela IANA (The Internet Assigned Numbers Authority)
2002, Edgard Jamhour
Distribuição das Portas
• Portas Bem conhecidas (well known ports):– Geralmente usada pelos
servidores de serviços padronizados.
• Portas Registradas– Geralmente usada por servidores
proprietários.
• Portas Dinâmicas ou Privadas:– Usadas pelos clientes e pelos
serviços não padronizados.
0
….
10231024
….
49151
PORTAS
TCP ou UDP
49152
….
65535
2002, Edgard Jamhour
Distribuição das Portas
• Portas Bem Conhecidas:– Definidas pela IANA– Acessíveis apenas por processos de sistema (que
tenham privilégios do tipo root).– Desina servícos padronizados para Internet:
• FTP (21), HTTP (80), DNS (53), etc.– Range: 0 a 1023– Geralmente, a porta é mapeada a um serviço em
ambos os protocolos (TCP e UDP), mesmo que usualmente só seja utilizado um deles.
2002, Edgard Jamhour
Distribuição de Portas
• Portas Registradas:– Listada pela IANA– Serviço oferecido para conveniência da comunidade– Acessiveis por processos de usuário– Usadas geralmente para designar serviços
proprietários:• Corba Management Agente (1050), Microsoft SQL
Server (1433), Oracle Server (1525), etc.– Range: 1024 a 49151.
2002, Edgard Jamhour
Exemplos de portas bem conhecidas
Porta 21
Cliente
FTP
Dados armazenados
programa servidor de terminal remoto
Porta 23
Porta 25
Porta 80
programa servidor de transferência de arquivos
programa servidor de correio eletrônico
programa servidor de hipertexto e outros serviços
WWW
programa servidor de notícias Porta 119
programa servidor de serviços chat
Porta 194
TELNET
SMTP
HTTP
NNTP
IRC portas livres
Porta 49152
Porta 65535
…
portas bem conhecidas
2002, Edgard Jamhour
Exemplo de Regras de Filtragem
regra
ação interface/sentido
protocolo IPorigem
IPdestino
Portaorigem
Portadestino
Flag ACK
1 aceitar rede interna/para fora
TCP interno externo > 1024 80 *[1]
2 aceitar rede externa/para dentro
TCP externo interno 80 > 1023 1
3 rejeitar * * * * * * *
[1] O símbolo "*" indica que qualquer valor é aceitável para regra.
2002, Edgard Jamhour
Problema: Spoofing de Porta
• Como diferenciar um ataque externo de uma resposta solicitada por um usuário interno?
10241024
...
80 80
80 80 10241024
80 80 1024... 655351024... 65535
É necessário liberar pacotes com porta
de origem 80 para que a resposta possa passar .
Como evitar que a porta 80 seja usada para atacar
usuários internos?
2002, Edgard Jamhour
Característica da Comunicação TCP
• Comunicação bidirecional, confiável e orientada a conexão.
• O destino recebe os dados na mesma ordem em que foram transmitidos.
• O destino recebe todos os dados transmitidos.• O destino não recebe nenhum dado duplicado.
• O protocolo TCP rompe a conexão se algumas das propriedades acima não puder ser garantida.
2002, Edgard Jamhour
Flags TCP
HLEN Reservado BITS DE CÓDIGO Janela de Recepção
Checksum Ponteiro de Urgência
Número de Seqüência
Número de Confirmação
Opções
Dados
Byte 1 Byte 2 Byte 3 Byte 4
0 4 8 12 16 20 24 28 31
…..
Porta de origem Porta de destino
• RES: Reservado (2 bits)• URG: Urgent Point• ACK: Acknowlegment
• PSH: Push Request• RST: Reset Connection• SYN: Synchronize Seqüence Number• FIN: Mais dados do transmissor
2002, Edgard Jamhour
Flag ACK
• Uma conexão TCP sempre se inicia com o cliente enviando um pacote com o flag ACK= 0.
ACK=0
ACK=1
ACK=1
tempo tempo
ACK=1
...
2002, Edgard Jamhour
Filtragem com Protocolo UDP
• Comunicação bidirecional, sem nenhum tipo de garantia.– Os pacotes UDP podem chegar fora de ordem.– Pode haver duplicação de pacotes.– Os pacotes podem ser perdidos.
• Cada pacote UDP é independente é não contém informações equivalentes ao flag ACK dos pacotes.
2002, Edgard Jamhour
Mensagem UDP
Porta de Origem
Comprimento da Mensagem checksum
Dados
…..
Porta de Destino0 16 31
• As mensagens UDP não possuem flags de controle pois o protocolo UDP não oferece a mesma qualidade de serviço que o protocolo TCP.
2002, Edgard Jamhour
Dynamic Packet Filtering com UDP
• Para poder criar regras sobre quem inicia uma comunicação no protocolo UDP, os roteadores precisam se lembrar das portas utilizadas.
200.0.0.1:1025 >>> 210.0.0.2:53
tempo tempo...
210.0.0.2:53 >>> 200.0.0.1:1025
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
2002, Edgard Jamhour
Regras para Filtragem de Pacotes
• Implementação:– Analisar o cabeçalho de cada pacote que chega
da rede externa, e aplicar uma série de regras para determinar se o pacote será bloqueado ou encaminhado.
• ESTRATÉGIAS– A) TUDO QUE NÃO É PROIBIDO É
PERMITIDO.– B) TUDO QUE NÃO É PERMITIDO É
PROIBIDO.
2002, Edgard Jamhour
Exemplo: TUDO QUE NÃO É PERMITIDO É PROIBIDO
Ação
permitir
permitir
negar
Protocolo
tcp
tcp
*
IP Origem
interno
*
*
Porta Origem
> 1023
23
*
IP Destino
*
interno
*
Porta Destino
23
> 1023
*
ACK
*
1
*
• Interpretação:– Hosts Internos podem acessar servidores de telnet
internos ou externos.– Hosts externos podem apenas responder a
requisições, não podem iniciar um diálogo (estabelecer uma conexão).
Direção
Sair
Entrar
*
2002, Edgard Jamhour
Exemplo
INTERNET1 2
200.17.98.? ?.?.?.?
23
Ação
permitir
negar
Protocolo
tcp
*
IP Origem
200.17.98.0:24
*
Porta Origem
> 1023
*
IP Destino
*
*
Porta Destino
23
*
ACK
*
*
INTERFACE 1
INTERFACE 2Ação
permitir
negar
Protocolo
tcp
*
IP Origem
*
*
Porta Origem
23
*
IP Destino
200.17.98.0:24
*
Porta Destino
> 1023
*
ACK
1
*
>1023>1023
2002, Edgard Jamhour
Exemplo
• Interpretação:– Hosts Internos podem acessar servidores de telnet internos ou
externos.– Hosts externos podem acessar servidores de web internos.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
80
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
80
> 1023
*
ACK
*
1
*
1
*
Direção
Out
In
In
Out
*
2002, Edgard Jamhour
Seqüência de Criação de Regras
• A seqüência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
interno
*
Porta Origem
> 1023
23
> 1023
23
*
IP Destino
*
interno
interno
*
*
Porta Destino
23
> 1023
23
> 1023
*
ACK
*
1
*
1
*
Direção
Out
In
In
Out
*
O deslocamento de uma regra genérica para cima anula as demais.
2002, Edgard Jamhour
Ciclos CPU 100 MHz
2860008000160016016
Desempenho do Filtro de Pacotes
• O processo de filtragem de pacotes exige que um certo processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido.
• Dependendo da velocidade da linha de transmissão, esse processamento pode ou não causar uma degradação do desempenho da rede.
Conexão
56 Kbit/s2 Mbit/s
10 Mbit/s100 Mbit/s
1Gbit/s
Pacotes/s(20 bytes)
3501250062500
6250006250000
Tempo disponível
2.86 ms80 s16 s1.6 s
0.16 s
2002, Edgard Jamhour
Arquitetura DMZ
• Perimeter Network– Uma rede adicionada entre a rede protegida e uma
rede externa, com o objetivo de proporcionar uma camada a mais de segurança.
– Também chamada de DMZ (De-Militarized Zone).• Bastion Host
– Um computador que precisa ser altamente protegido, pois é suscetível a sofrer ataques. O bastion host é um computador exposto simultaneamente a Internet e a rede interna.
2002, Edgard Jamhour
Exemplo de DMZ
Host Host InternoInterno
InternetInternet
Roteador Interno Bastion Bastion
HostHost
DMZ - Rede de PerímetroDMZ - Rede de Perímetro
Rede InternaRede Interna
Roteador Externo
2002, Edgard Jamhour
Roteador Interno (Choke Router)
• Protege a rede interna da rede externa e da rede de perímetro.
• É responsável pela maioria das ações de filtragem de pacotes do firewall.
Ação
permitir
permitir
negar
Protocolo
tcp
tcp
*
IP Origem
interno
*
*
Porta Origem
> 1023
*
*
IP Destino
*
interno
*
Porta Destino
*
> 1023
*
ACK
*
1
*
Direção
Out
In
*
EXEMPLO DE REGRAS PARA O CHOKE ROUTER
2002, Edgard Jamhour
Roteador Externo (Access Router)
• Protege a rede interna e a rede de perímetro da rede externa.
• Muitas vezes, a função o roteador externo está localizado no provedor de acesso.
• Em geral, utiliza regras de filtragem pouco severas.
Ação
permitir
permitir
permitir
permitir
negar
Protocolo
tcp
tcp
tcp
tcp
*
IP Origem
interno
*
*
dmz
*
Porta Origem
> 1023
*
> 1023
*
*
IP Destino
*
interno
dmz
*
*
Porta Destino
*
> 1023
*
> 1023
*
ACK
*
1
*
*
*
Direção
Out
In
In
Out
*
EXEMPLO DE REGRAS PARA O ACCESS ROUTER
2002, Edgard Jamhour
Rede de Perímetro com Proxy
Hosts InternosHosts InternosCom IP’s PrivadosCom IP’s Privados
InternetInternet
Bastion Bastion HostHost
DMZ - Rede de PerímetroDMZ - Rede de Perímetro
Rede InternaRede Interna
Roteador Externo
Servidor Servidor ProxyProxy
2002, Edgard Jamhour
EXERCÍCIO
Hosts Hosts InternoInterno
Internet
Roteador Interno
Bastion Host
DMZ - Rede de Perímetro
Rede Interna
Roteador Externo
I1
I2
E1
E2
200.0.0.1 200.0.0.2 200.0.0.3
200.0.0.4
200.1.0.1 200.1.0.2
200.1.0.3
200.2.0.1
2002, Edgard Jamhour
DEFINIÇÃO DAS ROTAS
• Indique as Rotas que Devem Existir:
• A) Computadores da Rede Interna• B) Roteador Interno• C) Bastion Host• D) Roteador Externo
2002, Edgard Jamhour
EXERCÍCIO
• Defina as regras para filtragem de pacotes dos roteadores da arquitetura DMZ para:– A) Permitir aos computadores externos acessarem o
serviço HTTP no bastion HOST.– B) Permitir aos computadores externos acessar o
serviço SMTP no bastion HOST.– C) Permitir aos usuários internos acessarem o serviço
POP, SMTP e HTTP no bastion HOST.– D) Permitir aos usuários internos acessarem qualquer
servidor HTTP externo.– E) Proibir todos os demais acessos.
2002, Edgard Jamhour
Roteador Interno
AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM
PORTA DESTINO
FLAG ACK
2002, Edgard Jamhour
Roteador Externo
AÇÃO INTERFACE PROTOCOLO IP ORIGEM IP DESTINO PORTA ORIGEM
PORTA DESTINO
FLAG ACK
2002, Edgard Jamhour
Stateful Inspection
• As primeiras gerações de firewall eram ditos "stateless".– Cada pacote é analisado individualmente, sem
levar em conta pacotes anteriores trocados na mesma conexão.
– Os firewalls baseados em filtros de pacotes não olham o conteúdo dos protocolos de aplicação.
2002, Edgard Jamhour
Filtro de Pacotes
• Usualmente implementado em roteadores.
• São idependentes da aplicação (analisam apenas informações de IP e Porta).
• Tem alto desempenho.
2002, Edgard Jamhour
Filtro de Pacotes: Problemas de Segurança
• São stateless:– Precisam liberar
todas as portas de cliente (> 1023) para permitir uma comunicação FTP.
• Apenas duas opções:– Ou libera-se todas
as portas ou bloqueia-se o serviço todo.
2002, Edgard Jamhour
Gateways de Aplicação
• Uma alternativa para os filtros de pacotes são os gateways de aplicação.– Gateways de aplicação (Proxy) são "statefull": Isto é,
eles guardam o estado das conexões inciadas pelos clientes.
– Alguns tipos de gateways de aplicação (Proxy) são capazes de analisar o conteúdo dos pacotes.
– Todavia, são dependentes da aplicação (não funcionam para aplicações desconhecidas) e tem baixo desempenho.
2002, Edgard Jamhour
Application Layer Gateways
• Usualmente Implementados como serviços.
• O Gateway de Aplicação é visto pelos clientes como um Servidor.
• Abrem apenas a porta do cliente utilizada para fazer a conexão com o servidor.
2002, Edgard Jamhour
Gateways de Aplicação
• Dependentes de Aplicação– Examinam o conteúdo dos pacotes, incluido os protoclos de aplicação.– Exemplo: Proxy HTTP
• Independentes da Aplicação– Não precisa examinar o conteúdo.– Exemplo: Socks
8080
1024
1025
1026
1024
1024
80
80
1025
1
2
3
1*
2*
3*
2002, Edgard Jamhour
Proxy Socks X Proxy de Aplicação
Cliente Socks
Socks Proxy
Server
CONNECT: IP_Destino, Porta_Destino, UserID
8010801024 1024
O cliente SOCKS inclui automaticamente informações adicionais (durante a conexão TCP ou nos pacotes UDP), que são utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino.
AplicaçãoProxy-
Enabled
Proxy de Aplicação
Server
Get http:www.pucpr.br
8010801024 1024
O proxy de aplicação localiza o Servidor de Destino analisando as informações do protocolo de aplicação.
2002, Edgard Jamhour
Limitações dos Gateways de Aplicação
• Proxys de Aplicação– Limitam o tipo de aplicativo que pode ser utilizado na
rede.– Funcionam apenas para os aplicativos que foram
reescritos para utilizar o Proxy.• Proxy Socks
– A versão corrente do protocolo SOCKs é 5.0• RFC1928: suporta TCP , UDP e autenticação
– A versão 4 suporta apenas TCP.– Algumas soluções proprietárias suportam também
ICMP.
2002, Edgard Jamhour
Application Layer GatewayProblemas de Desempenho
• Quebram o esquema cliente-servidor (o proxy cria uma nova conexão para cada cliente).– O número de
sessões no Gateway é duplicado.
– Cada conexão mantém um processo no Proxy.
2002, Edgard Jamhour
Stateful Inspection
• Tecnologia Desenvolvida pela CheckPoint.• Implementa o conceito de estado sem criar novas
conexões no roteador.– Um módulo de software analisa permanentemente o conteúdo
dos pacotes que atravessam o firewall.– As informações relevantes dos pacotes são armazenadas em
tabelas dinâmicas para porterior uso.– A decisão quanto a passagem ou não de um pacote leva em
conta o conteúdo de pacotes anteriormente trocados na mesma conexão.
2002, Edgard Jamhour
Stateful Inspection
• Para poder criar regras sobre quem inicia uma comunicação, o firewall armazena informações sobre as portas utilizadas pelo cliente.
200.0.0.1:1024 >>> 210.0.0.2:53
tempo tempo...
210.0.0.2:53 >>> 200.0.0.1:1024
210.0.0.2:53 >>> 200.0.0.1:1026
210.0.0.2:53 >>> 200.0.0.2:1025
200.0.0.1:1024 >>> 210.0.0.2:53
2002, Edgard Jamhour
Stateful Inspection
• Analisa o conteúdo dos pacotes sem quebrar o modelo cliente servidor.
• A informação de estado é capturada quando o pacote através o firewall e armazenadas em tabelas dinâmicas.
2002, Edgard Jamhour
Stateful Inspection
• Quando o cliente requisita um serviço FTP, o Firewall armazena a porta utilizada numa tabela dinâmica, não liberando nenhuma outra porta do cliente.
2002, Edgard Jamhour
Segurança de Conteúdo
• Além das informações de portas, as informações de conteúdo também são utilizadas pelo Firewall.
• Normalmente, apenas os protocolos mais comuns são analisados.– HTTP: Permite Filtrar:
• Métodos de acesso (GET, POST), URLs ("*.sk"), etc• TAGS em HTML com referências a Applets em Java ou Objetos
Active X.• Dowload de certos tipos MIME.
– FTP: Permite Filtrar• Comandos específicos (PUT, GET), Nomes de Arquivo• Pode disparar antivirus para verificação de arquivos.
– SMTP: Permite criar regras de Filtragem baseadas• Nos campos FROM e TO• Tipo MIME• Etc.
2002, Edgard Jamhour
Integração com Métodos de Autenticação
• Firewalls com Tecnlogia Stateful permitem criar regras de filtragem baseados no login do usuário ao invés do endereço IP.
• Estas técnicas simplificam o processo de criar regras de filtragem pois o usuário pode acesar o serviço independentemente da máquina que estiver usando.
• Esta tecnologia só é possível para firewalls "Stateful".• Três métodos são usualmente disponíveis:
– User Authentication (transparente)– Session Autentication– Mapeamento Transparente do Usuário em Endereço
2002, Edgard Jamhour
Integração com Métodos de Autenticação
– User Authentication (transparente)• Permite a usuário remoto acessar um serviço da rede
independente do seu IP.• O firewall reconhece o login do usuário analisando o conteúdo
dos protocolos FTP, HTTP, TELNET e RLOGIN.– Session Authentication
• Quando o usuário tenta acessar um serviço da rede o Firewall envia para o cliente um pedido de login (challange message).
• O cliente deve ter um software especial para confirmar a senha.
• Só então o acesso é permitido (ou negado).
2002, Edgard Jamhour
Integração com Métodos de Autenticação
• Mapeamento Transparente entre Usuário e Endereço– O Firewall captura mensagens DHCP para as máquinas.– O Firewall captura as mensagens de login trocadas entre o
usuário e o servidores de domínio da rede.• CHECK POINT, por exemplo, suporta as mensagens do
Windows NT.• O usuário não se loga no Firewall, o sucesso do login é
identificado pelo Firewall também capturando as mensagens do servidor.
top related