o uso de firewalls na segurança de redes thiago silvino 25/11/2013 fundação bradesco campinas

O Uso de Firewalls na Segurança de Redes

Thiago Silvino25/11/2013

Fundação Bradesco Campinas

Palestrante

Thiago Silvinowww.silvino.net

Especialista em Segurança de Redes - AT&T www.att.comPossue as certificações da CheckPoint CCSA e CCSEAtua na área de redes de computadores desde 2002

Objetivos da Palestra

No final dessa palestra você vai saber …1 – Conceitos básicos de redes de computadores2 – Funções de alguns equipamentos de rede3 – Funcionamento de firewalls CheckPoint4 – Packet filtering e stateful inspection5 – Antispoofing 6 – NAT

Redes de Computadores

Interconexão entre equipamentos usando protocolos bem definidos afim de trocar informações e compartilhar recursos.Para comunicação de dados precisamos de um transmissor, um meio de transmissão e um receptor.A comunicação deve ser padronizada.

Modelos de rede TCP/IP e ISO/OSIEquipamento Unidade TCP/IP OSI

Firewall com stateful packet inspection

Dados 5. Aplicação 7. Aplicação

6. Apresentação

5. Sessão

Segmento 4. Transporte 4. Transporte

Roteadores Pacote/datagrama 3. Rede 3. Rede

Switches e bridges Quadro 2. Enlaçe 2. Enlaçe

Hub, Cabos e conectores Bit 1. Física 1. Física

Equipamentos de rede

Para interconectar os computadores podemos usar vários equipamentos1 – Switches e access-points: usados para fazer a conexão física das placas de rede2 – Roteadores: utilizados para encaminhar pacotes entre várias redes3 – Firewalls: usados para interligar as redes de forma segura

Endereçamento de rede

Exemplo de endereçamento de uma placa de rede sem fio

Topologia de rede

Fonte: Firewall Admin Guide R75.40

Firewall

- Usando um firewall podemos criar uma política de segurança, um conjunto de regras para proteger a rede.- Cada regra define os endereços de origem (quem inicia a comunicação), endereços de destino (qual endereço será acessado), protocolos e ação (ACCEPT, DROP, REJECT).- O firewall olha a tabela de regras de cima para baixo e aplica a primeira que se aplicar a conexão.

Tipos de firewall

1 – Filtro de pacotesNesse tipo de firewall devemos definir regras em todas as interfaces de rede do firewall. Devemos criar regras específicas para garantir o retorno dos pacotes.2 – Stateful packet inspectionUm firewall com a tecnologia stateful inspection usa uma tabela de conexões para garantir o retorno dos pacotes. A empresa Check Point patenteou essa tecnologia e a incluiu no seu produto FireWall-1 em 1994 .

Firewalls CheckPoint

Arquitetura de três níveis:

ouSmart Management

Server

SIC – Secure Internal Communication

Ferramentas: Firewall CheckPoint

Principais programas do SmartConsole:- SmartDashboard: tabela de regras de

segurança, NAT, Application & URL Filtering, Data Loss Prevention, IPSec VPN e QOS.

- SmartView Tracker: Visualização de Logs- SmartMonitor: Monitoração de status dos

firewalls- SmartUpdate: Upgrade de software e

manutenção de licenças e contratos

Exemplo: SmartDashboard

Exemplo: SmartView Tracker

Exemplo: SmartView Tracker accept

Exemplo: SmartView Tracker drop

Exemplo: SmartView Tracker admin

Antispoofing

Usando a técnica de address spoofing um computador de uma rede externa tenta se passar por uma máquina de uma rede interna modificando o IP de origem de um pacote.

Configuração de Antispoofing

NAT – Network Address Translation

Usando a técnica de NAT podemos configurar o firewall para trocar o endereço IP de origem ou de destino e até mesmo a porta de aplicação de um pacote.Essa técnica é usada para traduzir endereços privados em endereços públicos.Um firewall CheckPoint provê dois tipos de NAT: Static e Hide.

Static NAT

Static NAT faz um mapeamento de 1 para 1

Destination Source200.200.10.1 X.X.X.X

Source Destination200.200.10.1 X.X.X.X

Fonte: Firewall Admin Guide R75.40

Hide NAT

Usamos hide NAT para fazer um mapeamento de muitos para 1.Com hide NAT as portas TCP de origem são alteradas de uma forma que o firewall saiba para qual host interno ele deve enviar o pacote com a resposta.Podemos usar essa técnica para compartilhar um único endereço público com vários endereços privados.

Hide NAT cont.

200.200.10.1

200.200.10.1

200.200.10.1Port: 10972

200.200.10.1Port: 10972

Fonte: Firewall Admin Guide R75.40

NAT – automatic vs manual

Manual – o adminstrador deve criar as regras de NAT manualmenteAutomatic – é configurado no objeto do host e o SmartDashboard cria as regras necessárias

Exemplo: NAT - Automatic

Exemplo: Log NAT SmartView Tracker

CLI - fw monitor

Fonte: Manual - How to use fw monitor 10-Jul-2003

CLI - fw monitor cont.[Expert@cpmodule]# fw monitor -umonitor: getting filter (from command line)monitor: compilingmonitorfilter:Compiled OK.monitor: loadingmonitor: monitoring (control-C to stop)[00000000 - 00000000 00000000 00000000 00000000]:eth1:i[60]: 10.2.4.12 -> 10.2.254.2 (TCP) len=60 id=46124TCP: 34838 -> 80 .S.... seq=5c2282fa ack=00000000[6b770000 - 3e5c776b 00000000 020110ac 000007b6]:eth1:I[60]: 10.2.4.12 -> 172.16.1.1 (TCP) len=60 id=46124TCP: 34838 -> 80 .S.... seq=5c2282fa ack=00000000[6b770000 - 3e5c776b 00000000 020110ac 000007b6]:eth0:o[60]: 10.2.4.12 -> 172.16.1.1 (TCP) len=60 id=46124TCP: 34838 -> 80 .S.... seq=5c2282fa ack=00000000[6b770000 - 3e5c776b 00000000 020110ac 000007b6]:eth0:O[60]: 172.16.1.3 -> 172.16.1.1 (TCP) len=60 id=46124TCP: 34838 -> 80 .S.... seq=5c2282fa ack=00000000

Fonte: Manual - How to use fw monitor 10-Jul-2003

SmartView Monitor

SmartView Monitor - status

SmartView Monitor – Top Destinations

SmartView Monitor - SAM

SAM - Suspicious Activity Monitoring

CheckPoint Appliances

Power-1 Appliance 21400 Appliance IP Appliance

SO baseado em Linux SPLAT SO baseado em Linux SPLAT SO baseado em BSD IPSO

A CheckPoint oferece um novo SO chamado GAiA que baseado em Linux e traz todas as ferramentas de CLI e Web admin do IPSO

CheckPoint CLI

Por ser baseado em Linux o CheckPoint tem uma CLI muito poderosa:- Disponibiliza todos os comandos do Linux (ifconfig, netstat, iproute2, tcpdump).- Traz o clish importado do IPSO.- Tem o fw monitor (ótimo para resolver problemas de NAT)- fw ctl zdebug drop (mostra os pacotes que foram descartados sem log)

Conclusão

- Os firewalls são usados para conectar as suas redes de forma segura.- Você pode criar políticas de segurança com regras de acesso, NAT, URL filtering, IPS e muito mais.- Os firewalls com stateful packet inspection são indispensáveis para se ter uma rede segura.

Links

• www.checkpoint.com• www.parededefogo.com.br• www.silvino.net

Muito obrigado pela sua atenção!

Atenciosamente,

Thiago Silvinowww.silvino.net

Obrigado