aula 05

FirewallJorge Ávila

FIREWALL (filtro de pacotes)•Camadas de rede e de transporte da pilha

TCP/IP

FIREWALL (filtro de pacotes)

• Filtro de pacotes são regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.


•Decisões baseadas no cabeçalho dos pacotes:▫Endereço de origem

É o endereço de IP que o pacote lista como seu emissor. Esse campo não é necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso é chamado de IP spoofing.


•Decisões baseadas no cabeçalho dos pacotes:▫Endereço de destino

É o endereço de IP para onde o pacote está sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e não o nome do DNS ( Domain Name System), tais como server3.jabbajoe.com.


•Decisões baseadas no cabeçalho dos pacotes:▫Porta de origem/Porta de destino

O numero da porta indica que tipo de serviço o pacote é destinado. Alguns tipos de ICMP são mensagens muito úteis, porém outros são muito perigosas e não pode ser permitido a sua passagem pelo firewall.


•Verificação do sentido do pacote – redeinterna ou externa – tem relação direta com a detecção de ataques de IP Spoofing.

FIREWALL

• IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

IP spoofing

•Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote).

IP spoofing

•Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

FIREWALL

•Desvantagens:▫Difícil de gerenciar em ambientes

complexos▫ Dificuldade de filtrar serviços que utilizam

portas dinâmicas ou mais de um canal de comunicação, como FTP e RPC

FIREWALL

•Desvantagens (cont.):▫Deixa “brechas” permanentes abertas no

perímetro da rede Ex:

FIREWALL

•Vantagens:▫Alto desempenho▫Barato, simples e flexível▫Transparente para o usuário

Firewall (Filtro de pacotes baseados em estados)•Também conhecidos como Firewalls

dinâmicos ou Stateful Packet Filter• Trabalha na camada de rede e transporte• Toma decisões de filtragem com base em:

▫ Informações dos cabeçalhos dos pacotes▫ Uma tabela de estados, que guarda o

estados de todas as conexões▫ Verifica o primeiro pacote de cada conexão –

os demais passam pela sessão estabelecida, o que resulta em um melhor desempenho

Firewall (Filtro de pacotes baseados em estados)•Caso da “brecha” deixada pelo filtro de

pacotes simples

O retorno é permitido com a verificação dos pacotes de acordo com atabela de estados do Firewall.

Firewall (Filtro de pacotes baseados em estados)•Timeout de conexões x

Ataques de SYN flooding▫ Adaptação do timeout

para evitar ataques de negação de serviço (encher a tabela de estados)

Firewall (Filtro de pacotes baseados em estados)•Vantagens

▫Aberturas apenas temporárias do perímetro da rede (conexões de retorno)

▫Alto desempenho

Firewall (Filtro de pacotes baseados em estados)•Desvantagens

▫Maior consumo de recursos de memória da máquina do Firewall (tabela de estados)

▫Problemas de limitação/adequação do tamanho da tabela de estados para redes com grande quantidade de conexões

Arquitetura de um Firewall

•Dual-homed host

• Zona Desmilitarizada (DMZ)

• Bastion Host

• Bastion Host + DMZ

Arquitetura de um Firewall

•Dual-homed host▫É um host que tem,

no mínimo,duas interfaces de rede. Cada uma se comunica com a rede correspondente na qual está conectada (no caso, a Internet e a rede interna).

Dual-homed host

•Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada.

Dual-homed host

•Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro do firewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Serviços para os usuários são providos de duas formas: através deproxy servers ou habilitando o logon no dual-homed host.

Zona Desmilitarizada (DMZ)

• Também conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.

Zona Desmilitarizada (DMZ)

•A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local.

Bastion Host + DMZ•Bastion host é qualquer máquina configurada

para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.

Bastion Host• Um bastion host deve ter uma estrutura simples,

de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP e servidores SMTP.

• Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.

Bastion Host + DMZ

•Criação de uma zona desmilitarizada que hospeda o Bastion host

• Maior segurança no caso do comprometimento do Bastion Host

Avaliação de um Firewall

•Fabricante / Fornecedor• Suporte técnico• Tempo para entrar em funcionamento• Logs (auditoria)• Gerenciamento - facilidade de

manutenção• Desempenho• Capacitação do pessoal

Teste Firewall

•Tentar passar pelo Firewall para validar o conjunto de regras

• Validação da Política de Segurança• Identificação de erros comuns• Devem ser realizados com uma

determinada frequência• Quem deve fazer o teste?

▫Própria empresa, hackers, fornecedores, empresas especializadas – cuidado com a questão da ética!

Problemas relacionados

•Firewalls mal configurados•Implementação incorreta da política de

segurança•Gerenciamento falho – controle de

mudanças▫Usuários requisitando novos serviços

(precisam ou querem?)▫ Ignorar arquivos de logs▫ Drible da segurança (conexões extras, etc)

• Falta de atualizações

Exercicio•Qual a importância da segmentação entre as

redes de servidores públicos e a rede local?• Qual o papel do Firewall como parte da

infraestrutura de segurança?• Cite exemplos onde a segmentação de rede

deve ser aplicada para uma maior proteção dos ambientes corporativos.

• Qual a importância do controle de mudanças no gerenciamento de sistemas de Firewall?

aula 05

Documents