FIREWALLS

Cristina Dutra de Aguiar Ciferri

Ricardo Rodrigues Ciferri

Sônia V. A. França

cdac,rrc,svaf@di.ufpe.br

Firewalls

• Simples pontos de conexão entre duas redes não confiáveis

• Permitem que a comunicação seja monitorada e segura

• Propriedades– todo tráfego deve passar pelo firewall– somente o tráfego autorizado pode passar– o firewall propriamente dito é imune de

invasões

Internet

rede interna

FirewallFirewallsistema de firewall:• roteador• PC• sistema Unix• conjunto de hosts

baseado em: • hardware• software

Firewall

• Seguro– não é um host de propósito geral

• Ponto central para administração de serviços– correio eletrônico– ftp

• Garante política de segurança

Firewall

• Foco de decisões de segurança– mais eficiente do que espalhar decisões e

tecnologias de segurança

• Permite rastreamento– origem das conexões– quantidade de tráfego no servidor – tentativa de quebra do sistema

• Limita a exposição

FirewallNão oferece proteção contra:

• Ataques internos maliciosos

• Conexões que não passam pelo firewall

• Ameaças totalmente novas

• Vírus

Tecnologia

• Estática– permitir qualquer serviço a menos que ele seja

expressamente negado– negar qualquer serviço a menos que ele seja

expressamente permitido

• Dinâmica– permitir/negar qualquer serviço para quando e

por quanto tempo desejar

Componentes

Gateway(s)

Filtro Filtro

Internetrede

interna

• zona desmilitarizada (DMZ)• gateway + gateway interno

protege a rede interna das consequências de um gateway comprometido

protege o gateway de ataques

• também chamado de screen (screening router)

• bloqueia transmissão de certas classes de tráfego

• uma máquina• conjunto de máquinasque oferece(m) serviços através de proxy

Packet Filtering

• Funcionalidade– roteia pacotes entre hosts internos e externos de

maneira seletiva– permite ou bloqueia a passagem de certos tipos

de pacotes– reflete a política de segurança do site

• Filtragem– quando o pacote está chegando– quando o pacote está saindo

Packet Filtering

• Filtragem baseada em– endereços fonte e destino– portas fonte e destino– protocolo– flags– tipo da mensagem

• Exemplos– bloqueie todas as conexões oriundas do host X– permita apenas conexões SMTP

rede interna

Internet

screening router

Packet FilteringScreening Router

• determina se pode ou não enviar o pacote

• determina se deve ou não enviar o pacote

Como o pacote pode ser roteado?

O pacote deve ser roteado?

Router• verifica endereço de

cada pacote• escolhe melhor

maneira de enviá-lo

Como o pacote pode ser roteado?

Configuração

Processo de três passos:

• Determinar o que deve e o que não deve ser permitido– política de segurança

• Especificar formalmente os tipos de pacotes permitidos– expressões lógicas

• Reescrever as expressões de acordo com o produto

Exemplo• Passo 1

– tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0)

• Passo 2

Regra Direção Fonte Destino ACK Ação

A inbound 172.16... interna qualquer permitir

B outbound interna 172.16.... qualquer permitir

C ambas qualquer qualquer qualquer negar

Exemplo

• Passo 3– Screend

• between host 172.16.51.50 and net 192.168.10 accept;

• between host any and host any reject;

– Telebit NetBlazer• permit 172.16.51.50/32 192.168.10/24 syn0 in

• deny 0.0.0.0/0 0.0.0.0/0 syn0 in

• permit 192.168.10/24 172.16.51.50/32 syn0 out

• deny 0.0.0.0/0 0.0.0.0/0 syn0 out

Filtragem por Endereço• Características

– restringe o fluxo de pacotes baseado nos endereços fonte e destino

– não considera quais protocolos estão envolvidos

• Utilização– permite a comunicação hosts externos e hosts

internos

• Problema– endereços podem ser inventados

Internet

rede interna

FirewallFirewall

Telnet Server

Telnet Client

OUTGOING

IP fonte: cliente localIP destino: servidorserviço: TCPporta fonte: >1023 (Y)porta destino: 23 (telnet)pacotes:

• 1: sem ack• demais: com ack

Filtragem por Serviço

Outbound

Internet

rede interna

FirewallFirewall

Telnet Server

Telnet Client

INCOMING

IP fonte: servidorIP destino: cliente localserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Y)pacotes: com ack

Filtragem por Serviço

Outbound

Internet

rede interna

FirewallFirewall

Telnet Client

Telnet Server

INCOMING

IP fonte: cliente remotoIP destino: servidorserviço: TCPporta fonte: >1023 (Z)porta destino: 23 (telnet)pacotes:

• 1: sem ack• demais: com ack

Filtragem por Serviço

Inbound

Internet

rede interna

FirewallFirewall

Telnet Client

Telnet Server

OUTGOING

IP fonte: servidorIP destino: cliente remotoserviço: TCPporta fonte: 23 (telnet)porta destino: >1023 (Z)pacotes: com ack

Filtragem por Serviço

Inbound

Filtragem por ServiçoDireçãoServiço

DireçãoPacote

End.Fonte

End.Destino

TipoPacote

PortaFonte

PortaDestino

ACK

outbound outgoing interno externo TCP Y 23 a

outbound incoming externo interno TCP 23 Y Yes

inbound incoming externo interno TCP Z 23 a

inbound outgoing interno externo TCP 23 Z Yes

Regra Direção End.Fonte

End.Destino

Protocolo

PortaFonte

PortaDestino

ACK Ação

A out interno qq TCP >1023 23 qq permitir

B in qq interno TCP 23 >1023 Yes permitir

C ambas qq qq qq qq qq qq negar

Packet Filtering

• Vantagens– pode ajudar a proteger uma rede inteira– não requer conhecimento ou cooperação do

usuário– disponível em vários roteadores– baixo custo

• Desvantagens.........

Application-Level Gateway

servidorreal

clienteinterno

cliente servidor

pedidopropagação do pedido

resposta propagação da resposta

proxy possui controle total

Circuit-Level Gateway

circuit-levelgateway

servidorcliente

porta destino

porta fonte TCP

IP

Acesso a Rede

Arquitetura de Firewalls

• Solução universal ?

• Problemas– quais serviços serão disponibilizados ?– qual o nível de risco ? – qual a política de segurança ?

• Técnicas– tempo, custo e conhecimento– TELNET e SMTP packet filtering– FTP e WWW proxy

Packet Filtering Architecture

• Screening Router é colocado entre uma rede interna e a Internet

• Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ...

• Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes)

• Simples mais comum e fácil de usar em sites pequenos

• Mas ....

Packet Filtering Architecture• Problemas:

– falha compromete toda a rede interna – número de regras pode ser limitado– desempenho x número de regras– não é possível modificar serviços: permite ou

nega, mas não pode proteger operações individuais

– complexidade de configuração – tratamento de exceções– log dos pacotes que passaram

interfacede rede

interfacede rede

interfacede rede

Rede 2Rede 1 Rede 3

roteamento opcional

Dual-Homed Host ArchitectureMulti-Homed Host:

várias interfaces de rede (homes)

• Host: 2 interfaces de rede (interna e Internet)

• Função de roteamento desabilitada– pacotes não são roteados diretamente para outra

rede não permite comunicação direta entre a rede interna e a Internet

– isolamento de tráfego entre as redes

• Acessível – por hosts da rede interna – por hosts da Internet – requer alto nível de proteção

Dual-Homed Host Architecture

• Login diretamente no dual-homed host– acesso aos serviços através da interface de rede

externa (Internet)– segurança do sistema pode ser comprometida– vulnerabilidade de senhas– usuário pode habilitar serviços inseguros– dificuldade de monitoração e detecção de

ataques– baixo desempenho– oferecimento de serviços indesejáveis

Dual-Homed Host Architecture

servidorreal

clienteinterno

FTP proxy

interface interface

ILUSÃO

Internet

InternetFTP

Serviços “store-and-forward”: SMTP (mail) e NNTP (news)

mail proxy

Dual-Homed Host Architecture

Internet

screening router

rede interna

bastionhost

Screened Host Architecture

• Problemas– falha do roteador compromete segurança

oferecida pelo bastion host– ataque ao bastion host não há outra barreira

entre a Internet e a rede interna– visibilidade de tráfego interno: coleta de senhas

através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados

Internet

rede interna

rede perimetral - DMZ

screening router externo

bastionhost

screening router interno

Screened Subnet Architecture

• Visibilidade do tráfego – via bastion host apenas para a DMZ– ideal: tráfego na DMZ não deve ser confidencial– dados devem ser protegidos por criptografia

• Serviços externos– via proxy– conexão direta via packet filtering

Internet

rede interna

DMZ interna

DMZ externa

externo

interno

intermediário

WWW/FTP

Múltiplos BHsInternet

rede interna

FTP

rede perimetral - DMZ

SMTP2WWW

desempenho, redundância, separação de dados e serviçosdesempenho, redundância, separação de dados e serviços

rede interna

externo

interno

bastion host

Internet

DMZ externa

DMZ interna

quebra não permite visibilidade do tráfego

da rede interna

Produtos Comerciais• Informações técnicas de produtos de firewall

– www.access.digex.net/~bdboyle/firewall.vendor.html

• Grande variedade– SecurIT www.milkyway.com/prod.html– Borderware www.securecomputing.com– Firewall-1 www.CheckPoint.com– ... Guardian www2.ntfirewall.com/ntfirewall

• Freestone: código fonte de produto comercial– www.soscorp.com/products/Freestone.html

Firewall-1

• É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP.

• Possibilita que empresas construam suas próprias políticas de segurança.

• Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.

Firewall-1

• Características: – Filtragem segura de pacotes; – Acesso seguro a Internet;– Acesso remoto seguro; – Redes Virtuais Privadas (VPN) para criar

seguros “túneis” através de redes públicas inseguras;

– Habilidade para definir a adicionar novos protocolos e serviços;

– Auditoria e alerta.

Firewall-1

• Vantagens:

– flexibilidade; – escalabilidade; – extensibilidade; – transparência; – suporte a múltiplos

protocolos e tecnologia de rede;

– pode ser distribuído sobre múltiplas plataformas;

– requerimentos de conectividade sem causar impacto a performance da rede.

Firewall-1

• Requerimentos:

Plataforma de hardware : Sun SparcIntel executando Solaris 2.4 ou versões superiores

Sistema Operacional : SunOs 4.1.3 ou SolarisWindows 95/Windows NT

Interface Gráfica : X11R5/Open LookEspaço em Disco : 15 MbMemória : 32 MbInterface de Rede : Interface padrão de SUN workstation

Firewall-1

• Arquitetura:– Atua como um roteador seguro entre uma rede

interna e uma rede externa.

FireWall-1Rede

ExternaRede

Interna

Internet

Firewall-1

• Arquitetura:– Módulo de Controle: inclui o módulo de

gerenciamento e interface para o usuário;

– Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.

• Arquitetura:

Firewall-1

Módulo de Inspeção

Deamon

Interface gráfica do usuário

Servidor de gerenciamento

Log/Alerta

Módulo FireWall Módulo de Controle

Logs/Alerta

StatusLogs/Alerta

Comandos

Login e Status

Canal de comunicação seguro

Gateway/FireWall

Estação de gerenciamento

• Arquitetura– Módulo de Controle

• Usado para implementar a política de segurança de rede;

• Controla o módulo de filtragem de pacotes;

• Pode ser usado como um facilidade para visualizar login e controle de informação.

• Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)

Firewall-1

Firewall-1• Arquitetura

– Módulo FireWall• O módulo de inspeção é dinamicamente carregado

no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede.

• Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado.

• Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.

Firewall-1

7 Aplicação

6 Apresentação

5 Sessão

4 Transporte

3 Rede

2 Enlace

1 Física

Passar o

Pacote?

Opcional: log/Alerta

Pacote recebido

O pacote esta dentro das regras?

Mais alguma regra?

Enviar NACK

Pacote descartado

Sim

Sim

Sim

NãoNão

Não

Não

Firewall-1

7 Aplicação

6 Apresentação

5 Sessão

4 Transporte

3 Rede

2 Enlace

1 Física

Passar o Pacote?

Opcional: log/Alerta

Pacote recebido

O pacote esta dentro das regras?

Mais alguma regra?

Enviar NACK

Pacote descartado

Sim

SimNão

Não

Não

Setar a próxima

regra

Sim

Não

• Performance– Emprega diversas técnicas de otimização

• Rodando dentro do kernel do sistema operacional reduz processamento;

• otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem;

• técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.

Firewall-1

Conclusões

• Firewalls– maturidade tecnológica– política de segurança é garantida em um único

componente lógico– quanto maior o grau de segurança oferecido,

maiores os custos associados e menor a flexibilidade no oferecimento de serviços

– não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”