Firewall de Rede: Firewall de Rede:

Histórico e AplicaçõesHistórico e Aplicações

Prof. Eduardo Maroñas MonksProf. Eduardo Maroñas Monks

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 22

SumárioSumário

ApresentaçãoApresentação

ConceitoConceito

HistóricoHistórico

Protocolos de Rede Protocolos de Rede

Tipos de FirewallsTipos de Firewalls

Projeto de FirewallProjeto de Firewall

AplicaçõesAplicações

Estudos de CasoEstudos de Caso

ReferênciasReferências

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 33

ApresentaçãApresentaçãoo

Administrador de Redes – UCPELAdministrador de Redes – UCPEL

Coordenador e professor do curso Coordenador e professor do curso Superior em Tecnologia de Redes de Superior em Tecnologia de Redes de Computadores (Computadores (Faculdade SENAC Faculdade SENAC PelotasPelotas))

Mestre em Ciência da Computação na Mestre em Ciência da Computação na área de Redes (UFRGS)área de Redes (UFRGS)

Certificações: Cisco CCAI, CCNA e Certificações: Cisco CCAI, CCNA e LPIC1 LPIC1

ConceitoConceito

Segundo os autores, Segundo os autores, Cheswick e Bellovin, Cheswick e Bellovin, um um firewallfirewall é uma coleção de componentes é uma coleção de componentes ou um sistema localizado entre duas redes e ou um sistema localizado entre duas redes e que possui as seguintes propriedades:que possui as seguintes propriedades:

Todo o tráfego entrante e sainte, Todo o tráfego entrante e sainte, obrigatoriamente, deverá passar pelo obrigatoriamente, deverá passar pelo firewall firewall

Somente tráfego autorizado de acordo Somente tráfego autorizado de acordo com a política de segurança local deverá com a política de segurança local deverá ter permissão de passar pelo firewallter permissão de passar pelo firewall

O próprio firewall deve ser imune a O próprio firewall deve ser imune a invasõesinvasões

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 44

O objetivo de um firewall O objetivo de um firewall é previnir que usuários é previnir que usuários não-autorizados acessem não-autorizados acessem recursos na rede interna recursos na rede interna e que acessem recursos e que acessem recursos externos indesejadosexternos indesejados

HistóricoHistórico 1987-1988 – É publicado um artigo pela empresa Digital 1987-1988 – É publicado um artigo pela empresa Digital

Equipament Corporation (DEC) sobre um modelo de Equipament Corporation (DEC) sobre um modelo de filtragem de pacotes (filtragem de pacotes (statelessstateless))

1989-1990 – Começam a aparecer as primeiras tentativas 1989-1990 – Começam a aparecer as primeiras tentativas de firewall de firewall statefulstateful

1991 – O primeiro firewall comercial DEC SEAL, baseado 1991 – O primeiro firewall comercial DEC SEAL, baseado em proxies de aplicaçõesem proxies de aplicações

1992 – Lançado o firewall comercial da empresa 1992 – Lançado o firewall comercial da empresa CheckPoint, o Firewall-1CheckPoint, o Firewall-1

1993 – FreeBSD 1993 – FreeBSD ipfilteripfilter

1994 – FreeBSD 1994 – FreeBSD ipfwipfw, avanços em relação ao ipfilter, avanços em relação ao ipfilter

1995 - Linux 1995 - Linux ipfwadmipfwadm, baseado no ipfw do FreeBSD, no , baseado no ipfw do FreeBSD, no Kernel 1.2.1 do LinuxKernel 1.2.1 do Linux

1997 – Linux 1997 – Linux ipchainsipchains, evolução do ipfwadm, evolução do ipfwadm

1998 – Linux 1998 – Linux iptables (NetFilter)iptables (NetFilter), evolução do ipchains , evolução do ipchains com recursos de statefullcom recursos de statefull

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 55

Tipos de FirewallTipos de Firewall

Stateless (Packet Filter)Stateless (Packet Filter)

Filtragem de pacotes, sem analisar o Filtragem de pacotes, sem analisar o estado da conexãoestado da conexão

StatefulStateful

Filtragem de pacotes, analisando o estado Filtragem de pacotes, analisando o estado da conexão (TCP e UDP)da conexão (TCP e UDP)

Proxy de aplicaçãoProxy de aplicação

Filtragem de acordo com o protocolo da Filtragem de acordo com o protocolo da camada de aplicaçãocamada de aplicação

Firewall de aplicaçãoFirewall de aplicação

Filtragem somente pelo endereço IP de Filtragem somente pelo endereço IP de origem, mais simples que os outros tiposorigem, mais simples que os outros tipos

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 66

Protocolos de RedeProtocolos de Rede

O firewall deverá inspecionar os pacotes de O firewall deverá inspecionar os pacotes de acordo com as regras e políticas configuradasacordo com as regras e políticas configuradas

Os cabeçalhos dos pacotes da camada de Os cabeçalhos dos pacotes da camada de rede e de transporte são normalmente rede e de transporte são normalmente inspecionadosinspecionados

Endereços IP de origem e destinoEndereços IP de origem e destino

Protocolos da camada de rede: ICMP, IGRP, Protocolos da camada de rede: ICMP, IGRP, ......

Protocolos da camada de transporte: TCP Protocolos da camada de transporte: TCP e UDPe UDP

Portas de comunicação de origem e Portas de comunicação de origem e destinodestino

Flags do protocolo TCP (Flags do protocolo TCP (statefulstateful))Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 77

Protocolos de RedeProtocolos de Rede

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 88

Protocolo IP Protocolo IP

Protocolos de RedeProtocolos de Rede

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 99

Protocolo ICMPProtocolo ICMP

Protocolos de RedeProtocolos de Rede

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1010

Protocolo UDPProtocolo UDP

Protocolos de RedeProtocolos de Rede

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1111

Protocolo TCPProtocolo TCP

Projeto de FirewallProjeto de Firewall

Política de rPolítica de regrasegras

O que não é expressamente O que não é expressamente permitidopermitido é é proibidoproibido

O que não é expressamente O que não é expressamente proibidoproibido é é permitidopermitido

HíbridoHíbrido

ZoneamentoZoneamento

Rede interna Rede interna

Rede externaRede externa

DMZ DMZ (Demilitarized Zone)(Demilitarized Zone)

Tipo de firewallTipo de firewall

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1212

AplicaçõesAplicações

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1313

Microsoft Windows XPMicrosoft Windows XP

Personal FirewallPersonal Firewall

ZoneAlarmZoneAlarm

Microsoft Windows 7Microsoft Windows 7

Modem/Router ADSLModem/Router ADSL

AplicaçõesAplicações

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1414

Linux Linux

Kernel 2.0 (ipfwadm)Kernel 2.0 (ipfwadm)

Kernel 2.2 (ipchains)Kernel 2.2 (ipchains)

Kernel 2.4 e 2.6 (iptables)Kernel 2.4 e 2.6 (iptables)

FreeBSDFreeBSD

IPFIPF

IPFWIPFW

PF PF

Pfsense (Pfsense (http://www.pfsense.org/))

distribuição baseada no FreeBSDdistribuição baseada no FreeBSD

configuração pelo navegadorconfiguração pelo navegador

Disponível em LiveCD (~60MB)Disponível em LiveCD (~60MB)

AplicaçõesAplicações

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1515

ComparativoComparativo

Fonte: Fonte: http://en.wikipedia.org/wiki/Comparison_of_firewalls

Estudo de CasoEstudo de Caso

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1616

Desempenho de rede com firewallDesempenho de rede com firewall

Qual o impacto da filtragem de pacotes e do Qual o impacto da filtragem de pacotes e do NAT no desempenho das aplicações?NAT no desempenho das aplicações?

Cenários de testesCenários de testes

Firewall: iptables (Ubuntu)Firewall: iptables (Ubuntu)

Ferramenta: Jperf (gerador de tráfego)Ferramenta: Jperf (gerador de tráfego)

Interfaces a 10 Mbit/s Interfaces a 10 Mbit/s (só tinha estas em (só tinha estas em casa!)casa!)

Firewall/Roteador: Pentium III, 128 MB de Firewall/Roteador: Pentium III, 128 MB de RAMRAM

Estudo de CasoEstudo de Caso

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1717

Desempenho de rede com firewallDesempenho de rede com firewall

MetodologiaMetodologia

Gerar tráfego entre os hosts e variar as Gerar tráfego entre os hosts e variar as configurações do firewallconfigurações do firewall

ResultadosResultados

ConclusãoConclusão

O número de regras do firewall implica O número de regras do firewall implica diretamente no desempenho das diretamente no desempenho das aplicaçõesaplicações

Estudo de CasoEstudo de Caso

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1818

Firewall Builder (Firewall Builder (http://www.fwbuilder.org/))

Gerenciador de firewallsGerenciador de firewalls

Baseado em objetos (interfaces, redes, Baseado em objetos (interfaces, redes, hosts,...) hosts,...)

Gera regras para: Cisco ACLs, iptables, Gera regras para: Cisco ACLs, iptables, ipfw, ipf,...ipfw, ipf,...

Disponível para Linux, Windows e Mac OS XDisponível para Linux, Windows e Mac OS X

Código-fonte aberto Código-fonte aberto

Versão paga para Windows e Mac OS XVersão paga para Windows e Mac OS X

Demonstração

ConclusãoConclusão

Os firewalls são um importante Os firewalls são um importante recurso para aumentar a segurança recurso para aumentar a segurança dos hostsdos hosts

Não é o único recurso de Não é o único recurso de segurançasegurança

Existem diversos tipos e Existem diversos tipos e implementações, com ótimas implementações, com ótimas alternativas em código-fonte alternativas em código-fonte abertoaberto

Deve haver cuidado com o uso de Deve haver cuidado com o uso de firewalls em relação ao firewalls em relação ao desempenho da rededesempenho da rede

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 1919

ReferênciasReferências

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 2020

LivrosLivrosZWICKY, E.; COOPER; Simon, CHAPMAN, D. B. Construindo ZWICKY, E.; COOPER; Simon, CHAPMAN, D. B. Construindo Firewalls para a Internet. 2ª edição. Campus, 2001 Firewalls para a Internet. 2ª edição. Campus, 2001

NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals. Cisco NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals. Cisco Press, 2006.Press, 2006.

GHEORGHE, L. Designing and Implementing Linux GHEORGHE, L. Designing and Implementing Linux Firewalls and QoS. Packt Publishing, 2006.Firewalls and QoS. Packt Publishing, 2006.

STALLINGS, William. Criptografia e segurança de redes. 4ª STALLINGS, William. Criptografia e segurança de redes. 4ª edição. Pearson, 2008.edição. Pearson, 2008.

CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet Security: Repelling the Wily Hacker. Online, disponível em Security: Repelling the Wily Hacker. Online, disponível em http://www.wilyhacker.com/1e/

ReferênciasReferências

SitesSites Documentação do Iptables Documentação do Iptables http://www.netfilter.org/documentation/index.html#documentation-http://www.netfilter.org/documentation/index.html#documentation-howtohowto Histórico sobre firewallsHistórico sobre firewalls

http://www.cerias.purdue.edu/about/history/coast_resources/firewalls/http://www.cerias.purdue.edu/about/history/coast_resources/firewalls/Firewall BuilderFirewall Builder

http://www.fwbuilder.org/http://www.fwbuilder.org/Evolução dos firewalls comerciaisEvolução dos firewalls comerciais

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htmhttp://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm

IPFW para WindowsIPFW para Windowshttp://wipfw.sourceforge.net/http://wipfw.sourceforge.net/

M0n0wallM0n0wallhttp://m0n0.ch/wall/http://m0n0.ch/wall/

PfSensePfSensehttp://www.pfsense.org/

IPCOPIPCOPhttp://www.ipcop.org/

Comparativo entre firewallsComparativo entre firewallshttp://en.wikipedia.org/wiki/Comparison_of_firewalls

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 2121

PerguntasPerguntas

Administração de Redes: Enfoque na Segurança da InformaçãoAdministração de Redes: Enfoque na Segurança da Informação.. 2222

FACULDADE DE TECNOLOGIA SENAC PELOTASFACULDADE DE TECNOLOGIA SENAC PELOTASRua Gonçalves Chaves, 602Rua Gonçalves Chaves, 602Pelotas - RSPelotas - RS(53) 3225-6918(53) 3225-6918fatecpelotas@senacrs.com.brfatecpelotas@senacrs.com.br

Contato: Eduardo Monks (Contato: Eduardo Monks (emmonks@gmail.com))

FACULDADE DE TECNOLOGIA SENAC PELOTASFACULDADE DE TECNOLOGIA SENAC PELOTASRua Gonçalves Chaves, 602Rua Gonçalves Chaves, 602Pelotas - RSPelotas - RS(53) 3225-6918(53) 3225-6918fatecpelotas@senacrs.com.brfatecpelotas@senacrs.com.br

Contato: Eduardo Monks (Contato: Eduardo Monks (emmonks@gmail.com))