toci08–segurança em redes de computadores módulo … · suporte a operação de rede: ......

TOCI08–Segurança em Redes de Computadores Módulo 10: Firewalls

Prof. M.Sc. Charles Christian Mierse-mail: [email protected]

mailto:[email protected]

TOCI08 Segurança em Redes de Computadores 2

FÍSICO

REDE

APLICAÇÃO

TRANSPORTE

Protocolos de Enlace e Físico

Internet Protocol (IP)

ARP RARP

Transmission ControlProtocol (TCP)

User DatagramProtocol (UDP)

Programas de AplicaçãoCMOT

DNS

FTP

SMTPASN1

Telnet

rlogin

CMOT NFSSNMP

TFTPASN1

XDR

BOOTP RFC

Pilha de Protocolo DARPA


Pilha de Protocolo DARPA (Cont.) Aplicação:

Interface de programação (API): socket’s (SSL) e NetBios Suporte a operação de rede: DNS,WINS,DHCP,BOOTP,SNMP,

RMON Serviços de usuário final: HTTP, SMTP, POP,

NNTP,TELNET,FTP,TFTP Transporte: TCP, UDP Rede:

IP – endereçamento e roteamento de pacotes na rede (R)ARP – endereço de hardware para hosts localizados na

mesma rede física ICMP – informações sobre as condições de transmissão de

datagramas na rede ou sobre erros IGMP – especificação de computadores ligados a grupos

multicast Interface

WAN:ATM, FDDI, Frame Relay e X.25 LAN:Ethernet, FastEthernet, Token Ring e FFDI Discado: PPP e SLIP


Firewall Definição:

Firewalls são componentes derivados de procedimentos que implementam uma política de segurança

Objetivam restringir ou controlar o fluxo de informação entre duas ou mais sub-redes

Colocados na fronteira entre duas ou mais redes com necessidade de segurança distintas


Firewall: finalidades

O firewall é um mecanismo desenvolvido para: Prevenir acessos não autorizados de ou para uma rede

segura Atuar como uma porta de controle entre redes externas e

internas, ou qualquer outra rede que se deseje controlar o acesso

Permitir que somente o tráfego que atenda determinados critérios passe através deles

Importante: O firewall pode proteger apenas redes cujos tráfego para

chegar as mesmas passe através dele


Para que servem os firewalls?

Controlar os serviços a serem disponibilizados Proteger uma rede de ataques externos Registrar a comunicação entre as máquinas internas e

externas Esconder máquinas internas Converter endereços IP (NAT – Network Address Translation) Cifrar (VPN – Virtual Private Network) Autenticar tráfego de dados/usuários Bloquear comunicação entre máquinas da mesma sub-rede Impedir ataques de pessoas internas Analisar contextos


Categorias de Firewalls Firewalls Pessoais:

Objetivam proteger apenas um host, normalmente uma estação de trabalho ou dispositivo móvel

Preocupam-se mais com o controle de entrada do que saída Exigem templates/modelos de pré-configurações para facilitar o

manuseio/gerência Firewalls Corporativos:

Tem por finalidade controlar e proteger redes Pode ser empregado como fronteira com a Internet Pode ser empregado para segmentar redes internas dentro da

própria instituição ou com seus parceiros Preocupação com controle do tráfego em todos os sentidos Análise extensiva dos logs gerados Administração mais complexa, exigindo conhecimentos sólidos

em redes de computadores


Tipos de Firewall

Filtro de Pacotes: Análise do tráfego de rede

Proxies: Análise do tráfego da camada de aplicação

Filtragem com estado: StateLess:

Análise de todas as camadas com alguma consistência Statefull:

Análise de todas as camadas com várias consistências


Filtro de pacotes simples

Roteador

Apresentação

Aplicação

Sessão

Transporte

Rede

Dados

Física

Dados

Física

Apresentação

Aplicação

Sessão

Transporte

Rede

Dados

Física


Filtro de pacotes simples

Cliente

Cracker

Filtro de IPServidor FTP

VulnerabilidadesToda faixa de portas TCP, UDP e ICMP abertas


Filtro de pacotes simples (Cont.)

Características: Alta performance Baixo nível de segurança Incapazes de lidar seletivamente com o protocolo UDP Incapazes de lidar com protocolos de aplicações Não protegem contra ataques de negação de serviço Permitem rastreabilidade

Utilização: Normalmente empregados em roteadores e alguns switches de

nível 3 como “peneira grossa”


Filtro de pacotes simples (Cont.)

DescartaRede_InternaInternet2

AceitaServidor_FTPInternet1

AçãoIP de DestinoIP de OrigemNo

Número: As regras possuem prioridades, normalmente as regras superiores suplantam

as inferiores IP de Origem:

Endereço do host, rede ou segmento que origina o acesso IP de Destino:

Endereço do host, rede ou segmento destino do acesso Ação:

Essencialmente três tipos (podem haver mais dependendo do firewall) : Aceita: Permite que o pacote atravesse o firewall Rejeita: Não permite que o pacote atravesse o firewall, respondendo a

origem Descarta: Não permite que o pacote atravesse o firewall, joga o pacote fora

e não responde a origem


Definição: Mecanismo de controle de acesso que atua na camada

de aplicação que pode ser empregado para o controle de tráfego/conteúdo específico a natureza do protocolo para o qual foi desenvolvido

É um serviço que atua entre um cliente interno e um cliente externo, servindo como um ponto único de acesso

Proxy


Proxy (Cont.)

Aplicações principais: Cache: economizar largura de banda através do

armazenamento de conteúdo comumente acessado Regras de Acesso: controle de acesso feito a nível de protocolo,

a fim de evitar uso não autorizado ou indevido Filtro de IP: Evitar que acessos de redes não autorizadas sejam

feitos ao serviço


Proxy (Cont.)

Apresentação

Aplicação

Sessão

Transporte

Rede

Dados

Física

Apresentação

Aplicação

Sessão

Transporte

Rede

Dados

Física

Apresentação

Aplicação

Sessão

Transporte

Rede

Dados

Física

Gateway deAplicação


Proxy (Cont.)

Cliente

Cracker

ProxyServidor FTP

Vulnerabilidadespilha ou S.O.

S.O. e toda parte baixa da pilha de

protocolos expostos


Proxy (Cont.)

Principais arquiteturas empregadas:

Transparente Tradicional


Arquitetura Proxy: Transparente


Arquitetura Proxy: Tradicional


Proxy (Cont.) Características:

Baixa performance Grau de segurança superior aos filtros de pacotes São suscetíveis a falhas do sistema operacional e pilha de

protocolos inferior que os executa ou dá suporte Para cada serviço é necessário um proxy Não protegem o computador hospedeiro Podem exigir modificações nas máquinas clientes

Utilização: Normalmente são empregados após um firewall do tipo filtro

de estados ou superior Utilizado comumente para controle de navegação e uso de

correio eletrônico


Filtragem com Estado

Características: Boa performance Bom nível de segurança Alguns podem trabalhar com protocolos de aplicação

(Statefull) Protegem contra ataques de negação de serviço Protegem a rede interna e a própria máquina onde são

executados Não permitem varreduras


Filtro de Estados Simples

Cliente

Cracker

Firewall Filtro de Estados

Servidor FTP

Vulnerabilidades do serviço de

FTP

S.O. e toda parte baixa da pilha de

protocolos escondida / protegida


Filtro de Estados simples (Cont.)

Todos

FTP

Serviço

Todos

TCP

Protocolo

DescartaInternetInternet2



Número: As regras possuem prioridades, normalmente as regras superiores

suplantam as inferiores IP de Origem / Destino:

Endereço do host, rede ou segmento de originem/destino do acesso Protocolo:

Pode ser TCP, UDP, ICMP ou Todos Serviço:

Número da porta ou faixa de portas do serviço que está sendo controlado Ação:

Além do três tipos essenciais: Log: faz o registro apenas, podendo em determinados firewalls ser uma

opção aditiva Contador: para fins de contabilidade de tráfego, também pode ser aditivo


Statefull: Protocolo TCPEstabelecimento de Conexão:

Aperto de mão triplo (Triple Handshake):

Cliente

Cliente

Cliente

Servidor

Servidor

Servidor

Desejotransmitir

Estou pronto

OK, iniciar


Filtragem com estado


Filtro de Estados Statefull

Cliente

Cracker

Firewall Filtro de Estados

Statefull

Servidor FTP

Vulnerabilidades limitadas pelos

comandos permitidos

S.O. e toda parte baixa da pilha de protocolos

escondida / protegida. Aplicação protegida pelos

comandos permitidos


Filtro de Estados Statefull (Cont.)

Todos

FTP_Proxy

Serviço

Todos

TCP

Protocolo

DescartaInternetInternet2



Serviço: Além do número da porta ou faixa de portas do serviço que está

sendo controlado, pode indicar um proxy interno ou externo que avalie o conteúdo do pacote

Ação: Além do três tipos essenciais:

Log: faz o registro apenas, podendo em determinados firewalls ser uma opção aditiva

Contador: para fins de contabilidade de tráfego, também pode ser aditivo

Outras funções que visem integração com outros softwares, como IDS


Topologia do Firewall

Dual Homed Host:


Topologia do Firewall (Cont.)

Screened Host:


Topologia do Firewall (Cont.)

Screened Subnet:


Topologia do Firewall Exemplo


Topologia do Firewall Exemplo (Cont.)

Observações: Quanto a DMZ: possui servidores de HTTP/HTTPS, SMTP/POP3s,

DNS e FTP. O servidor HTTP/HTTPS possui uma aplicação que acessa, no Servidor BD, o banco de dados através da porta TCP/2471

As estações de trabalho somente poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ e todos os serviços TCP e UDP que estão no segmento servidores

Da Internet (considerar como todas as redes externas a essa estrutura) somente poderão acessar os serviços de HTTP/HTTPS, SMTP e DNS localizados na DMZ

Os computadores do segmento Servidores poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ

Os computadores do segmento DMZ poderão acessar HTTP/HTTPS, SMTP, DNS e FTP na Internet

Demais questões não definidas, pertinentes às respostas, poderão ser atribuídas desde que justificadas e em concordância com as recomendações/normas/padrões de segurança


Topologia do Firewall : Endereçamento IP

Roteador: rot_int_externa: IP/Masc: 200.18.7.33/255.255.255.0rot_int_interna: IP/Masc: 200.19.107.254/255.255.255.248

Default Gateway: 200.18.7.254 (end. do roteador do provedor de telco)



Firewall:fw_int_ext/Masc: 200.19.107.253/255.255.255.248fw_int_dmz/Masc: 192.168.10.254/255.255.255.0fw_int_serv/Masc: 192.168.20.254/255.255.255.0fw_int_ri/Masc: 192.168.30.254/255.255.255.0

Default Gateway: rot_int_internaFirewall é responsável por prover serviço de NAT)



Segmento Servidores:rede_serv/Masc: 192.168.20.0/255.255.255.0Default Gateway: fw_int_serv



Segmento DMZ:rede_dmz/Masc: 192.168.10.0/255.255.255.0Default Gateway: fw_int_dmz

hosts:dmz_www: 192.168.10.1dmz_correio: 192.168.10.2 dmz_nomes: 192.168.10.3dmz_proxy: 192.168.10.4dmz_ftp: 192.168.10.5



Segmento Rede Interna (RI):rede_ri/Masc: 192.168.30.0/255.255.255.0 ri_faixa_DHCP: 192.168.30.100 – 192.168.30.253

Default Gateway: fw_int_rihosts:

ri_BD: 192.168.30.1ri_DHCP: 192.168.30.2 (estações recebem as informações de

rede através de serviço DHCP)Faixa de IP's feita por ri_DHCP: 192.168.30.100 – 192.168.30.253Default Gateway fornecido por ri_DHCP: fw_int_ri Máscara fornecida por ri_DHCP: 255.255.255.0Servidor de Nomes (DNS) fornecido por ri_DHCP: dmz_nomes



Internet: IP/Masc:0.0.0.0/0.0.0.0


Topologia do Firewall: Endereçamento IP

Serviços: HTTP: TCP/80 HTTPS: TCP/443 SMTP:TCP/25 POP3s: TCP/995 DNS: TCP/53 e UDP/53 FTP: TCP/21 PROXY: TCP/3128 BD: TCP/2471 ANY: Todos os serviços TCP/UDP/ICMP Todos_TCP: Todos os serviços TCP Todos_UDP: Todos os serviços UDP



Tabela de NAT, definições: Endereço criado para ident. a saída do proxy:

nat_proxy: 200.19.107.252 Endereço criado para ident. a saída dos demais servidores da rede_dmz:

nat_dmz: 200.19.107.251

Todas as demais saídas utilizam um IP de saída diferente do proxy

------------------nat_dmz

HTTP/HTTPS SMTPDNSFTP

Internet

dmz_correiodmz_nomesdmz_ftpdmz_www

N:1

Permite identificar os acessos do proxy de modo separado

------------------nat_proxy

HTTP/HTTPSSMTPDNSFTP

Internetdmz_proxy1:1

Libera DNS p/ InternetDNSdmz_nomesDNSfw_int_extInternetserviço

Libera SMTP p/ InternetSMTPdmz_correioSMTPfw_int_extInternetserviço

Libera www p/ InternetHTTP/HTTPSdmz_wwwHTTP/HTTPSfw_int_extInternetserviço

ComentárioServ_TradEnd_Trad.ServiçoDestinoOrigemNAT



Regra de fechamento explícitaDescartaANYInternetInternet8

Cumpre a observ. 4AceitaHTTP/HTTPS

SMTP, DNSrede_DMZInternet7

Cumpre a observ. 3AceitaTodos_TCP

Todos_UDPrede_servri_faixa_dhcp6

Cumpre a observ. 3AceitaHTTP/HTTPS,SMTP, POP3s, DNS, FTP

rede_DMZri_faixa_DHCP5

Cumpre a observ. 2AceitaPROXY dmz_proxyri_faixa_DHCP4

Cumpre a observ. 5AceitaHTTP/HTTPS, SMTP, DNS, FTP

rede_dmzrede_serv3

Cumpre a observ. 6AceitaHTTP/HTTPS,SMTP, DNS, FTP

Internetrede_dmz3

Evita acessos não autorizados da DMZ a rede_ri e rede_serv

RejeitaANYrede_serv

rede_rirede_dmz2

Libera acesso da aplicação ao Banco de Dados da rede_ri.

Cumpre a observ. 1AceitaBDri_BDdmz_www1

ComentárioAçãoProtocolo/ServiçoIP DestinoIP OrigemN

Regras de Acesso


Opções de Firewall

Opções de firewall:

Sistema operacionaltradicional mais

softwarede firewall

Utilitário baseado em hardware (Appliance)

Firewall-1

Aker

Cisco Pix

Aker Box

IpTables

StoneGate


CheckPoint Firewall-1


Firewall Aker


Interface de Gerenciamento

Uma organização pode possuir várias soluções de firewalls distintas. Problemas da diversidade: Várias interfaces diferentes Metodologia de funcionamento distinta Princípios de operação difícil Demora na aplicação de medidas emergenciais

Solução: Utilizar uma ferramenta de gerenciamento centralizado


Interface de Gerenciamento (Cont.)

Definição: Meio de gerenciamento facilitado de um ou mais

firewalls de modo centralizado Deve fornecer meios de aumentar a eficiência global

de gerenciamento, em especial velocidade e flexibilidade

Deve focar a atenção do administrador nos problemas e não no uso da ferramenta (depois de instalado e feita a configuração inicial)


Interface de Gerenciamento: FwBuilder


Escolha de um Firewall

Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a relação: Custo x Recursos Desejados x Flexibilidade,

Ponto essencial é a familiaridade com a plataforma operacional do firewall A maioria dos firewalls está disponível para um

conjunto reduzido de plataformas operacionais, e a sua escolha deve se restringir a um dos produtos que seja executado sobre uma plataforma com a qual os administradores da rede tenham experiência


Escolha de um Firewall (Cont.)

A existência de um firewall instalado em um sistema inseguro pode ser até mais perigosa do que a ausência do firewall na rede

Os produtos tendem a seguir a filosofia da plataforma onde são executados. Exemplo: A maioria dos firewalls para MS-Windows é

configurada através de menus e janelas, ao passo que muitos firewalls para Unix são configurados por meio de arquivos texto


Leitura Recomendada: Cert.Br:

http://www.cert.br/docs/seg-adm-redes/

Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002.

Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002.

Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000.

Norma NBR-ISO/IEC 17799. Versão 1.0

SANS: http://www.sans.org/resources/popular.php#firewall http://www.sans.org/rr/whitepapers/firewalls/815.php

http://www.cert.br/docs/seg-adm-redes/

http://www.sans.org/resources/popular.php

http://www.sans.org/rr/whitepapers/firewalls/815.php

http://www.sans.org/rr/whitepapers/firewalls/815.php

toci08–segurança em redes de computadores módulo … · suporte a operação de rede: ......

Documents