CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS · Estes mecanismos de segurança são baseados em hardware e software e seguem a política de segurança estabelecida pela ... combinação

<<seu nome aqui!>>

Universidade Federal de Ouro PretoDECEA / João Monlevade

Firewall

Profa. Msc. Helen de Cássia S. da Costa LimaUniversidade Federal de Ouro Preto

CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS

Definição

● Em redes de computadores, firewalls são barreiras interpostas entre a rede privada e a rede externa, com a finalidade de evitar intrusos (ataques)

● Estes mecanismos de segurança são baseados em hardware e software e seguem a política de segurança estabelecida pela empresa

Definição

● “É um ponto entre duas ou mais redes, no qual circula todo o tráfego. A partir desse único ponto é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando sua auditoria”

● “Trata-se de um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre um conjunto de redes”

Definição

O Sistema Firewall

● É um mecanismo de segurança

● Consiste em uma máquina interceptando todo o tráfego de entrada e saída da rede

● Pode ser configurado para filtrar acesso da Internet para a rede interna e vice-versa

– De acordo com um conjunto de regras

● Controla quais dados saem e entram na sua rede

● Quando bem configurado é difícil de quebrar

O que é um Firewall?

● Logicamente é um separador, analisador ou filtro de pacotes

● Fisicamente pode ser um roteador, um computador ou uma combinação de roteadores e computadores com o software apropriado

● Pode ser comparado com um fosso de um castelo, e como um fosso, não é invulnerável

● Pode trabalhar em conjunto com um Intrusion Detection System (IDS)

FirewallFunções

● O que um firewall faz?

– Serve como foco das decisões de segurança

– Reforça a política de segurança

– Registra a atividade de Internet com eficiência

– Limita a exposição

● O que um firewall não faz?

– Não protege contra atacantes internos

– Não protege contra conexões que não passam através dele

– Não protege contra novas vulnerabilidades

– Não protege completamente contra vírus

– Não se auto configura corretamente

FirewallFuncionalidades

● Componentes clássicos:

– Filtros

– Proxies

– Bastion hosts

– Zonas desmilitarizadas (DMZ)

● Outros componentes:

– Network Address Translation (NAT)

– Rede Privada Virtual (VPN)


Filtros

● Realizam o roteamento entre os pacotes de maneira seletiva

● Aceitam / Descartam pacotes por meio da análise das informações de seus cabeçalhos

● Atua na camada de rede e de transporte


Proxies

● Sistemas que atuam como gateways (intermediários) entre duas redes, permitindo as requisições internas dos usuários e as respostas à essas requisições (de acordo com a política de segurança definida)

● Pode realizar uma filtragem mais apurada dos pacotes por atuar na camada de aplicação


Bastion Hosts

● Trata-se de equipamentos em que são instalados os serviços a serem oferecidos para a Internet

● Estão em contato direto com conexões externas

● Devem ser muito bem protegidos (pontos críticos)


Zonas desmilitarizadas - DMZ

● Também chamada de “rede de perímetro” é uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa

● Essa segmentação é feita para que caso um equipamento dessa rede seja comprometido, a rede interna continue intacta e segura


NATs – (Network Address Translation)

● Foi criado com a idéia de tratar escassez de endereços IP em redes (internas) de grande porte

● É uma técnica que consiste em reescrever os endereços IP (reservados) de origem para IP válido e roteável quando a rede externa é acessada

● Pode esconder os endereços dos equipamentos da rede interna (esconde sua topologia)


VPNs – Redes Privadas Virtuais

● Foi criada inicialmente para que redes com determinado protocolo pudessem se comunicar através de outras redes

● Atualmente utiliza conceitos de criptografia para manter o sigilo dos dados (garante também integridade e autenticação)

FirewallTecnologiasFiltros de Pacotes

● Funciona na camada de rede e de transporte TCP/IP, realizando as decisões de filtragem com base nas informações do cabeçalho de pacotes

– IP: endereço IP de origem e destino, flags

– UDP: porta origem e destino

– TCP: porta de origem e destino, flags TCP: SYN, SYN-ACK, ACK, (usados para observar sentido das conexões, por exemplo)

● Exemplo: permissão de usuários internos a websites



● Sequência de criação de regras

– A sequência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista


● Vantagens

– Baixo overhead / alto desempenho da rede

– Barato, simples e flexível

● Maioria do roteadores têm a capacidade de filtrar pacotes

– Transparente para o usuário

● Desvantagens

– Permite conexão direta para hosts internos de clientes externos (IP spoofing)

– Dificuldade de filtrar serviços que utilizam portas dinâmicas

– Deixa brechas

– Difícil de gerenciar em ambientes complexos

FirewallTecnologiasFiltro de pacotes baseado em estados

● Filtro de pacotes dinâmicos ou baseado em estados, decisões de filtragem usando

– Informações dos cabeçalhos dos pacotes

– Tabela de estados, que guarda os estados de todas as conexões

● O firewall trabalha verificando somente o primeiro pacote de cada conexão

● Se este pacote é aceito, os demais pacotes são filtrados de acordo com as informações desta conexão na tabela de estados





● Vantagens

– Baixo overhead/alto desempenho da rede (melhor do que sem estados)

– Aceita quase todos os tipos de serviços

– A filtragem é transparente

– Melhora proteção contra ataques que utilizam portas abertas (backdoor)

● Desvantagens

– Permite conexão direta para hosts internos a partir de redes externas

– Não oferece autenticação de usuário

FirewallTecnologiasProxy

FirewallTecnologias

Proxy

● Usuário se conecta a uma porta TCP no firewall, que então abre outra conexão no mundo exterior

● Faz com que o tráfego pareça ter origem no proxy, mascarando o endereço do host interno, garantindo maior segurança da rede interna

● Exemplo: Squid (www.squid-cache.org) → proxy HTTP

● Na camada de transporte: é apenas um retransmissor, sem realizar a verificação de serviços

FirewallTecnologias

Proxy

● Vantagens:

– Não permite conexões diretas entre hosts internos e externos

– Aceita autenticação de usuário

– Analisa comandos da aplicação no payload dos pacotes de dados

– Permite criar logs do tráfego

● Desvantagens:

– Escalabilidade, pois requer um proxy diferente para cada aplicação

– Não aceita todos os serviços

– Requer que os clientes internos saibam da sua existência (está mudando com o uso de proxy transparente)

FirewallTecnologias

Proxy Transparente

● Servidor proxy modificado, que exige mudanças na camada de aplicação e no núcleo do firewall

● Redireciona as sessões que passam pelo firewall para um servidor proxy local

● Isso é transparente para o usuário

– Não necessita configurar aplicativos

– Squid pode ser usado como proxy transparente

FirewallTecnologias

Firewalls híbridos

● Misturam elementos de filtros de pacotes, pacotes baseado em estados e proxies para cada serviço específico

● Utiliza estes mecanismos de segurança em paralelo

● Atualmente, a maioria dos firewalls comerciais é híbrida

● Ex: telnet é manipulado por filtro de pacotes e FTP pelo proxy (filtragem no nível da aplicação)

Firewalls individuais

● Atua na segurança do host individual e não da rede

● A conexão na rede interna cada vez mais é feita através de laptops e acessos remotos por equipamentos na cada do usuário, usando VPNs. Isso faz com que esses equipamentos necessitem de uma proteção adequada

FirewallArquiteturas

● Devem ser definidas de acordo com a necessidade da organização

● Arquiteturas clássicas:

– Dual-homed host – Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes

– Screened host – Formada por um filtro de pacotes e um bastion host. Se o bastion host for comprometido, o invasor já estará dentro da rede interna

– Screened subnet – Aumenta a segurança ao adicionar uma DMZ (zona desmilitarizada). O bastion host fica na DMZ, o que evita que um ataque ao bastion host resulte na utilização de um sniffer para a captura de pacotes de usuários internos

● Firewall cooperativo


● Dual-homed host


● Dual-homed host

● Vantagens:

– Provê um alto grau de controle, pois além de filtrar os pacotes indesejados, possibilita que o administrador rejeite conecções que pedem algum tipo de serviço especial, mas que não têm a permissão necessária.

– Facilitam o monitoramento das atividades dos usuários e é relativamente fácil de configurar e manter, além de ser relativamente barato

● Desvantagens:

– A segurança de toda rede fica dependente de uma única máquina


● Screened host

FirewallArquiteturas● Screened host

● Vantagens:

– Esta configuração é bastante segura, já que oferece dois níveis de proteção (tanto na camada de rede com o screening router quanto na camada de aplicação com o bastion host)

– É relativamente fácil de configurar e de dar manutenção

● Desvantagens:

– As regras do screening router devem ser bem configuradas, pois qualquer erro pode ocasionar o envio de pacotes diretamente para a rede interna, "furando"o esquema de proteção

– Uníco ponto de falha

– Custo deste tipo de firewall é mais alto


● Screened subnet


● Screened subnet

● Porquê a rede DMZ isola ainda mais a rede interna da rede externa?

– Em muitas configuraçoes de rede, é possível que qualquer máquina da rede enxergar todo o tráfego desta

– Com o uso de sniffers, pode-se pegar as senhas de usuários via sessões FTP, por exemplo

– Caso um hacker conseguisse invadir o bastion host e instalasse um sniffers nele, ele conseguiria apenas "espiar" dados que vão de ou para o bastion host para a Internet, e não conseguirá observar o tráfego interno


● Screened subnet

● Vantagens:

– Nível de segurança muito maior

● Desvantagens:

– A complexidade deste sistema é alta e a sua configuração e manutenção da subnet não é tão simples como a das firewalls anteriores

– O acesso a rede é retardado porque o tráfego deve passar pela subrede

– Custo deste tipo de firewall é bem elevado


Firewall Cooperativo

● Arquitetura em que são inseridos novos componentes:

– Redes privadas virtuais – VPNs

– Sistemas de detecção de intrusão (IDS)

– Infra-estrutura de chave pública (ICP)

● Usuários internos tratados como usuários externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos)


● Firewall Cooperativo


Firewall Cooperativo

● Cria uma divisão em três partes das localizações de recursos:

– Recursos públicos disponibilizados para o acesso via internet: localizado na DMZ 1

– Recursos privados disponibilizados para acesso via internet: localizado na DMZ 2

– Recursos internos acessados via VPN: localizado na rede interna

FirewallPrática: Iptables

● Firewall utilizado para fazer filtros de pacotes no Linux

● Qualquer distribuição Linux com iptables instalado pode ser utilizado

● Nornalmente, já vem instalado na maioria das distribuições

● Não precisa de nada além de linhas de comando e root para utilizar


● Projeto Netfilter (http://www.netfilter.org/) com iptables no Linux

● O filtro de pacotes é o componente mais conhecido do Netfilter

● Há outras funções:

– Tradução de endereços (NAT)

– Inspeção de estado

– Enfileiramento de pacotes

● Iptables é a interface do Netfilter que permite ao administrador do sistema configurar as tabelas, cadeias e regras de filtragem


JUMP TO: Iptables_Theo

Bibliografia

● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 7.

● Vasconcelos, L. E. G. Notas de aula. Segurança da Informação. FATEC Guaratinguetá, 2013

● Kleinschmidt J. H. Notas de aula. Segurança da Informação. Universidade do ABC, 2011

Documents

CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS · Estes mecanismos de segurança são baseados em hardware e software e seguem a política de segurança estabelecida pela ... combinação