Upload
nguyenlien
View
213
Download
0
Embed Size (px)
Citation preview
<<seu nome aqui!>>
Universidade Federal de Ouro PretoDECEA / João Monlevade
Firewall
Profa. Msc. Helen de Cássia S. da Costa LimaUniversidade Federal de Ouro Preto
CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS
Definição
● Em redes de computadores, firewalls são barreiras interpostas entre a rede privada e a rede externa, com a finalidade de evitar intrusos (ataques)
● Estes mecanismos de segurança são baseados em hardware e software e seguem a política de segurança estabelecida pela empresa
Definição
● “É um ponto entre duas ou mais redes, no qual circula todo o tráfego. A partir desse único ponto é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando sua auditoria”
● “Trata-se de um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre um conjunto de redes”
O Sistema Firewall
● É um mecanismo de segurança
● Consiste em uma máquina interceptando todo o tráfego de entrada e saída da rede
● Pode ser configurado para filtrar acesso da Internet para a rede interna e vice-versa
– De acordo com um conjunto de regras
● Controla quais dados saem e entram na sua rede
● Quando bem configurado é difícil de quebrar
O que é um Firewall?
● Logicamente é um separador, analisador ou filtro de pacotes
● Fisicamente pode ser um roteador, um computador ou uma combinação de roteadores e computadores com o software apropriado
● Pode ser comparado com um fosso de um castelo, e como um fosso, não é invulnerável
● Pode trabalhar em conjunto com um Intrusion Detection System (IDS)
FirewallFunções
● O que um firewall faz?
– Serve como foco das decisões de segurança
– Reforça a política de segurança
– Registra a atividade de Internet com eficiência
– Limita a exposição
● O que um firewall não faz?
– Não protege contra atacantes internos
– Não protege contra conexões que não passam através dele
– Não protege contra novas vulnerabilidades
– Não protege completamente contra vírus
– Não se auto configura corretamente
FirewallFuncionalidades
● Componentes clássicos:
– Filtros
– Proxies
– Bastion hosts
– Zonas desmilitarizadas (DMZ)
● Outros componentes:
– Network Address Translation (NAT)
– Rede Privada Virtual (VPN)
FirewallFuncionalidades
Filtros
● Realizam o roteamento entre os pacotes de maneira seletiva
● Aceitam / Descartam pacotes por meio da análise das informações de seus cabeçalhos
● Atua na camada de rede e de transporte
FirewallFuncionalidades
Proxies
● Sistemas que atuam como gateways (intermediários) entre duas redes, permitindo as requisições internas dos usuários e as respostas à essas requisições (de acordo com a política de segurança definida)
● Pode realizar uma filtragem mais apurada dos pacotes por atuar na camada de aplicação
FirewallFuncionalidades
Bastion Hosts
● Trata-se de equipamentos em que são instalados os serviços a serem oferecidos para a Internet
● Estão em contato direto com conexões externas
● Devem ser muito bem protegidos (pontos críticos)
FirewallFuncionalidades
Zonas desmilitarizadas - DMZ
● Também chamada de “rede de perímetro” é uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa
● Essa segmentação é feita para que caso um equipamento dessa rede seja comprometido, a rede interna continue intacta e segura
FirewallFuncionalidades
NATs – (Network Address Translation)
● Foi criado com a idéia de tratar escassez de endereços IP em redes (internas) de grande porte
● É uma técnica que consiste em reescrever os endereços IP (reservados) de origem para IP válido e roteável quando a rede externa é acessada
● Pode esconder os endereços dos equipamentos da rede interna (esconde sua topologia)
FirewallFuncionalidades
VPNs – Redes Privadas Virtuais
● Foi criada inicialmente para que redes com determinado protocolo pudessem se comunicar através de outras redes
● Atualmente utiliza conceitos de criptografia para manter o sigilo dos dados (garante também integridade e autenticação)
FirewallTecnologiasFiltros de Pacotes
● Funciona na camada de rede e de transporte TCP/IP, realizando as decisões de filtragem com base nas informações do cabeçalho de pacotes
– IP: endereço IP de origem e destino, flags
– UDP: porta origem e destino
– TCP: porta de origem e destino, flags TCP: SYN, SYN-ACK, ACK, (usados para observar sentido das conexões, por exemplo)
● Exemplo: permissão de usuários internos a websites
FirewallTecnologiasFiltros de Pacotes
● Sequência de criação de regras
– A sequência na qual as regras são aplicadas pode alterar completamente o resultado da política de segurança. Por exemplo, as regras de aceite ou negação incondicional devem ser sempre as últimas regras da lista
FirewallTecnologiasFiltros de Pacotes
● Vantagens
– Baixo overhead / alto desempenho da rede
– Barato, simples e flexível
● Maioria do roteadores têm a capacidade de filtrar pacotes
– Transparente para o usuário
● Desvantagens
– Permite conexão direta para hosts internos de clientes externos (IP spoofing)
– Dificuldade de filtrar serviços que utilizam portas dinâmicas
– Deixa brechas
– Difícil de gerenciar em ambientes complexos
FirewallTecnologiasFiltro de pacotes baseado em estados
● Filtro de pacotes dinâmicos ou baseado em estados, decisões de filtragem usando
– Informações dos cabeçalhos dos pacotes
– Tabela de estados, que guarda os estados de todas as conexões
● O firewall trabalha verificando somente o primeiro pacote de cada conexão
● Se este pacote é aceito, os demais pacotes são filtrados de acordo com as informações desta conexão na tabela de estados
FirewallTecnologiasFiltro de pacotes baseado em estados
● Vantagens
– Baixo overhead/alto desempenho da rede (melhor do que sem estados)
– Aceita quase todos os tipos de serviços
– A filtragem é transparente
– Melhora proteção contra ataques que utilizam portas abertas (backdoor)
● Desvantagens
– Permite conexão direta para hosts internos a partir de redes externas
– Não oferece autenticação de usuário
FirewallTecnologias
Proxy
● Usuário se conecta a uma porta TCP no firewall, que então abre outra conexão no mundo exterior
● Faz com que o tráfego pareça ter origem no proxy, mascarando o endereço do host interno, garantindo maior segurança da rede interna
● Exemplo: Squid (www.squid-cache.org) → proxy HTTP
● Na camada de transporte: é apenas um retransmissor, sem realizar a verificação de serviços
FirewallTecnologias
Proxy
● Vantagens:
– Não permite conexões diretas entre hosts internos e externos
– Aceita autenticação de usuário
– Analisa comandos da aplicação no payload dos pacotes de dados
– Permite criar logs do tráfego
● Desvantagens:
– Escalabilidade, pois requer um proxy diferente para cada aplicação
– Não aceita todos os serviços
– Requer que os clientes internos saibam da sua existência (está mudando com o uso de proxy transparente)
FirewallTecnologias
Proxy Transparente
● Servidor proxy modificado, que exige mudanças na camada de aplicação e no núcleo do firewall
● Redireciona as sessões que passam pelo firewall para um servidor proxy local
● Isso é transparente para o usuário
– Não necessita configurar aplicativos
– Squid pode ser usado como proxy transparente
FirewallTecnologias
Firewalls híbridos
● Misturam elementos de filtros de pacotes, pacotes baseado em estados e proxies para cada serviço específico
● Utiliza estes mecanismos de segurança em paralelo
● Atualmente, a maioria dos firewalls comerciais é híbrida
● Ex: telnet é manipulado por filtro de pacotes e FTP pelo proxy (filtragem no nível da aplicação)
Firewalls individuais
● Atua na segurança do host individual e não da rede
● A conexão na rede interna cada vez mais é feita através de laptops e acessos remotos por equipamentos na cada do usuário, usando VPNs. Isso faz com que esses equipamentos necessitem de uma proteção adequada
FirewallArquiteturas
● Devem ser definidas de acordo com a necessidade da organização
● Arquiteturas clássicas:
– Dual-homed host – Formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes
– Screened host – Formada por um filtro de pacotes e um bastion host. Se o bastion host for comprometido, o invasor já estará dentro da rede interna
– Screened subnet – Aumenta a segurança ao adicionar uma DMZ (zona desmilitarizada). O bastion host fica na DMZ, o que evita que um ataque ao bastion host resulte na utilização de um sniffer para a captura de pacotes de usuários internos
● Firewall cooperativo
FirewallArquiteturas
● Dual-homed host
● Vantagens:
– Provê um alto grau de controle, pois além de filtrar os pacotes indesejados, possibilita que o administrador rejeite conecções que pedem algum tipo de serviço especial, mas que não têm a permissão necessária.
– Facilitam o monitoramento das atividades dos usuários e é relativamente fácil de configurar e manter, além de ser relativamente barato
● Desvantagens:
– A segurança de toda rede fica dependente de uma única máquina
FirewallArquiteturas● Screened host
● Vantagens:
– Esta configuração é bastante segura, já que oferece dois níveis de proteção (tanto na camada de rede com o screening router quanto na camada de aplicação com o bastion host)
– É relativamente fácil de configurar e de dar manutenção
● Desvantagens:
– As regras do screening router devem ser bem configuradas, pois qualquer erro pode ocasionar o envio de pacotes diretamente para a rede interna, "furando"o esquema de proteção
– Uníco ponto de falha
– Custo deste tipo de firewall é mais alto
FirewallArquiteturas
● Screened subnet
● Porquê a rede DMZ isola ainda mais a rede interna da rede externa?
– Em muitas configuraçoes de rede, é possível que qualquer máquina da rede enxergar todo o tráfego desta
– Com o uso de sniffers, pode-se pegar as senhas de usuários via sessões FTP, por exemplo
– Caso um hacker conseguisse invadir o bastion host e instalasse um sniffers nele, ele conseguiria apenas "espiar" dados que vão de ou para o bastion host para a Internet, e não conseguirá observar o tráfego interno
FirewallArquiteturas
● Screened subnet
● Vantagens:
– Nível de segurança muito maior
● Desvantagens:
– A complexidade deste sistema é alta e a sua configuração e manutenção da subnet não é tão simples como a das firewalls anteriores
– O acesso a rede é retardado porque o tráfego deve passar pela subrede
– Custo deste tipo de firewall é bem elevado
FirewallArquiteturas
Firewall Cooperativo
● Arquitetura em que são inseridos novos componentes:
– Redes privadas virtuais – VPNs
– Sistemas de detecção de intrusão (IDS)
– Infra-estrutura de chave pública (ICP)
● Usuários internos tratados como usuários externos (não tem acesso direto – sem firewall – a servidores e demais recursos críticos)
FirewallArquiteturas
Firewall Cooperativo
● Cria uma divisão em três partes das localizações de recursos:
– Recursos públicos disponibilizados para o acesso via internet: localizado na DMZ 1
– Recursos privados disponibilizados para acesso via internet: localizado na DMZ 2
– Recursos internos acessados via VPN: localizado na rede interna
FirewallPrática: Iptables
● Firewall utilizado para fazer filtros de pacotes no Linux
● Qualquer distribuição Linux com iptables instalado pode ser utilizado
● Nornalmente, já vem instalado na maioria das distribuições
● Não precisa de nada além de linhas de comando e root para utilizar
FirewallPrática: Iptables
● Projeto Netfilter (http://www.netfilter.org/) com iptables no Linux
● O filtro de pacotes é o componente mais conhecido do Netfilter
● Há outras funções:
– Tradução de endereços (NAT)
– Inspeção de estado
– Enfileiramento de pacotes
● Iptables é a interface do Netfilter que permite ao administrador do sistema configurar as tabelas, cadeias e regras de filtragem
Bibliografia
● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 7.
● Vasconcelos, L. E. G. Notas de aula. Segurança da Informação. FATEC Guaratinguetá, 2013
● Kleinschmidt J. H. Notas de aula. Segurança da Informação. Universidade do ABC, 2011