Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Segurança em Redes de Computadores Segurança e Auditoria de Sistemas
Emanuel Rebouças, MBA
FIREWALL
AGENDA
Firewalls
Objetivo:
Avaliar os diferentes tipos de firewall no mercado, como instalá-los em uma rede de computadores e como gerenciá-los.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FALSA SENSAÇÃO DE SEGURANÇA...
Firewall é um dos principais, mais conhecidos e antigos componentes de um sistema de Segurança da Informação.
Sua fama, de certa forma, acaba contribuindo para a criação de uma falsa expectativa quanto à segurança total da organização.
DEFINIÇÕES DE FIREWALL
É um ponto entre duas ou mais redes, no qual circula todo o tráfego. A partir desse único ponto, é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando sua auditoria.
(Bill Cheswick e Steve Bellovin) É um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de rede.
(Champan) Mas o Firewall pode ser utilizado também para separar diferentes sub-redes, grupos de trabalho ou LANs dentro de uma organização.
REDE 1 REDE 2
FIREWALL Um ou mais
componentes
•Controle
•Autenticação
•Registro de tráfego
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
TIPOS DE FIREWALL
•Filtro de Pacotes (Static Packet Filter)
• Filtro de Pacotes baseados em estados
•Proxy (Application-level gateway)
Firewall
•Componentes
•Funcionalidades
•Arquitetura
•Tecnologias
COMPONENTES CLÁSSICOS DE UM FIREWALL
Funcionalidades do Firewall Filtros
Proxies
Bastion Hosts
Zonas Desmilitarizadas (DMZ)
Network Address translation (NAT)
Redes Privadas Virtuais (VPN)
Autenticação Alta disponibilidade
Balanceamento de cargas
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Filtros
Realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio de análise das informações de seus cabeçalhos.
Proxies
São sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições, de acordo com a política de segurança definida. Podem realizar uma filtragem mais apurada dos pacotes, por atuar na camada de aplicação do modelo OSI.
Bastion Hosts
São equipamentos em que são instalados os serviços a serem oferecidos para a Internet.
Como estão em contato direto com conexões externas, os Bastion Hosts devem ser protegidos da melhor maneira possível. (Servidores na DMZ)
Zona Desmilitarizada
A Zona Desmilitarizada (DeMilitarized Zone - DMZ), é uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa. Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada (um Bastion Host) seja comprometido, a rede interna continue intacta e segura.
COMPONENTES CLÁSSICOS DE UM FIREWALL
Network Address Translation (NAT)
O NAT não foi criado com a intenção de ser usado como um componente de segurança, mas sim para tratar de problemas em redes de grande porte, nas quais a escassez de endereços IP representa um problema. Sob o ponto de vista de segurança, o NAT pode, assim, esconder os endereços dos equipamentos da rede interna, dificultando eventuais ataques externos.
Rede Privada Virtual (VPN)
Utiliza conceitos de criptografia para manter sigilo dos dados trafegados pela Internet. O IP Security (IPSec), protocolo padrão de fato das VPNs, garantem, além do sigilo, a
integridade e a autenticação desses dados.
Autenticação/certificação
A autenticação e a certificação dos usuários podem ser baseadas em endereços IP, senhas, certificados digitais, tokens, smartcards ou biometria.
Balanceamento de cargas e Alta disponibilidade
Como pode ser visto pela sua própria definição, o Firewall deve ser o único ponto de acesso a uma determinada rede, de modo que todo tráfego deve passar por ele. Assim, ele pode representar também o gargalo dessa rede, sendo recomendável que mecanismos de contingência sejam utilizados.
COMPONENTES CLÁSSICOS DE UM FIREWALL
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
OS CHAMADOS “UTMs” – Unified Threat Management
Além de avanços da tecnologia e das funcionalidades inseridas nos Firewalls, outros serviços da rede e de segurança passaram a ser incorporados. Alguns desses serviços são:
•Autenticação
•Criptografia (VPN)
•Qualidade de Serviço
•Filtragem de Conteúdo
•Antivírus
•Filtragem de URL
•Filtragem de palavras-chave para emails
•Filtragem nde SPAM
Pode-se considerar, assim, que, atualmente, existe uma tendência de adicionar cada vez mais funcionalidades aos Firewalls, que podem não estar relacionadas necessariamente à segurança. Alguns exemplos são o gerenciamento de banda, o balanceamento de cargas para serviços, o servidor WEB, o servidor FTP, o servidor DNS, o servidor de email ou o servidor proxy.
NÃO TORNE O AMBIENTE COMPLEXO DE SE GERENCIAR
Essa integração entre Firewalls e novas funcionalidades, porém, deve ser feita com cuidado, pois vai ao encontro do “dogma” da segurança, que diz que a segurança e a complexidade são inversamente proporcionais e, portanto, podem comprometer a segurança em vez de aumentá-la.
Além disso, quanto maior for o número de serviços, maiores serão os registros (logs) gerados, que aumentam a carga de trabalho com a vigilância e
monitoramento dos acessos. E, quanto maior for o número de usuários, maior será o trabalho com a administração, o que leva a uma maior possibilidade de erros, representando novos riscos à organização.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
ARQUITETURA CONVENCIONAL
Serviços publicados = Portas Abertas
Servidores e Endpoints Vulneráveis Firewall
ALERTA!
Ataques Externos passam pelo FW
Ataque interno tem pleno acesso!!
INTERNET
• Excelente para bloquear tráfego para portas com serviços que não devam ser publicados
• Fracos para filtrar ataques em portas com serviços publicados
• Não filtram ataques internos
Firewall ARQUITETURA SEGURA
Serviços publicados = Portas Abertas
Servidores Firewall
INTERNET
Firewall DMZ
Endpoints
Manter ativos da DMZ atualizados com os últimos Patches de Segurança!!
Mas e os ataques Zero Day??
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FIREWALL – FILTRO DE PACOTES
A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da pilha TCP/IP, de modo que realiza as decisões de filtragem com base nas informações do cabeçalho dos pacotes, tais como o endereço de origem, o endereço de destino, a porta de origem, a porta de destino e a direção das conexões.
Vers Len TOS Tamanho total Identificação Flags Offset do fragmento TTL Protocolo Checksum do cabeçalho
Endereço de origem Endereço de destino
Opções Padding
Dados
Porta de origem Porta de destino Número de sequência Número Acknowledgment Len Reserved Flags Window
Checksum Urgent Pointer
Opções Padding
Dados Campos do cabeçalho IP usados pelo
Firewall
Campos do cabeçalho TCP usados pelo Firewall
Flags: SYN, SYN-ACK e ACK do handshake do protocolo TCP
FIREWALL – FILTRO DE PACOTES
A filtragem das conexões UDP e ICMP feita pelo Firewall são um pouco diferentes da realizada nas conexões TCP. Com relação ao UDP, não é possível filtrar pacotes com base no sentido das conexões, pois UDP não é orientado a conexões, não existindo assim as flags. Já com relação ao ICMP, a filtragem é feita com base nos tipos e códigos das mensagens.
Porta de origem Porta de destino
Tamanho Checksum
Dados
Tipo ICMP Código ICMP Checksum
Dados ICMP (Normalmente incluem erros do cabeçalho IP) Campos do cabeçalho UDP usados pelo
Firewall
Campos do cabeçalho ICMP usados pelo Firewall
O fato de trabalhar na camada de rede e de transporte faz com que ele seja simples, fácil, barato e flexível de ser implementado.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Em contrapartida, o filtro de pacotes garante um menor grau de segurança, pois os pacotes podem facilmente ser falsificados ou criados especificamente para que passem pelas regras de filtragem definidas.
A capacidade de verificação do sentido dos pacotes para determinar se um pacote vem da rede externa ou interna e sua apropriada configuração são essenciais para evitar ataques como o IP spoofing.
Um outro problema com este tipo de filtro é com relação à fragmentação de pacotes, que podem passar pelo Firewall por meio da validação apenas do primeiro pacote fragmentado, com os pacotes posteriores passando pelo filtro sem a devida verificação, resultando em possíveis vazamentos de informações e em ataques que tiram proveito dessa fragmentação.
FIREWALL – FILTRO DE PACOTES
VANTAGENS E DESVANTAGES DO FIREWALL FILTRO DE PACOTES
As vantagens são:
Baixo overhead / alto desempenho da rede
É barato, simples e flexível
É bom para o gerenciamento do tráfego
É transparente para o usuário
As desvantagens:
Permite conexão direta para hosts internos de clientes externos
É difícil de gerenciar em ambientes complexos
É vulnerável a ataques como IP spoofing, a menos que seja configurado para que isso seja evitado (apenas falsificação de endereços internos)
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
EXEMPLOS DE REGRA EM UM FIREWALL DE FILTRO DE PACOTES Neste exemplo, caso seja suposto que o Firewall do tipo filtro de pacotes tenha como única regra de filtragem a permissão dos usuários internos a websites, as regras seriam de acordo com a seguinte tabela:
Regra End. de origem: Porta de origem End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: 80 (HTTP) IP da rede interna: porta alta Permitir 3 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar
Regra End. de origem: Porta de origem: Flag End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta: SYN Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: 80 (HTTP) IP da rede interna: porta alta Permitir 3 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar
Regras de filtragem do filtro de pacotes, usando flags TCP Regras de filtragem do filtro de pacotes
Exemplo de regra para evitar ataques do tipo cavalo de tróia/backdoor.
FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS Estes Firewalls tomam as decisões de filtragem tendo como referência dois elementos:
•As informações dos cabeçalhos dos pacotes de dados, como no filtro de pacotes.
•Uma tabela de estados, que guarda os estados de todas as conexões.
O Firewall trabalha verificando somente o primeiro pacote de cada conexão, de acordo com as regras de filtragem. A tabela de conexões que contém
informações sobre os estados das mesmas ganha uma entrada quando o pacote inicial é aceito, e os demais pacotes são filtrados utilizando-se as informações da tabela de estados.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FIREWALL FILTRO DE PACOTES BASEADO EM ESTADOS
Filter
Rules
STOP
VERIFICA A TABELA DE ESTADOS REDE DA
ORGANIZAÇÃO Firewall
Usuário Regras de
Filtragem
Proíbe
Permite Pacote SYN
Filtro de pacotes baseado em estados trabalhando na chegada de pacotes SYN.
O desempenho do sistema melhora, pois apenas os pacotes SYN são
comparados com a tabela de regras do filtro de pacotes, e os pacotes restantes são comparados com a tabela de estados, que fica no Kernel, o que torna o processo mais rápido.
FIREWALL FILTRO DE PACOTES BASEADO EM ESTADOS
VERIFICA A
STOP
TABELA DE ESTADOS
REDE DA ORGANIZAÇÃO Firewall
Usuário
Não existe
Existe Demais pacotes
Filtro de pacotes baseado em estados trabalhando na chegada dos demais pacotes.
O melhor desempenho é explicado pelo fato de o conjunto de regras na tabela de estados ser menor e também porque a verificação nessa tabela de estados não é feita sequencialmente, como ocorre no filtro de pacotes, mas, sim, por meio de tabelas hash.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS
Regra End. de origem: Porta de origem End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar
Regras de filtragem do filtro de pacotes baseado em estados
É justamente essa característica que faz com que o filtro de pacotes baseado em estados seja uma solução mais elegante na proteção de ataques, como o do uso de backdoor. Com esse tipo de Firewall, o conjunto de regras pode levar em conta apenas os inícios das conexões, que usam flag SYN.
Desta forma, como visto na tabela abaixo, o conjunto de regras fica mais enxuto e, consequentemente, mais fácil de administrar, minimizando as possibilidades de erros na sua criação.
FIREWALL FILTRO DE PACOTES BASEADO EM ESTADOS
VERIFICA A
STOP
TABELA DE ESTADOS
REDE DA ORGANIZAÇÃO Firewall
Usuário
Permite Pacote ACK
Filter Rules
Existe Proíbe
Um processo de verificação diferente ocorre com pacotes ACK. Quando um desses pacotes chega ao Firewall, ele é primeiramente comparado com a tabela de estados. Caso não exista nenhuma sessão aberta para esse pacote, ele passa a ser analisado de acordo com a tabela de regras do Firewall. Se o pacote for aceito de acordo com a tabela de regras, ele passa pelo Firewall e passa assim a ter uma sessão aberta na tabela de estados.
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS
Endereço de Origem
Porta de Origem
Endereço de Destino
Porta de Destino
Estado da Conexão
192.168.1.100 1030 210.9.88.29 80 Estabelecida
192.168.1.102 1031 216.32.42.123 80 Estabelecida
192.168.1.101 1033 173.66.32.122 25 Estabelecida
192.168.1.106 1035 177.231.32.12 79 Estabelecida
223.43.21.231 1990 192.168.1.6 80 Estabelecida
219.22.123.32 2112 192.168.1.6 80 Estabelecida
210.99.212.18 3321 192.168.1.6 80 Estabelecida
24.102.32.23 1025 192.168.1.6 80 Estabelecida
223.212.212.10 1046 192.168.1.6 80 Estabelecida
Exemplo de tabela de estados de conexão de firewall com estado
FIREWALL FILTRO DE PACOTES BASEADO EM ESTADOS
VERIFICA A
STOP
TABELA DE ESTADOS
REDE DA ORGANIZAÇÃO Firewall
Usuário
Pacote ACK
Filtro de pacotes baseado em estados tratando os pacotes ACK Existe
Não existe
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
VANTAGENS E DESV. DO FIREWALL FILTRO DE PACOTES BASEADO EM ESTADO
As vantagens são:
Abertura apenas temporárias no perímetro da rede
Baixo overhead / alto desempenho da rede
Aceita quase todos os tipos de serviços
As desvantagens:
Permite a conexão direta para hosts internos a partir de redes externas
Não oferece autenticação do usuário, a não ser via gateway de aplicação
• Defesas Externas
– IPS, IDS
• Proteger a rede e os hosts
• Manter ameaças externas longe da rede interna
• Defesas Internas
– Anti-Vírus, Anti-Spyware
• Proteger os hosts
Tipos de Defesas
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
IDS
• Sistema de Detecção de Intruso ( Passivo)
– Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional.
• Vulnerabilidades no sistema
• Elevação de privilégios
• Login não autorizado
• Malware
• Sistema de Prevenção de Intruso(Reativo)
– Sistema que pratica o controle de acesso protegendo computadores de exploração.
Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo.
– Os IPS´s são usados para compor os sistemas de Firewall
IPS
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
• Sistema de Detecção de Intruso
– Apenas grava logs registrando atividades suspeitas
• Sistema de Prevenção de Intruso
– Reage mediante uma situação adversa
Ou seja...
Prevenção de Intrusos
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Firewall
• Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego
autorizado;
• Cria um perímetro de defesa para proteger a rede interna;
• Funcionamento Básico
• Age como uma barreira que controla o tráfego entre duas redes.
Firewall
Firewall
Rede Local Internet
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
• Permite criar um ponto de controle único, impedindo acessos não autorizados e
recusando serviços e dados vulneráveis saiam da rede
• Monitorar a rede, alertas de invasão em apenas um ponto da rede
Firewall - Vantagens
• Manipulação maliciosa de dados por usuários internos
• Não impede proliferação de vírus
• Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável
Firewall - Limitações
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Firewall - Windows
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
• Symantec Security Check
– http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
• Audit My PC Firewall Test
– http://www.auditmypc.com/firewall-test.asp
• Gibson Research Corporation-Internet Vulnerability Test
– https://www.grc.com/x/ne.dll?bh0bkyd2
• PC Flank's tests
– http://www.pcflank.com/about.htm
• HackerWatch firewall tests
– http://www.hackerwatch.org/probe/
• Hacker Whacker free tests
– http://theta.hackerwhacker.com/freetools.php
• Look 'n' Stop - Internet security Test
– http://www.soft4ever.com/security_test/En/
Firewall - Testes na Web
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
• Técnica para controlar o tráfego na rede provendo otimização e garantia de performance;
• Bastante utilizado por provedores de acesso para melhoria de seus serviços;
Traffic Shaping
• O Firewall
– Libera ou bloquea o tráfego
• Traffic Shaping
– Limita, condiciona o tráfego
• Classificação
• Filas
• Políticas de esforço
• QoS
Traffic Shaping
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
Traffic Shaping
• Como controlar o tráfego de compartilhadores P2P ?
• Clasifica e analiza o tráfego
– Classificando IP e porta
• Controla Tráfego
– Selecionando faixas de banda para classes
• Monitora performance da rede
– Coleta dados e aplica políticas
Traffic Shaping
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
INSTALANDO UM FIREWALL PFSENSE
41
Pfsense
Prof: Emanuel Rebouças Copyright © 2014 Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS
FIREWALLS