Emanuel Rebouças, MBA Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS AGENDA

(1)

Segurança em Redes de Computadores Segurança e Auditoria de Sistemas

Emanuel Rebouças, MBA

FIREWALL

AGENDA

Firewalls

Objetivo:

Avaliar os diferentes tipos de firewall no mercado, como instalá-los em uma rede de computadores e como gerenciá-los.

(2)

FALSA SENSAÇÃO DE SEGURANÇA...

Firewall é um dos principais, mais conhecidos e antigos componentes de um sistema de Segurança da Informação.

Sua fama, de certa forma, acaba contribuindo para a criação de uma falsa expectativa quanto à segurança total da organização.

DEFINIÇÕES DE FIREWALL

É um ponto entre duas ou mais redes, no qual circula todo o tráfego. A partir desse único ponto, é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando sua auditoria.

(Bill Cheswick e Steve Bellovin) É um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre outros conjuntos de rede.

(Champan) Mas o Firewall pode ser utilizado também para separar diferentes sub-redes, grupos de trabalho ou LANs dentro de uma organização.

REDE 1 REDE 2

FIREWALL Um ou mais

componentes

•Controle

•Autenticação

•Registro de tráfego

(3)

TIPOS DE FIREWALL

•Filtro de Pacotes (Static Packet Filter)

• Filtro de Pacotes baseados em estados

•Proxy (Application-level gateway)

Firewall

•Componentes

•Funcionalidades

•Arquitetura

•Tecnologias

COMPONENTES CLÁSSICOS DE UM FIREWALL

Funcionalidades do Firewall Filtros

Proxies

Bastion Hosts

Zonas Desmilitarizadas (DMZ)

Network Address translation (NAT)

Redes Privadas Virtuais (VPN)

Autenticação Alta disponibilidade

Balanceamento de cargas

(4)

Filtros

Realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio de análise das informações de seus cabeçalhos.

Proxies

São sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições, de acordo com a política de segurança definida. Podem realizar uma filtragem mais apurada dos pacotes, por atuar na camada de aplicação do modelo OSI.

Bastion Hosts

São equipamentos em que são instalados os serviços a serem oferecidos para a Internet.

Como estão em contato direto com conexões externas, os Bastion Hosts devem ser protegidos da melhor maneira possível. (Servidores na DMZ)

Zona Desmilitarizada

A Zona Desmilitarizada (DeMilitarized Zone - DMZ), é uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa. Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada (um Bastion Host) seja comprometido, a rede interna continue intacta e segura.

Network Address Translation (NAT)

O NAT não foi criado com a intenção de ser usado como um componente de segurança, mas sim para tratar de problemas em redes de grande porte, nas quais a escassez de endereços IP representa um problema. Sob o ponto de vista de segurança, o NAT pode, assim, esconder os endereços dos equipamentos da rede interna, dificultando eventuais ataques externos.

Rede Privada Virtual (VPN)

Utiliza conceitos de criptografia para manter sigilo dos dados trafegados pela Internet. O IP Security (IPSec), protocolo padrão de fato das VPNs, garantem, além do sigilo, a

integridade e a autenticação desses dados.

Autenticação/certificação

A autenticação e a certificação dos usuários podem ser baseadas em endereços IP, senhas, certificados digitais, tokens, smartcards ou biometria.

Balanceamento de cargas e Alta disponibilidade

Como pode ser visto pela sua própria definição, o Firewall deve ser o único ponto de acesso a uma determinada rede, de modo que todo tráfego deve passar por ele. Assim, ele pode representar também o gargalo dessa rede, sendo recomendável que mecanismos de contingência sejam utilizados.

(5)

OS CHAMADOS “UTMs” – Unified Threat Management

Além de avanços da tecnologia e das funcionalidades inseridas nos Firewalls, outros serviços da rede e de segurança passaram a ser incorporados. Alguns desses serviços são:

•Autenticação

•Criptografia (VPN)

•Qualidade de Serviço

•Filtragem de Conteúdo

•Antivírus

•Filtragem de URL

•Filtragem de palavras-chave para emails

•Filtragem nde SPAM

Pode-se considerar, assim, que, atualmente, existe uma tendência de adicionar cada vez mais funcionalidades aos Firewalls, que podem não estar relacionadas necessariamente à segurança. Alguns exemplos são o gerenciamento de banda, o balanceamento de cargas para serviços, o servidor WEB, o servidor FTP, o servidor DNS, o servidor de email ou o servidor proxy.

NÃO TORNE O AMBIENTE COMPLEXO DE SE GERENCIAR

Essa integração entre Firewalls e novas funcionalidades, porém, deve ser feita com cuidado, pois vai ao encontro do “dogma” da segurança, que diz que a segurança e a complexidade são inversamente proporcionais e, portanto, podem comprometer a segurança em vez de aumentá-la.

Além disso, quanto maior for o número de serviços, maiores serão os registros (logs) gerados, que aumentam a carga de trabalho com a vigilância e

monitoramento dos acessos. E, quanto maior for o número de usuários, maior será o trabalho com a administração, o que leva a uma maior possibilidade de erros, representando novos riscos à organização.

(6)

ARQUITETURA CONVENCIONAL

Serviços publicados = Portas Abertas

Servidores e Endpoints Vulneráveis Firewall

ALERTA!

Ataques Externos passam pelo FW

Ataque interno tem pleno acesso!!

INTERNET

• Excelente para bloquear tráfego para portas com serviços que não devam ser publicados

• Fracos para filtrar ataques em portas com serviços publicados

• Não filtram ataques internos

Firewall ARQUITETURA SEGURA

Serviços publicados = Portas Abertas

Servidores Firewall

INTERNET

Firewall DMZ

Endpoints

Manter ativos da DMZ atualizados com os últimos Patches de Segurança!!

Mas e os ataques Zero Day??

(7)

FIREWALL – FILTRO DE PACOTES

A tecnologia de filtro de pacotes funciona na camada de rede e de transporte da pilha TCP/IP, de modo que realiza as decisões de filtragem com base nas informações do cabeçalho dos pacotes, tais como o endereço de origem, o endereço de destino, a porta de origem, a porta de destino e a direção das conexões.

Vers Len TOS Tamanho total Identificação Flags Offset do fragmento TTL Protocolo Checksum do cabeçalho

Endereço de origem Endereço de destino

Opções Padding

Dados

Porta de origem Porta de destino Número de sequência Número Acknowledgment Len Reserved Flags Window

Checksum Urgent Pointer

Opções Padding

Dados Campos do cabeçalho IP usados pelo

Firewall

Campos do cabeçalho TCP usados pelo Firewall

Flags: SYN, SYN-ACK e ACK do handshake do protocolo TCP

A filtragem das conexões UDP e ICMP feita pelo Firewall são um pouco diferentes da realizada nas conexões TCP. Com relação ao UDP, não é possível filtrar pacotes com base no sentido das conexões, pois UDP não é orientado a conexões, não existindo assim as flags. Já com relação ao ICMP, a filtragem é feita com base nos tipos e códigos das mensagens.

Porta de origem Porta de destino

Tamanho Checksum

Dados

Tipo ICMP Código ICMP Checksum

Dados ICMP (Normalmente incluem erros do cabeçalho IP) Campos do cabeçalho UDP usados pelo

Firewall

Campos do cabeçalho ICMP usados pelo Firewall

O fato de trabalhar na camada de rede e de transporte faz com que ele seja simples, fácil, barato e flexível de ser implementado.

(8)

Em contrapartida, o filtro de pacotes garante um menor grau de segurança, pois os pacotes podem facilmente ser falsificados ou criados especificamente para que passem pelas regras de filtragem definidas.

A capacidade de verificação do sentido dos pacotes para determinar se um pacote vem da rede externa ou interna e sua apropriada configuração são essenciais para evitar ataques como o IP spoofing.

Um outro problema com este tipo de filtro é com relação à fragmentação de pacotes, que podem passar pelo Firewall por meio da validação apenas do primeiro pacote fragmentado, com os pacotes posteriores passando pelo filtro sem a devida verificação, resultando em possíveis vazamentos de informações e em ataques que tiram proveito dessa fragmentação.

VANTAGENS E DESVANTAGES DO FIREWALL FILTRO DE PACOTES

As vantagens são:

Baixo overhead / alto desempenho da rede

É barato, simples e flexível

É bom para o gerenciamento do tráfego

É transparente para o usuário

As desvantagens:

Permite conexão direta para hosts internos de clientes externos

É difícil de gerenciar em ambientes complexos

É vulnerável a ataques como IP spoofing, a menos que seja configurado para que isso seja evitado (apenas falsificação de endereços internos)

(9)

EXEMPLOS DE REGRA EM UM FIREWALL DE FILTRO DE PACOTES Neste exemplo, caso seja suposto que o Firewall do tipo filtro de pacotes tenha como única regra de filtragem a permissão dos usuários internos a websites, as regras seriam de acordo com a seguinte tabela:

Regra End. de origem: Porta de origem End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: 80 (HTTP) IP da rede interna: porta alta Permitir 3 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar

Regra End. de origem: Porta de origem: Flag End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta: SYN Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: 80 (HTTP) IP da rede interna: porta alta Permitir 3 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar

Regras de filtragem do filtro de pacotes, usando flags TCP Regras de filtragem do filtro de pacotes

Exemplo de regra para evitar ataques do tipo cavalo de tróia/backdoor.

FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS Estes Firewalls tomam as decisões de filtragem tendo como referência dois elementos:

•As informações dos cabeçalhos dos pacotes de dados, como no filtro de pacotes.

•Uma tabela de estados, que guarda os estados de todas as conexões.

O Firewall trabalha verificando somente o primeiro pacote de cada conexão, de acordo com as regras de filtragem. A tabela de conexões que contém

informações sobre os estados das mesmas ganha uma entrada quando o pacote inicial é aceito, e os demais pacotes são filtrados utilizando-se as informações da tabela de estados.

(10)

FIREWALL FILTRO DE PACOTES BASEADO EM ESTADOS

Filter

Rules

STOP

VERIFICA A TABELA DE ESTADOS REDE DA

ORGANIZAÇÃO Firewall

Usuário Regras de

Filtragem

Proíbe

Permite Pacote SYN

Filtro de pacotes baseado em estados trabalhando na chegada de pacotes SYN.

O desempenho do sistema melhora, pois apenas os pacotes SYN são

comparados com a tabela de regras do filtro de pacotes, e os pacotes restantes são comparados com a tabela de estados, que fica no Kernel, o que torna o processo mais rápido.

VERIFICA A

STOP

TABELA DE ESTADOS

REDE DA ORGANIZAÇÃO Firewall

Usuário

Não existe

Existe Demais pacotes

Filtro de pacotes baseado em estados trabalhando na chegada dos demais pacotes.

O melhor desempenho é explicado pelo fato de o conjunto de regras na tabela de estados ser menor e também porque a verificação nessa tabela de estados não é feita sequencialmente, como ocorre no filtro de pacotes, mas, sim, por meio de tabelas hash.

(11)

FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS

Regra End. de origem: Porta de origem End. De destino: Porta de destino Ação 1 IP da rede interna: porta alta Qualquer endereço: 80 (HTTP) Permitir 2 Qualquer endereço: Qualquer porta Qualquer endereço: Qualquer porta Negar

Regras de filtragem do filtro de pacotes baseado em estados

É justamente essa característica que faz com que o filtro de pacotes baseado em estados seja uma solução mais elegante na proteção de ataques, como o do uso de backdoor. Com esse tipo de Firewall, o conjunto de regras pode levar em conta apenas os inícios das conexões, que usam flag SYN.

Desta forma, como visto na tabela abaixo, o conjunto de regras fica mais enxuto e, consequentemente, mais fácil de administrar, minimizando as possibilidades de erros na sua criação.

VERIFICA A

STOP

Usuário

Permite Pacote ACK

Filter Rules

Existe Proíbe

Um processo de verificação diferente ocorre com pacotes ACK. Quando um desses pacotes chega ao Firewall, ele é primeiramente comparado com a tabela de estados. Caso não exista nenhuma sessão aberta para esse pacote, ele passa a ser analisado de acordo com a tabela de regras do Firewall. Se o pacote for aceito de acordo com a tabela de regras, ele passa pelo Firewall e passa assim a ter uma sessão aberta na tabela de estados.

(12)

FIREWALL – FILTRO DE PACOTES BASEADO EM ESTADOS

Endereço de Origem

Porta de Origem

Endereço de Destino

Porta de Destino

Estado da Conexão

192.168.1.100 1030 210.9.88.29 80 Estabelecida

192.168.1.102 1031 216.32.42.123 80 Estabelecida

192.168.1.101 1033 173.66.32.122 25 Estabelecida

192.168.1.106 1035 177.231.32.12 79 Estabelecida

223.43.21.231 1990 192.168.1.6 80 Estabelecida

219.22.123.32 2112 192.168.1.6 80 Estabelecida

210.99.212.18 3321 192.168.1.6 80 Estabelecida

24.102.32.23 1025 192.168.1.6 80 Estabelecida

223.212.212.10 1046 192.168.1.6 80 Estabelecida

Exemplo de tabela de estados de conexão de firewall com estado

VERIFICA A

STOP

Usuário

Pacote ACK

Filtro de pacotes baseado em estados tratando os pacotes ACK Existe

Não existe

(13)

VANTAGENS E DESV. DO FIREWALL FILTRO DE PACOTES BASEADO EM ESTADO

As vantagens são:

Abertura apenas temporárias no perímetro da rede

Baixo overhead / alto desempenho da rede

Aceita quase todos os tipos de serviços

As desvantagens:

Permite a conexão direta para hosts internos a partir de redes externas

Não oferece autenticação do usuário, a não ser via gateway de aplicação

• Defesas Externas

– IPS, IDS

• Proteger a rede e os hosts

• Manter ameaças externas longe da rede interna

• Defesas Internas

– Anti-Vírus, Anti-Spyware

• Proteger os hosts

Tipos de Defesas

(14)

IDS

• Sistema de Detecção de Intruso ( Passivo)

– Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional.

• Vulnerabilidades no sistema

• Elevação de privilégios

• Login não autorizado

• Malware

• Sistema de Prevenção de Intruso(Reativo)

– Sistema que pratica o controle de acesso protegendo computadores de exploração.

Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo.

– Os IPS´s são usados para compor os sistemas de Firewall

IPS

(15)

• Sistema de Detecção de Intruso

– Apenas grava logs registrando atividades suspeitas

• Sistema de Prevenção de Intruso

– Reage mediante uma situação adversa

Ou seja...

Prevenção de Intrusos

(16)

Firewall

• Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego

autorizado;

• Cria um perímetro de defesa para proteger a rede interna;

• Funcionamento Básico

• Age como uma barreira que controla o tráfego entre duas redes.

Firewall

Rede Local Internet

(17)

• Permite criar um ponto de controle único, impedindo acessos não autorizados e

recusando serviços e dados vulneráveis saiam da rede

• Monitorar a rede, alertas de invasão em apenas um ponto da rede

Firewall - Vantagens

• Manipulação maliciosa de dados por usuários internos

• Não impede proliferação de vírus

• Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável

Firewall - Limitações

(18)

Firewall - Windows

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

• Symantec Security Check

– http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

• Audit My PC Firewall Test

– http://www.auditmypc.com/firewall-test.asp

• Gibson Research Corporation-Internet Vulnerability Test

– https://www.grc.com/x/ne.dll?bh0bkyd2

• PC Flank's tests

– http://www.pcflank.com/about.htm

• HackerWatch firewall tests

– http://www.hackerwatch.org/probe/

• Hacker Whacker free tests

– http://theta.hackerwhacker.com/freetools.php

• Look 'n' Stop - Internet security Test

– http://www.soft4ever.com/security_test/En/

Firewall - Testes na Web

(19)

• Técnica para controlar o tráfego na rede provendo otimização e garantia de performance;

• Bastante utilizado por provedores de acesso para melhoria de seus serviços;

Traffic Shaping

• O Firewall

– Libera ou bloquea o tráfego

• Traffic Shaping

– Limita, condiciona o tráfego

• Classificação

• Filas

• Políticas de esforço

• QoS

Traffic Shaping

(20)

Traffic Shaping

• Como controlar o tráfego de compartilhadores P2P ?

• Clasifica e analiza o tráfego

– Classificando IP e porta

• Controla Tráfego

– Selecionando faixas de banda para classes

• Monitora performance da rede

– Coleta dados e aplica políticas

Traffic Shaping

(21)

INSTALANDO UM FIREWALL PFSENSE

41

Pfsense

(22)

FIREWALLS