Roteiro. 1 Firewalls. 2 Filtros de pacotes. 3 Filtros de pacotes com estado. 4 Firewalls de aplicação. 5 Proxies de aplicação

(1)

TOCI-08: Seguranc¸a de Redes

Prof. Rafael Obelheiro rro@joinville.udesc.br

Aula 15: Firewalls

c

2009 Rafael Obelheiro (DCC/UDESC) Aula 15: Firewalls SEG 1 / 54

Roteiro

1 Firewalls

2 Filtros de pacotes

3 Filtros de pacotes com estado

4 Firewalls de aplicac¸˜ao

5 Proxies de aplicac¸˜ao

6 Problemas com firewalls

c

O que ´e um firewall

Barreira entre n ´os e eles

Ipara alguma definição de nós e eles. . . Limita a comunicação com o mundo exterior

Io mundo exterior pode ser outra parte da organização Apenas algumas máquinas ficam expostas a ataques

I_{a idéia é que essas máquinas sejam bem protegidas}

Por que usar firewalls

A maioria dos hosts possui vulnerabilidades de seguranc¸a Iprova: (quase) todo software tem bugs. Portanto, (quase) todo

software de seguranc¸a tem bugs de seguranc¸a

Firewalls executam muito menos c´odigo, e portanto tˆem menos bugs (e vulnerabilidades)

Firewalls podem ser administrados por pessoas mais capacitadas Firewalls possuem um conjunto mais reduzido de software, e usam facilidades de logging e monitoração extensivamente Firewalls implementam a separação de uma rede em dom´ınios de segurança distintos

I_{sem essa partição, a rede se comporta como uma enorme} máquina virtual, com um conjunto desconhecido de usuários comuns e privilegiados

(2)

Exemplos de firewalls no mundo real

O controle de passaportes ´e feito nas fronteiras e no desembarque internacional

Em uma casa, há poucas portas que dão para a rua, não raro bem protegidas (grades, alarmes, etc.)

I_{as portas internas, por outro lado, geralmente s˜ao deixadas} destrancadas

Bancos possuem guardas e cofres. . .

c

N˜ao seria melhor corrigir os protocolos?

O problema que os firewalls tratam não é a segurança de redes I_{firewalls são uma resposta de rede para um problema de}

seguranc¸a de hosts

Mais precisamente, eles são uma resposta para o lamentável estado atual da engenharia de software: de forma geral, não sabemos construir software seguro, correto e fácil de administrar Portanto, protocolos de rede mais seguros não irão eliminar a necessidade de firewalls

I_{a melhor criptografia do mundo ´e incapaz de resolver bugs de} software

c

Vantagens de firewalls

se não vai precisar, é melhor se livrar Não existem usuários comuns, e portanto não existem senhas para eles

Poucos serviços de rede são necessários (às vezes nenhum) Raramente é necessário usar as versões mais recentes de software

Imelhor deixar os outros sofrerem antes com os bugs Logs s˜ao gerados para (quase) tudo, e os arquivos de log s˜ao monitorados cuidadosamente

Diversos backups devem ser mantidos

uma m´aquina comum n˜ao pode ser administrada assim

c

Diagrama esquem´atico de um firewall

Interior Gateway(s) Exterior

filtro filtro

DMZ

c

(3)

Pec¸as do esquema

O interior ´e onde ficam os mocinhos

Itudo o que fica no interior ´e considerado “amigo”, e portanto digno de confianc¸a

O exterior ´e onde ficam os bandidos

I_{tudo o que reside ou vem do exterior é, no m´ınimo, suspeito} A zona desmilitarizada (DMZ, DeMilitarized Zone) é onde são colocados servidores necessários mas potencialmente perigosos

c

A DMZ

Bom lugar para colocar coisas como servidores de email e web Usuários externos podem enviar email e acessar páginas Usuários internos podem baixar email e atualizar páginas Deve ser monitorada com bastante cuidado

I_{caminho mais prov´avel de tentativas de invas˜ao}

c

Posicionando firewalls

firewalls protegem dom´ınios administrativos

Por que dom´ınios administrativos?

Firewalls implementam uma pol´ıtica

A pol´ıtica segue fronteiras administrativas, n˜ao f´ısicas Exemplos

IUDESC: dom´ınios de proteção separados para DCC, DEE, BU, . . . Iem uma empresa: dom´ınios de proteção separados para RH,

(4)

Particionando um local

c

Filosofias de firewall

1.Bloquear tudo o que for perigoso

2.Bloquear tudo, e só liberar acesso ao que for seguro E necessário A primeira opção exige que se conheça tudo o que é perigoso em toda a rede

Ium deslize pode ser o suficiente para permitir uma invasão A segunda opção é muito mais segura

Em geral, não apenas o tráfego de entrada deve ser controlado mas também o de sa´ıda

Imaus elementos no interior Idetecção de “extrusões” IIP spoofing

c

Roteiro

1 Firewalls

c

Tipos de firewalls

Filtros de pacotes Filtros de pacotes dinâmicos Gateways de aplicação Relays de circuito Firewalls pessoais

Muitos firewalls são uma combinação desses tipos

c

(5)

Filtros de pacotes

Baseados em roteadores

I_{como roteadores já são usados para acesso Internet, filtros são} baratos

Pacotes individuais s˜ao aceitos ou rejeitados In˜ao existe contexto

Regras de filtragem s˜ao dif´ıceis de configurar I_{primitivas muitas vezes inadequadas} I_{regras diferentes podem interagir}

Protocolos dif´ıceis de lidar incluem FTP, X11 e servic¸os baseados em RPC

c

Filtrando sem estado

Conex˜oes para o exterior s˜ao permitidas Pacotes de resposta devem ser permitidos Para TCP, isso pode ser feito sem manter estado

O primeiro pacote de uma conex˜ao TCP tem apenas a flag SYN ativa

Todos os outros pacotes tˆem o bit de ACK ligado

Soluc¸˜ao: deixar passar todos os pacotes com bit de ACK ligado

c

Exemplo de conjunto de regras

Um spammer deve ser bloqueado, mas todos os outros devem poder enviar email para o servidor

bloqueia: host ext = spammer permite: host ext = qualquer e

porta ext = qualquer e host int = srv-mail e porta int = 25

Um conjunto de regras incorreto

Todas as conex˜oes com servidores de mail externos devem ser permitidas

permite: host ext = qualquer e porta ext = 25 e

host int = qualquer e porta int = qualquer

N˜ao existe controle sobre quem est´a usando a porta 25 em outro host

(6)

Corrigindo as regras

permite: host ext = qualquer e porta ext = 25 e

host int = qualquer e porta int = qualquer e bitset(ACK) Apenas conex˜oes saintes s˜ao permitidas

c

Posicionando filtros de pacotes

Geralmente as regras s˜ao definidas para cada interface de rede As regras ainda s˜ao subdivididas entre pacotes que entram (inbound) ou saem (outbound) da interface

O melhor é filtrar os pacotes que entram Imenor perda de informações de contexto

c

Filtrando pacotes na entrada

exterior

DMZ

interior firewall

Se a filtragem for feita na sa´ıda para a DMZ, não é poss´ıvel determinar de onde os pacotes estão vindo

c

Filtros de pacotes e UDP

UDP não tem noção de conexão

I´e imposs´ıvel distinguir uma resposta (que deve ser permitida) de um pacote iniciado por um host externo

Endereços de origem podem ser forjados com facilidade Icomo não há conexão, o host externo não precisa receber tráfego

de resposta do host interno

Uma tentativa ´e bloquear tr´afego UDP para portas sabidamente perigosas

Iisso tem tudo para dar errado, por´em

Talvez o melhor seja liberar tr´afego UDP apenas para hosts selecionados

Iservidores bem configurados e monitorados

c

(7)

O papel dos filtros de pacotes

Filtros de pacotes simples têm diversas limitações IUDP, ICMP, FTP, RPC, . . .

Ainda assim, podem ser ´uteis em determinados cen´arios Iambientes simples, com poucas regras

Ffuncionalidade dispon´ıvel em quase todos os roteadores

Iprotec¸˜ao de hosts individuais

Fservidor web s´o precisa das portas 80 e 443, por exemplo

I_{filtragem de enderec¸os}

Fenderec¸os da rede interna n˜ao devem vir do exterior

Fenderec¸os de outras redes n˜ao devem vir do interior

Fbloqueio no roteador de borda ajuda a conter ataques de IP spoofing

Filtros de pacotes dinâmicos (com estado) são uma solução mais apropriada

c

Um exemplo de configurac¸˜ao

exterior interior: 10.0.0.0/16 firewall DMZ: 192.168.12.0/24 mail DNS

o servidor DNS atende apenas a consultas internas

c

Regras para o exemplo

iface ação endereço porta flags ext bloq src=10.0.0.0/16

ext bloq src=192.168.12.0/24

ext perm dst=Mail 25

ext bloq dst=DNS 53

ext perm dst=DNS UDP

ext perm Any ACK

ext bloq Any

DMZ bloq src6=192.168.12.0/24 DMZ perm dst=10.0.0.0/16 ACK DMZ bloq dst=10.0.0.0/16

DMZ perm Any int bloq src6=10.0.0.0/16

int perm dst=Mail 993

int perm dst=DNS 53

int bloq dst=192.168.12.0/24 int perm Any

Roteiro

1 Firewalls

(8)

Filtros de pacotes com estado (stateful)

Tipo mais comum de filtro de pacotes atualmente Resolvem a maioria dos problemas com filtros de pacotes simples, mas n˜ao todos

Requerem estado por conex˜ao no firewall Princ´ıpio de funcionamento

I_{quando um pacote ´e enviado para a rede externa, isso fica} registrado

I_{os pacotes entrantes s˜ao associados ao estado criado pelo pacote} de sa´ıda

c

Problemas resolvidos por estados

É poss´ıvel casar uma resposta UDP com a requisição correspondente

Pacotes ICMP podem ser associados a uma conex˜ao Idestination unreachable, TTL exceeded, . . . Evita varreduras com ACK setado

Resolve alguns dos problemas com tr´afego entrante I_{mas tabelas de estado precisam ser associadas aos pacotes}

entrantes

Regras espec´ıficas para evitar spoofing ainda s˜ao necess´arias

c

Problemas remanescentes

Protocolos que usam portas secund´arias (FTP, SIP, . . . ) RPC

Protocolos com semˆanticas complexas (DNS)

c

NAT (Network Address Translation)

Traduz endereços de origem (e às vezes números de porta também)

Objetivo principal é lidar com a falta de endereços IP válidos Em alguns casos, “vendido” como excelente mecanismo de segurança

I_{com sorte, n˜ao ´e mais seguro do que um filtro de pacotes com} estado

I_{se for mal configurado, pode n˜ao resolver nada}

c

(9)

Comparac¸˜ao

filtro de pacotes com estado NAT

Saintecria uma entrada na

tabela de estados Saintetabela de estados. Traduzcria uma entrada na o enderec¸o

Entranteverifica se existe entrada na tabela de estados; descarta o pacote se n˜ao existir

Entranteverifica se existe entrada na tabela de estados; descarta o pacote se não existir. Traduz o endereço A diferença está apenas em traduzir ou não os endereços

c

Roteiro

1 Firewalls

3 Filtros de pacotes com estado 4 Firewalls de aplicação 5 Proxies de aplicação

c

Firewalls de aplicac¸˜ao

Filtros de pacotes operam na camada de rede, usando algumas informac¸˜oes da camada de transporte

Inão podem proteger contra ataques nas camadas superiores Icontrole de granularidade grossa: aplicações inteiras são

permitidas ou bloqueadas

F`as vezes se deseja funcionalidade parcial

Vantagens de firewalls de aplicação I_{proteção especializada para cada aplicação} Icontexto dispon´ıvel é maior

Iapenas aplicações escolhidas têm seu desempenho afetado Desvantagens de firewalls de aplicação

Inão protegem contra ataques nas camadas inferiores Iexigem um programa separado para cada aplicação

Fpodem ser bastante complexos

Ipodem ser intrusivos demais para usuários, aplicações, . . .

Exemplo: protegendo email

Deve-se proteger o email entrante ou o sainte? Iparte do código é igual, parte é bem diferente Deve-se trabalhar no n´ıvel do SMTP ou do conteúdo? Como lidar com MIME?

Ipior, como lidar com email criptografado com S/MIME ou PGP? Quais s˜ao as ameac¸as?

(10)

Ameac¸as contra email

Obviamente, bugs de implementac¸˜ao dos protocolos envolvidos V´ırus de email?

SPAM?

Javascript? Bugs em email HTML?

Violações da pol´ıtica organizacional de uso de email? Verificação de assinaturas digitais?

Nada disso pode ser tratado com filtros de pacotes

c

Email entrante

DNS permite redirecionar todo email dirigido a uma rede para um ou mais servidores espec´ıficos

I_{registros tipo MX, possivelmente com registros *.dom´ınio} Múltiplas camadas de proteção são poss´ıveis

Io servidor de email designado pode proteger a transação SMTP Iuma vez recebido corretamente, o email pode ter seu conteúdo

inspecionado

Fv´ırus, SPAM, phishing, conte´udo impr´oprio, . . .

I_{o firewall pode implementar uma dessas func¸˜oes ou ambas}

c

Email sainte

Protocolo n˜ao ajuda aqui

A maioria dos mailers permite redirecionar todo o tr´afego de sa´ıda para um n´o central (relay host)

Isso pode ser decidido administrativamente, e reforc¸ado com um filtro de pacotes

c

Combinando tipos de firewall

O email entrante e sainte é tratado por um firewall de aplicação Um filtro de pacotes é usado para garantir que todo o tráfego de email só pode passar pelo firewall de aplicação

c

(11)

Um firewall para email

exterior interior firewall receptor antispam SMTP antivírus DMZ c

Implementac¸˜ao

Email não pode ser transmitido de outra maneira Recepção

Io único servidor SMTP com quem máquinas externas podem se comunicar é o receptor SMTP

Io receptor repassa o email para um filtro antiv´ırus e anti-SPAM, usando um protocolo qualquer

Iessa m´aquina fala SMTP com algum servidor interno de email Ioutro benef´ıcio: se o receptor SMTP for comprometido, ele n˜ao

pode se comunicar diretamente com a rede interna Envio

Ium filtro de pacotes bloqueia conexões saintes para a porta 25/tcp Ia única máquina que pode falar SMTP com servidores externos é

um servidor dedicado para envio de email Iesse servidor pode estar na rede interna ou na DMZ

c

Roteiro

1 Firewalls

Pequenos gateways de aplicac¸˜ao

Alguns protocolos não precisam de um tratamento completo na camada de aplicação

Infelizmente, um filtro de pacotes n˜ao serve

Solução: examinar parte do tráfego usando um proxy espec´ıfico de aplicação, e tomar as medidas necessárias

(12)

Proxy para FTP

O protocolo FTP tem um comando PORT que especifica a porta que vai ser usada para transferir um arquivo

PORT 192,168,1,2,235,210 Iservidor abre uma conexão para o cliente Ia porta é determinada em tempo de execução Ipor isso é dif´ıcil filtrar FTP de forma segura Uma solução pode ser usar um proxy para FTP

Io canal de controle do FTP ´e monitorado

Ise um comando PORT for detectado, avisa ao firewall para abrir a porta temporariamente para a conex˜ao entrante

Isoluc¸˜oes semelhantes se aplicam ao RPC

c

Atacando o proxy de FTP

Applets Java podem se comunicar com o seu host de origem Um applet malicioso pode abrir um canal FTP e enviar um comando PORT contendo um número de porta de um serviço vulnerável em uma máquina supostamente protegida O firewall vai permitir a conexão entrante

Solução: aumentar a inteligência do firewall com relação a quais hosts e números de porta podem aparecer em comandos PORT

c

Proxies web

Suporte nativo a HTTP Vantagens adicionais

I_{caching de p´aginas → desempenho}

Ifiltragem de conteúdo e/ou endereços (URLs, endereços IP) Filtros de pacotes também permitem redirecionar o tráfego HTTP para um proxy

c

Roteiro

1 Firewalls

c

(13)

Problemas com firewalls

Ameac¸as internas Conectividade Laptops Evas˜ao c

Ameac¸as internas

Firewalls pressupõem que todo mundo que está na rede interna é “bonzinho”

Obviamente, isso n˜ao ´e verdade

Além disso, conteúdo ativo e máquinas comprometidas (infectadas com malware, por exemplo) correspondem a “maçãs podres” dentro da caixa

c

Conectividade

Firewalls dependem da topologia

Se existem muitas conexões com o exterior, é provável que alguém consiga escapar do firewall

I_{isso pode ser necess´ario}

I_{nem sempre é poss´ıvel filtrar o tráfego de todos os parceiros} Uma organização de grande porte pode ter centenas ou mesmo milhares de links externos, a maior parte desconhecida dos administradores de rede

Iaté há algum tempo, era comum que funcionários ligassem seu ramal em um modem para acessar seus computadores remotamente

Laptops

Laptops, por definic¸˜ao, circulam por a´ı

Quando eles est˜ao fora do firewall, quem os protege? Relatos de pessoas com laptops cheios de vulnerabilidades ou malware s˜ao comuns

Iobviamente, a rede est´a sempre habilitada

Outra dificuldade ´e com laptops que entram na rede interna Imuitas vezes os seus computadores s˜ao bem protegidos, mas e os

de seus visitantes?

Fdiversas redes são afetadas por vermes quando laptops infectados são ligados à rede interna

Iredes sem fio tornaram o problema muito maior Faté o vizinho pode entrar na sua rede, de propósito ou não

(14)

Evas˜ao

Os firewalls e os administradores de firewalls tornaram-se bastante bons

Algumas aplicac¸˜oes pararam de funcionar

Os produtores de software comec¸aram a construir coisas que rodam sobre HTTP

Iweb services e P2P, por exemplo

HTTP geralmente passa por firewalls e até proxies web Tendência crescente de recorrer a inspeção e filtragem do conteúdo para determinar o que é tráfego permitido ou não

Imuito mais dif´ıcil que usar n´umeros de portas I_{impacto significativo no desempenho}

c

Bibliografia

William R. Cheswick, Steven M. Bellovin e Aviel D. Rubin.

Firewalls e Seguranc¸a na Internet, 2a_{ed. Bookman, 2005.} Cap´ıtulo 9.

c