Upload
vutram
View
218
Download
0
Embed Size (px)
Citation preview
OSRC – Segurança em Redes de Computadores Módulo 10: Firewalls e Proxies
Prof. Charles Christian Mierse-mail: [email protected]
OSRC– Segurança em Redes de Computadores 2
FÍSICO
REDE
APLICAÇÃO
TRANSPORTE
Protocolos de Enlace e Físico
Internet Protocol (IP)
ARP RARP
Transmission ControlProtocol (TCP)
User DatagramProtocol (UDP)
Programas de AplicaçãoCMOT
DNS
FTP
SMTPASN1
Telnet
rlogin
CMOT NFSSNMP
TFTPASN1
XDR
BOOTP RFC
Pilha de Protocolo DARPA
OSRC– Segurança em Redes de Computadores 3
Pilha de Protocolo DARPA (Cont.) Aplicação:
Interface de programação (API): socket’s (SSL) e NetBios Suporte a operação de rede: DNS,WINS,DHCP,BOOTP,SNMP,
RMON Serviços de usuário final: HTTP, SMTP, POP,
NTP,TELNET,FTP,TFTP, ... Transporte: TCP, UDP Rede:
IP – endereçamento e roteamento de pacotes na rede (R)ARP – endereço de hardware para hosts localizados na
mesma rede física ICMP – informações sobre as condições de transmissão de
datagramas na rede ou sobre erros IGMP – especificação de computadores ligados a grupos
multicast Físico:
WAN:ATM, FDDI, Frame Relay e X.25 LAN:Ethernet, FastEthernet, Token Ring e FFDI Discado: PPP e SLIP
OSRC– Segurança em Redes de Computadores 4
Firewall Definição:
Firewalls são componentes derivados de procedimentos que implementam uma política de segurança
Objetivam restringir ou controlar o fluxo de informação entre duas ou mais sub-redes
Colocados na fronteira entre duas ou mais redes com necessidade de segurança distintas
OSRC– Segurança em Redes de Computadores 5
Firewall: finalidades
O firewall é um mecanismo desenvolvido para: Prevenir acessos não autorizados de ou para uma rede
segura Atuar como uma porta de controle entre redes externas
e internas, ou qualquer outra rede que se deseje controlar o acesso
Permitir que somente o tráfego que atenda determinados critérios passe através deles
Importante: O firewall pode proteger apenas redes cujos tráfego
para chegar as mesmas passe através dele
OSRC– Segurança em Redes de Computadores 6
Para que servem os firewalls?
Controlar os serviços a serem disponibilizados Proteger uma rede de ataques externos Registrar a comunicação entre as máquinas internas e
externas Esconder máquinas internas Converter endereços IP (NAT – Network Address Translation) Cifrar (VPN – Virtual Private Network) Autenticar tráfego de dados/usuários Bloquear comunicação entre máquinas da mesma sub-rede Impedir ataques de pessoas internas Analisar contextos
OSRC– Segurança em Redes de Computadores 7
Classificação de Firewalls
Categoria: Pessoal Corporativo
Tipo de filtragem: Filtro de rede Proxies Filtro de estados
OSRC– Segurança em Redes de Computadores 8
Classificação Firewalls:Categoria Firewalls Pessoais:
Objetivam proteger apenas um host, normalmente uma estação de trabalho ou dispositivo móvel
Preocupam-se mais com o controle de entrada do que saída
Exigem templates/modelos de pré-configurações para facilitar o manuseio/gerência
OSRC– Segurança em Redes de Computadores 9
Classificação Firewalls:Categoria
Firewalls Corporativos: Tem por finalidade controlar e proteger redes
Pode ser empregado como fronteira com a Internet Pode ser empregado para segmentar redes internas
dentro da própria instituição ou com seus parceiros
Preocupação com controle do tráfego em todos os sentidos
Análise extensiva dos logs gerados
Administração mais complexa, exigindo conhecimentos sólidos em redes de computadores
OSRC– Segurança em Redes de Computadores 10
Classificação Firewalls:Tipo de Filtragem
Filtro de Pacotes: Análise do tráfego de rede
Proxies: Análise do tráfego da camada de aplicação
Filtragem com estado: Stateless:
Análise de todas as camadas com alguma consistência Statefull:
Análise de todas as camadas com várias consistências
OSRC– Segurança em Redes de Computadores 11
Filtro de pacotes simples
Roteador
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
OSRC– Segurança em Redes de Computadores 12
Filtro de pacotes simples
Cliente
Cracker
Filtro de IPServidor FTP
VulnerabilidadesToda faixa de portas TCP, UDP e ICMP abertas
OSRC– Segurança em Redes de Computadores 13
Filtro de pacotes simples (Cont.)
Características: Bom desempenho Baixo nível de segurança Incapazes de lidar seletivamente com o protocolo UDP Incapazes de lidar com protocolos de aplicações Não protegem contra ataques de negação de serviço Permitem rastreabilidade
Utilização: Normalmente empregados em roteadores e alguns switches de
nível 3 como “peneira grossa”
OSRC– Segurança em Redes de Computadores 14
Filtro de pacotes simples (Cont.)
DescartaRede_InternaInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Número: As regras possuem prioridades, normalmente as regras superiores suplantam
as inferiores IP de Origem:
Endereço do host, rede ou segmento que origina o acesso IP de Destino:
Endereço do host, rede ou segmento destino do acesso Ação:
Essencialmente três tipos (podem haver mais dependendo do firewall) : Aceita: Permite que o pacote atravesse o firewall Rejeita: Não permite que o pacote atravesse o firewall, respondendo a
origem Descarta: Não permite que o pacote atravesse o firewall, joga o pacote fora
e não responde a origem
OSRC– Segurança em Redes de Computadores 15
Definição: Mecanismo de controle de acesso que atua na
camada de aplicação que pode ser empregado para o controle de tráfego/conteúdo específico a natureza do protocolo para o qual foi desenvolvido
É um serviço que atua entre um cliente interno e um cliente externo, servindo como um ponto único de acesso
Proxy
OSRC– Segurança em Redes de Computadores 16
Proxy (Cont.)
Aplicações principais: Cache: economizar largura de banda através do
armazenamento de conteúdo comumente acessado Regras de Acesso: controle de acesso feito a nível de protocolo,
a fim de evitar uso não autorizado ou indevido Filtro de IP: Evitar que acessos de redes não autorizadas sejam
feitos ao serviço
OSRC– Segurança em Redes de Computadores 17
Proxy (Cont.)
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Apresentação
Aplicação
Sessão
Transporte
Rede
Dados
Física
Gateway deAplicação
OSRC– Segurança em Redes de Computadores 18
Proxy (Cont.)
Cliente
Cracker
ProxyServidor FTP
Vulnerabilidadespilha ou S.O.
S.O. e toda parte baixa da pilha de
protocolos expostos
OSRC– Segurança em Redes de Computadores 19
Proxy (Cont.)
Principais arquiteturas empregadas:
Transparente Tradicional
OSRC– Segurança em Redes de Computadores 20
Arquitetura Proxy: Transparente
OSRC– Segurança em Redes de Computadores 21
Arquitetura Proxy: Tradicional
OSRC– Segurança em Redes de Computadores 22
Proxy (Cont.) Características:
Baixo desempenho Grau de segurança superior aos filtros de pacotes São suscetíveis a falhas do sistema operacional e pilha de
protocolos inferior que os executa ou dá suporte Para cada serviço é necessário um proxy Não protegem o computador hospedeiro Podem exigir modificações nas máquinas clientes
Utilização: Normalmente são empregados após um firewall do tipo
filtro de estados ou superior Utilizado comumente para controle de navegação e uso de
correio eletrônico
OSRC– Segurança em Redes de Computadores 23
Filtragem com Estado
Características: Bom desempenho Bom nível de segurança Alguns podem trabalhar com protocolos de aplicação
(Statefull) Protegem contra ataques de negação de serviço Protegem a rede interna e a própria máquina onde
são executados Não permitem varreduras
OSRC– Segurança em Redes de Computadores 24
Filtro de Estados Simples
Cliente
Cracker
Firewall Filtro de Estados
Servidor FTP
Vulnerabilidades do serviço de
FTP
S.O. e toda parte baixa da pilha de
protocolos escondida / protegida
OSRC– Segurança em Redes de Computadores 25
Filtro de Estados simples (Cont.)
Todos
FTP
Serviço
Todos
TCP
Protocolo
DescartaInternetInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Número: As regras possuem prioridades, normalmente as regras superiores
suplantam as inferiores IP de Origem / Destino:
Endereço do host, rede ou segmento de originem/destino do acesso Protocolo:
Pode ser TCP, UDP, ICMP ou Todos Serviço:
Número da porta ou faixa de portas do serviço que está sendo controlado Ação:
Além do três tipos essenciais: Log: faz o registro apenas, podendo em determinados firewalls ser uma
opção aditiva Contador: para fins de contabilidade de tráfego, também pode ser aditivo
OSRC– Segurança em Redes de Computadores 26
Statefull: Protocolo TCPEstabelecimento de Conexão:
Aperto de mão triplo (Triple Handshake):
Cliente
Cliente
Cliente
Servidor
Servidor
Servidor
Desejotransmitir
Estou pronto
OK, iniciar
OSRC– Segurança em Redes de Computadores 27
Filtragem com estado
OSRC– Segurança em Redes de Computadores 28
Filtro de Estados Statefull
Cliente
Cracker
Firewall Filtro de Estados
Statefull
Servidor FTP
Vulnerabilidades limitadas pelos
comandos permitidos
S.O. e toda parte baixa da pilha de protocolos
escondida / protegida. Aplicação protegida pelos
comandos permitidos
OSRC– Segurança em Redes de Computadores 29
Filtro de Estados Statefull (Cont.)
Todos
FTP_Proxy
Serviço
Todos
TCP
Protocolo
DescartaInternetInternet2
AceitaServidor_FTPInternet1
AçãoIP de DestinoIP de OrigemNo
Serviço: Além do número da porta ou faixa de portas do serviço que está
sendo controlado, pode indicar um proxy interno ou externo que avalie o conteúdo do pacote
Ação: Além do três tipos essenciais:
Log: faz o registro apenas, podendo em determinados firewalls ser uma opção aditiva
Contador: para fins de contabilidade de tráfego, também pode ser aditivo
Outras funções que visem integração com outros softwares, como IDS
OSRC– Segurança em Redes de Computadores 30
Topologia do Firewall
Dual Homed Host:
OSRC– Segurança em Redes de Computadores 31
Topologia do Firewall (Cont.)
Screened Host:
OSRC– Segurança em Redes de Computadores 32
Topologia do Firewall (Cont.)
Screened Subnet:
OSRC– Segurança em Redes de Computadores 33
Topologia do Firewall Exemplo
OSRC– Segurança em Redes de Computadores 34
Topologia do Firewall Exemplo (Cont.)
Observações: Quanto a DMZ: possui servidores de HTTP/HTTPS, SMTP/POP3s,
DNS e FTP. O servidor HTTP/HTTPS possui uma aplicação que acessa, no Servidor BD, o banco de dados através da porta TCP/2471
As estações de trabalho somente poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ e todos os serviços TCP e UDP que estão no segmento servidores
Da Internet (considerar como todas as redes externas a essa estrutura) somente poderão acessar os serviços de HTTP/HTTPS, SMTP e DNS localizados na DMZ
Os computadores do segmento Servidores poderão acessar HTTP/HTTPS, SMTP/POP3s, DNS e FTP da DMZ
Os computadores do segmento DMZ poderão acessar HTTP/HTTPS, SMTP, DNS e FTP na Internet
Demais questões não definidas, pertinentes às respostas, poderão ser atribuídas desde que justificadas e em concordância com as recomendações/normas/padrões de segurança
OSRC– Segurança em Redes de Computadores 35
Topologia do Firewall : Endereçamento IP
Roteador: rot_int_externa: IP/Masc: 200.18.7.1/255.255.255.252rot_int_interna: IP/Masc: 200.19.107.254/255.255.255.248
Default Gateway: 200.18.7.2 (end. do roteador do provedor de telco)
OSRC– Segurança em Redes de Computadores 36
Topologia do Firewall : Endereçamento IP
Firewall:fw_int_ext/Masc: 200.19.107.253/255.255.255.248fw_int_dmz/Masc: 192.168.10.254/255.255.255.0fw_int_serv/Masc: 192.168.20.254/255.255.255.0fw_int_ri/Masc: 192.168.30.254/255.255.255.0
Default Gateway: rot_int_interna→ Firewall é responsável por prover serviço de NAT
OSRC– Segurança em Redes de Computadores 37
Topologia do Firewall : Endereçamento IP
Segmento Servidores:rede_serv/Masc: 192.168.20.0/255.255.255.0Default Gateway: fw_int_serv
OSRC– Segurança em Redes de Computadores 38
Topologia do Firewall : Endereçamento IP
Segmento DMZ:rede_dmz/Masc: 192.168.10.0/255.255.255.0Default Gateway: fw_int_dmz
hosts:dmz_www: 192.168.10.1dmz_correio: 192.168.10.2 dmz_nomes: 192.168.10.3dmz_proxy: 192.168.10.4dmz_ftp: 192.168.10.5
OSRC– Segurança em Redes de Computadores 39
Topologia do Firewall : Endereçamento IP
Segmento Rede Interna (RI):rede_ri/Masc: 192.168.30.0/255.255.255.0 ri_faixa_DHCP: 192.168.30.100 – 192.168.30.253
Default Gateway: fw_int_rihosts:
ri_BD: 192.168.30.1ri_DHCP: 192.168.30.2 (estações recebem as informações de
rede através de serviço DHCP)Faixa de IP's feita por ri_DHCP: 192.168.30.100 – 192.168.30.253Default Gateway fornecido por ri_DHCP: fw_int_ri Máscara fornecida por ri_DHCP: 255.255.255.0Servidor de Nomes (DNS) fornecido por ri_DHCP: dmz_nomes
OSRC– Segurança em Redes de Computadores 40
Topologia do Firewall : Endereçamento IP
Internet: IP/Masc:0.0.0.0/0.0.0.0
OSRC– Segurança em Redes de Computadores 41
Topologia do Firewall: Endereçamento IP
Serviços: HTTP: TCP/80 HTTPS: TCP/443 SMTP:TCP/25 POP3s: TCP/995 DNS: TCP/53 e UDP/53 FTP: TCP/20 eTCP/21 PROXY: TCP/3128 BD: TCP/2471 ANY: Todos os serviços TCP/UDP/ICMP Todos_TCP: Todos os serviços TCP Todos_UDP: Todos os serviços UDP
OSRC– Segurança em Redes de Computadores 42
Topologia do Firewall: Endereçamento IP
Tabela de NAT, definições: Endereço criado para ident. a saída do proxy:
nat_proxy: 200.19.107.252 Endereço criado para ident. a saída dos demais servidores da rede_dmz:
nat_dmz: 200.19.107.251
Todas as demais saídas utilizam um IP de saída diferente do proxy
------------------nat_dmz
HTTP/HTTPS SMTPDNSFTP
Internet
dmz_correiodmz_nomesdmz_ftpdmz_www
N:1
Permite identificar os acessos do proxy de modo separado
------------------nat_proxy
HTTP/HTTPSSMTPDNSFTP
Internetdmz_proxy1:1
Libera DNS p/ InternetDNSdmz_nomesDNSfw_int_extInternetserviço
Libera SMTP p/ InternetSMTPdmz_correioSMTPfw_int_extInternetserviço
Libera www p/ InternetHTTP/HTTPSdmz_wwwHTTP/HTTPSfw_int_extInternetserviço
ComentárioServ_TradEnd_Trad.ServiçoDestinoOrigemNAT
OSRC– Segurança em Redes de Computadores 43
Topologia do Firewall: Endereçamento IP
Regra de fechamento explícitaDescartaANYInternetInternet8
Cumpre a observ. 4AceitaHTTP/HTTPS
SMTP, DNSrede_DMZInternet7
Cumpre a observ. 3AceitaTodos_TCP
Todos_UDPrede_servri_faixa_dhcp6
Cumpre a observ. 3AceitaHTTP/HTTPS,SMTP,
POP3s, DNS, FTPrede_DMZri_faixa_DHCP5
Cumpre a observ. 2AceitaPROXY dmz_proxyri_faixa_DHCP4
Cumpre a observ. 5AceitaHTTP/HTTPS, SMTP,
DNS, FTPrede_dmzrede_serv3
Cumpre a observ. 6AceitaHTTP/HTTPS,SMTP, DNS, FTP
Internetrede_dmz3
Evita acessos não autorizados da DMZ a rede_ri e rede_serv
RejeitaANYrede_serv rede_ri
rede_dmz2
Libera acesso da aplicação ao Banco de Dados da rede_ri.
Cumpre a observ. 1AceitaBDri_BDdmz_www1
ComentárioAçãoProtocolo/ServiçoIP DestinoIP OrigemN o
Regras de Acesso
OSRC– Segurança em Redes de Computadores 44
Opções de Firewall
Opções de firewall:
Sistema operacionaltradicional mais
softwarede firewall
Utilitário baseado em hardware (Appliance)
Firewall-1
Aker
Cisco Pix
Aker Box
IpTables
StoneGate
OSRC– Segurança em Redes de Computadores 45
CheckPoint Firewall-1
OSRC– Segurança em Redes de Computadores 46
CheckPoint Firewall-1
OSRC– Segurança em Redes de Computadores 47
Firewall Aker
OSRC– Segurança em Redes de Computadores 48
Firewall Aker
OSRC– Segurança em Redes de Computadores 49
Firewall Aker
OSRC– Segurança em Redes de Computadores 50
Interface de Gerenciamento
Uma organização pode possuir várias soluções de firewalls distintas. Problemas da diversidade: Várias interfaces diferentes Metodologia de funcionamento distinta Princípios de operação difícil Demora na aplicação de medidas emergenciais
Solução: Utilizar uma ferramenta de gerenciamento
centralizado
OSRC– Segurança em Redes de Computadores 51
Interface de Gerenciamento (Cont.)
Definição: Meio de gerenciamento facilitado de um ou mais
firewalls de modo centralizado Deve fornecer meios de aumentar a eficiência global
de gerenciamento, em especial velocidade e flexibilidade
Deve focar a atenção do administrador nos problemas e não no uso da ferramenta (depois de instalado e feita a configuração inicial)
OSRC– Segurança em Redes de Computadores 52
Interface de Gerenciamento: FwBuilder
OSRC– Segurança em Redes de Computadores 53
Interface de Gerenciamento: FwBuilder
OSRC– Segurança em Redes de Computadores 54
Interface de Gerenciamento: FwBuilder
OSRC– Segurança em Redes de Computadores 55
Escolha de um Firewall
Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a relação: Custo x Recursos Desejados x Flexibilidade
Ponto essencial é a familiaridade com a plataforma operacional do firewall A maioria dos firewalls está disponível para um
conjunto reduzido de plataformas operacionais, e a sua escolha deve se restringir a um dos produtos que seja executado sobre uma plataforma com a qual os administradores da rede tenham experiência
OSRC– Segurança em Redes de Computadores 56
Escolha de um Firewall (Cont.)
A existência de um firewall instalado em um sistema inseguro pode ser até mais perigosa do que a ausência do firewall na rede
Os produtos tendem a seguir a filosofia da plataforma na qual são executados. Exemplo: A maioria dos firewalls para MS-Windows é
configurada através de menus e janelas Firewalls para Unix/ e GNU/Linux são usualmente
configurados por meio de arquivos texto
OSRC– Segurança em Redes de Computadores 57
OSRC– Segurança em Redes de Computadores 58
Leitura Recomendada: Cert.Br:
http://www.cert.br/docs/seg-adm-redes/
Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002.
Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002.
Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000.
Norma NBR-ISO/IEC 17799. Versão 2.0
SANS: http://www.sans.org/resources/popular.php#firewall http://www.sans.org/rr/whitepapers/firewalls/815.php