Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de Tecnologia em Redes de Computadores Administração de Redes Firewall de Rede Sumário Apresentação Conceito Histórico Protocolos de Rede Tipos de Firewalls Projeto de Firewall Aplicações Estudos de Caso Referências Administração de Redes: Enfoque na Segurança da Informação. 2 Conceito Segundo os autores, Cheswick e Bellovin, um firewall é uma coleção de componentes ou um sistema localizado entre duas redes e que possui as seguintes propriedades: Todo o tráfego entrante e sainte, obrigatoriamente, deverá passar pelo firewall Somente tráfego autorizado de acordo O objetivolocal de um firewall é com a política de segurança deverá previnir que usuários nãoter permissão de passar pelo firewall autorizados acessem O próprio firewall deve ser imune a recursos na rede interna e invasões que acessem recursos externos indesejados Administração de Redes: Enfoque na Segurança da Informação. 3 Histórico 1987-1988 – É publicado um artigo pela empresa Digital Equipament Corporation (DEC) sobre um modelo de filtragem de pacotes (stateless) 1989-1990 – Começam a aparecer as primeiras tentativas de firewall stateful 1991 – O primeiro firewall comercial DEC SEAL, baseado em proxies de aplicações 1992 – Lançado o firewall comercial da empresa CheckPoint, o Firewall-1 1993 – FreeBSD ipfilter 1994 – FreeBSD ipfw, avanços em relação ao ipfilter 1995 - Linux ipfwadm, baseado no ipfw do FreeBSD, no Kernel 1.2.1 do Linux 1997 – Linux ipchains, evolução do ipfwadm 1998 – Linux iptables (NetFilter), evolução do ipchains com recursos de statefull Administração de Redes: Enfoque na Segurança da Informação. 4 Tipos de Firewall Stateless (Packet Filter) Filtragem de pacotes, sem analisar o estado da conexão Stateful Filtragem de pacotes, analisando o estado da conexão (TCP e UDP) Proxy de aplicação Filtragem de acordo com o protocolo da camada de aplicação Firewall de aplicação Filtragem somente pelo endereço IP de origem, mais simples que os outros tipos Administração de Redes: Enfoque na Segurança da Informação. 5 Protocolos de Rede O firewall deverá inspecionar os pacotes de acordo com as regras e políticas configuradas Os cabeçalhos dos pacotes da camada de rede e de transporte são normalmente inspecionados Endereços IP de origem e destino Protocolos da camada de rede: ICMP, IGRP, ... Protocolos da camada de transporte: TCP e UDP Portas de comunicação de origem e destino Flags do protocolo TCP (stateful) Administração de Redes: Enfoque na Segurança da Informação. 6 Protocolos de Rede Protocolo IP Administração de Redes: Enfoque na Segurança da Informação. 7 Protocolos de Rede Protocolo ICMP Administração de Redes: Enfoque na Segurança da Informação. 8 Protocolos de Rede Protocolo UDP Administração de Redes: Enfoque na Segurança da Informação. 9 Protocolos de Rede Protocolo TCP Administração de Redes: Enfoque na Segurança da Informação. 10 Projeto de Firewall Política de regras O que não é expressamente permitido é proibido O que não é expressamente proibido é permitido Híbrido Zoneamento Rede interna Rede externa DMZ (Demilitarized Zone) Tipo de firewall Administração de Redes: Enfoque na Segurança da Informação. 11 Aplicações Microsoft Windows XP Personal Firewall ZoneAlarm Microsoft Windows 7 Modem/Router ADSL Administração de Redes: Enfoque na Segurança da Informação. 12 Aplicações Linux Kernel 2.0 (ipfwadm) Kernel 2.2 (ipchains) Kernel 2.4 e 2.6 (iptables) FreeBSD IPF IPFW PF Pfsense (http://www.pfsense.org/) distribuição baseada no FreeBSD configuração pelo navegador Disponível em LiveCD (~60MB) Administração de Redes: Enfoque na Segurança da Informação. 13 Aplicações Comparativo Fonte: http://en.wikipedia.org/wiki/Comparison_of_firewalls Administração de Redes: Enfoque na Segurança da Informação. 14 Estudo de Caso Desempenho de rede com firewall Qual o impacto da filtragem de pacotes e do NAT no desempenho das aplicações? Cenários de testes Firewall: iptables (Ubuntu) Ferramenta: Jperf (gerador de tráfego) Interfaces a 10 Mbit/s (só tinha estas em casa!) Firewall/Roteador: Pentium III, 128 MB de RAM Administração de Redes: Enfoque na Segurança da Informação. 15 Estudo de Caso Desempenho de rede com firewall Metodologia Gerar tráfego entre os hosts e variar as configurações do firewall Resultados Conclusão O número de regras do firewall implica diretamente no desempenho das aplicações Administração de Redes: Enfoque na Segurança da Informação. 16 Estudo de Caso Firewall Builder (http://www.fwbuilder.org/) Gerenciador de firewalls Baseado em objetos (interfaces, redes, hosts,...) Gera regras para: Cisco ACLs, iptables, ipfw, ipf,... Disponível para Demonstração Linux, Windows e Mac OS X Código-fonte aberto Versão paga para Windows e Mac OS X Administração de Redes: Enfoque na Segurança da Informação. 17 Conclusão Os firewalls são um importante recurso para aumentar a segurança dos hosts Não é o único recurso de segurança Existem diversos tipos e implementações, com ótimas alternativas em código-fonte aberto Deve haver cuidado com o uso de firewalls em relação ao desempenho da rede Administração de Redes: Enfoque na Segurança da Informação. 18 Referências Livros ZWICKY, E.; COOPER; Simon, CHAPMAN, D. B. Construindo Firewalls para a Internet. 2ª edição. Campus, 2001 NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals. Cisco Press, 2006. GHEORGHE, L. Designing and Implementing Linux Firewalls and QoS. Packt Publishing, 2006. STALLINGS, William. Criptografia e segurança de redes. 4ª edição. Pearson, 2008. CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet Security: Repelling the Wily Hacker. Online, disponível em http://www.wilyhacker.com/1e/ Administração de Redes: Enfoque na Segurança da Informação. 19 Referências Sites Documentação do Iptables http://www.netfilter.org/documentation/index.html#documentationhowto Histórico sobre firewalls http://www.cerias.purdue.edu/about/history/coast_resources/firewalls/ Firewall Builder http://www.fwbuilder.org/ Evolução dos firewalls comerciais http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm IPFW para Windows http://wipfw.sourceforge.net/ M0n0wall http://m0n0.ch/wall/ PfSense http://www.pfsense.org/ IPCOP http://www.ipcop.org/ Comparativo entre firewalls http://en.wikipedia.org/wiki/Comparison_of_firewalls Administração de Redes: Enfoque na Segurança da Informação. 20
Download
