FIREWALLS
Cristina Dutra de Aguiar Ciferri
Ricardo Rodrigues Ciferri
Sônia V. A. França
cdac,rrc,[email protected]
Firewalls
• Simples pontos de conexão entre duas redes
não confiáveis
• Permitem que a comunicação seja
monitorada e segura
• Propriedades
– todo tráfego deve passar pelo firewall
– somente o tráfego autorizado pode passar
– o firewall propriamente dito é imune de
invasões
Internet
baseado em:
• hardware
• software
Firewall
sistema de firewall:
• roteador
• PC
• sistema Unix
• conjunto
hosts
redede
interna
Firewall
• Seguro
– não é um host de propósito geral
• Ponto central para administração de
serviços
– correio eletrônico
– ftp
• Garante política de segurança
Firewall
• Foco de decisões de segurança
– mais eficiente do que espalhar decisões e
tecnologias de segurança
• Permite rastreamento
– origem das conexões
– quantidade de tráfego no servidor
– tentativa de quebra do sistema
• Limita a exposição
Firewall
Não oferece proteção contra:
• Ataques internos maliciosos
• Conexões que não passam pelo firewall
• Ameaças totalmente novas
• Vírus
Tecnologia
• Estática
– permitir qualquer serviço a menos que ele seja
expressamente negado
– negar qualquer serviço a menos que ele seja
expressamente permitido
• Dinâmica
– permitir/negar qualquer serviço para quando e
por quanto tempo desejar
Componentes
protege
a rede
• também
chamado de
interna
screendas
(screening
• zona desmilitarizada
(DMZ)
protege
o
consequências
de
• umarouter)
máquina
•
gateway
+ gateway
interno
gateway
de
um
gateway
• bloqueia
transmissão de
• conjunto
de máquinas
ataques
certas classes
de tráfego
que comprometido
oferece(m)
serviços
através de proxy
Filtro
rede
interna
Filtro
Gateway(s)
Internet
Packet Filtering
• Funcionalidade
– roteia pacotes entre hosts internos e externos de
maneira seletiva
– permite ou bloqueia a passagem de certos tipos
de pacotes
– reflete a política de segurança do site
• Filtragem
– quando o pacote está chegando
– quando o pacote está saindo
Packet Filtering
• Filtragem baseada em
–
–
–
–
–
endereços fonte e destino
portas fonte e destino
protocolo
flags
tipo da mensagem
• Exemplos
– bloqueie todas as conexões oriundas do host X
– permita apenas conexões SMTP
Internet
screening
router
rede interna
Packet Filtering
Screening Router
• determina se pode ou
não enviar o pacote
• determina se deve ou
não enviar o pacote
Como o pacote pode
ser roteado?
O pacote deve ser
roteado?
Router
• verifica endereço de
cada pacote
• escolhe melhor
maneira de enviá-lo
Como o pacote pode
ser roteado?
Configuração
Processo de três passos:
• Determinar o que deve e o que não deve ser
permitido
– política de segurança
• Especificar formalmente os tipos de pacotes
permitidos
– expressões lógicas
• Reescrever as expressões de acordo com o
produto
Exemplo
• Passo 1
– tráfego IP: host externo confiável (172.16.51.50) e hosts
da rede interna (192.168.10.0)
• Passo 2
Regra Direção
Fonte
Destino
ACK
Ação
interna
qualquer
permitir
172.16.... qualquer
permitir
A
inbound
172.16...
B
outbound
interna
C
ambas
qualquer
qualquer
qualquer
negar
Exemplo
• Passo 3
– Screend
• between host 172.16.51.50 and net 192.168.10
accept;
• between host any and host any reject;
– Telebit NetBlazer
•
•
•
•
permit 172.16.51.50/32 192.168.10/24 syn0 in
deny 0.0.0.0/0 0.0.0.0/0 syn0 in
permit 192.168.10/24 172.16.51.50/32 syn0 out
deny 0.0.0.0/0 0.0.0.0/0 syn0 out
Filtragem por Endereço
• Características
– restringe o fluxo de pacotes baseado nos
endereços fonte e destino
– não considera quais protocolos estão envolvidos
• Utilização
– permite a comunicação hosts externos e hosts
internos
• Problema
– endereços podem ser inventados
Telnet
Server
Filtragem por Serviço
Internet
Firewall
Telnet
Client
OUTGOING
IP fonte: cliente local
IP destino: servidor
serviço: TCP
porta fonte: >1023 (Y)
porta destino: 23
(telnet)
rede
interna
pacotes:
• 1: sem ack
• demais: com ack
Outbound
Telnet
Server
Filtragem por Serviço
Internet
Firewall
INCOMING
IP fonte: servidor
IP destino: cliente local
serviço: TCP
porta fonte: 23 (telnet)
porta destino: >1023
(Y)
rede interna
pacotes: com ack
Telnet
Client
Outbound
Telnet
Client
Filtragem por Serviço
Internet
Firewall
Telnet
Server
INCOMING
IP fonte: cliente remoto
IP destino: servidor
serviço: TCP
porta fonte: >1023 (Z)
porta destino: 23
(telnet)
rede
interna
pacotes:
• 1: sem ack
• demais: com ack
Inbound
Telnet
Client
Filtragem por Serviço
Internet
Firewall
OUTGOING
IP fonte: servidor
IP destino: cliente remoto
serviço: TCP
porta fonte: 23 (telnet)
porta destino: >1023
(Z)
rede interna
pacotes: com ack
Telnet
Server
Inbound
Filtragem por Serviço
Direção Direção End.
End.
Tipo Porta Porta
Serviço Pacote Fonte Destino Pacote Fonte Destino
outbound outgoing
ACK
interno
externo
TCP
Y
23
a
outbound incoming externo
interno
TCP
23
Y
Yes
inbound
incoming externo
interno
TCP
Z
23
a
inbound
outgoing
externo
TCP
23
Z
Yes
interno
Regra Direção End.
End. Proto
Fonte Destino colo
Porta Porta ACK
Fonte Destino
Ação
A
out
interno
qq
TCP
>1023
23
qq
permitir
B
in
qq
interno
TCP
23
>1023
Yes
permitir
C
ambas
qq
qq
qq
qq
qq
qq
negar
Packet Filtering
• Vantagens
– pode ajudar a proteger uma rede inteira
– não requer conhecimento ou cooperação do
usuário
– disponível em vários roteadores
– baixo custo
• Desvantagens
.........
Application-Level Gateway
propagação
do pedido
servidor
real
pedido
cliente
servidor
cliente
interno
propagação
da resposta
resposta
proxy possui
controle total
Circuit-Level Gateway
circuit-level
gateway
porta
fonte
TCP
porta
destino
IP
Acesso a Rede
cliente
servidor
Arquitetura de Firewalls
• Solução universal ?
• Problemas
– quais serviços serão disponibilizados ?
– qual o nível de risco ?
– qual a política de segurança ?
• Técnicas
– tempo, custo e conhecimento
– TELNET e SMTP  packet filtering
– FTP e WWW  proxy
Packet Filtering Architecture
• Screening Router é colocado entre uma rede
interna e a Internet
• Controle do tráfego de rede: endereços IP,
portas, protocolo, flags, ...
• Nenhuma mudança é requerida nas
aplicações cliente e servidor (pacotes)
• Simples  mais comum e fácil de usar em
sites pequenos
• Mas ....
Packet Filtering Architecture
• Problemas:
–
–
–
–
falha compromete toda a rede interna
número de regras pode ser limitado
desempenho x número de regras
não é possível modificar serviços: permite ou
nega, mas não pode proteger operações
individuais
– complexidade de configuração
– tratamento de exceções
– log dos pacotes que passaram
Dual-Homed Host Architecture
roteamento opcional
interface
de rede
interface
de rede
Rede 1
Multi-Homed Host:
várias interfaces
de rede (homes)
interface
de rede
Rede 3
Rede 2
Dual-Homed Host Architecture
• Host: 2 interfaces de rede (interna e Internet)
• Função de roteamento desabilitada
– pacotes não são roteados diretamente para outra
rede  não permite comunicação direta entre a
rede interna e a Internet
– isolamento de tráfego entre as redes
• Acessível
– por hosts da rede interna
– por hosts da Internet
– requer alto nível de proteção
Dual-Homed Host Architecture
• Login diretamente no dual-homed host
– acesso aos serviços através da interface de rede
externa (Internet)
– segurança do sistema pode ser comprometida
– vulnerabilidade de senhas
– usuário pode habilitar serviços inseguros
– dificuldade de monitoração e detecção de
ataques
– baixo desempenho
– oferecimento de serviços indesejáveis
Dual-Homed Host Architecture
mail
FTP
proxy
interface
interface
Internet
ILUSÃO
FTP
servidor “store-and-forward”: SMTP (mail) e NNTPcliente
Serviços
(news)
Internet
real
interno
Internet
screening
router
rede interna
bastion
host
Screened Host Architecture
• Problemas
– falha do roteador  compromete segurança
oferecida pelo bastion host
– ataque ao bastion host  não há outra barreira
entre a Internet e a rede interna
– visibilidade de tráfego interno: coleta de senhas
através de monitoração de seções telnet, ftp e
rlogin, acesso a arquivos e/ou mails que estejam
sendo lidos/acessados
bastion
host
Internet
screening router
externo
rede perimetral - DMZ
screening
router interno
rede interna
Screened Subnet Architecture
• Visibilidade do tráfego
– via bastion host apenas para a DMZ
– ideal: tráfego na DMZ não deve ser confidencial
– dados devem ser protegidos por criptografia
• Serviços externos
– via proxy
– conexão direta via packet filtering
Internet
WWW/FTP
externo
DMZ externa
intermediário
DMZ interna
interno
rede interna
Internet
Múltiplos BHs
WWW
FTP
SMTP2
rede perimetral - DMZ
desempenho, redundância, separação de dados e serviços
rede interna
Internet
externo
DMZ externa
quebra não permite
visibilidade do tráfego
da rede interna
bastion host
DMZ interna
interno
rede interna
Produtos Comerciais
• Informações técnicas de produtos de firewall
– www.access.digex.net/~bdboyle/firewall.vendor.html
• Grande variedade
–
–
–
–
SecurIT  www.milkyway.com/prod.html
Borderware  www.securecomputing.com
Firewall-1  www.CheckPoint.com
... Guardian  www2.ntfirewall.com/ntfirewall
• Freestone: código fonte de produto comercial
– www.soscorp.com/products/Freestone.html
Firewall-1
• É um sistema de segurança de rede para
criação e gerenciamento de firewall TCP/IP.
• Possibilita que empresas construam suas
próprias políticas de segurança.
• Instalado em um servidor de gateway, o
Firewall-1 atua como um roteador seguro
para passagem de tráfego entre companhias
privadas e redes públicas.
Firewall-1
• Características:
–
–
–
–
Filtragem segura de pacotes;
Acesso seguro a Internet;
Acesso remoto seguro;
Redes Virtuais Privadas (VPN) para criar
seguros “túneis” através de redes públicas
inseguras;
– Habilidade para definir a adicionar novos
protocolos e serviços;
– Auditoria e alerta.
Firewall-1
• Vantagens:
–
–
–
–
–
flexibilidade;
escalabilidade;
extensibilidade;
transparência;
suporte a múltiplos
protocolos e
tecnologia de rede;
– pode ser distribuído
sobre múltiplas
plataformas;
– requerimentos de
conectividade sem
causar impacto a
performance da
rede.
Firewall-1
• Requerimentos:
Plataforma de hardware :
Sistema Operacional :
Interface Gráfica :
Espaço em Disco :
Memória :
Interface de Rede :
Sun Sparc
Intel executando Solaris 2.4 ou versões superiores
SunOs 4.1.3 ou Solaris
Windows 95/Windows NT
X11R5/Open Look
15 Mb
32 Mb
Interface padrão de SUN workstation
Firewall-1
• Arquitetura:
– Atua como um roteador seguro entre uma rede
interna e uma rede externa.
Internet
Rede
Externa
FireWall-1
Rede
Interna
Firewall-1
• Arquitetura:
– Módulo de Controle: inclui o módulo de
gerenciamento e interface para o usuário;
– Módulo FireWall: inclui o módulo de
inspeção, deamons do FireWall-1 e segurança
dos servidores. Implementa política de
segurança, log dos eventos e comunica-se com
o módulo de controle através de deamons.
Firewall-1
• Arquitetura:
Estação de
gerenciamento
Gateway/
FireWall
Canal de comunicação seguro
Módulo de Inspeção
Interface gráfica do usuário
Login e Status
Status
Logs/Alerta
Deamon
Servidor de gerenciamento
Comandos
Logs/Alerta
Log/Alerta
Módulo FireWall
Módulo de Controle
Firewall-1
• Arquitetura
– Módulo de Controle
• Usado para implementar a política de segurança de
rede;
• Controla o módulo de filtragem de pacotes;
• Pode ser usado como um facilidade para visualizar
login e controle de informação.
• Gerenciador de Serviços: define os serviços que são
conhecidos para o sistema e que estão especificados
na política de segurança( Telnet, FTP, HTTP, UDP,
etc)
Firewall-1
• Arquitetura
– Módulo FireWall
• O módulo de inspeção é dinamicamente carregado
no kernel do sistema operacional, entre a camada 2 e
3. Ele faz o gerenciamento dos pacotes que entram e
saem da rede.
• Possibilita ao administrador definir regras de
segurança onde não apenas a comunicação com a
fonte, destino e serviços são verificados, mas o
usuário também é autenticado.
• Rejeição de e-mails, acesso negado a URLs e
checagem da vírus nas transferências de arquivos.
Firewall-1
Pacote recebido
7 Aplicação
6 Apresentação
O pacote
esta dentro
das regras?
Sim
5 Sessão
Não
4 Transporte
3 Rede
Sim
2 Enlace
1 Física
Mais
alguma
regra?
Opcional: log/Alerta
Passar
o
Pacote?
Não
Não
Não
Pacote
descartado
Enviar NACK
Sim
Firewall-1
Pacote recebido
7 Aplicação
6 Apresentação
O pacote
esta dentro
das regras?
Sim
5 Sessão
4 Transporte
3 Rede
Opcional: log/Alerta
Sim
2 Enlace
1 Física
Não
Mais
alguma
regra?
Não
Passar
o Pacote?
Não
Não
Pacote
descartado
Enviar NACK
Setar a
próxima
regra
Sim
Firewall-1
• Performance
– Emprega diversas técnicas de otimização
• Rodando dentro do kernel do sistema operacional
reduz processamento;
• otimização na filtragem de pacotes reduz o tempo
gasto para executar as ações da filtragem;
• técnicas de gerenciamento de memória prove rápido
acesso a recursos da rede.
Conclusões
• Firewalls
– maturidade tecnológica
– política de segurança é garantida em um único
componente lógico
– quanto maior o grau de segurança oferecido,
maiores os custos associados e menor a
flexibilidade no oferecimento de serviços
– não substimar o tempo de implantação de um
firewall, mesmo quando este for comprado.
Não existe firewall “plug and play”