Escolar Documentos
Profissional Documentos
Cultura Documentos
PROVEDOR
Informação e Dados
Disponibilizados
clientes
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. Monitoração
10. Intrusão
Internet Protocol
Internet Protocol
É considerado o protocolo de rede mais usado
pelas empresas, governos e Internet.
Suporta muitas aplicações pessoais, técnicas e de
negócio, desde o email e processamento de dados
até à transferência de som e imagem.
O IP permite endereçar, routear e controlar
funções de transmissão e de recepção de
datagramas sobre uma rede.
Internet Protocol
Cada datagrama inclui o seu endereço de origem
e de destino, informação de controlo e algum
dado passado de ou para o host.
A informação do endereço é usada para
determinar o melhor caminho que o pacote pode
tomar, para chegar ao seu destino.
No entanto, o IP não possui nenhum dado de
controle do caminho.
Como trabalho o endereçamento no IP
Existe um mecanismo no IP que permite aos
hosts e gateways de fazer o routeamento de um
datagrama através de uma rede.
Quando o IP recebe um datagrama, verifica o
cabeçalho, que faz parte de qualquer datagrama
pesquisando pelo número da rede destino e pela
tabela de routeamento.
Todos os datagramas com endereços locais, são
directamente entregues pelo IP, e os externos são
re-enviados ao próximo destino baseado na
informação da tabela de routeamento.
Como trabalho o endereçamento no IP
O IP também monitoriza o tamanho do
datagrama que recebe do host. Se exceder o
tamanho permitido pela rede física, o IP
parte o datagrama em fragamentos mais
pequenos, de acordo com a capacidade da
rede.
Ao chegar ao destino, os datagramas são
reasemblados e entregues ao destinatário.
Como trabalho o endereçamento no IP
As ligações IP são controladas pelos endereços IP.
Cada endereço IP é um endereço único na rede
que identifica um nó na rede, o qual inclui redes
protegidas (LAN’s, WAN’s e Intranets) bem como
desprotegidas tais como a Internet.
Os endereços IP são usados para routear os
pacotes através das redes.
O Internet Protocol é as bases do TCP/IP, um
conjunto de protocolos criados especialmente
para ligar computadores diferentes entre si.
Flags TCP
RES: Reservado (2 bits) • PSH: Push Request
• RST: Reset Connection
URG: Urgent Point • SYN: Synchronize Seqüence Number
ACK: Acknowlegment • FIN: Mais dados do transmissor
0 4 8 12 16 20 24 28 31
Número de Seqüência
Número de Confirmação
HLEN Reservado BITS DE CÓDIGO Janela de Recepção
Opções
Dados
…..
Segurança de Redes de Computadores 18
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. IDS
10. Monitoração
Gerações de Firewalls
IP
FIREWALL PESSOAL
Enlace
Placa de rede
Programa
Física externo
FIREWALL DE
REDE
22
1a.Geração (Filtros de Pacotes ou
Packet-Filtering Router)
A tecnologia foi disseminada em 1988 através de
pesquisa sustentadada pela DEC (Digital Equipment
Corporation)
O modelo tratava-se de um filtro de pacotes
responsável pela avaliação de pacotes do conjunto
de protocolos TCP/IP
Bill Cheswick e Steve Bellovin da AT&T
desenvolvem o primeiro modelo para prova de
conceito;
Regras do Modelo
Restringir tráfego através de endereço IP de
origem ou destino;
Restringir tráfego através da porta (TCP ou UDP)
do serviço;
Obs - Até hoje este tipo de tecnologia é adotada
equipamentos de rede para configurações de
acesso simples (as chamadas "listas de acesso" ou
"access lists"). O ipchains também é exemplo de um
firewall desta geração
Regras do Modelo
Regras que vão filtrar pacotes IP e os que não estejam de acordo
com as regras são eliminados:
Endereços IP (de origem e/ou destino)
Portas de transporte (origem e/ou destino)
Sentidos de criação de circuitos virtuais
Cabeçalho ICMP
Dimensão dos datagramas;
As regras baseiam-se em campos incluídos nos cabeçalhos dos
pacotes IP, TCP e UDP, como por exemplo o IP Address, o IP
Protocol field (que define o protocolo de transporte) e os números
das portas do TCP ou UDP (que definem a aplicação destino).
Routers com filtragem de Pacotes
(Packet-Filtering Router)
Routers com filtragem de Pacotes
(Packet-Filtering Router)
Possíveis Vulnerabilidades:
Apesar do principal protocolo de transporte TCP orientar-
se a um estado de conexões, o filtro de pacotes não
tinha este objetivo inicialmente
Não realizando nenhum tipo de decodificação do
protocolo ou análise criteriosa na camada de aplicação
O packet filter não se encarrega de examinar nenhum
protocolo de nível superior ao nível de transporte, como
por exemplo, o nível de aplicação que fica como tarefa dos
application gateways (proxy servers).
Portanto, qualquer falha de segurança ao nível de aplicação
não pode ser evitada utilizando somente um packet filter.
Firewall - Visão tradicional
Somente os cabeçalhos dos pacotes são inspecionados
Camada de aplição é tratada como uma “caixa preta”
Interface de configuração é simples
Eficiência na monitoração de portas
Vulnerabilidade a IP Spoofing
Dificuldade em criar regras abrangentes
Desvantagens ou aspectos delicados a ter
em conta
As principais desvantagens deste tipo de tecnologia é a falta de
controle de estado do pacote, o que permite que agentes
maliciosos possam produzir pacotes simulados (IP Spoofing
para serem injectados na sessão.
Setup e coerência das regras (baixo nível de abstracção)
Granularidade dos critérios de autenticação e autorização
Defesa contra certo tipo de ataques e possibilidades de se
tomarem medidas:
IP spoofing na origem
Source Routing
Tráfego permitido pode não ser o que se pensa …
Um segmento TCP que passou para porta 80 é mesmo
tráfego WEB ?
Tiny Fragment Attacks / DoS e DDoS
IP Spoofing
O IP Spoofing é um ataque que pode ser evitado com a
aplicação do recurso exposto acima.
Neste ataque, o intruso tenta passar por um host interno
(um host considerado confiável) utilizando o endereço IP
deste como o endereço fonte.
Se a filtragem é realizada por interface em ambos os
sentidos, este ataque não funciona porque um pacote
nunca pode chegar do mundo externo (Internet) tendo
como endereço fonte o endereço de uma máquina que está
na rede interna; ou seja, só poderia chegar àquela interface
no outro sentido.
Este tipo de ataque está exemplificado na figura a seguir:
IP Spoofing
IP Spoofing
No contexto de redes de computadores, IP spoofing é uma
técnica de subversão de sistemas informáticos que consiste em
mascarar (spoof) pacotes IP com endereços remetentes
falsificados.
Devido às características do protocolo IP, o
reencaminhamento de pacotes é feito com base numa
premissa muito simples: o pacote deverá ir para o destinatário (
endereço-destino); não há verificação do remetente — o
router anterior pode ser outro, e ao nível do IP, o pacote não
tem qualquer ligação com outro pacote do mesmo remetente.
Assim, torna-se trivial falsificar o endereço de origem, i.e.,
podem existir vários computadores a enviar pacotes fazendo-
se passar pelo mesmo endereço de origem, o que representa
uma série ameaça para os velhos protocolos baseados em
autenticação pelo endereço IP.
IP Spoofing
Esta técnica, utilizada com outras de mais alto nível,
aproveita-se, sobretudo, da noção de confiabilidade que
existe dentro das organizações: supostamente não se
deveria temer uma máquina de dentro da empresa, se ela é
da empresa.
Por outro lado, um utilizador torna-se também confiável
quando se sabe de antemão que estabeleceu uma ligação
com determinado serviço. Esse utilizador torna-se
interessante, do ponto de vista do atacante, se ele possuir
(e estiver a usar) direitos privilegiados no momento do
ataque.
IP Spoofing
Falsificação de um pacote: A cada pacote enviado estará
geralmente associada uma resposta (do protocolo da camada
superior) e essa será enviada para a vítima, pelo o atacante que
não pode ter conhecimento do resultado exacto das suas acções
— apenas uma previsão.
IP Spoofing => Uso de IP falsa.
2a.Geração (Filtros de Estado de Sessão)
host externo
ftp
smtp
http
host interno
Configuração exige menos combinações
Tende a ser mais segura
Auditoria mais simples
1 1*
1024 1024 80
8080
1025 2*
2
1026 80
3 3*
1024
1025
Proxy Socks X Proxy de Aplicação
O proxy de aplicação localiza o Servidor de Destino analisando as
informações do protocolo de aplicação.
Get http:www.pucpr.br
Aplicação Server
1024 1080 Proxy de 1024
Proxy- 80
Aplicação
Enabled
Cliente Server
1024 1080 Socks 1024
Socks 80
Proxy
Funcionamento de um Proxy de
Aplicação
Servidor Proxy
servidor proxy: Dispositivo responsável por intermediar a conexão entre
os hosts internos e o mundo externo.
O servidor proxy (procurador) é geralmente implementado através de
um computador com duas interfaces de rede, uma conectada a rede
interna e a outra a rede externa.
Quando um cliente necessita acessar informações de um servidor
externo, ele efetua o pedido ao servidor proxy.
O servidor proxy, por sua vez, contata o servidor externo e retorna o
resultado ao cliente.
Nesse procedimento, o único computador da rede exposto ao mundo
externo é o servidor proxy.
INTRANET INTERNET
IP FRIO IP QUENTE
Servidor Proxy
servidor proxy: Dispositivo responsável por intermediar a
conexão entre os hosts internos e o mundo externo.
IP FRIO IP QUENTE
INTRANET INTERNET
Proxy
IP QUENTE IP FRIO
IP quente IP frio
servidor ROUTER
IPF-D
3
IPQ-E
Internet 2
IPF-C
IPQ-D IPF-B
IP quente IPF-A
pacote
IP
física
Física
O Proxy Depende da Aplicação
Numa rede
conectada através PROXY
HTTP
PROXY
de Proxy, os serviços FTP PROXY
disponibilizados SMTP
INTRANET INTERNET
Outras Funções do Proxy
Os proxys podem executar ainda as funções de:
autenticação
cache
filtragem de conteúdo
Banco de
Dados
PROXY
4a.Geração e subsequentes
Os firewalls de estado foram introduzidos
originalmente em 1991 pela empresa DEC com o
produto SEAL, porém, não foi até 1994, com os
israelenses da Checkpoint, que a tecnologia
ganharia maturidade suficiente. O produto
Firewall-1 utilizava a tecnologia patenteada
chamada de Stateful inspection
4a.Geração e subsequentes (cont)
Stateful Inspection para inspecionar pacotes e
tráfego de dados baseado nas características de
cada aplicação, nas informações associadas a
todas as camadas do modelo OSI (e não apenas na
camada de rede ou de aplicação) e no estado das
conexões e sessões ativas, ou seja, tem capacidade
para identificar o protocolo dos pacotes transitados e
"prever" as respostas legítimas. Na verdade, o
firewall guardava o estado de todas as últimas
transações efetuadas e inspecionava o tráfego para
evitar pacotes ilegítimos
4a.Geração e subsequentes (cont)
Deep Packet Inspection associando as funcionalidades
do Stateful Inspection com as técnicas dos dispositivos
IPS (Intrusion Prevention System) ;
Detecção e Prevenção de Intrusão para fins de
identificar o abuso do protocolo TCP/IP mesmo em
conexões aparentemente legítimas;
Obs: A partir do início dos anos 2000, a tecnologia de
Firewall foi aperfeiçoada para ser aplicada também em
estações de trabalho e computadores domésticos (o
chamado Firewall Pessoal"), além do surgimento de
soluções de firewall dedicado a servidores e
aplicações específicas (como servidores web e banco
de dados);
Firewall – Visão Tradicional
Cabeçalho e camada de aplicação são
inspecionados
conteúdo
– Somente tráfego HTTP legítimo é enviado
ao Web server
Tráfego HTTP esperado
Tráfego HTTP
Tráfego de inesperado
Internet Ataques ao Web Server Web Server
entrada
Tráfego Non-HTTP
http://www.dominio.com/scripts/..%5c../winnt/system32/
cmd.exe?/c+dir+c:\
Firewall SPI
Source Destination
212.56.32.49 65.26.42.17
A inspeção Stateful é INSPECT
Source Port Dest Port
limitada apenas a 823747 80
Firewall Típico
Traffic Path
60
Firewall UTM
UTM Signatures
ATTACK-RESPONSES 14BACKDOOR
INSPECT
INSPECT
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER
61
Soluções Proxy Based
The more users and traffic added, the more threats come through
without inspection
Inspection
Inspecting
Stopped
Network Use
max max
Memory
ID | Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address
ID
scalability
Version | Service | Total Length
| Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address
Inspection possible
Not inspected
62
Firewall UTM
UTM Platform Approach
Real Time Scanning Engine
Inspecting
Real-time Scanning Network Use
max max
63
Filtrando a Camada de Aplicação
Ameaças modernas requerem inspeção
aprofundada
Protege os ativos de rede de ações na camada de
aplicação: Nimda, Slammer...
Proporciona a habilidade para definição de políticas de
segurança, a nível de aplicação, em um nível maior de
granularidade
Melhor proteção para aplicações Microsoft
Framework para filtragem de Aplicações
Filtros nativos para protocolos comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3,
Streaming media
Arquitetura extensível por plug-ins
Publicação de um Servidor WEB - Tradicional
Todo o tráfego usado na porta 80 é enviado ao Web
Server
Um Web server por endereço IP
http://www.contoso.com
http://39.1.1.1
http://www.contoso.com/../cmd?..
http://www.contoso.com/%20%20
http://www.contoso.com/scripts/
http://www.contoso.com/partners/
Web Server
Segurança de Conteúdo
Além das informações de portas, as informações de conteúdo também são
utilizadas pelo Firewall.
Normalmente, apenas os protocolos mais comuns são analisados.
HTTP: Permite Filtrar:
Métodos de acesso (GET, POST), URLs ("*.sk"), etc
TAGS em HTML com referências a Applets em Java ou Objetos Active X.
Tipo MIME
Etc.
Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)
20185
443
2294 52504
9747
92175
BackOrifice
73415 Netbus
SunRPC
19784 AXFR
1126 Imap
1547 Pop
Xterm
NFS
51080 Snmp
Telnet
Rlogin
1048 WWW
4165 Mail
930 Ftp
Squid
14005
Echo
291525
Resumo das Gerações:
✔ Filtro de pacotes: cabeçalhos dos pacotes;
✔ Filtro de estados: estados das conexões;
✔ Gateway de circuito: tráfego passante (posicionado inline);
✔ Gateway de aplicação: conteúdo total ou parcial dos pacotes.
Resumo das Gerações
Gateway de Aplicação
Circuit Gateway (relay)
Packet Filter
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. Monitoração
10. Intrusão
Objetivo
Objetivo
Supervisão de toda a comunicação de entrada e saída
Controle
do uso dos recursos protegidos por máquinas exteriores
do uso da rede exterior pelas máquinas do perímetro
protegido
Defesa
contra ataques externos ao perímetro protegido
contra ataques iniciados no interior lançados para o exterior
Objetivo
Os firewalls são sistemas que têm como objetivo
estabelecer regras e filtros de tráfego entre duas redes.
Os firewalls são utilizados como a primeira linha de
defesa contra ameaças externas a uma rede.
Por ser a primeira linha de defesa, os sistemas de
firewall devem ser cuidadosamente instalados e geridos.
No caso de firewalls instalados em servidores
(normalmente Windows NT, 2k, 2k3 e Unix), o sistema
operativo deve também ser cuidadosamente configurado
para o nível máximo de protecção.
Razões para utilizar um firewall
O firewall pode ser usado para ajudar a impedir que sua
rede ou seu computador seja acessado sem autorização.
Assim, é possível evitar que informações sejam capturadas
ou que sistemas tenham seu funcionamento prejudicado
pela ação de hackers;
O firewall é um grande aliado no combate a vírus e
cavalos-de-tróia, uma vez que é capaz de bloquear portas
que eventualmente sejam usadas pelas "pragas digitais" ou
então bloquear acesso a programas não autorizados;
Em redes corporativas, é possível evitar que os usuários
acessem serviços ou sistemas indevidos, além de ter o
controle sobre as ações realizadas na rede, sendo possível
até mesmo descobrir quais usuários as efetuaram
O que um Firewall pode fazer?
Forçar a política de segurança
Está no caminho de todo tráfego de entrada e saída
Controla o tráfego que por ele passa
Regista todo tráfego
Limitar riscos
Para que servem?
Proteger uma rede de ataques externos
Reforçar a Política de Segurança da empresa
Controlar e restringir o acesso aos serviços disponibilizados
Registrar a comunicação entre as máquinas internas e externas
Esconder máquinas internas
Converter endereços IP
Criptografar dados (criação de VPNs)
Balancear a carga dos servidores
Oferecer integração com outros mecanismos de segurança (IDS, anti-
vírus, autenticação forte ...)
Coletar informações sobre os eventos relacionados à segurança
O que um Firewall não pode fazer?
Proteger contra pessoas internas
Proteger contra ligações que não passam por ele
Proteger completamente contra novos caminhos
Para que NÃO servem?
Controlar comunicação entre máquinas da mesma sub-
rede
Impedir ataques de pessoas internas
Controlar tráfego de informações
Por outros meios magnéticos
Por modem
Por fax ou telefone
...
Impedir ataques via “acesso legítimo” aos serviços internos
Falhas que podem ocorrer com o
firewall
Qualquer sistema, por mais seguro que seja, está sujeito a
falhas.
As principais são:
Se um utilizador interno se ligar à rede externa, criará uma porta
de acesso à rede sem passar pelo firewall;
Efetivo contra ataques externos, mas internamente não. A maioria
dos incidentes é causada por pessoal interno;
Bugs, problemas de má configuração ou falha de equipamento,
podem deixar o firewall suspenso por algum tempo;
Colisões da rede interna e externa podem evitar o acesso ao
firewall por um instante. E justamente nesse instante um intruso
poderá invadir a rede interna.
Limitações de Firewalls
São um dos mecanismos de segurança e não o
mecanismo de segurança.
Note-se que um firewall é totalmente ineficaz contra
as ameaças internas ao perímetro protegido
Podem também constituir um ponto de degradação
do desempenho da rede, uma vez que as suas
funcionalidades são implementadas por software.
Implementação de sistemas de
confiança
Porque/onde usar o Firewall
Malicious
email
Hacker
Viruses,
Firewall worms
Internet Intrusions
Inappropriate
Use
www.sex.com
www.free.com
www.game.com 82
Aspectos de Segurança de Redes
83
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. IDS
10. Monitoração
Algoritmo do Firewall e Portas
TCP/IP
Algoritmo dos Firewalls sem
Estado
Recebe pacote
S
Encaminhar
OK para Passar? Pacote
N
Seleciona
S Bloquear
Proxima OK para Bloquear
Regra Pacote
N Última
s Regra Default
Regra? (Bloquear Tudo)
Distribuição das Portas
0 Portas Bem conhecidas (well known
…. ports):
Geralmente usada pelos
1023
servidores de serviços
PORTAS 1024
padronizados.
TCP ou ….
UDP Portas Registradas
49151
Geralmente usada por
49152 servidores proprietários.
….
Portas Dinâmicas ou Privadas:
65535
Usadas pelos clientes e pelos
serviços não padronizados.
Distribuição das Portas (cont)
Portas Bem Conhecidas:
Definidas pela IANA (Internet Assigned Numbers
Authority)
Acessíveis apenas por processos de sistema (que tenham
privilégios do tipo root).
Desina servicos padronizados para Internet:
FTP (21), HTTP (80), DNS (53), etc.
Range: 0 a 1023
Geralmente, a porta é mapeada a um serviço em ambos
os protocolos (TCP e UDP), mesmo que usualmente só
seja utilizado um deles.
Distribuição das Portas (cont)
Portas Registradas:
Listada pela IANA (Internet Assigned Numbers
Authority)
Serviço oferecido para conveniência da comunidade
Acessiveis por processos de usuário
Usadas geralmente para designar serviços
proprietários:
Corba Management Agente (1050), Microsoft SQL
portas livres
IRC Porta 194 programa servidor de
serviços chat
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de Pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS e IPS)
10. Monitoração
Regras de Portas
Componentes de um Firewall
Packet Filtering ou Filtro de pacotes
O uso de filtragem de pacotes no router é baseado
nos campos do endereço IP:
Origem
Destino
TCP/UDP porta origem
TCP/UDP porta destino
Para bloquear ligações de ou para um servidor web
específico ou rede, a filtragem pode ser usada
aplicada de várias formas, incluindo o bloquear de
ligações a portas específicas.
Implementação Física
No software do Roteador: screening routers
No software de uma estação dedicada (um PC com duas placas de rede).
ROTEADOR
REDE REDE
INTERNA EXTERNA
FIREWALL
PERSONAL
FIREWALL
ROTEADOR
REDE REDE
INTERNA EXTERNA
FIREWALL
94
Rede de Perímetro com Proxy
Hosts Internos
Com IP’s Privados
Rede Interna
Servidor
Bastion
Proxy
Host
Internet
95
Packet por Roteador
96
Packet Filters(continuaçao)
97
Packet Filters(continuaçao)
98
Componentes de um Firewall
Packet Filtering
Exemplo de uso de regras de filtragem:
PORTA PORTA
PORTA
IP IP PORTA
PORTA PORTA
PORTA PORTA
IP IP
PORTA PORTA
PORTA PORTA
IP IP
PORTA PORTA
>1024 IP 80
IP C
A
80
IP IP >1024
Regra B
Acao Senti. Prot. IP D
IP Port. Port
orig. dest. Orig Dest.
1 Permit in TCP IP A IP C > 1023 80
2 Permit out TCP IP D IP B > 1023 80
3 negar * * * * * *
Exemplo de Regras de
Filtragem
regra ação interface/ protocolo IP IP Porta Porta
sentido origem destino origem destino
3 rejeita * * * * * *
r
• Interpretação:
– Hosts Internos podem acessar páginas web
– Hosts externos podem acessar servidores de web interno.
Direção
Exemplo
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
permitir IN tcp interno * > 1023 23
permitir OUT tcp * interno > 1023 23
permitir OUT tcp * interno > 1023 80
permitir IN tcp interno * > 1023 80
negar * * * * * *
• Interpretação:
1 – Host Internos (IN – dentro para fora) usando o procotolo TCP podem
acessar (permitir) qualquer servidor (*) Telnet (23).
2 – Host Externos (OUT – fora para dentro) usando o procolo TCP
podem acessar (permitir) qualquer servidor interno (*) do serviço
Telnet (23).
3 - Host Externos (OUT) usando o procolo TCP podem acessar (permitir)
o servidor interno Web (80)
4 – Host Internos (IN) usando o procotolo TCP podem acessar (permitir)
qualquer servidor (*) Web (80).
5 – Proibir (negar) tudo (*).
Seqüência de Criação de Regras
A seqüência na qual as regras são aplicadas
pode alterar completamente o resultado da
política de segurança. Por exemplo, as regras de
aceite ou negação incondicional devem ser
sempre as últimas regras da lista
O deslocamento de uma regra genérica para cima anula as demais.
108
Exercício 02
- Hosts Internos podem acessar servidores de telnet externos e
hosts externos acessar meu servidor interno 10.10.10.10.
– Hosts externos podem acessar meu servidor 200.145.22.33 de
News
109
Exercício 03
- Hosts Internos podem acessar servidores de telnet internos
(10.10.10.10) e hosts externos podem acessar meu servidor de
telnet (10.10.10.10).
– Hosts externos podem acessar servidores de web internos e os
hosts internos podem acessar servidores externos.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Permitir Out Tcp * 10.10.10.10 >1023 23
permitir out tcp * interno > 1023 80
permitir in tcp interno * > 1023 80
negar * * * * * *
110
Exercício 04: Criar Regra rede interna e Servidor
Telnet
>1023 >1023 1 23
2
INTERNET
200.17.98.? 200.234.56.7
Rede Interna
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
IN tcp 200.17.98.0/24 23
permitir > 1023
* * *
* *
negar *
Servidor
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
permitir OUT tcp 200.17.98.0/24 23
* > 1023
negar * * * *
*
111
Exercício 05
- O servidor de ssh (10.20.2.4) só poderá ser acessado pelos clientes
internos da rede;
- Devido a um problema de vírus a toda a classe B da rede que tem o host
200.242.4.5 será proibida de fazer qualquer solicitação.
- O Cliente 10.20.2.70 pode acessar o serviços de banco de dados postgres
(TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8.
– Hosts externos podem acessar servidores de web cujo IP é 200.3.4.6 e o
servidor de email que responde pelo endereço 200.3.4.5 (externamente) e
10.20.2.1 (internamente) e os hosts internos podem acessar servidores
web externos.
– Apenas a máquina 10.20.2.50 não pode acessar nenhum serviço da
internet.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Negar Out * 200.242.0.0/16 * >1023 *
negar in * 10.10.2.50 * >1023 *
permitir out tcp * 200.3.4.6 > 1023 80
permitir out tcp * 200.3.4.5 > 1023 25/110
permitir in tcp 10.20.2.0/24 * >1023 80
negar * * * * * *
112
Exercício06: PROVEDOR INTERNET
BACKBONES PROVEDOR
Servidor
Web, FTP e
Email Firewall Firewall
01 02
200.1.2.3 200.7.8.9
Servidor
Firewall
Postgres
03
5432
Servidor Oracle PROVEDOR
1521
200.4.5.6
Sabendo que cada rede possue uma classe C, faça as seguintes regras:
1 – Os serviços de Web e FTP da matriz poderão ser acessado por qualquer máquina
na internet, entretanto o serviço de Email só poderá ser acessado pelas duas filiais;
2 – Os bancos de dados ficam restrito só para acesso interno da empresa, ou seja, sua
respectiva rede interna, matriz e filias;
3 – As 3 redes podem acessar quaisquer servicos páginas Web e SSH externos.
Firewall 01
Firewall 02
Firewall 03
Protocol
Ação Dir o IP Origem IP Destino Port Origem Porta Destino
Permitir in Tcp 10.3.4.54/32 10.3.4.55/32 10.9.8.11 > 1023 20/21
Negar In Tcp 10.3.4.54/32 10.3.4.55/32 * > 1023 *
Permitir IN tcp 10.3.4.0/24 10.1.2.2 > 1023 22
Permitir In Tcp 10.3.4.0/24 10.9.8.7 > 1023 25/110
Permitir In Tcp 10.3.4.0/24 200.5.6.7 200.7.8.9 >1023 119
10.9.8.44/32 10.6.7.44/32
permitir out Tcp 10.1.2.44/32 10.3.4.0/24 >1023 3389
Permitir in Tcp 10.3.4.44/32 10.9.8.0/24 10.6.70/24 10.1.2.0/24 >1023 3389
10.9.8.0/24 10.6.70/24
Permitir out Tcp 10.1.2.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.3.4.0/24 * > 1023 80
perm in Tcp 10.3.4.20 10.6.7.2 >1023 515
negar * * * * * *
Firewall 02 Filial 01
Protocol
Ação Dir o IP Origem IP Destino Porta Origem Porta Destino
Permitir in tcp 10.9.8.0/24 10.1.2.2 > 1023 22
Permitir Out tcp 10.3.4.54/32 10.3.4.55/32 10.9.8.11 > 1023 20/21
Permitir out tcp 10.3.4.0/24 10.6.7.67 10.9.8.7 > 1023 25/110
10.3.4.44/32 10.6.7.44/32
permitir out Tcp 10.1.2.44/32 10.9.8.0/24 >1023 3389
Permitir in tcp 10.9.8.44/32 10.1.2.0/24 10.6.7.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.9.8.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.9.8.0/24 * > 1023 80
negar * * * * * *
116
Firewall 03 Filial
2
Protocol
Ação Dir o IP Origem IP Destino Port Origem Porta Destino
Permitir IN tcp 10.6.7.0/24 * > 1023 22
Permitir in Tcp 10.6.7.67 10.9.8.7 > 1023 25/110
Permitir In Tcp 200.4.5.0 /24 200.7.8.0/24 200.1.2.3 > 1023 110/25
Permitir In Tcp 10.6.7.0/24 200.5.6.7 200.7.8.9 >1023 119
10.3.4.44/32 10.9.8.44/32
permitir out Tcp 10.1.2.44/32 10.6.7.0/24 >1023 3389
Permitir in Tcp 10.6.7.44/32 10.1.2.0/24 10.9.8.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.6.7.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.6.7.0/24 * > 1023 80
Permitir out tcp 10.3.4.20 10.6.7.2 >1023 515
negar * * * * * *
Firewall 04 Filial 3
Protocol
Ação Dir o IP Origem IP Destino Porta Origem Porta Destino
Permitir out tcp * 10.1.2.1 > 1023 80
10.3.4.0/24 10.9.8.0 /24
Permitir out tcp 10.6.7.0/24 10.1.2.2 > 1023 22
10.3.4.44/32 10.9.8.44/32
permitir out Tcp 10.6.7.44/32 10.1.2.0/24 >1023 3389
Permitir in tcp 10.1.2.44/32 10.9.8.0/24 10.6.7.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.1.2.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.1.2.0/24 * > 1023 80
negar * * * * * *
Firewall Linux – Scripts Iptables
O que é IPTABLES ?
O iptables é um firewall em nível de pacotes e funciona baseado no endereço/porta
de origem/destino do pacote, prioridade, etc. Ele funciona através da comparação
de regras para saber se um pacote tem ou não permissão para passar. Em firewalls
mais restritivos, o pacote é bloqueado e registrado para que o administrador do
sistema tenha conhecimento sobre o que está acontecendo em seu sistema.
Ele também pode ser usado para modificar e monitorar o tráfego da rede, fazer
NAT (masquerading, source nat, destination nat), redirecionamento de pacotes,
marcação de pacotes, modificar a prioridade de pacotes que chegam/saem do seu
sistema, contagem de bytes, dividir tráfego entre máquinas, criar proteções anti-
spoofing, contra syn flood, DoS, etc. O tráfego vindo de máquinas desconhecidas
da rede pode também ser bloqueado/registrado através do uso de simples regras. As
possibilidades oferecidas pelos recursos de filtragem iptables como todas as
ferramentas UNIX maduras dependem de sua imaginação, pois ele garante uma
grande flexibilidade na manipulação das regras de acesso ao sistema, precisando
apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem
acesso garantido, quais serviços devem estar acessíveis para cada rede, e iniciar a
construção de seu firewall.
Quando Surgiu ?
No kernel do Linux 2.4, foi introduzido o firewall iptables
(também chamado de netfilter) que substitui o ipchains dos
kernels da série 2.2. Este novo firewall tem como vantagem ser
muito estável (assim como o ipchains e ipfwadm), confiável,
permitir muita flexibilidade na programação de regras pelo
administrador do sistema, mais opções disponíveis ao
administrador para controle de tráfego, controle independente
do tráfego da rede local/entre redes/interfaces devido a nova
organização das etapas de roteamento de pacotes.
Sintaxe
iptables ( comando ) ( parâmetro ) ( extensões )
Ex: iptables –A INPUT -p TCP –s 192.168.7.106 –j DROP
Adicionando regras (– A)
iptables -t filter -A INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT
Ex: iptables -A FORWARD -s 10.0.0.1 -j DROP
Deletar regras (– D)
iptables -t filter -D INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT
Ex: iptables -D FORWARD -s 10.0.0.1 -j DROP
Listar (– L)
Ex: iptables –L
/usr/sbin/iptables -F http://www.4shared.com/file
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -X /42267953/f6df6fc4/SCRIPT
/usr/sbin/iptables -t nat -F
#Proxy transparente
$iptables -t nat -A PREROUTING -p tcp -s 10.10.2.0/24 -d! 10.0.0.0/8 --dport 80 -j DNAT –to 10.10.2.1:3
#$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Regrasgerais de FTP
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
Liberar acesso da rede interna cujo host é 10.20.3.4 e classe B para o servidor
My SQL, cujo IP 200.91.34.67
iptables -A FORWARD -p tcp –s 10.20.0.0/16 --dport 3006 -d 200.91.34.67 -j ACCEPT
Liberar a Rede interna para acessar qualquer servidor Web apenas o servidor
200.7.8.9 via terminal service. A única exceção será o host 10.2.3.4 não poderá
acessar nenhum serviço
iptables -A FORWARD -p tcp –s 10.2.3.4 -j DROP
iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 3389 –d 200.7.8.9 -j ACCEPT
iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 80 -j ACCEPT
Exercício 02 de Script Linux
Bloquear acesso ao Proxy 203.86.29.188 e outro 200.1.2.3 cuja porta é 8080
Liberar Acesso acesso remoto para uma rede classe B 200.242, onde a mesma
poderá acessar meu servidor cujo IP é 10.72.1.1
iptables -A FORWARD -p tcp -s 200.242.0.0/16 --dport 3389 -d 10.72.1.1 -j ACCEPT
Liberar tudo que for acesso cliente para uma estação cujo IP é 10.89.2.43 e
garantir que esse IP não posso ser acesso privilegiado deste IP não possa ser
usado por outro host
iptables -A FORWARD -p tcp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
arp -s 10.89.2.43 0013a98d9d79
Firewall Windows – Kério
Regras no Sistemas Operacional Windows
Check Point
Kerio
Tela do Kério
Resumo do básico de Firewall
1. Deny network traffic on all IP ports.
2. Except, allow network traffic on port 80
(HTTP).
3. Except, from all HTTP traffic, deny HTTP
video content.
4. Except, allow FTP to everyone.
5. Except, allow SMTP and POP3 to everyone.
...
Filtros de Pacotes
Desempenho do Filtro de Pacotes
O processo de filtragem de pacotes exige que um certo
processamento adicional seja executado pelo roteador para cada
pacote que chega ou precisa ser transmitido.
Dependendo da velocidade da linha de transmissão, esse
processamento pode ou não causar uma degradação do
desempenho da rede.
192.168.0.10
INTERNET
REDE INTERNA
192.168.0.254 200.17.98.24
Exemplo de NAT
A estação com IP 192.168.1.13 faz uma requisição,
por exemplo, para um endereço externo. O pacote sai
com o IP da estação e corre em direção ao
intermediador entre ambiente interno e externo, o
gateway. O gateway, através do protocolo NAT
mascara o IP da estação com seu IP
(200.158.112.126 - que é válido na internet) assim
fazendo com que o pacote seja entregue no destino
solicitado pela estação. No retorno do pacote, ele
parte do endereço externo, chega a nossa rede no
servidor NAT (200.158.112.126) e lá é volta ater o IP
da estação assim chegando à estação (192.168.1.13).
LIMITAÇÕES DO NAT
NAT permite apenas que clientes
internos acessem servidores externos:
Um computador com IP privado não
consegue falar com outro computador
com IP privado através da Internet.
Além da troca dos IPs, muitos
parâmetros precisam ser recalculados:
IP checksum e TCP checksum (fácil)
LIMITAÇÕES DO NAT
O NAT não funcionará em protocolos onde
o IP apareça em um campo do protocolo de
aplicação se:
O protocolo de aplicação não for conhecido
pelo dispositivo de NAT.
O protocolo de aplicação estiver criptografado.
O NAT utiliza tabelas internas para mapear
conexões ativas.
Tabelas grandes levam a baixo desempenho.
Roteador Interno e Gateway Default
rede corporativa interna da
empresa Bloqueia qualquer pacote
onde o IP de origem ou
destino seja FRIO.
IP FRIO IP FRIO IP
QUENTE
IP IP
QUENTE QUENTE
INTERNET
IP FRIO
roteador GATEWAY
interno DEFAULT
IP FRIO
servidor
IP
QUENTE
INTERNET
IP FRIO IP FRIO IP IP
roteador QUENTE QUENTE GATEWAY
interno DEFAULT
IP FRIO
Este servidor
não é
acessível pela
IP FRIO IP FRIO IP FRIO IP FRIO rede externa.
Hosts Categoria 2
Exemplo de uma rede Intranet interligada a Internet através de um servidor proxy.
Nessa rede, os hosts estão na categoria 2.
192.168.0.5 200.17.98.1
200.17.98.2
roteador
192.168.1.5 interno
servidor conexão
com um
backbone
da Internet.
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 o servidor não é
acessível pela
rede corporativa interna da
rede externa.
empresa
Utilização
Linux
# Acesso a Telnet
/usr/sbin/iptables -A FORWARD -p tcp --dport 23 -d 10.1.8.1 -j ACCEPT
#nat
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j ACCEPT
# Acesso ao notes
$iptables -A FORWARD -p tcp --dport 1352 -d 10.0.0.0/8 -j ACCEPT
#nat
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 –j MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 -j ACCEPT
Utilização
Windows
Utilização
Windows
Resumo do NAT
Web
Server
FTP
Server
Mail
Gateway
DMZ
(zona desmilitarizada)
Implementação – Script Linux
#!/bin/bash # SAINDO DA DMZ WWW MAIL FTP & DNS ##
##################################### #####################################
#Inicio iptables -t nat -A POSTROUTING -p tcp -o $IF_OUT -m multiport --dport
##################################### $MAIL_PORT,$WWW_PORT -j MASQUERADE
iptables -F iptables -t nat -A POSTROUTING -p udp -o $IF_OUT --dport 53 -j
iptables -X MASQUERADE
iptables -t nat -F iptables -A INPUT -i IP_IN -m state --state ESTABLISHED,RELATED -j
iptables -t nat -F ACCEPT
##################################### #####################################
# VARIÁVEL # ######## HABILITANDO FORWARD
##################################### #####################################
IF_IN=eth0 echo 1 > /proc/sys/net/ipv4/ip_forward
IF_OUT=eth1 #####################################
HOST=200.142.20.3 ######## LIBERANDO FORWARD
MAIL=200.142.21.6 #####################################
MAIL_PORT=25,110,22 iptables -A FORWARD -p tcp -o $IF_OUT -i $IF_IN -j ACCEPT
WWW=200.142.21.5 iptables -A FORWARD -p tcp -i $IF_OUT -o $IF_IN -j ACCEPT
WWW_PORT=80,8080,22 #####################################
IP_ADM=192.168.2.1 # SAINDO ICMP da DMZ
DMZ=192.168.2.0 #####################################
##################################### iptables -t nat -A POSTROUTING -p icmp -o $IF_OUT -j MASQUERADE
# DMZ # iptables -A INPUT -i $IF_IN -m state --state ESTABLISHED,RELATED -j
##################################### ACCEPT
### ENTRANDO NA DMZ WWW & MAIL #####################################
##################################### # DROP
iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport #####################################
$MAIL_PORT -j DNAT --to $MAIL iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $MAIL_PORT -j iptables -P FORWARD ACCEPT
MASQUERADE iptables -P OUTPUT DROP
#
iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport
$WWW_PORT -j DNAT --to $WWW
iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $WWW_PORT -j
MASQUERADE
Implementação - Windows
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS)
10. Monitoração
9 – IDS
Intrusão
Conjunto de ações que comprometem a integridade,
confidencialidade ou disponibilidade dos dados, sistemas
ou ambos [HeadyLugerEtAl, 1990]
Exemplos:
Usuários confiáveis usando de forma errada os
sistemas
Usuários hostis usando brechas nos sistemas para
compromete-los
Usuários hostis impersonificando usuários confiáveis
para burlar os sistemas
Sistema de Detecção de Intrusos
O que é?
Sistema que permite a detecção de tentativas de intrusão, atuando de
forma preventiva e pró-ativa
Ferramentas que monitoram acessos em tempo real, à procura de padrões
suspeitos
Possuem conjuntos de regras, semelhante às do firewall
Podem gerar alertas ou tomar atitudes em caso de ataque
WWW
WWW
serviços desejados,
E-MAIL
E-MAIL
permitindo os legítimos e
E-MAIL
WWW
bloqueando os ilegítimos.
E-MAIL
W
W
W
Sensor
MONITORAMENTO
Network based IDS
Limitações
Escalabilidade (problemas em rede de alta velocidade)
Reativo no que tange a atualização de assinaturas de novos
ataques
Suscetível a técnicas de hacking mais avançadas
IN T E R N E T
R o u te r
F IR E W A L L
Host based IDS
Limitações
Falta de suporte a plataforma mista
Carga adicional nos servidores
Não detecção de intrusões via rede
Capacidade de detecção limitada
Riscos fora do contexto de atuação (Engenharia Social)
Vantagens
Solução mais escalável
Hibrid IDS
Integração baseada em Network Based e Host Based
SENSOR
MONITORAMENTO
Hibrid IDS
Limitações
Carga adicional nos servidores
Escalabilidade (problemas em rede de alta velocidade)
Reativo no que tange a atualização de assinaturas de novos
ataques.
Suscetível a técnicas de hacking mais avançadas
Riscos fora do contexto de atuação (Engenharia Social)
Vantagens
Cobertura mais ampla no que tange a tentativas de intrusão
Scanner de vulnerabilidades
Pode identificar:
Uso de senhas inseguras
Vulnerabilidades referentes a não aplicação de
correções em sistemas operacionais
Deficiências em protocolos de comunicação
Deficiências na configuração dos sistemas
SISTEMA
Host based
Busca por
vulnerabilidades no
Atua como sentinela nos
sistema operacional:
política de senhas, servidores analisando
log, acessos indevidos,
privilégios errados, etc
back-door, etc
SCANNER IDS
Faz uma varredura na Analisa todos os pacotes
rede em busca de que trafegam pela rede
falhas nos dispositivos em busca de um
possível ataque
Network based
REDE
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS e IPS)
10. Monitoração
10 – Monitoramento
Onde monitorar?
Internet
Mail
Monitora Gateway
equipamento
DMZ
(zona desmilitarizada) Contra ataques
direcionados a este
segmento de rede
Monitoramento e Registro
Reportar Uso
Detecção de intruso
Evidências Legais
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Firewall - Testes na Web
Symantec Security Check
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
Reflexão:
“Os computadores são incrivelmente rápidos, precisos e burros; os homens
são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder
ultrapassa os limites da Imaginação” – Albert Einstein
212