10/03/2010

Eudes Danilo Mendonça eudesdanilo@gmail.com

http://www.4shared.com/file/40014575/5e5292cb/Firewall.html
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS e IPS)
10. Monitoração
Definição
 Definição
É o nome dado ao dispositivo de uma rede de
computadores que tem por função regular o tráfego
de dados entre redes distintas e impedir a
transmissão e/ou recepção de dados nocivos ou
não autorizados de uma rede a outra. Este
conceito inclui os equipamentos de filtros de pacotes
e de proxy de aplicações, comumente associados a
redes TCP/IP.
Elo de ligação de um perímetro protegido
(conjunto de redes e máquinas) a uma rede
insegura (Internet).
Definição (cont)

Existe na forma de software e hardware, ou na

combinação de ambos. A complexidade de
instalação depende do tamanho da rede, do volume
de regras que autorizam o fluxo de entrada e saída
de informações e do grau de segurança desejado.
Quando surgiu ?

Os sistemas firewall nasceram no final dos anos 80,

mais em especial em 1988, quando administradores
de rede identificaram o que parecia ser uma
evolução natural dos vírus de computador
Internet Worm. Em menos de 24 horas, o worm
escrito por Robert T. Morris Jr disseminou-se por
todos os sistemas autônomos da Internet (formado
exclusivamente por redes de ensino e
governamentais), provocando um verdadeiro
apagão na rede.
De onde veio esse nome?
Vem do inglês e faz alusão comparativa da função
que este desempenha para evitar o alastramento de
dados nocivos dentro de uma rede de
computadores, na tradução parede corta-fogo.
Internet
Rede “confiável”

Um firewall pode evitar que acessos indevidos sejam feitos a

uma rede a partir de outra rede, mas não impede que usuários
internos da rede ataquem seus recursos
O que um firewall pode fazer?

Um Firewall pode administrar a política

de segurança para usuários da rede:
- Define quem ou o que pode cruzar
as fronteiras entre redes;
- Define uma maneira padrão de
identificação de usuários.

Um Firewall pode manter “logs”:

- Logs de passagem;
- Logs de ataques;
- Alertar o administrador.
 Infra-estrutura de Comunicação
PROVEDOR INTERNET
BACKBONES PROVEDOR clientes
Servidor Web

PROVEDOR

Informação e Dados
Disponibilizados
clientes
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. Monitoração
10. Intrusão
Internet Protocol
Internet Protocol
É considerado o protocolo de rede mais usado
pelas empresas, governos e Internet.
Suporta muitas aplicações pessoais, técnicas e de
negócio, desde o email e processamento de dados
até à transferência de som e imagem.
O IP permite endereçar, routear e controlar
funções de transmissão e de recepção de
datagramas sobre uma rede.
Internet Protocol
Cada datagrama inclui o seu endereço de origem
e de destino, informação de controlo e algum
dado passado de ou para o host.
A informação do endereço é usada para
determinar o melhor caminho que o pacote pode
tomar, para chegar ao seu destino.
No entanto, o IP não possui nenhum dado de
controle do caminho.
Como trabalho o endereçamento no IP
Existe um mecanismo no IP que permite aos
hosts e gateways de fazer o routeamento de um
datagrama através de uma rede.
Quando o IP recebe um datagrama, verifica o
cabeçalho, que faz parte de qualquer datagrama
pesquisando pelo número da rede destino e pela
tabela de routeamento.
Todos os datagramas com endereços locais, são
directamente entregues pelo IP, e os externos são
re-enviados ao próximo destino baseado na
informação da tabela de routeamento.
Como trabalho o endereçamento no IP
O IP também monitoriza o tamanho do
datagrama que recebe do host. Se exceder o
tamanho permitido pela rede física, o IP
parte o datagrama em fragamentos mais
pequenos, de acordo com a capacidade da
rede.
Ao chegar ao destino, os datagramas são
reasemblados e entregues ao destinatário.
Como trabalho o endereçamento no IP
As ligações IP são controladas pelos endereços IP.
Cada endereço IP é um endereço único na rede
que identifica um nó na rede, o qual inclui redes
protegidas (LAN’s, WAN’s e Intranets) bem como
desprotegidas tais como a Internet.
Os endereços IP são usados para routear os
pacotes através das redes.
O Internet Protocol é as bases do TCP/IP, um
conjunto de protocolos criados especialmente
para ligar computadores diferentes entre si.
Flags TCP
 RES: Reservado (2 bits) • PSH: Push Request
• RST: Reset Connection
 URG: Urgent Point • SYN: Synchronize Seqüence Number
 ACK: Acknowlegment • FIN: Mais dados do transmissor

0 4 8 12 16 20 24 28 31

Byte 1 Byte 2 Byte 3 Byte 4

Porta de origem Porta de destino

Número de Seqüência

Número de Confirmação
HLEN Reservado BITS DE CÓDIGO Janela de Recepção

Checksum Ponteiro de Urgência

Opções

Dados

…..
Segurança de Redes de Computadores 18
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. IDS
10. Monitoração
Gerações de Firewalls

1a.Geração (Filtros de Pacotes)

2a.Geração (Filtros de Estado de Sessão)
3a.Geração (Gateway de Aplicação - OSI)
4a.Geração e subsequentes
Filtros de Pacotes
Estes sistemas analisam individualmente os pacotes
à medida em que estes são transmitidos, verificando o
acoplamento entre a camada de enlace (camada 2 do
modelo ISO/OSI) com a camada de rede (camada 3 do
modelo ISO/OSI).
As regras podem ser formadas indicando os
endereços de rede (de origem e/ou destino) e as
portas TCP/IP envolvidas na conexão. A principal
desvantagem desse tipo de tecnologia para a segurança
reside na falta de controle de estado do pacote, o que
permite que agentes maliciosos possam produzir pacotes
simulados (IP Spoofing).
Filtragem de Pacotes
Aplicati Aplicati
vo vo
Aplicação Aplicação Aplicação

TCP UDP Sistema operacional

IP

FIREWALL PESSOAL

Enlace
Placa de rede
Programa
Física externo

FIREWALL DE
REDE
22
1a.Geração (Filtros de Pacotes ou
Packet-Filtering Router)
A tecnologia foi disseminada em 1988 através de
pesquisa sustentadada pela DEC (Digital Equipment
Corporation)
O modelo tratava-se de um filtro de pacotes
responsável pela avaliação de pacotes do conjunto
de protocolos TCP/IP
Bill Cheswick e Steve Bellovin da AT&T
desenvolvem o primeiro modelo para prova de
conceito;
Regras do Modelo
Restringir tráfego através de endereço IP de
origem ou destino;
Restringir tráfego através da porta (TCP ou UDP)
do serviço;
Obs - Até hoje este tipo de tecnologia é adotada
equipamentos de rede para configurações de
acesso simples (as chamadas "listas de acesso" ou
"access lists"). O ipchains também é exemplo de um
firewall desta geração
Regras do Modelo
Regras que vão filtrar pacotes IP e os que não estejam de acordo
com as regras são eliminados:
Endereços IP (de origem e/ou destino)
Portas de transporte (origem e/ou destino)
Sentidos de criação de circuitos virtuais
Cabeçalho ICMP
Dimensão dos datagramas;
As regras baseiam-se em campos incluídos nos cabeçalhos dos
pacotes IP, TCP e UDP, como por exemplo o IP Address, o IP
Protocol field (que define o protocolo de transporte) e os números
das portas do TCP ou UDP (que definem a aplicação destino).
Routers com filtragem de Pacotes
(Packet-Filtering Router)
Routers com filtragem de Pacotes
(Packet-Filtering Router)
Possíveis Vulnerabilidades:
Apesar do principal protocolo de transporte TCP orientar-
se a um estado de conexões, o filtro de pacotes não
tinha este objetivo inicialmente
Não realizando nenhum tipo de decodificação do
protocolo ou análise criteriosa na camada de aplicação
O packet filter não se encarrega de examinar nenhum
protocolo de nível superior ao nível de transporte, como
por exemplo, o nível de aplicação que fica como tarefa dos
application gateways (proxy servers).
Portanto, qualquer falha de segurança ao nível de aplicação
não pode ser evitada utilizando somente um packet filter.
 Firewall - Visão tradicional
Somente os cabeçalhos dos pacotes são inspecionados
 Camada de aplição é tratada como uma “caixa preta”

IP Header: TCP Header: Application Layer Content:

Sequence ?????????????????????????????
Source Address, Number ??
Dest. Address, Source Port, ?????????????????????????????
TTL, Destination ??
Checksum Port, ?????????????????????????????
Checksum ??
• Pacotes encaminhados com base nos
números das portas
– Tráfego seguro ou um ataque na camada de
aplicação usam as mesmas portas
Tráfego HTTP esperado

Tráfego HTTP inesperado

Internet Tráfego de entrada
Ataques ao WEB Server
Web Server
Tráfego Non-HTTP
Filtro de Pacotes
ação origem porta destino porta comentário

permite * * * 25 SMTP port


 Interface de configuração é simples
 Eficiência na monitoração de portas


 Vulnerabilidade a IP Spoofing
 Dificuldade em criar regras abrangentes
Desvantagens ou aspectos delicados a ter
em conta
As principais desvantagens deste tipo de tecnologia é a falta de
controle de estado do pacote, o que permite que agentes
maliciosos possam produzir pacotes simulados (IP Spoofing
para serem injectados na sessão.
Setup e coerência das regras (baixo nível de abstracção)
Granularidade dos critérios de autenticação e autorização
Defesa contra certo tipo de ataques e possibilidades de se
tomarem medidas:
 IP spoofing na origem
 Source Routing
 Tráfego permitido pode não ser o que se pensa …
 Um segmento TCP que passou para porta 80 é mesmo
tráfego WEB ?
 Tiny Fragment Attacks / DoS e DDoS
IP Spoofing
O IP Spoofing é um ataque que pode ser evitado com a
aplicação do recurso exposto acima.
Neste ataque, o intruso tenta passar por um host interno
(um host considerado confiável) utilizando o endereço IP
deste como o endereço fonte.
Se a filtragem é realizada por interface em ambos os
sentidos, este ataque não funciona porque um pacote
nunca pode chegar do mundo externo (Internet) tendo
como endereço fonte o endereço de uma máquina que está
na rede interna; ou seja, só poderia chegar àquela interface
no outro sentido.
Este tipo de ataque está exemplificado na figura a seguir:
IP Spoofing
IP Spoofing
No contexto de redes de computadores, IP spoofing é uma
técnica de subversão de sistemas informáticos que consiste em
mascarar (spoof) pacotes IP com endereços remetentes
falsificados.
Devido às características do protocolo IP, o
reencaminhamento de pacotes é feito com base numa
premissa muito simples: o pacote deverá ir para o destinatário (
endereço-destino); não há verificação do remetente — o
router anterior pode ser outro, e ao nível do IP, o pacote não
tem qualquer ligação com outro pacote do mesmo remetente.
Assim, torna-se trivial falsificar o endereço de origem, i.e.,
podem existir vários computadores a enviar pacotes fazendo-
se passar pelo mesmo endereço de origem, o que representa
uma série ameaça para os velhos protocolos baseados em
autenticação pelo endereço IP.
IP Spoofing
Esta técnica, utilizada com outras de mais alto nível,
aproveita-se, sobretudo, da noção de confiabilidade que
existe dentro das organizações: supostamente não se
deveria temer uma máquina de dentro da empresa, se ela é
da empresa.
Por outro lado, um utilizador torna-se também confiável
quando se sabe de antemão que estabeleceu uma ligação
com determinado serviço. Esse utilizador torna-se
interessante, do ponto de vista do atacante, se ele possuir
(e estiver a usar) direitos privilegiados no momento do
ataque.
IP Spoofing

                                        
Falsificação de um pacote: A cada pacote enviado estará
geralmente associada uma resposta (do protocolo da camada
superior) e essa será enviada para a vítima, pelo o atacante que
não pode ter conhecimento do resultado exacto das suas acções
— apenas uma previsão.
IP Spoofing => Uso de IP falsa.
2a.Geração (Filtros de Estado de Sessão)

A tecnologia foi disseminada a partir de estudo

desenvolvido no começo dos anos 90 pelo Bell
Labs;
Pelo fato do principal protocolo de transporte TCP
orientar-se por uma tabela de estado nas
conexões, filtro de pacotes não eram
suficientemente efetivos se não observassem estas
características;
Foram chamados também de Firewall de circuito.
Regras Típicas na 2a.Geração
Todas as regras da 1a.Geração;
Restringir o tráfego para início de conexões
Restringir o tráfego de pacotes que não tenham
sido iniciados a partir da rede protegida
(ESTABLISHED);
Restringir o tráfego de pacotes que não tenham
número de sequência corretos;
3a.Geração (Gateway de Aplicação - OSI)

 Baseado nos trabalhos de Gene Spafford, Marcos Ranum e Bill

Cheswick;
 Também são conhecidos como "Firewall de Aplicação" ou
"Firewall Proxy“;
 Foi nesta geração que se lançou o primeiro produto comercial em 13
de Junho de 1991 -- o SEAL da DEC;
 Diversos produtos comerciais surgiram e se popularizaram na
década de 90, como os firewalls Raptor, Gauntlet e Sidewinder,
entre outros;
 Obs: Não confundir com o conceito atual de Firewall de
Aplicação -- firewalls de camada de Aplicação eram conhecidos
desta forma por implementarem o conceito de Proxy e de controle
de acesso em um único dispositivo (o Proxy Firewall), ou seja, um
sistema capaz de descodificar protocolos na camada de
aplicação e interceptar a comunicação entre cliente/servidor para
aplicar regras de comunicação
Gateway de Nível de Aplicação
(Application-Level Gateway) – Proxy
Regras Típicas na 3a.Geração
Todas as regras das gerações anteriores;
Restringir acesso FTP a usuários anônimos;
Restringir acesso HTTP para portais de
entretenimento;
Restringir acesso a protocolos desconhecidos na
porta 443 (HTTP/S);
Gateway de Nível de Aplicação
(Application-Level Gateway) – Proxy
Vantagens principais:
Geralmente uma solução mais segura do
que um Packet-Filtering Router
Melhor gestão de controlo de acessos
Melhores características para
monitorização e auditoria de controlo de
acessos
Gateway de Nível de Aplicação
(Application-Level Gateway) – Proxy
Limitações a ter em conta:
Mais complexos (nota: mais funcionalidade
pode originar vulnerabilidades)
Mais processamento adicional: processamento
ligação a ligação – aplicação a aplicação)
Eventuais problemas de carga e desempenho
Servidor Proxy/
Gateway de Aplicação
telnet


host externo
ftp
smtp
http

host interno

 


Configuração exige menos combinações
Tende a ser mais segura
Auditoria mais simples

  Overhead intrínseco a cada conexão

 Funciona apenas para aplicações conhecidas
Servidor Proxy/
Gateway de Aplicação

1 1*
1024 1024 80
8080
1025 2*
2

1026 80
3 3*
1024

1025
Proxy Socks X Proxy de Aplicação
O proxy de aplicação localiza o Servidor de Destino analisando as
informações do protocolo de aplicação.

Get http:www.pucpr.br
Aplicação Server
1024 1080 Proxy de 1024
Proxy- 80
Aplicação
Enabled

O cliente SOCKS inclui automaticamente informações adicionais

(durante a conexão TCP ou nos pacotes UDP), que são utilizadas
pelo Proxy SOCKs para localizar o Servidor de Destino.

CONNECT: IP_Destino, Porta_Destino, UserID

Cliente Server
1024 1080 Socks 1024
Socks 80
Proxy
Funcionamento de um Proxy de
Aplicação
Servidor Proxy
 servidor proxy: Dispositivo responsável por intermediar a conexão entre
os hosts internos e o mundo externo.
 O servidor proxy (procurador) é geralmente implementado através de
um computador com duas interfaces de rede, uma conectada a rede
interna e a outra a rede externa.
 Quando um cliente necessita acessar informações de um servidor
externo, ele efetua o pedido ao servidor proxy.
 O servidor proxy, por sua vez, contata o servidor externo e retorna o
resultado ao cliente.
 Nesse procedimento, o único computador da rede exposto ao mundo
externo é o servidor proxy.

INTRANET INTERNET

IP FRIO IP QUENTE
Servidor Proxy
servidor proxy: Dispositivo responsável por intermediar a
conexão entre os hosts internos e o mundo externo.

COMPUTADORES ACESSO AS REDES

INTERNOS EXTERNAS
NA EMPRESA

IP FRIO IP QUENTE

INTRANET INTERNET
Proxy

IPQ-D IPF-C IPF-A

IPQ-E

IP QUENTE IP FRIO

IPQ-D IPQ-E dados IPF-A IPF-C dados

PROXY IPQ-D IPQ-E dados

Rede Não Protegida Rede Interna

IP quente IP frio
servidor ROUTER

IPF-D
3

IPQ-E
Internet 2
IPF-C
IPQ-D IPF-B

IP quente IPF-A

IPF-A IPF-C dados

Proxy depende da Aplicação
Cada protocolo da camada de aplicação formada seu cabeçalho de maneira
diferente.

Aplicações Endereço DADOS

Protolco de Aplicação
HTTP, FTP, SMTP, etc
aplicação Seqüência de
empacotamento
TCP, UDP transporte

pacote
IP

Data Link quadro

Ethernet, Token Ring,
FDDI, etc

física
Física
O Proxy Depende da Aplicação
Numa rede
conectada através PROXY
HTTP
PROXY
de Proxy, os serviços FTP PROXY
disponibilizados SMTP

pelos usuários são

limitados aos
serviços que o Proxy
é capaz de IP FRIO IP QUENTE
compreender.

INTRANET INTERNET
Outras Funções do Proxy
Os proxys podem executar ainda as funções de:
 autenticação
 cache
 filtragem de conteúdo
Banco de
Dados
PROXY
4a.Geração e subsequentes
Os firewalls de estado foram introduzidos
originalmente em 1991 pela empresa DEC com o
produto SEAL, porém, não foi até 1994, com os
israelenses da Checkpoint, que a tecnologia
ganharia maturidade suficiente. O produto
Firewall-1 utilizava a tecnologia patenteada
chamada de Stateful inspection
4a.Geração e subsequentes (cont)
Stateful Inspection para inspecionar pacotes e
tráfego de dados baseado nas características de
cada aplicação, nas informações associadas a
todas as camadas do modelo OSI (e não apenas na
camada de rede ou de aplicação) e no estado das
conexões e sessões ativas, ou seja, tem capacidade
para identificar o protocolo dos pacotes transitados e
"prever" as respostas legítimas. Na verdade, o
firewall guardava o estado de todas as últimas
transações efetuadas e inspecionava o tráfego para
evitar pacotes ilegítimos
4a.Geração e subsequentes (cont)
Deep Packet Inspection associando as funcionalidades
do Stateful Inspection com as técnicas dos dispositivos
IPS (Intrusion Prevention System) ;
Detecção e Prevenção de Intrusão para fins de
identificar o abuso do protocolo TCP/IP mesmo em
conexões aparentemente legítimas;
Obs: A partir do início dos anos 2000, a tecnologia de
Firewall foi aperfeiçoada para ser aplicada também em
estações de trabalho e computadores domésticos (o
chamado Firewall Pessoal"), além do surgimento de
soluções de firewall dedicado a servidores e
aplicações específicas (como servidores web e banco
de dados);
 Firewall – Visão Tradicional
Cabeçalho e camada de aplicação são
inspecionados

IP Header: TCP Header: Application Layer Content:

Sequence GET
Source Address,
Number www.contoso.com/partners/default.htm
Dest. Address,
Source Port,
TTL,
Destination
Checksum
Port,
• Encaminhamento com base no
Checksum

conteúdo
– Somente tráfego HTTP legítimo é enviado
ao Web server
Tráfego HTTP esperado

Tráfego HTTP
Tráfego de inesperado
Internet Ataques ao Web Server Web Server
entrada
Tráfego Non-HTTP
http://www.dominio.com/scripts/..%5c../winnt/system32/
cmd.exe?/c+dir+c:\
 Firewall SPI
Source Destination
212.56.32.49 65.26.42.17
A inspeção Stateful é INSPECT
Source Port Dest Port
limitada apenas a 823747 80

Source que| Service

Version
portas podem | Total Length Sequence Sequence

UDP Port ID | Flags | Fragment 2821

bloqueadas
28474

TTL | Protocol | IP Checksum Syn state IP Option

Sem inspeção de
Source IP Address SYN none
Destination
dados! Destination IP Address
UDP Port
IP Options

Firewall Típico

Os pacotes passam sem

Stateful inspeção de dados!
Packet
Inspection

Traffic Path

60
 Firewall UTM

UTM Signatures
ATTACK-RESPONSES 14BACKDOOR
INSPECT
INSPECT
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER

Source Version |Service

13FTP 50ICMP |
Total Length
115Instant
Messenger 25IMAP 16INFO
UDP Port ID | |
Flags Fragment
7Miscellaneous44MS-SQL 24MS-
SQL/SMB 19MULTIMEDIA 6MYSQL
TTL | |
2NETBIOS 25NNTP 2ORACLE
Protocol IP Checksum
25P2P 51POLICY 21POP2 4POP3
Destination Source IP Address
18RPC 124RSERVICES 13SCAN
25SMTP 23SNMP 17TELNET
UDP Port Destination
14TFTP IP Address
9VIRUS 3WEB-ATTACKS
47WEB-CGI 312WEB-CLIENT
IP Options

UTM Inspection inspects all traffic

UTMFirewall
moving through a device – 98%
Stateful
Security Prod. Reliable
more inspection
Packet
Inspection Dynamic
Management / Reporting

Firewall Traffic Path

61
 Soluções Proxy Based
The more users and traffic added, the more threats come through
without inspection

Inspection
Inspecting
Stopped
Network Use
max max

Version | Service | Total Length

Proxy solutions with no

Memory
ID | Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address

ID
scalability
Version | Service | Total Length
| Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address

Version | Service | Total Length

ID | Flags | Fragment
TTL | Protocol | IP Checksum
Source IP Address
Destination IP Address

Memory Full - min min

Scanning Stopped # of Users Traffic

Inspection possible
Not inspected

62
 Firewall UTM
UTM Platform Approach
Real Time Scanning Engine

Inspecting
Real-time Scanning Network Use
max max

Protection for ALL

Version | Service | Total Length
Traffic ID
Source
UDP Port
and| Flags
ALL| Fragment
Users
TTL | Protocol | IP Checksum
estination Source IP Address
UDP Port Destination IP Address
IP Options min min
# of Users Traffic
Unified Threat Management Firewall

Security Productivity Network Inspection possible

Integration Control Resiliency
Not inspected
Dynamically Updated
Management and Reporting

63
Filtrando a Camada de Aplicação
 Ameaças modernas requerem inspeção
aprofundada
 Protege os ativos de rede de ações na camada de
aplicação: Nimda, Slammer...
 Proporciona a habilidade para definição de políticas de
segurança, a nível de aplicação, em um nível maior de
granularidade
 Melhor proteção para aplicações Microsoft
 Framework para filtragem de Aplicações
 Filtros nativos para protocolos comuns
 HTTP, SMTP, RPC, FTP, H.323, DNS, POP3,

Streaming media
 Arquitetura extensível por plug-ins
Publicação de um Servidor WEB - Tradicional
Todo o tráfego usado na porta 80 é enviado ao Web
Server
Um Web server por endereço IP

http://www.contoso.com 
http://39.1.1.1 
http://www.contoso.com/../cmd?.. 
http://www.contoso.com/%20%20 
http://www.contoso.com/scripts/ 
http://www.contoso.com/partners/ 

Internet Incoming Traffic

Web Server
Segurança de Conteúdo
 Além das informações de portas, as informações de conteúdo também são
utilizadas pelo Firewall.
 Normalmente, apenas os protocolos mais comuns são analisados.
 HTTP: Permite Filtrar:
 Métodos de acesso (GET, POST), URLs ("*.sk"), etc
 TAGS em HTML com referências a Applets em Java ou Objetos Active X.

 Dowload de certos tipos MIME.

 FTP: Permite Filtrar

 Comandos específicos (PUT, GET), Nomes de Arquivo

 Pode disparar antivirus para verificação de arquivos.

 SMTP: Permite criar regras de Filtragem baseadas

 Nos campos FROM e TO

 Tipo MIME

 Etc.
 Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)

20185
443

2294 52504

9747
92175

BackOrifice

73415 Netbus
SunRPC
19784 AXFR
1126 Imap
1547 Pop
Xterm
NFS
51080 Snmp
Telnet
Rlogin
1048 WWW
4165 Mail
930 Ftp
Squid
14005
Echo

291525
Resumo das Gerações:
✔ Filtro de pacotes: cabeçalhos dos pacotes;
✔ Filtro de estados: estados das conexões;
✔ Gateway de circuito: tráfego passante (posicionado inline);
✔ Gateway de aplicação: conteúdo total ou parcial dos pacotes.
Resumo das Gerações

Host Internet Firewall Rede Interna

Application Application Application

TCP Transport TCP Transport TCP Transport
IP Network IP Network IP Network
Datalink Datalink Datalink
Physical Physical Physical

Gateway de Aplicação
Circuit Gateway (relay)
Packet Filter
Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. Monitoração
10. Intrusão
Objetivo
Objetivo
Supervisão de toda a comunicação de entrada e saída
Controle
 do uso dos recursos protegidos por máquinas exteriores
 do uso da rede exterior pelas máquinas do perímetro

protegido
Defesa
 contra ataques externos ao perímetro protegido
 contra ataques iniciados no interior lançados para o exterior
Objetivo
Os firewalls são sistemas que têm como objetivo
estabelecer regras e filtros de tráfego entre duas redes.
Os firewalls são utilizados como a primeira linha de
defesa contra ameaças externas a uma rede.
Por ser a primeira linha de defesa, os sistemas de
firewall devem ser cuidadosamente instalados e geridos.
No caso de firewalls instalados em servidores
(normalmente Windows NT, 2k, 2k3 e Unix), o sistema
operativo deve também ser cuidadosamente configurado
para o nível máximo de protecção.
Razões para utilizar um firewall
O firewall pode ser usado para ajudar a impedir que sua
rede ou seu computador seja acessado sem autorização.
Assim, é possível evitar que informações sejam capturadas
ou que sistemas tenham seu funcionamento prejudicado
pela ação de hackers;
O firewall é um grande aliado no combate a vírus e
cavalos-de-tróia, uma vez que é capaz de bloquear portas
que eventualmente sejam usadas pelas "pragas digitais" ou
então bloquear acesso a programas não autorizados;
Em redes corporativas, é possível evitar que os usuários
acessem serviços ou sistemas indevidos, além de ter o
controle sobre as ações realizadas na rede, sendo possível
até mesmo descobrir quais usuários as efetuaram
O que um Firewall pode fazer?
Forçar a política de segurança
Está no caminho de todo tráfego de entrada e saída
Controla o tráfego que por ele passa
Regista todo tráfego
Limitar riscos
Para que servem?
 Proteger uma rede de ataques externos
 Reforçar a Política de Segurança da empresa
 Controlar e restringir o acesso aos serviços disponibilizados
 Registrar a comunicação entre as máquinas internas e externas
 Esconder máquinas internas
 Converter endereços IP
 Criptografar dados (criação de VPNs)
 Balancear a carga dos servidores
 Oferecer integração com outros mecanismos de segurança (IDS, anti-
vírus, autenticação forte ...)
 Coletar informações sobre os eventos relacionados à segurança
O que um Firewall não pode fazer?
Proteger contra pessoas internas
Proteger contra ligações que não passam por ele
Proteger completamente contra novos caminhos
Para que NÃO servem?
Controlar comunicação entre máquinas da mesma sub-
rede
Impedir ataques de pessoas internas
Controlar tráfego de informações
Por outros meios magnéticos
Por modem
Por fax ou telefone
...
Impedir ataques via “acesso legítimo” aos serviços internos
Falhas que podem ocorrer com o
firewall
Qualquer sistema, por mais seguro que seja, está sujeito a
falhas.
As principais são:
 Se um utilizador interno se ligar à rede externa, criará uma porta
de acesso à rede sem passar pelo firewall;
 Efetivo contra ataques externos, mas internamente não. A maioria
dos incidentes é causada por pessoal interno;
 Bugs, problemas de má configuração ou falha de equipamento,
podem deixar o firewall suspenso por algum tempo;
 Colisões da rede interna e externa podem evitar o acesso ao
firewall por um instante. E justamente nesse instante um intruso
poderá invadir a rede interna.
Limitações de Firewalls
São um dos mecanismos de segurança e não o
mecanismo de segurança.
Note-se que um firewall é totalmente ineficaz contra
as ameaças internas ao perímetro protegido
Podem também constituir um ponto de degradação
do desempenho da rede, uma vez que as suas
funcionalidades são implementadas por software.
Implementação de sistemas de
confiança
Porque/onde usar o Firewall
Malicious
email
Hacker

Viruses,
Firewall worms

Internet Intrusions

Inappropriate
Use

www.sex.com
www.free.com
www.game.com 82
Aspectos de Segurança de Redes

Só há uma rede imune a ataques externos:

a que não tem conexão com o mundo
exterior.

Hoje em dia, com a rápida propagação das

informações pela Internet, pessoas, podem
burlar a segurança de sistemas
operacionais, através de ferramentas feitas
por pessoas competentes, e geralmente
sem boas intenções.

83
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes
7. NAT
8. DMZ
9. IDS
10. Monitoração
Algoritmo do Firewall e Portas
TCP/IP
Algoritmo dos Firewalls sem
Estado
Recebe pacote

Seleciona Primeira Regra

S
Encaminhar
OK para Passar? Pacote

N
Seleciona
S Bloquear
Proxima OK para Bloquear
Regra Pacote

N Última
s Regra Default
Regra? (Bloquear Tudo)
Distribuição das Portas
0  Portas Bem conhecidas (well known
…. ports):
Geralmente usada pelos
1023
servidores de serviços
PORTAS 1024
padronizados.
TCP ou ….
UDP  Portas Registradas
49151
Geralmente usada por
49152 servidores proprietários.
….
 Portas Dinâmicas ou Privadas:
65535
Usadas pelos clientes e pelos
serviços não padronizados.
Distribuição das Portas (cont)
Portas Bem Conhecidas:
Definidas pela IANA (Internet Assigned Numbers
Authority)
Acessíveis apenas por processos de sistema (que tenham
privilégios do tipo root).
Desina servicos padronizados para Internet:
 FTP (21), HTTP (80), DNS (53), etc.

Range: 0 a 1023
Geralmente, a porta é mapeada a um serviço em ambos
os protocolos (TCP e UDP), mesmo que usualmente só
seja utilizado um deles.
Distribuição das Portas (cont)
Portas Registradas:
Listada pela IANA (Internet Assigned Numbers
Authority)
Serviço oferecido para conveniência da comunidade
Acessiveis por processos de usuário
Usadas geralmente para designar serviços
proprietários:
 Corba Management Agente (1050), Microsoft SQL

Server (1433), Oracle Server (1525), etc.

Range: 1024 a 49151.
Exemplos de portas bem conhecidas
Dados
armazenados
portas bem
conhecidas

FTP Porta 21 programa servidor de

transferência de arquivos

TELNET Porta 23 programa servidor de

terminal remoto
Porta 49152
SMTP programa servidor de correio
Porta 25
eletrônico
…
Porta 65535 programa servidor de
HTTP Porta 80
hipertexto e outros serviços
WWW
Cliente
NNTP Porta 119 programa servidor de notícias

portas livres
IRC Porta 194 programa servidor de
serviços chat
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de Pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS e IPS)
10. Monitoração
Regras de Portas
Componentes de um Firewall
Packet Filtering ou Filtro de pacotes
O uso de filtragem de pacotes no router é baseado
nos campos do endereço IP:
Origem
Destino
TCP/UDP porta origem
TCP/UDP porta destino
Para bloquear ligações de ou para um servidor web
específico ou rede, a filtragem pode ser usada
aplicada de várias formas, incluindo o bloquear de
ligações a portas específicas.
Implementação Física
 No software do Roteador: screening routers
 No software de uma estação dedicada (um PC com duas placas de rede).

ROTEADOR

REDE REDE
INTERNA EXTERNA
FIREWALL

PERSONAL
FIREWALL

ROTEADOR

REDE REDE
INTERNA EXTERNA
FIREWALL
94
Rede de Perímetro com Proxy
Hosts Internos
Com IP’s Privados

Rede Interna

Servidor
Bastion
Proxy
Host

DMZ - Rede de Perímetro

Roteador
Externo

Internet
95
Packet por Roteador

96
Packet Filters(continuaçao)

97
Packet Filters(continuaçao)

98
 Componentes de um Firewall
Packet Filtering
Exemplo de uso de regras de filtragem:

Protocol Source Dest Source Dest Action

addr addr Port Port
Tcp * 123.4.5.6 >1023 23 permit
Tcp * 123.4.5.7 >1023 25 permit
Tcp * 123.4.5.8 >1023 25 permit
Tcp 129.6.48.2 123.4.59 >1023 119 permit
54
udp * 123.4.*.* >1023 123 permit
* * * * * deny
Componentes de um Firewall
Packet Filtering
A 1ª regra, dá permissão aos pacotes TCP de
qualquer endereço origem e portas maiores que
1023 na Internet, de entrar para o endereço
destino 123.4.5.6 e para a porta 23. (A porta 23
está associada ao server Telnet)
A 2ª e 3ª regras, trabalham de forma similar,
excepto que só são permitidos os pacotes para
os endereços destino 123.4.5.7 e 123.4.5.8 e
porta 25 para SMTP.
Componentes de um Firewall
Packet Filtering
A 4ª regra permite pacotes para o NNTP server (servidor
de news), mas apenas provenientes do endereço origem
129.6.48.254 para o endereço destino 123.4.5.9 e porta
119.
A 5ª regra permite o tráfego que use UDP em vez de
TCP, de qualquer endereço origem para qualquer
endereço destino no site.
A 6ª regra nega todos os outros pacotes. Se esta regra
não estiver presente, o router pode não negar todos os
pacotes subsequentes.
Filtragem de Pacotes
A filtragem de pacotes é feita com base nas informações contidas no
cabeçalho do pacotes e das informações sobre as portas.

PORTA PORTA

PORTA
IP IP PORTA

PORTA PORTA

PORTA PORTA
IP IP
PORTA PORTA

PORTA PORTA
IP IP
PORTA PORTA

PACOTE IPorigem IPdestino Portaorigem Portadestino

 Firewalls
REGRAS:
 BLOQUEAR ENTRADA DE PACOTES SE DESTINO DIFERENTE
DE IPB e PORTA DIFERENTE DE 80
 BLOQUEAR SAIDA DE PACOTES SE PORTA DE DESTINO
DIFERENTE DE 80

>1024 IP 80
IP C
A

80
IP IP >1024
Regra B
Acao Senti. Prot. IP D
IP Port. Port
orig. dest. Orig Dest.
1 Permit in TCP IP A IP C > 1023 80
2 Permit out TCP IP D IP B > 1023 80
3 negar * * * * * *
Exemplo de Regras de
Filtragem
regra ação interface/ protocolo IP IP Porta Porta
  sentido origem destino origem destino

1 aceita rede interna/ TCP interno externo > 1023 80

r para fora - IN

2 aceita rede externa/ TCP externo interno >1023 80

r para dentro
OUT

3 rejeita * * * * * *
r

• Interpretação:
– Hosts Internos podem acessar páginas web
– Hosts externos podem acessar servidores de web interno.
Direção
 Exemplo
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
permitir IN tcp interno * > 1023 23
permitir OUT tcp * interno > 1023 23
permitir OUT tcp * interno > 1023 80
permitir IN tcp interno * > 1023 80
negar * * * * * *

• Interpretação:
1 – Host Internos (IN – dentro para fora) usando o procotolo TCP podem
acessar (permitir) qualquer servidor (*) Telnet (23).
2 – Host Externos (OUT – fora para dentro) usando o procolo TCP
podem acessar (permitir) qualquer servidor interno (*) do serviço
Telnet (23).
3 - Host Externos (OUT) usando o procolo TCP podem acessar (permitir)
o servidor interno Web (80)
4 – Host Internos (IN) usando o procotolo TCP podem acessar (permitir)
qualquer servidor (*) Web (80).
5 – Proibir (negar) tudo (*).
Seqüência de Criação de Regras
A seqüência na qual as regras são aplicadas
pode alterar completamente o resultado da
política de segurança. Por exemplo, as regras de
aceite ou negação incondicional devem ser
sempre as últimas regras da lista
O deslocamento de uma regra genérica para cima anula as demais.

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

permitir in tcp interno * > 1023 23
permitir out tcp * interno > 1023 23
permitir out tcp * interno > 1023 80
permitir in tcp interno * > 1023 80
negar * * * * * *
Exercicio 01:
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

– Hosts Internos podem acessar servidores de telnet externos.

– Host Externos podem acessar servidores telnet Internos

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

permitir IN tcp interno * > 1023 23
permitir OUT tcp * interno > 1023 23
negar
* * * * * *

TUDO QUE NÃO É PERMITIDO É PROIBIDO

108
Exercício 02
- Hosts Internos podem acessar servidores de telnet externos e
hosts externos acessar meu servidor interno 10.10.10.10.
– Hosts externos podem acessar meu servidor 200.145.22.33 de
News

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

Permit In Tcp Interno * >1023 23
Permit out TCP * 10.10.10.10 >1023 23
Permiti out Tcp * 200.145.22.33 > 1023 119
negar * * * * * *

109
Exercício 03
- Hosts Internos podem acessar servidores de telnet internos
(10.10.10.10) e hosts externos podem acessar meu servidor de
telnet (10.10.10.10).
– Hosts externos podem acessar servidores de web internos e os
hosts internos podem acessar servidores externos.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Permitir Out Tcp * 10.10.10.10 >1023 23
permitir out tcp * interno > 1023 80
permitir in tcp interno * > 1023 80
negar * * * * * *

110
 Exercício 04: Criar Regra rede interna e Servidor
Telnet

>1023 >1023 1 23
2
INTERNET
200.17.98.? 200.234.56.7

Rede Interna
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
IN tcp 200.17.98.0/24 23
permitir > 1023
* * *
* *
negar *

Servidor
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
permitir OUT tcp 200.17.98.0/24 23
* > 1023
negar * * * *
*
111
Exercício 05
- O servidor de ssh (10.20.2.4) só poderá ser acessado pelos clientes
internos da rede;
- Devido a um problema de vírus a toda a classe B da rede que tem o host
200.242.4.5 será proibida de fazer qualquer solicitação.
- O Cliente 10.20.2.70 pode acessar o serviços de banco de dados postgres
(TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8.
– Hosts externos podem acessar servidores de web cujo IP é 200.3.4.6 e o
servidor de email que responde pelo endereço 200.3.4.5 (externamente) e
10.20.2.1 (internamente) e os hosts internos podem acessar servidores
web externos.
– Apenas a máquina 10.20.2.50 não pode acessar nenhum serviço da
internet.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Negar Out * 200.242.0.0/16 * >1023 *
negar in * 10.10.2.50 * >1023 *
permitir out tcp * 200.3.4.6 > 1023 80
permitir out tcp * 200.3.4.5 > 1023 25/110
permitir in tcp 10.20.2.0/24 * >1023 80
negar * * * * * *
112
 Exercício06: PROVEDOR INTERNET
BACKBONES PROVEDOR
Servidor
Web, FTP e
Email Firewall Firewall
01 02

200.1.2.3 200.7.8.9

Servidor
Firewall
Postgres
03
5432
Servidor Oracle PROVEDOR
1521
200.4.5.6
Sabendo que cada rede possue uma classe C, faça as seguintes regras:
1 – Os serviços de Web e FTP da matriz poderão ser acessado por qualquer máquina
na internet, entretanto o serviço de Email só poderá ser acessado pelas duas filiais;
2 – Os bancos de dados ficam restrito só para acesso interno da empresa, ou seja, sua
respectiva rede interna, matriz e filias;
3 – As 3 redes podem acessar quaisquer servicos páginas Web e SSH externos.
Firewall 01

Ação Dir Protocolo IP Origem IP Destino Port Origem Porta Destino

Permitir IN tcp 200.1.2.0/24 * > 1023 80/22/53
Permitir out Tcp * 200.1.2.3 > 1023 80/21/20
Permitir out Tcp 200.4.5.0 /24 200.7.8.0/24 200.1.2.3 > 1023 110/25
Permitir In Tcp 200.1.2.0/24 200.4.5.6 > 1023 1521
Permitir In Tcp 200.1.2.0/24 200.7.8.9 >1023 5432
negar * * * * *

Firewall 02

Ação Dir Protocolo IP Origem IP Destino Porta Origem Porta Destino

*
Permitir in tcp 200.7.8.0/24 > 1023 80/22/53
200.7.8.9
Permitir Out tcp 200.1.2.0/24 200.4.5.0/24 > 1023 5432
200.4.5.6
Permitir in tcp 200.7.8.0/24 > 1023 1521
200.1.2.3
Permitir in tcp 200.7.8.0/24 > 1023 20/21/25/110
negar * * * *

Firewall 03

Ação Dir Protocolo IP Origem IP Destino Porta Origem Porta Destino

*
Permitir in tcp 200.4.5.0/24 > 1023 80/22/53
200.54.5.6
Permitir Out tcp 200.1.2.0/24 200.7.8.0/24 > 1023 1521
200.7.8.9
Permitir in tcp 200.4.5.0/24 > 1023 5432
200.1.2.3
Permitir in tcp 200.4.5.0/24 > 1023 20/21/25/110
negar * * * *
114
1 – Qualquer máquina da internet pode acessar o servidor Web da empresa. O Servidor de SSH (10.1.2.2) que também encontra-
se na filial 3, só pode ser acessado pela sua própria rede interna, matriz e demais filiais;
2 – Na filial 2 existe um enlace de rádio com o almoxarifado, onde o mesmo precisa acessar a parte de impressão TCP/IP (TCP
515);
3 – Na Matriz existe 2 máquinas 10.3.4.54 e 10.3.4.55 apenas (só esse) poderá acessar o servidor de FTP da Filial 1;
4 – O Servidor de Email só poderá ser acessado pela matriz e por uma máquina que encontra-se no almoxarifado cujo IP é
10.6.7.67
5 – A matriz e a filia 3 dessa empresa podem acessar os servidores de News cujos endereço são 200.5.6.7 e 200.9.8.7;
6 – Em cada rede possui uma máquina com final host 44 o qual é responsável em fazer terminal service (TCP 3389) em sua
própria rede e em qualquer servidor ou estação de trabalho da matriz ou filial;
7 – O servidor de aplicação é Oracle e de uso restrito da empresa;
8 – O servidor de página faz replicação dos dados para o servidor 10.1.2.2
10 – As estações podem acessar páginas Web na porta 80 normalmente, mais não podem acessar nas portas 8080;
11 – O notebook (10.3.4.20), é única máquina além da rede interna da filial 3 a acessar o servidor de impressão.
Firewall 01 Matriz

Protocol
Ação Dir o IP Origem IP Destino Port Origem Porta Destino
Permitir in Tcp 10.3.4.54/32 10.3.4.55/32 10.9.8.11 > 1023 20/21
Negar In Tcp 10.3.4.54/32 10.3.4.55/32 * > 1023 *
Permitir IN tcp 10.3.4.0/24 10.1.2.2 > 1023 22
Permitir In Tcp 10.3.4.0/24 10.9.8.7 > 1023 25/110
Permitir In Tcp 10.3.4.0/24 200.5.6.7 200.7.8.9 >1023 119
10.9.8.44/32 10.6.7.44/32
permitir out Tcp 10.1.2.44/32 10.3.4.0/24 >1023 3389
Permitir in Tcp 10.3.4.44/32 10.9.8.0/24 10.6.70/24 10.1.2.0/24 >1023 3389
10.9.8.0/24 10.6.70/24
Permitir out Tcp 10.1.2.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.3.4.0/24 * > 1023 80
perm in Tcp 10.3.4.20 10.6.7.2 >1023 515
negar * * * * * *

Firewall 02 Filial 01

Protocol
Ação Dir o IP Origem IP Destino Porta Origem Porta Destino
Permitir in tcp 10.9.8.0/24 10.1.2.2 > 1023 22
Permitir Out tcp 10.3.4.54/32 10.3.4.55/32 10.9.8.11 > 1023 20/21
Permitir out tcp 10.3.4.0/24 10.6.7.67 10.9.8.7 > 1023 25/110
10.3.4.44/32 10.6.7.44/32
permitir out Tcp 10.1.2.44/32 10.9.8.0/24 >1023 3389
Permitir in tcp 10.9.8.44/32 10.1.2.0/24 10.6.7.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.9.8.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.9.8.0/24 * > 1023 80
negar * * * * * *
116
Firewall 03 Filial
2

Protocol
Ação Dir o IP Origem IP Destino Port Origem Porta Destino
Permitir IN tcp 10.6.7.0/24 * > 1023 22
Permitir in Tcp 10.6.7.67 10.9.8.7 > 1023 25/110
Permitir In Tcp 200.4.5.0 /24 200.7.8.0/24 200.1.2.3 > 1023 110/25
Permitir In Tcp 10.6.7.0/24 200.5.6.7 200.7.8.9 >1023 119
10.3.4.44/32 10.9.8.44/32
permitir out Tcp 10.1.2.44/32 10.6.7.0/24 >1023 3389
Permitir in Tcp 10.6.7.44/32 10.1.2.0/24 10.9.8.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.6.7.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.6.7.0/24 * > 1023 80
Permitir out tcp 10.3.4.20 10.6.7.2 >1023 515
negar * * * * * *

Firewall 04 Filial 3

Protocol
Ação Dir o IP Origem IP Destino Porta Origem Porta Destino
Permitir out tcp * 10.1.2.1 > 1023 80
10.3.4.0/24 10.9.8.0 /24
Permitir out tcp 10.6.7.0/24 10.1.2.2 > 1023 22
10.3.4.44/32 10.9.8.44/32
permitir out Tcp 10.6.7.44/32 10.1.2.0/24 >1023 3389
Permitir in tcp 10.1.2.44/32 10.9.8.0/24 10.6.7.0/24 10.1.2.0/24 >1023 3389
Permitir in tcp 10.1.2.0/24 10.3.4.5 > 1023 1521
permitir in Tcp 10.1.2.0/24 * > 1023 80
negar * * * * * *
Firewall Linux – Scripts Iptables
 O que é IPTABLES ?
 O iptables é um firewall em nível de pacotes e funciona baseado no endereço/porta
de origem/destino do pacote, prioridade, etc. Ele funciona através da comparação
de regras para saber se um pacote tem ou não permissão para passar. Em firewalls
mais restritivos, o pacote é bloqueado e registrado para que o administrador do
sistema tenha conhecimento sobre o que está acontecendo em seu sistema.

 Ele também pode ser usado para modificar e monitorar o tráfego da rede, fazer
NAT (masquerading, source nat, destination nat), redirecionamento de pacotes,
marcação de pacotes, modificar a prioridade de pacotes que chegam/saem do seu
sistema, contagem de bytes, dividir tráfego entre máquinas, criar proteções anti-
spoofing, contra syn flood, DoS, etc. O tráfego vindo de máquinas desconhecidas
da rede pode também ser bloqueado/registrado através do uso de simples regras. As
possibilidades oferecidas pelos recursos de filtragem iptables como todas as
ferramentas UNIX maduras dependem de sua imaginação, pois ele garante uma
grande flexibilidade na manipulação das regras de acesso ao sistema, precisando
apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem
acesso garantido, quais serviços devem estar acessíveis para cada rede, e iniciar a
construção de seu firewall.
Quando Surgiu ?
No kernel do Linux 2.4, foi introduzido o firewall iptables
(também chamado de netfilter) que substitui o ipchains dos
kernels da série 2.2. Este novo firewall tem como vantagem ser
muito estável (assim como o ipchains e ipfwadm), confiável,
permitir muita flexibilidade na programação de regras pelo
administrador do sistema, mais opções disponíveis ao
administrador para controle de tráfego, controle independente
do tráfego da rede local/entre redes/interfaces devido a nova
organização das etapas de roteamento de pacotes.
Sintaxe
iptables ( comando ) ( parâmetro ) ( extensões )
Ex: iptables –A INPUT -p TCP –s 192.168.7.106 –j DROP

Adicionando regras (– A)
iptables -t filter -A INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT
Ex: iptables -A FORWARD -s 10.0.0.1 -j DROP

Deletar regras (– D)
iptables -t filter -D INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT
Ex: iptables -D FORWARD -s 10.0.0.1 -j DROP

Listar (– L)
Ex: iptables –L

Limpar regras - Flush (– F)

Ex: iptables –F
...
Sintaxe
Comandos básicos do iptables: -A - Permite atualizar regras já existentes na
estrutura do firewall e acrescenta uma regra às existências no sistema.
 -I - Insere nova regra dentro das existentes do firewall.
 -D - Exclui uma regra específica no firewall.
 -P - Comando que define regra padrão do firewall.
 -L - Comando para listar todas as regras existentes no firewall.
 -F - Este aqui zera todas as regras do firewall, podemos chamar de flush.
 -h - Ajuda do comando.
 -R - Substitui uma regra do firewall.
 -C - Verifica as regras básicas do firewall.
 -N - Cria uma nova regra com um nome específico.
 -X - Exclui uma regra por seu nome.
Sintaxe
Parâmetros padrão no iptables:

 -p (protocolo) - define qual protocolo TCP/IP. (TCP,UDP e ICMP).

 -s (origem) -d (destino) - define qual o endereço de origem -S e destino
-D esse comando tem dois argumentos endereço/máscara e porta.
 -i (interface) - define o nome da interface da rede onde trafegarão os
pacotes de entrada e saída do firewall. Utilizado em mascaramento com
NAT
 -j (ir para) - redireciona uma ação desde que as regras sejam similares.
 -f (fragmentos) - trata datagramas fragmentados.
IP FORWARD
Considerações iniciais
O IP FORWARD é um tipo de roteamento. É estabelecido quando
colocamos uma máquina entre dois ou mais segmentos de rede,
permitindo a livre passagem de pacotes entre estes sempre que
for necessário. É importante ressaltar que o roteamento só irá
funcionar quando for feito entre REDES DIFERENTES. Não se
pode colocar um roteador entre dois segmentos de rede iguais.
Esse procedimentonão serve apenas para estabelecer a
comutação de segmentos. Ele também é útil para diminuir o
tráfego na rede como um todo, pois só deixa o pacote mudar de
segmento se isso for realmente necessário.
IP FORWARD
 Para fazer o IP FORWARD, o micro roteador deverá possuir uma
placa de rede com endereço IP pertencente a cada segmento. Também
deveremos informar, em cada máquina de cada seguimento, quem
será o micro responsável pelo roteamento. O nome técnico desse
micro é gateway.
IP FORWARD
 No caso do esquema anterior, temos as seguintes situações:
 Gateway para 10.0.0.1, 10.0.0.2 e 10.0.0.3: a máquina 10.0.0.10
 Gateway para 172.20.0.1, 172.20.0.2 e 172.20.0.3: a máquina
172.20.0.10
 É importante que, nos dois lados, todos os micros saibam quem é o seu
gateway pois, do contrário, os hosts não saberão para onde enviar os
pacotes destinados à rede oposta. Exemplo:
 A máquina 10.0.0.1 sabe que 10.0.0.10 é o seu gateway. A máquina
172.20.0.1 não sabe quem é o seu gateway. Um ping de 10.0.0.1 para
172.20.0.1 sairá de 10.0.0.1, passará por 10.0.0.10, seguirá por
172.20.0.10 e chegará em 172.20.0.1. Como 172.20.0.1 não sabe
quem é o seu gateway para a rede 10.0.0.0, não conseguirá responder.
O ping vai morrer por timeout. Houve o icmp echo request mas será
impossível gerar o icmp echo reply.
Inicio de Scripts
### Limpa as regras existentes.
export IPTABLES="/usr/sbin/iptables"
export iptables="/usr/sbin/iptables"
export LAN="10.10.2.0/24"

/usr/sbin/iptables -F http://www.4shared.com/file
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -X /42267953/f6df6fc4/SCRIPT
/usr/sbin/iptables -t nat -F

# Roteamento entre as placas

_LINUX.html
echo 1 > /proc/sys/net/ipv4/ip_forward

### Muda a Politica da Chain Forward.

$iptables -P FORWARD DROP
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT

### Permite o trafego de conexoes ja estabelecidas.

$iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state RELATED -j ACCEPT
Acesso a páginas Web e Email
### Permite acesso web (HTTP e HTTPS).
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8080 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT

### Permite acesso ao e-mail tradicional.

/usr/sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#nat 25
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 25 -j MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 25 -j ACCEPT
#nat 110
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 110 –MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 110 -j ACCEPT
 Acesso a DNS, Proxy transparente, PING e
LOG
### Permite consultas DNS
$iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
$iptables -A FORWARD -p udp --dport 53 -j ACCEPT

#Proxy transparente
$iptables -t nat -A PREROUTING -p tcp -s 10.10.2.0/24 -d! 10.0.0.0/8 --dport 80 -j DNAT –to 10.10.2.1:3
#$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Liberar ping para rede da Empresa

#$iptables -I INPUT -p icmp --icmp-type echo-request -s origem -d destino -j ACCEPT
#$iptables -I INPUT -p icmp --icmp-type echo-request -s 10.0.0.0/8 -d 10.89.2.0/24 -j ACCEPT

### Ativar a geração de Logs /var/log/messages

$iptables -A FORWARD -j LOG --log-prefix "[DROP_PKT] "
Raw iptables log output
Verificação de Regras
iptables -L -v -n
 Exemplo 01:
iptables -P INPUT DROP
iptables -A INPUT -s 10.0.0.1 -j DROP
iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT
 Exemplo 02
iptables -P INPUT ACCEPT
iptables -A INPUT -s 10.0.0.1 -j DROP
iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT
 Exercício 01 de Script Linux
 A rede interna poderá fazer FTP para qualquer host.

# Regrasgerais de FTP
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT

 Liberar Acesso do host 10.20.4.5 para o servidor Oracle do IP 200.20.78.123

iptables -A FORWARD -p tcp –s 10.20.4.5 --dport 1521 -d 200.20.78.123 -j ACCEPT

 Liberar acesso da rede interna cujo host é 10.20.3.4 e classe B para o servidor
My SQL, cujo IP 200.91.34.67
iptables -A FORWARD -p tcp –s 10.20.0.0/16 --dport 3006 -d 200.91.34.67 -j ACCEPT

 Liberar a Rede interna para acessar qualquer servidor Web apenas o servidor
200.7.8.9 via terminal service. A única exceção será o host 10.2.3.4 não poderá
acessar nenhum serviço
iptables -A FORWARD -p tcp –s 10.2.3.4 -j DROP
iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 3389 –d 200.7.8.9 -j ACCEPT
iptables -A FORWARD -p tcp –s 10.2.3.0/24 --dport 80 -j ACCEPT
 Exercício 02 de Script Linux
 Bloquear acesso ao Proxy 203.86.29.188 e outro 200.1.2.3 cuja porta é 8080

iptables -A FORWARD -d 203.86.29.188/32 -p tcp -j DROP

iptables -A FORWORD -d 200.1.2.3/32 -p tcp --dport 8080 -j DROP

 Liberar Acesso acesso remoto para uma rede classe B 200.242, onde a mesma
poderá acessar meu servidor cujo IP é 10.72.1.1
iptables -A FORWARD -p tcp -s 200.242.0.0/16 --dport 3389 -d 10.72.1.1 -j ACCEPT

 Liberar tudo que for acesso cliente para uma estação cujo IP é 10.89.2.43 e
garantir que esse IP não posso ser acesso privilegiado deste IP não possa ser
usado por outro host
iptables -A FORWARD -p tcp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT
arp -s 10.89.2.43 0013a98d9d79
Firewall Windows – Kério
 Regras no Sistemas Operacional Windows
Check Point

Kerio
Tela do Kério
Resumo do básico de Firewall
 1. Deny network traffic on all IP ports.
 2. Except, allow network traffic on port 80
(HTTP).
 3. Except, from all HTTP traffic, deny HTTP
video content.
 4. Except, allow FTP to everyone.
 5. Except, allow SMTP and POP3 to everyone.
 ...
Filtros de Pacotes
Desempenho do Filtro de Pacotes
 O processo de filtragem de pacotes exige que um certo
processamento adicional seja executado pelo roteador para cada
pacote que chega ou precisa ser transmitido.
 Dependendo da velocidade da linha de transmissão, esse
processamento pode ou não causar uma degradação do
desempenho da rede.

Conexão Pacotes/s Tempo Ciclos CPU

(20 bytes) disponível 100 MHz

56 Kbit/s 350 2.86 ms 286000

2 Mbit/s 12500 80 s 8000
10 Mbit/s 62500 16 s 1600
100 Mbit/s 625000 1.6 s 160
1Gbit/s 6250000 0.16 s 16
141
Filtro de Pacotes
Fragmentos:
Implementação
Linux - Squid
Sintaxe
 Criação de ACL de conteudo
acl <nome da acl> url_regex –i “<caminho>”
EX: acl sexo1 url_regex -i "/etc/squid/control/sites-sexo1”
acl sexo1 url_regex sex sexo playboy ... –i

 Outras Regras de Conteúdo

acl msn dstdomain loginnet.passport.com
acl msnmessenger url_regex -i gateway.dll
acl MSNapp req_mime_type -i ^application/x-msn-messenger$
acl webmsn dstdomain webmessenger.msn.com
acl orkutregra url_regex orkut orkutando toperkut –I
acl javascript rep_mime_type -i ^application/x-javascript$
Filtro de Conteúdo – Linux (Squid)
Sintaxe
 Criação de ACL Usuários
Acl <nome acl> scr <ip ou nome de usuário – caso possua domínio)
Ex:acl
usuarios src 10.10.2.7/32 10.10.2.33/32
10.10.2.30/32
Criação de Regras
http_access <permissão> <acl conteudo> <acl usuário>
Ex:http_access allow msnmessenger usuarios
http_access allow MSNapp usuarios
http_access allow webmsn usuarios
http_access deny entrentimento usuarios
http_access deny sexo1 usuarios
http_access deny sexo2 usuarios
http_access allow all
Windows
Filtros de Pacote Kério
Filtros de Pacote Kério
Filtros de Pacote Kério
Filtros de Pacote Kério
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. IDS
10. Monitoração
 NAT
(Network Address Translation)
Também conhecido como masquerading é uma técnica que consiste em
reescrever os endereços IP de origem de um pacote que passam por
um router ou firewall de maneira que um computador de uma rede
interna tenha acesso ao exterior (rede pública).

É um protocolo que, como o próprio nome diz, faz a tradução dos

endereços IP e portas TCP da rede local para a Internet. Ou seja, o
pacote enviado ou a ser recebido de sua estação de trabalho na sua
rede local, vai até o servidor onde é trocado pelo ip do mesmo substitui
o ip da rede local validando assim o envio do pacote na internet, no
retorno do pacote a mesma coisa, o pacote chega e o ip do servidor é
trocado pelo Ip da estação que fez a requisição do pacote.
Network Address Translation
(NAT)
IP => 32 bits! Maximo 4 bilhões de números.
IP privado  IP publico
NAT: Network Address
Translation
Permite traduzir endereços privados em endereços registrados.
 Seu funcionamento é definido pela RFC 1631
A função de NAT é geralmente executada por:
 ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS EM
COMPUTADORES COM DUAS PLACAS DE REDE
 EM TODOS OS CASOS, OS CLIENTES SÃO CONFIGURADOS PARA
UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Traduções:
 One-TO-Many
 Traduzir vários IP’s para um único IP
 Funcionamento similar ao Proxy (mais usual)
 Many-TO-Many
 Traduzir um grupo de IP’s para outro grupo de IP’s
NAT: Network Address
Translation
Permite traduzir endereços privados em endereços registrados.
 Seu funcionamento é definido pela RFC 1631

A função de NAT é geralmente executada por:

 ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS EM
COMPUTADORES COM DUAS PLACAS DE REDE
 EM TODOS OS CASOS, OS CLIENTES SÃO CONFIGURADOS PARA
UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Traduções:
 One-TO-Many
 Traduzir vários IP’s para um único IP
 Funcionamento similar ao Proxy (mais usual)
 Many-TO-Many
 Traduzir um grupo de IP’s para outro grupo de IP’s
NAT: Implementado em
Roteadores ou Firewalls
192.168.0.? IP_INTERNET APLICAÇÃO 200.17.98.24 IP_INTERNET APLICAÇÃO

IP_INTERNET 192.168.0.? APLICAÇÃO IP_INTERNET 200.17.98.24 APLICAÇÃO

192.168.0.10

INTERNET
REDE INTERNA

192.168.0.254 200.17.98.24
Exemplo de NAT
A estação com IP 192.168.1.13 faz uma requisição,
por exemplo, para um endereço externo. O pacote sai
com o IP da estação e corre em direção ao
intermediador entre ambiente interno e externo, o
gateway. O gateway, através do protocolo NAT
mascara o IP da estação com seu IP
(200.158.112.126 - que é válido na internet) assim
fazendo com que o pacote seja entregue no destino
solicitado pela estação. No retorno do pacote, ele
parte do endereço externo, chega a nossa rede no
servidor NAT (200.158.112.126) e lá é volta ater o IP
da estação assim chegando à estação (192.168.1.13).
LIMITAÇÕES DO NAT
NAT permite apenas que clientes
internos acessem servidores externos:
Um computador com IP privado não
consegue falar com outro computador
com IP privado através da Internet.
Além da troca dos IPs, muitos
parâmetros precisam ser recalculados:
IP checksum e TCP checksum (fácil)
LIMITAÇÕES DO NAT
O NAT não funcionará em protocolos onde
o IP apareça em um campo do protocolo de
aplicação se:
O protocolo de aplicação não for conhecido
pelo dispositivo de NAT.
O protocolo de aplicação estiver criptografado.
O NAT utiliza tabelas internas para mapear
conexões ativas.
Tabelas grandes levam a baixo desempenho.
 Roteador Interno e Gateway Default
rede corporativa interna da
empresa Bloqueia qualquer pacote
onde o IP de origem ou
destino seja FRIO.
IP FRIO IP FRIO IP
QUENTE

IP IP
QUENTE QUENTE
INTERNET
IP FRIO
roteador GATEWAY
interno DEFAULT
IP FRIO

servidor

IP FRIO IP FRIO IP FRIO

IP FRIO Servidor
acessível pela
rede externa
 Obtendo Serviços da Internet
Bloqueia qualquer pacote
onde o IP de origem ou
SERVIDOR WEB destino seja FRIO.
IP FRIO IP FRIO SERVIDOR EMAIL

IP
QUENTE
INTERNET
IP FRIO IP FRIO IP IP
roteador QUENTE QUENTE GATEWAY
interno DEFAULT

IP FRIO

Este servidor
não é
acessível pela
IP FRIO IP FRIO IP FRIO IP FRIO rede externa.
Hosts Categoria 2
Exemplo de uma rede Intranet interligada a Internet através de um servidor proxy.
Nessa rede, os hosts estão na categoria 2.

192.168.0.1 192.168.0.2 192.168.0.4

192.168.0.3
servidor
proxy roteador

192.168.0.5 200.17.98.1

200.17.98.2
roteador
192.168.1.5 interno

servidor conexão
com um
backbone
da Internet.
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 o servidor não é
acessível pela
rede corporativa interna da
rede externa.
empresa
 Utilização
Linux

# Acesso na porta 80 para o Filial do Paraná Acessar

$IPTABLES -t nat -A PREROUTING -p tcp -d 10.10.1.5 --dport 80 -j DNAT --to 10.10.2.1:80
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 200.64.100.133 --dport 80 -j
MASQUERADE

# Acesso a Telnet
/usr/sbin/iptables -A FORWARD -p tcp --dport 23 -d 10.1.8.1 -j ACCEPT
#nat
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j ACCEPT

# Acesso ao notes
$iptables -A FORWARD -p tcp --dport 1352 -d 10.0.0.0/8 -j ACCEPT
#nat
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 –j MASQUERADE
$IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 -j ACCEPT
 Utilização
Windows
 Utilização
Windows
Resumo do NAT

Técnica utilizada para converter endereços IP de

máquinas internas em tempo real
Possibilita o acesso à Internet a partir de máquinas com
endereços IP reservados
Permite a existência de um número maior de máquinas
internas do que o número de endereços IP válidos
Feita de forma transparente
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. IDS
10. Monitoração
DMZ
O que é?
É a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em
português. Também conhecida como Rede de Perímetro, a DMZ
é uma pequena rede situada entre uma rede confiável e uma não
confiável, geralmente entre a rede local e a Internet.

Para que serve?

A função de uma DMZ é manter todos os serviços que possuem
acesso externo (tais como servidores HTTP, FTP, de correio
eletrônico, etc) separados da rede local, limitando assim o potencial
dano em caso de comprometimento de algum destes serviços por
um invasor. Para atingir este objetivo os computadores presentes
em uma DMZ não devem conter nenhuma forma de acesso à rede
local.
DMZ/
Topologia sugerida
Internet

Web
Server

FTP
Server

Mail
Gateway

DMZ
(zona desmilitarizada)
 Implementação – Script Linux
#!/bin/bash # SAINDO DA DMZ WWW MAIL FTP & DNS ##
##################################### #####################################
#Inicio iptables -t nat -A POSTROUTING -p tcp -o $IF_OUT -m multiport --dport
##################################### $MAIL_PORT,$WWW_PORT -j MASQUERADE
iptables -F iptables -t nat -A POSTROUTING -p udp -o $IF_OUT --dport 53 -j
iptables -X MASQUERADE
iptables -t nat -F iptables -A INPUT -i IP_IN -m state --state ESTABLISHED,RELATED -j
iptables -t nat -F ACCEPT
##################################### #####################################
# VARIÁVEL # ######## HABILITANDO FORWARD
##################################### #####################################
IF_IN=eth0 echo 1 > /proc/sys/net/ipv4/ip_forward
IF_OUT=eth1 #####################################
HOST=200.142.20.3 ######## LIBERANDO FORWARD
MAIL=200.142.21.6 #####################################
MAIL_PORT=25,110,22 iptables -A FORWARD -p tcp -o $IF_OUT -i $IF_IN -j ACCEPT
WWW=200.142.21.5 iptables -A FORWARD -p tcp -i $IF_OUT -o $IF_IN -j ACCEPT
WWW_PORT=80,8080,22 #####################################
IP_ADM=192.168.2.1 # SAINDO ICMP da DMZ
DMZ=192.168.2.0 #####################################
##################################### iptables -t nat -A POSTROUTING -p icmp -o $IF_OUT -j MASQUERADE
# DMZ # iptables -A INPUT -i $IF_IN -m state --state ESTABLISHED,RELATED -j
##################################### ACCEPT
### ENTRANDO NA DMZ WWW & MAIL #####################################
##################################### # DROP
iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport #####################################
$MAIL_PORT -j DNAT --to $MAIL iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $MAIL_PORT -j iptables -P FORWARD ACCEPT
MASQUERADE iptables -P OUTPUT DROP
#
iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport
$WWW_PORT -j DNAT --to $WWW
iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $WWW_PORT -j
MASQUERADE
Implementação - Windows
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS)
10. Monitoração
9 – IDS
Intrusão
Conjunto de ações que comprometem a integridade,
confidencialidade ou disponibilidade dos dados, sistemas
ou ambos [HeadyLugerEtAl, 1990]

Exemplos:
Usuários confiáveis usando de forma errada os
sistemas
Usuários hostis usando brechas nos sistemas para
compromete-los
Usuários hostis impersonificando usuários confiáveis
para burlar os sistemas
Sistema de Detecção de Intrusos
 O que é?
 Sistema que permite a detecção de tentativas de intrusão, atuando de
forma preventiva e pró-ativa
 Ferramentas que monitoram acessos em tempo real, à procura de padrões
suspeitos
 Possuem conjuntos de regras, semelhante às do firewall
 Podem gerar alertas ou tomar atitudes em caso de ataque

 Para que serve?

 Identificar invasões baseadas em:
 ataques descritos por assinaturas pré-definidas
 alterações no padrão de utilização do ambiente por usuários conhecidos
Sistema de Detecção
de Intrusos
Benefícios:
Complementar a segurança oferecida pelo Firewall
Proteger a rede interna contra acessos externos
indevidos
Combater ataques e invasões
Responder automaticamente aos comportamentos
suspeitos
Elevar o nível de segurança
Sistema de Detecção
de Intrusos
Características desejáveis:
Funcionamento contínuo sem interferência humana
Tolerância a falhas
Integração com os principais sistemas
Auto-monitoramento de segurança
Impacto mínimo no ambiente
Integração com Firewall
Interface amigável
Adaptação as mudanças no ambiente
Sistema de Detecção
de Intrusos
Prováveis erros:
Falso positivo
 Classificação de uma ação como uma possível intrusão, quando
se trata de uma ação legítima
Falso negativo
 Quando ocorre uma intrusão e a ferramenta permite que ela
passe como se fosse uma ação legítima
Subversão
 Quando o intruso modifica a operação da ferramenta de IDS
para forçar a ocorrência de falso negativo
 LPR LPR
RPC RPC
TELNE T
WINS
T TELNE
WWW
www WINS
E-mail OUTROS
NFS WWW Usuários
Invasores NFS
E-MAIL legítimos
E-MAIL
1. FIREWALL
Cria um filtro, permitindo
acessos somente aos
2. IDS
serviços desejados.
Analisa os acessos aos

WWW
WWW
serviços desejados,

E-MAIL
E-MAIL
permitindo os legítimos e
E-MAIL
WWW

bloqueando os ilegítimos.
E-MAIL

W
W
W

Telnet WINS LPR E-mail NFS RPC www

Sistema de Detecção
de Intrusos
 Principais desafios:
 Criptografia dos dados
 Utilização de Switch
 Tráfego intenso de rede

 Fatores críticos de sucesso:

 Conhecimento sobre o funcionamento do sistema em condições
normais
 Resposta a incidentes
 Contingência e continuidade
 Tratamento de exceções para o estabelecimento do equilíbrio entre
falsos positivos e falsos negativos
Sistema de Detecção de
Intrusos
 Tipos:
 Host based
 Software que monitora o Log File do sistema ou das aplicações,
disparando um alarme quando um usuário acessa dados,
arquivos ou programas não autorizados
 Compara os requests com as regras de sua tabela
 Pode ser programado para rejeitar determinados acessos
 Network based
 Software que monitora o tráfego da rede e responde com um
alarme quando identifica um padrão de tráfego suspeito,
indicando que invasores estão acessando a rede
 Monitora todo o tráfego de um segmento de rede
 Compara os requests com regras de sua tabela
 Pode opcionalmente avisar o firewall para cortar a conexão
 Híbridas
Network based IDS
Utilizando o conceito de conexões não autorizadas o
dispositivo tenta analisar todos os dados que passam pela
rede, aplicando um conjunto de regras pré-definidos ou
identificando “assinaturas” nos dados capturados

INTERNET REDE INTERNA

Roteador
Firewall

Sensor
MONITORAMENTO
Network based IDS
 Limitações
 Escalabilidade (problemas em rede de alta velocidade)
 Reativo no que tange a atualização de assinaturas de novos
ataques
 Suscetível a técnicas de hacking mais avançadas

 Riscos fora do contexto de atuação (Engenharia Social)

 Vantagens
 Portabilidade
 Independente do sistema operacional destino
Host based IDS
Verificam pacotes “estranhos” no computador e
identificam padrões de comportamento
conhecidos de usuários remotos ou locais
executando ações que não deveriam

IN T E R N E T
R o u te r
F IR E W A L L
Host based IDS
Limitações
Falta de suporte a plataforma mista
Carga adicional nos servidores
Não detecção de intrusões via rede
Capacidade de detecção limitada
Riscos fora do contexto de atuação (Engenharia Social)
Vantagens
Solução mais escalável
Hibrid IDS
Integração baseada em Network Based e Host Based

INTERNET REDE INTERNA

Router
FIREWALL

SENSOR
MONITORAMENTO
Hibrid IDS
 Limitações
 Carga adicional nos servidores
 Escalabilidade (problemas em rede de alta velocidade)
 Reativo no que tange a atualização de assinaturas de novos
ataques.
 Suscetível a técnicas de hacking mais avançadas
 Riscos fora do contexto de atuação (Engenharia Social)
 Vantagens
 Cobertura mais ampla no que tange a tentativas de intrusão
Scanner de vulnerabilidades
 Pode identificar:
 Uso de senhas inseguras
 Vulnerabilidades referentes a não aplicação de
correções em sistemas operacionais
 Deficiências em protocolos de comunicação
 Deficiências na configuração dos sistemas
 SISTEMA
Host based
Busca por
vulnerabilidades no
Atua como sentinela nos
sistema operacional:
política de senhas, servidores analisando
log, acessos indevidos,
privilégios errados, etc
back-door, etc
SCANNER IDS
Faz uma varredura na Analisa todos os pacotes
rede em busca de que trafegam pela rede
falhas nos dispositivos em busca de um
possível ataque
Network based
REDE
 Índice
1. Definição
2. Internet Protocol
3. Gerações dos Firewalls
4. Objetivos, Razões e Limitações do Firewall
5. Algoritmo do Firewall e Portas TCP/IP
6. Filtro de pacotes e Regras de Portas
7. NAT
8. DMZ
9. Intrusão (IDS e IPS)
10. Monitoração
10 – Monitoramento
Onde monitorar?
Internet

Monitora rede Web

interna contra Server Contra ataques
ataques externos que ultrapassaram
O Firewall
FTP
Server

Mail
Monitora Gateway
equipamento
DMZ
(zona desmilitarizada) Contra ataques
direcionados a este
segmento de rede
Monitoramento e Registro
 Reportar Uso

 Detecção de intruso

 Descobrir método de ataque

 Evidências Legais

 Armazenar em outro PC ou em dispositivo de

gravação única
Análise Diária
Análise dos Usuários
Sites mais Acessados
Sites por usuários (Geral)
Acesso a download
Sites não autorizados
Análise Individual do usuário
Windows – Análise Filtro
Windows – Banda por usuário
Windows - Conexão
Windows - MRTG
Exemplo de invasão
Exemplo de invasão
Firewall – Windows Desktop

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Firewall - Testes na Web
Symantec Security Check
 http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

Audit My PC Firewall Test

 http://www.auditmypc.com/firewall-test.asp

Gibson Research Corporation-Internet Vulnerability Test

 https://www.grc.com/x/ne.dll?bh0bkyd2

PC Flank's tests

 http://www.pcflank.com/about.htm

HackerWatch firewall tests

 http://www.hackerwatch.org/probe/

Hacker Whacker free tests

 http://theta.hackerwhacker.com/freetools.php

Look 'n' Stop - Internet security Test

 http://www.soft4ever.com/security_test/En/
“Se você não pode proteger o que tem, você não tem nada.”
Anônimo
Fim da Ementa.
Dúvidas

Reflexão:
“Os computadores são incrivelmente rápidos, precisos e burros; os homens
são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder
ultrapassa os limites da Imaginação” – Albert Einstein

212