CBPF-NT-004/99 _______________________________________________________________________________

OUTRAS APOSTILAS EM: www.projetoderedes.com.br

Leonardo Ferreira Carneiro leo@cbpf.br Nilton Alves Jnior naj@cbpf.br http:/mesonpi.cat.cbpf.br/naj

SEGURANA DE ROTEADORES

Resumo
Esse trabalho tem como objetivo abordar determinados aspectos relativos a roteadores e segurana em redes, com alguns exemplos tpicos. Ao longo dessa Nota Tcnica, sero vistos um pequeno histrico sobre a evoluo dos sistemas de computao, os conceitos de roteadores, firewalls, access lists e segurana em redes. Dessa forma, pretendemos oferecer uma primeira viso respeito desses assuntos.

Palavras-chave:
Roteador; Segurana em Redes; Comandos Access List e Access Group.

______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 1/22

CBPF-NT-004/99 _______________________________________________________________________________

_______________________________________________________________________________ 2/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________

ndice
RESUMO _____________________________________________________________________ 1 PALAVRAS-CHAVE: _____________________________________________________________ 1 NDICE _______________________________________________________________________ 3 1. HISTRICO ________________________________________________________________ 4 2. ROTEADORES ______________________________________________________________ 5 2.1. ENDEREOS IP E REDES TCP/IP _______________________________________________ 2.1.1. Endereamento IP ______________________________________________________ 2.1.2. Redes TCP/IP__________________________________________________________ 2.2. ROTEAMENTO NA INTERNET __________________________________________________ 2.3. DETERMINAO DO ENDEREO FSICO __________________________________________ 3.1. FILTROS DE PACOTES _______________________________________________________ 3.1.1. IP Spoofing___________________________________________________________ 3.1.2. Ataque Source Routing__________________________________________________ 3.1.3. Ataque Tiny Fragment __________________________________________________ 3.2. GATEWAYS DE APLICAO ___________________________________________________ 3.3. GATEWAYS DE CIRCUITO _____________________________________________________ 3.4. SERVIDORES PROXY ________________________________________________________ 3.5. COMENTRIOS FINAIS ______________________________________________________ 4.1. PARA QUE USAR ACCESS LISTS? _______________________________________________ 4.2. O QUE SO ACCESS LISTS? ___________________________________________________ 4.3. COMANDOS DAS ACCESS LISTS ________________________________________________ 4.4. IDENTIFICAO DE ACCESS LISTS ______________________________________________ 4.5. CONFIGURAO DE IP STANDARD ACCESS LISTS ___________________________________ 4.6. CONFIGURAO DE IP EXTENDED ACCESS LISTS __________________________________ 4.7. EXEMPLOS DE ACCESS LISTS __________________________________________________ 4.7.1. Standard Access Lists___________________________________________________ 4.7.2. Extended Access Lists __________________________________________________ 5.1. POLTICA DE SEGURANA ___________________________________________________ 5.2. MECANISMOS DE SEGURANA ________________________________________________ 5.2.1. Criptografia __________________________________________________________ 5.2.2. Integridade de Dados___________________________________________________ 5.2.3. Controle de Acesso_____________________________________________________ 5.2.4. Controle de roteamento _________________________________________________ 5.2.5. Comentrios finais _____________________________________________________ 6 6 7 7 8

3. FIREWALL__________________________________________________________________ 8 10 10 10 10 11 11 12 12 13 13 13 14 15 16 17 17 17 18 19 19 19 20 20 20

4. ACCESS LISTS _____________________________________________________________ 12

5. SEGURANA EM REDES DE COMPUTADORES_______________________________ 18

6. CONCLUSO ______________________________________________________________ 20 REFERNCIAS _______________________________________________________________ 22 ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 3/22

CBPF-NT-004/99 _______________________________________________________________________________

Roteadores e Segurana em Redes

1. Histrico
A comunicao sempre foi uma das maiores necessidades da sociedade humana. De acordo com o crescimento das civilizaes, que ocupavam reas cada vez mais dispersas geograficamente, a comunicao a longa distncia se tornava uma necessidade cada vez maior e um desafio. Formas de comunicao atravs de sinais de fumaa ou pombos-correio foram as maneiras encontradas por nossos ancestrais para tentar aproximar as comunidades distantes. Ao inventar o telgrafo em 1838, Samuel F. B. Morse inaugurou uma nova poca nas comunicaes. Nos primeiros telgrafos utilizados no sculo XIX, mensagens eram codificadas em cadeias de smbolos binrios (cdigo Morse) e ento eram transmitidas manualmente por um operador atravs de um dispositivo gerador de pulsos eltricos. A partir da, a comunicao atravs de sinais eltricos atravessou uma grande evoluo, dando origem maior parte dos grandes sistemas de comunicao encontrados atualmente, como o telefone, o rdio e a televiso. Essa evoluo no tratamento de informaes no aconteceu somente na rea de comunicao. Equipamentos para processamento e armazenamento de informaes tambm foram alvo de grandes investimentos ao longo do nosso desenvolvimento. A introduo de redes de computadores na dcada de cinqenta foi, provavelmente, o maior avano do sculo neste sentido. A unio destas duas tecnologias comunicao e processamento de informaes veio revolucionar o mundo de hoje, abrindo as fronteiras com novas formas de comunicao, e permitindo assim maior eficcia dos sistemas computacionais. Tais sistemas sofreram uma grande evoluo desde o seu incio, no Ps-Guerra, at os dias de hoje. Embora a indstria de computadores seja jovem quando comparada com indstrias como a automotiva e a de transportes areos, os computadores tem feito um fantstico progresso em um curto espao de tempo. Durante as suas duas primeiras dcadas de existncia, os sistemas de computao eram altamente centralizados, em geral, em uma nica sala grande, sendo o computador uma mquina grande e complexa, operada por pessoas altamente especializadas. A noo de que dentro de vinte anos computadores igualmente poderosos, consideravelmente menores, pudessem ser produzidos em massa era considerada invivel. No entanto, nos anos setenta, a introduo dos PCs revolucionou esses sistemas de computao, substituindo o modelo de um nico computador servindo a todas as necessidades computacionais de uma organizao por outro no qual um grande nmero de computadores separados, mas interconectados, executam essa tarefa. Atravs dessa distribuio de poder computacional, chegou-se ento as arquiteturas de redes de computadores que encontramos hoje em dia. Contudo, uma nica rede local est sujeita a certos limites, como por exemplo o nmero de estaes que podem ser conectadas a ela, a velocidade na transmisso dos dados entre as estaes ou ainda quanto trfego a rede pode suportar. Para superar essas limitaes, surgiram, a partir dos anos oitenta, as chamadas internetworks. Internetworking a cincia de interligar LANs individuais para criar WANs, e de conectar WANs para criar WANs ainda maiores. Uma LAN (Local Area Network) uma rede de computadores que abrange uma rea relativamente pequena, _______________________________________________________________________________ 4/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ enquanto uma WAN (Wide Area Network) uma rede que ocupa uma maior rea geogrfica, consistindo geralmente de duas ou mais LANs. Essas ligaes inter-redes so executadas por dispositivos especficos, como por exemplo os roteadores, que so o assunto do prximo item [1][2][18].

2. Roteadores
Um roteador um dispositivo que prov a comunicao entre duas ou mais LANs, gerencia o trfego de uma rede local e controla o acesso aos seus dados, de acordo com as determinaes do administrador da rede. O roteador pode ser uma mquina dedicada, sendo um equipamento de rede especfico para funes de roteamento; ou pode ser tambm um software instalado em um computador. Consideremos por exemplo um grupo de dispositivos de rede, como servidores, PCs e impressoras, formando uma rede local a qual chamamos de LAN 1, como mostrado na figura 1. Consideremos tambm outra rede local, similar a primeira, a qual chamamos de LAN 2. A interconexo entre elas, que permite a troca de dados e o compartilhamento dos seus recursos e servios, feita pelo roteador. Esse esquema caracteriza o uso de uma mquina dedicada.

Figura 1: O roteador permite o trfego de informaes e o compartilhamento de servios e recursos entre redes diferentes.

Consideremos agora a figura mostrada a seguir. Nela est representado o caso em que o roteador um software instalado em um computador. Como podemos observar, o computador, atravs de um software especfico, que gerencia o trfego de dados entres as diferentes redes mostradas. Esse esquema representa a topologia de rede inicialmente utilizada no CBPF at 1996, quando um servidor Novell exercia a funo de um roteador, atravs de um software de roteamento fabricado pela prpria Novell. O roteador opera na camada de rede, a terceira das sete camadas do modelo de referncia ISO OSI. Esse modelo de rede foi criado pela ISO (International Organization of Standardization) no incio dos anos oitenta, tendo sido o primeiro passo para a padronizao internacional dos diversos protocolos de comunicao existentes atualmente [2][5]. Para aqueles que estiverem interessados, maiores informaes respeito do modelo OSI podem ser encontradas na Nota Tcnica intitulada Redes de Computadores, NT 008/98, de Outubro de 1998. Quanto ao funcionamento de um roteador, temos que quando pacotes (partes da mensagem que transmitida) so transmitidos de um host (qualquer dispositivo de uma rede) para outro, esses equipamentos usam cabealhos (headers) e uma tabela de roteamento para determinar ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 5/22

CBPF-NT-004/99 _______________________________________________________________________________ por qual caminho esses pacotes iro; os roteadores tambm usam o protocolo ICMP (Internet Control Message Protocol) para comunicarem-se entre si e configurarem a melhor rota entre dois hosts quaisquer. O cabealho, em vrias disciplinas da cincia da computao, definido como uma unidade de informao que antecede o objeto de dados de um pacote; ou seja, no cabealho que est contida a informao sobre o destino do pacote utilizada pelo roteador. J em relao ao ICMP, temos que ele uma extenso do protocolo IP (Internet Protocol), sendo definido pela RFC 792. O ICMP suporta pacotes que contenham mensagens de erro, de controle e de informao. O comando ping, por exemplo, usa esse protocolo para testar uma conexo Internet [5][7][8].

Figura 2: Um computador, atravs de software especfico, pode gerenciar o trfego de dados entre redes diferentes, funcionando como um roteador.

Por ltimo, temos que uma pequena filtragem de dados feita atravs de roteadores. Contudo, importante ressaltar que os roteadores no se preocupam com o contedo dos pacotes com que eles lidam, verificando apenas o cabealho de cada mensagem, podendo ou no trat-la de forma diferenciada [5].

2.1. Endereos IP e Redes TCP/IP

Ao longo dessa Nota Tcnica, os termos endereo IP e rede TCP/IP sero amplamente utilizados. Devido a isso, esse item ser dedicado exclusivamente a esses dois assuntos, de forma oferecer uma melhor compreenso dos prximos itens.

2.1.1. Endereamento IP
Um endereo IP definido como sendo uma identificao para um computador ou um dispositivo qualquer de uma rede TCP/IP, que ser explicada no prximo item. Esses tipos de redes roteam mensagens baseadas no endereo IP de destino. O formato de um endereo IP o de um endereo numrico de 32 bits escritos como 4 nmeros, tambm conhecidos como octetos, que so separados por pontos, como por exemplo 152.84.253.47. Cada um desses 4 octetos representam campos de 8 bits.

_______________________________________________________________________________ 6/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ Com uma rede isolada, pode-se atribuir um endereo IP qualquer, respeitando o fato de que cada endereo deve ser nico. Entretanto, o registro de uma rede privada na Internet requer endereos IP registrados, chamados endereos da Internet, para evitar possveis duplicaes. Os 4 nmeros ou octetos de um endereo IP so usados de maneiras diferentes para identificar uma rede particular e um host qualquer nessa rede. Classificam-se endereos da Internet registrados em 4 classes, listadas abaixo: Classe A: Suporta 16 milhes de hosts em cada uma das suas 127 redes. Nessa classe de rede, temos que se o primeiro bit do seu endereo IP for 0, ento os prximos 7 bits sero destinados ao nmero de rede e os 24 bits (3 octetos) restantes, aos nmeros de dispositivo. Classe B: Suporta 65.000 hosts em cada uma das suas 16.000 redes. Aqui, temos que se os 2 primeiros bits forem 1 e 0, respectivamente, ento os prximos 14 bits sero destinados ao nmero da rede e os 16 bits (2 octetos) restantes aos nmeros de dispositivos. Classe C: Suporta 254 hosts em cada um dos seus 2 milhes de redes. Se os seus 3 primeiros bits forem 1, 1 e 0, respectivamente, ento os prximos 21 bits sero destinados ao nmero de rede e os 8 bits (1 octeto) restantes aos nmeros de dispositivos. Classe D: Se os quatro primeiros bits forem 1, 1, 1 e 0, respectivamente, ento o valor do primeiro octeto pode variar entre 224 e 239 e dizemos que esse nmero um endereo multicast. Os prximos 28 bits compem um nmero de identificao de grupo para um especfico grupo multicast. Podemos concluir ento que um endereo IP multicast um endereo destinado a um ou mais hosts ou dispositivos, ao contrrio dos endereos classe A, B e C, que especificam o endereo de um host ou dispositivo individual [2].

2.1.2. Redes TCP/IP

Uma rede de computadores chamada de rede TCP/IP (Transmission Control Protocol / Internet Protocol) quando a sua arquitetura baseada nesse conjunto de protocolos de comunicao. Esse tipo de rede baseia-se principalmente em: um servio de transporte orientado conexo, fornecido pelo protocolo TCP, e em um servio de rede no-orientado conexo, fornecido pelo protocolo IP. As informaes enviadas pela Internet so dependentes do TCP/IP, fazendo com que ele seja utilizado como um protocolo primrio de rede na Internet [1][2]. O roteamento de pacotes feito entre redes TCP/IP na Internet o assunto do prximo item.

2.2. Roteamento na Internet

O roteamento a tcnica atravs da qual os dados encontram o seu caminho de um host para outro. No contexto da Internet, existem trs aspectos principais de roteamento: ! Determinao do endereo fsico. ! Seleo de roteadores (gateways) inter-redes. ! Endereos simblicos e numricos. O primeiro desses trs aspectos necessrio quando dados de uma rede TCP/IP esto para ser transmitidos por um computador. necessrio que esses dados sejam encapsulados com qualquer formato de frame (pacote) que estiver em uso na rede local qual o computador est ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 7/22

CBPF-NT-004/99 _______________________________________________________________________________ ligado. Esse encapsulamento requer a incluso de um endereo de rede local ou endereo fsico no frame. O segundo aspecto necessrio porque a Internet consiste de um nmero de redes locais interconectadas por um ou mais roteadores. Tais roteadores, tambm conhecidos como gateways, algumas vezes tem conexes fsicas ou portas de acesso mais de uma rede. A identificao do roteador e porta apropriados para onde um pacote IP particular deve ser enviado chamada de roteamento, que tambm envolve a troca de informaes entre os roteadores de forma padronizada. O terceiro aspecto envolve a traduo do endereo de rede. Essa traduo feita por um sistema conhecido como DNS (Domain Name Service) [6]. O DNS um protocolo que traduz nomes de domnios em endereos IP. Sendo os nomes de domnio alfabticos, a sua memorizao mais fcil. A Internet, contudo, baseia-se em endereos IP. Por essa razo, toda a vez que se usa um nome de domnio, o DNS deve traduzir esse nome em um endereo IP correspondente. Por exemplo, o nome de domnio www.cbpf.br deve ser traduzido para 152.84.253.64 [9].

2.3. Determinao do Endereo Fsico

Se um computador quer transmitir dados atravs de uma rede TCP/IP, necessrio encapsul-los em uma forma apropriada para o meio fsico da rede a qual o computador est ligado. Para que a transmisso desse frame seja completada, preciso determinar o endereo fsico do computador de destino, que pode ser obtido usando-se uma tabela, configurada como um arquivo que lido pela memria do computador toda vez que este for inicializado, que relacione os endereos IP dos computadores conectados rede com os seus respectivos endereos fsicos. Todos os computadores da rede contm essa tabela. Na prtica, entretanto, os computadores criam essa tabela atravs da utilizao de um protocolo de comunicao conhecido como ARP (Address Resolution Protocol). Esse protocolo, definido pela RFC 826, usado para associar endereos IP com endereos fsicos (endereos de MAC). A tabela criada e atualizada por esse protocolo, que associa esses dois tipos de endereo, chamada de ARP cache. Quando um host quer comunicar-se com outro, mas no tem o seu endereo fsico, ele envia uma mensagem ARP, encapsulada em um frame, contendo os endereos IP e fsico de origem na rede por broadcast; isto , essa mensagem transmitida para todos os computadores da rede. Os computadores ento armazenam esse endereo fsico de origem, e o host de destino responde a esse broadcast enviando o seu endereo fsico para o host que originalmente transmitiu o pacote ARP. O ARP cache criado a partir do armazenamento dos MACs por parte dos hosts da rede, sendo que os seus registros expiram aps um determinado perodo de tempo, geralmente alguns minutos.

3. Firewall
Um firewall definido como um sistema designado para prevenir acessos noautorizados redes de computadores. Os firewalls podem ser implementados tanto em hardware quanto em software, ou ainda em uma combinao de ambos. Esse sistema utilizado freqentemente em redes privadas conectadas com a Internet, especialmente as intranets, para evitar que usurios no-autorizados tenham acesso elas. Esse controle feito atravs da checagem das mensagens que entram e saem da intranet. Essas mensagens passam pelo firewall, que as examina, _______________________________________________________________________________ 8/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ uma a uma, e bloqueia aquelas que no obedecem aos critrios de segurana especificados pelo administrador da rede [10]. Como exemplo, consideremos a figura 3 mostrada abaixo. O computador externo LAN pode conectar-se a qualquer um dos seus dispositivos atravs do roteador, no havendo a princpio qualquer tipo de controle de acesso s mquinas e s informaes armazenadas nessa rede. Dessa forma, pessoas no-autorizadas podem ter acesso a esses dados, podendo ento l-los, modific-los ou at mesmo apag-los remotamente.

Figura 3: O roteador permite o trfego de informaes entre computadores externos LAN e os seus dispositivos, a princpio sem qualquer tipo de segurana.

Para evitar isso, utiliza-se um firewall. Com esse sistema, os dados transmitidos pelo computador externo continuam sendo trafegados pela rede, desde que sejam permitidos pelos filtros do firewall. Se no forem, os dados so bloqueados pelo firewall, que envia ento uma mensagem ao computador de origem dizendo que a transmisso no foi completada, protegendo assim a LAN de eventuais ataques, como mostram as figuras 4 e 5.

Figura 4: Com a implementao do firewall, os dados continuam a ser transmitidos, desde que sejam permitidos.

Figura 5: Caso a transmisso dos dados seja negada pelo firewall, uma mensagem transmitida para o computador externo LAN avisando que a transmisso no foi completada.

______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 9/22

CBPF-NT-004/99 _______________________________________________________________________________ Existem diversos tipos de tcnicas de firewalls, que sero discutidas em detalhes nas sees a seguir.

3.1. Filtros de Pacotes

Nessa tcnica de firewall, temos que filtros (linhas de comando configuradas no roteador) checam cada pacote que entre e sai da rede local, aceitando-os ou bloqueando-os de acordo com as regras definidas pelo administrador da rede. Esse controle de acesso feito atravs da anlise dos endereos IP de origem e destino de cada pacote e das portas UDP e TCP utilizadas pela rede. O administrador elabora uma lista dos dispositivos e servios oferecidos que esto autorizados a transmitir dados nos sentidos de transmisso possveis. Essa lista ento usada para filtrar os pacotes que tentam atravessar o firewall. Um exemplo de poltica de filtragem de pacotes seria: permitir o trfego full-duplex de pacotes carregando mensagens de SMTP e DNS, trfego Telnet s para pacotes saindo da rede e bloquear todos os outros tipos de trfego. A filtragem de pacotes uma tcnica de firewall bastante efetiva e transparente para os usurios, mas de difcil configurao. Alm disso, a abordagem baseada em filtragem no fornece uma granularidade muito fina de controle de acesso, uma vez que o acesso controlado com base nas mquinas de origem e de destino dos pacotes, e vulnervel a certos tipos de ataques, que esto listados abaixo [1][10]:

3.1.1. IP Spoofing
Esse ataque consiste no ganho de acesso no-autorizado a computadores de uma rede privada. Mensagens so enviadas para o computador que ser invadido com endereos IP que indicam que essas mensagens esto vindo de um host interno da rede. Para isso, deve-se primeiramente usar uma variedade de tcnicas que permitam achar um endereo IP de um host da rede, e ento modificar os cabealhos dos pacotes de forma que eles paream estar sendo transmitidos por esse host. Assim, espera-se que o uso desse endereo IP falso permita o acesso sistemas que tenham uma poltica de segurana simples, baseada somente na checagem dos endereos de destino, onde os pacotes enviados por hosts internos da rede so aceitos enquanto pacotes enviados por qualquer outro host so descartados. O IP spoofing pode ser evitado descartando-se pacotes com endereos de origem internos que venham de uma das sadas de uma interface do roteador da rede [13][14].

3.1.2. Ataque Source Routing

Em um ataque do tipo source routing, a estao de origem especifica a rota que um pacote deve seguir ao ser transmitido pela Internet. Esse tipo de ataque designado para fugir de medidas de segurana e assim fazer com que o pacote siga uma rota no esperada at o seu destino. Um ataque source routing pode ser evitado simplesmente descartando-se todos os pacotes que contenham em seus cabealhos a opo source route [13].

3.1.3. Ataque Tiny Fragment

Para esse tipo de ataque, utiliza-se o aspecto de fragmentao de pacotes IPs para criar fragmentos extremamente pequenos e assim forar o cabealho TCP de informao a ser um fragmento de pacote separado. O ataque tiny fragment designado para evitar as regras de filtragem _______________________________________________________________________________ 10/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ da poltica de segurana da rede; espera-se que a filtragem implementada no roteador examine somente o primeiro fragmento do pacote transmitido, permitindo assim a passagem dos restantes. Esse ataque pode ser evitado descartando-se aqueles pacotes em que o tipo de protocolo o TCP e o parmetro IP FragmentOffset, especificado no cabealho, igual 1 [13].

3.2. Gateways de aplicao

Firewalls na Internet so muitas vezes considerados como gateways de segurana que controlam o acesso a uma rede. Na linguagem dos firewalls, um gateway um dispositivo que oferece servios de transmisso de dados entre duas redes. Um firewall pode ser mais do que um filtro no roteador, como o gateway controlado. Nesse caso, o trfego passa pelos filtros do gateway ao invs de ser transmitido diretamente na rede. Aps a checagem dos dados, o gateway ento os transmite para uma outra rede ou para o gateway que estiver conectado ela [12]. O gateway de aplicao atua na camada de aplicao. Esse tipo de firewall aplica mecanismos de segurana em aplicaes especficas, como por exemplo servidores FTP e servidores Telnet. Devido a sua grande flexibilidade, o gateway de aplicao pode fornecer um maior grau de proteo do que o filtro de pacote. Contudo, apesar de eficiente, essa tcnica pode impor uma degradao na performance da rede. Para melhor compreender essa tcnica de firewall, consideremos o seguinte exemplo: um gateway FTP configurado para restringir as operaes de transferncia de arquivos que estejam localizados no bastion host (gateway do firewall que pode ser acessado a partir da rede externa). Dessa forma, os usurios externos s podem ter acesso aos arquivos disponibilizados nessa mquina, o bastion host. Alm disso, a aplicao FTP original pode ser modificada para limitar a transferncia de arquivos da rede interna para a rede externa a usurios autorizados, e ainda com limites para o volume de informao que pode ser transmitida, dificultando assim ataques externos [1][10]. A figura 6 mostra os componentes que compem esse tipo de firewall.

Figura 6: Componentes de um gateway de aplicao.

3.3. Gateways de circuito

Esse firewall aplica mecanismos de segurana quando uma conexo TCP ou UDP estabelecida. Ele atua como intermedirio de conexes FTP, funcionando como um TCP modificado. Para permitir a transmisso dos dados atravs desse tipo de firewall, o usurio de origem conecta-se a uma porta TCP no gateway, que por sua vez conecta-se, usando outra conexo TCP, ao usurio de destino. Um circuito ento formado por uma conexo TCP na rede interna e outra na rede externa, estando ambas associadas pelo gateway de circuito. O processo que implementa esse tipo de gateway atua repassando bytes de uma conexo para outra, fechando ento o circuito. Para que esse circuito seja estabelecido, o usurio de origem deve fazer uma solicitao ao gateway no firewall, passando a mquina e o servio de destino como parmetros. Com isso, o ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 11/22

CBPF-NT-004/99 _______________________________________________________________________________ gateway estabelece o circuito ou, em caso contrrio, retorna um cdigo informando o motivo do no estabelecimento. Uma vez que a conexo tenha sido estabelecida, os pacotes de dados podem trafegar entre os hosts da rede sem checagens adicionais. importante notar que necessrio que o usurio de origem utilize um protocolo simples para comunicar-se com o gateway, sendo esse protocolo um bom local para implementar, por exemplo, um mecanismo de autenticao [1][10].

3.4. Servidores Proxy

um servidor que implementado entre a aplicao de um cliente (arquitetura cliente/servidor), como por exemplo um navegador Web, e um servidor real. O servidor proxy intercepta todos os pedidos requeridos ao servidor real e verifica se ele mesmo pode executar esses pedidos. Se no for possvel, ele ento transmite o pedido para o servidor real. O servidor proxy tem dois propsitos bsicos [15]: Melhoria de Performance: Os servidores proxy podem melhorar sensivelmente a performance de grupos de usurios, uma vez que eles armazenam os resultados de todos os pedidos feitos pelos usurios ao servidor real durante um determinado perodo de tempo. Consideremos por exemplo o caso em que ambos os usurios X e Y de um grupo de usurios qualquer de uma rede acessam a World Wide Web atravs de um servidor proxy. Primeiramente, o usurio X visita uma certa pgina Web, que ser chamada aqui de pgina 1. Algum tempo depois, o usurio Y tenta visitar essa mesma pgina. Ao invs de transmitir o pedido para o servidor Web onde a pgina 1 reside, o que pode ser uma operao que consuma muito tempo, o servidor proxy simplesmente retorna a pgina 1 que j foi acessada pelo usurio X. Considerando-se o fato do servidor proxy estar na maioria das vezes na mesma rede que o usurio, essa operao aqui descrita torna-se muito mais rpida [15]. Filtragem de Pedidos (Firewall): Os servidores proxy tambm podem ser usados para filtrar os pedidos requeridos ao servidor real da rede. Eles interceptam todas as mensagens que entram e saem da rede, escondendo assim de forma efetiva os seus endereos. Atravs da utilizao de um servidor desse tipo, uma companhia pode prevenir que os seus empregados tenham acesso a algum grupo especfico de Web sites [10][15].

3.5. Comentrios finais

Na prtica, muitos firewalls usam duas ou mais dessa tcnicas aqui apresentadas simultaneamente. Ainda, temos que, para uma maior segurana, os dados transmitidos pela rede tambm podem ser encriptados. Como exemplo prtico, temos que um firewall pode ser implementado atravs da utilizao de listas de acesso (access lists), assunto do prximo item.

4. Access Lists
Nesse item ser estudado o conceito de access list, uma ferramenta disponvel em alguns roteadores, como por exemplo o roteador Cisco IOS, que utilizada para garantir a integridade dos dados que so trafegados e armazenados em uma rede local. Abaixo, segue as razes para o uso das access lists, os seus conceitos bsicos, como funcionam, como so implementadas e alguns exemplos prticos.

_______________________________________________________________________________ 12/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________

4.1. Para que usar Access Lists?

Basicamente, o comando access list utilizado para controlar o trfego de dados em uma rede local atravs de testes de pacotes. Essas listas oferecem uma poderosa ferramenta para o controle da rede: a flexibilidade para filtrar o fluxo de pacotes que so transmitidos pelas entradas e sadas das interfaces do roteador. Esse comando ajuda a proteger as expanses dos recursos de rede, sem impedir o fluxo da comunicao dos dados, diferenciando o trfego desses dados em categorias que so permitidas ou no. Esse controle na transmisso da informao baseia-se em aspectos determinados pelo administrador da rede [3].

4.2. O que so Access Lists?

Access lists so linhas de comando que especificam condies de controle determinadas pelo administrador da rede. Baseado nessas determinaes, o roteador lidar com o trfego de pacotes de forma diferenciada, de acordo com o tipo de dado que est sendo trafegado. Existem dois tipos bsicos de access lists, que esto listados abaixo: Standard access lists: Standard access lists para IP checam somente o endereo de origem dos pacotes que podem ser roteados. De acordo com o resultado dessa checagem, o roteador pode permitir ou no a transmisso de um grupo inteiro de protocolos, baseando-se no endereo de rede, sub-rede ou do host. Por exemplo; pacotes chegando atravs da entrada de uma interface do roteador so checados pelos seus endereos. Se a permisso for dada pela access list, o roteador transmite os pacotes atravs da sada da interface que estiver associada a essa access list. Por outro lado, se a permisso para a transmisso no for dada, os pacotes sero desprezados. Extended access lists: Extended access lists checam tanto o endereo de destino quanto o de origem dos pacotes. Esse tipo de lista tambm pode checar outros tipos de parmetros, como por exemplo protocolos especficos e nmeros de porta. Com isso, os administradores de rede tem maior flexibilidade para descrever qual tipo de filtragem a access list deve fazer. Tem-se que um pacote tem o seu trfego permitido ou no com base na sua origem e no seu destino. Alm disso, temos tambm que as extended access lists controlam o fluxo de pacotes com maior granularidade; isto , pode-se permitir por exemplo o trfego de e-mails da entrada de uma interface para a sua sada, e ao mesmo tempo proibir o acesso remoto e a transferncia de arquivos entre elas [3].

4.3. Comandos das Access Lists

Na prtica, a implementao e a interpretao das access lists podem ser complicadas. Entretanto, o entendimento dos comandos de configurao dessas listas pode ser simplificado reduzindo-os em dois passos bsicos, que esto esquematizados abaixo: Passo 1: Configurar os parmetros de teste para a linha de comando da access list (que pode ser uma entre vrias linhas de comando que formam a access list).
User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} {test conditions}

______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 13/22

CBPF-NT-004/99 _______________________________________________________________________________ A ltima linha de comando, mostrada no exemplo acima, identifica a access list, que geralmente representada por um nmero (termo access-list-number). Esse nmero indica que tipo de access list foi implementada. O termo permit | deny indica como o roteador dever lidar com os pacotes que sero checados pelos testes de condies, que so especificados pelo ltimo termo da linha de comando, o test conditions. Na maioria das vezes, o termo permit significa que o pacote tem permisso para trafegar atravs de uma ou mais interfaces do roteador. Passo 2: Abilitar uma interface do roteador para fazer parte do grupo que usa a access list especificada.
User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} {test conditions} router(config)#int router interface router(config-if)#{protocol} access-group access-list-number

O comando access list usa um comando de interface. Todas as linhas de comando da access list que so identificadas pelo seu nmero so associadas a uma ou mais interfaces do roteador, que identificada atravs do comando int router interface, onde router interface indica qual a interface utilizada. Com isso, qualquer pacote de dados que passe pelos testes de condies da access list tem a permisso de usar qualquer interface que faa parte do access group de interfaces [3].

4.4. Identificao de Access Lists

O comando access list pode controlar vrios protocolos em um roteador. A tabela abaixo mostra os tipos de access lists e os seus respectivos intervalos de nmeros de identificao [4]. Tipo de Access List IP standard IP extended Bridge type-code DECnet standard e extended XNS standard XNS extended AppleTalk zone Bridge MAC Intervalo do Nmero de Identificao 1 99 100 199 200 299 300 399 400 499 500 599 600 699 700 799

_______________________________________________________________________________ 14/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ IPX standard IPX extended IPX SAP Bridge extended 800 899 900 999 1000 1099 1100 1199

De todos os tipos de access list mostrados na tabela acima, apenas os dois primeiros tipos sero tratados nessa Nota Tcnica. Nos prximos itens, sero vistas as suas respectivas configuraes.

4.5. Configurao de IP Standard Access Lists

User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} source [source-mask] router(config)#int router interface router(config-if)#ip access-group access-list-number {in | out}

O comando access-list cria uma entrada em uma lista standard de filtragem de pacotes. A seguir, encontramos uma tabela com as respectivas descries dos termos que constituem esse comando. Comando access list
access-list-number

Descrio Identifica a lista qual a entrada pertence; um nmero de 1 at 99. Indica se a entrada ir permitir ou bloquear o trfego do pacote especificado. Identifica o endereo IP de origem. Identifica quais bits do campo de endereo devem ser checados. H um 1 nas posies que indicam bits desprezados, e um 0 em qualquer posio em que o bit deve ser obrigatoriamente checado.

permit | deny

source source-mask

O comando ip access-group liga o objeto access list existente sada de uma interface do roteador. Somente um objeto access list por porta, protocolo e direo permitida. Para retirar um objeto access list, primeiramente entre com o comando no access-group com todo o seu grupo de parmetros, e depois entre com o comando no access-list com todo o seu grupo de parmetros [3]. ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 15/22

CBPF-NT-004/99 _______________________________________________________________________________ Comando ip access-group

access-list-number

Descrio Indica o nmero da access list que deve ser ligada a interface desejada. Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas, out o padro.

in | out

4.6. Configurao de IP Extended Access Lists

User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} protocol destination destination-mask [operator operand] [established] router(config)#int router interface router(config-if)#ip access-group access-list-number {in | out}

source

source-mask

A seguir, temos as tabelas com as descries dos termos que constituem os comandos usados para esse tipo de access list [3]. Comando access-list
access-list-number permit | deny

Descrio Identifica a lista usando um nmero entre 100 e 199 Indica se a entrada permite ou bloqueia o endereo especificado. IP, TCP, UDP, ICMP, GRE, IGRP. Identifica os endereo IP de origem e de destino. Mscaras. Os 0s indicam os bits que devem serchecados, enquanto os 1s indicam os bits que so desprezados. lt, gt, eq, neq (less than, greater than, equal, not equal) e um nmero de porta.

protocol source e destination source-mask

e destination-mask

operator

e operand

Comando ip access-group
access-list-number

Descrio Indica o nmero da access list que deve ser ligada interface desejada. Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas , out o padro.

in | out

_______________________________________________________________________________ 16/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________

4.7. Exemplos de Access Lists

Nesse item, sero mostrados um exemplo prtico da utilizao de uma standard access lists e o de uma extended access list, de forma a mostrar com maior clareza a utilidade dessas ferramentas em um ambiente de rede.

4.7.1. Standard Access Lists

Exemplo: Bloquear a transmisso de uma rede especfica.

Figura 7: Roteador interligando diferentes redes atravs de suas interfaces. User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 1 permit 152.84.250.0 0.0.0.255 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 router(config)#int e5/2 router(config-if)#ip access-group 1

Nesse exemplo, a access list est configurada para bloquear o trfego transmitido pela rede 250 (152.84.250.0) e permitir o trfego transmitido pelas redes 252 e 253 (152.84.252.0 e 152.84.253.0), atravs da interface e5/2.

4.7.2. Extended Access Lists

Exemplo: Bloquear transmisso por FTP pela interface e5/1

Figura 8: Roteador interligando diferentes redes atravs de suas interfaces.

______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 17/22

CBPF-NT-004/99 _______________________________________________________________________________
User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 21 router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 20 router(config)#access-list 101 permit ip 152.84.250.0 0.0.0.255 0.0.0.0 255.255.255.255 router(config)#int e5/2 router(config-if)#ip access-group 101

Nesse exemplo, a access list bloquea o trfego de pacotes FTP transmitidos pela rede 250 (152.84.250.0), permitindo que o trfego restante dessa rede seja transmitido para todas as outras redes (152.84.252.0 e 152.84.253.0), tudo isso pela interface e5/2.

5. Segurana em Redes de Computadores

A segurana da rede local do CBPF, como a segurana de qualquer LAN, est relacionada necessidade de proteo contra acessos no autorizados, manipulao dos dados armazenados na rede, assim como a sua integridade, e utilizao no autorizada de computadores ou de seus respectivos dispositivos perifricos. Essa necessidade de proteo deve ser definida a partir das possveis ameaas e riscos que a rede sofre, alm dos objetivos traados pela instituio, sendo tudo isso formalizado nos termos de uma poltica de segurana. Dessa forma, procura-se evitar que pessoas no-autorizadas tenham acesso a informaes particulares de qualquer usurio da rede. Nos prximos itens, estudaremos um pouco mais sobre poltica de segurana e conheceremos alguns desses mecanismos aplicados a ambientes de comunicao de dados [1].

5.1. Poltica de Segurana

Uma poltica de segurana definida como sendo um conjunto de leis, regras e prticas que definem como uma empresa ou instituio gerencia e protege seus recursos e transmite os seus dados. Um sistema de comunicao de dados pode ser considerado seguro quando garante o cumprimento dessa poltica, que deve incluir regras detalhadas definindo como as informaes e recursos oferecidos pela rede devem ser manipulados. Uma poltica de segurana implementada baseando-se na aplicao de regras que controlem o acesso aos dados e recursos que so trafegados atravs da rede; isto , define-se o que e o que no permitido em termos de segurana, durante a operao de um dado aplicativo ou recurso da rede, atravs da definio do nvel de acesso autorizado para os usurios que utilizam-se do sistema de comunicao de dados. Com base na natureza da autorizao que dada ao usurio, pode-se dividir em dois os tipos de poltica de segurana existentes: uma baseada em regras, onde os dados e recursos da rede so marcados com rtulos de segurana apropriados que definem o nvel de autorizao do usurio que os est controlando; e uma outra baseada em identidade. Nesse ltimo tipo, temos que o administrador da rede pode especificar explicitamente os tipos de acesso que os usurios da rede podem ter s informaes e recursos que esto sob seu controle [1].

_______________________________________________________________________________ 18/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________

5.2. Mecanismos de Segurana

Uma poltica de segurana pode ser implementada com a utilizao de vrios mecanismos. Abaixo, temos alguns dos mais importantes mecanismos de segurana utilizados em redes de computadores.

5.2.1. Criptografia
Em meios de comunicao onde no possvel impedir que o fluxo de pacote de dados seja interceptado, podendo as informaes serem lidas ou at modificadas, necessria a criptografia. Nesse mecanismo, utiliza-se um mtodo que modifique o texto original da mensagem transmitida, gerando um texto criptografado na origem, atravs de um processo de codificao definido por um mtodo de criptografia. O pacote ento transmitido e, ao chegar no destino, ocorre o processo inverso; isto , o mtodo de criptografia aplicado agora para decodificar a mensagem, transformando-a na mensagem original. Contudo, toda a vez que o mtodo utilizado descoberto, quebrando-se o cdigo de criptografia, necessrio substitu-lo por um outro diferente, o que acarreta no desenvolvimento de novos procedimentos para a implementao desse novo mtodo, treinamento do pessoal envolvido, etc. Com o intuito de evitar tal problema, criou-se um novo mecanismo de criptografia, representado na figura 9 mostrada abaixo. Nesse novo modelo, um texto criptografado gerado a partir do texto normal varia de acordo com uma chave de codificao utilizada para o mesmo mtodo de criptografia. Isto , para uma mesma mensagem original e um mesmo mtodo de criptografia, chaves diferentes produzem textos criptografados diferentes. Dessa forma, no adianta conhecer o mtodo de criptografia para recuperar a mensagem original, porque, para recuper-la corretamente, necessrio tanto o texto criptografado quanto a chave de decodificao utilizada [1].

Figura 9: Mtodo de criptografia utilizando chaves.

5.2.2. Integridade de Dados

Os mecanismos de controle de integridade de dados atuam em dois nveis: controle da integridade de pacotes isolados e controle da integridade de uma conexo, isto , dos pacotes e da seqncia de transmisso. Em relao ao primeiro nvel, tem-se que tcnicas de deteco de modificaes, que so normalmente associadas com a deteco de erros em bits, pacotes ou erros de seqncia introduzidos por enlaces e redes de comunicao, so usadas para garantir a integridade dos dados trafegados em uma rede. Contudo, se os cabealhos dos pacotes de dados no forem devidamente ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 19/22

CBPF-NT-004/99 _______________________________________________________________________________ protegidos contra possveis modificaes, pode-se contornar a verificao, desde que sejam conhecidas essas tcnicas. Portanto, para garantir a integridade necessrio manter confidenciais e ntegras as informaes de controle que so usadas na deteco de modificaes. J para controlar modificaes na seqncia de pacotes transmitidos em uma conexo, so necessrias tcnicas que garantam a integridade desses pacotes, de forma a garantir que as informaes de controle no sejam corrompidas, em conjunto com informaes de controle de seqncia. Esses cuidados, apesar de no evitarem a modificao da cadeia de pacotes, garantem a deteco e notificao dos ataques [1].

5.2.3. Controle de Acesso

Esse mecanismo de segurana utilizado para garantir que o acesso a um recurso de rede qualquer seja limitado a usurios devidamente autorizados pelo administrador do sistema. Como tcnicas utilizadas, tem-se a utilizao de listas ou matrizes de controles de acesso, que associam recursos a usurios autorizados; ou senhas e tokens associadas aos recursos, cuja posse determina os direitos de acesso do usurio que as possui. Como exemplo da utilizao de tokens para controlar o acesso aos recursos de uma rede, consideremos o mtodo de controle de congestionamento de trfego conhecido como controle isorrtmico. Nesse mtodo, existem permisses, que so os tokens, que circulam pela rede. Sempre que um host deseja transmitir um novo pacote pela rede, ele primeiramente deve capturar uma dessas permisses e destru-la, sendo que essa permisso destruda regenerada pelo host que recebe o pacote no destino. Contudo, esse mtodo apresenta um problema: a distribuio das permisses depende das aplicaes na rede e o prprio trfego aleatrio desses tokens causa um trfego extra na rede, diminuindo assim a sua performance. Ainda, tem-se que a perda de uma permisso devido a uma falha qualquer na rede deve ser recuperada, de forma a evitar que a sua capacidade de transporte seja reduzida [1].

5.2.4. Controle de roteamento

Esse mecanismo garante a transmisso de informao atravs de rotas fisicamente seguras, cujos canais de comunicao forneam os nveis apropriados de proteo. Essa garantia se deve ao controle do roteamento de pacotes de dados. Atravs desse controle, rotas preferenciais (ou obrigatrias) para a transferncia de dados so especificadas pelo administrador do sistema [1].

5.2.5. Comentrios finais

Alm desses mecanismos de segurana mencionados, muitos outros so encontrados. Em alguns casos particulares, a poltica de segurana aplicada baseada na implementao de firewalls, j estudados anteriormente nessa Nota Tcnica.

6. Concluso
Ao final desse trabalho, podemos concluir que o roteador apresenta uma importncia muito grande dentro de uma topologia de rede, uma vez que esse equipamento permite, alm da gerncia e do controle de acesso s informaes, o compartilhamento de recursos e servios entre _______________________________________________________________________________ 20/22 27/06/01 Roteadores e Segurana em Redes

CBPF-NT-004/99 _______________________________________________________________________________ redes geograficamente dispersas. Como conseqncia, essencial que o administrador da rede tenha total domnio sobre os recursos do roteador que a gerencia, assim como o entendimento da tecnologia desse dispositivo, pois assim ser possvel garantir uma maior qualidade na sua performance. Ainda, tambm podemos observar como importante a implementao de uma poltica de segurana adequada que garanta a integridade das informaes armazenadas na rede e dos dispositivos que a compem, protegendo assim esses dados e mquinas de possveis ataques externos, que poderiam causar srios danos a estrutura administrativa e tcnica de uma empresa ou organizao.

______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 21/22

CBPF-NT-004/99 _______________________________________________________________________________

Referncias
Em relao s referncias de pginas web, importante ressaltarmos que pginas da Internet so altamente dinmicas, podendo mudar desde parte do seu contedo at o prprio endereo. Devido a isto, existe a possibilidade de que, ao consultar alguma pgina, essa no mais exista ou ento tenha outras informaes. [1] Redes de Computadores Das LANs, MANs e WANs s Redes ATM Segunda edio / Luiz Fernando Gomes Soares, Guido Lemos e Srgio Colcher. [2] Redes de Computadores / Nota Tcnica escrita por Leonardo Ferreira Carneiro, Nilton Costa Braga e Nilton Alves Jr. em Outubro de 1998. [3] Introduction to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc. [4] Advanced to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc. [5] Router, http://webopedia.internet.com/TERM/r/router.html. [6] Routing in the Internet, http://www.scit.wlv.ac.uk/~jpjb/comms/iproute.html. [7] Header, http://webopedia.internet.com/TERM/h/header.html. [8] ICMP, http://webopedia.internet.com/TERM/I/ICMP.html. [9] DNS, http://webopedia.internet.com/TERM/D/DNS.html. [10] firewall, http://webopedia.internet.com/TERM/f/firewall.html. [11] The Need for Firewalls, http://www.icsa.net/fwbg/chap_2.html. [12] What is a Firewall?, http://www.icsa.net/fwbg/chap_3.html. [13] Internet Firewalls and Security A Technology Overview / Escrito por Chuck Semeriahttp://www.3com.com/nsc/500619.html [14] IP spoofing, http://webopedia.internet.com/TERM/I/IP_spoofing.html. [15] proxy server, http://webopedia.internet.com/TERM/p/proxy_server.html. [16] Routing Information Protocol, http://webopedia.internet.com/TERM/R/Routing_Information_Protocol.html. [17] Networking: A Primer, http://ww.baynetworks.com/products/Papers/wp-primer.html. [18] Internetworking, http://webopedia.internet.com/TERM/i/internetworking.html. [19] ARP, http://webopedia.internet.com/TERM/A/ARP.html.

_______________________________________________________________________________ 22/22 27/06/01 Roteadores e Segurana em Redes