Como qualquer rea, a Informtica tambm necessita de segurana. Um dos principais elementos e artifcios utilizados com freqncia nas empresas para esta finalidade chamado de Firewall.
At por isso, um conceito errneo sobre Firewall divulgado por vrias pessoas, onde freqentemente fazem a analogia: Firewall Segurana, ou vice versa.
Salienta-se antecipadamente que Firewall um elemento importantssimo nesse quesito, mas no se resume apenas nele.
Vrios itens de segurana devem ser aplicados para que no s um sistema fique seguro, mas que o ambiente de forma geral alcance um nvel almejado.
Abordaremos alguns conceitos nas prximas sees deste trabalho.
5
1) Projeto
Este projeto foi solicitado como parte da avaliao da matria de Firewalls, ministrado aos alunos da Ps Graduao do IBTA.
Neste projeto [3], foi solicitado o entendimento de uma solicitao de uma empresa de mveis, a qual necessita disponibilizar dados e interagir com seus clientes, funcionrios e fornecedores com segurana.
Desta forma, partiu-se do principio que somente o necessrio ser exposto as partes envolvidas no processo e o restante ser automaticamente bloqueado pelas polticas de firewall ora desenvolvidas.
Maiores detalhes sero expostos nas sees seguintes.
2) Definies
Por definio [1], Firewall um dispositivo constitudo pela combinao de hardware e software, utilizado para controlar o acesso entre redes de computadores.
Desta maneira, este projeto consiste em utilizar tal dispositivo para segmentar as diversas redes existentes na empresa de mveis a qual necessita interagir com suas lojas, centro de distribuio, fornecedores, consumidores advindos da internet e obviamente por sua prpria rede interna. Todos os servios devem ser acessados de forma correta e estritamente necessria.
Assim sendo, todos os acessos devem ser devidamente mapeados, de maneira que sejam autorizados ou no, de acordo com a situao a qual cada solicitao se enquadre naquele exato momento. Em outras palavras, para se autorizar ou bloquear uma solicitao de conexo aos ativos da empresa necessrio saber: 6
Hosts (Origens e Destinos); Portas (Origens e Destinos); Estado das conexes (Novas ou Estabelecidas).
Mais adiante, um diagrama com as redes envolvidas no projeto sero demonstradas graficamente, fornecendo um melhor entendimento e, posteriormente, as respectivas regras de firewall criadas especificamente para garantir que somente os acessos vindos de fontes confiveis sero permitidos.
2.1) Modelos de Firewalls
Antes de qualquer executar qualquer projeto para implementao de Firewalls, preciso saber o que ser protegido, do que ser protegido, se necessitaro de logs, se ter interao com base de usurios ou qualquer outra particularidade que se apresentar.
Atualmente, vrias opes podem ser oferecidas, e cada uma pode ser mais adequada que outras, desde recursos disponveis ou at mesmo ao preo ofertados pelos respectivos fabricantes. Alguns diferenciais: Suporte a maior quantidade de protocolos, Alta Disponibilidade, Controle de Banda (QoS), StateFull, etc.
Existem produtos gratuitos, disponibilizados diretamente na internet e mantidos pela comunidade, chamados de OpenSource a qual podemos citar: IPTables (Linux), PF (OpenBSD), IPFW (FreeBSD), Squid etc. E, alguns outros so proprietrios, a qual podemos citar: ISA Server (Microsoft), CheckPoint (CheckPoint), PIX/ASA (Cisco) etc.
Mas, dentre produtos, fabricantes e qualidades (diferenciais) necessrio definir um perfil de Firewall [2,3] a qual poder ser mais adequado, como: 7
Proxy: Tem por objetivo receber requisies de acesso de usurios, consultar as regras e, caso autorizado, intermediar o acesso ao destino. Assim que a requisio retorna ao dispositivo, automaticamente retornada ao usurio a qual solicitou originalmente o acesso;
Filtro de Pacotes (StateLess): Tem por objetivo receber requisies de acessos vindos de endereos e portas especficos, e, caso autorizado, estabelecer um tnel entre ambas as partes. Toda a orientao feita baseada em hosts (endereos ips) e portas.
Filtro de Pacotes (StateFull): Semelhante ao StateLess, este tambm tem por objetivo receber requisies de acessos vindos de endereos e portas especficos, e, caso autorizado, estabelecer um tnel entre ambas as partes. Mas, neste caso, toda a orientao feita baseada em hosts (endereos ips), portas e estados, sendo capaz de diferenciar uma conexo sendo nova ou j estabelecida anteriormente. Extremamente til quando trabalhada com polticas e regras mais restritivas.
Filtro de Aplicaes: Da mesma forma que os demais j citados anteriormente, tem o objetivo de autorizar ou negar conexes vindas da rede. Mas, o diferencial neste caso que a partir deste modelo possvel agir na camada de aplicao (Camada 7, modelo OSI), no levando somente hosts (origens e destinos) e portas, e sim contedo dos pacotes. Para aplicaes Web, um projeto por nome ModSecurity [4] tem o objetivo de proteger ataques contra WebServers (Apache [5]).
Um outro conceito utilizado na implementao deste projeto foi DMZ [6] (ou Zona Desmilitarizada), a qual tem por objetivo separar fisicamente 2 ou mais redes entre si, evitando trazer qualquer risco para as demais caso esta(s) seja(m) comprometida(s).
8
Neste trabalho utilizou-se deste conceito para prover servios de DNS, ERP, WWW, FTP etc, ao passo que, conforme j citado, caso um destes servios forem comprometidos nenhum outro segmento da rede ser afetado.
2.2) Entendimento dos Acessos
Para a finalizao do projeto, incluindo o layout das redes e definio dos acessos, algumas regras de Firewall foram desenhadas com o objetivo de permitir estritamente acessos necessrios, conforme a solicitao inicial.
Assim sendo, uma tabela com algumas informaes necessrias como redes, hosts e portas, foi disponibilizado da seguinte forma:
Site Rede Gateway Observao Centro de Distribuio (CD) 30.10.10.0/24 30.10.10.1 Acessar o BD da Matriz atravs da porta 1433. Fornecedores 120.0.X.Y/24 120.0.X.Y O endereo de cada fornecedor variar, bem como o respectivo gateway. Os Fornecedores acessaro o FTP da matriz atravs das portas 20 e 21. Matriz (DMZ) 192.168.1.0/24 192.168.1.1 Os servidores dispostos neste segmento no acessaro hosts externos, somente retornaro solicitaes, com exceo do Proxy. Matriz (Interna) 20.10.10.0/24 20.10.10.1 Acessar todos os hosts da DMZ. Acessos para sites web sero feitos a partir do Proxy, disponibilizado na DMZ. Loja X X.10.10.0/24 X.10.10.0.1 Cada rede de loja variar de acordo com sua identificao. Internet 0/0 200.200.200.200 A rede da internet no poder ser prevista. Assume-se any. Hosts da internet tero acesso aos servidores da DMZ: DNS e WWW. . 9
2.3) Layout da Rede e Consideraes
Abaixo, um diagrama foi definido com o objetivo de representar graficamente a topologia sugerida neste projeto.
Sendo assim, algumas consideraes foram importantes:
O acesso vindo dos Fornecedores destinado ao servio de FTP foi definido por VPN, uma vez que o protocolo no criptografado;
O WAF (Web Application Firewall) foi mantido na DMZ que, apesar de estar na mesma rede, todo o trfego HTTP e HTTPS aos servidores WEB e ERP sero filtrados primeiramente pelo dispositivo e, caso uma solicitao for autorizada ,esta ser repassada s respectivas mquinas. Tal mquina recebeu o IP 192.168.1.30;
No demais, as caractersticas restantes j haviam sido especificadas na prpria definio do trabalho/projeto, no tendo nada a inovar.
10
3) Aplicao das Regras
Conforme j citado anteriormente, todas as regras foram criadas o mais restritas possvel, no intuito de no permitir que acessos no autorizados sejam concludos com sucesso.
Assim, tais regras sero apresentadas, conforme segue:
Interface de Entrada Interface de Sada Portas Origem Destino Finalidade Protocolo eth4 eth1 8080 20.10.10.0/24 192.168.1.100 PROXY/Matriz Todos Todas eth1 80,443 0/0 192.168.1.30(*) WEB/All Todos eth2 eth1 80,443 1.10.10.0/24 192.168.1.30(*) ERP/Loja01 Todos eth2 eth1 80,443 2.10.10.0/24 192.168.1.30(*) ERP/Loja02 Todos eth2 eth1 80,443 3.10.10.0/24 192.168.1.30(*) ERP/Loja03 Todos eth2 eth1 80,443 4.10.10.0/24 192.168.1.30(*) ERP/Loja04 Todos eth2 eth1 80,443 5.10.10.0/24 192.168.1.30(*) ERP/Loja05 Todos eth2 eth1 80,443 6.10.10.0/24 192.168.1.30(*) ERP/Loja06 Todos eth2 eth1 80,443 7.10.10.0/24 192.168.1.30(*) ERP/Loja07 Todos eth2 eth1 80,443 8.10.10.0/24 192.168.1.30(*) ERP/Loja08 Todos eth2 eth1 80,443 9.10.10.0/24 192.168.1.30(*) ERP/Loja09 Todos eth2 eth1 80,443 10.10.10.0/24 192.168.1.30(*) ERP/Loja10 Todos eth3 eth1 1433 30.10.10.0/24 192.168.1.11 BD/CD Todos tun+ eth1 20,21 120.0.0.0/24 192.168.1.13 FTP/Fornec. Todos Todas eth1 53 0/0 192.168.1.14 DNS/All Todos (*) WAF
Ressalta-se, entretanto, que todas as regras acima aceitaro as conexes caso coincidam. Caso no, a conexo automaticamente ser bloqueada, levando em conta que a poltica padro do Firewall definido neste projeto DROP.
4) Segurana via Kernel
Como j citado anteriormente, durante o processo de hardening necessrio ter em mente que apenas o firewall de borda na rede no traduz segurana. 11
Assim sendo, alguns outros itens foram pesquisados, testados e citados neste documento no intuito de trazer conhecimentos necessrios para aprimorar a segurana do Firewall em si, como evitar ataques do tipo: DoS e Spoofing.
Tais itens variam a forma de aplicao de sistema para sistema, mas neste caso foram devidamente implementados no GNU/Linux, conforme abaixo:
############################################################ ########## Enabling some kernel protections ################ ############################################################ if [ -f "/proc/sys/net/ipv4/tcp_timestamp" ]; then echo "0" > /proc/sys/net/ipv4/tcp_timestamp else echo "0" > /proc/sys/net/ipv4/tcp_timestamps fi
for i in /proc/sys/net/ipv4/conf/*; do echo "0" > $i/accept_redirects echo "0" > $i/accept_source_route echo "1" > $i/log_martians echo "1" > $i/rp_filter; done ############################################################ 12
Concluso
Com o avano da tecnologia, sistemas e sistemas so desenvolvidos e customizados diariamente para que o trabalho manual seja poupado. Mais que isso, a resposta das informaes armazenadas em tais sistemas so obtidas de forma instantnea, com valores e status informados com preciso.
Mas, ao fim deste trabalho, notou-se a importncia da obteno de dispositivos de firewall no ambiente informtico da empresa, bem como respectivas regras. Tais regras visam autorizar ou negar acessos aos ativos desta.
Um Firewall importante tambm em casos onde existem vulnerabilidades que no podem ser corrigidas de imediato, e ao mesmo tempo obviamente no podem ser mitigadas do ambiente em curto prazo.
Desta forma, cria-se ento regras que somente um ativo ou um grupo de ativos tenham acesso a este, reduzindo a probabilidade da ameaa daquele sistema ou servio em especfico.
Assim sendo, mostra-se quo importante criar regras especificas, altamente selecionadas e analisadas para que no autorizem mais do que necessrio.
13
Referncias
[1] Cartilha CERT-BR http://cartilha.cert.br/glossario/ (Acessado em 22/11/2009, s 15h); [2] Wikipdia http://pt.wikipedia.org/wiki/Firewall (Acessado em 22/11/2009, s 17h); [3] Material das aulas de Firewall (IBTA/2009); [4] ModSecurity http://www.modsecurity.org/ (Acessado em 22/11/2009, s 17h30); [5] Apache Software Foundation http://www.apache.org/ (Acessado em 22/11/2009, s 17h30); [6] Wikipdia http://pt.wikipedia.org/wiki/DMZ_(computao) (Acessado em 22/11/2009, s 17h30);