FACULDADE IBTA

PS GRADUAO EM GESTO DE SEGURANA DA INFORMAO

GIULIANO GONALEZ BALDI
LEONARDO CHEN ANTUNES
MAURICIO FERNANDO LOPES
RICARDO PCHEVUZINSKE KATZ
RODRIGO DOS REIS MARTINS




Projeto para Implementao de
Firewalls







So Paulo
2009

FACULDADE IBTA
PS GRADUAO EM GESTO DE SEGURANA DA INFORMAO





GIULIANO GONALEZ BALDI
LEONARDO CHEN ANTUNES
MAURICIO FERNANDO LOPES
RICARDO PCHEVUZINSKE KATZ
RODRIGO DOS REIS MARTINS



Projeto para Implementao de
Firewalls




Trabalho sobre a segurana em sistemas
Firewalls, exigidas pela disciplina de
Firewalls.



So Paulo
2009
3

Sumrio

Introduo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! "
1) Projeto !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! #
2) Definies !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! #
!"#$ &'()*'+ () ,-.)/0**+"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" 1
!"!$ 234)3(-5)34' ('+ 67)++'+ """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" 8
!"9$ :0;'<4 (0 =)() ) >'3+-().0?@)+""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" A
3) Aplicao das Regras !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! $%
4) Segurana via Kernel !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! $%
Concluso !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! $&
Referncias !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! $'


4

Introduo

Como qualquer rea, a Informtica tambm necessita de segurana. Um dos
principais elementos e artifcios utilizados com freqncia nas empresas para
esta finalidade chamado de Firewall.

At por isso, um conceito errneo sobre Firewall divulgado por vrias
pessoas, onde freqentemente fazem a analogia: Firewall Segurana, ou
vice versa.

Salienta-se antecipadamente que Firewall um elemento importantssimo
nesse quesito, mas no se resume apenas nele.

Vrios itens de segurana devem ser aplicados para que no s um sistema
fique seguro, mas que o ambiente de forma geral alcance um nvel almejado.

Abordaremos alguns conceitos nas prximas sees deste trabalho.

5

1) Projeto

Este projeto foi solicitado como parte da avaliao da matria de Firewalls,
ministrado aos alunos da Ps Graduao do IBTA.

Neste projeto [3], foi solicitado o entendimento de uma solicitao de uma
empresa de mveis, a qual necessita disponibilizar dados e interagir com seus
clientes, funcionrios e fornecedores com segurana.

Desta forma, partiu-se do principio que somente o necessrio ser exposto as
partes envolvidas no processo e o restante ser automaticamente bloqueado
pelas polticas de firewall ora desenvolvidas.

Maiores detalhes sero expostos nas sees seguintes.


2) Definies

Por definio [1], Firewall um dispositivo constitudo pela combinao de
hardware e software, utilizado para controlar o acesso entre redes de
computadores.

Desta maneira, este projeto consiste em utilizar tal dispositivo para segmentar
as diversas redes existentes na empresa de mveis a qual necessita interagir
com suas lojas, centro de distribuio, fornecedores, consumidores advindos
da internet e obviamente por sua prpria rede interna. Todos os servios
devem ser acessados de forma correta e estritamente necessria.

Assim sendo, todos os acessos devem ser devidamente mapeados, de
maneira que sejam autorizados ou no, de acordo com a situao a qual cada
solicitao se enquadre naquele exato momento. Em outras palavras, para se
autorizar ou bloquear uma solicitao de conexo aos ativos da empresa
necessrio saber:
6


Hosts (Origens e Destinos);
Portas (Origens e Destinos);
Estado das conexes (Novas ou Estabelecidas).

Mais adiante, um diagrama com as redes envolvidas no projeto sero
demonstradas graficamente, fornecendo um melhor entendimento e,
posteriormente, as respectivas regras de firewall criadas especificamente para
garantir que somente os acessos vindos de fontes confiveis sero permitidos.


2.1) Modelos de Firewalls

Antes de qualquer executar qualquer projeto para implementao de Firewalls,
preciso saber o que ser protegido, do que ser protegido, se necessitaro
de logs, se ter interao com base de usurios ou qualquer outra
particularidade que se apresentar.

Atualmente, vrias opes podem ser oferecidas, e cada uma pode ser mais
adequada que outras, desde recursos disponveis ou at mesmo ao preo
ofertados pelos respectivos fabricantes. Alguns diferenciais: Suporte a maior
quantidade de protocolos, Alta Disponibilidade, Controle de Banda (QoS),
StateFull, etc.

Existem produtos gratuitos, disponibilizados diretamente na internet e mantidos
pela comunidade, chamados de OpenSource a qual podemos citar: IPTables
(Linux), PF (OpenBSD), IPFW (FreeBSD), Squid etc. E, alguns outros so
proprietrios, a qual podemos citar: ISA Server (Microsoft), CheckPoint
(CheckPoint), PIX/ASA (Cisco) etc.

Mas, dentre produtos, fabricantes e qualidades (diferenciais) necessrio
definir um perfil de Firewall [2,3] a qual poder ser mais adequado, como:
7


Proxy: Tem por objetivo receber requisies de acesso de usurios,
consultar as regras e, caso autorizado, intermediar o acesso ao destino.
Assim que a requisio retorna ao dispositivo, automaticamente
retornada ao usurio a qual solicitou originalmente o acesso;

Filtro de Pacotes (StateLess): Tem por objetivo receber requisies de
acessos vindos de endereos e portas especficos, e, caso autorizado,
estabelecer um tnel entre ambas as partes. Toda a orientao feita
baseada em hosts (endereos ips) e portas.

Filtro de Pacotes (StateFull): Semelhante ao StateLess, este tambm
tem por objetivo receber requisies de acessos vindos de endereos e
portas especficos, e, caso autorizado, estabelecer um tnel entre ambas
as partes. Mas, neste caso, toda a orientao feita baseada em hosts
(endereos ips), portas e estados, sendo capaz de diferenciar uma
conexo sendo nova ou j estabelecida anteriormente. Extremamente
til quando trabalhada com polticas e regras mais restritivas.

Filtro de Aplicaes: Da mesma forma que os demais j citados
anteriormente, tem o objetivo de autorizar ou negar conexes vindas da
rede. Mas, o diferencial neste caso que a partir deste modelo
possvel agir na camada de aplicao (Camada 7, modelo OSI), no
levando somente hosts (origens e destinos) e portas, e sim contedo
dos pacotes. Para aplicaes Web, um projeto por nome ModSecurity [4]
tem o objetivo de proteger ataques contra WebServers (Apache [5]).

Um outro conceito utilizado na implementao deste projeto foi DMZ [6] (ou
Zona Desmilitarizada), a qual tem por objetivo separar fisicamente 2 ou mais
redes entre si, evitando trazer qualquer risco para as demais caso esta(s)
seja(m) comprometida(s).

8

Neste trabalho utilizou-se deste conceito para prover servios de DNS, ERP,
WWW, FTP etc, ao passo que, conforme j citado, caso um destes servios
forem comprometidos nenhum outro segmento da rede ser afetado.


2.2) Entendimento dos Acessos

Para a finalizao do projeto, incluindo o layout das redes e definio dos
acessos, algumas regras de Firewall foram desenhadas com o objetivo de
permitir estritamente acessos necessrios, conforme a solicitao inicial.

Assim sendo, uma tabela com algumas informaes necessrias como redes,
hosts e portas, foi disponibilizado da seguinte forma:

Site Rede Gateway Observao
Centro de Distribuio (CD) 30.10.10.0/24 30.10.10.1 Acessar o BD da Matriz atravs da
porta 1433.
Fornecedores 120.0.X.Y/24 120.0.X.Y O endereo de cada fornecedor variar,
bem como o respectivo gateway. Os
Fornecedores acessaro o FTP da
matriz atravs das portas 20 e 21.
Matriz (DMZ) 192.168.1.0/24 192.168.1.1 Os servidores dispostos neste segmento
no acessaro hosts externos, somente
retornaro solicitaes, com exceo do
Proxy.
Matriz (Interna) 20.10.10.0/24 20.10.10.1 Acessar todos os hosts da DMZ.
Acessos para sites web sero feitos a
partir do Proxy, disponibilizado na DMZ.
Loja X X.10.10.0/24 X.10.10.0.1 Cada rede de loja variar de acordo
com sua identificao.
Internet 0/0 200.200.200.200 A rede da internet no poder ser
prevista. Assume-se any. Hosts da
internet tero acesso aos servidores da
DMZ: DNS e WWW.
.
9

2.3) Layout da Rede e Consideraes

Abaixo, um diagrama foi definido com o objetivo de representar graficamente a
topologia sugerida neste projeto.

Sendo assim, algumas consideraes foram importantes:

O acesso vindo dos Fornecedores destinado ao servio de FTP foi
definido por VPN, uma vez que o protocolo no criptografado;

O WAF (Web Application Firewall) foi mantido na DMZ que, apesar de
estar na mesma rede, todo o trfego HTTP e HTTPS aos servidores
WEB e ERP sero filtrados primeiramente pelo dispositivo e, caso uma
solicitao for autorizada ,esta ser repassada s respectivas mquinas.
Tal mquina recebeu o IP 192.168.1.30;

No demais, as caractersticas restantes j haviam sido especificadas na
prpria definio do trabalho/projeto, no tendo nada a inovar.


10



3) Aplicao das Regras

Conforme j citado anteriormente, todas as regras foram criadas o mais
restritas possvel, no intuito de no permitir que acessos no autorizados sejam
concludos com sucesso.

Assim, tais regras sero apresentadas, conforme segue:

Interface
de
Entrada
Interface
de Sada
Portas Origem Destino Finalidade Protocolo
eth4 eth1 8080 20.10.10.0/24 192.168.1.100 PROXY/Matriz Todos
Todas eth1 80,443 0/0 192.168.1.30(*) WEB/All Todos
eth2 eth1 80,443 1.10.10.0/24 192.168.1.30(*) ERP/Loja01 Todos
eth2 eth1 80,443 2.10.10.0/24 192.168.1.30(*) ERP/Loja02 Todos
eth2 eth1 80,443 3.10.10.0/24 192.168.1.30(*) ERP/Loja03 Todos
eth2 eth1 80,443 4.10.10.0/24 192.168.1.30(*) ERP/Loja04 Todos
eth2 eth1 80,443 5.10.10.0/24 192.168.1.30(*) ERP/Loja05 Todos
eth2 eth1 80,443 6.10.10.0/24 192.168.1.30(*) ERP/Loja06 Todos
eth2 eth1 80,443 7.10.10.0/24 192.168.1.30(*) ERP/Loja07 Todos
eth2 eth1 80,443 8.10.10.0/24 192.168.1.30(*) ERP/Loja08 Todos
eth2 eth1 80,443 9.10.10.0/24 192.168.1.30(*) ERP/Loja09 Todos
eth2 eth1 80,443 10.10.10.0/24 192.168.1.30(*) ERP/Loja10 Todos
eth3 eth1 1433 30.10.10.0/24 192.168.1.11 BD/CD Todos
tun+ eth1 20,21 120.0.0.0/24 192.168.1.13 FTP/Fornec. Todos
Todas eth1 53 0/0 192.168.1.14 DNS/All Todos
(*) WAF

Ressalta-se, entretanto, que todas as regras acima aceitaro as conexes caso
coincidam. Caso no, a conexo automaticamente ser bloqueada, levando em
conta que a poltica padro do Firewall definido neste projeto DROP.


4) Segurana via Kernel

Como j citado anteriormente, durante o processo de hardening necessrio
ter em mente que apenas o firewall de borda na rede no traduz segurana.
11


Assim sendo, alguns outros itens foram pesquisados, testados e citados neste
documento no intuito de trazer conhecimentos necessrios para aprimorar a
segurana do Firewall em si, como evitar ataques do tipo: DoS e Spoofing.

Tais itens variam a forma de aplicao de sistema para sistema, mas neste
caso foram devidamente implementados no GNU/Linux, conforme abaixo:

############################################################
########## Enabling some kernel protections ################
############################################################
if [ -f "/proc/sys/net/ipv4/tcp_timestamp" ]; then
echo "0" > /proc/sys/net/ipv4/tcp_timestamp
else
echo "0" > /proc/sys/net/ipv4/tcp_timestamps
fi

echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "128" > /proc/sys/net/ipv4/ip_default_ttl
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

for i in /proc/sys/net/ipv4/conf/*; do
echo "0" > $i/accept_redirects
echo "0" > $i/accept_source_route
echo "1" > $i/log_martians
echo "1" > $i/rp_filter;
done
############################################################
12

Concluso

Com o avano da tecnologia, sistemas e sistemas so desenvolvidos e
customizados diariamente para que o trabalho manual seja poupado. Mais que
isso, a resposta das informaes armazenadas em tais sistemas so obtidas
de forma instantnea, com valores e status informados com preciso.

Mas, ao fim deste trabalho, notou-se a importncia da obteno de dispositivos
de firewall no ambiente informtico da empresa, bem como respectivas regras.
Tais regras visam autorizar ou negar acessos aos ativos desta.

Um Firewall importante tambm em casos onde existem vulnerabilidades que
no podem ser corrigidas de imediato, e ao mesmo tempo obviamente no
podem ser mitigadas do ambiente em curto prazo.

Desta forma, cria-se ento regras que somente um ativo ou um grupo de ativos
tenham acesso a este, reduzindo a probabilidade da ameaa daquele sistema
ou servio em especfico.

Assim sendo, mostra-se quo importante criar regras especificas, altamente
selecionadas e analisadas para que no autorizem mais do que necessrio.

13

Referncias

[1] Cartilha CERT-BR http://cartilha.cert.br/glossario/ (Acessado em
22/11/2009, s 15h);
[2] Wikipdia http://pt.wikipedia.org/wiki/Firewall (Acessado em 22/11/2009,
s 17h);
[3] Material das aulas de Firewall (IBTA/2009);
[4] ModSecurity http://www.modsecurity.org/ (Acessado em 22/11/2009, s
17h30);
[5] Apache Software Foundation http://www.apache.org/ (Acessado em
22/11/2009, s 17h30);
[6] Wikipdia http://pt.wikipedia.org/wiki/DMZ_(computao) (Acessado em
22/11/2009, s 17h30);