Seguranca Roteadores

CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
Roteadores e Segurana em Redes 27/06/01 1/22
Leonardo Ferreira Carneiro
leo@cbpf.br
Nilton Alves Jnior
naj@cbpf.br
http:/mesonpi.cat.cbpf.br/naj
Resumo
Esse trabalho tem como objetivo abordar determinados aspectos relativos a roteadores e
segurana em redes, com alguns exemplos tpicos. Ao longo dessa Nota Tcnica, sero vistos um
pequeno histrico sobre a evoluo dos sistemas de computao, os conceitos de roteadores,
firewalls, access lists e segurana em redes. Dessa forma, pretendemos oferecer uma primeira viso
respeito desses assuntos.
Palavras-chave:
Roteador; Segurana em Redes; Comandos Access List e Access Group.
www.projetoderedes.kit.net
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
2/22 27/06/01 Roteadores e Segurana em Redes
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
ndice
RESUMO _____________________________________________________________________ 1
PALAVRAS-CHAVE: _____________________________________________________________ 1
NDICE_______________________________________________________________________ 3
1. HISTRICO ________________________________________________________________ 4
2. ROTEADORES ______________________________________________________________ 5
2.1. ENDEREOS IP E REDES TCP/IP _______________________________________________ 6
2.1.1. Endereamento IP ______________________________________________________ 6
2.1.2. Redes TCP/IP__________________________________________________________ 7
2.2. ROTEAMENTO NA INTERNET __________________________________________________ 7
2.3. DETERMINAO DO ENDEREO FSICO __________________________________________ 8
3. FI REWALL__________________________________________________________________ 8
3.1. FILTROS DE PACOTES _______________________________________________________ 10
3.1.1. IP Spoofing___________________________________________________________ 10
3.1.2. Ataque Source Routing__________________________________________________ 10
3.1.3. Ataque Tiny Fragment __________________________________________________ 10
3.2. GATEWAYS DE APLICAO ___________________________________________________ 11
3.3. GATEWAYS DE CIRCUITO _____________________________________________________ 11
3.4. SERVIDORES PROXY ________________________________________________________ 12
3.5. COMENTRIOS FINAIS ______________________________________________________ 12
4. ACCESS LISTS _____________________________________________________________ 12
4.1. PARA QUE USAR ACCESS LISTS? _______________________________________________ 13
4.2. O QUE SO ACCESS LISTS? ___________________________________________________ 13
4.3. COMANDOS DAS ACCESS LISTS ________________________________________________ 13
4.4. IDENTIFICAO DE ACCESS LISTS ______________________________________________ 14
4.5. CONFIGURAO DE IP STANDARD ACCESS LISTS___________________________________ 15
4.6. CONFIGURAO DE IP EXTENDED ACCESS LISTS __________________________________ 16
4.7. EXEMPLOS DE ACCESS LISTS__________________________________________________ 17
4.7.1. Standard Access Lists___________________________________________________ 17
4.7.2. Extended Access Lists __________________________________________________ 17
5. SEGURANA EM REDES DE COMPUTADORES_______________________________ 18
5.1. POLTICA DE SEGURANA ___________________________________________________ 18
5.2. MECANISMOS DE SEGURANA________________________________________________ 19
5.2.1. Criptografia __________________________________________________________ 19
5.2.2. Integridade de Dados___________________________________________________ 19
5.2.3. Controle de Acesso_____________________________________________________ 20
5.2.4. Controle de roteamento _________________________________________________ 20
5.2.5. Comentrios finais _____________________________________________________ 20
6. CONCLUSO ______________________________________________________________ 20
REFERNCIAS_______________________________________________________________ 22
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
Roteadores e Segurana em Redes
1. Histrico
A comunicao sempre foi uma das maiores necessidades da sociedade humana. De
acordo com o crescimento das civilizaes, que ocupavam reas cada vez mais dispersas
geograficamente, a comunicao a longa distncia se tornava uma necessidade cada vez maior e um
desafio. Formas de comunicao atravs de sinais de fumaa ou pombos-correio foram as maneiras
encontradas por nossos ancestrais para tentar aproximar as comunidades distantes.
Ao inventar o telgrafo em 1838, Samuel F. B. Morse inaugurou uma nova poca nas
comunicaes. Nos primeiros telgrafos utilizados no sculo XIX, mensagens eram codificadas em
cadeias de smbolos binrios (cdigo Morse) e ento eram transmitidas manualmente por um
operador atravs de um dispositivo gerador de pulsos eltricos. A partir da, a comunicao atravs
de sinais eltricos atravessou uma grande evoluo, dando origem maior parte dos grandes
sistemas de comunicao encontrados atualmente, como o telefone, o rdio e a televiso.
Essa evoluo no tratamento de informaes no aconteceu somente na rea de
comunicao. Equipamentos para processamento e armazenamento de informaes tambm foram
alvo de grandes investimentos ao longo do nosso desenvolvimento. A introduo de redes de
computadores na dcada de cinqenta foi, provavelmente, o maior avano do sculo neste sentido.
A unio destas duas tecnologias comunicao e processamento de informaes veio
revolucionar o mundo de hoje, abrindo as fronteiras com novas formas de comunicao, e
permitindo assim maior eficcia dos sistemas computacionais. Tais sistemas sofreram uma grande
evoluo desde o seu incio, no Ps-Guerra, at os dias de hoje.
Embora a indstria de computadores seja jovem quando comparada com indstrias
como a automotiva e a de transportes areos, os computadores tem feito um fantstico progresso em
um curto espao de tempo. Durante as suas duas primeiras dcadas de existncia, os sistemas de
computao eram altamente centralizados, em geral, em uma nica sala grande, sendo o
computador uma mquina grande e complexa, operada por pessoas altamente especializadas. A
noo de que dentro de vinte anos computadores igualmente poderosos, consideravelmente
menores, pudessem ser produzidos em massa era considerada invivel.
No entanto, nos anos setenta, a introduo dos PCs revolucionou esses sistemas de
computao, substituindo o modelo de um nico computador servindo a todas as necessidades
computacionais de uma organizao por outro no qual um grande nmero de computadores
separados, mas interconectados, executam essa tarefa. Atravs dessa distribuio de poder
computacional, chegou-se ento as arquiteturas de redes de computadores que encontramos hoje em
dia.
Contudo, uma nica rede local est sujeita a certos limites, como por exemplo o nmero
de estaes que podem ser conectadas a ela, a velocidade na transmisso dos dados entre as
estaes ou ainda quanto trfego a rede pode suportar. Para superar essas limitaes, surgiram, a
partir dos anos oitenta, as chamadas internetworks. Internetworking a cincia de interligar LANs
individuais para criar WANs, e de conectar WANs para criar WANs ainda maiores. Uma LAN
(Local Area Network) uma rede de computadores que abrange uma rea relativamente pequena,
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
enquanto uma WAN (Wide Area Network) uma rede que ocupa uma maior rea geogrfica,
consistindo geralmente de duas ou mais LANs. Essas ligaes inter-redes so executadas por
dispositivos especficos, como por exemplo os roteadores, que so o assunto do prximo item
[1][2][18].
2. Roteadores
Um roteador um dispositivo que prov a comunicao entre duas ou mais LANs,
gerencia o trfego de uma rede local e controla o acesso aos seus dados, de acordo com as
determinaes do administrador da rede. O roteador pode ser uma mquina dedicada, sendo um
equipamento de rede especfico para funes de roteamento; ou pode ser tambm um software
instalado em um computador.
Consideremos por exemplo um grupo de dispositivos de rede, como servidores, PCs e
impressoras, formando uma rede local a qual chamamos de LAN 1, como mostrado na figura 1.
Consideremos tambm outra rede local, similar a primeira, a qual chamamos de LAN 2. A
interconexo entre elas, que permite a troca de dados e o compartilhamento dos seus recursos e
servios, feita pelo roteador. Esse esquema caracteriza o uso de uma mquina dedicada.
Figura 1: O roteador permite o trfego de informaes e o compartilhamento de
servios e recursos entre redes diferentes.
Consideremos agora a figura mostrada a seguir. Nela est representado o caso em que o
roteador um software instalado em um computador. Como podemos observar, o computador,
atravs de um software especfico, que gerencia o trfego de dados entres as diferentes redes
mostradas. Esse esquema representa a topologia de rede inicialmente utilizada no CBPF at 1996,
quando um servidor Novell exercia a funo de um roteador, atravs de um software de roteamento
fabricado pela prpria Novell.
O roteador opera na camada de rede, a terceira das sete camadas do modelo de
referncia ISO OSI. Esse modelo de rede foi criado pela ISO (International Organization of
Standardization) no incio dos anos oitenta, tendo sido o primeiro passo para a padronizao
internacional dos diversos protocolos de comunicao existentes atualmente [2][5]. Para aqueles
que estiverem interessados, maiores informaes respeito do modelo OSI podem ser encontradas
na Nota Tcnica intitulada Redes de Computadores, NT 008/98, de Outubro de 1998.
Quanto ao funcionamento de um roteador, temos que quando pacotes (partes da
mensagem que transmitida) so transmitidos de um host (qualquer dispositivo de uma rede) para
outro, esses equipamentos usam cabealhos (headers) e uma tabela de roteamento para determinar
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
por qual caminho esses pacotes iro; os roteadores tambm usam o protocolo ICMP (Internet
Control Message Protocol) para comunicarem-se entre si e configurarem a melhor rota entre dois
hosts quaisquer. O cabealho, em vrias disciplinas da cincia da computao, definido como uma
unidade de informao que antecede o objeto de dados de um pacote; ou seja, no cabealho que
est contida a informao sobre o destino do pacote utilizada pelo roteador. J em relao ao ICMP,
temos que ele uma extenso do protocolo IP (Internet Protocol), sendo definido pela RFC 792. O
ICMP suporta pacotes que contenham mensagens de erro, de controle e de informao. O comando
ping, por exemplo, usa esse protocolo para testar uma conexo Internet [5][7][8].
Figura 2: Um computador, atravs de software especfico, pode gerenciar o trfego de
dados entre redes diferentes, funcionando como um roteador.
Por ltimo, temos que uma pequena filtragem de dados feita atravs de roteadores.
Contudo, importante ressaltar que os roteadores no se preocupam com o contedo dos pacotes
com que eles lidam, verificando apenas o cabealho de cada mensagem, podendo ou no trat-la de
forma diferenciada [5].
2.1. Endereos IP e Redes TCP/IP
Ao longo dessa Nota Tcnica, os termos endereo IP e rede TCP/IP sero amplamente
utilizados. Devido a isso, esse item ser dedicado exclusivamente a esses dois assuntos, de forma
oferecer uma melhor compreenso dos prximos itens.
2.1.1. Endereamento IP
Um endereo IP definido como sendo uma identificao para um computador ou um
dispositivo qualquer de uma rede TCP/IP, que ser explicada no prximo item.
Esses tipos de redes roteam mensagens baseadas no endereo IP de destino. O formato
de um endereo IP o de um endereo numrico de 32 bits escritos como 4 nmeros, tambm
conhecidos como octetos, que so separados por pontos, como por exemplo 152.84.253.47. Cada
um desses 4 octetos representam campos de 8 bits.
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
Com uma rede isolada, pode-se atribuir um endereo IP qualquer, respeitando o fato de
que cada endereo deve ser nico. Entretanto, o registro de uma rede privada na Internet requer
endereos IP registrados, chamados endereos da Internet, para evitar possveis duplicaes.
Os 4 nmeros ou octetos de um endereo IP so usados de maneiras diferentes para
identificar uma rede particular e um host qualquer nessa rede. Classificam-se endereos da Internet
registrados em 4 classes, listadas abaixo:
Classe A: Suporta 16 milhes de hosts em cada uma das suas 127 redes. Nessa classe de
rede, temos que se o primeiro bit do seu endereo IP for 0, ento os prximos 7 bits sero
destinados ao nmero de rede e os 24 bits (3 octetos) restantes, aos nmeros de dispositivo.
Classe B: Suporta 65.000 hosts em cada uma das suas 16.000 redes. Aqui, temos que se
os 2 primeiros bits forem 1 e 0, respectivamente, ento os prximos 14 bits sero destinados ao
nmero da rede e os 16 bits (2 octetos) restantes aos nmeros de dispositivos.
Classe C: Suporta 254 hosts em cada um dos seus 2 milhes de redes. Se os seus 3
primeiros bits forem 1, 1 e 0, respectivamente, ento os prximos 21 bits sero destinados ao
nmero de rede e os 8 bits (1 octeto) restantes aos nmeros de dispositivos.
Classe D: Se os quatro primeiros bits forem 1, 1, 1 e 0, respectivamente, ento o valor
do primeiro octeto pode variar entre 224 e 239 e dizemos que esse nmero um endereo multicast.
Os prximos 28 bits compem um nmero de identificao de grupo para um especfico grupo
multicast. Podemos concluir ento que um endereo IP multicast um endereo destinado a um ou
mais hosts ou dispositivos, ao contrrio dos endereos classe A, B e C, que especificam o endereo
de um host ou dispositivo individual [2].
2.1.2. Redes TCP/IP
Uma rede de computadores chamada de rede TCP/IP (Transmission Control Protocol
/ Internet Protocol) quando a sua arquitetura baseada nesse conjunto de protocolos de
comunicao. Esse tipo de rede baseia-se principalmente em: um servio de transporte orientado
conexo, fornecido pelo protocolo TCP, e em um servio de rede no-orientado conexo,
fornecido pelo protocolo IP. As informaes enviadas pela Internet so dependentes do TCP/IP,
fazendo com que ele seja utilizado como um protocolo primrio de rede na Internet [1][2]. O
roteamento de pacotes feito entre redes TCP/IP na Internet o assunto do prximo item.
2.2. Roteamento na Internet
O roteamento a tcnica atravs da qual os dados encontram o seu caminho de um host
para outro. No contexto da Internet, existem trs aspectos principais de roteamento:
! Determinao do endereo fsico.
! Seleo de roteadores (gateways) inter-redes.
! Endereos simblicos e numricos.
O primeiro desses trs aspectos necessrio quando dados de uma rede TCP/IP esto
para ser transmitidos por um computador. necessrio que esses dados sejam encapsulados com
qualquer formato de frame (pacote) que estiver em uso na rede local qual o computador est
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
ligado. Esse encapsulamento requer a incluso de um endereo de rede local ou endereo fsico no
frame.
O segundo aspecto necessrio porque a Internet consiste de um nmero de redes locais
interconectadas por um ou mais roteadores. Tais roteadores, tambm conhecidos como gateways,
algumas vezes tem conexes fsicas ou portas de acesso mais de uma rede. A identificao do
roteador e porta apropriados para onde um pacote IP particular deve ser enviado chamada de
roteamento, que tambm envolve a troca de informaes entre os roteadores de forma padronizada.
O terceiro aspecto envolve a traduo do endereo de rede. Essa traduo feita por um
sistema conhecido como DNS (Domain Name Service) [6]. O DNS um protocolo que traduz
nomes de domnios em endereos IP. Sendo os nomes de domnio alfabticos, a sua memorizao
mais fcil. A Internet, contudo, baseia-se em endereos IP. Por essa razo, toda a vez que se usa um
nome de domnio, o DNS deve traduzir esse nome em um endereo IP correspondente. Por
exemplo, o nome de domnio www.cbpf.br deve ser traduzido para 152.84.253.64 [9].
2.3. Determinao do Endereo Fsico
Se um computador quer transmitir dados atravs de uma rede TCP/IP, necessrio
encapsul-los em uma forma apropriada para o meio fsico da rede a qual o computador est ligado.
Para que a transmisso desse frame seja completada, preciso determinar o endereo fsico do
computador de destino, que pode ser obtido usando-se uma tabela, configurada como um arquivo
que lido pela memria do computador toda vez que este for inicializado, que relacione os
endereos IP dos computadores conectados rede com os seus respectivos endereos fsicos. Todos
os computadores da rede contm essa tabela.
Na prtica, entretanto, os computadores criam essa tabela atravs da utilizao de um
protocolo de comunicao conhecido como ARP (Address Resolution Protocol). Esse protocolo,
definido pela RFC 826, usado para associar endereos IP com endereos fsicos (endereos de
MAC). A tabela criada e atualizada por esse protocolo, que associa esses dois tipos de endereo,
chamada de ARP cache.
Quando um host quer comunicar-se com outro, mas no tem o seu endereo fsico, ele
envia uma mensagem ARP, encapsulada em um frame, contendo os endereos IP e fsico de origem
na rede por broadcast; isto , essa mensagem transmitida para todos os computadores da rede. Os
computadores ento armazenam esse endereo fsico de origem, e o host de destino responde a esse
broadcast enviando o seu endereo fsico para o host que originalmente transmitiu o pacote ARP. O
ARP cache criado a partir do armazenamento dos MACs por parte dos hosts da rede, sendo que
os seus registros expiram aps um determinado perodo de tempo, geralmente alguns minutos.
3. Firewall
Um firewall definido como um sistema designado para prevenir acessos no-
autorizados redes de computadores. Os firewalls podem ser implementados tanto em hardware
quanto em software, ou ainda em uma combinao de ambos. Esse sistema utilizado
freqentemente em redes privadas conectadas com a Internet, especialmente as intranets, para evitar
que usurios no-autorizados tenham acesso elas. Esse controle feito atravs da checagem das
mensagens que entram e saem da intranet. Essas mensagens passam pelo firewall, que as examina,
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
uma a uma, e bloqueia aquelas que no obedecem aos critrios de segurana especificados pelo
administrador da rede [10].
Como exemplo, consideremos a figura 3 mostrada abaixo. O computador externo
LAN pode conectar-se a qualquer um dos seus dispositivos atravs do roteador, no havendo a
princpio qualquer tipo de controle de acesso s mquinas e s informaes armazenadas nessa rede.
Dessa forma, pessoas no-autorizadas podem ter acesso a esses dados, podendo ento l-los,
modific-los ou at mesmo apag-los remotamente.
Figura 3: O roteador permite o trfego de informaes entre computadores externos LAN
e os seus dispositivos, a princpio sem qualquer tipo de segurana.
Para evitar isso, utiliza-se um firewall. Com esse sistema, os dados transmitidos pelo
computador externo continuam sendo trafegados pela rede, desde que sejam permitidos pelos filtros
do firewall. Se no forem, os dados so bloqueados pelo firewall, que envia ento uma mensagem
ao computador de origem dizendo que a transmisso no foi completada, protegendo assim a LAN
de eventuais ataques, como mostram as figuras 4 e 5.
Figura 4: Com a implementao do firewall, os dados continuam a ser transmitidos, desde
que sejam permitidos.
Figura 5: Caso a transmisso dos dados seja negada pelo firewall, uma mensagem transmitida para o
computador externo LAN avisando que a transmisso no foi completada.
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
Existem diversos tipos de tcnicas de firewalls, que sero discutidas em detalhes nas
sees a seguir.
3.1. Filtros de Pacotes
Nessa tcnica de firewall, temos que filtros (linhas de comando configuradas no
roteador) checam cada pacote que entre e sai da rede local, aceitando-os ou bloqueando-os de
acordo com as regras definidas pelo administrador da rede. Esse controle de acesso feito atravs
da anlise dos endereos IP de origem e destino de cada pacote e das portas UDP e TCP utilizadas
pela rede. O administrador elabora uma lista dos dispositivos e servios oferecidos que esto
autorizados a transmitir dados nos sentidos de transmisso possveis. Essa lista ento usada para
filtrar os pacotes que tentam atravessar o firewall. Um exemplo de poltica de filtragem de pacotes
seria: permitir o trfego full-duplex de pacotes carregando mensagens de SMTP e DNS, trfego
Telnet s para pacotes saindo da rede e bloquear todos os outros tipos de trfego.
A filtragem de pacotes uma tcnica de firewall bastante efetiva e transparente para os
usurios, mas de difcil configurao. Alm disso, a abordagem baseada em filtragem no fornece
uma granularidade muito fina de controle de acesso, uma vez que o acesso controlado com base
nas mquinas de origem e de destino dos pacotes, e vulnervel a certos tipos de ataques, que esto
listados abaixo [1][10]:
3.1.1. IP Spoofing
Esse ataque consiste no ganho de acesso no-autorizado a computadores de uma rede
privada. Mensagens so enviadas para o computador que ser invadido com endereos IP que
indicam que essas mensagens esto vindo de um host interno da rede. Para isso, deve-se
primeiramente usar uma variedade de tcnicas que permitam achar um endereo IP de um host da
rede, e ento modificar os cabealhos dos pacotes de forma que eles paream estar sendo
transmitidos por esse host. Assim, espera-se que o uso desse endereo IP falso permita o acesso
sistemas que tenham uma poltica de segurana simples, baseada somente na checagem dos
endereos de destino, onde os pacotes enviados por hosts internos da rede so aceitos enquanto
pacotes enviados por qualquer outro host so descartados. O IP spoofing pode ser evitado
descartando-se pacotes com endereos de origem internos que venham de uma das sadas de uma
interface do roteador da rede [13][14].
3.1.2. Ataque Source Routing
Em um ataque do tipo source routing, a estao de origem especifica a rota que um
pacote deve seguir ao ser transmitido pela Internet. Esse tipo de ataque designado para fugir de
medidas de segurana e assim fazer com que o pacote siga uma rota no esperada at o seu destino.
Um ataque source routing pode ser evitado simplesmente descartando-se todos os pacotes que
contenham em seus cabealhos a opo source route [13].
3.1.3. Ataque Tiny Fragment
Para esse tipo de ataque, utiliza-se o aspecto de fragmentao de pacotes IPs para criar
fragmentos extremamente pequenos e assim forar o cabealho TCP de informao a ser um
fragmento de pacote separado. O ataque tiny fragment designado para evitar as regras de filtragem
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
da poltica de segurana da rede; espera-se que a filtragem implementada no roteador examine
somente o primeiro fragmento do pacote transmitido, permitindo assim a passagem dos restantes.
Esse ataque pode ser evitado descartando-se aqueles pacotes em que o tipo de protocolo o TCP e o
parmetro IP FragmentOffset, especificado no cabealho, igual 1 [13].
3.2. Gateways de aplicao
Firewalls na Internet so muitas vezes considerados como gateways de segurana que
controlam o acesso a uma rede. Na linguagem dos firewalls, um gateway um dispositivo que
oferece servios de transmisso de dados entre duas redes. Um firewall pode ser mais do que um
filtro no roteador, como o gateway controlado. Nesse caso, o trfego passa pelos filtros do
gateway ao invs de ser transmitido diretamente na rede. Aps a checagem dos dados, o gateway
ento os transmite para uma outra rede ou para o gateway que estiver conectado ela [12].
O gateway de aplicao atua na camada de aplicao. Esse tipo de firewall aplica
mecanismos de segurana em aplicaes especficas, como por exemplo servidores FTP e
servidores Telnet. Devido a sua grande flexibilidade, o gateway de aplicao pode fornecer um
maior grau de proteo do que o filtro de pacote. Contudo, apesar de eficiente, essa tcnica pode
impor uma degradao na performance da rede.
Para melhor compreender essa tcnica de firewall, consideremos o seguinte exemplo:
um gateway FTP configurado para restringir as operaes de transferncia de arquivos que
estejam localizados no bastion host (gateway do firewall que pode ser acessado a partir da rede
externa). Dessa forma, os usurios externos s podem ter acesso aos arquivos disponibilizados
nessa mquina, o bastion host. Alm disso, a aplicao FTP original pode ser modificada para
limitar a transferncia de arquivos da rede interna para a rede externa a usurios autorizados, e
ainda com limites para o volume de informao que pode ser transmitida, dificultando assim
ataques externos [1][10]. A figura 6 mostra os componentes que compem esse tipo de firewall.
Figura 6: Componentes de um gateway de aplicao.
3.3. Gateways de circuito
Esse firewall aplica mecanismos de segurana quando uma conexo TCP ou UDP
estabelecida. Ele atua como intermedirio de conexes FTP, funcionando como um TCP
modificado. Para permitir a transmisso dos dados atravs desse tipo de firewall, o usurio de
origem conecta-se a uma porta TCP no gateway, que por sua vez conecta-se, usando outra conexo
TCP, ao usurio de destino. Um circuito ento formado por uma conexo TCP na rede interna e
outra na rede externa, estando ambas associadas pelo gateway de circuito. O processo que
implementa esse tipo de gateway atua repassando bytes de uma conexo para outra, fechando ento
o circuito. Para que esse circuito seja estabelecido, o usurio de origem deve fazer uma solicitao
ao gateway no firewall, passando a mquina e o servio de destino como parmetros. Com isso, o
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
gateway estabelece o circuito ou, em caso contrrio, retorna um cdigo informando o motivo do no
estabelecimento. Uma vez que a conexo tenha sido estabelecida, os pacotes de dados podem
trafegar entre os hosts da rede sem checagens adicionais. importante notar que necessrio que o
usurio de origem utilize um protocolo simples para comunicar-se com o gateway, sendo esse
protocolo um bom local para implementar, por exemplo, um mecanismo de autenticao [1][10].
3.4. Servidores Proxy
um servidor que implementado entre a aplicao de um cliente (arquitetura
cliente/servidor), como por exemplo um navegador Web, e um servidor real. O servidor proxy
intercepta todos os pedidos requeridos ao servidor real e verifica se ele mesmo pode executar esses
pedidos. Se no for possvel, ele ento transmite o pedido para o servidor real. O servidor proxy tem
dois propsitos bsicos [15]:
Melhoria de Performance: Os servidores proxy podem melhorar sensivelmente a
performance de grupos de usurios, uma vez que eles armazenam os resultados de todos os pedidos
feitos pelos usurios ao servidor real durante um determinado perodo de tempo. Consideremos por
exemplo o caso em que ambos os usurios X e Y de um grupo de usurios qualquer de uma rede
acessam a World Wide Web atravs de um servidor proxy. Primeiramente, o usurio X visita uma
certa pgina Web, que ser chamada aqui de pgina 1. Algum tempo depois, o usurio Y tenta
visitar essa mesma pgina. Ao invs de transmitir o pedido para o servidor Web onde a pgina 1
reside, o que pode ser uma operao que consuma muito tempo, o servidor proxy simplesmente
retorna a pgina 1 que j foi acessada pelo usurio X. Considerando-se o fato do servidor proxy
estar na maioria das vezes na mesma rede que o usurio, essa operao aqui descrita torna-se muito
mais rpida [15].
Filtragem de Pedidos (Firewall): Os servidores proxy tambm podem ser usados para
filtrar os pedidos requeridos ao servidor real da rede. Eles interceptam todas as mensagens que
entram e saem da rede, escondendo assim de forma efetiva os seus endereos. Atravs da utilizao
de um servidor desse tipo, uma companhia pode prevenir que os seus empregados tenham acesso a
algum grupo especfico de Web sites [10][15].
3.5. Comentrios finais
Na prtica, muitos firewalls usam duas ou mais dessa tcnicas aqui apresentadas
simultaneamente. Ainda, temos que, para uma maior segurana, os dados transmitidos pela rede
tambm podem ser encriptados. Como exemplo prtico, temos que um firewall pode ser
implementado atravs da utilizao de listas de acesso (access lists), assunto do prximo item.
4. Access Lists
Nesse item ser estudado o conceito de access list, uma ferramenta disponvel em
alguns roteadores, como por exemplo o roteador Cisco IOS, que utilizada para garantir a
integridade dos dados que so trafegados e armazenados em uma rede local. Abaixo, segue as
razes para o uso das access lists, os seus conceitos bsicos, como funcionam, como so
implementadas e alguns exemplos prticos.
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
4.1. Para que usar Access Lists?
Basicamente, o comando access list utilizado para controlar o trfego de dados em
uma rede local atravs de testes de pacotes. Essas listas oferecem uma poderosa ferramenta para o
controle da rede: a flexibilidade para filtrar o fluxo de pacotes que so transmitidos pelas entradas e
sadas das interfaces do roteador. Esse comando ajuda a proteger as expanses dos recursos de rede,
sem impedir o fluxo da comunicao dos dados, diferenciando o trfego desses dados em categorias
que so permitidas ou no. Esse controle na transmisso da informao baseia-se em aspectos
determinados pelo administrador da rede [3].
4.2. O que so Access Lists?
Access lists so linhas de comando que especificam condies de controle determinadas
pelo administrador da rede. Baseado nessas determinaes, o roteador lidar com o trfego de
pacotes de forma diferenciada, de acordo com o tipo de dado que est sendo trafegado. Existem dois
tipos bsicos de access lists, que esto listados abaixo:
Standard access lists: Standard access lists para IP checam somente o endereo de
origem dos pacotes que podem ser roteados. De acordo com o resultado dessa checagem, o roteador
pode permitir ou no a transmisso de um grupo inteiro de protocolos, baseando-se no endereo de
rede, sub-rede ou do host. Por exemplo; pacotes chegando atravs da entrada de uma interface do
roteador so checados pelos seus endereos. Se a permisso for dada pela access list, o roteador
transmite os pacotes atravs da sada da interface que estiver associada a essa access list. Por outro
lado, se a permisso para a transmisso no for dada, os pacotes sero desprezados.
Extended access lists: Extended access lists checam tanto o endereo de destino quanto
o de origem dos pacotes. Esse tipo de lista tambm pode checar outros tipos de parmetros, como
por exemplo protocolos especficos e nmeros de porta. Com isso, os administradores de rede tem
maior flexibilidade para descrever qual tipo de filtragem a access list deve fazer. Tem-se que um
pacote tem o seu trfego permitido ou no com base na sua origem e no seu destino. Alm disso,
temos tambm que as extended access lists controlam o fluxo de pacotes com maior granularidade;
isto , pode-se permitir por exemplo o trfego de e-mails da entrada de uma interface para a sua
sada, e ao mesmo tempo proibir o acesso remoto e a transferncia de arquivos entre elas [3].
4.3. Comandos das Access Lists
Na prtica, a implementao e a interpretao das access lists podem ser complicadas.
Entretanto, o entendimento dos comandos de configurao dessas listas pode ser simplificado
reduzindo-os em dois passos bsicos, que esto esquematizados abaixo:
Passo 1: Configurar os parmetros de teste para a linha de comando da access list (que
pode ser uma entre vrias linhas de comando que formam a access list).
User Access Verification
Password:
router>enable
Password:
router#config t
Enter configuration commands, one per line. End with CNTL/Z
router(config)#access-list access-list-number {permit | deny} {test conditions}
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
A ltima linha de comando, mostrada no exemplo acima, identifica a access list, que
geralmente representada por um nmero (termo access-list-number). Esse nmero indica que tipo
de access list foi implementada. O termo permit | deny indica como o roteador dever lidar com os
pacotes que sero checados pelos testes de condies, que so especificados pelo ltimo termo da
linha de comando, o test conditions. Na maioria das vezes, o termo permit significa que o pacote
tem permisso para trafegar atravs de uma ou mais interfaces do roteador.
Passo 2: Abilitar uma interface do roteador para fazer parte do grupo que usa a access
list especificada.
Password:
router>enable
Password:
router#config t
router(config)#access-list access-list-number {permit | deny} {test conditions}
router(config)#int router interface
router(config-if)#{protocol} access-group access-list-number
O comando access list usa um comando de interface. Todas as linhas de comando da
access list que so identificadas pelo seu nmero so associadas a uma ou mais interfaces do
roteador, que identificada atravs do comando int router interface, onde router interface indica
qual a interface utilizada. Com isso, qualquer pacote de dados que passe pelos testes de condies
da access list tem a permisso de usar qualquer interface que faa parte do access group de
interfaces [3].
4.4. Identificao de Access Lists
O comando access list pode controlar vrios protocolos em um roteador. A tabela
abaixo mostra os tipos de access lists e os seus respectivos intervalos de nmeros de identificao
[4].
Tipo de Access List Intervalo do Nmero de Identificao
IP standard 1 99
IP extended 100 199
Bridge type-code 200 299
DECnet standard e extended 300 399
XNS standard 400 499
XNS extended 500 599
AppleTalk zone 600 699
Bridge MAC 700 799
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
IPX standard 800 899
IPX extended 900 999
IPX SAP 1000 1099
Bridge extended 1100 1199
De todos os tipos de access list mostrados na tabela acima, apenas os dois primeiros
tipos sero tratados nessa Nota Tcnica. Nos prximos itens, sero vistas as suas respectivas
configuraes.
4.5. Configurao de IP Standard Access Lists
Password:
router>enable
Password:
router#config t
router(config)#access-list access-list-number {permit | deny} source [source-mask]
router(config-if)#ip access-group access-list-number {in | out}
O comando access-list cria uma entrada em uma lista standard de filtragem de pacotes.
A seguir, encontramos uma tabela com as respectivas descries dos termos que constituem esse
comando.
Comando access list Descrio
access-list-number
Identifica a lista qual a entrada pertence; um
nmero de 1 at 99.
permit | deny
Indica se a entrada ir permitir ou bloquear o
trfego do pacote especificado.
source
Identifica o endereo IP de origem.
source-mask
Identifica quais bits do campo de endereo
devem ser checados. H um 1 nas posies que
indicam bits desprezados, e um 0 em qualquer
posio em que o bit deve ser obrigatoriamente
checado.
O comando ip access-group liga o objeto access list existente sada de uma interface
do roteador. Somente um objeto access list por porta, protocolo e direo permitida.
Para retirar um objeto access list, primeiramente entre com o comando no access-group
com todo o seu grupo de parmetros, e depois entre com o comando no access-list com todo o seu
grupo de parmetros [3].
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
Comando ip access-group Descrio
access-list-number
Indica o nmero da access list que deve ser ligada a
interface desejada.
in | out
Seleciona se a access list abilitada para a entrada ou
sada de uma interface. Se in ou out no forem
especificadas, out o padro.
4.6. Configurao de IP Extended Access Lists
Password:
router>enable
Password:
router#config t
router(config)#access-list access-list-number {permit | deny} protocol source source-mask
destination destination-mask [operator operand] [established]
router(config-if)#ip access-group access-list-number {in | out}
A seguir, temos as tabelas com as descries dos termos que constituem os comandos
usados para esse tipo de access list [3].
Comando access-list Descrio
access-list-number
Identifica a lista usando um nmero entre 100 e 199
permit | deny
Indica se a entrada permite ou bloqueia o endereo
especificado.
protocol
IP, TCP, UDP, ICMP, GRE, IGRP.
source e destination Identifica os endereo IP de origem e de destino.
source-mask e destination-mask Mscaras. Os 0s indicam os bits que devem
serchecados, enquanto os 1s indicam os bits que so
desprezados.
operator e operand lt, gt, eq, neq (less than, greater than, equal, not equal)
e um nmero de porta.
Comando ip access-group Descrio
access-list-number
Indica o nmero da access list que deve ser ligada
interface desejada.
in | out
Seleciona se a access list abilitada para a entrada ou
sada de uma interface. Se in ou out no forem
especificadas , out o padro.
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
4.7. Exemplos de Access Lists
Nesse item, sero mostrados um exemplo prtico da utilizao de uma standard access
lists e o de uma extended access list, de forma a mostrar com maior clareza a utilidade dessas
ferramentas em um ambiente de rede.
4.7.1. Standard Access Lists
Exemplo: Bloquear a transmisso de uma rede especfica.
Figura 7: Roteador interligando diferentes redes atravs de suas interfaces.
Password:
router>enable
Password:
router#config t
router(config)#access-list 1 permit 152.84.250.0 0.0.0.255
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
router(config)#int e5/2
router(config-if)#ip access-group 1
Nesse exemplo, a access list est configurada para bloquear o trfego transmitido pela
rede 250 (152.84.250.0) e permitir o trfego transmitido pelas redes 252 e 253 (152.84.252.0 e
152.84.253.0), atravs da interface e5/2.
4.7.2. Extended Access Lists
Exemplo: Bloquear transmisso por FTP pela interface e5/1
Figura 8: Roteador interligando diferentes redes atravs de suas interfaces.
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
Password:
router>enable
Password:
router#config t
router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 21
router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 20
router(config)#access-list 101 permit ip 152.84.250.0 0.0.0.255 0.0.0.0 255.255.255.255
router(config)#int e5/2
router(config-if)#ip access-group 101
Nesse exemplo, a access list bloquea o trfego de pacotes FTP transmitidos pela rede
250 (152.84.250.0), permitindo que o trfego restante dessa rede seja transmitido para todas as
outras redes (152.84.252.0 e 152.84.253.0), tudo isso pela interface e5/2.
5. Segurana em Redes de Computadores
A segurana da rede local do CBPF, como a segurana de qualquer LAN, est
relacionada necessidade de proteo contra acessos no autorizados, manipulao dos dados
armazenados na rede, assim como a sua integridade, e utilizao no autorizada de computadores ou
de seus respectivos dispositivos perifricos. Essa necessidade de proteo deve ser definida a partir
das possveis ameaas e riscos que a rede sofre, alm dos objetivos traados pela instituio, sendo
tudo isso formalizado nos termos de uma poltica de segurana. Dessa forma, procura-se evitar que
pessoas no-autorizadas tenham acesso a informaes particulares de qualquer usurio da rede. Nos
prximos itens, estudaremos um pouco mais sobre poltica de segurana e conheceremos alguns
desses mecanismos aplicados a ambientes de comunicao de dados [1].
5.1. Poltica de Segurana
Uma poltica de segurana definida como sendo um conjunto de leis, regras e prticas
que definem como uma empresa ou instituio gerencia e protege seus recursos e transmite os seus
dados. Um sistema de comunicao de dados pode ser considerado seguro quando garante o
cumprimento dessa poltica, que deve incluir regras detalhadas definindo como as informaes e
recursos oferecidos pela rede devem ser manipulados.
Uma poltica de segurana implementada baseando-se na aplicao de regras que
controlem o acesso aos dados e recursos que so trafegados atravs da rede; isto , define-se o que
e o que no permitido em termos de segurana, durante a operao de um dado aplicativo ou
recurso da rede, atravs da definio do nvel de acesso autorizado para os usurios que utilizam-se
do sistema de comunicao de dados. Com base na natureza da autorizao que dada ao usurio,
pode-se dividir em dois os tipos de poltica de segurana existentes: uma baseada em regras, onde
os dados e recursos da rede so marcados com rtulos de segurana apropriados que definem o
nvel de autorizao do usurio que os est controlando; e uma outra baseada em identidade. Nesse
ltimo tipo, temos que o administrador da rede pode especificar explicitamente os tipos de acesso
que os usurios da rede podem ter s informaes e recursos que esto sob seu controle [1].
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
5.2. Mecanismos de Segurana
Uma poltica de segurana pode ser implementada com a utilizao de vrios
mecanismos. Abaixo, temos alguns dos mais importantes mecanismos de segurana utilizados em
redes de computadores.
5.2.1. Criptografia
Em meios de comunicao onde no possvel impedir que o fluxo de pacote de dados
seja interceptado, podendo as informaes serem lidas ou at modificadas, necessria a
criptografia. Nesse mecanismo, utiliza-se um mtodo que modifique o texto original da mensagem
transmitida, gerando um texto criptografado na origem, atravs de um processo de codificao
definido por um mtodo de criptografia. O pacote ento transmitido e, ao chegar no destino,
ocorre o processo inverso; isto , o mtodo de criptografia aplicado agora para decodificar a
mensagem, transformando-a na mensagem original.
Contudo, toda a vez que o mtodo utilizado descoberto, quebrando-se o cdigo de
criptografia, necessrio substitu-lo por um outro diferente, o que acarreta no desenvolvimento de
novos procedimentos para a implementao desse novo mtodo, treinamento do pessoal envolvido,
etc. Com o intuito de evitar tal problema, criou-se um novo mecanismo de criptografia,
representado na figura 9 mostrada abaixo. Nesse novo modelo, um texto criptografado gerado a
partir do texto normal varia de acordo com uma chave de codificao utilizada para o mesmo
mtodo de criptografia. Isto , para uma mesma mensagem original e um mesmo mtodo de
criptografia, chaves diferentes produzem textos criptografados diferentes. Dessa forma, no adianta
conhecer o mtodo de criptografia para recuperar a mensagem original, porque, para recuper-la
corretamente, necessrio tanto o texto criptografado quanto a chave de decodificao utilizada [1].
Figura 9: Mtodo de criptografia utilizando chaves.
5.2.2. Integridade de Dados
Os mecanismos de controle de integridade de dados atuam em dois nveis: controle da
integridade de pacotes isolados e controle da integridade de uma conexo, isto , dos pacotes e da
seqncia de transmisso.
Em relao ao primeiro nvel, tem-se que tcnicas de deteco de modificaes, que so
normalmente associadas com a deteco de erros em bits, pacotes ou erros de seqncia
introduzidos por enlaces e redes de comunicao, so usadas para garantir a integridade dos dados
trafegados em uma rede. Contudo, se os cabealhos dos pacotes de dados no forem devidamente
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
protegidos contra possveis modificaes, pode-se contornar a verificao, desde que sejam
conhecidas essas tcnicas. Portanto, para garantir a integridade necessrio manter confidenciais e
ntegras as informaes de controle que so usadas na deteco de modificaes.
J para controlar modificaes na seqncia de pacotes transmitidos em uma conexo,
so necessrias tcnicas que garantam a integridade desses pacotes, de forma a garantir que as
informaes de controle no sejam corrompidas, em conjunto com informaes de controle de
seqncia. Esses cuidados, apesar de no evitarem a modificao da cadeia de pacotes, garantem a
deteco e notificao dos ataques [1].
5.2.3. Controle de Acesso
Esse mecanismo de segurana utilizado para garantir que o acesso a um recurso de
rede qualquer seja limitado a usurios devidamente autorizados pelo administrador do sistema.
Como tcnicas utilizadas, tem-se a utilizao de listas ou matrizes de controles de acesso, que
associam recursos a usurios autorizados; ou senhas e tokens associadas aos recursos, cuja posse
determina os direitos de acesso do usurio que as possui.
Como exemplo da utilizao de tokens para controlar o acesso aos recursos de uma
rede, consideremos o mtodo de controle de congestionamento de trfego conhecido como controle
isorrtmico. Nesse mtodo, existem permisses, que so os tokens, que circulam pela rede. Sempre
que um host deseja transmitir um novo pacote pela rede, ele primeiramente deve capturar uma
dessas permisses e destru-la, sendo que essa permisso destruda regenerada pelo host que
recebe o pacote no destino. Contudo, esse mtodo apresenta um problema: a distribuio das
permisses depende das aplicaes na rede e o prprio trfego aleatrio desses tokens causa um
trfego extra na rede, diminuindo assim a sua performance. Ainda, tem-se que a perda de uma
permisso devido a uma falha qualquer na rede deve ser recuperada, de forma a evitar que a sua
capacidade de transporte seja reduzida [1].
5.2.4. Controle de roteamento
Esse mecanismo garante a transmisso de informao atravs de rotas fisicamente
seguras, cujos canais de comunicao forneam os nveis apropriados de proteo. Essa garantia se
deve ao controle do roteamento de pacotes de dados. Atravs desse controle, rotas preferenciais (ou
obrigatrias) para a transferncia de dados so especificadas pelo administrador do sistema [1].
5.2.5. Comentrios finais
Alm desses mecanismos de segurana mencionados, muitos outros so encontrados.
Em alguns casos particulares, a poltica de segurana aplicada baseada na implementao de
firewalls, j estudados anteriormente nessa Nota Tcnica.
6. Concluso
Ao final desse trabalho, podemos concluir que o roteador apresenta uma importncia
muito grande dentro de uma topologia de rede, uma vez que esse equipamento permite, alm da
gerncia e do controle de acesso s informaes, o compartilhamento de recursos e servios entre
CBPF-NT-004/99
_______________________________________________________________________________
______________________________________________________________________________
redes geograficamente dispersas. Como conseqncia, essencial que o administrador da rede tenha
total domnio sobre os recursos do roteador que a gerencia, assim como o entendimento da
tecnologia desse dispositivo, pois assim ser possvel garantir uma maior qualidade na sua
performance.
Ainda, tambm podemos observar como importante a implementao de uma poltica
de segurana adequada que garanta a integridade das informaes armazenadas na rede e dos
dispositivos que a compem, protegendo assim esses dados e mquinas de possveis ataques
externos, que poderiam causar srios danos a estrutura administrativa e tcnica de uma empresa ou
organizao.
CBPF-NT-004/99
_______________________________________________________________________________
_______________________________________________________________________________
Referncias
Em relao s referncias de pginas web, importante ressaltarmos que pginas da
Internet so altamente dinmicas, podendo mudar desde parte do seu contedo at o prprio
endereo. Devido a isto, existe a possibilidade de que, ao consultar alguma pgina, essa no mais
exista ou ento tenha outras informaes.
[1] Redes de Computadores Das LANs, MANs e WANs s Redes ATM Segunda edio /
Luiz Fernando Gomes Soares, Guido Lemos e Srgio Colcher.
[2] Redes de Computadores / Nota Tcnica escrita por Leonardo Ferreira Carneiro, Nilton Costa
Braga e Nilton Alves Jr. em Outubro de 1998.
[3] Introduction to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc.
[4] Advanced to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc.
[5] Router, http://webopedia.internet.com/TERM/r/router.html.
[6] Routing in the Internet, http://www.scit.wlv.ac.uk/~jpjb/comms/iproute.html.
[7] Header, http://webopedia.internet.com/TERM/h/header.html.
[8] ICMP, http://webopedia.internet.com/TERM/I/ICMP.html.
[9] DNS, http://webopedia.internet.com/TERM/D/DNS.html.
[10] firewall, http://webopedia.internet.com/TERM/f/firewall.html.
[11] The Need for Firewalls, http://www.icsa.net/fwbg/chap_2.html.
[12] What is a Firewall?, http://www.icsa.net/fwbg/chap_3.html.
[13] Internet Firewalls and Security A Technology Overview / Escrito por Chuck
Semeriahttp://www.3com.com/nsc/500619.html
[14] IP spoofing, http://webopedia.internet.com/TERM/I/IP_spoofing.html.
[15] proxy server, http://webopedia.internet.com/TERM/p/proxy_server.html.
[16] Routing Information Protocol,
http://webopedia.internet.com/TERM/R/Routing_Information_Protocol.html.
[17] Networking: A Primer, http://ww.baynetworks.com/products/Papers/wp-primer.html.
[18] Internetworking, http://webopedia.internet.com/TERM/i/internetworking.html.
[19] ARP, http://webopedia.internet.com/TERM/A/ARP.html.

Seguranca Roteadores

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguranca Roteadores

Enviado por

Direitos autorais:

Formatos disponíveis

CBPF-NT-004/99

Você também pode gostar