David Jnior

Firewall
Pouso Alegre
2006.
Firewall o nome dado ao dispositivo de rede que tem por funo regular o
trfego de rede entre redes distintas e impedir a transmisso de dados nocivos
ou no autorizados de uma rede a outra. utilizado para evitar que o trfego
no autorizado possa fluir de um domnio de rede para o outro. Apesar de se
tratar de um conceito geralmente relacionado a proteo contra invases, o
firewall no possui capacidade de analisar toda a etenso do protocolo,
ficando geralmente restrito ao nvel ! da camada "#$.
%odemos falar tam&m so&re'
( )irewall de aplicao
( )iltros de pacotes
( %ro* firewall
( #tateful firewall
Firewall de aplicao
)irewalls de controle de aplicao +eemplos de aplicao' #,-%, )-%, .--%,
etc./ so instalados geralmente em computadores servidores e so con0ecidos
como %ro*. 1ste tipo no permite comunicao direto entre a rede e a $nternet.
-udo deve passar pelo firewall, que atua como um intermediador. " %ro*
efetua a comunicao entre am&os os lados por meio da avaliao do n2mero
da sesso -3% dos pacotes.
1ste tipo de firewall mais compleo, porm muito seguro, pois todas as
aplicaes precisam de um %ro*. 3aso no 0a4a, a aplicao simplesmente
no funciona. 1m casos assim, uma soluo criar um 5%ro* genrico5,
atravs de uma configurao que informa que determinadas aplicaes usaro
certas portas. 1ssa tarefa s6 &em realizada por administradores de rede ou
profissionais de comunicao qualificados.
" firewall de aplicao permite um acompan0amento mais preciso do trfego
entre a rede e a $nternet +ou entre a rede e outra rede/.
possvel, inclusive, contar com recursos de log e ferramentas de auditoria.
-ais caractersticas deiam claro que este tipo de firewall voltado a redes de
porte mdio ou grande e que sua configurao eige certa eperi7ncia no
assunto.
Componentes de um irewall!
)iltro de pacotes
8ase de um firewall
9ados utilizados
$ps
-ipo de protocolo +udp:tcp/
portas
interface de c0egada:sada do pacote
flags +s*n,ac;,.../
3omposto de listas de regras
input
output
forward
)iltro de pacotes
#tateless %ac;et $nspection
3ada pacote analisado isoladamente
no 0 correlao com outros pacotes
tipo mais comum de filtro
#tatefull %ac;et $nspection
considera o 0ist6rico de conees
considera o relacionamento entre pacotes
est sendo cada vez mais utilizado
<etwor; Address -ranslation +<A-/
,odifica endereos $% e portas
#urgiu como soluo para a falta de endereo $%
<1-=">? A99>1## -ranslation +<A-/
#ource <A- +#(<A-/
9estination <A- +9(<A-/
<etwor; Address -ranslation +<A-/
Alem da economia de endereo...
@imita a eposio da rede interna
$nterferem no funcionamento das A%<s
B $%#ec com A.
%ro*
-rata nvel de alicao
B >ealiza logs mais detal0ados +especficos/
B verifica caractersticas especificas de cada aplicao
%ode realizar cac0ing
%ro*
3ada servio requer um %ro* especifico
<em sempre transparente
" #ue um irewall pode a$er e o #ue no pode a$er por uma rede
" #ue o Firewall no pode a$er
%roteger a rede de usurios internos mal intencionados ( " firewall pode evitar
que certas informaes saiam de uma compan0ia atravs da coneo de rede,
mas no pode impedir que um usurio copie os dados num disquete e os
carregue consigo. Atacantes internos requerem medidas de segurana interna,
como segurana de 0ost e educao de usurios.
%roteger contra conees que no passam por ele ( " firewall pode apenas
controlar o trafego que passa por ele. #e o seu site disponi&ilizar acesso
discado para sistemas internos atrs do firewall, no 0 nada que o firewall
possa fazer para prevenir que intrusos ten0am acesso a sua rede por esta via.
%roteger contra novas ameaas ( )irewalls so pro4etados para proteger contra
ameaas con0ecidas.
%roteger contra vrus ( 1m&ora o firewall verifique todo o trafego que entra na
rede interna, esta verificao feita &asicamente c0ecando os endereos fonte
e destino e os n2meros de porta, no verificando os dados em si.
" #ue o Firewall pode a$er
1is algumas tarefas ca&veis a um firewall'
Cm firewall um c0ec;pointD ou se4a, ele um foco para as decises
referentes E segurana, o ponto de coneo com o mundo eterno,
tudo o que c0ega E rede interna passa pelo firewallD
Cm firewall pode aplicar a poltica de seguranaD
Cm firewall pode logar eficientemente as atividades na $nternetD
Cm firewall limita a eposio da empresa ao mundo eterno.
-ipos de )irewall
o F )iltragem de pacotes
o F <A-
o F #ervidores %ro*
)iltragem de pacotes o &loqueio ou li&erao da passagem de pacotes de
dados de maneira seletiva, conforme eles atravessam a interface de rede. "
critrio usado ao inspecionar pacotes so &aseados nos ca&eal0os da
3amada G +$%v! e $%vH/ e 3amada ! +-3%, C9%, $3,%, e $3,%vH/. "s critrios
mais usados so endereos de origem e destino, porta de origem e destino e
protocolo.
>egras de filtragem especificam o critrio em que o pacote deve se enquadrar e
a ao resultante, que pode ser &loqueio ou li&erao, tomada quando o pacote
casa com a regra. As regras de filtragem so avaliadas em seqI7ncia da
primeira a 2ltima. A no ser que o pacote encontre uma regra contendo a
palavra(c0ave quic;, o mesmo ser avaliado contra todas as regras de filtragem
antes da ao final ser tomada. A 2ltima regra a casar a 5vencedora5 e dita
qual ao tomar. 1iste um pass all implcito no incio das regras de filtragem,
que significa que caso o pacote no case com nen0uma regra a ao resultante
ser pass.
%ervidor Pro&'
Pro&' %erver & Firewall
$nicialmente precisamos definir o que um #ervidor %ro*. %ro* uma palavra
em ingl7s que, segundo o ,ic0aelis, significa'
Proxy - procurao, procurador, substituto, representante.
%ortanto #ervidor %ro* , em ess7ncia, um equipamento que presta um
servio de procurador de um computador de uma rede em outra rede, evitando
que o endereo $% do computador se4a con0ecido na outra rede. " #ervio de
%ro* age como representante de um usurio que precise acessar um sistema
do outro lado do #ervidor %ro*.
$sto coloca o #ervidor %ro* como um dos tr7s tipos clssicos de )irewall. 1 o
que )irewallJ #egundo ,ic0aelis Firewall parede, muro, guarda-fogo.
1nto, um )irewall um equipamento e : ou programa que funciona como muro
de proteo de uma rede de dados de acessos no dese4ados, oriundos de
outras redes ou equipamentos. Kualquer equipamento que controle o trfego
por razes de segurana pode ser c0amado )irewall.
"s )irewall se dividem em tr7s tipos &sicos' >oteador de 8arreira, Latewa*
#ervidor de %ro* e -cnicas de inspeo de estado.
(ipos de Pro&'
1istem &asicamente dois tipos de %ro*' o %ro* -ransparente e o %ro*
3ontrolado. Ae4a a seguir as diferenas'
Pro&' (ransparente
<ele simplesmente feito um repasse de pacotes vindos da internet para uma
mquina que est na rede interna.
Pro&' Controlado
1ssa a categoria dos softwares especializados em agir como servidores
%ro*, como o pr6prio #quid. 1les possuem mais opes que o %ro*
transparente para facilitar o controle de quem pode ou no utilizar o %ro*,
solicitao de autenticao, %ro* para ##@ e o uso de listas de controles de
acesso +A3@Ms/ que n6s veremos mais E frente.
)antagens e desvantagens
3laro que dependendo do seu caso como um administrador de redes, voc7 vai
ter que decidir qual tipo de %ro* voc7 vai utilizar. Ao eistir casos que um
%ro* transparente vai l0e oferecer o suficiente para fazer o que voc7 quer fazer
e vo eistir casos em que voc7 vai precisar de funes que somente um %ro*
controlado est disposto a l0e oferecer.
3on0ea aqui algumas vantagens do %ro* transparente e do %ro* controlado'
Pro&' (ransparente
mais simples de ser configurado quando 4 est 0a&ilitado no ?ernel, o cliente
o&rigado a passar pelo %ro*, programas como $3K funcionam plenamente
com ele e no precisa que as mquinas clientes se4am configuradas.
Pro&' Controlado
3om ele voc7 pode utilizar listas de controles de acesso +A3@Ms/ para controlar
quem usa e quem no usa o seu %ro*, pode ser utilizado para uso com ##@,
pode servir para li&erao de internet mediante autenticao do usurio e,
principalmente, possui um sistema de cac0ing, possuindo um desempen0o na
rede geralmente mel0or.
Agora as desvantagens!
Pro&' (ransparente
%ossui menos recursos que um %ro* 3ontrolado, precisa de configuraes no
?ernel e, em alguns casos, necessria a recompilao do ?ernel do sistema,
no possui nen0uma segurana de acesso e no possui um sistema de
cac0ing, o que o torna mais lento em uma rede.
Pro&' Controlado
%rogramas como $3K e o protocolo #,-% no funcionam muito &em com ele,
pode ocorrer dos usurios removerem as configuraes do %ro* assim que
voc7 tiver sado da sala e sua configurao mais complicada.
(ipos de ata#ues e (*cnicas +ac,ing
%ource -outing
#ource routing a 0a&ilidade de lidar com um pacote de modo que este se4a
direcionado a certos roteadores sem que passe pelos roteadores
convencionais. -ipicamente, utiliza(se source routing quando um roteador
eecuta o &loqueio de algum tipo de trfego que o invasor dese4a eplorar, onde
o roteamento alterado na tentativa de &urlar o dispositivo de conectividade.
.o4e em dia, no am&iente $nternet, no eiste motivos legtimos que levariam
algum a necessidade de ditar o camin0o que o pacote dever percorrer at
c0egar ao seu destino. 9esde que o roteamento feito apenas de e para uma
respectiva rede privada, deve(se atentar para o cuidado de no aceitar pacotes
no roteador de &orda que instruam este roteador a encamin0ar pacotes para
outra rede.
necessrio desa&ilitar o source routing com o comando 5no ip source(route5.
.p spooing
<o conteto de redes de computadores, ip spoofing e a tcnica de su&verso
de sistemas informticos que consiste em mascarar +spoof/ pacotes ip com
endereos remetentes falsificados.
9evido Es caractersticas do protocolo $%, o re(encamin0amento de pacotes
feito com &ase numa premissa muito simples' o pacote dever ir para o
destinatrio +endereo(destino/D no 0 verificao do remetente N o router
anterior pode ser outro, e ao nvel do $%, o pacote no tem qualquer ligao com
outro pacote do mesmo remetente. Assim, torna(se trivial falsificar o endereo
de origem, i.e., podem eistir vrios computadores a enviar pacotes fazendo(se
passar pelo mesmo endereo de origem, o que representa uma srie ameaa
para os vel0os protocolos &aseados em autenticao pelo endereo $%.
1sta tcnica, utilizada com outras de mais alto nvel, aproveita(se, so&retudo,
da noo de confia&ilidade que eiste dentro das organizaes' supostamente
no se deveria temer uma mquina de dentro da empresa, se ela da
empresa. ,as isto no &em assim, como indica o pargrafo anterior. %or outro
lado, um utilizador torna(se tam&m confivel quando se sa&e de antemo que
esta&eleceu uma ligao com determinado servio. 1sse utilizador torna(se
interessante, do ponto de vista do atacante, se ele possuir +e estiver a usar/
direitos privilegiados no momento do ataque.
8om, mas resta a interao com as aplicaes, alm de que as caractersticas
do protocolo $% permitem falsificar um remetente, mas no l0e permitem
rece&er as respostas N essas iro para o endereo falsificado. Assim, o ataque
pode ser considerado cego.
%or outro lado, ao nvel das aplicaes, este protocolo frequentemente
acoplado ao -3%, formando o -3%:$%. $sto quer dizer que eiste
encapsulamento do -3% dentro do $% +e os dados dentro do -3%/, o que
remete ao atacante a necessidade de sa&er que dados -3% incluir no pacote
falsificado. 1ssa tcnica con0ecida por desvio de sesso -3%, ou -3%
session 0ac;ing em ingl7s.
1istem mtodos para evitar estes ataques, como a aplicao de filtros de
pacotes, filtro ingress nos gatewa*sD faz sentido &loquear pacotes provindos da
rede eterna com endereos da rede local. $dealmente, em&ora muito
negligenciado, usar um filtro egress N que iria descartar pacotes provindos da
rede interna com endereo de origem no(local que fossem destinados E rede
eterna N pode prevenir que utilizadores de uma rede local iniciem ataques de
$% contra mquinas eternas.
1istem outros ataques que utilizam esta tcnica para o atacante no sofrer os
efeitos do ataque' ataques #O< +#O< flooding/ ou ataques smurf so eemplos
muito citados.
Ata#ue man in t/e middle
Cm ataque man(in(t0e(middle +mitm/ um ataque no qual o atacante capaz
de ler, inserir e modificar, mensagens entre duas entidades sem que estas
ten0am con0ecimento que a ligao entre am&as esta comprometida.
-ipicamente o atacante insere(se no maio da comunicao entre dois pontos,
fazendo parte de um canal de comunicao.
1sse tipo de ataque porventura aquele mais difcil de detectar e de prevenir,
sendo tam&m o eemplo clssico de segurana informtica, estando na &ase
de tcnicas de 0ac;ing, de desco&erta de password, desvio de trfego, ataque
de imitao, in4eo de pacotes, modificao de pacotes,etc.
(in' ragment
-in* fragment um tipo de ataque que utiliza a fragmentao de pacotes ip
para criar fragmentos etremamente pequenos e assim forar o ca&eal0o tcp
de informar a ser um fragmento de pacote separado. " ataque designado
para evitar as regras de filtragem da poltica de segurana da redeD espera(se
que a filtragem implementada no roteador eamine somente o primeiro
fragmento do pacote transmitido, permitindo assim a passagem dos restantes.
1sse ataque pode ser evitado descartando(se aqueles pacotes em que o tipo
de protocolo o tcp e o parPmetro ip fragment"ffset, especificando no
ca&eal0o.
Ate#ue s'n
#O< flood ou ataque #O< uma forma de ataque de negao de servio
+tam&m con0ecido como 9enial of #ervice ( 9o#/ em sistemas
computadorizados, na qual o atacante envia uma seqI7ncia de requisies
#O< para um sistema(alvo.
Kuando um cliente tenta comear uma coneo -3% com um servidor, o cliente
e o servidor trocam um srie de mensagens, que normalmente so assim'
" cliente requisita uma coneo enviando um #O< +s*nc0ronize/ ao servidor.
" servidor confirma esta requisio mandando um #O<(A3? de volta ao
cliente.
" cliente por sua vez responde com um A3?, e a coneo est esta&elecida.
$sto o c0amado aperto de mo em tr7s etapas +-0ree(=a* .ands0a;e/.
Cm cliente malicioso pode no mandar esta 2ltima mensagem A3?. " servidor
ir esperar por isso por um tempo, 4 que um simples congestionamento de
rede pode ser a causa do A3? faltante.
1sta c0amada coneo semi(a&erta pode ocupar recursos no servidor ou
causar pre4uzos para empresas usando softwares licenciados por coneo.
%ode ser possvel ocupar todos os recursos da mquina, com pacotes #O<.
Cma vez que todos os recursos este4am ocupados, nen0uma nova coneo
+legtima ou no/ pode ser feita, resultando em negao de servio. Alguns
podem funcionar mal ou at mesmo travar se ficarem sem recursos desta
maneira.
.nundao icmp
" icmp floof ou inundao icmp o ato de enviar o n2mero mimo de pacotes
no menor espao de tempo possvel a fim de tornar a coneo de um usurio
lenta+leg/, desconectando(o da rede. o ataque icmp flood pode ser dividido em
duas categorias' usurios de modem e usurios de rede.
Cm usurio que este4a conectado via modem a Q!.!RR&ps de sua casa
dificilmente conseguir atacar algum com um icmp flood, pois no tem
velocidade para o envio de pacotes suficiente para derru&ar algum, e, ao
mesmo tempo, pode ser um alvo para outro usurio que este4a conectado a
ST.TRR&ps, por eemplo.
%ara proteger(se do ataque $3,% )lood deve(se usar um programa de $3,%
30ec; que ir l0e dizer de onde esto vindo os pacotes, pois o $3,% no
esta&elece coneo e, por esse motivo, programas como o netstat, no
conseguem identificar a origem do ataque.
-am&m um &om firewall para &loqueio de pacotes $3,% vindos de qualquer
lugar uma possvel proteo.
Cm &om programa o 3onseal %3 )irewall, da #ignalU, que tam&m atua no
caso de ataques utilizando outros protocolos, como -3%, C9% e #O<.
#empre o cliente q tiver a maior coneo consegue derru&ar o que tiver a
menor coneo' cliente com s0ell tG, derru&a s0ell tS, que derru&a s0ell tQ,
derru&a modem VH;.....