SEGURANA E CONTROLE DE ACESSO

AULA 01 -FIREWALL

Produzido por: Professor Elber professorelber@gmail.com

Firewall
- O QUE FIREWALL?
A palavra firewall tem estado cada vez mais comum no nosso
cotidiano, ainda mais agora que a segurana digital est dia aps dia
mais em evidncia. Mesmo as pessoas menos familiarizadas com a
tecnologia sabem que a internet no um "territrio" livre de
perigos. por esta razo que importante conhecer e utilizar
ferramentas de proteo para computadores e redes. Firewall "Parede de fogo", a traduo literal do nome, j deixa claro que o
firewall se enquadra em uma espcie de barreira de defesa.

Firewall
- O QUE FIREWALL?

Firewall
- O QUE FIREWALL?
A necessidade de utilizao cada vez maior da Internet pelas
organizaes e a constituio de ambientes cooperativos levam a
uma crescente preocupao quanto segurana. Como
consequncia, pode-se ver uma rpida evoluo nessa rea,
principalmente com relao ao firewall, que um dos principais,
mais conhecidos e antigos componentes de um sistema de
segurana. Sua fama, de certa forma, acaba contribuindo para a
criao de uma falsa expectativa quanto segurana total da
organizao.

Firewall
- O QUE FIREWALL?
Firewall um software ou um hardware que verifica informaes
provenientes da Internet ou de uma rede, e as bloqueia ou permite
que elas cheguem ao seu computador.
Um firewall pode ajudar a impedir que hackers ou softwares malintencionados (como worms) obtenham acesso ao seu computador
atravs de uma rede ou da Internet. Um firewall tambm pode
ajudar a impedir o computador de enviar software malintencionado para outros computadores.

Firewall
- O QUE FIREWALL?
Um firewall bem configurado um instrumento importante para
implantar a poltica de segurana da sua rede. Ele pode reduzir a
informao disponvel externamente sobre a sua rede, ou, em
alguns casos, at mesmo barrar ataques a vulnerabilidades ainda
no divulgadas publicamente (e para as quais correes no esto
disponveis).
Firewall uma soluo de segurana baseada em hardware ou
software (mais comum) que, a partir de um conjunto de regras ou
instrues, analisa o trfego de rede para determinar quais
operaes de transmisso ou recepo de dados podem ser
executadas.

Firewall
- O QUE FIREWALL?
A sua misso, por assim dizer, consiste basicamente em bloquear
trfego de dados indesejado e liberar acessos bem-vindos.
FIREWALLS NO SO INFALVEIS. A SIMPLES INSTALAO DE UM
FIREWALL NO GARANTE QUE SUA REDE ESTEJA SEGURA CONTRA
INVASORES. UM FIREWALL NO PODE SER A SUA NICA LINHA DE
DEFESA; ELE MAIS UM DENTRE OS DIVERSOS MECANISMOS E
PROCEDIMENTOS QUE AUMENTAM A SEGURANA DE UMA REDE.
Ficam entre um link de comunicao e um computador, checando e
filtrando todo o fluxo de dados. Esse tipo de soluo serve tanto
para aplicaes empresariais quanto para domiciliar, protegendo
no s a integridade dos dados na rede mas tambm a
confidencialidade deles.

Firewall
- FUNCIONALIDADES DO FIREWALL
O firewall composto por uma srie de componentes, sendo que
cada um deles tem uma funcionalidade diferente e desempenha um
papel que influi diretamente no nvel de segurana do sistema.
Algumas dessas funcionalidades formam os chamados componentes
clssicos de um firewall.
As quatro primeiras funcionalidades so:
1- filtros;
2- proxies;
3- bastion hosts;
4- Zonas Desmilitarizadas DMZ.

Firewall
- FUNCIONALIDADES DO FIREWALL

Firewall
- FUNCIONALIDADES DO FIREWALL
Outras trs funcionalidades:
1- Network Address Translation NAT;
2- Virtual Private Network VPN;
3- Autenticao, foram inseridas no contexto, devido evoluo
natural das necessidades de segurana.
O balanceamento de cargas e a alta disponibilidade tambm
possuem uma grande importncia, principalmente porque todo o
trfego entre as redes deve passar pelo firewall.

Firewall
- FUNCIONALIDADES DO FIREWALL
1- FILTROS
Os filtros realizam o roteamento de pacotes de maneira seletiva,
ou seja, aceitam ou descartam pacotes por meio da anlise das
informaes de seus cabealhos.
Essa deciso tomada de acordo com as regras de filtragem
definidas na poltica de segurana da organizao. Os filtros
podem, alm de analisar os pacotes comparando um conjunto de
regras de filtragem estticas com as informaes dos cabealhos dos
mesmos, tomar decises com base nos estados das conexes.

Firewall
- FUNCIONALIDADES DO FIREWALL
2- PROXIES
Os proxies so sistemas que atuam como um gateway entre duas
redes, permitindo as requisies dos usurios internos e as
respostas dessas requisies, de acordo com a poltica de
segurana definida. Eles podem atuar simplesmente como um
relay, podendo tambm realizar uma filtragem mais apurada dos
pacotes, por atuar na camada de aplicao do modelo OSI.

Firewall
- FUNCIONALIDADES DO FIREWALL
3- BASTION HOSTS
Os bastion hosts so os equipamentos em que so instalados os
servios a serem oferecidos para a Internet. Como esto em
contato direto com as conexes externas, os bastion hosts devem
ser protegidos da melhor maneira possvel. Essa mxima proteo
possvel significa que o bastion host deve executar apenas os
servios e aplicaes essenciais, bem como executar sempre a
ltima verso desses servios e aplicaes, sempre com os patches
de segurana instalados imediatamente aps sua criao. Assim, os
bastion hosts podem ser chamados tambm de servidores
fortificados, com a minimizao dos possveis pontos de ataque.

Firewall
- FUNCIONALIDADES DO FIREWALL
* Uma grande interao ocorre entre os bastion hosts e a zona
desmilitarizada (DMZ), pois os servios que sero oferecidos pela
DMZ devem ser inequivocamente instalados em bastion hosts.

Firewall
- FUNCIONALIDADES DO FIREWALL
4- ZONA DESMILITARIZADA
A zona desmilitarizada (DeMilitarized Zone DMZ), ou perimeter
network, uma rede que fica entre a rede interna, que deve ser
protegida, e a rede externa.
Essa segmentao faz com que, caso algum equipamento dessa
rede desmilitarizada (um bastion host) seja comprometido, a rede
interna continue intacta e segura.

Firewall
- FUNCIONALIDADES DO FIREWALL
5- NETWORK ADDRESS TRANSLATION (NAT)
O NAT no foi criado com a inteno de ser usado como um
componente de segurana, mas sim para tratar de problemas em
redes de grande porte, nas quais a escassez de endereos IP
representa um problema. Dessa maneira, a rede interna pode
utilizar endereos IP reservados (Request For Comments, RFC 1918),
sendo o NAT o responsvel pela converso desses endereos
invlidos e reservados para endereos vlidos e roteveis, quando a
rede externa acessada. Sob o ponto de vista da segurana, o NAT
pode, assim, esconder os endereos dos equipamentos da rede
interna e, consequentemente, sua topologia de rede, dificultando os
eventuais ataques externos.

Firewall
- FUNCIONALIDADES DO FIREWALL
6- REDE PRIVADA VIRTUAL (VPN)
A Virtual Private Network (VPN) foi criada, inicialmente, para que
redes baseadas em determinados protocolos pudessem se
comunicar com redes diferentes, como o trfego de uma rede X.25
passando por uma rede baseada em Internet Protocol (IP).
Como no aceitvel que as informaes, normalmente de
negcios, trafeguem sem segurana pela Internet, a VPN passou a
utilizar conceitos de criptografia para manter o sigilo dos dados.
Mais do que isso, o IP Security (IPSec), protocolo-padro de fato das
VPNs, garante, alm do sigilo, a integridade e a autenticao desses
dados.

Firewall
- FUNCIONALIDADES DO FIREWALL
7- AUTENTICAO/CERTIFICAO
A autenticao e a certificao dos usurios podem ser baseadas
em endereos IP, senhas, certificados digitais, tokens, smartcards
ou biometria. Tecnologias auxiliares so a infra-estrutura de chaves
pblicas (Public Key Infrastructure PKI) e o Single Sign-On (SSO).
* Single Sign On (SSO) um mecanismo pelo qual possvel que um
usurio obtenha acesso a mltiplos servios aps autenticar-se
somente uma vez em qualquer um destes servios.

Firewall
- FUNCIONALIDADES DO FIREWALL
8- BALANCEAMENTO DE CARGAS E ALTA DISPONIBILIDADE
Como pode ser visto pela sua prpria definio, o firewall deve ser o
nico ponto de acesso a uma determinada rede, de modo que todo
o trfego passe por ele.
Assim, ele pode representar tambm o gargalo dessa rede, sendo
recomendvel que mecanismos de contingncia sejam utilizados.

Firewall
- FUNCIONALIDADES DO FIREWALL
O balanceamento de cargas de firewalls um desses mecanismos,
que visa diviso do trfego entre dois firewalls que trabalham
paralelamente. Um mtodo de balanceamento pode ser, por
exemplo, o round robin (1), no qual cada firewall da lista recebe
uma conexo de cada vez. Outros mtodos de balanceamento de
carga podem ser baseados em pesos, na conexo menos utilizada
ou na prioridade. Os firewalls com a carga balanceada devem
operar exatamente com a mesma poltica de segurana, para que a
consistncia entre os dois sistemas esteja sempre em ordem.
Mecanismos de sincronizao das regras de filtragem podem ser
usados para a manuteno da consistncia.

Firewall
- FUNCIONALIDADES DO FIREWALL
round robin (1): um mecanismo de equilbrio local de carga, usado
para compartilhar e distribuir cargas entre dois ou mais dispositivos
da rede.

Firewall
- FUNCIONALIDADES DO FIREWALL
J a alta disponibilidade tem como objetivo o estabelecimento de
mecanismos para a manuteno dos servios, de modo que eles
estejam sempre acessveis para os usurios. A disponibilidade
pode ser mantida, por exemplo, se o firewall tem problemas e fica
indisponvel, necessrio que o backup do firewall passe a funcionar
no lugar do original. A verificao da disponibilidade ou no do
firewall pode ser feita com mecanismos conhecidos como
heartbeat, por exemplo.
* heartbeat: sua responsabilidade de monitorar os servios em
produo e, em caso de falha, realizar automaticamente os
procedimentos para preservar o funcionamento do sistema como
um todo.

Firewall
- A EVOLUO
Os primeiros firewalls foram implementados em roteadores, no
final da dcada de 80, por serem os pontos de ligao natural entre
duas redes. As regras de filtragem dos roteadores, conhecidas
tambm como lista de controle de acesso (Access Control List
ACL), tinham como base decises do tipo permitir ou descartar
os pacotes, que eram tomadas de acordo com a origem, o destino e
o tipo das conexes.

Firewall
- A EVOLUO
Os novos requisitos de segurana fizeram com que os firewalls se
tornassem mais complexos, resultando nos avanos verificados nas
tecnologias de filtro de pacotes, proxies, filtragem de pacotes
baseado em estados, hbridos e adaptativos. Os dois ltimos so,
na realidade, uma mistura das tecnologias j existentes, diferentes
nomes surgiram para tecnologias de firewalls supostamente novas,
tais como o firewall reativo e o firewall individual ou pessoal, mas
que, so, na realidade, apenas firewalls com novas funcionalidades
ou fins especficos.

Firewall
- A EVOLUO
Alm dos avanos da tecnologia e das funcionalidades inseridas nos
firewalls, outros servios da rede e de segurana passaram a ser
incorporados. Alguns desses servios so:
* Autenticao.
* Criptografia (VPN).
* Qualidade de servio.
* Filtragem de contedo.
* Antivrus.
* Filtragem de URL.
* Filtragem de palavras-chave para e-mails.
* Filtragem de spam.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- FILTRO DE PACOTES
A tecnologia de filtro de pacotes funciona na camada de rede e de
transporte da pilha TCP/IP, de modo que realiza as decises de
filtragem com base nas informaes do cabealho dos pacotes, tais
como o endereo de origem, o endereo de destino, a porta de
origem, a porta de destino e a direo das conexes. O sentido das
conexes pode ser verificado com base nos flags SYN, SYN-ACK e
ACK do handshake do protocolo TCP, assim como os servios
(portas TCP/UDP relacionadas) permitidos ou proibidos.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- AS VANTAGENS DO FILTRO DE PACOTES SO:
- Baixo overhead/alto desempenho da rede.
- barato, simples e flexvel.
- bom para o gerenciamento de trfego.
- transparente para o usurio.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- AS DESVANTAGENS DO FILTRO DE PACOTES SO:
- Permite a conexo direta para hosts internos de clientes externos.
- difcil de gerenciar em ambientes complexos.
- vulnervel a ataques como o IP spoofing (consiste na troca do IP
original por um outro, podendo assim se passar por um outro
host), a menos que seja configurado para que isso seja evitado.
- No oferece a autenticao do usurio.
- Dificuldade de filtrar servios que utilizam portas dinmicas,
como o RPC.
- Deixa brechas permanentes abertas no permetro da rede
(ocorrem porque as conexes que possuem regras especficas de
permisso passam livremente pelo firewall e so estticas.).

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- FILTRO DE PACOTES BASEADO EM ESTADOS
Os filtros de pacotes dinmicos (dynamic packet filter), tambm
conhecidos como filtros de pacotes baseados em estados (stateful
packet filter), tomam as decises de filtragem tendo como
referncia dois elementos:
- As informaes dos cabealhos dos pacotes de dados, como no
filtro de pacotes.
- Uma tabela de estados, que guarda os estados de todas as
conexes.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
O firewall trabalha verificando somente o primeiro pacote de cada
conexo. A tabela de conexes que contm informaes sobre os
estados das mesmas ganha uma entrada quando o pacote inicial
aceito, e os demais pacotes so filtrados utilizando-se as
informaes da tabela de estados.
Como o filtro de pacotes, o filtro de pacotes baseado em estados
trabalha na camada de rede, tendo, um bom desempenho. A
diferena quanto ao filtro de pacotes que o estado das conexes
monitorado a todo instante, permitindo que a ao do firewall seja
definida de acordo com o estado de conexes anteriores mantidas
em sua tabela de estados.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
AS VANTAGENS DO FILTRO DE PACOTES BASEADO EM ESTADO SO:
- Aberturas apenas temporrias no permetro da rede.
- Baixo overhead/alto desempenho da rede.
- Aceita quase todos os tipos de servios.
AS DESVANTAGENS DO FILTRO DE PACOTES BASEADO EM ESTADOS
SO:
- Permite a conexo direta para hosts internos a partir de redes
externas.
- No oferece autenticao do usurio, a no ser via gateway de
aplicao (application gateway).

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- PROXY
O proxy funciona por meio de relays de conexes TCP, ou seja, o
usurio se conecta a uma porta TCP no firewall, que ento abre
outra conexo com o mundo exterior. O proxy pode trabalhar tanto
na camada de sesso ou de transporte (circuit level gateway)
quanto na camada de aplicao (application level gateway), o que
lhe d mais controle sobre a interao entre o cliente e o servidor
externo.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
A conexo direta entre um usurio interno e o servidor externo no
permitida por meio dessa tecnologia e o reendereamento do
trfego, ao fazer com que o trfego parea ter origem no proxy,
mascara o endereo do host interno, garantindo assim uma maior
segurana da rede interna da organizao.
Uma das grandes vantagens dos proxies a possibilidade de
registrar todo o trfego, seja ele com origem interna ou externa,
podendo assim ativar um sistema de alarme quando um trfego
no apropriado estiver em andamento. Alguns proxies podem
realizar tambm a cache, comuns em proxies HTTP, enquanto
outros podem realizar filtragem de e-mails.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- AS VANTAGENS DO PROXY SO:
- No permite conexes diretas entre hosts internos e hosts
externos.
- Aceita autenticao do usurio.
- Analisa comandos da aplicao no payload dos pacotes de dados,
ao contrrio do filtro de pacotes.
- Permite criar logs do trfego e de atividades especficas.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- AS DESVANTAGENS DO PROXY SO:
- mais lento do que os filtros de pacotes (somente o applicationlevel gateway).
- Requer um proxy especfico para cada aplicao.
- No trata pacotes ICMP.
- No aceita todos os servios.
- Requer que os clientes internos saibam sobre ele (isso vem
mudando com o proxy transparente (1)).

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
Proxy transparente (1):
O proxy transparente um servidor proxy modificado, que exige
mudanas na camada de aplicao e no kernel do firewall. Esse
tipo de proxy redireciona as sesses que passam pelo firewall para
um servidor proxy local de modo transparente, eliminando a
necessidade de modificaes no lado cliente ou na interface
com o usurio. Os clientes (software e usurio) no precisam saber
que suas sesses so manipuladas por um proxy, de modo que suas
conexes so transparentes, como se elas fossem diretas para o
servidor.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
continuao proxy transparente (1):
Um exemplo pode ser visto no Linux, quando o redirecionamento
transparente dos pacotes para o proxy (squid, no exemplo)
manipulado pelo IPtables:
1- iptables -t nat -A PREROUTING -i eth0 -s ! endereo-squid -p tcp
dport 80 -j DNAT to endereo-squid:8080
2- iptables -t nat -A POSTROUTING -o eth0 -s rede-local -d endereosquid j SNAT to endereo-iptables
3- iptables -A FORWARD -s rede-local -d endereo-squid -i eth0 -o
eth0 -p tcp dport 8080 -j ACCEPT

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
continuao proxy transparente (1):
A primeira regra envia os pacotes que no tm como origem eles
prprios para o proxy Squid, que est funcionando na porta 8080
no exemplo. A segunda regra importante para que a resposta seja
enviada de volta ao IPtables, em vez de ser enviada diretamente ao
cliente. J a terceira regra a responsvel pelo direcionamento
dos pacotes do IPtables para o Squid.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- FIREWALLS HBRIDOS
Os firewalls hbridos misturam os elementos de trs tecnologias:
Filtro de pacote, Filtro de pacote baseado em estados e Proxy, de
modo a garantir a proteo dos proxies para os servios que exigem
alto grau de segurana e a segurana do filtro de pacotes, ou do
filtro de pacotes com base em estados, para os servios em que o
desempenho o mais importante. Assim, os servios mais bem
manipulados pelos filtros de pacotes, como o Telnet, utilizam o
filtro de pacotes, enquanto os servios que necessitam de filtragem
no nvel de aplicao, como o FTP, utilizam o proxy. Atualmente, a
maioria dos firewalls comerciais hbrida, aproveitando as
melhores caractersticas para cada um dos servios especficos.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- PROXIES ADAPTATIVOS
o proxy adaptativo (adaptative proxy) utiliza mecanismos
de segurana em srie, o que traz benefcios para o nvel de
segurana da rede da organizao. O firewall hbrido utiliza os
mecanismos de segurana paralelamente, o que no representa
aumento no nvel de segurana, apenas uma maior flexibilidade
na utilizao de filtros de pacotes, filtros de pacotes baseado em
estados e proxies para servios especficos. A diferena entre o
firewall hbrido e o proxy adaptativo est na forma de usar
diferentes tecnologias simultaneamente.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
A arquitetura de proxy adaptativo tem duas caractersticas que no
so encontradas em outros tipos de firewall:
- Monitoramento bidirecional e mecanismo de controle entre o
proxy adaptativo e o filtro de pacotes baseado em estados.
- Controle dos pacotes que passam pelo proxy adaptativo, com a
habilidade de dividir o processamento do controle e dos dados
entre a camada de aplicao (application-level gateway)e a camada
de rede (filtro de pacotes e filtro de pacotes baseado em estados).

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
Com o uso dessas duas caractersticas, o proxy adaptativo direciona
o controle dos pacotes de acordo com as regras por ele definidas.
Caso seja determinado que os pacotes necessitam de maior
segurana, esse fluxo de pacotes direcionado para o proxy de
aplicao (application-level gateway), que realiza um controle no
nvel de aplicao. Caso determinados pacotes precisem de maior
desempenho, o proxy adaptativo direciona esse fluxo para os
filtros de pacotes e de estados.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- FIREWALLS REATIVOS
Os firewalls reativos incluem funes de deteco de intruso e
alarmes, de modo que a segurana mais ativa que passiva. Com a
adio dessas funes, o firewall pode policiar acessos e servios,
alm de ser capaz de mudar a configurao de suas regras de
filtragem de modo dinmico, enviar mensagens aos usurios e
ativar alarmes. O lado negativo dessa caracterstica que o firewall
pode ser alvo de ataques de negao de servios (Denial-of-Service DoS). Os firewalls so, primariamente, designados para o controle
de conexes. Estes firewalls, que apresentam integrao com
sistemas de deteco de intruso (Intrusion Detection System, ou
IDS) e sistemas de respostas, so chamados de firewalls reativos.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
- FIREWALLS INDIVIDUAIS
Uma realidade que pode ser observada que, cada vez mais, as
organizaes precisam, alm do controle da rede, tambm do
controle dos hosts. O uso das tecnologias como o Peer-to-Peer (P2P)
e a rede privada virtual (VPN), combinadas com o acesso de banda
larga, mostram essa necessidade de maior segurana nos hosts.
Um problema que pode ser verificado na discusso dos aspectos de
segurana do cliente VPN que, com os usurios se tornando
remotos, um firewall atuando no limite da rede no ser mais
suficiente para garantir a segurana da empresa.

Firewall
- AS PRINCIPAIS TECNOLOGIAS DE FIREWALL
Um firewall individual, ou firewall pessoal, uma das alternativas
para a proteo das conexes de hosts individuais e a caracterstica
desse tipo de firewall que ele atua no na borda da rede da
organizao, mas no prprio equipamento do usurio.

Firewall
- REFERNCIAS:
1- FIREWALL:
https://www.netacad.com/
http://windows.microsoft.com/pt-br/
http://www.cert.br/
http://www.gta.ufrj.br/
http://www.tiespecialistas.com.br/
http://www.symantec.com/
http://techcenter.agilitynetworks.com.br/
Livro: Segurana de Redes em Ambientes Cooperativos
Autor: Emilio Tissato Nakamura e Paulo Lcio de Geus

* Diversos trechos dos textos destes slides foram baseados nos sites citados nas referencias.
As imagens foram retiradas dos sites relacionados.