Firewalls

Segurana de Sistemas
Guilherme Bertoni Machado
Faculdades SENAC Anlise e Desenvolvimento de Sistemas Gentilmente cedido pelo professor Hunder Everto Correa Junior

16 de novembro de 2009

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Firewall

Um sistema de Firewall pode ser denido como um dispositivo que combina software e hardware para segmentar e controlar o acesso entre redes de computadores distintas. Os sistemas de rewall so a primeira barreira contra os possveis atacantes de um sistema computacional ou rede de computadores, devido a seu histrico de utilizao e eccia no cumprimento de sua funo.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Firewall

Dispositivo de hardware ou software designado para controlar o trfego de entrada e sada em uma rede de computadores; Comumente utilizado para preveno de ataques; Protege grandes intervalos de endereos IP contra rastreamentos e ataques de uma maneira geral; Capaz de bloquear ataques s mquinas mesmo que estejam vulnerveis.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

O que um Firewall pode fazer?

Forar a poltica de segurana Registrar todo trfego Limitar riscos Um rewall um foco de decises informaes teis de usurios desavisados Proteger contra pessoas internas Proteger contra conexes que no passam por ele Proteger completamente contra novos caminhos

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Uso do Firewall

Um cenrio tpico de emprego proveitoso de um rewall representado pela situao de uma empresa cujas atividades envolvem tanto a disponibilidade de dados e servios a usurios externos atravs da Internet quanto o fornecimento de acesso controlado Internet e a outras redes remotas para os usurios de sua rede interna.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Uso do Firewall
A modalidade mais simples de rewall seria constituda de um computador dotado de duas interfaces de rede, uma delas conectada rede interna ou segura e outra conectada rede externa ou insegura.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Tipos de Firewall

Os tipos de sistemas de Firewall disponveis no mercado esto baseados nos requisitos de segurana que os mesmos atendem, funcionalidades e avanos tecnolgicos agregados. Embora em uso no mercado h bastante tempo, os rewalls esto sempre evoluindo.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Filtragem de pacotes

Uma implementao simples de rewall construda sobre um roteador capaz de examinar os parmetros presentes nos cabealhos dos pacotes que recebe e, baseado em regras preestabelecidas, decidir pelo encaminhamento desse pacote rede de destino, interna ou externa, ou pela eliminao do pacote. As regras observadas por um roteador de ltragem de pacotes baseiam-se em informaes que podem ser obtidas a partir dos cabealhos dos pacotes recebidos.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Filtro de Pacotes

Conhecidos por Static packet ltering, devido utilizao de regras estatcas para ltragem de pacotes, so o tipo de rewall mais simples, sendo fcil e barato de serem implementados. A anlise feita est baseada nas camadas de redes e de transporte da pilha TCP/IP, portanto as informaes vericadas so o endereo de origem, o endereo de destino e o servio requerido (porta de origem e porta de destino), que constam dos cabealhos dos pacotes que transmitem pelo rewall.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Static packet ltering

Essas informaes normalmente incluem:

Endereo IP de origem Endereo IP de destino Porta TCP ou UDP de origem Porta TCP ou UDP de destino Tipo de mensagem ICMP Informaes sobre o protocolo de camada superior

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Static packet ltering

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Static packet ltering

Aes tomadas depois de um pacote ser vericado

Encaminhar o pacote para o destino (Accept, Allow) Eliminar o pacote (Drop, Deny) Rejeitar o pacote, enviando um erro para o emissor do pacote (Reject) Registrar os dados do pacote (Log)

Normalmente este tipo de rewall possui um melhor desempenho em relao aos outros tipos existentes, justamente pela anlise simples, fcil e rpida, fato que contribui para que estes fossem incorporados a alguns roteadores.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Vantagens

As vantagens deste tipo de rewall so:

Simples e exvel; Baixo custo; Desempenho melhor se comparado a outros tipos de rewall; bom para gerenciamento de trfego; transparente para o usurio; As regras utilizadas so simples de serem criadas.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Desvantagens

No possui autenticao de usurios; Impossibilidade de bloqueio de ataques que exploram servios das camadas superiores (acima da camada de transporte) da pilha TCP/IP; Permite conexo direta entre hosts internos e externos; Diculdade em ltrar servios que utilizam portas dinmicas como a RPC.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Stateful packet lter

Filtros de Pacotes Baseados em Estados (stateful packet lter)

So uma evoluo dos ltros de pacotes, pois, associados tabela de regras, eles possuem uma tabela de estados, auxiliando na tomada de decises de ltragem (que so baseadas em informaes dos pacotes de dados e da tabela de estados). So conhecidos tambm por dynamic packet lter.

A grande diferena entre o ltro de pacotes e o ltro de pacotes baseado em estados reside no fato de que agora as conexes so monitoradas a todo instante, signicando que os pacotes s podem passar pelo rewall se zerem parte de uma sesso registrada na tabela de estados, caso contrrio, o pacote descartado.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Stateful packet lter

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Stateful packet lter

Como o rewall consegue monitorar as conexes, ele submete apenas o pacote SYN, pacote para inicio de conexo TCP, s regras de ltragem,e caso o pacote seja aceito, permite que os pacotes seguintes sejam vericados atravs da tabela de estados. Os pacotes UDP no utilizam o conceito de conexo, portanto o ltro de pacotes baseado em estados armazena informaes de contexto para que se possa manter uma conexo virtual, podendo assim vericar quais pacotes fazem parte da mesma.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Proxy Services
Proxy = Procurador Funcionam em nvel de aplicao
Aplication Level Gateways HTTP FTP

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Proxy Services

De forma a no permitir conexes diretas entre um host cliente e um servidor externo, os proxies fazem a intermediao entre eles, onde o cliente se conecta a uma porta TCP no rewall e este abre uma conexo com o servidor externo. Este tipo de rewall trabalha nas camadas de sesso ou transporte, que o caso dos chamados circuit level gateway, ou na camada de aplicao, que so conhecidos como application level gateway.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Funcionamento do Proxy

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Proxy Services

As principais vantagens dos proxies:

No permisso de conexes diretas entre servidores externos e host internos; Capacidade de manter logs detalhados sobre o trfego e atividades especcas; Possibilidade de autenticao de usurios;

Com relao as desvantagens:

No tratamento de pacotes ICMP; Maior lentido em relao aos rewalls de ltro de pacotes.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Endereos externamente visveis

so endereos vlidos na Internet NO podem ser utilizados sem que sejam devidamente reservados (Registro.br)

Endereos de uso interno

so endereos invlidos na Internet RFC1918 (http://www.faqs.org/rfcs/rfc1918.html)

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Operao
altera dados do pacote
normalmente endereo e porta de origem em alguns casos endereo e porta de destino (Destination NAT)

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Vantagens
ajuda a reforar o controle do rewall
os endereos internos no funcionam na rede externa, assim, qualquer conexo de dentro para fora depende de auxlio do rewall somente pacotes relativos s conexes iniciadas internamente conseguem vir da rede externa

oculta a estrutura (congurao) da rede interna

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Sem uso do NAT

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Usando NAT

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Network Address Translation (NAT)

Desvantagens
o NAT altera dados do pacote, isso pode interferir em alguns protocolos, pode dicultar o registro (log) de atividades e pode ainda interferir na ltragem de pacotes maior carga no equipamento

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Firewalls Hbridos

Os Firewalls Hbridos fazem uso das tecnologias de rewalls de ltro de pacotes, ltro de pacotes com base em estados e proxies em conjunto, fornecendo maior proteo e melhor desempenho. Este tipo de rewall capaz de alternar entre os tipos de vericao disponveis, de forma a prover uma vericao no nvel da aplicao (como o caso do FTP) atravs da utilizao de proxy, ou para prover uma vericao mais rpida, mas no menos eciente, para servios mais simples como o Telnet.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Firewalls Reativos
Contando com outras tecnologias, tais como deteco de intruso e disparo de alarmes, os rewalls reativos so uma evoluo dos rewalls convencionais, pois agregam tecnologia de outros dispositivos, como a dos sistemas de deteco de intruso e sistemas de alarmes. A grande vantagem destes dispositivos reside na capacidade de mudar as prprias conguraes de forma dinmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudana. Apesar de conseguir identicar e corrigir uma maior quantidade de problemas de segurana, o rewall reativo incorpora as desvantagens das outras tecnologias que passou a utilizar, como por exemplo, certa vulnerabilidade a de ataques de DoS.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Firewalls Pessoais
Diferentemente dos tipos de rewall descritos anteriormente, os rewalls pessoais ou individuais no protegem um segmento de rede, mas sim o equipamento onde eles esto instalados, ou seja, provm proteo individual. Normalmente estes tipos de rewalls so utilizados para proteger hosts que no fazem parte de uma rede especca, mas que utilizam um canal de comunicao como para a internet para acess-la. A grande vantagem destes dispositivos reside na capacidade de mudar as prprias conguraes de forma dinmica e permitir alertar o administrador do sistema sobre o que ocasionou tal mudana.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Arquiteturas de Firewall

So muitas as possibilidades de implementar um Firewall, com relao a sua disposio na rede e aos equipamentos que so protegidos, chamamos de arquitetura de Firewall. Conceitos Especcos:
DMZ: Ou zona Desmilitarizada, a rea que ca entre uma rede interna (rede a ser protgida) e a rede externa; Bastion Hosts: Os servidores disponveis nos bastion host so denominados de proxy servers; ou seja, servidores por procurao que atuam como intermedirios entre o cliente e o servidor.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Tipos de Arquiteturas

Dual-homed host: trata-se de um computador com duas interfaces de rede conectadas cada uma a segmentos diferentes de rede. Uma das caractersticas fundamentais dessa congurao que o roteamento direto (IP forwarding) desabilitado e, portanto, todo o roteamento realizado a nvel de aplicao. Neste caso, todos os servios segurados podem ser fornecidos via procurao (proxy servers) e somente o trfego referente aos servios habilitados via proxy e aqueles especicados pelas regras de ltragem circulam entre os dois segmentos de rede conectados ao bastion host.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Dual-homed host

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Tipos de Arquiteturas
Screened Host: Esta arquitetura utiliza, alm de um rewall do tipo ltro de pacotes, um bastion host que pode funcionar como um proxy, exigindo que os hosts internos acessem a rede externa atravs dele.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Tipos de Arquiteturas
Screened Subnet: Considerada a mais segura, utiliza uma DMZ que abriga o bastion host. O Bastion Host ca connado na DMZ que isolada por dois Firewalls.

Guilherme Bertoni Machado

Segurana de Sistemas

Firewalls

Bibliograa

Building Internet Firewalls, 2nd Edition

Elizabeth D. Zwicky, Simon Cooper e D. Brent Chapman OREILLY ISBN: 1-56592-871-7

Guilherme Bertoni Machado

Segurana de Sistemas