18/01/2011 Eudes Danilo Mendona eudesdanilo@gmail.com http://www.4shared.com/file/40014575/5e5292cb/Firewall.

html

ndice
1.
2.

Definio

Internet Protocol 3. Geraes dos Firewalls 4. Objetivos, Razes e Limitaes do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes e Regras de Portas 7. NAT 8. DMZ 9. Intruso (IDS e IPS) 10. Monitorao

Definio

Definio
o nome dado ao dispositivo de uma rede de

computadores que tem por funo regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de dados nocivos ou no autorizados de uma rede a outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicaes, comumente associados a redes TCP/IP. Elo de ligao de um permetro protegido (conjunto de redes e mquinas) a uma rede insegura (Internet).

Definio (cont)
Existe na forma de software e hardware, ou na

combinao de ambos. A complexidade de instalao depende do tamanho da rede, do volume de regras que autorizam o fluxo de entrada e sada de informaes e do grau de segurana desejado.

Quando surgiu ?
Os sistemas firewall nasceram no final dos anos 80,

mais em especial em 1988, quando administradores de rede identificaram o que parecia ser uma evoluo natural dos vrus de computador Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas autnomos da Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro apago na rede.

De onde veio esse nome?

Vem do ingls e faz aluso comparativa da funo

que este desempenha para evitar o alastramento de dados nocivos dentro de uma rede de computadores, na traduo parede corta-fogo.

Firewall versus Ataques

Internet
Rede confivel

Um firewall pode evitar que acessos indevidos sejam feitos a uma rede a partir de outra rede, mas no impede que usurios internos da rede ataquem seus recursos

O que um firewall pode fazer?

Um Firewall pode administrar a poltica de segurana para usurios da rede: - Define quem ou o que pode cruzar as fronteiras entre redes; - Define uma maneira padro de identificao de usurios. Um Firewall pode manter logs: - Logs de passagem; - Logs de ataques; - Alertar o administrador.

Infra-estrutura de Comunicao
PROVEDOR

Servidor Web

INTERNET BACKBONES

PROVEDOR

clientes

PROVEDOR

Informao e Dados Disponibilizados

clientes

ndice
1.

Definio

2. Internet Protocol
Geraes dos Firewalls 4. Objetivos, Razes e Limitaes do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes 7. NAT 8. DMZ 9. Monitorao 10. Intruso
3.

Internet Protocol

Internet Protocol
considerado o protocolo de rede mais usado pelas empresas, governos e Internet. Suporta muitas aplicaes pessoais, tcnicas e de negcio, desde o email e processamento de dados at transferncia de som e imagem. O IP permite enderear, routear e controlar funes de transmisso e de recepo de datagramas sobre uma rede.

Internet Protocol
Cada datagrama inclui o seu endereo de origem e de destino, informao de controlo e algum dado passado de ou para o host. A informao do endereo usada para determinar o melhor caminho que o pacote pode tomar, para chegar ao seu destino. No entanto, o IP no possui nenhum dado de controle do caminho.

Como trabalho o endereamento no IP

Existe um mecanismo no IP que permite aos hosts e gateways de fazer o routeamento de um datagrama atravs de uma rede. Quando o IP recebe um datagrama, verifica o cabealho, que faz parte de qualquer datagrama pesquisando pelo nmero da rede destino e pela tabela de routeamento. Todos os datagramas com endereos locais, so directamente entregues pelo IP, e os externos so re-enviados ao prximo destino baseado na informao da tabela de routeamento.

Como trabalho o endereamento no IP

O IP tambm monitoriza o tamanho do

datagrama que recebe do host. Se exceder o tamanho permitido pela rede fsica, o IP parte o datagrama em fragamentos mais pequenos, de acordo com a capacidade da rede. Ao chegar ao destino, os datagramas so reasemblados e entregues ao destinatrio.

Como trabalho o endereamento no IP

As ligaes IP so controladas pelos endereos IP. Cada endereo IP um endereo nico na rede que identifica um n na rede, o qual inclui redes protegidas (LANs, WANs e Intranets) bem como desprotegidas tais como a Internet. Os endereos IP so usados para routear os pacotes atravs das redes. O Internet Protocol as bases do TCP/IP, um conjunto de protocolos criados especialmente para ligar computadores diferentes entre si.

Flags TCP
RES: Reservado (2 bits) URG: Urgent Point

ACK: Acknowlegment
0 4 8 12

PSH: Push Request RST: Reset Connection SYN: Synchronize Seqence Number FIN: Mais dados do transmissor
16 20 24 28 31

Byte 1 Porta de origem

Byte 2

Byte 3

Byte 4 Porta de destino

Nmero de Seqncia Nmero de Confirmao HLEN Reservado BITS DE CDIGO Janela de Recepo Ponteiro de Urgncia Opes Dados ..
Segurana de Redes de Computadores 18

Checksum

ndice
1. 2. 4.

Definio Internet Protocol

3. Geraes dos Firewalls

Objetivos, Razes e Limitaes do Firewall 5. Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes 7. NAT 8. DMZ 9. IDS 10. Monitorao

Geraes de Firewalls
1a.Gerao (Filtros de Pacotes)
2a.Gerao (Filtros de Estado de Sesso) 3a.Gerao (Gateway de Aplicao - OSI) 4a.Gerao e subsequentes

Filtros de Pacotes
Estes sistemas analisam individualmente os pacotes

medida em que estes so transmitidos, verificando o acoplamento entre a camada de enlace (camada 2 do modelo ISO/OSI) com a camada de rede (camada 3 do modelo ISO/OSI). As regras podem ser formadas indicando os endereos de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexo. A principal desvantagem desse tipo de tecnologia para a segurana reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing).

Filtragem de Pacotes
Aplicati vo
Aplicao

Aplicati vo
Aplicao

Aplicao

TCP IP

UDP

Sistema operacional

FIREWALL PESSOAL Enlace Fsica FIREWALL DE REDE

22

Placa de rede

Programa externo

1a.Gerao (Filtros de Pacotes ou Packet-Filtering Router)

A tecnologia foi disseminada em 1988 atravs de

pesquisa sustentadada pela DEC (Digital Equipment Corporation) O modelo tratava-se de um filtro de pacotes responsvel pela avaliao de pacotes do conjunto de protocolos TCP/IP Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito;

Regras do Modelo
Restringir trfego atravs de endereo IP de

origem ou destino; Restringir trfego atravs da porta (TCP ou UDP) do servio; Obs - At hoje este tipo de tecnologia adotada equipamentos de rede para configuraes de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains tambm exemplo de um firewall desta gerao

Regras do Modelo
Regras que vo filtrar pacotes IP e os que no estejam de

acordo com as regras so eliminados: Endereos IP (de origem e/ou destino) Portas de transporte (origem e/ou destino) Sentidos de criao de circuitos virtuais Cabealho ICMP Dimenso dos datagramas; As regras baseiam-se em campos includos nos cabealhos dos pacotes IP, TCP e UDP, como por exemplo o IP Address, o IP Protocol field (que define o protocolo de transporte) e os nmeros das portas do TCP ou UDP (que definem a aplicao destino).

Routers com filtragem de Pacotes (Packet-Filtering Router)

Routers com filtragem de Pacotes (Packet-Filtering Router)

Possveis Vulnerabilidades:
Apesar do principal protocolo de transporte TCP

orientar-se a um estado de conexes, o filtro de pacotes no tinha este objetivo inicialmente No realizando nenhum tipo de decodificao do protocolo ou anlise criteriosa na camada de aplicao O packet filter no se encarrega de examinar nenhum protocolo de nvel superior ao nvel de transporte, como por exemplo, o nvel de aplicao que fica como tarefa dos application gateways (proxy servers). Portanto, qualquer falha de segurana ao nvel de aplicao no pode ser evitada utilizando somente um packet filter.

Firewall - Viso tradicional

Somente os cabealhos dos pacotes so

inspecionados
TCP Header: Sequence Number Source Port, Destination Port, Checksum

Camada de aplio tratada como uma caixa preta

IP Header: Source Address, Dest. Address, TTL, Checksum Application Layer Content: ????????????????????????????? ?? ????????????????????????????? ?? ????????????????????????????? ??

Pacotes encaminhados com base nos nmeros das portas

Trfego seguro ou um ataque na camada de aplicao usam as mesmas portas
Trfego HTTP esperado Trfego HTTP inesperado Ataques ao WEB Server Trfego Non-HTTP

Internet

Trfego de entrada

Web Server

Filtro de Pacotes
ao permite origem * porta * destino * porta 25 comentrio SMTP port

Interface de configurao simples Eficincia na monitorao de portas

Vulnerabilidade a IP Spoofing Dificuldade em criar regras abrangentes

Desvantagens ou aspectos delicados a ter em conta

As principais desvantagens deste tipo de tecnologia a

falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing para serem injectados na sesso. Setup e coerncia das regras (baixo nvel de abstraco) Granularidade dos critrios de autenticao e autorizao Defesa contra certo tipo de ataques e possibilidades de se tomarem medidas: IP spoofing na origem Source Routing Trfego permitido pode no ser o que se pensa Um segmento TCP que passou para porta 80 mesmo trfego WEB ? Tiny Fragment Attacks / DoS e DDoS

IP Spoofing
O IP Spoofing um ataque que pode ser evitado com a

aplicao do recurso exposto acima. Neste ataque, o intruso tenta passar por um host interno (um host considerado confivel) utilizando o endereo IP deste como o endereo fonte. Se a filtragem realizada por interface em ambos os sentidos, este ataque no funciona porque um pacote nunca pode chegar do mundo externo (Internet) tendo como endereo fonte o endereo de uma mquina que est na rede interna; ou seja, s poderia chegar quela interface no outro sentido. Este tipo de ataque est exemplificado na figura a seguir:

IP Spoofing

IP Spoofing
No contexto de redes de computadores, IP spoofing uma

tcnica de subverso de sistemas informticos que consiste em mascarar (spoof) pacotes IP com endereos remetentes falsificados. Devido s caractersticas do protocolo IP, o reencaminhamento de pacotes feito com base numa premissa muito simples: o pacote dever ir para o destinatrio (endereo-destino); no h verificao do remetente o router anterior pode ser outro, e ao nvel do IP, o pacote no tem qualquer ligao com outro pacote do mesmo remetente. Assim, torna-se trivial falsificar o endereo de origem, i.e., podem existir vrios computadores a enviar pacotes fazendo-se passar pelo mesmo endereo de origem, o que representa uma srie ameaa para os velhos protocolos baseados em autenticao pelo endereo IP.

IP Spoofing
Esta tcnica, utilizada com outras de mais alto nvel,

aproveita-se, sobretudo, da noo de confiabilidade que existe dentro das organizaes: supostamente no se deveria temer uma mquina de dentro da empresa, se ela da empresa. Por outro lado, um utilizador torna-se tambm confivel quando se sabe de antemo que estabeleceu uma ligao com determinado servio. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no momento do ataque.

IP Spoofing

Falsificao de um pacote: A cada pacote enviado estar geralmente associada uma resposta (do protocolo da camada superior) e essa ser enviada para a vtima, pelo o atacante que no pode ter conhecimento do resultado exacto das suas aces apenas uma previso.

IP Spoofing => Uso de IP falsa.

37

2a.Gerao (Filtros de Estado de Sesso)

A tecnologia foi disseminada a partir de estudo

desenvolvido no comeo dos anos 90 pelo Bell Labs; Pelo fato do principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexes, filtro de pacotes no eram suficientemente efetivos se no observassem estas caractersticas; Foram chamados tambm de Firewall de circuito.

Regras Tpicas na 2a.Gerao

Todas as regras da 1a.Gerao;
Restringir o trfego para incio de conexes Restringir o trfego de pacotes que no tenham

sido iniciados a partir da rede protegida (ESTABLISHED); Restringir o trfego de pacotes que no tenham nmero de sequncia corretos;

3a.Gerao (Gateway de Aplicao - OSI)

Baseado nos trabalhos de Gene Spafford, Marcos Ranum e Bill

Cheswick; Tambm so conhecidos como "Firewall de Aplicao" ou "Firewall Proxy; Foi nesta gerao que se lanou o primeiro produto comercial em 13 de Junho de 1991 -- o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na dcada de 90, como os firewalls Raptor, Gauntlet e Sidewinder, entre outros; Obs: No confundir com o conceito atual de Firewall de Aplicao -- firewalls de camada de Aplicao eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um nico dispositivo (o Proxy Firewall), ou seja, um sistema capaz de descodificar protocolos na camada de aplicao e interceptar a comunicao entre cliente/servidor para aplicar regras de comunicao

Gateway de Nvel de Aplicao (Application-Level Gateway) Proxy

Regras Tpicas na 3a.Gerao

Todas as regras das geraes anteriores;
Restringir acesso FTP a usurios annimos; Restringir acesso HTTP para portais de

entretenimento; Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S);

Gateway de Nvel de Aplicao (Application-Level Gateway) Proxy

Vantagens principais:
Geralmente uma soluo mais segura do

que um Packet-Filtering Router Melhor gesto de controlo de acessos Melhores caractersticas para monitorizao e auditoria de controlo de acessos

Gateway de Nvel de Aplicao (Application-Level Gateway) Proxy

Limitaes a ter em conta:
Mais complexos (nota: mais funcionalidade

pode originar vulnerabilidades) Mais processamento adicional: processamento ligao a ligao aplicao a aplicao) Eventuais problemas de carga e desempenho

Servidor Proxy/ Gateway de Aplicao

host externo

telnet ftp smtp http

host interno

Configurao exige menos combinaes Tende a ser mais segura Auditoria mais simples

Overhead intrnseco a cada conexo Funciona apenas para aplicaes conhecidas

Servidor Proxy/ Gateway de Aplicao

1 1024 8080 2 1025 1026 2* 80 3* 1024

1*
80

1024

1025

Proxy Socks X Proxy de Aplicao

O proxy de aplicao localiza o Servidor de Destino analisando as informaes do protocolo de aplicao.
Get http:www.pucpr.br Aplicao ProxyEnabled

1024

1080

Proxy de Aplicao

1024

80

Server

O cliente SOCKS inclui automaticamente informaes adicionais (durante a conexo TCP ou nos pacotes UDP), que so utilizadas pelo Proxy SOCKs para localizar o Servidor de Destino.
CONNECT: IP_Destino, Porta_Destino, UserID
Cliente Socks

1024

1080

Socks Proxy

1024

80

Server

Funcionamento de um Proxy de Aplicao

Servidor Proxy
servidor proxy: Dispositivo responsvel por intermediar a conexo entre

os hosts internos e o mundo externo. O servidor proxy (procurador) geralmente implementado atravs de um computador com duas interfaces de rede, uma conectada a rede interna e a outra a rede externa. Quando um cliente necessita acessar informaes de um servidor externo, ele efetua o pedido ao servidor proxy. O servidor proxy, por sua vez, contata o servidor externo e retorna o resultado ao cliente. Nesse procedimento, o nico computador da rede exposto ao mundo externo o servidor proxy.

INTRANET
IP FRIO

INTERNET

IP QUENTE

Servidor Proxy
servidor proxy: Dispositivo responsvel por intermediar a

conexo entre os hosts internos e o mundo externo.

COMPUTADORES INTERNOS NA EMPRESA

ACESSO AS REDES EXTERNAS

IP FRIO

IP QUENTE

INTRANET

INTERNET

Proxy

IPQ-E

IPQ-D

IPF-C

IPF-A

IP QUENTE

IP FRIO

IPQ-D

IPQ-E

dados

IPF-A

IPF-C

dados

PROXY
Rede No Protegida
IP quente

IPQ-D

IPQ-E

dados

Rede Interna
IP frio

servidor
3
IPQ-E

ROUTER
IPF-D

Internet

2 IPF-C IPQ-D IPF-B

1 IP quente IPF-A

IPF-A

IPF-C

dados

Proxy depende da Aplicao

Cada protocolo da camada de aplicao formada seu cabealho de maneira diferente.
Aplicaes Protolco de Aplicao HTTP, FTP, SMTP, etc
aplicao Seqncia de empacotamento

Endereo

DADOS

TCP, UDP

transporte

pacote

IP

Data Link Ethernet, Token Ring, FDDI, etc

Fsica
fsica

quadro

O Proxy Depende da Aplicao

Numa rede

conectada atravs de Proxy, os servios disponibilizados pelos usurios so limitados aos servios que o Proxy capaz de compreender.

PROXY FTP

PROXY HTTP PROXY SMTP

IP FRIO

IP QUENTE

INTRANET

INTERNET

Outras Funes do Proxy

Os proxys podem executar ainda as funes de:
autenticao cache filtragem de contedo

Banco de Dados

PROXY

4a.Gerao e subsequentes
Os firewalls de estado foram introduzidos

originalmente em 1991 pela empresa DEC com o produto SEAL, porm, no foi at 1994, com os israelenses da Checkpoint, que a tecnologia ganharia maturidade suficiente. O produto Firewall-1 utilizava a tecnologia patenteada chamada de Stateful inspection

4a.Gerao e subsequentes (cont)

Stateful Inspection para inspecionar pacotes e

trfego de dados baseado nas caractersticas de cada aplicao, nas informaes associadas a todas as camadas do modelo OSI (e no apenas na camada de rede ou de aplicao) e no estado das conexes e sesses ativas, ou seja, tem capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legtimas. Na verdade, o firewall guardava o estado de todas as ltimas transaes efetuadas e inspecionava o trfego para evitar pacotes ilegtimos

4a.Gerao e subsequentes (cont)

Deep Packet Inspection associando as funcionalidades

do Stateful Inspection com as tcnicas dos dispositivos IPS (Intrusion Prevention System) ; Deteco e Preveno de Intruso para fins de identificar o abuso do protocolo TCP/IP mesmo em conexes aparentemente legtimas; Obs: A partir do incio dos anos 2000, a tecnologia de Firewall foi aperfeioada para ser aplicada tambm em estaes de trabalho e computadores domsticos (o chamado Firewall Pessoal"), alm do surgimento de solues de firewall dedicado a servidores e aplicaes especficas (como servidores web e banco de dados);

Firewall Viso Tradicional

Cabealho e camada de aplicao so

inspecionados
IP Header: Source Address, Dest. Address, TTL, Checksum TCP Header: Sequence Number Source Port, Destination Port, Checksum Application Layer Content: GET www.contoso.com/partners/default.htm

Encaminhamento com base no contedo

Somente trfego HTTP legtimo enviado ao Web server
Trfego HTTP esperado Trfego HTTP inesperado Ataques ao Web Server Trfego Non-HTTP Trfego de entrada

Internet

Web Server

http://www.dominio.com/scripts/..%5c../winnt/system32/ cmd.exe?/c+dir+c:\

Firewall SPI
Source 212.56.32.49 Destination 65.26.42.17 Dest Port 80 Sequence 2821 IP Option none

A inspeo Stateful limitada apenas a Version | podem Source portas que Service | Total Length UDP Port ID | bloqueadas Flags | Fragment TTL | Protocol | IP Checksum Sem inspeoIPde Source Address Destination dados! Destination IP Address UDP Port
IP Options

INSPECT

Source Port 823747 Sequence 28474

Syn state
SYN

Firewall Tpico

Stateful Packet Inspection

Os pacotes passam sem inspeo de dados!

Traffic Path 60
60

Firewall UTM
UTM Signatures
ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Version Service Total Length Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MSID Flags Fragment SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS Protocol IP Checksum 25NNTP 2ORACLE TTL 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES Address Source IP 13SCAN 25SMTP 23SNMP 17TELNET Destination IP Address 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT

INSPECT INSPECT

Source UDP Port Destination UDP Port

| |

| |

IP Options

Stateful Packet Inspection

UTMFirewall
Security Prod.
Dynamic Management / Reporting

Reliable

UTM Inspection inspects all traffic moving through a device 98% more inspection

Firewall Traffic Path 61

61

Solues Proxy Based

The more users and traffic added, the more threats come through without inspection

Inspection Stopped Inspecting

Network Use
max max

Proxy solutions with no scalability

Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address

Version | Service | Total Length ID | Flags | Fragment TTL | Protocol | IP Checksum Source IP Address Destination IP Address

Memory

Memory Full Scanning Stopped

min

min

# of Users

Traffic

Inspection possible Not inspected

62

Firewall UTM
UTM Platform Approach Real Time Scanning Engine

Inspecting
Real-time Scanning
max

Network Use
max

Protection for| Total Length ALL Version | Service Source Traffic ID | Flags | Fragment and ALL Users UDP Port
TTL Protocol | IP Checksum Source IP Address Destination IP Address IP Options

estination UDP Port

min

min

# of Users
Unified Threat Management Firewall

Traffic

Security Integration

Productivity Control

Network Resiliency

Inspection possible Not inspected

Dynamically Updated Management and Reporting

63
63

Filtrando a Camada de Aplicao

Ameaas modernas requerem inspeo aprofundada
Protege os ativos de rede de aes na camada de

aplicao: Nimda, Slammer... Proporciona a habilidade para definio de polticas de segurana, a nvel de aplicao, em um nvel maior de granularidade Melhor proteo para aplicaes Microsoft

Framework para filtragem de Aplicaes

Filtros nativos para protocolos comuns HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
Arquitetura extensvel por plug-ins

Publicao de um Servidor WEB - Tradicional

Todo o trfego usado na porta 80 enviado ao Web

Server Um Web server por endereo IP

http://www.contoso.com http://39.1.1.1 http://www.contoso.com/../cmd?.. http://www.contoso.com/%20%20 http://www.contoso.com/scripts/ http://www.contoso.com/partners/

Internet

Incoming Traffic

Web Server

Segurana de Contedo
Alm das informaes de portas, as informaes de contedo tambm

so utilizadas pelo Firewall. Normalmente, apenas os protocolos mais comuns so analisados.

HTTP: Permite Filtrar:

Mtodos de acesso (GET, POST), URLs ("*.sk"), etc TAGS em HTML com referncias a Applets em Java ou Objetos Active X. Dowload de certos tipos MIME. FTP: Permite Filtrar Comandos especficos (PUT, GET), Nomes de Arquivo Pode disparar antivirus para verificao de arquivos. SMTP: Permite criar regras de Filtragem baseadas Nos campos FROM e TO Tipo MIME Etc.

Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)

20185 443 2294 92175 BackOrifice 73415 19784 1126 1547 Netbus SunRPC AXFR Imap Pop Xterm NFS 51080 Snmp Telnet Rlogin 1048 4165 930 14005 WWW Mail Ftp Squid Echo 52504 9747

291525

67

Resumo das Geraes:

Filtro de pacotes: cabealhos dos pacotes; Filtro de estados: estados das conexes; Gateway de circuito: trfego passante (posicionado

inline); Gateway de aplicao: contedo total ou parcial dos pacotes.

Resumo das Geraes

Host Internet
Application TCP Transport IP Network Datalink Physical

Firewall
Application TCP Transport IP Network Datalink Physical

Rede Interna
Application

TCP Transport
IP Network Datalink Physical

Gateway de Aplicao
Circuit Gateway (relay) Packet Filter

ndice
1. 2.

3.
5.

Definio Internet Protocol Geraes dos Firewalls

4. Objetivos, Razes e Limitaes do Firewall

Algoritmo do Firewall e Portas TCP/IP 6. Filtro de pacotes 7. NAT 8. DMZ 9. Monitorao 10. Intruso

Objetivo

Objetivo
Superviso de toda a comunicao de entrada e sada Controle

do uso dos recursos protegidos por mquinas exteriores do uso da rede exterior pelas mquinas do permetro protegido contra ataques externos ao permetro protegido contra ataques iniciados no interior lanados para o exterior

Defesa

Objetivo
Os firewalls so sistemas que tm como objetivo

estabelecer regras e filtros de trfego entre duas redes. Os firewalls so utilizados como a primeira linha de defesa contra ameaas externas a uma rede. Por ser a primeira linha de defesa, os sistemas de firewall devem ser cuidadosamente instalados e geridos. No caso de firewalls instalados em servidores (normalmente Windows NT, 2k, 2k3 e Unix), o sistema operativo deve tambm ser cuidadosamente configurado para o nvel mximo de proteco.

Razes para utilizar um firewall

O firewall pode ser usado para ajudar a impedir que sua

rede ou seu computador seja acessado sem autorizao. Assim, possvel evitar que informaes sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ao de hackers; O firewall um grande aliado no combate a vrus e cavalos-de-tria, uma vez que capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou ento bloquear acesso a programas no autorizados; Em redes corporativas, possvel evitar que os usurios acessem servios ou sistemas indevidos, alm de ter o controle sobre as aes realizadas na rede, sendo possvel at mesmo descobrir quais usurios as efetuaram

O que um Firewall pode fazer?

Forar a poltica de segurana
Est no caminho de todo trfego de entrada e sada Controla o trfego que por ele passa Regista todo trfego Limitar riscos

Para que servem?

Proteger uma rede de ataques externos Reforar a Poltica de Segurana da empresa Controlar e restringir o acesso aos servios disponibilizados Registrar a comunicao entre as mquinas internas e externas Esconder mquinas internas Converter endereos IP Criptografar dados (criao de VPNs) Balancear a carga dos servidores Oferecer integrao com outros mecanismos de segurana (IDS, anti-

vrus, autenticao forte ...) Coletar informaes sobre os eventos relacionados segurana

O que um Firewall no pode fazer?

Proteger contra pessoas internas
Proteger contra ligaes que no passam por ele Proteger completamente contra novos caminhos

Para que NO servem?

Controlar comunicao entre mquinas da mesma sub-

rede Impedir ataques de pessoas internas Controlar trfego de informaes Por outros meios magnticos Por modem Por fax ou telefone ... Impedir ataques via acesso legtimo aos servios internos

Falhas que podem ocorrer com o firewall

Qualquer sistema, por mais seguro que seja, est sujeito a

falhas. As principais so:

Se um utilizador interno se ligar rede externa, criar uma porta de

acesso rede sem passar pelo firewall; Efetivo contra ataques externos, mas internamente no. A maioria dos incidentes causada por pessoal interno; Bugs, problemas de m configurao ou falha de equipamento, podem deixar o firewall suspenso por algum tempo; Colises da rede interna e externa podem evitar o acesso ao firewall por um instante. E justamente nesse instante um intruso poder invadir a rede interna.

Limitaes de Firewalls
So um dos mecanismos de segurana e no o

mecanismo de segurana. Note-se que um firewall totalmente ineficaz contra as ameaas internas ao permetro protegido Podem tambm constituir um ponto de degradao do desempenho da rede, uma vez que as suas funcionalidades so implementadas por software.

Implementao de sistemas de confiana

Porque/onde usar o Firewall

Hacker
Firewall Malicious email Viruses, worms

Internet

Intrusions
Inappropriate Use

www.sex.com www.free.com www.game.com

82

Aspectos de Segurana de Redes

S h uma rede imune a ataques externos: a que no tem conexo com o mundo exterior. Hoje em dia, com a rpida propagao das informaes pela Internet, pessoas, podem burlar a segurana de sistemas operacionais, atravs de ferramentas feitas por pessoas competentes, e geralmente sem boas intenes.

83
83

ndice
1. 2.

3.
4.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall

5. Algoritmo do Firewall e Portas TCP/IP

Filtro de pacotes 7. NAT 8. DMZ 9. IDS 10. Monitorao
6.

Algoritmo do Firewall e Portas TCP/IP

Algoritmo dos Firewalls sem Estado

Recebe pacote Seleciona Primeira Regra
S Encaminhar Pacote

OK para Passar?
N

Seleciona Proxima Regra

S OK para Bloquear N

Bloquear Pacote

ltima Regra?

Regra Default (Bloquear Tudo)

Distribuio das Portas

0 . 1023
PORTAS

Portas Bem conhecidas (well known

ports):

Geralmente usada pelos

1024

servidores de servios padronizados.

Portas Registradas

TCP ou UDP

.
49151 49152 . 65535

Geralmente usada por

servidores proprietrios.
Portas Dinmicas ou Privadas:

Usadas pelos clientes e pelos

servios no padronizados.

Distribuio das Portas (cont)

Portas Bem Conhecidas:
Definidas pela IANA (Internet Assigned Numbers

Authority) Acessveis apenas por processos de sistema (que tenham privilgios do tipo root). Desina servicos padronizados para Internet: FTP (21), HTTP (80), DNS (53), etc. Range: 0 a 1023 Geralmente, a porta mapeada a um servio em ambos os protocolos (TCP e UDP), mesmo que usualmente s seja utilizado um deles.

Distribuio das Portas (cont)

Portas Registradas:
Listada pela IANA (Internet Assigned Numbers

Authority) Servio oferecido para convenincia da comunidade Acessiveis por processos de usurio Usadas geralmente para designar servios proprietrios: Corba Management Agente (1050), Microsoft SQL Server (1433), Oracle Server (1525), etc. Range: 1024 a 49151.

Exemplos de portas bem conhecidas

portas bem conhecidas
FTP TELNET
Porta 49152 Dados armazenados

Porta 21 Porta 23

programa servidor de transferncia de arquivos programa servidor de terminal remoto programa servidor de correio eletrnico programa servidor de hipertexto e outros servios WWW programa servidor de notcias

SMTP

Porta 65535

Porta 25

HTTP Cliente NNTP

Porta 80 Porta 119

portas livres
IRC

Porta 194

programa servidor de servios chat

ndice
1. 2.

3.
4. 5. 7.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP

6. Filtro de Pacotes e Regras de Portas

NAT 8. DMZ 9. Intruso (IDS e IPS) 10. Monitorao

Regras de Portas

Componentes de um Firewall Packet Filtering ou Filtro de pacotes

O uso de filtragem de pacotes no router baseado nos campos do endereo IP:
Origem Destino TCP/UDP porta origem TCP/UDP porta destino

Para bloquear ligaes de ou para um servidor web especfico ou rede, a filtragem pode ser usada aplicada de vrias formas, incluindo o bloquear de ligaes a portas especficas.

Implementao Fsica
No software do Roteador: screening routers
No software de uma estao dedicada (um PC com duas placas de rede).
ROTEADOR

REDE INTERNA
FIREWALL PERSONAL FIREWALL

REDE EXTERNA

ROTEADOR

REDE INTERNA
FIREWALL

REDE EXTERNA
94

Rede de Permetro com Proxy

Hosts Internos Com IPs Privados Rede Interna

Servidor Proxy

Bastion Host

DMZ - Rede de Permetro Roteador Externo Internet

95

 Tipos de Firewall: Transparente

96

96
1

Autenticado

97
1

Packet por Roteador

98

Packet Filters(continuaao)

99

Packet Filters(continuaao)

100

Componentes de um Firewall Packet Filtering

Exemplo de uso de regras de filtragem:
Protocol Tcp Tcp Tcp Tcp udp * Source addr * * * 129.6.48.254 * * Dest addr 123.4.5.6 123.4.5.7 123.4.5.8 123.4.59 123.4.*.* * Source Port >1023 >1023 >1023 >1023 >1023 * Dest Port 23 25 25 119 123 * Action permit permit permit permit permit deny
101

Componentes de um Firewall Packet Filtering

A 1 regra, d permisso aos pacotes TCP de qualquer endereo origem e portas maiores que 1023 na Internet, de entrar para o endereo destino 123.4.5.6 e para a porta 23. (A porta 23 est associada ao server Telnet)
A 2 e 3 regras, trabalham de forma similar, excepto que s so permitidos os pacotes para

os endereos destino 123.4.5.7 e 123.4.5.8 e porta 25 para SMTP.

Componentes de um Firewall Packet Filtering

A 4 regra permite pacotes para o NNTP server (servidor

de news), mas apenas provenientes do endereo origem 129.6.48.254 para o endereo destino 123.4.5.9 e porta 119. A 5 regra permite o trfego que use UDP em vez de TCP, de qualquer endereo origem para qualquer endereo destino no site. A 6 regra nega todos os outros pacotes. Se esta regra no estiver presente, o router pode no negar todos os pacotes subsequentes.

Filtragem de Pacotes
A filtragem de pacotes feita com base nas informaes

contidas no cabealho do pacotes e das informaes sobre as portas.

PORTA PORTA PORTA PORTA PORTA

IP

IP

PORTA PORTA PORTA

IP
PORTA PORTA

IP
PORTA

PORTA

IP
PORTA
PACOTE

IP
PORTA

IPorigem

IPdestino

Portaorigem Portadestino

 REGRAS:

Firewalls

BLOQUEAR ENTRADA DE PACOTES SE DESTINO DIFERENTE DE

IPB e PORTA DIFERENTE DE 80 BLOQUEAR SAIDA DE PACOTES SE PORTA DE DESTINO DIFERENTE DE 80

>1024

IP A

IP C

80

80

Regra 1 2 3

IP Acao B
Permit Permit negar

Senti. Out in *

Prot. TCP TCP *

IP orig. IP A IP D *

IP IP D

>1024

dest. IP C IP B *

Port. Orig

Port Dest.

> 1023 80 > 1023 80 * *

Exemplo de Regras de Filtragem

regra ao interface/ sentido protocolo IP origem IP destino Porta origem Porta destino 1 aceita r rede interna/ para fora OUT rede externa/ para dentro IN * TCP interno externo > 1023 80

aceita r

TCP

externo

interno

>1023

80

rejeita r

Interpretao:

Hosts Internos podem acessar pginas web Hosts externos podem acessar servidores de web interno.

Direo

Exemplo
Ao permitir permitir permitir permitir negar Direo OUT IN IN OUT * Protocolo tcp tcp tcp tcp * IP Origem interno * * interno * IP Destino * interno interno * * Porta Origem > 1023 > 1023 > 1023 > 1023 * Porta Destino 23 23 80 80 *

Interpretao:

1 Host Internos (OUT dentro para fora) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Telnet (23). 2 Host Externos (IN fora para dentro) usando o procolo TCP podem acessar (permitir) qualquer servidor interno (*) do servio Telnet (23). 3 - Host Externos (IN) usando o procolo TCP podem acessar (permitir) o servidor interno Web (80) 4 Host Internos (OUT) usando o procotolo TCP podem acessar (permitir) qualquer servidor (*) Web (80). 5 Proibir (negar) tudo (*).

Seqncia de Criao de Regras

A seqncia na qual as regras so aplicadas pode alterar completamente o resultado da poltica de segurana. Por exemplo, as regras de

aceite ou negao incondicional devem ser sempre as ltimas regras da lista

O deslocamento de uma regra genrica para cima anula as demais.

Ao permitir permitir permitir permitir negar

Direo out In in out *

Protocolo tcp tcp tcp tcp *

IP Origem interno * * interno *

IP Destino * interno interno * *

Porta Origem > 1023 > 1023 > 1023 > 1023 *

Porta Destino 23 23 80 80 *

Exercicio 01:
Ao Direo Protocolo IP Origem IP Destino Porta Origem Porta Destino

Hosts Internos podem acessar servidores de telnet externos. Host Externos podem acessar servidores telnet Internos
Ao permitir permitir negar Direo OUT IN * Protocolo tcp tcp * IP Origem interno * * IP Destino * interno * Porta Origem > 1023 > 1023 * Porta Destino 23 23 *

TUDO QUE NO PERMITIDO PROIBIDO

110

Exerccio 02
- Hosts Internos podem acessar servidores de telnet externos e hosts externos acessar meu servidor interno 10.10.10.10. Hosts externos podem acessar meu servidor 200.145.22.33 de News
Ao Permit Permit Permiti negar Direo out In in * Protocolo Tcp TCP Tcp * IP Origem Interno * * * IP Destino * 10.10.10.10 200.145.22.33 * Porta Origem >1023 >1023 > 1023 * Porta Destino 23 23 119 *

111

Exerccio 03
- Hosts Internos podem acessar servidores de telnet internos (10.10.10.10) e hosts externos podem acessar meu servidor de telnet (10.10.10.10). Hosts externos podem acessar servidores de web internos (10.10.10.9) e os hosts internos podem acessar servidores externos. Ao Direo Protocolo IP Origem IP Destino Porta Origem Porta Destino
Permitir permitir permitir negar in in out * Tcp tcp tcp * * * interno * 10.10.10.10 10.10.10.9 * * >1023 > 1023 > 1023 * 23 80 80 *

112

Exerccio 04: Criar Regra rede interna e Servidor Telnet

>1023
>1023
200.17.98.?

1
INTERNET

23 200.234.56.7

Rede Interna
Ao permitir negar
Dir OUT * Protocolo tcp * IP Origem 200.17.98.0/24 * IP Destino 200.234.56.7
Porta Origem Porta Destino

23

> 1023
*

Servidor
Ao permitir negar Dir IN * Protocolo tcp * IP Origem 200.17.98.0/24 * IP Destino 200.234.56.7 *
Porta Porta Destino Origem

23 *

> 1023

*
113

Exerccio 05

- O servidor de ssh (10.20.2.4) s poder ser acessado pelos clientes internos da rede; - Devido a um problema de vrus a toda a classe B da rede que tem o host 200.242.4.5 ser proibida de fazer qualquer solicitao. - O Cliente 10.20.2.70 pode acessar o servios de banco de dados postgres (TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8. Hosts externos podem acessar servidores de web cujo IP 200.3.4.6 e o servidor de email que responde pelo endereo 200.3.4.5 (externamente) e 10.20.2.1 (internamente) e os hosts internos podem acessar servidores web externos. Apenas a mquina 10.20.2.50 no pode acessar nenhum servio da internet.
Ao Negar negar Direo in out In in out * Protocolo * * tcp tcp tcp * IP Origem 200.242.0.0/16 10.10.2.50 * * 10.20.2.0/24 * IP Destino * * 200.3.4.6 200.3.4.5 * * Porta Origem >1023 >1023 > 1023 > 1023 >1023 * Porta Destino * * 80 25/110 80 *
114

permitir permitir permitir negar

Exerccio06:
Servidor Web, FTP e Email

PROVEDOR

INTERNET BACKBONES

PROVEDOR

Firewall 01

Firewall 02

200.1.2.3

200.7.8.9

Firewall 03 Servidor Oracle 1521 200.4.5.6

PROVEDOR

Servidor Postgres 5432

Sabendo que cada rede possue uma classe C, faa as seguintes regras: 1 Os servios de Web e FTP da matriz podero ser acessado por qualquer mquina na internet, entretanto o servio de Email s poder ser acessado pelas duas filiais; 2 Os bancos de dados ficam restrito s para acesso interno da empresa, ou seja, sua respectiva rede interna, matriz e filias; 3 As 3 redes podem acessar quaisquer servicos pginas Web e SSH externos.

Firewall 01

Ao Permitir Permitir Permitir Permitir Permitir negar

Dir out In in out out *

Protocolo tcp Tcp Tcp Tcp

IP Origem 200.1.2.0/24 * 200.4.5.0 /24 200.7.8.0/24 200.1.2.0/24 200.1.2.0/24 *

IP Destino * 200.1.2.3 200.1.2.3 200.4.5.6 200.7.8.9

Port Origem > 1023 > 1023 > 1023 > 1023 >1023 *

Porta Destino 80/22/53 80/21/20 110/25 1521 5432 *

Tcp
*

Firewall 02

Ao Permitir Permitir

Dir out in out out

Protocolo tcp tcp tcp tcp *

IP Origem 200.7.8.0/24 200.1.2.0/24 200.4.5.0/24 200.7.8.0/24 200.7.8.0/24

IP Destino * 200.7.8.9 200.4.5.6 200.1.2.3

Porta Origem > 1023 > 1023 > 1023 > 1023 *

Porta Destino 80/22/53 5432 1521 20/21/25/110 *

Permitir
Permitir negar Firewall 03

Ao Permitir Permitir Permitir Permitir negar

Dir out in out out *

Protocolo tcp tcp tcp tcp *

IP Origem 200.4.5.0/24 200.1.2.0/24 200.7.8.0/24 200.4.5.0/24 200.4.5.0/24

IP Destino * 200.54.5.6 200.7.8.9 200.1.2.3

Porta Origem > 1023 > 1023 > 1023 > 1023 *

Porta Destino 80/22/53 1521 5432 20/21/25/110 *

116

1 Qualquer mquina da internet pode acessar o servidor Web da empresa. O Servidor de SSH (10.1.2.2) que tambm encontra-se na filial 3, s pode ser acessado pela sua prpria rede interna, matriz e demais filiais; 2 Na filial 2 existe um enlace de rdio com o almoxarifado, onde o mesmo precisa acessar a parte de impresso TCP/IP (TCP 515); 3 Na Matriz existe 2 mquinas 10.3.4.54 e 10.3.4.55 apenas (s esse) poder acessar o servidor de FTP da Filial 1; 4 O Servidor de Email s poder ser acessado pela matriz e por uma mquina que encontra-se no almoxarifado cujo IP 10.6.7.67 5 A matriz e a filia 3 dessa empresa podem acessar os servidores de News cujos endereo so 200.5.6.7 e 200.9.8.7; 6 Em cada rede possui uma mquina com final host 44 o qual responsvel em fazer terminal service (TCP 3389) em sua prpria rede e em qualquer servidor ou estao de trabalho da matriz ou filial; 7 O servidor de aplicao Oracle e de uso restrito da empresa; 8 O servidor de pgina faz replicao dos dados para o servidor 10.1.2.2 10 As estaes podem acessar pginas Web na porta 80 normalmente, mais no podem acessar nas portas 8080; 11 O notebook (10.3.4.20), nica mquina alm da rede interna da filial 3 a acessar o servidor de impresso.

Firewall 01 Matriz Protocol o Tcp Tcp tcp Tcp Tcp Tcp Tcp Tcp Tcp Tcp *

Ao Permitir Negar Permitir Permitir Permitir permitir Permitir Permitir permitir perm negar

Dir Out Out Out Out Out In Out In Out out *

IP Origem 10.3.4.54/32 10.3.4.55/32 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.3.4.0/24 10.3.4.0/24 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.3.4.44/32 10.9.8.0/24 10.6.70/24 10.1.2.0/24 10.3.4.0/24 10.3.4.20 *

IP Destino 10.9.8.11 * 10.1.2.2 10.9.8.7 200.5.6.7 200.7.8.9 10.3.4.0/24 10.9.8.0/24 10.6.70/24 10.1.2.0/24 10.3.4.5 * 10.6.7.2 *

Port Origem Porta Destino > 1023 20/21 > 1023 * > 1023 22 > 1023 25/110 >1023 119 >1023 >1023 > 1023 > 1023 >1023 * 3389 3389 1521 80 515 *

Firewall 02 Filial 01 Protocol o tcp tcp tcp Tcp tcp tcp Tcp *

Ao Permitir Permitir Permitir permitir Permitir Permitir permitir negar

Dir Out In in In Out Out out *

IP Origem 10.9.8.0/24 10.3.4.54/32 10.3.4.55/32 10.3.4.0/24 10.6.7.67 10.3.4.44/32 10.6.7.44/32 10.1.2.44/32 10.9.8.44/32 10.9.8.0/24 10.9.8.0/24 *

IP Destino 10.1.2.2 10.9.8.11 10.9.8.7 10.9.8.0/24 10.1.2.0/24 10.6.7.0/24 10.1.2.0/24 10.3.4.5 * *

Porta Origem Porta Destino > 1023 22 > 1023 20/21 > 1023 25/110 >1023 >1023 > 1023 > 1023 * 3389 3389 1521 80 118 *

Firewall 03 Filial 2 Protocol o tcp Tcp Tcp Tcp Tcp Tcp tcp Tcp tcp *

Ao Permitir Permitir Permitir Permitir permitir Permitir Permitir permitir Permitir negar

Dir Out Out in Out In Out Out Out In *

IP Origem 10.6.7.0/24 10.6.7.67 200.4.5.0 /24 200.7.8.0/24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.1.2.44/32 10.6.7.44/32 10.6.7.0/24 10.6.7.0/24 10.3.4.20 *

IP Destino * 10.9.8.7 200.1.2.3 200.5.6.7 200.7.8.9 10.6.7.0/24 10.1.2.0/24 10.9.8.0/24 10.1.2.0/24 10.3.4.5 * 10.6.7.2 *

Port Origem Porta Destino > 1023 22 > 1023 25/110 > 1023 110/25 >1023 119 >1023 >1023 > 1023 > 1023 >1023 * 3389 3389 1521 80 515 *

Firewall 04 Filial 3 Protocol o tcp tcp Tcp tcp tcp Tcp *

Ao Permitir Permitir permitir Permitir Permitir permitir negar

Dir in in In Out Out out *

IP Origem * 10.3.4.0/24 10.9.8.0 /24 10.6.7.0/24 10.3.4.44/32 10.9.8.44/32 10.6.7.44/32 10.1.2.44/32 10.1.2.0/24 10.1.2.0/24 *

IP Destino 10.1.2.1 10.1.2.2 10.1.2.0/24 10.9.8.0/24 10.6.7.0/24 10.1.2.0/24 10.3.4.5 * *

Porta Origem Porta Destino > 1023 80 > 1023 >1023 >1023 > 1023 > 1023 * 22 3389 3389 1521 80 *

Firewall Linux Scripts Iptables

120

 O iptables um firewall em nvel de pacotes e funciona baseado no

O que IPTABLES ?

endereo/porta de origem/destino do pacote, prioridade, etc. Ele funciona atravs da comparao de regras para saber se um pacote tem ou no permisso para passar. Em firewalls mais restritivos, o pacote bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que est acontecendo em seu sistema. rede, fazer NAT (masquerading, source nat, destination nat), redirecionamento de pacotes, marcao de pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema, contagem de bytes, dividir trfego entre mquinas, criar protees anti-spoofing, contra syn flood, DoS, etc. O trfego vindo de mquinas desconhecidas da rede pode tambm ser bloqueado/registrado atravs do uso de simples regras. As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imaginao, pois ele garante uma grande flexibilidade na manipulao das regras de acesso ao sistema, precisando apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem acesso garantido, quais servios devem estar acessveis para cada rede, e iniciar a construo de seu firewall.

Ele tambm pode ser usado para modificar e monitorar o trfego da

Quando Surgiu ?
No kernel do Linux 2.4, foi introduzido o firewall iptables

(tambm chamado de netfilter) que substitui o ipchains dos kernels da srie 2.2. Este novo firewall tem como vantagem ser muito estvel (assim como o ipchains e ipfwadm), confivel, permitir muita flexibilidade na programao de regras pelo administrador do sistema, mais opes disponveis ao administrador para controle de trfego, controle independente do trfego da rede local/entre redes/interfaces devido a nova organizao das etapas de roteamento de pacotes.

 Chains Atravs delas podemos especificar a situao do tratamento dos pacotes.

INPUT

Pacotes cujo destino final a prpria mquina firewall. Pacotes que saem da mquina firewall. Pacote que atravessa a mquina firewall, cujo destino outra mquina. 125

OUTPUT FORWARD

125
1

 Estrutura: O Iptables trabalha atravs de Tabelas, Chains e Regras.

127

127
1

 Filtrando pacotes com o Iptables A filtragem ocorre na comparao entre os dados do cabealho do pacote analisado e as regras predefinidas.

Iptables [-t tabela] - [comando] [situao (chain)] regra [alvo]

Exemplo: Bloquear site iptables -t filter -A FORWARD -d www.playboy.com -j DROP

128

128
1

 Regras

As regras de firewall so elementos que servem para especificar o que fazer com os pacotes.

-t -p

Prefixo que define a tabela da qual a regra ser associada. Prefixo que define o tipo de protocolo do pacote.

-s
-d -j

Prefixo que define o endereo IP de origem. Prefixo que define o endereo IP de destino. Prefixo que define o tipo de ao a ser tomada.

129

129
1

Sintaxe
iptables ( comando ) ( parmetro ) ( extenses )
Ex: iptables A INPUT -p TCP s 192.168.7.106 j DROP

Adicionando regras ( A)
iptables -t filter -A INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -A FORWARD -s 10.0.0.1 -j DROP

Deletar regras ( D)
iptables -t filter -D INPUT/OUTPUT/FORWARD -d IP -j DROP/ACCEPT Ex: iptables -D FORWARD -s 10.0.0.1 -j DROP

Listar ( L)
Ex: iptables L

Limpar regras - Flush ( F)

Ex: iptables F ...

Sintaxe
Comandos bsicos do iptables: -A - Permite atualizar regras j existentes na estrutura do firewall e acrescenta uma regra s existncias no sistema. -I - Insere nova regra dentro das existentes do firewall. -D - Exclui uma regra especfica no firewall. -P - Comando que define regra padro do firewall. -L - Comando para listar todas as regras existentes no firewall. -F - Este aqui zera todas as regras do firewall, podemos chamar de flush. -h - Ajuda do comando. -R - Substitui uma regra do firewall. -C - Verifica as regras bsicas do firewall. -N - Cria uma nova regra com um nome especfico. -X - Exclui uma regra por seu nome.

Sintaxe
Parmetros padro no iptables:
-p (protocolo) - define qual protocolo TCP/IP. (TCP,UDP e ICMP).

-s (origem) -d (destino) - define qual o endereo de origem -S e destino -

D esse comando tem dois argumentos endereo/mscara e porta. -i (interface) - define o nome da interface da rede onde trafegaro os pacotes de entrada e sada do firewall. Utilizado em mascaramento com NAT -j (ir para) - redireciona uma ao desde que as regras sejam similares. -f (fragmentos) - trata datagramas fragmentados.

IP FORWARD
Consideraes iniciais

O IP FORWARD um tipo de roteamento. estabelecido quando colocamos uma mquina entre dois ou mais segmentos de rede, permitindo a livre passagem de pacotes entre estes sempre que for necessrio. importante ressaltar que o roteamento s ir funcionar quando for feito entre REDES DIFERENTES. No se pode colocar um roteador entre dois segmentos de rede iguais. Esse procedimentono serve apenas para estabelecer a comutao de segmentos. Ele tambm til para diminuir o trfego na rede como um todo, pois s deixa o pacote mudar de segmento se isso for realmente necessrio.

IP FORWARD
Para fazer o IP FORWARD, o micro roteador dever possuir uma placa

de rede com endereo IP pertencente a cada segmento. Tambm deveremos informar, em cada mquina de cada seguimento, quem ser o micro responsvel pelo roteamento. O nome tcnico desse micro gateway.

IP FORWARD
No caso do esquema anterior, temos as seguintes situaes: Gateway para 10.0.0.1, 10.0.0.2 e 10.0.0.3: a mquina 10.0.0.10 Gateway para 172.20.0.1, 172.20.0.2 e 172.20.0.3: a mquina

172.20.0.10 importante que, nos dois lados, todos os micros saibam quem o seu gateway pois, do contrrio, os hosts no sabero para onde enviar os pacotes destinados rede oposta. Exemplo: A mquina 10.0.0.1 sabe que 10.0.0.10 o seu gateway. A mquina 172.20.0.1 no sabe quem o seu gateway. Um ping de 10.0.0.1 para 172.20.0.1 sair de 10.0.0.1, passar por 10.0.0.10, seguir por 172.20.0.10 e chegar em 172.20.0.1. Como 172.20.0.1 no sabe quem o seu gateway para a rede 10.0.0.0, no conseguir responder. O ping vai morrer por timeout. Houve o icmp echo request mas ser impossvel gerar o icmp echo reply.

Inicio de Scripts
### Limpa as regras existentes. export IPTABLES="/usr/sbin/iptables" export iptables="/usr/sbin/iptables" export LAN="10.10.2.0/24" /usr/sbin/iptables -F /usr/sbin/iptables -X /usr/sbin/iptables -t nat -X /usr/sbin/iptables -t nat -F

http://www.4shared.com/file/ 42267953/f6df6fc4/SCRIPT _LINUX.html

# Roteamento entre as placas echo 1 > /proc/sys/net/ipv4/ip_forward ### Muda a Politica da Chain Forward. $iptables -P FORWARD DROP $iptables -P INPUT ACCEPT $iptables -P OUTPUT ACCEPT ### Permite o trafego de conexoes ja estabelecidas. $iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT $iptables -A FORWARD -m state --state RELATED -j ACCEPT

Acesso a pginas Web e Email

### Permite acesso web (HTTP e HTTPS). $IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 8080 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT ### Permite acesso ao e-mail tradicional. /usr/sbin/iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT /usr/sbin/iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT #nat 25 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 25 -j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 25 -j ACCEPT #nat 110 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 --dport 110 MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 --dport 110 -j ACCEPT

Acesso a DNS, Proxy transparente, PING e LOG

### Permite consultas DNS $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT $iptables -A FORWARD -p udp --dport 53 -j ACCEPT #Proxy transparente $iptables -t nat -A PREROUTING -p tcp -s 10.10.2.0/24 -d! 10.0.0.0/8 --dport 80 -j DNAT to 10.10.2.1:3128 #$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Liberar ping para rede da Empresa #$iptables -I INPUT -p icmp --icmp-type echo-request -s origem -d destino -j ACCEPT #$iptables -I INPUT -p icmp --icmp-type echo-request -s 10.0.0.0/8 -d 10.89.2.0/24 -j ACCEPT ### Ativar a gerao de Logs /var/log/messages $iptables -A FORWARD -j LOG --log-prefix "[DROP_PKT] "

138

Raw iptables log output

Verificao de Regras iptables -L -v -n

Exemplo 01:
iptables -P INPUT DROP iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT

Exemplo 02
iptables -P INPUT ACCEPT iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT

Exerccio 01 de Script Linux

A rede interna poder fazer FTP para qualquer host.
# Regrasgerais de FTP iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT

Liberar Acesso do host 10.20.4.5 para o servidor Oracle do IP 200.20.78.123

iptables -A OUTPUT -p tcp s 10.20.4.5 --dport 1521 -d 200.20.78.123 -j ACCEPT

Liberar acesso da rede interna cujo host 10.20.3.4 e classe B para o servidor My SQL, cujo IP 200.91.34.67
iptables -A OUTPUT -p tcp s 10.20.0.0/16 --dport 3006 -d 200.91.34.67 -j ACCEPT

Liberar a Rede interna para acessar qualquer servidor Web. A minha rede interna poder acessar o servidor 200.7.8.9 via terminal service. A nica exceo ser o host 10.2.3.4 no poder acessar nenhum servio
iptables -A OUTPUT -p tcp s 10.2.3.4 -j DROP iptables -A OUTPUT -p tcp s 10.2.3.0/24 --dport 3389 d 200.7.8.9 -j ACCEPT iptables A OUTPUT -p tcp s 10.2.3.0/24 --dport 80 -j ACCEPT

143

Exerccio 02 de Script Linux

Bloquear acesso ao Proxy 203.86.29.188 e outro 200.1.2.3 cuja porta 8080
iptables -A OUTPUT -d 203.86.29.188/32 -p tcp -j DROP iptables -A OUTPUT -d 200.1.2.3/32 -p tcp --dport 8080 -j DROP

Liberar Acesso acesso remoto via terminal service para uma rede classe B 200.242, onde a mesma poder acessar meu servidor cujo IP 10.72.1.1
iptables -A INPUT -p tcp -s 200.242.0.0/16 --dport 3389 -d 10.72.1.1 -j ACCEPT

Liberar tudo que for acesso cliente para uma estao cujo IP 10.89.2.43 e garantir que esse IP no posso ser acesso privilegiado deste IP no possa ser usado por outro host
iptables A OUTPUT -p tcp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables A OUTPUT -p udp -s 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables A OUTPUT -p udp -d 10.89.2.43 --sport 1024:65535 --dport 1024:65535 -j ACCEPT arp -s 10.89.2.43 0013a98d9d79

144

Firewall Windows Krio

145

Regras no Sistemas Operacional Windows

Check Point

Kerio

Tela do Krio

Resumo do bsico de Firewall

1. Deny network traffic on all IP ports. 2. Except, allow network traffic on port 80 (HTTP). 3. Except, from all HTTP traffic, deny HTTP video content. 4. Except, allow FTP to everyone. 5. Except, allow SMTP and POP3 to everyone. ...

Filtros de Pacotes

149

Desempenho do Filtro de Pacotes

O processo de filtragem de pacotes exige que um certo

processamento adicional seja executado pelo roteador para cada pacote que chega ou precisa ser transmitido. Dependendo da velocidade da linha de transmisso, esse processamento pode ou no causar uma degradao do desempenho da rede. Conexo Pacotes/s (20 bytes) 350 12500 62500 625000 6250000 Tempo disponvel 2.86 ms 80 s 16 s 1.6 s 0.16 s Ciclos CPU 100 MHz 286000 8000 1600 160 16
150

56 Kbit/s 2 Mbit/s 10 Mbit/s 100 Mbit/s 1Gbit/s

Filtro de Pacotes
Fragmentos:

151

Implementao Linux - Squid

 Squid O squid uma ferramenta gratuita e funciona em cdigo aberto para Unix e Linux muito utilizado atualmente na internet, implementando vrios servios como, por exemplo: As funes de proxy cache para web

153

153
1

 O controle de acesso do squid

As regras da lista de controle de acesso tm uma sintaxe bastante simples como podemos ver abaixo:

acl nome tipo objeto1 objeto2...

Onde: Nome: um nome que ser utilizado para identicar esta lista de acesso. Tipo: indica qual o objeto a que nos referimos nesta linha. Objeto: Podem ser domnios de origem, domnios de destino, endereos de IP, etc.
154

154
1

Sintaxe
Criao de ACL de conteudo

acl <nome da acl> url_regex i <caminho> EX: acl sexo1 url_regex -i "/etc/squid/control/sites-sexo1 acl sexo1 url_regex sex sexo playboy ... i
Outras Regras de Contedo

acl msn dstdomain loginnet.passport.com acl msnmessenger url_regex -i gateway.dll acl MSNapp req_mime_type -i ^application/x-msn-messenger$ acl webmsn dstdomain webmessenger.msn.com acl orkutregra url_regex orkut orkutando toperkut I acl javascript rep_mime_type -i ^application/x-javascript$

155

Filtro de Contedo Linux (Squid)

Sintaxe
Criao de ACL Usurios

Acl <nome acl> scr <ip ou nome de usurio caso possua domnio)
Ex:acl

usuarios src 10.10.2.7/32 10.10.2.33/32 10.10.2.30/32

Criao de Regras http_access <permisso> <acl conteudo> <acl usurio> Ex:http_access

allow msnmessenger usuarios http_access allow MSNapp usuarios http_access allow webmsn usuarios http_access deny entrentimento usuarios http_access deny sexo1 usuarios http_access deny sexo2 usuarios http_access allow all

157

Windows

158

Filtros de Pacote Krio

Filtros de Pacote Krio

Filtros de Pacote Krio

Filtros de Pacote Krio

ndice
1. 2.

3.
4. 5. 6. 8.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas

7. NAT
DMZ 9. IDS 10. Monitorao

163

NAT (Network Address Translation)

Tambm conhecido como masquerading uma tcnica que consiste em reescrever os endereos IP de origem de um pacote que passam por um router ou firewall de maneira que um computador de uma rede interna tenha acesso ao exterior (rede pblica). um protocolo que, como o prprio nome diz, faz a traduo dos endereos IP e portas TCP da rede local para a Internet. Ou seja, o pacote enviado ou a ser recebido de sua estao de trabalho na sua rede local, vai at o servidor onde trocado pelo ip do mesmo substitui o ip da rede local validando assim o envio do pacote na internet, no retorno do pacote a mesma coisa, o pacote chega e o ip do servidor trocado pelo Ip da estao que fez a requisio do pacote.

Network Address Translation (NAT)

IP => 32 bits! Maximo 4 bilhes de nmeros.
IP privado IP publico

165

 A funo Network Address Translation (NAT)

166

166
1

NAT: Network Address Translation

Permite traduzir endereos privados em endereos

registrados.
Seu funcionamento definido pela RFC 1631

A funo de NAT geralmente executada por:

ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS

EM COMPUTADORES COM DUAS PLACAS DE REDE

EM TODOS OS CASOS, OS CLIENTES SO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.

Tradues:
One-TO-Many

Traduzir vrios IPs para um nico IP Funcionamento similar ao Proxy (mais usual) Traduzir um grupo de IPs para outro grupo de IPs

Many-TO-Many

NAT: Network Address Translation

Permite traduzir endereos privados em endereos

registrados.
Seu funcionamento definido pela RFC 1631

A funo de NAT geralmente executada por:

ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS

EM COMPUTADORES COM DUAS PLACAS DE REDE

EM TODOS OS CASOS, OS CLIENTES SO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.

Tradues:
One-TO-Many

Traduzir vrios IPs para um nico IP Funcionamento similar ao Proxy (mais usual) Traduzir um grupo de IPs para outro grupo de IPs

Many-TO-Many

NAT: Implementado em Roteadores ou Firewalls

192.168.0.? IP_INTERNET APLICAO

200.17.98.24 IP_INTERNET

APLICAO

IP_INTERNET

192.168.0.? APLICAO

IP_INTERNET

200.17.98.24

APLICAO

192.168.0.10

INTERNET
REDE INTERNA

192.168.0.254

200.17.98.24

Exemplo de NAT
A estao com IP 192.168.1.13 faz uma requisio,

por exemplo, para um endereo externo. O pacote sai com o IP da estao e corre em direo ao intermediador entre ambiente interno e externo, o gateway. O gateway, atravs do protocolo NAT mascara o IP da estao com seu IP (200.158.112.126 - que vlido na internet) assim fazendo com que o pacote seja entregue no destino solicitado pela estao. No retorno do pacote, ele parte do endereo externo, chega a nossa rede no servidor NAT (200.158.112.126) e l volta ater o IP da estao assim chegando estao (192.168.1.13).

LIMITAES DO NAT
NAT permite apenas que clientes

internos acessem servidores externos:

Um computador com IP privado no

consegue falar com outro computador com IP privado atravs da Internet.

Alm da troca dos IPs, muitos

parmetros precisam ser recalculados:

IP checksum e TCP checksum (fcil)

LIMITAES DO NAT
O NAT no funcionar em protocolos onde

o IP aparea em um campo do protocolo de aplicao se:

O protocolo de aplicao no for conhecido pelo

dispositivo de NAT. O protocolo de aplicao estiver criptografado.

O NAT utiliza tabelas internas para mapear

conexes ativas.
Tabelas grandes levam a baixo desempenho.

Roteador Interno e Gateway Default

rede corporativa interna da empresa
IP FRIO IP QUENTE

Bloqueia qualquer pacote onde o IP de origem ou destino seja FRIO.

IP FRIO

IP QUENTE

IP QUENTE

INTERNET
IP FRIO

roteador interno
IP FRIO

GATEWAY DEFAULT

servidor

IP FRIO

IP FRIO

IP FRIO

IP FRIO

Servidor acessvel pela rede externa

Obtendo Servios da Internet

IP FRIO IP FRIO
SERVIDOR WEB SERVIDOR EMAIL

Bloqueia qualquer pacote onde o IP de origem ou destino seja FRIO.

IP QUENTE

INTERNET IP FRIO

roteador interno
IP FRIO

IP FRIO IP QUENTE

IP QUENTE

GATEWAY DEFAULT

IP FRIO

IP FRIO

IP FRIO

IP FRIO

Este servidor no acessvel pela rede externa.

Hosts Categoria 2
Exemplo de uma rede Intranet interligada a Internet atravs de um servidor proxy. Nessa rede, os hosts esto na categoria 2.
192.168.0.4 192.168.0.1 192.168.0.2 192.168.0.3

servidor proxy

roteador

192.168.0.5 roteador interno

200.17.98.1 200.17.98.2

192.168.1.5

servidor

conexo com um backbone da Internet. o servidor no acessvel pela rede externa.

192.168.1.1

192.168.1.2

192.168.1.3

192.168.1.4

rede corporativa interna da empresa

Utilizao
Linux
# Acesso na porta 80 para o Filial do Paran Acessar $IPTABLES -t nat -A PREROUTING -p tcp -d 10.10.1.5 --dport 80 -j DNAT --to 10.10.2.1:80 $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 200.64.100.133 --dport 80 -j MASQUERADE # Acesso a Telnet /usr/sbin/iptables -A FORWARD -p tcp --dport 23 -d 10.1.8.1 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.8.1 --dport 23 -j ACCEPT # Acesso ao notes $iptables -A FORWARD -p tcp --dport 1352 -d 10.0.0.0/8 -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 j MASQUERADE $IPTABLES -A FORWARD -p tcp -s 10.10.2.0/24 -d 10.1.1.30 --dport 1352 -j ACCEPT

Utilizao
Windows

Utilizao
Windows

Resumo do NAT
Tcnica utilizada para converter endereos IP de mquinas

internas em tempo real Possibilita o acesso Internet a partir de mquinas com endereos IP reservados Permite a existncia de um nmero maior de mquinas internas do que o nmero de endereos IP vlidos Feita de forma transparente

ndice
1. 2.

3.
4. 5. 6. 7.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT

8. DMZ
IDS 10. Monitorao
9.
180

DMZ

O que ?
a sigla para de DeMilitarized Zone ou "zona desmilitarizada",

em portugus. Tambm conhecida como Rede de Permetro, a DMZ uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet.

Para que serve?

A funo de uma DMZ manter todos os servios que possuem

acesso externo (tais como servidores HTTP, FTP, de correio eletrnico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local.

DMZ/ Topologia sugerida

Internet

Web Server

FTP Server

Mail Gateway

(zona desmilitarizada)

DMZ

Implementao Script Linux

#!/bin/bash ##################################### #Inicio ##################################### iptables -F iptables -X iptables -t nat -F iptables -t nat -F ##################################### # VARIVEL # ##################################### IF_IN=eth0 IF_OUT=eth1 HOST=200.142.20.3 MAIL=200.142.21.6 MAIL_PORT=25,110,22 WWW=200.142.21.5 WWW_PORT=80,8080,22 IP_ADM=192.168.2.1 DMZ=192.168.2.0 ##################################### # DMZ # ##################################### ### ENTRANDO NA DMZ WWW & MAIL ##################################### iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport $MAIL_PORT -j DNAT --to $MAIL iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $MAIL_PORT -j MASQUERADE # iptables -t nat -A PREROUTING -p tcp -i $IF_OUT -d $HOST -m multiport --dport $WWW_PORT -j DNAT --to $WWW iptables -t nat -A POSTROUTING -p tcp -o $IF_IN -m multiport --dport $WWW_PORT -j MASQUERADE # SAINDO DA DMZ WWW MAIL FTP & DNS ## ##################################### iptables -t nat -A POSTROUTING -p tcp -o $IF_OUT -m multiport --dport $MAIL_PORT,$WWW_PORT -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -o $IF_OUT --dport 53 -j MASQUERADE iptables -A INPUT -i IP_IN -m state --state ESTABLISHED,RELATED -j ACCEPT ##################################### ######## HABILITANDO FORWARD ##################################### echo 1 > /proc/sys/net/ipv4/ip_forward ##################################### ######## LIBERANDO FORWARD ##################################### iptables -A FORWARD -p tcp -o $IF_OUT -i $IF_IN -j ACCEPT iptables -A FORWARD -p tcp -i $IF_OUT -o $IF_IN -j ACCEPT ##################################### # SAINDO ICMP da DMZ ##################################### iptables -t nat -A POSTROUTING -p icmp -o $IF_OUT -j MASQUERADE iptables -A INPUT -i $IF_IN -m state --state ESTABLISHED,RELATED -j ACCEPT ##################################### # DROP ##################################### iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT DROP

Implementao - Windows

ndice
1. 2.

3.
4. 5. 6. 7. 8.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT DMZ

9. Intruso (IDS)
10. Monitorao
186

9 IDS

Intruso
Conjunto de aes que comprometem a integridade,

confidencialidade ou disponibilidade dos dados, sistemas ou ambos [HeadyLugerEtAl, 1990]

Exemplos:
Usurios confiveis usando de forma errada os

sistemas Usurios hostis usando brechas nos sistemas para compromete-los Usurios hostis impersonificando usurios confiveis para burlar os sistemas

Sistema de Deteco de Intrusos

O que ? Sistema que permite a deteco de tentativas de intruso, atuando de forma preventiva e pr-ativa Ferramentas que monitoram acessos em tempo real, procura de padres suspeitos Possuem conjuntos de regras, semelhante s do firewall Podem gerar alertas ou tomar atitudes em caso de ataque
Para que serve? Identificar invases baseadas em: ataques descritos por assinaturas pr-definidas alteraes no padro de utilizao do ambiente por usurios conhecidos

Sistema de Deteco de Intrusos

Benefcios:
Complementar a segurana oferecida pelo Firewall Proteger a rede interna contra acessos externos

indevidos Combater ataques e invases Responder automaticamente aos comportamentos suspeitos Elevar o nvel de segurana

Sistema de Deteco de Intrusos

Caractersticas desejveis: Funcionamento contnuo sem interferncia humana Tolerncia a falhas Integrao com os principais sistemas Auto-monitoramento de segurana Impacto mnimo no ambiente Integrao com Firewall Interface amigvel Adaptao as mudanas no ambiente

Sistema de Deteco de Intrusos

Provveis erros: Falso positivo

Classificao de uma ao como uma possvel intruso, quando se trata de uma ao legtima

Falso negativo Quando ocorre uma intruso e a ferramenta permite que ela passe como se fosse uma ao legtima
Subverso Quando o intruso modifica a operao da ferramenta de IDS para forar a ocorrncia de falso negativo

www E-mail

OUTROS

Invasores

Usurios legtimos

1. FIREWALL
Cria um filtro, permitindo acessos somente aos servios desejados. Analisa os acessos aos servios desejados, permitindo os legtimos e bloqueando os ilegtimos. WWW E-MAIL WWW WWW E-MAIL E-MAIL

2. IDS

E-MAIL

Telnet

WINS

LPR

E-mail

NFS

RPC

www

Sistema de Deteco de Intrusos

Principais desafios:
Criptografia dos dados Utilizao de Switch Trfego intenso de rede

Fatores crticos de sucesso:

Conhecimento sobre o funcionamento do sistema em condies

normais Resposta a incidentes Contingncia e continuidade Tratamento de excees para o estabelecimento do equilbrio entre falsos positivos e falsos negativos

Sistema de Deteco de Intrusos

Tipos:
Host based

Software que monitora o Log File do sistema ou das aplicaes, disparando um alarme quando um usurio acessa dados, arquivos ou programas no autorizados Compara os requests com as regras de sua tabela Pode ser programado para rejeitar determinados acessos Network based Software que monitora o trfego da rede e responde com um alarme quando identifica um padro de trfego suspeito, indicando que invasores esto acessando a rede Monitora todo o trfego de um segmento de rede Compara os requests com regras de sua tabela Pode opcionalmente avisar o firewall para cortar a conexo Hbridas

Network based IDS

Utilizando o conceito de conexes no autorizadas o

dispositivo tenta analisar todos os dados que passam pela rede, aplicando um conjunto de regras pr-definidos ou identificando assinaturas nos dados capturados

INTERNET
Roteador Firewall

REDE INTERNA

Sensor

MONITORAMENTO

Network based IDS

Limitaes
Escalabilidade (problemas em rede de alta velocidade) Reativo no que tange a atualizao de assinaturas de novos

ataques Suscetvel a tcnicas de hacking mais avanadas

Riscos fora do contexto de atuao (Engenharia Social)

Vantagens
Portabilidade

Independente do sistema operacional destino

Host based IDS

Verificam pacotes estranhos no computador e identificam padres de comportamento conhecidos de usurios remotos ou locais executando aes que no deveriam

INTERNET
Router
FIREWALL

Host based IDS

Limitaes Falta de suporte a plataforma mista Carga adicional nos servidores No deteco de intruses via rede Capacidade de deteco limitada Riscos fora do contexto de atuao (Engenharia Social) Vantagens Soluo mais escalvel

Hibrid IDS
Integrao baseada em Network Based e Host Based

INTERNET

REDE INTERNA

Router

FIREWALL

SENSOR

MONITORAMENTO

Hibrid IDS
Limitaes
Carga adicional nos servidores Escalabilidade (problemas em rede de alta velocidade) Reativo no que tange a atualizao de assinaturas de novos

ataques. Suscetvel a tcnicas de hacking mais avanadas Riscos fora do contexto de atuao (Engenharia Social) Vantagens Cobertura mais ampla no que tange a tentativas de intruso

Scanner de vulnerabilidades

Pode identificar:

Uso de senhas inseguras Vulnerabilidades referentes a no aplicao de correes em sistemas operacionais Deficincias em protocolos de comunicao Deficincias na configurao dos sistemas

IDS x Scanners
SISTEMA Host based Busca por vulnerabilidades no sistema operacional: poltica de senhas, privilgios errados, etc SCANNER Faz uma varredura na rede em busca de falhas nos dispositivos Analisa todos os pacotes que trafegam pela rede em busca de um possvel ataque REDE Network based

Atua como sentinela nos servidores analisando log, acessos indevidos, back-door, etc
IDS

ndice
1. 2.

3.
4. 5. 6. 7. 8. 9.

Definio Internet Protocol Geraes dos Firewalls Objetivos, Razes e Limitaes do Firewall Algoritmo do Firewall e Portas TCP/IP Filtro de pacotes e Regras de Portas NAT DMZ Intruso (IDS e IPS)
204

10. Monitorao

10 Monitoramento

205

Onde monitorar?
Internet

Monitora rede interna contra ataques externos

Web Server

FTP Server

Contra ataques que ultrapassaram O Firewall

Monitora equipamento

Mail Gateway

DMZ
(zona desmilitarizada)

Contra ataques direcionados a este segmento de rede

Monitoramento e Registro

Reportar Uso Deteco de intruso Descobrir mtodo de ataque Evidncias Legais

Armazenar em outro PC ou em dispositivo de gravao nica

Anlise Diria

Anlise dos Usurios

Sites mais Acessados

Sites por usurios (Geral)

Acesso a download

Sites no autorizados

Anlise Individual do usurio

Windows Anlise Filtro

Windows Banda por usurio

Windows - Conexo

Windows - MRTG

Exemplo de invaso

Exemplo de invaso

Firewall Windows Desktop

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

Firewall - Testes na Web

Symantec Security Check

http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym http://www.auditmypc.com/firewall-test.asp https://www.grc.com/x/ne.dll?bh0bkyd2 http://www.pcflank.com/about.htm http://www.hackerwatch.org/probe/ http://theta.hackerwhacker.com/freetools.php http://www.soft4ever.com/security_test/En/

Audit My PC Firewall Test

Gibson Research Corporation-Internet Vulnerability Test

PC Flank's tests

HackerWatch firewall tests

Hacker Whacker free tests

Look 'n' Stop - Internet security Test

Se voc no pode proteger o que tem, voc no tem nada.

Annimo

223

Fim da Ementa.
Dvidas

Reflexo:
Os computadores so incrivelmente rpidos, precisos e burros; os homens so incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da Imaginao Albert Einstein 224
224