Firewall

Propaganda
Auditoria e Segurança da
Informação– GSI536
Prof. Rodrigo Sanches Miani – FACOM/UFU
Tópicos
Motivação
Utilização cada vez maior da Internet e a criação de
ambientes cooperativos, levam a uma crescente preocupação
quanto à segurança;
Consequentemente, pode-se ver uma rápida evolução em
sistemas de segurança, principalmente nos Firewalls;
Firewall é um dos principais, mais conhecidos e antigos
componentes de um sistema de segurança;
Sua fama, acabou contribuindo para a criação de uma falsa
expectiva quanto à segurança total da organização.
Conceitos relacionados ao termo “Firewall”
Tecnologia do firewall – filtro de pacotes, proxy ou filtro de
pacotes baseados em estados;
Arquitetura do firewall – utiliza componentes como roteadores,
proxies, zonas desmilitarizadas (DMZ) e bastion hosts;
Produtos comerciais – Check Point Firewall-1, Network
Associates Inc’s Gauntlet, Cisco Pix Firewall, Watchguard e
outros;
Definição 1
A mais antiga definição para firewalls foi dada por Bill
Cheswick e Steve Bellovin em 1994 no livro Firewalls and
Internet Security: Repelling the Wily Hacker:
“Firewall é um ponto entre duas ou mais redes, no qual circula
todo o tráfego.”
A partir desse único ponto, é possível controlar e autenticar o
tráfego, além de registrar, por meio de logs, todo o tráfego da
rede, facilitando a auditoria.
Definição 2
Chapman (Building Internet Firewalls,1995)
como:
define firewall
“Um componente ou conjunto de componentes que restringe o
acesso entre uma rede protegida e a Internet, ou entre outro
conjuntos de redes”
Definição 1 + Definição 2
Partindo das duas definições anteriores, pode-se dizer que:
“Firewall é um ponto entre duas ou mais redes, que pode ser
um componente ou um conjunto de componentes, por onde
passa todo o tráfego, permitindo o controle, a autenticação e
os registros de todo o tráfego”
Definição de Firewall - Exemplo
Definições e funções
Esse ponto único constitui um mecanismo utilizado para
proteger, geralmente, uma rede confiável de uma rede não
confiável;
Pode ser utilizado também para separar diferentes sub-redes,
grupos de trabalho ou redes locais (LANs);
Um firewall é tão seguro quanto a política de segurança com
que ele trabalha;
Um firewall muito restritivo e, portanto, mais seguro, não é
sempre transparente ao usuário;
Usuários podem tentar driblar a política de segurança da organização
para poder realizar as tarefas que estavam acostumados...
Definições e funções
Firewall :
Componentes
Funcionalidades
Arquitetura
Tecnologias
O firewall é um conjunto de componentes, funcionalidades,
arquiteturas e tecnologias;
Funcionalidades
Funcionalidades
Firewall é composto por uma série de componentes, sendo
que cada um deles tem uma funcionalidade diferente e
desempenha uma papel que influi diretamente no nível de
segurança do sistema;
Principais componentes:
Filtros;
Proxy;
Bastion Hosts;
Zonas Desmilitarizadas.
Funcionalidades - Filtros
Filtros realizam o roteamento de pacotes de maneira seletiva,
ou seja, aceitam ou descartam pacotes por meio da análise
das informações de seus cabeçalhos;
A decisão é tomada de acordo com as regras de filtragem
definidas na política de segurança da organização;
Dois tipos de filtros:
1) Estático – analisa os pacotes comparando a um conjunto de regras
fixo;
2) Baseado em estados – realiza a filtragem com base no estado das
conexões.
Filtro de pacotes - Estático
A tecnologia de filtro de pacotes funciona na camada de
rede e de transporte;
Realiza as decisões de filtragem com base nas
informações do cabeçalho dos pacotes
Endereço de origem;
Endereço de destino;
Porta de origem;
Porta de destino;
Direção das conexões.
Flags TCP (SYN, ACK);
Filtro de pacotes - Estático
O fato de trabalhar na camada de rede e de transporte,
faz com que ele seja simples, fácil, barato e flexível de
ser implementado;
Porém, o filtro de pacotes garante um menor grau de
segurança, pois os pacotes podem ser falsificados ou
criados especificamente para que passem pelas regras
de filtragem definidas;
Serviços como FTP, RPC e H.323 não são simples de
serem implementados;
Filtro de pacotes - Estático
Regra End. Origem
Porta
Origem
End. Destino
Porta
Destino
Ação
1
Qualquer
endereço da rede
interna
> 1023
Qualquer
endereço
80
Permitir
2
Qualquer
endereço
80
Qualquer
endereço da
rede interna
> 1023
Permitir
3
Qualquer
endereço
Qualquer
porta
Qualquer
endereço
Qualquer
porta
Negar
Filtro de pacotes baseado em estados
São conhecidos também como filtros de pacotes dinâmicos
(dynamic packet filter) e filtros de pacotes baseados em
estados (stateful packet filter);
Tomam as decisões de filtragem tendo como referência dois
elementos:
Informações dos cabeçalhos dos pacotes, como no filtro de pacotes;
Uma tabela de estados, que guarda os estados de todas as conexões.
Também trabalha na camada de rede e transporte.
Filtro de pacotes baseado em estados Funcionamento
1) Cliente inicia uma conexão;
2) O pacote inicial é checado da mesma forma que um filtro
de pacotes;
3) Se o pacote não passar pelas regras do filtro de pacotes,
ele é descartado;
4) Caso o pacote seja aceito, a sessão é inserida na tabela de
estados do firewall;
5) Para os demais pacotes, se a sessão estiver na tabela e o
pacote fizer parte dessa sessão, ele será aceito;
6) Se os pacotes não fizerem parte de nenhuma sessão
presente na tabela de estados, eles serão descartados.
Filtro de pacotes baseado em estados Funcionamento
Filtro de pacotes baseado em estados
O desempenho do sistema melhora, pois apenas os pacotes
SYN são comparados com a tabela de regras do filtro de
pacotes;
Pacotes restantes são comparados com a tabela de estados;
O conjunto de regras na tabela do filtro de pacotes é menor,
pois leva em conta somente os inícios das conexões;
O conjunto de regras fica mais enxuto e, consequentemente
mais fácil de administrar.
Funcionalidades - Proxy
Proxies são sistemas que atuam como um gateway entre
duas redes, permitindo as requisições dos usuários internos e
as respostas dessas requisições, de acordo com política de
segurança definida;
Exemplo:
Proxy HTTP – Squid;
Proxy DNS;
Funcionalidades - Proxy
Funcionalidades – Bastion hosts
Bastion hosts são equipamentos em que são instalados os
serviços a serem oferecidos para a Internet;
Como estão em contato direto com as conexões externas, os
bastion hosts devem ser protegidos da melhor maneira
possível;
Bastion hosts devem executar apenas os serviços e
aplicações essenciais, bem como executar sempre a última
(ou mais estável) versão desses serviços e aplicações;
Geralmente os serviços que são oferecidos pela DMZ devem
ser instalados em bastion hosts.
Funcionalidades – Zona desmilitarizada
Zona desmilitarizada (DeMilitarized Zone – DMZ), ou rede de
perímetro, é uma rede que fica entre a rede interna e a rede
externa;
Essa segmentação faz com que, caso algum equipamento
dessa rede desmilitarizada seja comprometido, a rede interna
continue intacta e segura.
Arquiteturas
As arquiteturas
A arquitetura de um firewall deve ser definida de acordo com
as necessidades da organização, utilizando os componentes
e funcionalidades descritos anteriormente;
Serão apresentadas quatro arquiteturas:
Dual-homed (Chapman);
Screened host (Chapman);
Screened subnet (Chapman);
Firewall coorporativo (Geus e Nakamura).
Arquitetura “Dual-homed host”
Arquitetura “Dual-homed host”
Equipamento com duas interfaces de rede, separando duas
redes;
Sistemas internos têm de ser conectados ao firewall para que
possam se comunicar com os serviços externos;
Conexões externas são realizadas por meio de proxies ou
conexões em duas etapas (primeiro ao host dual-homed e
depois ao servidor externo);
Acesso externo não é transparente;
Essa arquitetura possui um único ponto de falha.
Arquitetura “Screened host”
Arquitetura “Screened host”
É formada por um filtro de pacotes e um bastion host;
O filtro deve ter regras que permitam o tráfego para a rede interna
somente por meio do bastion host;
Usuários externos que queiram acessar um sistema da rede interna,
devem primeiramente se conectar ao bastion host;
Bastion host pode funcionar como um proxy;
Se o bastion host for comprometido, o invasor já estará dentro da
rede interna da organização;
Filtro de pacotes e o bastion host formam um único ponto de falha –
se atacado a comunicação da organização com a Internet fica
comprometida, assim como a rede interna.
Arquitetura “Screened subnet”
Arquitetura “Screened subnet”
Adiciona uma rede DMZ;
Na arquitetura “Screened host” um ataque ao bastion host significava
qu o invasor já estaria com a rede interna disponível, isso não ocorre
nessa arquitetura;
Os filtros externos e internos devem ser muito bem configurados;
O filtro externo deve permitir o tráfego dos serviços disponíveis na DMZ,
bem como o tráfego das requisições dos usuários internos;
O filtro interno deve permitir somente a passagem das requisições e
respostas dos serviços permitidos para os usuários internos;
Tráfego do bastion host para a rede interna deve ser bloqueado.
Arquitetura “Screened subnet” - Variação
Arquitetura “Firewall coorporativo”
Arquitetura “Firewall coorporativo”
Adiciona os novos componentes, como a VPN (Redes
Privadas Virtuais) e a PKI (Infraestrutura de chaves públicas);
Outros componentes podem ser adicionados como proxies e
IDS (Detectores de intrusão);
Outros exemplos serão mostrados ao longo do curso.
Problemas relacionados
Problemas relacionados
A falta de alguns cuidados pode tornar todos os esforços
inválidos e instaurar um perigoso falso senso de segurança;
Os problemas que mais resultam em perigo são:
Instalações de firewalls mal configurados;
Implementação incorreta da política de segurança;
Gerenciamento falho;
Falta de atualizações.
Vulnerabilidades em firewalls como o Cisco PIX, Gauntlet e
CheckPoint Firewall-1 já foram encontradas e exploradas;
O firewall não é a solução total de
segurança
O firewall não é a solução total de
segurança!
É importante ter em mente que o firewall é apenas uma parte
de um conjunto de componentes de um sistema de segurança
para a proteção das organizações;
Firewalls podem ser uma “faca de dois gumes”: representam
uma primeira linha de defesa e são necessários em uma infraestrutura que envolve a segurança;
Porém, tendem a tranquilizar as organizações com uma falsa
sensação de segurança;
O firewall não é a solução total de
segurança!
Serviços legítimos, como acesso ao servidor Web, devem ser
permitidos pelo firewall;
Ou seja, a segurança não depende somente do firewall, mas
sim dos próprios serviços legítimos;
Uma autenticação eficiente à um banco de dados, por
exemplo, passa a ser fundamental;
Assim, o enfoque da segurança, agora, está em selecionar os
usuários que podem acessar a rede, definir os direitos que
eles têm e monitorar o que eles estão fazendo;
Download