Auditoria e Segurança da Informação– GSI536 Prof. Rodrigo Sanches Miani – FACOM/UFU Tópicos Motivação Utilização cada vez maior da Internet e a criação de ambientes cooperativos, levam a uma crescente preocupação quanto à segurança; Consequentemente, pode-se ver uma rápida evolução em sistemas de segurança, principalmente nos Firewalls; Firewall é um dos principais, mais conhecidos e antigos componentes de um sistema de segurança; Sua fama, acabou contribuindo para a criação de uma falsa expectiva quanto à segurança total da organização. Conceitos relacionados ao termo “Firewall” Tecnologia do firewall – filtro de pacotes, proxy ou filtro de pacotes baseados em estados; Arquitetura do firewall – utiliza componentes como roteadores, proxies, zonas desmilitarizadas (DMZ) e bastion hosts; Produtos comerciais – Check Point Firewall-1, Network Associates Inc’s Gauntlet, Cisco Pix Firewall, Watchguard e outros; Definição 1 A mais antiga definição para firewalls foi dada por Bill Cheswick e Steve Bellovin em 1994 no livro Firewalls and Internet Security: Repelling the Wily Hacker: “Firewall é um ponto entre duas ou mais redes, no qual circula todo o tráfego.” A partir desse único ponto, é possível controlar e autenticar o tráfego, além de registrar, por meio de logs, todo o tráfego da rede, facilitando a auditoria. Definição 2 Chapman (Building Internet Firewalls,1995) como: define firewall “Um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet, ou entre outro conjuntos de redes” Definição 1 + Definição 2 Partindo das duas definições anteriores, pode-se dizer que: “Firewall é um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o tráfego, permitindo o controle, a autenticação e os registros de todo o tráfego” Definição de Firewall - Exemplo Definições e funções Esse ponto único constitui um mecanismo utilizado para proteger, geralmente, uma rede confiável de uma rede não confiável; Pode ser utilizado também para separar diferentes sub-redes, grupos de trabalho ou redes locais (LANs); Um firewall é tão seguro quanto a política de segurança com que ele trabalha; Um firewall muito restritivo e, portanto, mais seguro, não é sempre transparente ao usuário; Usuários podem tentar driblar a política de segurança da organização para poder realizar as tarefas que estavam acostumados... Definições e funções Firewall : Componentes Funcionalidades Arquitetura Tecnologias O firewall é um conjunto de componentes, funcionalidades, arquiteturas e tecnologias; Funcionalidades Funcionalidades Firewall é composto por uma série de componentes, sendo que cada um deles tem uma funcionalidade diferente e desempenha uma papel que influi diretamente no nível de segurança do sistema; Principais componentes: Filtros; Proxy; Bastion Hosts; Zonas Desmilitarizadas. Funcionalidades - Filtros Filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio da análise das informações de seus cabeçalhos; A decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização; Dois tipos de filtros: 1) Estático – analisa os pacotes comparando a um conjunto de regras fixo; 2) Baseado em estados – realiza a filtragem com base no estado das conexões. Filtro de pacotes - Estático A tecnologia de filtro de pacotes funciona na camada de rede e de transporte; Realiza as decisões de filtragem com base nas informações do cabeçalho dos pacotes Endereço de origem; Endereço de destino; Porta de origem; Porta de destino; Direção das conexões. Flags TCP (SYN, ACK); Filtro de pacotes - Estático O fato de trabalhar na camada de rede e de transporte, faz com que ele seja simples, fácil, barato e flexível de ser implementado; Porém, o filtro de pacotes garante um menor grau de segurança, pois os pacotes podem ser falsificados ou criados especificamente para que passem pelas regras de filtragem definidas; Serviços como FTP, RPC e H.323 não são simples de serem implementados; Filtro de pacotes - Estático Regra End. Origem Porta Origem End. Destino Porta Destino Ação 1 Qualquer endereço da rede interna > 1023 Qualquer endereço 80 Permitir 2 Qualquer endereço 80 Qualquer endereço da rede interna > 1023 Permitir 3 Qualquer endereço Qualquer porta Qualquer endereço Qualquer porta Negar Filtro de pacotes baseado em estados São conhecidos também como filtros de pacotes dinâmicos (dynamic packet filter) e filtros de pacotes baseados em estados (stateful packet filter); Tomam as decisões de filtragem tendo como referência dois elementos: Informações dos cabeçalhos dos pacotes, como no filtro de pacotes; Uma tabela de estados, que guarda os estados de todas as conexões. Também trabalha na camada de rede e transporte. Filtro de pacotes baseado em estados Funcionamento 1) Cliente inicia uma conexão; 2) O pacote inicial é checado da mesma forma que um filtro de pacotes; 3) Se o pacote não passar pelas regras do filtro de pacotes, ele é descartado; 4) Caso o pacote seja aceito, a sessão é inserida na tabela de estados do firewall; 5) Para os demais pacotes, se a sessão estiver na tabela e o pacote fizer parte dessa sessão, ele será aceito; 6) Se os pacotes não fizerem parte de nenhuma sessão presente na tabela de estados, eles serão descartados. Filtro de pacotes baseado em estados Funcionamento Filtro de pacotes baseado em estados O desempenho do sistema melhora, pois apenas os pacotes SYN são comparados com a tabela de regras do filtro de pacotes; Pacotes restantes são comparados com a tabela de estados; O conjunto de regras na tabela do filtro de pacotes é menor, pois leva em conta somente os inícios das conexões; O conjunto de regras fica mais enxuto e, consequentemente mais fácil de administrar. Funcionalidades - Proxy Proxies são sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições, de acordo com política de segurança definida; Exemplo: Proxy HTTP – Squid; Proxy DNS; Funcionalidades - Proxy Funcionalidades – Bastion hosts Bastion hosts são equipamentos em que são instalados os serviços a serem oferecidos para a Internet; Como estão em contato direto com as conexões externas, os bastion hosts devem ser protegidos da melhor maneira possível; Bastion hosts devem executar apenas os serviços e aplicações essenciais, bem como executar sempre a última (ou mais estável) versão desses serviços e aplicações; Geralmente os serviços que são oferecidos pela DMZ devem ser instalados em bastion hosts. Funcionalidades – Zona desmilitarizada Zona desmilitarizada (DeMilitarized Zone – DMZ), ou rede de perímetro, é uma rede que fica entre a rede interna e a rede externa; Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada seja comprometido, a rede interna continue intacta e segura. Arquiteturas As arquiteturas A arquitetura de um firewall deve ser definida de acordo com as necessidades da organização, utilizando os componentes e funcionalidades descritos anteriormente; Serão apresentadas quatro arquiteturas: Dual-homed (Chapman); Screened host (Chapman); Screened subnet (Chapman); Firewall coorporativo (Geus e Nakamura). Arquitetura “Dual-homed host” Arquitetura “Dual-homed host” Equipamento com duas interfaces de rede, separando duas redes; Sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os serviços externos; Conexões externas são realizadas por meio de proxies ou conexões em duas etapas (primeiro ao host dual-homed e depois ao servidor externo); Acesso externo não é transparente; Essa arquitetura possui um único ponto de falha. Arquitetura “Screened host” Arquitetura “Screened host” É formada por um filtro de pacotes e um bastion host; O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do bastion host; Usuários externos que queiram acessar um sistema da rede interna, devem primeiramente se conectar ao bastion host; Bastion host pode funcionar como um proxy; Se o bastion host for comprometido, o invasor já estará dentro da rede interna da organização; Filtro de pacotes e o bastion host formam um único ponto de falha – se atacado a comunicação da organização com a Internet fica comprometida, assim como a rede interna. Arquitetura “Screened subnet” Arquitetura “Screened subnet” Adiciona uma rede DMZ; Na arquitetura “Screened host” um ataque ao bastion host significava qu o invasor já estaria com a rede interna disponível, isso não ocorre nessa arquitetura; Os filtros externos e internos devem ser muito bem configurados; O filtro externo deve permitir o tráfego dos serviços disponíveis na DMZ, bem como o tráfego das requisições dos usuários internos; O filtro interno deve permitir somente a passagem das requisições e respostas dos serviços permitidos para os usuários internos; Tráfego do bastion host para a rede interna deve ser bloqueado. Arquitetura “Screened subnet” - Variação Arquitetura “Firewall coorporativo” Arquitetura “Firewall coorporativo” Adiciona os novos componentes, como a VPN (Redes Privadas Virtuais) e a PKI (Infraestrutura de chaves públicas); Outros componentes podem ser adicionados como proxies e IDS (Detectores de intrusão); Outros exemplos serão mostrados ao longo do curso. Problemas relacionados Problemas relacionados A falta de alguns cuidados pode tornar todos os esforços inválidos e instaurar um perigoso falso senso de segurança; Os problemas que mais resultam em perigo são: Instalações de firewalls mal configurados; Implementação incorreta da política de segurança; Gerenciamento falho; Falta de atualizações. Vulnerabilidades em firewalls como o Cisco PIX, Gauntlet e CheckPoint Firewall-1 já foram encontradas e exploradas; O firewall não é a solução total de segurança O firewall não é a solução total de segurança! É importante ter em mente que o firewall é apenas uma parte de um conjunto de componentes de um sistema de segurança para a proteção das organizações; Firewalls podem ser uma “faca de dois gumes”: representam uma primeira linha de defesa e são necessários em uma infraestrutura que envolve a segurança; Porém, tendem a tranquilizar as organizações com uma falsa sensação de segurança; O firewall não é a solução total de segurança! Serviços legítimos, como acesso ao servidor Web, devem ser permitidos pelo firewall; Ou seja, a segurança não depende somente do firewall, mas sim dos próprios serviços legítimos; Uma autenticação eficiente à um banco de dados, por exemplo, passa a ser fundamental; Assim, o enfoque da segurança, agora, está em selecionar os usuários que podem acessar a rede, definir os direitos que eles têm e monitorar o que eles estão fazendo;