FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri Sônia V. A. França cdac,rrc,svaf@di.ufpe.br

Firewalls Simples pontos de conexão entre duas redes não confiáveis Permitem que a comunicação seja monitorada e segura Propriedades todo tráfego deve passar pelo firewall somente o tráfego autorizado pode passar o firewall propriamente dito é imune de invasões

Firewalls Internet sistema de firewall: roteador baseado em: Firewall rede interna Firewall baseado em: hardware software sistema de firewall: roteador PC sistema Unix conjunto de hosts Firewalls

Firewall Seguro Ponto central para administração de serviços não é um host de propósito geral Ponto central para administração de serviços correio eletrônico ftp Garante política de segurança

Firewall Foco de decisões de segurança Permite rastreamento mais eficiente do que espalhar decisões e tecnologias de segurança Permite rastreamento origem das conexões quantidade de tráfego no servidor tentativa de quebra do sistema Limita a exposição

Firewall Não oferece proteção contra: Ataques internos maliciosos Conexões que não passam pelo firewall Ameaças totalmente novas Vírus

Tecnologia Estática Dinâmica permitir qualquer serviço a menos que ele seja expressamente negado negar qualquer serviço a menos que ele seja expressamente permitido Dinâmica permitir/negar qualquer serviço para quando e por quanto tempo desejar

Componentes Filtro Gateway(s) também chamado de screen (screening router) bloqueia transmissão de certas classes de tráfego protege a rede interna das consequências de um gateway comprometido zona desmilitarizada (DMZ) gateway + gateway interno protege o gateway de ataques uma máquina conjunto de máquinas que oferece(m) serviços através de proxy Gateway(s) Filtro Internet rede interna

Packet Filtering Funcionalidade Filtragem roteia pacotes entre hosts internos e externos de maneira seletiva permite ou bloqueia a passagem de certos tipos de pacotes reflete a política de segurança do site Filtragem quando o pacote está chegando quando o pacote está saindo

Packet Filtering Filtragem baseada em Exemplos endereços fonte e destino portas fonte e destino protocolo flags tipo da mensagem Exemplos bloqueie todas as conexões oriundas do host X permita apenas conexões SMTP

Internet screening router Packet Filtering rede interna

Packet Filtering Router Screening Router determina se pode ou não enviar o pacote determina se deve ou não enviar o pacote Como o pacote pode ser roteado? O pacote deve ser roteado? Router verifica endereço de cada pacote escolhe melhor maneira de enviá-lo Como o pacote pode ser roteado?

Configuração Processo de três passos: Determinar o que deve e o que não deve ser permitido política de segurança Especificar formalmente os tipos de pacotes permitidos expressões lógicas Reescrever as expressões de acordo com o produto

Exemplo Passo 1 tráfego IP: host externo confiável (172.16.51.50) e hosts da rede interna (192.168.10.0) Passo 2

Exemplo Passo 3 Screend Telebit NetBlazer between host 172.16.51.50 and net 192.168.10 accept; between host any and host any reject; Telebit NetBlazer permit 172.16.51.50/32 192.168.10/24 syn0 in deny 0.0.0.0/0 0.0.0.0/0 syn0 in permit 192.168.10/24 172.16.51.50/32 syn0 out deny 0.0.0.0/0 0.0.0.0/0 syn0 out

Filtragem por Endereço Características restringe o fluxo de pacotes baseado nos endereços fonte e destino não considera quais protocolos estão envolvidos Utilização permite a comunicação hosts externos e hosts internos Problema endereços podem ser inventados

Filtragem por Serviço Outbound Internet Telnet Server OUTGOING IP fonte: cliente local IP destino: servidor serviço: TCP porta fonte: >1023 (Y) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Client Outbound

Filtragem por Serviço Outbound Internet Telnet Server INCOMING IP fonte: servidor IP destino: cliente local serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Y) pacotes: com ack Firewall rede interna Telnet Client Outbound

Filtragem por Serviço Inbound Internet Telnet Client INCOMING IP fonte: cliente remoto IP destino: servidor serviço: TCP porta fonte: >1023 (Z) porta destino: 23 (telnet) pacotes: 1: sem ack demais: com ack Firewall rede interna Telnet Server Inbound

Filtragem por Serviço Inbound Internet Telnet Client OUTGOING IP fonte: servidor IP destino: cliente remoto serviço: TCP porta fonte: 23 (telnet) porta destino: >1023 (Z) pacotes: com ack Firewall rede interna Telnet Server Inbound

Filtragem por Serviço

Packet Filtering Vantagens Desvantagens pode ajudar a proteger uma rede inteira não requer conhecimento ou cooperação do usuário disponível em vários roteadores baixo custo Desvantagens .........

Application-Level Gateway servidor real cliente interno pedido propagação do pedido resposta da resposta proxy possui controle total

Circuit-Level Gateway porta fonte porta destino TCP IP Acesso a Rede cliente servidor

Arquitetura de Firewalls Solução universal ? Problemas quais serviços serão disponibilizados ? qual o nível de risco ? qual a política de segurança ? Técnicas tempo, custo e conhecimento TELNET e SMTP  packet filtering FTP e WWW  proxy

Packet Filtering Architecture Screening Router é colocado entre uma rede interna e a Internet Controle do tráfego de rede: endereços IP, portas, protocolo, flags, ... Nenhuma mudança é requerida nas aplicações cliente e servidor (pacotes) Simples  mais comum e fácil de usar em sites pequenos Mas ....

Packet Filtering Architecture Problemas: falha compromete toda a rede interna número de regras pode ser limitado desempenho x número de regras não é possível modificar serviços: permite ou nega, mas não pode proteger operações individuais complexidade de configuração tratamento de exceções log dos pacotes que passaram

Dual-Homed Host Architecture Multi-Homed Host: várias interfaces de rede (homes) interface de rede Rede 2 Rede 1 Rede 3 roteamento opcional

Dual-Homed Host Architecture Host: 2 interfaces de rede (interna e Internet) Função de roteamento desabilitada pacotes não são roteados diretamente para outra rede  não permite comunicação direta entre a rede interna e a Internet isolamento de tráfego entre as redes Acessível por hosts da rede interna por hosts da Internet requer alto nível de proteção

Dual-Homed Host Architecture Login diretamente no dual-homed host acesso aos serviços através da interface de rede externa (Internet) segurança do sistema pode ser comprometida vulnerabilidade de senhas usuário pode habilitar serviços inseguros dificuldade de monitoração e detecção de ataques baixo desempenho oferecimento de serviços indesejáveis

Dual-Homed Host Architecture mail proxy FTP proxy interface interface Internet ILUSÃO Serviços “store-and-forward”: SMTP (mail) e NNTP (news) FTP Internet servidor real cliente interno

Screened Host Architecture Internet screening router Screened Host Architecture rede interna bastion host

Screened Host Architecture Problemas falha do roteador  compromete segurança oferecida pelo bastion host ataque ao bastion host  não há outra barreira entre a Internet e a rede interna visibilidade de tráfego interno: coleta de senhas através de monitoração de seções telnet, ftp e rlogin, acesso a arquivos e/ou mails que estejam sendo lidos/acessados

Screened Subnet Architecture Internet rede interna rede perimetral - DMZ screening router externo bastion host screening router interno

Screened Subnet Architecture Visibilidade do tráfego via bastion host apenas para a DMZ ideal: tráfego na DMZ não deve ser confidencial dados devem ser protegidos por criptografia Serviços externos via proxy conexão direta via packet filtering

Múltiplas Camadas Internet WWW/FTP externo DMZ externa intermediário rede interna Múltiplas Camadas DMZ interna DMZ externa externo interno intermediário WWW/FTP Internet

Screened Subnet Architecture Internet Múltiplos BHs WWW FTP SMTP2 rede perimetral - DMZ Screened Subnet Architecture desempenho, redundância, separação de dados e serviços rede interna

visibilidade do tráfego Internet quebra não permite visibilidade do tráfego da rede interna externo DMZ externa belt suspenders bastion host DMZ interna interno rede interna

Produtos Comerciais Informações técnicas de produtos de firewall www.access.digex.net/~bdboyle/firewall.vendor.html Grande variedade SecurIT Þ www.milkyway.com/prod.html Borderware Þ www.securecomputing.com Firewall-1 Þ www.CheckPoint.com ... Guardian Þ www2.ntfirewall.com/ntfirewall Freestone: código fonte de produto comercial www.soscorp.com/products/Freestone.html

Firewall-1 É um sistema de segurança de rede para criação e gerenciamento de firewall TCP/IP. Possibilita que empresas construam suas próprias políticas de segurança. Instalado em um servidor de gateway, o Firewall-1 atua como um roteador seguro para passagem de tráfego entre companhias privadas e redes públicas.

Firewall-1 Características: Filtragem segura de pacotes; Acesso seguro a Internet; Acesso remoto seguro; Redes Virtuais Privadas (VPN) para criar seguros “túneis” através de redes públicas inseguras; Habilidade para definir a adicionar novos protocolos e serviços; Auditoria e alerta.

Firewall-1 Vantagens: flexibilidade; escalabilidade; extensibilidade; transparência; suporte a múltiplos protocolos e tecnologia de rede; pode ser distribuído sobre múltiplas plataformas; requerimentos de conectividade sem causar impacto a performance da rede.

Firewall-1 Requerimentos:

Firewall-1 Arquitetura: Atua como um roteador seguro entre uma rede interna e uma rede externa. FireWall-1 Rede Externa Interna Internet

Firewall-1 Arquitetura: Módulo de Controle: inclui o módulo de gerenciamento e interface para o usuário; Módulo FireWall: inclui o módulo de inspeção, deamons do FireWall-1 e segurança dos servidores. Implementa política de segurança, log dos eventos e comunica-se com o módulo de controle através de deamons.

Firewall-1 Arquitetura: Módulo de Inspeção Deamon Interface gráfica do usuário Servidor de gerenciamento Log/Alerta Módulo FireWall Módulo de Controle Logs/Alerta Status Comandos Login e Status Canal de comunicação seguro Gateway/ FireWall Estação de gerenciamento

Firewall-1 Arquitetura Módulo de Controle Usado para implementar a política de segurança de rede; Controla o módulo de filtragem de pacotes; Pode ser usado como um facilidade para visualizar login e controle de informação. Gerenciador de Serviços: define os serviços que são conhecidos para o sistema e que estão especificados na política de segurança( Telnet, FTP, HTTP, UDP, etc)

Firewall-1 Arquitetura Módulo FireWall O módulo de inspeção é dinamicamente carregado no kernel do sistema operacional, entre a camada 2 e 3. Ele faz o gerenciamento dos pacotes que entram e saem da rede. Possibilita ao administrador definir regras de segurança onde não apenas a comunicação com a fonte, destino e serviços são verificados, mas o usuário também é autenticado. Rejeição de e-mails, acesso negado a URLs e checagem da vírus nas transferências de arquivos.

Firewall-1 Pacote recebido 7 Aplicação O pacote esta dentro 6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não

Firewall-1 Pacote recebido 7 Aplicação O pacote 6 Apresentação 5 Sessão 4 Transporte 3 Rede 2 Enlace 1 Física Passar o Pacote? Opcional: log/Alerta Pacote recebido O pacote esta dentro das regras? Mais alguma regra? Enviar NACK Pacote descartado Sim Não Setar a próxima regra

Firewall-1 Performance Emprega diversas técnicas de otimização Rodando dentro do kernel do sistema operacional reduz processamento; otimização na filtragem de pacotes reduz o tempo gasto para executar as ações da filtragem; técnicas de gerenciamento de memória prove rápido acesso a recursos da rede.

Conclusões Firewalls maturidade tecnológica política de segurança é garantida em um único componente lógico quanto maior o grau de segurança oferecido, maiores os custos associados e menor a flexibilidade no oferecimento de serviços não substimar o tempo de implantação de um firewall, mesmo quando este for comprado. Não existe firewall “plug and play”